Псевдотехнологии ВК подаются как что то интересное, будто бы нет sentry, будто s3 это не что-то такое что доступно всем и вся через разворачивание minio для личных нужд.
Но главная проблемка статьи это то что "пляшет" подача . Где совсем простые и известные концепты уровня школы разъясняют и разжёвывают, а при этом "залетают" совершенно нетривиальные вставки из необычно сложных, возможно даже не к месту идей.
Совсем не шиза, а реальность. Репозитории банят ркн а это ведомство действует автономно под указку силового ведомства напрямую. Даже наверное и не всего ведомства а одного/двух людей из конкретного ведомства и эти люди не отчитываются и не согласовывают ни с кем свои решения.
Вы так удивляетесь потому что полагаете что вся гос система и все ее ресурсы синхронизированы и координируют свои действия и решения. Это не так в глобальном смысле, но вероятно так на очень разовых публичных новостях. В данном случае нет координации и не будет. Как работает ркн и почему уже понятно. Может доходить до любого абсурда пока гарант конституции не скажет остановиться.
Государству не надо. Это мутка минцифры раз. Во вторых те кто в теме знают что госуслуги это база с профилированием людей - поэтому так много интеграцией у госуслуг. Это не госуслуги а гос витрина всех кто там есть... По этим данным составляют психопрофиль(тебе как экспонату не покажут), скрытый соцрейтинг аналог китайского скоринга и т.д. конечно эти данные продают и показывают заинтересованным. Более точная реклама в твой адрес в т.ч политическая. Склонности к экстремизму и т.д. вот что такое тесты и данные в госуслугах. Это отдельный сервис с твоими данными где ты экспонат.
А разве эти обмены данными не остановили в глобальном масштабе введя санкции и заставляя все страны к ним подключиться и прочие моменты с этим связанные? И вроде сама РФ вышла из всех обменов данными со странами которые включили санкции? И с недружественными кто вводил санкции?
Я Удалил hh аккаунт. Хотя платил часто за продвижение. Когда понял что hh умер увидел много других площадок. Рынок сам нашёл ответ на вопрос сложности трудоустройства... Эпоха hh заканчивается. Начинается новая эпоха.
Вот я это и хотел написать тоже, "Нет привязки выпущенной SMS-сессии к идентичности устройства, инициировавшего ввод"
Так то идентификаторы устройств у них есть. Вся эта петрушка работает как раз для веб версии только когда ты сканируешь на залогиненной в мобилке апке qr и тебя запускает. Т.е. в целом как таковой механизм контроля device Id есть
Тут ИМХО главное issue которое надо зафиксить и это быстро и сразу убирает митм - это блокирование отправки смски если есть активная сессия. Смс кидать только если нет активных сессий.
Хочешь зайти на новый девайс - тупо опять Бери qr код и шарь трастовую сессию на новый девайс. Фикс на 5 минут, который коварно подсирает бизнес фишерам)
Если ты попытаешься открыть веб версию Макса в браузере мобилы то тебя редиректит сразу на download.max.ru
Нужно постараться чтобы именно на мобилке веб версия запахала.
Соответственно для фиша таких ограничений нет) грубая логика даже неопытному юзеру подскажет что он не в приложении, а в браузере. Это наверное главный момент в несовершенстве такой атаки. Как бы туп username бы не был, уж отличить что он ковыряет браузер а не приложуху наверное сможет. (По крайней мере я в это верю)
Ну да. Все в куче непонятен посыл.
Псевдотехнологии ВК подаются как что то интересное, будто бы нет sentry, будто s3 это не что-то такое что доступно всем и вся через разворачивание minio для личных нужд.
Но главная проблемка статьи это то что "пляшет" подача . Где совсем простые и известные концепты уровня школы разъясняют и разжёвывают, а при этом "залетают" совершенно нетривиальные вставки из необычно сложных, возможно даже не к месту идей.
Совсем не шиза, а реальность. Репозитории банят ркн а это ведомство действует автономно под указку силового ведомства напрямую. Даже наверное и не всего ведомства а одного/двух людей из конкретного ведомства и эти люди не отчитываются и не согласовывают ни с кем свои решения.
Вы так удивляетесь потому что полагаете что вся гос система и все ее ресурсы синхронизированы и координируют свои действия и решения. Это не так в глобальном смысле, но вероятно так на очень разовых публичных новостях. В данном случае нет координации и не будет. Как работает ркн и почему уже понятно. Может доходить до любого абсурда пока гарант конституции не скажет остановиться.
Государству не надо. Это мутка минцифры раз. Во вторых те кто в теме знают что госуслуги это база с профилированием людей - поэтому так много интеграцией у госуслуг. Это не госуслуги а гос витрина всех кто там есть... По этим данным составляют психопрофиль(тебе как экспонату не покажут), скрытый соцрейтинг аналог китайского скоринга и т.д. конечно эти данные продают и показывают заинтересованным. Более точная реклама в твой адрес в т.ч политическая. Склонности к экстремизму и т.д. вот что такое тесты и данные в госуслугах. Это отдельный сервис с твоими данными где ты экспонат.
А разве эти обмены данными не остановили в глобальном масштабе введя санкции и заставляя все страны к ним подключиться и прочие моменты с этим связанные? И вроде сама РФ вышла из всех обменов данными со странами которые включили санкции? И с недружественными кто вводил санкции?
Я Удалил hh аккаунт. Хотя платил часто за продвижение. Когда понял что hh умер увидел много других площадок. Рынок сам нашёл ответ на вопрос сложности трудоустройства... Эпоха hh заканчивается. Начинается новая эпоха.
Вот я это и хотел написать тоже, "Нет привязки выпущенной SMS-сессии к идентичности устройства, инициировавшего ввод"
Так то идентификаторы устройств у них есть. Вся эта петрушка работает как раз для веб версии только когда ты сканируешь на залогиненной в мобилке апке qr и тебя запускает. Т.е. в целом как таковой механизм контроля device Id есть
Тут ИМХО главное issue которое надо зафиксить и это быстро и сразу убирает митм - это блокирование отправки смски если есть активная сессия. Смс кидать только если нет активных сессий.
Хочешь зайти на новый девайс - тупо опять Бери qr код и шарь трастовую сессию на новый девайс. Фикс на 5 минут, который коварно подсирает бизнес фишерам)
Если ты попытаешься открыть веб версию Макса в браузере мобилы то тебя редиректит сразу на download.max.ru
Нужно постараться чтобы именно на мобилке веб версия запахала.
Соответственно для фиша таких ограничений нет) грубая логика даже неопытному юзеру подскажет что он не в приложении, а в браузере. Это наверное главный момент в несовершенстве такой атаки. Как бы туп username бы не был, уж отличить что он ковыряет браузер а не приложуху наверное сможет. (По крайней мере я в это верю)