Да, синьор, это бытовая угроза, и на 9 из 10 я никак не настаиваю:) Вроде ерунда, но как-то неприятно. Примерно как если бы у меня батон хлеба подрезали из авоськи…
Синьор, само собой, клиент должен открыть соединение SSL на плохой сайт, но я уже чуть выше описал, что для этого совершенно необязательно заходить на этот сайт; именно таким образом сейчас в основном и проникают в корпоративные сети — не через дыры в firewall, а через уязвимости в браузерах и плагинах, которые за этим firewall прячутся. Да, это не так вкусно, как потрясти один сервер платёжной системы, угроза размазана. Но умножьте на количество клиентских устройств и общее время экспонирования (до нескольких лет). Поэтому сейчас потрошат серверы, а через несколько месяцев, наверное, и займутся клиентами. Пока есть время запатчить всё, что нужно, и даже (при острой необходимости) купить новый смартфон:)
основная угроза своим данным — это сам пользователь; если телек кроме своих прошивок ничего не качает, вряд ли кто-то будет Вам устраивать персональную MITM-атаку. На Youtube с телека тоже не заходите, и их ломают, но относительно быстро чинят. Хотя если кто-то ломанёт DNS с серверами обновления Philips, вот тогда веселуха может начаться, но долгой её опять же не дадут сделать. Качайте фильмы чем-нибудь пропатченным и спите спокойно.
Side note: если представить себе любой современный терминал доступа в Интернет, нафаршированный браузерами, флэшами, Java, всяческими читалками и смотрелками — это гигантские объёмы почти никем непроверенного кода. Т.е. от всех ужасов киберпространства пользователя отделяет вся эта толстая, пёстрая, но весьма дырявая компания, обновления для которой выходят дай Бог через неделю-две после публикации уязвимости.
Просто теперь сюда добавился ещё и трудяга SSL, который одной своею особо тяжкой уязвимостью перечеркнул годы относительно спокойной работы…
Ах, это… ну тут всё просто, один из вариантов — ломануть Ваш любимый сайт с бесплатным видео и инжектировать туда невидимый iframe, обычная SQL-инъекция. Разработчикам ведь некогда тестировать все продукты на уязвимости, особенно бесплатные, живущие за счет вёдер рекламы в обмен на халяву. А некоторые сайты настолько погано сделаны, что там даже ломать ничего не надо. Проектная спешка, так сказать. Дальше рассказывать?
Все упомянутые уязвимые приложения по умолчанию в большинстве дистрибутивов собраны со своей копией OpenSSL?
вот это и надо выяснять в каждом случае, не так ли?
Полагаю, Роб просто дал несколько примеров страшилок, а они легко могут быть собраны и статикой, и динамикой.
Нехороший сайт сможет выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком «умного» телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать страницы и при этом обрабатывающее конфиденциальные данные — цель. Ваш домашний Linux тоже можно выпотрошить. Но сначала пройдутся по всему, что так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся, будут красть пароли от всего подряд. Хуже всего дела у умных телевизоров и некоторых моделей смартфонов, там обновлений можно ждать годами и не дождаться никогда.
Бизнесу грозит потрошение памяти веб-шлюзов, и никакие фаерволы от этой напасти не спасают. Но тут вендоры отреагируют быстрее.
Веселее всего, наверное, удостоверяющим центрам, штампующим новые сертификаты взамен скомпрометированных. На штамп небось кулер уже пора ставить. Товар первой необходимости, вот бизнес сейчас у кого-то попрёт…
Прошу прощения у всех, но в силу серьёзности проблемы мне придётся повторить этот комментарий в других топиках про HeartBleed на хабре, если там эта тема не упомянута. Берегите себя.
Отличный баг! Да, это старый релиз 2013, но у кого-то эта версия может использоваться. Будьте внимательны!
Извините, не могу удержаться:
Renaming the SMB share (server) name removes all the share contents. NAS4Free version — 9.1.0.1 2013-08-18 installed to dedicated hard drive.
Steps to reproduce:
1. Create ZFS Raid1 array.
2. Enable CIFS/SMB, fill Samba server name and use created ZFS volume as Samba share.
3. Copy noticeable amount of test data over the network to the created Samba share.
Check the monitor — it reports some drive space is in use.
Check the Samba mount point contents (use console) — copied files are in place.
4. Go to CIFS/SMB settings and change the Samba server name and workgroup. Save changes
5. At this point Samba share appears to be re-created from scratch. All the contents of the previous share is lost without any warning.
Check the mount point contents with console one more time — it is now empty.
Прошу прощения у благородных донов за влезание в переписку, но напомню, что у нас тут с вами из измерительных приборов только SMART-монитор со счетчиком ошибок на цифровом тракте, и там мы не то что влияние индуктивности, так даже откровенные дефекты кабеля не всегда увидим. А физика уважает Эксперимент, со всеми вытекающими.
