Если проблема с использованием JSON.stringify(obj) заключается только в том, что это некрасиво, то её можно решить с помощью JSON.parse(JSON.stringify(obj))
Каждый интерпретирует информацию субъективно, ваша предвзятость ограничивает вас в осмыслении моих слов.
Не совсем понял, Вы пишите мне «Не нужно сравнивать мягкое с красным» даже не понимая опасность уязвимости, но при этом думаете, что предвзятость ограничивает меня в осмыслении Ваших слов? В таком случае, быть может слова «учёные насилуют журналистов» и «всякие статьи на тему мол можно хакунть пациента и дать летальный шок — бред» должны доказать Ваши обширные знания в этой области?
2. Да, достаточно, за ссылку спасибо, не думал что обычная просьба вызовет у вас столько негатива.
Почему Вы считаете, что это вызвало у меня какой-либо негатив? Для меня это лишь констатация фактов. По крайней мере, неспособность эксперта найти ответы на собственные простые вопросы мне кажется странной (особенно, если это эксперт по защите медицинских устройств). Мне интересно другое, откуда обрушилось «столько негатива», что даже пропустили самое главное: оказывается, кардиостимуляторы действительно могут дать летальный шок. Хотя могу Вас понять, это ведь «бред».
3. Сочувствую вам, если вы пришли к таким заключениям.
Если уж сочувствуйте мне, прошу избавить меня от мучений и просветить меня, как же называется действие человека, который сначала утверждает одно, а потом под давлением достоверных фактов резко меняет своё мнение и говорит то, что противоречит его собственным изначальным словам?
Поскольку теперь Вы больше не защищаете Ваши изначальные доводы, а перешли к обсуждению моей личности, говорит лишь о том, что даже если поняли, что я был прав с самого начала, Вы явно считаете это неприемлемым и готовы пойти другим путём, чтобы доказать свой профессионализм. Учитывая это, я решил покинуть нашу очаровательную беседу. Надеюсь, мне удалось поделиться хоть какой-нибудь полезной информацией.
Увидев Ваши расчёты, вспомнил этот пост. Точнее, эту картинку, где в правом нижнем углу нарисован массив из 225 двухметровых антенн (по словам автора, тогда было только 10 антенн).
Учитывая размер территории, думаю, они могут расширить массив без каких-либо проблем. Но из-за отсутствия знаний в этой области, не уверен, что они могут использовать эту станцию как глушилку. Поэтому был бы благодарен услышать Ваше мнение или тех, кто разбирается в этой теме. То есть, технически, возможно ли использовать подобные станции как глушилку? И если да, каков радиус действия?
Дистанционное воздействие != дать летальный шок. Не нужно сравнивать мягкое с красным.
И снова нелепые высказывания, доказывающие, что у Вас ограниченные знания в этой сфере. Если уязвимость в инсулиновой помпе позволяет ввести смертельную дозу, разве это не достаточно для того чтобы насторожить Вас, или по крайней мере подсказать что Ваше первоначальное утверждение является ложным? Получить удалённый контроль над кардиостимулятором означает, что устройство практически принадлежит злоумышленнику, и как там написано: «He had said one technique could kill a man from 30 feet (nine metres) away».
Про McAfee кстати сказано тоже что и я приводил в качестве контраргумента — что уязвимо всё, в т.ч. мед изделия.
Нет уважаемый, это не контраргумент, а всем известный приём «переобуваться в воздухе». Если хотите привести контраргументы, придерживайтесь своего первоначального мнения: высмеивать тех, кто находит подобные уязвимости, и хвалить уважающие себя компании.
Я ничего не перепутал, а специально дал ссылку именно на ту новость, поскольку именно там видно, что на самом деле происходит в реальном мире (хотя чуть выше я написал о «дистанционном воздействии на кардиостимуляторы с расстояния до 9 метров»).
К тому же, Вы говорите, что «учёные насилуют журналистов» и «всякие статьи на тему мол можно хакунть пациента и дать летальный шок — бред», а специалист из McAfee говорит, что «компании безрассудны, если считают, что их устройства неуязвимы».
