Что тут говорить, не было бы даже танков, ракет и дронов, которыми сам Тайвань можно попытаться захватить — или, если использовать китайский нарратив, "воссоединить с материком".
Всё верно. До появления TSMC в мире не существовало танков и ракет, да даже просто микроэлектроники как таковой. Возможно, кстати, даже электричество бы без TSMC не изобрели.
Участники, которые использовали AI, но при этом сохраняли контроль и активное суждение, были склонны чувствовать большую уверенность в собственных рассуждениях
А заодно они вносили гораздо больший вклад в обучение модели и бесплатно помогали вендору заработать больше денег.
Это означает, что если оператор начнёт «караулить» каждый гигабайт, он столкнётся с вопросом: какой из сотни клиентов за этим IP использует VPN?
Караулить каждый гигабайт будет провайдер (а платить будут клиенты провайдера), который прекрасно знает, на какой серый ip сколько трафика приходится. При чём тут какой-то оператор?
российские госорганы начали объявлять тендеры на преобретение услуг ...ВПН. Двойной профит - сначала распил на блокировках, потом на их обходе
Я вот слышал, что некоторые конторы сейчас начали использовать VPN для связности своих распределённых сетей и удалённого доступа к внутренним сетям. Забавно, как технология, изначально созданная для обхода блокировок, находит своё применение в построении сетей.
Где-то с середины фильма было такое чувство, что в конце Колчака растреляют статьи было ощущение, что это джинса, а grapheneos тут просто для наброса. Так и вышло.
Иными словами: GrapheneOS защищает от Cellebrite ровно до того момента, пока телефон у вас в руках и заблокирован. Как только он оказался не в ваших руках в разблокированном виде — или как только вас попросили ввести пароль — защита исчезает. То есть сразу оба Ваших пространства будут замечены форензик комплексом
Поскольку ниаких значимых пруфов ни этого, ни защищенности Guard Do не приведено и, я так понимаю, джентельменам верят на слово, то я, со своей стороны, наброшу
Phones in both BFU and AFU states are safe from Cellebrite on updated builds, and as of late 2024, even a fully unlocked GrapheneOS device is immune from having its data copied.
Второе — про видимость. GrapheneOS поддерживает несколько пользовательских профилей. Звучит как двойное пространство. Но переключение между ними происходит через настройки или через всплывающее меню управления — и это меню всегда показывает, сколько профилей существует.
Ну потому что профили и не предназначены для скрытия приложений, для этого есть private space.
Третье — про доверие к разработчику. GrapheneOS — это Canadian nonprofit и сообщество вокруг одного главного разработчика. Открытый код — это хорошо для аудита. Но это также означает: никакой юридической ответственности, никакого SLA, никаких гарантий непрерывности. Сегодня разработчик есть, завтра — нет.
Поэтому нам предлагают довериться прошивке с закрытыми исходниками от неизвестной компании, которая таргетирована исключительно на Россию, прошивке, о которой сходу не гуглится вообще никаких упоминаний, кроме этой статьи?
Сам факт наличия GrapheneOS на телефоне уже сигнализирует о намеренной защите данных — и автоматически повышает интерес к устройству.
Таким же маркером может быть, например, отсутствие Play Services, что не просто форензиком, а любым человеком опознаётся сходу.
вводишь специальный пароль на экране блокировки — телефон уничтожаются, он буквально превращается в кирпич, с ним уже ничего не сделает и с информацией тем более. Это просто черный экран;
Случайно не упомянуто, что практически то же самое, есть и в grapheneos, причём в gos duress pin можно ввести в любое окно запроса пина, например, в окно открытия private space.
удалённый сигнал — SMS или звонок с заранее заданного номера запускает уничтожение
И, само собой, в таком телефоне Вы найдёте специальную настройку, которая работает в фоновом режиме и позволяет пользоваться telegram, YT и всеми любимыми сервисами как раньше. Телефон автоматически без сервиса из трёх букв ускоряет интернет, позволяя пользоваться WhatsApp, telegram, youtube и нельзяграмом;
Я бы поседел от ужаса, зная, что у меня в телефоне с закрытой прошивкой есть неведомая мне хренотень, которая ещё и автоматически что-то куда-то впнит без впн-а и без моего контроля.
Это секретный телефон для предпринимателей, топ-менеджеров и специалистов по безопасности.
Возможно и так. Но судя по промо на сайте и по статье - это оверпрайснутый, чуть твикнутый аосп, в некоторый местах неподконтрольный своему пользователю.
Так в этом и вопрос - является ли целесообразным такой закон, по которому суд мог бы накладывать обязательства, которые в большинстве случаев невозможно адекватно исполнить?
