Тогда я вообще запутался, user1 (злоумышленник) крадёт логин/почту user2.
Злоумышленнику достаточно будет ввести адрес электронной почты и пароль пользователя (например, украденные в результате утечки паролей или фишинговой атаки)
user1 не вводит свои данные, а только данные user2.
Теперь, как user2 я обхожу авторизацию и ввожу "свой" код от user1... Как тут они вообще поняли что этот код от user1?
Или они принимали рандомные 6 цифр и вообще не проверяли никак, или (ещё лучше) у всех юзеров один хэш для генерации кодов и, соотвественно коды user1 и user2 просто совпадут...
Приложение Box не проверяло, выбирал ли пострадавший пользователь аутентификацию через TOTP и принадлежало ли используемое приложение-аутентификатор пользователю
Я правильно понял, что можно ввести любые 6 цифр?
и код из своей учетной записи Box
Или нужно иметь "свой" аккаунт с 2х факторной авторизацией? Как они тогда вообще сопастовляют что это валидный код, если не могут определить юзера?
Ну и никто же не мешал им с предыдущим обновлением выпустить предупреждение о глобальных изменениях.
Насколько я помню оно было. Я видел сообщение на главной что-то типа "мы готовим что-то совершенно новое для вас" за несколько недель до обновления. Быстрогугл не помог найти скрин.
Да скорее это "The Power of Defaults", хром установлен по умолчанию на подавляющем колисчестве мобильных устройств, юзеру хочется везде иметь одно приложение и ставится хром уже на десктопы. Чтоб узнать что хром не приватный, нужно реально покапаться, или иметь нужные знания. А хабр читают далко не все пользователи хрома...
Ну и что установено на работе тоже играет роль. Админы люди разные и часто не заморачиваются и ставят хром. На жену на работе очень странно посмотрели, когда она попросила ФФ, да ещё и KeePass установить на рабочий комп. Предложили сохранять пароли в табличке в Excel, но это быстро прошло после небольшой эскалации.
В третьей части статье будут описаны непосредственно виртуальные хосты
Позвольте, в чем смысл тогда этой статьи? Тут есть виртуальный хост на всех ендпойнтах на порту 81, а "рассматривать его будем в следущей части". Так не пойдёт, текст должен быть завершенным, с объяснениями почему именно так.
А когда вы протестируете конфигурацию Apache2? А когда вы его запустите? Простая связка могла бы помочь:
По всему тексту и в первой статье тоже, гуляет "непонятный" гит (непонятный он, т.к. его тут никто не объяснил) и какие-то странные примеры кода. Вот взять эту часть:
Указываем кодировку СУБД по умолчанию, в нашем случае это UTF8, для этого вносим изменения в файл /etc/mysql/my.cnf:
Да, вот этой картинки из первой статьи не хватало. Но прочтя её у меня только больше вопросов появилось, так например где кофигурация прокси? Как разделяется статика и запросы к apache2, и т.д. Сделав как описано в статьях, я не получу соединеий с ngnix на apache2 ну и далее до ДБ.
Нет, если есть возможность использовать Nginx+Apache2, площадка будет работать быстрее.
Соглашусь для высоконагруженных приложений с распределением нагрузки, тут же у нас DevOps для самых маленьких, нет смысла разделять ngnix и Apache2.
Для образовательных целей я бы остался на одном из них и показал как лучше сконфигурировать всю цепочу. Не из-за библейских предпочтений, а просто потому, что это разные сервисы и конфигурации у них разные. Гораздо проще понять что-то одно, а там уже развиваться и совершенсвтоваться.
Этот момент подробно отражен в статье, но я поясню для вас. Nginx устанавливается первым и по умолчанию занимет 80 порт сервера. После устанавливается Apache2, и не может запуститься так как 80 порт уже занят Nginx.
Да я тут скорее рассуждал о надобности ngnix-а как такового для простого принятия http. Понято, что порт занят и не запустить сервер с таким же портом.
Пожалуйста искользуйте & в коммнадах типа apt-get update && apt-get install... иначе при падении первой команды (просто ошибка сети) вы себе таких пакетов с зависмиостями наставите...
Так вы LEMP стэк делали, или LAMP? Зачем связка ngnix+Apache2? Только чтоб из коробки читать .htaccess? Но можно из коробки и не брать ngnix, а обойтись Apache2, тем более что это будет проще, чем то что описано и апач уже настроен на http, а https тут и не пахнет. Или я что-то совсем не понял и Apache2 не может принимать соединения на 80 порту?
У меня так и произошло, т.к. симки без платных звонков «сгорают» у разных операторов от 3х до 6и месяцев. И вот, я переехал за границу, оператор выключил номер. На госуслугах нельзя стереть этот номер, его можно только заменить на другой. Но номера не +7ххх не поддерживаются. Теперь уже несколько лет надеюсь, что скинуть пароль по смс нельзя (так меня саппорт уверял), а новый владелец номера не сможет использовать его для госуслуг.
Ну это рука-лицо. В статье говориться не о том, что «любой может подойти», а о конкретной уязвимости с авторизацией по сетевым параметрам без сохранения паролей и ключей где-бы то ни было (ссылка выше).
SSH работает не так и не имеет отношения к вышеописанному.
Пользователь подключается к системе Windows 10 или Server 2019 через RDS.
Пользователь блокирует удаленный сеанс и оставляет клиентское устройство без присмотра.
