Комментарии 60
Дааа, Асус отличился :)
А у Samsung, например, автоматические редиректы с HTTPS на HTTP на seller.samsungapps.com. Плюс, пароли в GET-параметрах, да еще и ограничение сверху для пароля — не более 15-ти символов, что наводит на мысль о том, что они хранятся без хэширования, в открытом виде.
У самсунга, насколько я помню, вообще если дыра, то размером с Землю.
А у Samsung, например, автоматические редиректы с HTTPS на HTTP на seller.samsungapps.com. Плюс, пароли в GET-параметрах, да еще и ограничение сверху для пароля — не более 15-ти символов, что наводит на мысль о том, что они хранятся без хэширования, в открытом виде.
У самсунга, насколько я помню, вообще если дыра, то размером с Землю.
В сбербанк-онлайн — регистро-независимые пароли.
Побежал проверять и охренел: реально регистронезависимые.
Ну может они делают сперва uppercase, а потом хешируют.
У Blizzard (в их battle.net), кстати, тоже.
«Ваш пароль уже используется аккаунтом misha1994, пожалуйста придумайте другой пароль»
В одном из банков — вообще только цифровой пароль для онлайн-банка. Почему? Вот оф. ответ:
---8< — Сообщаем, что пароль для входа в систему *****-Онлайн может состоять только из цифр (от 6 до 20 символов).
Обращаем внимание, что техническая возможность создать пароль, состоящий из букв, отсутствует.
Данные требования связаны с удобством ввода данных при использовании мобильного приложения *****-Онлайн и мобильной версии.
--->8---
---8< — Сообщаем, что пароль для входа в систему *****-Онлайн может состоять только из цифр (от 6 до 20 символов).
Обращаем внимание, что техническая возможность создать пароль, состоящий из букв, отсутствует.
Данные требования связаны с удобством ввода данных при использовании мобильного приложения *****-Онлайн и мобильной версии.
--->8---
Давайте называть имена героев. Например чисто цифровой пароль с такими же ограничениями у ВТБ24.
ВТБ24 вообще забавный банк: если есть какая-то вилка на выполнение операции — она практически гарантированно будет выполнена по верхней границе: денежный перевод до 3 банковских дней == денежный перевод 3 банковских дня. Аналогично со штрафами ГИБДД (там до 7 дней). Ещё умиляет, что оплата штрафа из онлайн банка — комиссия 20 руб, а того же штрафа их же картой, но через портал госуслуг — 10 руб. Ну да это меня понесло :)
PS а никто не знает, как можно отказаться от "зарплатного" банка и выбрать свой? Какие потери могут быть с моей стороны? Неудобство для бухгалтерии понятно.
Тут два варианта — по закону «легко и непринуждённо», по факту — зависит от конторы, некоторые только через заявление (со сменой банка вместе с конторой).
Около полутора лет приняли ФЗ и поправки к ТК, которые позволяют работнику слать все утверждения «а у нас зарплатный проект в ОткрытиеБанк, вот вам договор на их карточку». Вы можете принести работодателю реквизиты любого вашего счета, и он будет обязан перечислять зарплату на него. А многие, оказывается, не знают.
Вот: «5 ноября 2014 года вступил в силу Закон № 333-ФЗ, закрепивший право работника выбирать банк для начисления зарплаты (зафиксировано изменение в ч.3 ст. 136 ТК РФ). Сотрудник для этого должен в письменной форме сообщить работодателю об изменении своих банковских реквизитов не позднее, чем за пять рабочих дней до ее выплаты. Частота смены банка для проведения безналичного расчета не ограничена.»
Вот: «5 ноября 2014 года вступил в силу Закон № 333-ФЗ, закрепивший право работника выбирать банк для начисления зарплаты (зафиксировано изменение в ч.3 ст. 136 ТК РФ). Сотрудник для этого должен в письменной форме сообщить работодателю об изменении своих банковских реквизитов не позднее, чем за пять рабочих дней до ее выплаты. Частота смены банка для проведения безналичного расчета не ограничена.»
У CreditEurope банка тоже только цифры доступны для пароля.
Да, именно этот банк. Не знаю как в плане безопасности, а вот по «забавности», думаю, Сбер опередит ВТБ24.
