В какой-то момент времени, в чью-то светлую голову пришла гениальная идея, что в процедуре восстановления доступа достаточно публично доступной информации (или информации ставшей публичной в результате различных утечек) о человеке и четырёх цифр из смс как доказательства контроля над предоставленным когда-то номером телефона. Что умножает на ноль любые устанавливаемые пароли и сводит всю безопасность к этим самым четырём цифрам отправляемым по саму небезопасному из существующих каналов, потому что больше ничего и не требуется. А потом эту гениальную идею подхватили многие другие сервисы и превратили чуть ли не в индустриальный стандарт.
Именно это простое обстоятельство породило волну звонков с попытками получить простой доступ к заветным циферкам с помощью методов социальной инженерии.
Ни о какой безопасности не может идти речи, если аккаунт мессенджера (или любого другого сервиса) намертво привязан к номеру телефона. Вы контролируете свой аккаунт в только до тех пор, пока вы контролируете номер телефона, к которому привязан аккаунт. А контроль над номером телефона очень условен и не долговечен.
Никакая криптография не спасёт, если вся безопасность сводится к четырём цифрам, передаваемым по самому небезопасному из существующих каналов, в виде СМС. И охота на эти четыре цифры уже давно началась и успешно идёт. СМС-ки перехватывают как до попадания в сети сотовой связи, внутри мобильных сетей, так и после их доставки до устройства пользователя. И временность этого временного пароля не такая уж большая помеха.
Я как то одному такому мошеннику честно признался, что не знаю, что такое интернет.
Но в общем, после первого случая, в котором мы добрались до просьбы установить клиента удалённого управления на смартфон, все остальные подобные звонки воспринимались менее эмоционально и, при наличии желания, проходили в манере непринуждённой беседы с частым озвучиванием желания немедленно дойти до ближайшего офиса.
Идея о сверх больших дозах витамина С, принимаемых ежедневно, абсолютно безопасных и при этом вылечивающих все болезни, оказалась не состоятельной.
Зато обширная практика приёма этих сверх больших доз длительное время выявила неприятные побочные эффекты - камнеобразование в почках. Гипервитаминоз витамина С оказался тоже возможен.
По этому суточная доза такая маленькая, всё остальное уйдёт в трубу, если не задержится в почках. А сверх большие дозы только под присмотром врачей и ограниченный период.
В современном мире смарт часы отслеживают каждый шаг человека (а точнее каждое движение руки), каждый удар сердца (может аппроксимировать до экг), каждый вдох (а точнее насыщение крови кислородом), температуру тела, могут делать это в непрерывном режиме, отсылают всё это куда то на облака и бережно хранят. И кто знает как это потом может быть использовано и как это используется уже сейчас.
В современном мире корпорации отслеживают каждый клик, каждую открытую страницу в интернете, каждый сделанный выбор, каждый заказанный в онлайне товар, каждую транзакцию оплаты, каждое написанное слово и такое чувство что каждое сказанное слово тоже. И это уже активно используется.
И тут не 5-7 раз в сутки, тут сотни записей в секунду, с точностью до миллисекунды (timestamp) и с идентификацией устройства (device_id) и текущего пользователя на нём (user_id) и характера действия конечно же (guid). Сколько весит вся эта собираемая ежедневно информация?
Для непонятливых, краткая история. Проект Wine был основан в 1993 году. Он представлял собой проект размером 0 байт. И был идеален по архитектуре и составу. Потом в него начали добавлять баги. Проект разрастался, к проекту стали подключаться новые разработчики, которые добавляли ещё больше багов. И поэтому при каждом новом релизе принято спрашивать "Чо опять сломали?!".
Идея из области фантастики: защита бывших, текущих и потенциальных клиентов от надоедливых звонков с навязыванием услуг банка, как например непрекращающиеся звонки с предложениями о выпуске карты рассрочки Халва. После такой агрессивной рекламной политики возникает стойкое отвращение к любым продуктам банка и лютая ненависть при любом упоминании активно продвигаемого слова, например Халва.