Моя точка зрения отличается от вашей ровно также как и в начале нашей дискуссии, не стоит приписывать мне какие-то «понимания и копирования».
Сначала Вы пишите, что «учёные насилуют журналистов», «всякие статьи на тему мол можно хакунть пациента и дать летальный шок — бред», «нужен физический доступ к этим самым портам», «выпускает обновления прошивок», «ВСЮ! партию отзывают, со всего мира».
Я даю пруфы, где видно, что «Все устройства могут быть взломаны» и «Будет сложно вносить изменения, в том числе выпускать программные патчи».
После бессмысленных утверждений и попыток спора, в итоге Вы пишите, что «Взломать можно что угодно» и «быстро накатить хотфикс не выйдет в принципе».
FDA за пределами США не имеет полномочий, поэтому то что вы считаете принужденем к написанию патчей относится только к одной стране
«я говорил о двух конкретных случаях, когда видно, что они всё-таки не выпускают патчи добровольно как Вы утверждали ранее».
IP2Location обещает определить страну с вероятностью 98% для бесплатной версии и 99.5% для платной версии. MaxMind обещает более высокую точность — 99.8%.
Конечно, можно скинуть ещё пару процентов, но думаю для такого эксперимента это не столь критично.
1. Взломать можно что угодно, абсолютно защищённых систем нет.
2. Я описывал выше почему быстро накатить хотфикс не выйдет в принципе, PR тоже часть этого процесса.
Прекрасно! Теперь Вы не только поняли, но даже скопировали мысли, которые я хотел донести до Вас ещё с самого начала. Забавы ради, просто прочитайте мой первый комментарий.
3. Компании выпускают патчи не только под давлением
Согласно тем новостям именно FDA принудило их выпускать обновление. Конечно, это не означает, что это всегда так, но я говорил о двух конкретных случаях, когда видно, что они всё-таки не выпускают патчи добровольно как Вы утверждали ранее.
Спасибо, но не нужно «развеять мои иллюзии», поскольку я прекрасно знаю, что «любая коммерческая организация существует чтобы зарабатывать деньги».
Если уж так выразиться — это я хотел «развеять Ваши иллюзии», однако Вы пытаетесь втягивать меня в нелепый спор, когда уже сами признали, что с защитой не всё так хорошо, как Вы подумали изначально, пытаясь расставить точки над «i».
А разве if (memcmp(line, "SSH-", 4) == 0) не проверяет, что строка начинается с «SSH-» и если да, то line[0] = 'X'; заменяет первый символ на «X»? То есть, такая строка становится «XSH-».
В своём блоге автор приводит пример для веб-сервера и говорит, что решение «идеально подходит» для создания подобных ловушек. Если немного его поправить, думаю, для FTP тоже должно работать.
Если используется INPUT DROP, то атакующий видит FILTERED для всех портов, вне зависимости от того, открыт порт или нет. Используя REJECT, атакующий видит то же самое, только вместо FILTERED, отображается CLOSED. Однако есть проблема: REJECT, в отличии от DROP, не обрывает соединение, а всё же отвечает на запрос.
Учитывая то, что ни в одном из этих случаев атакующий не может знать, используется тот или иной порт на целевой машине, то правильнее всего использовать DROP, а не заставить машину отвечать на ненужные запросы.
Но ведь URL-адреса могут выглядеть по-разному (например, /?id=42'). И в случае с уязвимостями, не всегда нужно применить эксплойт, дабы узнать, если машина уязвима. Например, ответ от 3306 будет содержать номер версии MySQL и это достаточно, для того чтобы узнать, если машина уязвима или нет.
JSON.stringify(obj)заключается только в том, что это некрасиво, то её можно решить с помощьюJSON.parse(JSON.stringify(obj))Почему Вы считаете, что это вызвало у меня какой-либо негатив? Для меня это лишь констатация фактов. По крайней мере, неспособность эксперта найти ответы на собственные простые вопросы мне кажется странной (особенно, если это эксперт по защите медицинских устройств). Мне интересно другое, откуда обрушилось «столько негатива», что даже пропустили самое главное: оказывается, кардиостимуляторы действительно могут дать летальный шок. Хотя могу Вас понять, это ведь «бред».