Написать заявление в бухгалтерию, по закону не могут отказать. Но, поскольку перевод денег в другой банк платный, вы этим разоряете работодателя на несколько десятков рублей с каждой зарплаты. С его стороны будет логично уменьшить вашу зарплату на соответствующую сумму.
У ВТБ24-Онлайн 2 пароля на вход — первый постоянный цифровой для идентификации пользователя, после идентификации (ввода первого пароля) на этой же страничке выбор на вход по одноразовому смс паролю или через генератор одноразовых паролей (отдельное устройство получаемое в банке). Правда второй пароль тоже цифровой и так же как и первый 6-ти символьный.
Да, но я не думаю, что наличие 2FA авторизации должно снижать безопасность первого шага.
Вас никто не ограничивает 6 символами в первом пароле…
А если это мобилка, то второй фактор бесполезен. Сбер вон до пальца додумался, а так всего 5 цифр на вход.
А если это мобилка, то второй фактор бесполезен. Сбер вон до пальца додумался, а так всего 5 цифр на вход.
Спасибо. Честно говоря не знал об этом. Действительно у ВТБ-24.Онлайн через приложение можно сменить пароль и ограничения на количество символов не обнаружено — 16-ти символьный пароль проглотили без проблем. Палец кстати тем более не панацея — как раз наоборот у датчика пальцев больше векторов атаки.
Если я не ошибаюсь, то у всей Европейской BNP Paribas Group — тоже только цифровые пароли
Давайте называть имена героев.
Окей. В тему о безопасности: Сбербанк в этом году убрал из двухфакторной авторизации возможность входа по одноразовым паролям, печатаемым банкоматом. Оставили лишь вход по одноразовому паролю, присылаемому в SMS. Если раньше злоумышленнику нужно было кроме основного логина-пароля украсть ещё и мою карту, чтобы распечатать себе пароли, то теперь ему достаточно уболтать девочку в салоне оператора на перевыпуск SIM-карты. В последние годы масштаб таких атак набирает обороты, поскольку по липовым доверенностям симку перевыпускают без проблем, а иногда и вовсе без всяких документов (помню случай, когда сам сотрудник оператора был «в доле»).
Прикрутить возможность входа через пароли, генерируемые FreeOTP/Google Authentificator? Не, не слышали, да и вообще, «клиентам это не нужно, слишком сложно».
Как писал выше, у сбера есть палец, но всё-равно не надёжно. А вот от перевыпуска СИМ сбер защищён. Мне пришла СМС, что симка заменена и фиг тебе, а не пароль. Неси анализы, будем сверять.
Вот насчёт защиты от перевыпуска это вопрос. В комментариях люди отписывались, что даже у тех банков, у которых эта защита есть, она почему-то работает не для всех. У Сбера её, на тот момент, не было, хорошо, если они подтянулись.
У банка Открытие в пароле могут быть только цифры, при чем ровно 6 символов (ни больше и ни меньше).
При этом безопасность они повышают таким кейсом: Если кто-то ввел 3 раза неправильный пароль от аккаунта, то аккаунт блокируется. Чтобы разблокировать, надо ехать в офис с паспортом.
При этом безопасность они повышают таким кейсом: Если кто-то ввел 3 раза неправильный пароль от аккаунта, то аккаунт блокируется. Чтобы разблокировать, надо ехать в офис с паспортом.
В YaFF старых версий было такое, пришёл в ужас, обновили версию — стали нормальные, но взвыли пользователи «пароль не подходит». Половина вводила при регистрации sLoZnIjPaRoL123, а набирали на входе уже давно без учёта регистра. Пришлось патчить, чтобы дыра была в безопасности (начальство настояло на хождении на поводу у пользователей).
*чайник*
Этот баг работает для всех операционных систем и/или независимо от них? В логах видны различные варинты винды, а что с линуксом/юниксом? Тоже самое?
*/чайник*
Этот баг работает для всех операционных систем и/или независимо от них? В логах видны различные варинты винды, а что с линуксом/юниксом? Тоже самое?
*/чайник*
Именно по этому после покупки надо ставить linux :)
А asus вообще странный. Сам являюсь обладателем их бука с родной 7-кой. В один прекрасный момент система накрылась (не помню уже что там было).
Ок, нет проблем, у нас есть раздел восстановления. А вот фиг. С него она ставиться отказалась намертво. Грузится и ничего не делает.
Долго пробовал разные мануалы, копирование раздела, распаковку, разную форму бубнов, но в итоге забил и установил другую 7-ку.
