Все обсуждают какие-то посты, а я не понимаю, о чем речь. Кто-нибудь, подскажите, пожалуйста, от какой именно статьи у автора так сильно подгорело. Чтобы никого не обижать, лучше в личку.
Меня некоторые темы тоже бесят, но я так сходу не назову авторов, которых хотел бы совсем скрыть.
Давайте называть вещи своими именами. Это не уязвимость, а бэкдор. Для обновления софта сервер на устройстве пользователя поднимать не требуется. Сервер был поднят для того, чтобы можно было на устройствах удаленно запускать произвольный код без согласия владельца. Просто кто-то этот бэкдор заметил.
Совершенно с вами согласен. Пару раз наблюдал от этой утилиты предложения, которые меня не устроили. Это важное уточнение. Прежде, чем создавать модуль, надо проревьюить рекомендации.
А не наоборот? Ведь коммутаторы не просто так держат у себя соответствие IP и MAC. Насколько я понимаю, за счет этого они отправляют трафик только в тот порт, где находится получатель, а не на все порты сразу. За счет этого и экономия.Если это выключить, лишнего трафика будет в разы больше.
Но ведь GDPR распространяется и на случаи, когда европейские граждане пользуются сайтом за пределами ЕС. Получается, что чтобы не попасть под действие закона, нужно пускать на сайт по паспорту, а не по IP.
Если я могу выполнить произвольную команду от имени пользователя, то получить пароль можно очень легко.
alias sudo='sudo -A /tmp/askpass'
Далее, пароль наверняка не qwerty01, а посложнее. Значит, каждый раз пользователь его вводить не будет. sudo будет кэшировать введенный пароль и запрашивать снова только после определенного таймаута. По умолчанию это 5 минут.
Тогда сам пароль и не очень нужен. Просто подождем повышения привилегий и воспользуемся. export PS1="\$(sudo -n whoami 2>/dev/null)$PS1"
Далее, если вы администрируете что-то серьезное, скорее всего, у вас целая инфраструктура имеется, серверов несколько, они бэкапятся, есть эталонный образ, из которого создаются новые сервера. Если вы пользуетесь паролями, то хэш вашего пароля очень много где будет лежать. Кто-то может получить доступ не к целевому серверу, а к какому-нибудь бэкапу, найти там /etc/shadow и начать его брутить на своих ресурсах.
Если же вы никогда не используете пароли, то можете образ своего сервера хоть в интернет выкладывать. Злоумышленники ничего полезного для взлома получить оттуда не смогут.
Если учетная запись админа скомпрометирована на сервере, то просто отсылаем его пароль на сервер злоумышленника. Даже не пароль, а приватный ключ, так как в нормальной конфигурации, доступ к учетной записи возможен только по ключу. Остается только дикий вариант с открытым терминалом, оставленным в кафе, пока админ пошел отлить.
Все обсуждают какие-то посты, а я не понимаю, о чем речь. Кто-нибудь, подскажите, пожалуйста, от какой именно статьи у автора так сильно подгорело. Чтобы никого не обижать, лучше в личку.
Меня некоторые темы тоже бесят, но я так сходу не назову авторов, которых хотел бы совсем скрыть.
Плюсую за inoreader.
Давайте называть вещи своими именами. Это не уязвимость, а бэкдор. Для обновления софта сервер на устройстве пользователя поднимать не требуется. Сервер был поднят для того, чтобы можно было на устройствах удаленно запускать произвольный код без согласия владельца. Просто кто-то этот бэкдор заметил.
Совершенно с вами согласен. Пару раз наблюдал от этой утилиты предложения, которые меня не устроили. Это важное уточнение. Прежде, чем создавать модуль, надо проревьюить рекомендации.
А не наоборот? Ведь коммутаторы не просто так держат у себя соответствие IP и MAC. Насколько я понимаю, за счет этого они отправляют трафик только в тот порт, где находится получатель, а не на все порты сразу. За счет этого и экономия.Если это выключить, лишнего трафика будет в разы больше.
Зачем? И так хорошо получилось.
alias sudo='sudo -A /tmp/askpass'Но способов на самом деле много.
alias sudo='sudo -A /tmp/askpass'
Далее, пароль наверняка не qwerty01, а посложнее. Значит, каждый раз пользователь его вводить не будет. sudo будет кэшировать введенный пароль и запрашивать снова только после определенного таймаута. По умолчанию это 5 минут.
Тогда сам пароль и не очень нужен. Просто подождем повышения привилегий и воспользуемся.
export PS1="\$(sudo -n whoami 2>/dev/null)$PS1"
Далее, если вы администрируете что-то серьезное, скорее всего, у вас целая инфраструктура имеется, серверов несколько, они бэкапятся, есть эталонный образ, из которого создаются новые сервера. Если вы пользуетесь паролями, то хэш вашего пароля очень много где будет лежать. Кто-то может получить доступ не к целевому серверу, а к какому-нибудь бэкапу, найти там /etc/shadow и начать его брутить на своих ресурсах.
Если же вы никогда не используете пароли, то можете образ своего сервера хоть в интернет выкладывать. Злоумышленники ничего полезного для взлома получить оттуда не смогут.