поэтому предлагаю брейк :)
хотя всё это очень увлекательно, с удовольствием читаю ваши комментарии
лично у меня тоже больше именно механических опасений;
да и вид местами побелевшей от перегибов красной оболочки как-то не радует глаз
моя антимакаронная кампания смотрится не так кучеряво, но спокойнее;
только однажды, похоже, вырвало питание из самого верхнего диска (переусердствовал со жгутом), дальше сработала телеметрия, поход магазин, и т.д., а диск по тестам вполне нормальный оказался:) ну да ладно, много — не мало
в своей зоне комфорта (обложившись менеджерами) и без постоянной практики всё это быстро ржавеет, а отлаживать что-то на голом боевом сервере я пожелаю разве что врагу, хотя сам это вынужден делать. К счастью, нечасто.
+1.
у меня на работе задача, каждый день делать бэкапы… Я в первый же день работы потратил полчаса, и написал скрипт...
Скриптовой язык CLI, как пластилин или эпоксидная смола, нужен для склейки более тугих и технологичных, но узкоспециализированных компонентов ОС. Я в свое время, когда переключался с нескольких лет непрерывного Линукса на винду, сразу понял, что возможностей этого COMMAND.COM 2.0 мне хватит разве что на склейку двух картонок. Поэтому взял Windows Script Host (ха-ха, прямо за мной коммент был) в варианте JavaScript и написал обёртку для NTBACKUP, которая организовывала ротацию файлов (это когда можно поднять не только последний, но еще и пред-пред-предпоследний вариант, например). Причем сделал её на ООП (не смейтесь, в JS есть имитация классов), и NTBACKUP можно было заменять при желании на архиватор, шифровальщик и т.д. Сейчас для бэкапа рекомендовал бы обернуть какой-нибудь бесплатный 7zip, а если нужна реальная защита (или хранение в облаке), то еще и добавил туда вызовы GNUPG на асимметричном ключе… Чёрт, спасибо за идею, может быть сложу пост на эту тему, если откопаю свою скриптину.
Правила русского языка я уже не помню много лет, пунктуацию вообще никогда хорошо не знал. Ставя каждую запятую, я всегда сомневаюсь, а нужна ли она. Пишу интуитивно, виной всему тонны прочитанных книг в детстве. А подрезаю приложения из врожденной лени.
Предлагаете, корректором работать? Писать статьи с художественными элементами, не мое. Я за всю учебу в школе, ни одного сочинения не смог написать сам.
У Вас признаки явления, называемого в народе «врожденная грамотность». Нет у меня ни полномочий, ни желания Вам на дверь показывать. Подумайте, чем Вы так зацепили хабранарод и выскочили в суточный топ: технической подкованностью? Полнотой информации? Её актуальностью? Вряд ли… Вот русским языком своим и зацепили. Человек — это сложное устройство, подчиняющееся определенным законам: ими пользуются как хорошие, так и плохие люди. На хабре поощряется светлая сторона. Можно быть технарём, можно быть писателем, а лучше и тем, и тем. Раскройте какую-нибудь тему, м.б. эту же, но только следите, чтобы наш айтишный стакан был всегда полон не только хорошим русским языком, но и хорошей информацией…
раз уж решили откопать cmd, то он неотделим от командных файлов, как карпускулярно-волновая теория, и все тонкости imho только для скриптов нужны; для обычной жизни понаделали уже столько файловых менеджеров, что голая командная строка в винде практически мертва. Лично я считаю ее убогой, теперь уже навсегда.
с учетом паталогической привязанности виндов к расширениям файла, считаю нераскрытой тему тильда-переменных
Заковыристые for — это тонкости.
Те же упомянутые тильды — может быть, но не настаиваю.
Заковычивание и расковычивание длинных имен — вероятно тоже тонкости (увы, из них состоит большинство наших данных, и не очень продуманные скрипты спотыкаются; я это считаю самым идиотским механизмом, когда-либо придуманным для командной строки, но M$, как известно, не использует стандарты, он их создает).
А ещё: запуск и синхронизация start /wait, call, какой-нибудь запрос Yes/No от юзера…
Но при всём уважении, большей части Вашего поста скорее подойдет название «Возможности командной строки Windows, без которых можно прожить еще не один релиз»…
лично я старомоден, предпочитаю FAR Manager и немного Cygwin, хотя пора давно PowerShell освоить, да все не надо
а русский язык у Вас вроде неплох, дружище, хотя порой чуть подрезаете предложения; так загрузите его достойной работой!
всех благ
PS
Если Вы хотели заголовком сюда натянуть тонкостей от других коллег, то удалось :)
habrahabr.ru/post/219335/#comment_7494637
Side note: если представить себе любой современный терминал доступа в Интернет, нафаршированный браузерами, флэшами, Java, всяческими читалками и смотрелками — это гигантские объёмы почти никем непроверенного кода. Т.е. от всех ужасов киберпространства пользователя отделяет вся эта толстая, пёстрая, но весьма дырявая компания, обновления для которой выходят дай Бог через неделю-две после публикации уязвимости.