Так после установки комплекта дров некоторые софтины асуса (которые идут в общем комплекте) не грузятся обосновывая это тем, что работают только на асусе. Не то, чтобы они были необходимы (скорее всё равно их удалять бы пришлось), но сам факт повеселил.
А asus вообще странный. Сам являюсь обладателем их бука с родной 7-кой. В один прекрасный момент система накрылась (не помню уже что там было).
Ок, нет проблем, у нас есть раздел восстановления. А вот фиг. С него она ставиться отказалась намертво. Грузится и ничего не делает.
Долго пробовал разные мануалы, копирование раздела, распаковку, разную форму бубнов, но в итоге забил и установил другую 7-ку.
Так после установки комплекта дров некоторые софтины асуса (которые идут в общем комплекте) не грузятся обосновывая это тем, что работают только на асусе. Не то, чтобы они были необходимы (скорее всё равно их удалять бы пришлось), но сам факт повеселил.
А вы со своим серийником и OEM-сертификатом активировали? Вполне возможно, что софт проверяет платформу по версии винды.
Про ОЕМ сертификат не в курсе, разве серийника недостаточно?
Серийник с наклейки, вроде, подошел. Хотя врать не буду, не помню, это давно было. Версию поставил ту же. Вообще проверять железо по версии системы — странное решение. Система обновилась и всё, каюк? Вроде из биоса можно получить название модель материнки, что вында и делает. Почему нельзя просто его проверить?
Серийник с наклейки, вроде, подошел. Хотя врать не буду, не помню, это давно было. Версию поставил ту же. Вообще проверять железо по версии системы — странное решение. Система обновилась и всё, каюк? Вроде из биоса можно получить название модель материнки, что вында и делает. Почему нельзя просто его проверить?
Я не в курсе, как оно проверяется, просто предположил.
Для активации брэндированной OEM-версии семёрки нужен маркер в биосе, сертификат и серийник. Маркер, обычно, никуда не девается, а вот сертификат, если это не дистрибутив производителя, нужно ставить вручную после установки системы. Популярный eXtreme loader умеет определять наличие маркера и при автоматической активации ставит не загрузчик, а подходящие сертификат и ключ SLP.
Брэндированная — это когда на наклейке помимо редакции винды указан производитель комрьютера — ASUS, Dell, Ulmart…
Для активации брэндированной OEM-версии семёрки нужен маркер в биосе, сертификат и серийник. Маркер, обычно, никуда не девается, а вот сертификат, если это не дистрибутив производителя, нужно ставить вручную после установки системы. Популярный eXtreme loader умеет определять наличие маркера и при автоматической активации ставит не загрузчик, а подходящие сертификат и ключ SLP.
Брэндированная — это когда на наклейке помимо редакции винды указан производитель комрьютера — ASUS, Dell, Ulmart…
Нафига сертификат если маркер уже есть? Странные люди. Если кто-то сумел подделать маркер, то чем сертификат поможет?
На наклейке, вроде, даже модель была указана (нет сейчас его под рукой).
Т.е. если сети на нём нет — достать этот сертификат уже никак? Странная система.
На наклейке, вроде, даже модель была указана (нет сейчас его под рукой).
Т.е. если сети на нём нет — достать этот сертификат уже никак? Странная система.
Маркер привязан к конкретному сертификату. Иначе пришлось бы либо запихнуть все возможные образцы маркера в стандартный дистрибутив (что сложно, учитывая количество производителей техники), либо делать маркер универсальным для всех (что смысла не имеет).
Предполагается, что у вас есть раздел восстановления или диск с образом восстановления или просто дистрибутивом производителя. Если нет, то придётся обращаться к производителю — да, поддержку OEM-дистрибутивов MS делегирует вендору. Сертификат отдельно от дистрибутива официально не распространяется. Но можно достать неофициально и принести на флешке — семёрка-то не требует активацию непосредственно при установке.
Вообще, MS намудрили тут изрядно, но по мне вполне изящный способ:
— можно поставить винду без активации, потом уже выбрать, использовать OEM, коробочную лицензию, корпоративную или что-то другое :)
— можно переактивировать винду без переустановки (привет, Windows XP). Также можно повышать редакцию (про понижение не уверен) заменой серийника.