Главное не превращать СМС в единственный достаточный фактор, используя его в процедуре восстановления доступа, не считая других открытых или утёкших данных о человеке.
Каналы оперативной связи с человеком стоит использовать только для оперативной связи с человеком (а не для спама). При активации процедуры восстановления доступа рассылать сообщения по всем доступным контактам. Как впрочем и при активации новой сессии на новом устройстве.
Наличие TOTP на Госуслугах не останавливает разработчиков Госуслуг от выманивания номера телефона под любым предлогом, для предоставления какой нибудь услуги. А после получения номера телефона, он намертво привязывается к аккаунту, без возможности его удаления, предоставляется возможность только его изменения.
После этого активируются мошенники с социальной инженерией для доступа к заветным четырём цифрам. А Госуслуги при этом игнорируют любые иные F2A (тот же активированный TOTP) в процессе восстановления доступа, превращая СМС в единственный достаточный фактор авторизации, не считая публично доступные (утекшие) данные о человеке.
Но здравый смысл всё таки может восторжествовать, если активировать на Госуслугах ещё и контрольный вопрос, ответом на который ни в коем случае не должны быть какие либо публично доступные данные, лучше всего работать с ним как с ещё одним паролем. И тогда появляется слабая надежда на безопасность аккаунта на Госуслугах.
Можно попробовать настроить на этом "телефоне" синхронизацию времени по GPS, была вроде такая фича некоторое время на андроиде, а если уже недоступна, то наверняка есть программы реализующие такой функционал.
Правильно ли я понял, что при измерении кубита в квантовых компьютерах получается тот же ноль или единица, но с некоторой вероятностью где-то между нулём и единицей и чтобы узнать эту вероятность - единичного измерения недостаточно и надо провести серию измерений и подсчитать конечный результат с некоторой погрешностью?
Я в своё время пришёл к выводу, что мне достаточно одной категории - "ежедневные расходы", заполнение этой категории очень простое - вносишь одну запись с итоговой суммой чека и таких чеков обычно немного.
Потом со временем выделилась вторая категория - "ежемесячные расходы", куда попадают регулярные ежемесячные платежи, которые обычно известны заранее.
И третья категория которая сформировалась со временем это "бюджетные траты", куда были вынесены крупные покупки на которые заранее формировался бюджет, что позволило плавно перейти к планированию и бюджетированию в личных финансах.
А раскидывать каждую строчку чека по десятку категорий, обычно предлагаемых различными советчиками, я бы точно не осилил.
В моём представлении, чтобы заводить тикет, имеющий шансы на решение, надо хотя бы примерно представлять всю цепочку взаимосвязей и тот ключевой элемент, в котором возникает проблема, как минимум для того, чтобы включить его в описание окружения или шаги воспроизведения.
Я же очень слабо представляю себе какую магию творит идея запуская приложение, в отдельном изолированном инстансе томката, в распакованом виде, с передачей всех зависимостей требуемых для запуска, с упаковкой параметров запуска. И где в этой цепочке перестали передаваться дополнительные файлы из директории lib томката, которые раньше были доступны приложению по относительному пути.
Каким то непостижимым образом они умудрились доломать привычный мне способ запуска приложения в томкате, а точнее способ передачи файла локальной конфигурации в окружение приложения через сохранение проперти файла в директории томката.
Бесконечные блуждания по багтрекеру в поисках собратьев столкнувшихся с подобной проблемой привели только к пониманию, что скорее всего это как то связано с рефакторингом механизма передачи окружения при запуске приложения, введённом как раз в версии 2023.2. Но рабочий способ так и не был найден.
А меж тем в Годвиле наблюдается наплыв новых игроков и игравшие когда то тоже потихоньку заглядывают.
