Это безусловно самые важные качества для президента самой большой страны на планете.
В нормальной демократической стране, нет. В текущих же реалиях, к сожалению, да.
Человек который лжёт, манипулирует...
… называется политиком
В лучшем случае это будет шило на мыло.
В худшем — см Украина.
Понимаете, если его легитимно изберут, особенно сейчас, когда ситуация в стране пока не достигла совсем уж дна, люди возложат на него свои ожидания, которые ему придется оправдывать. Но при этом не станут устраивать культ личности. И он будет из кожи вон лезть, чтобы ожидания оправдать.
Плюс текущая власть никуда не исчезнет — она станет оппозицией к Навальному. Причем, думается, весьма могущественной. Что еще больше подстегнет новую администрацию к проведению реформ.
Опять же наличие могущественной оппозиционной партии даст рычаги давления народу на власть и поспособствует развитию гражданского общества.
Конечно, всё это диванная политология. Можете соглашаться или не соглашаться. Но я считаю, что как бы вы не относились к Навальному и к оппозиции, поддержать его выдвижение в президенты в ваших интересах. Голосовать же можете за кого угодно. Или не голосовать вообще.
Но как политик или президент — боже упаси. Во всяком случае на том уровне социальной пассивности, которая есть сейчас. Вообще всегда пугают люди, которые безоговорочно верят кому-то, кто лезет в политику. В политике невозможно существование честного человека в принципе.
А и не надо никому верить. Вы хотите гражданское общество? Ну так оно само по себе не возникнет. На данном этапе важно создание нормальной конкуренции в политике.
Тогда и зародится гражданского общество. Сперва, как инструмент политической борьбы, а затем перерастет в нечто большее. Возможно.
К Навальному у меня, кстати, полно претензий, но у прочих политиков шансов изменить положение в стране нет вообще. Так что довольствуюсь тем, что есть.
Спасибо. В целом да, протокол довольно интересный. Особенно, перспективным мне кажется его применение совместно с онлайн-аккаунтами Microsoft. Т.е. сертификаты генерируются и хранятся на серверах Microsoft, и могут быть запрошены для проверки подлинности пользователя.
В принципе, в Windows 10 есть возможность дать доступ пользователю к компьютеру по имени его (пользователя) учетной записи Microsoft. Думаю, при этом используется механизм схожий с описанным выше. Но будет ли при этом доступ по SMB, я пока не проверял.
Но вообще на замену NTLM PKU2U не тянет, хотя бы потому, что все сценарии использования NTLM он не покрывает.
Прочитал, но видимо невнимательно. И в этом абзаце есть такая фраза: «PKU2U can be used without a PKI by pre-sharing certificates and/or pre-associating name/certificate bindings». Т.е. получается документ парольную аутентификацию не определяет в принципе. А именно она меня интересует, коли уж мы рассматриваем в этой ветке PKU2U, как замену NTLM. Ну да, в 7-ом разделе говорится о том, что «implementers may provide methods for user interaction related to credential selection and acquisition (e.g., name and password/PIN prompts)», но как-то это не очень помогает.
При использовании сертификатов у меня вопросов к протоколу нет — всё логично. Но я не могу понять, как он работает без сертификатов и работает ли вообще. Что происходит при добавлении в домашнюю группу по паролю? Создается новый сертификат? Кто выступает в роли центра сертификации? Почему ему доверяют другие участники группы?
Если вы в теме, напишите, пожалуйста, развернутый комментарий или даже статью. Думаю, многим полезно будет — информации по протоколу и технической информации по домашней группе кот наплакал.
А в чем я не прав? По вашему алгоритм аутентификации без проверки подлинности сервера может быть устойчив против атаки по словарю? Каким образом? Я не иронизирую, к слову, правда интересно.
В том же Kerberos клиент передает, на начальном этапе, на сервер текущее время зашифрованное симметричным алгоритмом, используя в качестве ключа хеш от пароля. Бери и подбирай.
Не совсем то, что я имел в виду. Хотелось почитать что-нибудь написанное экспертами для не экспертов, ну да ладно.
Сразу хочу сказать, что для досконального изучения документа у меня не хватает ни времени, ни мотивации, ни компетентности. Тем не менее после прочтения некоторые, возможно ошибочные, выводы я сделал.
Во-первых, в документе нигде не говорится про парольную аутентификацию, везде описывается применение сертификатов. Не, PKI — это конечно замечательно, но для SOHO, на мой взгляд, это overkill, а у крупных предприятий для этого есть домен и Kerberos.
Во-вторых, даже если возможность парольной аутентификации есть, то преимуществ перед NTMLv2 я, в данном случае, не вижу, поскольку в качестве KDC предлагается использовать потенциально передоверенного участника взаимодействия, играющего роль сервера. Т.е., в контексте данной статьи, PKU2U не помог бы никак. Все равно на сервер злоумышленника ValdikSS передалась бы некоторая производная от пароля. А имея эту производную и зная алгоритм её получения, можно подобрать пароль атакой по словарю или брутфорсом (ну или обломиться, если пароль достаточно сложный).
Понятно, что без домена для более или менее крупной организации не обойтись. Но для малого офиса или дома NTML вполне себе вариант.
Да, я в курсе про домашнюю группу, но пользоваться ей, лично мне, было не удобно — слишком много магии. Нигде нет нормального описания как это работает и что делать, когда что-то сломалось. Проще уж одинаковых учеток насоздавать.
Про PKU2U я правда не знал, и нормального описания этого протокола пока не нашел. Буду благодарен за полезные ссылки на эту тему.