— можно активировать полностью оффлайн с SLP-ключом (собственно, активатор это и делает, либо найдя валидный маркер в биосе, либо подсунув свой загрузчик, который его эмулирует). AFAIK использование SLP-ключа вполне легально (при наличии наклейки, полученной вместе с компом, само собой).
Предполагается, что у вас есть раздел восстановления или диск с образом восстановления или просто дистрибутивом производителя. Если нет, то придётся обращаться к производителю — да, поддержку OEM-дистрибутивов MS делегирует вендору. Сертификат отдельно от дистрибутива официально не распространяется. Но можно достать неофициально и принести на флешке — семёрка-то не требует активацию непосредственно при установке.
Вообще, MS намудрили тут изрядно, но по мне вполне изящный способ:
— можно поставить винду без активации, потом уже выбрать, использовать OEM, коробочную лицензию, корпоративную или что-то другое :)
— можно переактивировать винду без переустановки (привет, Windows XP). Также можно повышать редакцию (про понижение не уверен) заменой серийника.
— можно активировать полностью оффлайн с SLP-ключом (собственно, активатор это и делает, либо найдя валидный маркер в биосе, либо подсунув свой загрузчик, который его эмулирует). AFAIK использование SLP-ключа вполне легально (при наличии наклейки, полученной вместе с компом, само собой).
Не совсем понял. В чём проблема, если у нас есть, маркер и серийник, который вычисляется с участием например модели компа, серийника материнки или ещё какого идентификатора (не помню что там сейчас доступно) и этого маркера по некому алгоритму. Да, если распотрошат алгоритм — смогут подделывать серийники. Но многие ли будут так заморачиваться с этим если можно любую пиратку поставить просто по серийнику? Это, как сейчас принято, геморрой исключительно для законных пользователей.
Кстати что-то мне подсказывает, что даже если загнать все возможные варианты маркера для каждой модели (зачем? достаточно одного маркера — «разрешена установка вын7про») то в сжатом виде это будет меньше, чем огромное количество всякой хрени типа визуальных тем и звуков, примеров видео и т.д., которые идут с ней в комплекте.
Вот у меня есть (уже нет, но не суть) раздел восстановления и толку? Гарантия кончилась и за просто так мне его вряд-ли приведут в рабочее состояние (что с ним случилось — это вообще загадка)
Кстати что-то мне подсказывает, что даже если загнать все возможные варианты маркера для каждой модели (зачем? достаточно одного маркера — «разрешена установка вын7про») то в сжатом виде это будет меньше, чем огромное количество всякой хрени типа визуальных тем и звуков, примеров видео и т.д., которые идут с ней в комплекте.
Вот у меня есть (уже нет, но не суть) раздел восстановления и толку? Гарантия кончилась и за просто так мне его вряд-ли приведут в рабочее состояние (что с ним случилось — это вообще загадка)
Маркер не зависит от модели компа, как и сертификат. Ну, точнее, может и зависит, у HP, вроде, для Compaq один набор, для других линеек другой, но вообще стандартно один вендор — один набор. Далее на основе сертификата выпускается дистрибутив, с которым идёт серийник — единственная уникальная штука. В результате:
Маркер (SLIC, в случае Windows 7 версии 2.1) — чтобы ограничить установку куда попало (сгорел комп, купил новый, взял наклейку со старого; сфоткал в конторе наклейку со своего, пришёл домой, установил себе). По задумке самый серьезный элемент защиты, в реальности легко прошивается, на mydigitallife вообще полуавтоматический патчер для образов биосов видел.
Сертификат — без него винда не опознает вендорский серийник, а сам сертификат валиден только при наличии SLIC. Легко устанавливается (slmgr чтототам сертификат.xrm-ms), ещё проще вынимается из недр %windir%.
Серийный номер — он и в 98-й серийный номер. Вынимается с помощью ProduKey или чего-то аналогичного. Вместо него прокатит и SLP (универсальный вендорский ключ, которым часто активируют предустановленных систему на заводе; в интернетах есть полное собрание, как и подходящих к ним сертификатов с образами SLIC), можно даже на десятку с ним проапгрейдиться.
С тем, что раздел восстановления в большинстве случаев это бесполезная хрень, я согласен. Просто у него и у диска восстановления by design разные области применения, точнее, у него она ограниченая: восстановить работу системы на исправном жестком диске.