В какой-то момент времени, в чью-то светлую голову пришла гениальная идея, что в процедуре восстановления доступа достаточно публично доступной информации (или информации ставшей публичной в результате различных утечек) о человеке и четырёх цифр из смс как доказательства контроля над предоставленным когда-то номером телефона. Что умножает на ноль любые устанавливаемые пароли и сводит всю безопасность к этим самым четырём цифрам отправляемым по саму небезопасному из существующих каналов, потому что больше ничего и не требуется. А потом эту гениальную идею подхватили многие другие сервисы и превратили чуть ли не в индустриальный стандарт.
Именно это простое обстоятельство породило волну звонков с попытками получить простой доступ к заветным циферкам с помощью методов социальной инженерии.
Ни о какой безопасности не может идти речи, если аккаунт мессенджера (или любого другого сервиса) намертво привязан к номеру телефона. Вы контролируете свой аккаунт в только до тех пор, пока вы контролируете номер телефона, к которому привязан аккаунт. А контроль над номером телефона очень условен и не долговечен.
Никакая криптография не спасёт, если вся безопасность сводится к четырём цифрам, передаваемым по самому небезопасному из существующих каналов, в виде СМС. И охота на эти четыре цифры уже давно началась и успешно идёт. СМС-ки перехватывают как до попадания в сети сотовой связи, внутри мобильных сетей, так и после их доставки до устройства пользователя. И временность этого временного пароля не такая уж большая помеха.
философский камень? давняя мечта многих искателей.
Я как то одному такому мошеннику честно признался, что не знаю, что такое интернет.
Но в общем, после первого случая, в котором мы добрались до просьбы установить клиента удалённого управления на смартфон, все остальные подобные звонки воспринимались менее эмоционально и, при наличии желания, проходили в манере непринуждённой беседы с частым озвучиванием желания немедленно дойти до ближайшего офиса.
Идея о сверх больших дозах витамина С, принимаемых ежедневно, абсолютно безопасных и при этом вылечивающих все болезни, оказалась не состоятельной.
Зато обширная практика приёма этих сверх больших доз длительное время выявила неприятные побочные эффекты - камнеобразование в почках. Гипервитаминоз витамина С оказался тоже возможен.
По этому суточная доза такая маленькая, всё остальное уйдёт в трубу, если не задержится в почках. А сверх большие дозы только под присмотром врачей и ограниченный период.
В современном мире смарт часы отслеживают каждый шаг человека (а точнее каждое движение руки), каждый удар сердца (может аппроксимировать до экг), каждый вдох (а точнее насыщение крови кислородом), температуру тела, могут делать это в непрерывном режиме, отсылают всё это куда то на облака и бережно хранят. И кто знает как это потом может быть использовано и как это используется уже сейчас.
В современном мире корпорации отслеживают каждый клик, каждую открытую страницу в интернете, каждый сделанный выбор, каждый заказанный в онлайне товар, каждую транзакцию оплаты, каждое написанное слово и такое чувство что каждое сказанное слово тоже. И это уже активно используется.
И тут не 5-7 раз в сутки, тут сотни записей в секунду, с точностью до миллисекунды (timestamp) и с идентификацией устройства (device_id) и текущего пользователя на нём (user_id) и характера действия конечно же (guid). Сколько весит вся эта собираемая ежедневно информация?
В будущем мониторы могут остаться и без DisplayPort, кандидатом на замену ему видится Type-C
Обычно наоборот:
Идея из области фантастики: защита бывших, текущих и потенциальных клиентов от надоедливых звонков с навязыванием услуг банка, как например непрекращающиеся звонки с предложениями о выпуске карты рассрочки Халва. После такой агрессивной рекламной политики возникает стойкое отвращение к любым продуктам банка и лютая ненависть при любом упоминании активно продвигаемого слова, например Халва.
Главное не превращать СМС в единственный достаточный фактор, используя его в процедуре восстановления доступа, не считая других открытых или утёкших данных о человеке.