Простите, но как вы себе представляете применение Kerberos для аутентификации на компьютере, не входящем в домен?
Собственно, вся безопасность Kerberos достигается за счет наличия отдельного доверенного сервера (KDC), который проверяет учетные данные пользователей и, в случае их корректности, предоставляет билеты на доступ к сервисам. И понятно, что если два компьютера не входят в один и тот же домен, то KDC которому могли бы доверять оба этих компьютера, просто напросто не существует.
В общем, Kerberos далеко не панацея и наличие NTLM вполне оправдано, на мой взгляд. Хотя, конечно, с описанным в статье поведением бороться надо. Например, по умолчанию активировав запрет на доступ к удаленным SMB-серверам
Вы путаете шизофрению и диссоциативное расстройство личности. Абсолютно разные психические заболевания.
В нормальной демократической стране, нет. В текущих же реалиях, к сожалению, да.
… называется политиком
Понимаете, если его легитимно изберут, особенно сейчас, когда ситуация в стране пока не достигла совсем уж дна, люди возложат на него свои ожидания, которые ему придется оправдывать. Но при этом не станут устраивать культ личности. И он будет из кожи вон лезть, чтобы ожидания оправдать.
Плюс текущая власть никуда не исчезнет — она станет оппозицией к Навальному. Причем, думается, весьма могущественной. Что еще больше подстегнет новую администрацию к проведению реформ.
Опять же наличие могущественной оппозиционной партии даст рычаги давления народу на власть и поспособствует развитию гражданского общества.
Конечно, всё это диванная политология. Можете соглашаться или не соглашаться. Но я считаю, что как бы вы не относились к Навальному и к оппозиции, поддержать его выдвижение в президенты в ваших интересах. Голосовать же можете за кого угодно. Или не голосовать вообще.
А и не надо никому верить. Вы хотите гражданское общество? Ну так оно само по себе не возникнет. На данном этапе важно создание нормальной конкуренции в политике.
Тогда и зародится гражданского общество. Сперва, как инструмент политической борьбы, а затем перерастет в нечто большее. Возможно.
К Навальному у меня, кстати, полно претензий, но у прочих политиков шансов изменить положение в стране нет вообще. Так что довольствуюсь тем, что есть.
Участие Навального (что вы так этой фамилии боитесь?) в выборах, вполне может создать в стране наконец-то сильную оппозицию.
Что, в свою очередь, лишит государство монополии на то, что считать правильным, а что неправильным.
А это уже заставит людей думать, выбирать и, сделав выбор, стараться донести его до власти.
В принципе, в Windows 10 есть возможность дать доступ пользователю к компьютеру по имени его (пользователя) учетной записи Microsoft. Думаю, при этом используется механизм схожий с описанным выше. Но будет ли при этом доступ по SMB, я пока не проверял.
Но вообще на замену NTLM PKU2U не тянет, хотя бы потому, что все сценарии использования NTLM он не покрывает.
При использовании сертификатов у меня вопросов к протоколу нет — всё логично. Но я не могу понять, как он работает без сертификатов и работает ли вообще. Что происходит при добавлении в домашнюю группу по паролю? Создается новый сертификат? Кто выступает в роли центра сертификации? Почему ему доверяют другие участники группы?
Если вы в теме, напишите, пожалуйста, развернутый комментарий или даже статью. Думаю, многим полезно будет — информации по протоколу и технической информации по домашней группе кот наплакал.
В том же Kerberos клиент передает, на начальном этапе, на сервер текущее время зашифрованное симметричным алгоритмом, используя в качестве ключа хеш от пароля. Бери и подбирай.
Сразу хочу сказать, что для досконального изучения документа у меня не хватает ни времени, ни мотивации, ни компетентности. Тем не менее после прочтения некоторые, возможно ошибочные, выводы я сделал.
Во-первых, в документе нигде не говорится про парольную аутентификацию, везде описывается применение сертификатов. Не, PKI — это конечно замечательно, но для SOHO, на мой взгляд, это overkill, а у крупных предприятий для этого есть домен и Kerberos.
Во-вторых, даже если возможность парольной аутентификации есть, то преимуществ перед NTMLv2 я, в данном случае, не вижу, поскольку в качестве KDC предлагается использовать потенциально передоверенного участника взаимодействия, играющего роль сервера. Т.е., в контексте данной статьи, PKU2U не помог бы никак. Все равно на сервер злоумышленника ValdikSS передалась бы некоторая производная от пароля. А имея эту производную и зная алгоритм её получения, можно подобрать пароль атакой по словарю или брутфорсом (ну или обломиться, если пароль достаточно сложный).
Да, я в курсе про домашнюю группу, но пользоваться ей, лично мне, было не удобно — слишком много магии. Нигде нет нормального описания как это работает и что делать, когда что-то сломалось. Проще уж одинаковых учеток насоздавать.
Про PKU2U я правда не знал, и нормального описания этого протокола пока не нашел. Буду благодарен за полезные ссылки на эту тему.
Собственно, вся безопасность Kerberos достигается за счет наличия отдельного доверенного сервера (KDC), который проверяет учетные данные пользователей и, в случае их корректности, предоставляет билеты на доступ к сервисам. И понятно, что если два компьютера не входят в один и тот же домен, то KDC которому могли бы доверять оба этих компьютера, просто напросто не существует.
В общем, Kerberos далеко не панацея и наличие NTLM вполне оправдано, на мой взгляд. Хотя, конечно, с описанным в статье поведением бороться надо. Например, по умолчанию активировав запрет на доступ к удаленным SMB-серверам