Геморрой для законных пользователей это не изобретение MS.
Маркер (SLIC, в случае Windows 7 версии 2.1) — чтобы ограничить установку куда попало (сгорел комп, купил новый, взял наклейку со старого; сфоткал в конторе наклейку со своего, пришёл домой, установил себе). По задумке самый серьезный элемент защиты, в реальности легко прошивается, на mydigitallife вообще полуавтоматический патчер для образов биосов видел.
Сертификат — без него винда не опознает вендорский серийник, а сам сертификат валиден только при наличии SLIC. Легко устанавливается (slmgr чтототам сертификат.xrm-ms), ещё проще вынимается из недр %windir%.
Серийный номер — он и в 98-й серийный номер. Вынимается с помощью ProduKey или чего-то аналогичного. Вместо него прокатит и SLP (универсальный вендорский ключ, которым часто активируют предустановленных систему на заводе; в интернетах есть полное собрание, как и подходящих к ним сертификатов с образами SLIC), можно даже на десятку с ним проапгрейдиться.
С тем, что раздел восстановления в большинстве случаев это бесполезная хрень, я согласен. Просто у него и у диска восстановления by design разные области применения, точнее, у него она ограниченая: восстановить работу системы на исправном жестком диске.
Геморрой для законных пользователей это не изобретение MS.
Угу, картинка очень жизненная.
А диск — хрень вполне логичная и по своему даже удобная (если не жалко места на винте). Особенно учитывая отсутсвие CD|DVD на современных буках — так почти безальтернативная. Разве что в комплекте каждому флешку с дистрибутивом давать. Вопрос тут лишь в том, что он тупо не работал. И, судя найденным в процессе отзывам — очень у многих не работал. Причём без объяснения причин. Ни ошибок, ничего. Диск вполне исправен, кстати, до сих пор вполне пашет.
А диск — хрень вполне логичная и по своему даже удобная (если не жалко места на винте). Особенно учитывая отсутсвие CD|DVD на современных буках — так почти безальтернативная. Разве что в комплекте каждому флешку с дистрибутивом давать. Вопрос тут лишь в том, что он тупо не работал. И, судя найденным в процессе отзывам — очень у многих не работал. Причём без объяснения причин. Ни ошибок, ничего. Диск вполне исправен, кстати, до сих пор вполне пашет.
Почитал про драйвер. Вроде никаких проблем с управлением питанием не заметил, всё нормально работает. Ставил инстяляшкой с родного диска, так что вряд-ли она что-то пропустила. Скорее лишнего наставила. Да и вында видит, что это asus. Разве что криво встал и работает не полностью, хотя и не представляю, как это может быть
И платить за это ещё 8 тыщь? Я вообще-то уже купил винду вместе с ноутом.
Неужели так сложно вытащить ОЕМ ключ и произвести чистую установку?
Наверно, сложно. В техподдержке Asus мне сказали, что это вообще невозможно и установить можно только ту винду, которая шла в комплекте. Причём, её даже скачать нельзя — только с заранее сделанного образа восстановления либо в сервисном центре.
Мне всегда нравилось железо от ASUS.
А софт от ASUS всегда заставлял меня плакать.
А софт от ASUS всегда заставлял меня плакать.
У меня такая привычка:
Покупаю ноут делаю бекап разделов, проверяю доступность дров на офф сайте, сайтах производителей оборудования и сношу все разделы, разбиваю как надо и ставлю чистую систему.
Стараюсь ставить дрова от производителей оборудования если нет от асус.
минимум только чтобы работало всё оборудование функциональные клавиши, тачпад, картридер.
Поставил дрова настроил систему и сделал бекап положил на скрытый раздел (акронис).
Биос шью только из-под биос. (качаю с офф сайта). Никаких утилит автообновления.
Покупаю ноут делаю бекап разделов, проверяю доступность дров на офф сайте, сайтах производителей оборудования и сношу все разделы, разбиваю как надо и ставлю чистую систему.
Стараюсь ставить дрова от производителей оборудования если нет от асус.
минимум только чтобы работало всё оборудование функциональные клавиши, тачпад, картридер.
Поставил дрова настроил систему и сделал бекап положил на скрытый раздел (акронис).
Биос шью только из-под биос. (качаю с офф сайта). Никаких утилит автообновления.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Asus автоматически обновляет BIOS/UEFI по HTTP без верификации