Но ведь можно создавать удобства, а не неудобства. Например, вместо безальтернативного запрета использовать слабые пароли добавить второй фактор (научить компьютеры читать пропуски СКУД, узнавать ползователя по смартфону, использовать биометрию). Тогда у пользователя будет выбор — или пытаться обмануть систему, чтобы она приняла слабый пароль за сильный, или записать его на стикер на мониторе, или же не делать ничего, и положиться на удобный второй фактор.
Аналогично можно поступить при определении парольной политики для смены пароля. Чем проще пароль (это можно оценивать попыткой его сломать), тем чаще надо его менять. Это стимулирует пользователя использовать пароли посложнее (и при этом не слишком сложные для него), но даёт выбор.
При таких вариантах у пользователя стало больше свободы, чем при безальтернативном использовании сильного пароля. А ещё ему стало удобнее.
Я отрицаю расистские права. Если что-то даёт некоторое право одной расе, и не даёт другой, то оно расистское по определению. Слово «чёрный» (как, впрочем, и «белый») в этих рассуждениях отсутствует.
Каким образом тут нарушаются права чёрных?
Примерно столько же, сколько и любая другая система, построенная на практически любой идее, доведённой до абсурда. Я не предлагаю делать так всегда, поэтому и написал «часть задач» и «часто».
Я не предлагаю поворачивать стрелочку и становиться угнетёнными. Вместо этого можно рассуждать так: «раз ты видишь в словах black hat что-то плохое, значит ты видишь что-то плохое в чёрных, значит ты — расист!».
Если я правильно помню, то в таких случаях суд устанавливает, знал ли отправитель, что конденсатор могут попытаться вставить в компьютер, и что компьютер в таком случае выйдет из строя.
А полноценный usb-killer состоит не только из одного конденсатора, а из схемы, которая из VBUS делает -120 вольт и импульсом отправляет их на D+/D-. Как ещё можно объяснить наличие такой схемы в устройстве, у которого единственный доступный пользователю разъём — это USB? Это уже похоже на историю с хозяйкой дома, которая специально отравила водку и не промаркировала её должным образом, что и убило воров.
Вот тут написано, что делать нельзя — нарушать работу сервисов, получать доступ к чужим данным (к своим на соседнем аккаунте можно), получать доступ к внутренним (non-customer-facing) системам, нарушать законы.
Это накладывает некоторые ограничения. Например, исследователь не сможет взломать один сервис, через него проникнуть во внутренние системы и внести в них такие изменения, чтобы стал возможен взлом другого сервиса. Физическое проникновение в здание Apple наверняка считается нарушением закона, так что тоже отпадает.
Чем это принципиально отличается от ситуации, когда террорист раскидал флешки со взрывчаткой, из-за которой от компьютера, в который их вставляли, оторвало кусок? Регламенты же определяют, как организация работает внутри, а не как её защищают законы снаружи, а по закону чужое имущество портить запрещено.
Интересно, а существовал ли раньше способ (при использовании телефонов, подключенных к розетке) подслушать со стороны АТС то, что происходит в комнате? Какой-нибудь способ вроде подачи вызывного напряжения, но с какой-нибудь другой характеристикой (частотой?), чтобы телефонный аппарат не зазвонил, но была возможность усилить сигнал с его микрофона.
Нельзя ли часть задач по увеличению безопасности решить путём стимулирования третьей стороны на принятие нужных решений? Например, в информационной безопасности часто можно сделать правильный путь самым удобным, и тогда пользователь просто не захочет поступать неправильно.
Неправда, конечно же. Я не предлагаю повторить ситуацию с https один-в-один, вместо этого можно сделать что-то похожее. Например, писать «устаревший протокол» или «у вас пропадёт доступ, если ваш провайдер выключит IPv4».
В типичном SOHO-роутере помимо NAT есть ещё и фаервол. И вот именно он и защищает пользовательскую сеть от подключений снаружи. И почти везде он по-умоланию включен. А NAT просто занимается переписыванием адресов.
Если NAT выключить, то фаервол останется.
Другой вопрос насколько адекватно он настроен, но в openwrt/ddwrt в этим всё хорошо — пользователь может не разбираться в сетях совсем, и получить адекватный набор правил, который не будет ему мешать, и при этом не давать злоумышленнику подключиться снаружи. Возможно, что в современных прошивках от вендоров тоже всё неплохо, но я давно не проверял.
И это отличный повод считать все соединения недоверенными (и использовать криптографические методы для ваторизации) вместо разделения сетей по адресам на опасные и безопасные. Пусть у холодильников следующего десятиления с этим всё будет лучше.
Проблема не столько в плохой защите в случае NAT и хорошей в случае фаервола, а в подмене понятий. Рассматривая NAT в качестве защиты можно создать ложное впечатление безопасности.
Это как вместо заваривания лишней входной двери в квартире прикрыть её огромным тяжёлым шкафом — почти всегда будет работать, но это не является предназачением шкафа, хотя и частично даёт желаемый результат в качестве побочного эффекта. А ещё удобно ведь, шкафом умеет пользоваться больше людей, чем сварочным аппаратом, да и полочки есть.
Всё так. Но в сети можно найти кучу советов, как настроить NAT в Linux, примерно таких: sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTRUOTING -o ${external_face} -j MASQUERADE
И FORWARD остаётся пустой с дефолтной политикой ACCEPT.
Аналогично можно поступить при определении парольной политики для смены пароля. Чем проще пароль (это можно оценивать попыткой его сломать), тем чаще надо его менять. Это стимулирует пользователя использовать пароли посложнее (и при этом не слишком сложные для него), но даёт выбор.
При таких вариантах у пользователя стало больше свободы, чем при безальтернативном использовании сильного пароля. А ещё ему стало удобнее.
Каким образом тут нарушаются права чёрных?
А полноценный usb-killer состоит не только из одного конденсатора, а из схемы, которая из VBUS делает -120 вольт и импульсом отправляет их на D+/D-. Как ещё можно объяснить наличие такой схемы в устройстве, у которого единственный доступный пользователю разъём — это USB? Это уже похоже на историю с хозяйкой дома, которая специально отравила водку и не промаркировала её должным образом, что и убило воров.
Это накладывает некоторые ограничения. Например, исследователь не сможет взломать один сервис, через него проникнуть во внутренние системы и внести в них такие изменения, чтобы стал возможен взлом другого сервиса. Физическое проникновение в здание Apple наверняка считается нарушением закона, так что тоже отпадает.
Если NAT выключить, то фаервол останется.
Другой вопрос насколько адекватно он настроен, но в openwrt/ddwrt в этим всё хорошо — пользователь может не разбираться в сетях совсем, и получить адекватный набор правил, который не будет ему мешать, и при этом не давать злоумышленнику подключиться снаружи. Возможно, что в современных прошивках от вендоров тоже всё неплохо, но я давно не проверял.
Это как вместо заваривания лишней входной двери в квартире прикрыть её огромным тяжёлым шкафом — почти всегда будет работать, но это не является предназачением шкафа, хотя и частично даёт желаемый результат в качестве побочного эффекта. А ещё удобно ведь, шкафом умеет пользоваться больше людей, чем сварочным аппаратом, да и полочки есть.
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTRUOTING -o ${external_face} -j MASQUERADE
И FORWARD остаётся пустой с дефолтной политикой ACCEPT.