Пока это добровольно, как я понимаю, но с увеличением «цифровизации» потихоньку станет сначала обязательным, а потом и принудительным. Как например с тестами на ковид — их надо отмечать на госуслугах, значит надо иметь там верифицированный аккаунт — вот и обязаловка подъехала…
Недостатков у такой системы с точки зрения безопасности намного больше достоинств. Впору думать о лозунге «make Orwell fiction again».
1. Нет контроля владения. Раньше владельцем бумажки были лично вы и лично вы отвечали за нее. Теперь непонятно кто отвечает. Если какая-то контора что-то потеряет — я об этом как узнаю? Только в момент, когда документ потребуется? Да еще меня же заставят заново проходить все круги ада, чтобы получить новую запись? Я уже это проходил на электронной карте — ее в электронном виде теряли дважды (!), спасибо больше не надо. Доказать разумеется ничего нельзя, бумажек же больше нет.
2. Нет контроля подделок со стороны гос-ва. Ну тут тоже все ясно — судится с гос-вом если что намного сложнее и результат совсем не очевиден. Вот пример: на госуслугах в момент подключения паспорта проходит проверка и по ее результатам в дате выдачи исправляются якобы ошибки, после чего этот паспорт не проходит никаких проверок вообще. И делай что хочешь: госуслуги, говорят что проверка не их, МВД говорит, что паспорт в порядке. Если это просто баг системы — кто за это отвечает? никто…
3. Риск массового злоупотребления. Когда у вас одна бумажка, вы как правило можете создать проблемы только себе, когда у вас доступ к куче записей — вы можете создать чудовищные проблемы куче народа. Опять же ответственность за это очень размыта, якобы гос-во будет судиться с конкретным злодеем с неясными перспективами. Пандемия уже показала массовые игры гос-ва с электронными пропусками и картами. Хочется, чтобы «слоники побегали» — заблокируем им нафиг все пропуска.
4. Обязательные утечки и пробив. Тут без комментариев. Имея такую базу трудно удержаться от соблазна при нашей-то чудовищной экономической ситуации. Собственно, сейчас как только что-то «цифруют» это либо утекает, либо становится возможен пробив. Исключений почти нет, вопрос в цене.
5. Возможность давления со стороны гос-ва на отдельного человека. Ну это сочетание возможностей 1, 2 и 3 только для кого-то конкретно. Добро пожаловать в список изгоев (инагентов, нежелательных, терр. и т.д.), после занесения в него, выйти оттуда почти нереально, а жизнь человека ломается навсегда. Тут и до социального рейтинга недалеко. А уж какой контроль над неугодными открывается-то, ради только этого стоит внедрять это принудительно и как можно быстрее!
Как итог — конечно принудительно внедрят, потому что схема очень непродумана и выгодна для гос-ва, а не для людей (ведь даже отказаться нельзя). Очередной шаг закручивания гаек…
Классическая путаница между открытым (в т.ч. ремонтопригодным) и безопасным. Эти вещи связаны, но не следуют друг из друга. Даже полностью открытый в части исходников и железа ноутбук не стал бы от этого безопасным.
При таком подходе, при подорожании «серого» ТО, безопасность только ухудшится. Потому что теперь у владельца останется меньше денег на обслуживание, а т.к. их обычно и изначально немного, то финал немного предсказуем — раз дорожают бумажки, меньше тратится на фактическую безопасность.
Итого — безопасность в лучшем случае не изменится, в худшем ухудшится. Хотя, учитывая абсолютно утопическую стратегию «Россия — без ДТП» — это не удивительно.
Но можно посмотреть на вопрос немного шире. Например, числа с плавающей точкой хранятся не в двоично-дополнительном коде, но тем не менее операции над ними иногда делают, приводя их к целочисленным ради быстродействия, поэтому помнить о других возможных представлениях надо.