Если уж сочувствуйте мне, прошу избавить меня от мучений и просветить меня, как же называется действие человека, который сначала утверждает одно, а потом под давлением достоверных фактов резко меняет своё мнение и говорит то, что противоречит его собственным изначальным словам?
Поскольку теперь Вы больше не защищаете Ваши изначальные доводы, а перешли к обсуждению моей личности, говорит лишь о том, что даже если поняли, что я был прав с самого начала, Вы явно считаете это неприемлемым и готовы пойти другим путём, чтобы доказать свой профессионализм. Учитывая это, я решил покинуть нашу очаровательную беседу. Надеюсь, мне удалось поделиться хоть какой-нибудь полезной информацией.
Учитывая размер территории, думаю, они могут расширить массив без каких-либо проблем. Но из-за отсутствия знаний в этой области, не уверен, что они могут использовать эту станцию как глушилку. Поэтому был бы благодарен услышать Ваше мнение или тех, кто разбирается в этой теме. То есть, технически, возможно ли использовать подобные станции как глушилку? И если да, каков радиус действия?
То есть, у Вас достаточно опыта и знаний для того чтобы расставить точки над «i», но не можете найти ссылку, которая находится перед Вашим комментарием? Ну, вот она. И чтобы не было вопросов, рекомендую ещё Дистанционное управление кардиостимулятором: разряд 830 вольт в сердце или Barnaby Jack Could Hack Your Pacemaker and Make Your Heart Explode.
Нет уважаемый, это не контраргумент, а всем известный приём «переобуваться в воздухе». Если хотите привести контраргументы, придерживайтесь своего первоначального мнения: высмеивать тех, кто находит подобные уязвимости, и хвалить уважающие себя компании.
К тому же, Вы говорите, что «учёные насилуют журналистов» и «всякие статьи на тему мол можно хакунть пациента и дать летальный шок — бред», а специалист из McAfee говорит, что «компании безрассудны, если считают, что их устройства неуязвимы».
«я говорил о двух конкретных случаях, когда видно, что они всё-таки не выпускают патчи добровольно как Вы утверждали ранее».
Конечно, можно скинуть ещё пару процентов, но думаю для такого эксперимента это не столь критично.
Согласно тем новостям именно FDA принудило их выпускать обновление. Конечно, это не означает, что это всегда так, но я говорил о двух конкретных случаях, когда видно, что они всё-таки не выпускают патчи добровольно как Вы утверждали ранее.
добровольновыпускают патчи только под давлением FDA.И да, когда кто-то принимает решение за двоих — это не компромисс.
Если уж так выразиться — это я хотел «развеять Ваши иллюзии», однако Вы пытаетесь втягивать меня в нелепый спор, когда уже сами признали, что с защитой не всё так хорошо, как Вы подумали изначально, пытаясь расставить точки над «i».
if (memcmp(line, "SSH-", 4) == 0)не проверяет, что строка начинается с «SSH-» и если да, тоline[0] = 'X';заменяет первый символ на «X»? То есть, такая строка становится «XSH-».INPUT DROP, то атакующий видитFILTEREDдля всех портов, вне зависимости от того, открыт порт или нет. ИспользуяREJECT, атакующий видит то же самое, только вместоFILTERED, отображаетсяCLOSED. Однако есть проблема:REJECT, в отличии отDROP, не обрывает соединение, а всё же отвечает на запрос.Учитывая то, что ни в одном из этих случаев атакующий не может знать, используется тот или иной порт на целевой машине, то правильнее всего использовать
DROP, а не заставить машину отвечать на ненужные запросы.INPUT DROP./?id=42'). И в случае с уязвимостями, не всегда нужно применить эксплойт, дабы узнать, если машина уязвима. Например, ответ от 3306 будет содержать номер версии MySQL и это достаточно, для того чтобы узнать, если машина уязвима или нет.