Конечно имеет. Например, унаследовавший кошелёк, к которому у него нет доступа (но он знает его номер), заметил, что токены на кошельке пришли в движение, а у того, кого суд обязал предоставить ключи (а он заявил, что их забыл) изменилось финансовое положение. Это уже неплохая юридическая почва для изучения причин изменения финансового положения правоохранителньыми органами на основе предыдущий решений суда.
Будут ли на практике правоохранительные органы этим заниматься - вопрос другой и к разумности закона вряд ли имеет отношение.
И вот что делать в ситуации, когда наследники заявляют, что не знают пароля, или супруг-фактический владелец кошелька заявляет, что забыл/потерял и фактического доступа более не имеет? Исключить из активов, "умерла так умерла"? Но кто-то может врать и на самом деле иметь доступ. Делить? А как технически?
Всё это решается дальше через суд. Суд может обязать кого-то выдать ключи тому, кто юридически унаследовал кошелёк, например, если достоверно установлен факт, что они у него есть. Ничем особенным это не отличается от ситуаций, когда покойный завещает наличные из сейфа детям, а жена заявляет, что никаких наличных в сейфе не было.
Как унаследовать крипту, если ее предыдущий владелец не позаботился об этой передаче?
Так же как и любое другое имущество - получить на него право собственности. То, что имущество, при этом, недоступно, уже не относится к механизму наследования.
Криптовалюта исходно так устроена, чтобы у кого пароль от кошелька - того и его содержимое.
А что мешает передать пароль в завещании? Так можно сказать, что и наследование имущества технически невозможно, ведь владелец может всё спалить перед смертью.
Из этого списка половина уже нормально работает с sso из коробки
Смелое утверждение. Firefly_iii, например, вообще с SSO не работает, только remote-user пока умеет.
вторая половина при прямых руках и с доступом к бд тоже не вызывает проблем
Что угодно при прямых руках не вызывает проблем. Суть не в том, что это неосуществимо, а в том, что для многих приложений это лишние трудозатраты, которых можно избежать изначально заводя исключительно внешних пользователей.
масштаб проблемы явно преувеличен :)
Да нет, масштаб как раз указан корректно, особенно для того, кто эту миграцию будет делать в первый раз.
Сейчас изучаю как сделать SSO, т.к. уже понял, насколько регистрация и логин без этого неудобные)
Я бы советовал делать отдельно LDAP и уже поверх него SSO через федерацию. 389ds (или его же в составе freeipa) + keycloak, например. Рано или поздно можно наткнуться на что-нибудь нужное экзотическое, которое умеет LDAP, но не умеет SAML/OIDC и LDAP может пригодиться (хотя все фичи keycloak, типа 2fa, конечно, работать в LDAP аутентификации не будут). И обязательно ещё заранее проверить, что выбранный LDAP сервер умеет разворачивать вложенность групп (openldap, например, не умеет), потому что на этом, обычно, строится вся система прав, в т.ч. то, что keycloak отдаёт в groups клиенту.
А насчёт tailscale у меня сомнения. Он же в базе через свой проприетарный софт идёт.
Да, я именно про headscale, от tailscale будут нужны только клиенты. Tailscale, насколько я знаю, вообще поблочил ру-сегмент в своём облаке, да и даже без этой шизы, идея облачного координационного сервера для своей VPN сети звучит экстремальненько. Headscale умеет OIDC как раз (в т.ч. авторизацию через членство в группе): https://headscale.net/development/ref/oidc/
Всё верно. До появления TSMC в мире не существовало танков и ракет, да даже просто микроэлектроники как таковой. Возможно, кстати, даже электричество бы без TSMC не изобрели.
А заодно они вносили гораздо больший вклад в обучение модели и бесплатно помогали вендору заработать больше денег.
Караулить каждый гигабайт будет провайдер (а платить будут клиенты провайдера), который прекрасно знает, на какой серый ip сколько трафика приходится. При чём тут какой-то оператор?
Я вот слышал, что некоторые конторы сейчас начали использовать VPN для связности своих распределённых сетей и удалённого доступа к внутренним сетям. Забавно, как технология, изначально созданная для обхода блокировок, находит своё применение в построении сетей.
Докатится ли "революция" до групповых секретных чатов? Наверное, нет, 12 лет слишком малый срок.
Где-то с середины
фильма было такое чувство, что в конце Колчака растреляютстатьи было ощущение, что это джинса, а grapheneos тут просто для наброса. Так и вышло.Поскольку ниаких значимых пруфов ни этого, ни защищенности Guard Do не приведено и, я так понимаю, джентельменам верят на слово, то я, со своей стороны, наброшу
https://arstechnica.com/gadgets/2025/10/leaker-reveals-which-pixels-are-vulnerable-to-cellebrite-phone-hacking/
Phones in both BFU and AFU states are safe from Cellebrite on updated builds, and as of late 2024, even a fully unlocked GrapheneOS device is immune from having its data copied.
Ну потому что профили и не предназначены для скрытия приложений, для этого есть private space.