Просто теперь сюда добавился ещё и трудяга SSL, который одной своею особо тяжкой уязвимостью перечеркнул годы относительно спокойной работы…
сейчас пост подправлю, чтобы выводило с «умного» телевизора, спасибо
вот это и надо выяснять в каждом случае, не так ли?
Полагаю, Роб просто дал несколько примеров страшилок, а они легко могут быть собраны и статикой, и динамикой.
смысл в том, что все приложения зафиксят, вот только далеко не везде
habrahabr.ru/post/219335/
isc.sans.edu/forums/diary/The+Other+Side+of+Heartbleed+-+Client+Vulnerabilities/17945
Получается, что кроме АНБ из наших с вами устройств смогут забирать данные всякие проходимцы средней руки.
Нехороший сайт сможет выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком «умного» телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать страницы и при этом обрабатывающее конфиденциальные данные — цель. Ваш домашний Linux тоже можно выпотрошить. Но сначала пройдутся по всему, что так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся, будут красть пароли от всего подряд. Хуже всего дела у умных телевизоров и некоторых моделей смартфонов, там обновлений можно ждать годами и не дождаться никогда.
Бизнесу грозит потрошение памяти веб-шлюзов, и никакие фаерволы от этой напасти не спасают. Но тут вендоры отреагируют быстрее.
Веселее всего, наверное, удостоверяющим центрам, штампующим новые сертификаты взамен скомпрометированных. На штамп небось кулер уже пора ставить. Товар первой необходимости, вот бизнес сейчас у кого-то попрёт…
Прошу прощения у всех, но в силу серьёзности проблемы мне придётся повторить этот комментарий в других топиках про HeartBleed на хабре, если там эта тема не упомянута. Берегите себя.
Извините, не могу удержаться:
каково, а?
поэтому предлагаю брейк :)
хотя всё это очень увлекательно, с удовольствием читаю ваши комментарии
всех благ
да и вид местами побелевшей от перегибов красной оболочки как-то не радует глаз
моя антимакаронная кампания смотрится не так кучеряво, но спокойнее;
только однажды, похоже, вырвало питание из самого верхнего диска (переусердствовал со жгутом), дальше сработала телеметрия, поход магазин, и т.д., а диск по тестам вполне нормальный оказался:) ну да ладно, много — не мало
и еще потому что 14400 мне больше нравится:)
ВСЕМ: продлено:)
+1.
У Вас признаки явления, называемого в народе «врожденная грамотность». Нет у меня ни полномочий, ни желания Вам на дверь показывать. Подумайте, чем Вы так зацепили хабранарод и выскочили в суточный топ: технической подкованностью? Полнотой информации? Её актуальностью? Вряд ли… Вот русским языком своим и зацепили. Человек — это сложное устройство, подчиняющееся определенным законам: ими пользуются как хорошие, так и плохие люди. На хабре поощряется светлая сторона. Можно быть технарём, можно быть писателем, а лучше и тем, и тем. Раскройте какую-нибудь тему, м.б. эту же, но только следите, чтобы наш айтишный стакан был всегда полон не только хорошим русским языком, но и хорошей информацией…
удачи, коллега
PS
А еще сыграйте со мной в игру: habrahabr.ru/post/218387/
хабр, полагаю, сегодня слишком занят обновлением своих SSL-библиотек, все основные силы брошены туда;)
с учетом паталогической привязанности виндов к расширениям файла, считаю нераскрытой тему тильда-переменных
там их ещё с дюжину: www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/percent.mspx?mfr=true
use case: пакетное переименование файлов или операции преобразования форматов какой-нибудь утилитой командной строки
Заковыристые
for— это тонкости.Те же упомянутые тильды — может быть, но не настаиваю.
Заковычивание и расковычивание длинных имен — вероятно тоже тонкости (увы, из них состоит большинство наших данных, и не очень продуманные скрипты спотыкаются; я это считаю самым идиотским механизмом, когда-либо придуманным для командной строки, но M$, как известно, не использует стандарты, он их создает).
А ещё: запуск и синхронизация
start /wait,call, какой-нибудь запрос Yes/No от юзера…Но при всём уважении, большей части Вашего поста скорее подойдет название «Возможности командной строки Windows, без которых можно прожить еще не один релиз»…
лично я старомоден, предпочитаю FAR Manager и немного Cygwin, хотя пора давно PowerShell освоить, да все не надо
а русский язык у Вас вроде неплох, дружище, хотя порой чуть подрезаете предложения; так загрузите его достойной работой!
всех благ
PS
Если Вы хотели заголовком сюда натянуть тонкостей от других коллег, то удалось :)