Каналы оперативной связи с человеком стоит использовать только для оперативной связи с человеком (а не для спама). При активации процедуры восстановления доступа рассылать сообщения по всем доступным контактам. Как впрочем и при активации новой сессии на новом устройстве.
Наличие TOTP на Госуслугах не останавливает разработчиков Госуслуг от выманивания номера телефона под любым предлогом, для предоставления какой нибудь услуги. А после получения номера телефона, он намертво привязывается к аккаунту, без возможности его удаления, предоставляется возможность только его изменения.
После этого активируются мошенники с социальной инженерией для доступа к заветным четырём цифрам. А Госуслуги при этом игнорируют любые иные F2A (тот же активированный TOTP) в процессе восстановления доступа, превращая СМС в единственный достаточный фактор авторизации, не считая публично доступные (утекшие) данные о человеке.
Но здравый смысл всё таки может восторжествовать, если активировать на Госуслугах ещё и контрольный вопрос, ответом на который ни в коем случае не должны быть какие либо публично доступные данные, лучше всего работать с ним как с ещё одним паролем. И тогда появляется слабая надежда на безопасность аккаунта на Госуслугах.
Можно попробовать настроить на этом "телефоне" синхронизацию времени по GPS, была вроде такая фича некоторое время на андроиде, а если уже недоступна, то наверняка есть программы реализующие такой функционал.
Правильно ли я понял, что при измерении кубита в квантовых компьютерах получается тот же ноль или единица, но с некоторой вероятностью где-то между нулём и единицей и чтобы узнать эту вероятность - единичного измерения недостаточно и надо провести серию измерений и подсчитать конечный результат с некоторой погрешностью?
дневная доза витамина С до 90 мг, всё что выше уйдёт в трубу, если не задержится в почках.
Я в своё время пришёл к выводу, что мне достаточно одной категории - "ежедневные расходы", заполнение этой категории очень простое - вносишь одну запись с итоговой суммой чека и таких чеков обычно немного.
Потом со временем выделилась вторая категория - "ежемесячные расходы", куда попадают регулярные ежемесячные платежи, которые обычно известны заранее.
И третья категория которая сформировалась со временем это "бюджетные траты", куда были вынесены крупные покупки на которые заранее формировался бюджет, что позволило плавно перейти к планированию и бюджетированию в личных финансах.
А раскидывать каждую строчку чека по десятку категорий, обычно предлагаемых различными советчиками, я бы точно не осилил.
Как побороть привычку читать очередную статью про привычки на хабре?
В моём представлении, чтобы заводить тикет, имеющий шансы на решение, надо хотя бы примерно представлять всю цепочку взаимосвязей и тот ключевой элемент, в котором возникает проблема, как минимум для того, чтобы включить его в описание окружения или шаги воспроизведения.
Я же очень слабо представляю себе какую магию творит идея запуская приложение, в отдельном изолированном инстансе томката, в распакованом виде, с передачей всех зависимостей требуемых для запуска, с упаковкой параметров запуска. И где в этой цепочке перестали передаваться дополнительные файлы из директории lib томката, которые раньше были доступны приложению по относительному пути.
Новый релиз новые баги.
Каким то непостижимым образом они умудрились доломать привычный мне способ запуска приложения в томкате, а точнее способ передачи файла локальной конфигурации в окружение приложения через сохранение проперти файла в директории томката.
Бесконечные блуждания по багтрекеру в поисках собратьев столкнувшихся с подобной проблемой привели только к пониманию, что скорее всего это как то связано с рефакторингом механизма передачи окружения при запуске приложения, введённом как раз в версии 2023.2. Но рабочий способ так и не был найден.
Пришлось пока откатиться. Надеюсь не навсегда.
и меняется этот "код" накатыванием патчей в виде пулл реквестов после коде-ревью большим количеством "разработчиков"