На этом этапе злоумышленник, имеющий доступ к клиентскому устройству, может прервать подключение к сети и получить доступ к удаленной системе без необходимости каких-либо учетных данных.
Тогда могу посоветовать E39 — легендарный дизайн, прекрасное руление и никаких соединений.
Вы и впрямь думаете, что бмв единственный в своем роде? БМВ просто предлагает дополнительные сервис в виде приложений и консьержа. Множество других, просто собирает данные, не давая сервисов взамен. Так что с Вашими запросами обратно в 1997ой, можно даже Quake 2 снова пройти.
Тогда я вообще запутался, user1 (злоумышленник) крадёт логин/почту user2.
user1 не вводит свои данные, а только данные user2.
Теперь, как user2 я обхожу авторизацию и ввожу "свой" код от user1... Как тут они вообще поняли что этот код от user1?
Или они принимали рандомные 6 цифр и вообще не проверяли никак, или (ещё лучше) у всех юзеров один хэш для генерации кодов и, соотвественно коды user1 и user2 просто совпадут...
Я правильно понял, что можно ввести любые 6 цифр?
Или нужно иметь "свой" аккаунт с 2х факторной авторизацией? Как они тогда вообще сопастовляют что это валидный код, если не могут определить юзера?
А это не "перевод"? Что-то тут половина абзацев странно схожа со вчерашней статьёй на големе.
Нашел на хабре человеческий LAMP: https://habr.com/ru/post/409915/
Тут все расписано почему так, не едак, так ещё и работать будет в конце статьи.
Насколько я помню оно было. Я видел сообщение на главной что-то типа "мы готовим что-то совершенно новое для вас" за несколько недель до обновления. Быстрогугл не помог найти скрин.
А для тестов вы брали "чистый" firefox, или тот, что
Вы публиковали где-то обзор? Очень интересно посмотреть.
Да скорее это "The Power of Defaults", хром установлен по умолчанию на подавляющем колисчестве мобильных устройств, юзеру хочется везде иметь одно приложение и ставится хром уже на десктопы. Чтоб узнать что хром не приватный, нужно реально покапаться, или иметь нужные знания. А хабр читают далко не все пользователи хрома...
Ну и что установено на работе тоже играет роль. Админы люди разные и часто не заморачиваются и ставят хром. На жену на работе очень странно посмотрели, когда она попросила ФФ, да ещё и KeePass установить на рабочий комп. Предложили сохранять пароли в табличке в Excel, но это быстро прошло после небольшой эскалации.
Позвольте, в чем смысл тогда этой статьи? Тут есть виртуальный хост на всех ендпойнтах на порту 81, а "рассматривать его будем в следущей части". Так не пойдёт, текст должен быть завершенным, с объяснениями почему именно так.
А когда вы протестируете конфигурацию Apache2? А когда вы его запустите? Простая связка могла бы помочь:
По всему тексту и в первой статье тоже, гуляет "непонятный" гит (непонятный он, т.к. его тут никто не объяснил) и какие-то странные примеры кода. Вот взять эту часть:
Я, как "самый маленький пользователь" беру и копирую это замечательный кусочек кода себе в /etc/mysql/my.cnf, выполняю заветный
и ничего не работает больше... Почему? Проверьте сами, скопировав текст.
Так через всю статью, использование diff-ов гита, или просто коммитов очень помогает молодым пользователям без глубокого объяснения самого гита.
Я вам сейчас такую тайну открою, это было у ФФ, "когда ещё хрома не было" https://www.mozilla.org/de/firefox/sync/
Это как раз первая причина его использовать.
Да, вот этой картинки из первой статьи не хватало. Но прочтя её у меня только больше вопросов появилось, так например где кофигурация прокси? Как разделяется статика и запросы к apache2, и т.д. Сделав как описано в статьях, я не получу соединеий с ngnix на apache2 ну и далее до ДБ.
Соглашусь для высоконагруженных приложений с распределением нагрузки, тут же у нас DevOps для самых маленьких, нет смысла разделять ngnix и Apache2.
Для образовательных целей я бы остался на одном из них и показал как лучше сконфигурировать всю цепочу. Не из-за библейских предпочтений, а просто потому, что это разные сервисы и конфигурации у них разные. Гораздо проще понять что-то одно, а там уже развиваться и совершенсвтоваться.
Да я тут скорее рассуждал о надобности ngnix-а как такового для простого принятия http. Понято, что порт занят и не запустить сервер с таким же портом.
Пожалуйста искользуйте
&
в коммнадах типаapt-get update && apt-get install...
иначе при падении первой команды (просто ошибка сети) вы себе таких пакетов с зависмиостями наставите...Так вы LEMP стэк делали, или LAMP? Зачем связка ngnix+Apache2? Только чтоб из коробки читать
.htaccess
? Но можно из коробки и не брать ngnix, а обойтись Apache2, тем более что это будет проще, чем то что описано и апач уже настроен наhttp
, аhttps
тут и не пахнет. Или я что-то совсем не понял и Apache2 не может принимать соединения на 80 порту?Я не в курсе, но что Ericsson сейчас имеет в запасе, какие-то крутые тулзы?
Вместо HTPC мне очень Organizr нравится.
SSH работает не так и не имеет отношения к вышеописанному.
Вы и впрямь думаете, что бмв единственный в своем роде? БМВ просто предлагает дополнительные сервис в виде приложений и консьержа. Множество других, просто собирает данные, не давая сервисов взамен. Так что с Вашими запросами обратно в 1997ой, можно даже Quake 2 снова пройти.