Мир софта вообще стоит особняком в системе всех взаимоотношений. Софтописатели обычно никогда ни за что не отвечают, что порождает тотальную безнаказанность (кроме случаев, типа софта для медицины, самолетов, ракет и т.п.). С другой стороны софт очень сложен и очень бурно развивается, и если с него требовать все соответствия — это просто убьёт отрасль на корню. Сейчас никто, даже самые богатые конторы, не могут обеспечить «безбажность» своего софта, хотя в принципе они все в этом заинтересованы, ведь баги и дыры продают на черном рынке и используют против их репутации и доходов. Но вообще, по опыту у вменяемых производителей есть программы реакции на баги, потому что они ценят остатки своей репутации, просто бывает трудно донести баг до них, если он не приводит к проблемам с безопасностью, например, просто неверная работа. Обычно 90 дней (ну или сколько договориться) вытекает из желания производителя разобраться и починить что-то, даже если исследователь уже всё разжевал, на деле всё может оказаться сильно сложнее, да и даже банальная пересборка софта бывает крайне проблематична. Я уж не говорю про баги в «железе», которые затыкают софтом.
Вот компания открыла в сети сервис. Ни одного россиянина насильно не заставляли его использовать и передавать туда какие-либо данные, все строго добровольно. Однако, по логике РКН, если хоть один россиянин пользуется хоть каким-нибудь сервисом любой юрисдикции, с этого сервиса надо требовать соблюдения всех законов РФ (ну или запретить). Л — логика…
Тут главный вопрос — а что вы собираетесь делать в win95? Или это просто попытка продлить жизнь давно уже неподдерживаемой системе? Если да, то лучше взять что-нибудь архитектурно по-приятнее, да хоть win2k ту же. Все же win9x сильно ограничена даже SMP там нет.
Хм, уж если пытаться оживлять старую систему, то ожидалось хотя бы увидеть советы о том, как ею действительно пользоваться. Всякие там KernelEx, Fix95CPU, как поставить драйвера для VESA и IDE. Какие официальные и неофициальные обновления выходили для системы, ну и т.д. Ну чтобы в системе можно было бы хоть что-то полезное делать.
Выглядит, как какое-то нытье, то одно не получилось, то другое не пошло.
Хотите вернуться во времена DOS 80-х годов? Там вообще не было ни одной перечисленной проблемы.
Да, софт и железо многократно усложнились. Да, количество ошибок по-прежнему большое (почему — это отдельный вопрос). Но сами технологии тоже шагнули далеко вперед и теперь вы легко делаете то, о чем раньше даже и думать не могли.
Судя по бурному обсуждению этой и подобных тем, нужно писать лонгрид про безопасность относительно современных телефонов, ну или некоторый чек-лист по безопасности что-ли. Аспектов куча, даже в комментариях люди подняли ряд важных замечаний (легко найти по плюсам).
Сам пароль разумеется не просто 1234, подобрать его легко вряд ли удастся, разве что найдется брешь на сайте опсоса, но тогда можно и авторизацию через смс обойти наверняка. После входа в ЛК приходит смс на телефон, так что если телефон при вас, то попытки входа вы увидите.
Способов восстановления пароля через секретный вопрос нет, правда есть обходной путь все равно войти через смс и установить новый пароль (если забыл его), но тут надежда на блокировку телефона и пин-код симки, если телефон утерян.
Способ не универсален, я же писал что это просто дополнительная страховка.
In general, a RAM image must ‘‘somehow’’ be obtained for our attack
Ну это атака через эксплойты всякие, здесь вам и заблокированный загрузчик не поможет, на нем тоже эксплойты отработают на ура. А уж если хакеры настолько круты, что могут снять образ памяти на ходу, так они у вас и мастер-ключ уведут с тем же успехом.
Смотря что вы хотите, если возможность заблокировать со своим ключом, то: Google Pixel, Oneplus, в комментах еще яндекс.телефон писали, но я про него не знаю.
Так фишка в том, что меня именно эта техподдержка и посылает. Проверка паспорта — не их зона ответственности.
А поделитесь примером правильной реализации у нас в стране.
Разве лог обращений хоть где-то сейчас виден простому человеку? Разве такая возможность хотя бы планируется для внедрения?
1. Нет контроля владения. Раньше владельцем бумажки были лично вы и лично вы отвечали за нее. Теперь непонятно кто отвечает. Если какая-то контора что-то потеряет — я об этом как узнаю? Только в момент, когда документ потребуется? Да еще меня же заставят заново проходить все круги ада, чтобы получить новую запись? Я уже это проходил на электронной карте — ее в электронном виде теряли дважды (!), спасибо больше не надо. Доказать разумеется ничего нельзя, бумажек же больше нет.
2. Нет контроля подделок со стороны гос-ва. Ну тут тоже все ясно — судится с гос-вом если что намного сложнее и результат совсем не очевиден. Вот пример: на госуслугах в момент подключения паспорта проходит проверка и по ее результатам в дате выдачи исправляются якобы ошибки, после чего этот паспорт не проходит никаких проверок вообще. И делай что хочешь: госуслуги, говорят что проверка не их, МВД говорит, что паспорт в порядке. Если это просто баг системы — кто за это отвечает? никто…
3. Риск массового злоупотребления. Когда у вас одна бумажка, вы как правило можете создать проблемы только себе, когда у вас доступ к куче записей — вы можете создать чудовищные проблемы куче народа. Опять же ответственность за это очень размыта, якобы гос-во будет судиться с конкретным злодеем с неясными перспективами. Пандемия уже показала массовые игры гос-ва с электронными пропусками и картами. Хочется, чтобы «слоники побегали» — заблокируем им нафиг все пропуска.
4. Обязательные утечки и пробив. Тут без комментариев. Имея такую базу трудно удержаться от соблазна при нашей-то чудовищной экономической ситуации. Собственно, сейчас как только что-то «цифруют» это либо утекает, либо становится возможен пробив. Исключений почти нет, вопрос в цене.
5. Возможность давления со стороны гос-ва на отдельного человека. Ну это сочетание возможностей 1, 2 и 3 только для кого-то конкретно. Добро пожаловать в список изгоев (инагентов, нежелательных, терр. и т.д.), после занесения в него, выйти оттуда почти нереально, а жизнь человека ломается навсегда. Тут и до социального рейтинга недалеко. А уж какой контроль над неугодными открывается-то, ради только этого стоит внедрять это принудительно и как можно быстрее!
Как итог — конечно принудительно внедрят, потому что схема очень непродумана и выгодна для гос-ва, а не для людей (ведь даже отказаться нельзя). Очередной шаг закручивания гаек…
Итого — безопасность в лучшем случае не изменится, в худшем ухудшится. Хотя, учитывая абсолютно утопическую стратегию «Россия — без ДТП» — это не удивительно.
Но можно посмотреть на вопрос немного шире. Например, числа с плавающей точкой хранятся не в двоично-дополнительном коде, но тем не менее операции над ними иногда делают, приводя их к целочисленным ради быстродействия, поэтому помнить о других возможных представлениях надо.
Вот скажем «классический пример»:
когда сработают ветки case 1 и case 2?
p.s. я думаю «эффективные менеджеры» когда-нибудь все же наиграются в рюшечки и вернутся к старым добрым наглядным вещам… и история пойдет по кругу :)
Хотите вернуться во времена DOS 80-х годов? Там вообще не было ни одной перечисленной проблемы.
Да, софт и железо многократно усложнились. Да, количество ошибок по-прежнему большое (почему — это отдельный вопрос). Но сами технологии тоже шагнули далеко вперед и теперь вы легко делаете то, о чем раньше даже и думать не могли.
Способов восстановления пароля через секретный вопрос нет, правда есть обходной путь все равно войти через смс и установить новый пароль (если забыл его), но тут надежда на блокировку телефона и пин-код симки, если телефон утерян.
Способ не универсален, я же писал что это просто дополнительная страховка.
Ну это атака через эксплойты всякие, здесь вам и заблокированный загрузчик не поможет, на нем тоже эксплойты отработают на ура. А уж если хакеры настолько круты, что могут снять образ памяти на ходу, так они у вас и мастер-ключ уведут с тем же успехом.
Так отключайте adb, об этом даже тут писали уже. Запрещайте подключение по usb.
Это зависит от производителя и способа разблокировки. Есть модели, где шифрование сохраняется.