Поэтому нам предлагают довериться прошивке с закрытыми исходниками от неизвестной компании, которая таргетирована исключительно на Россию, прошивке, о которой сходу не гуглится вообще никаких упоминаний, кроме этой статьи?
Таким же маркером может быть, например, отсутствие Play Services, что не просто форензиком, а любым человеком опознаётся сходу.
Случайно не упомянуто, что практически то же самое, есть и в grapheneos, причём в gos duress pin можно ввести в любое окно запроса пина, например, в окно открытия private space.
Для этого есть FMD https://gitlab.com/fmd-foss/fmd-android и возможностей там гораздо больше. Не удивлюсь, если именно он и вкрячен в прошивку.
Я бы поседел от ужаса, зная, что у меня в телефоне с закрытой прошивкой есть неведомая мне хренотень, которая ещё и автоматически что-то куда-то впнит без впн-а и без моего контроля.
Возможно и так. Но судя по промо на сайте и по статье - это оверпрайснутый, чуть твикнутый аосп, в некоторый местах неподконтрольный своему пользователю.
Конечно имеет. Например, унаследовавший кошелёк, к которому у него нет доступа (но он знает его номер), заметил, что токены на кошельке пришли в движение, а у того, кого суд обязал предоставить ключи (а он заявил, что их забыл) изменилось финансовое положение. Это уже неплохая юридическая почва для изучения причин изменения финансового положения правоохранителньыми органами на основе предыдущий решений суда.
Будут ли на практике правоохранительные органы этим заниматься - вопрос другой и к разумности закона вряд ли имеет отношение.
Суд этим и не занимается. Он накладывает обязательства. Остальное - дело других служб, которые и будут принимать решения возможно это сделать или нет.
А можно и не отыскать. А может их там и не было вообще.
Почему? Это вполне реальный набор данных.
Унаследовавший остаётся владельцем криптокошелька к содержимому которого у него нет доступа.
Всё это решается дальше через суд. Суд может обязать кого-то выдать ключи тому, кто юридически унаследовал кошелёк, например, если достоверно установлен факт, что они у него есть. Ничем особенным это не отличается от ситуаций, когда покойный завещает наличные из сейфа детям, а жена заявляет, что никаких наличных в сейфе не было.
Так же как и любое другое имущество - получить на него право собственности. То, что имущество, при этом, недоступно, уже не относится к механизму наследования.
А что мешает передать пароль в завещании? Так можно сказать, что и наследование имущества технически невозможно, ведь владелец может всё спалить перед смертью.
Которое элементарно определяется сервисом даже при доступе к сервису через браузер, а не через приложение. MAX не даст соврать.
Не знаю, как в nix, но в *bsd достаточно смонтировать / в ro, а /var и /tmp вынести в оперативную память (кроме /var/db/pkg)
Ну, мне кажется, это первое правило публикации любого приложения, что оно не должно быть доступно напрямую :)
Ну конечно, прокси, которая устанавливает этот хедер, должна отвечать и за то, чтобы не принимать его от клиента.
Нет, исключительно для личных, для корпоративных он вряд ли годится :)
Я через oauth2proxy его к keycloak подключал.
Смелое утверждение. Firefly_iii, например, вообще с SSO не работает, только remote-user пока умеет.
Что угодно при прямых руках не вызывает проблем. Суть не в том, что это неосуществимо, а в том, что для многих приложений это лишние трудозатраты, которых можно избежать изначально заводя исключительно внешних пользователей.
Да нет, масштаб как раз указан корректно, особенно для того, кто эту миграцию будет делать в первый раз.
firefly_iii, guacamole, immich, meshcentral, vaultwarden
Да вроде никакой разницы с описанием автора не будет, кроме дополнительной необходимости в ddns клиенте.
Я бы советовал делать отдельно LDAP и уже поверх него SSO через федерацию. 389ds (или его же в составе freeipa) + keycloak, например. Рано или поздно можно наткнуться на что-нибудь нужное экзотическое, которое умеет LDAP, но не умеет SAML/OIDC и LDAP может пригодиться (хотя все фичи keycloak, типа 2fa, конечно, работать в LDAP аутентификации не будут). И обязательно ещё заранее проверить, что выбранный LDAP сервер умеет разворачивать вложенность групп (openldap, например, не умеет), потому что на этом, обычно, строится вся система прав, в т.ч. то, что keycloak отдаёт в groups клиенту.
Да, я именно про headscale, от tailscale будут нужны только клиенты. Tailscale, насколько я знаю, вообще поблочил ру-сегмент в своём облаке, да и даже без этой шизы, идея облачного координационного сервера для своей VPN сети звучит экстремальненько. Headscale умеет OIDC как раз (в т.ч. авторизацию через членство в группе): https://headscale.net/development/ref/oidc/
В ближайшем headscale 0.29 обещают полную поддержку grants, тоже полезная вещь для управления https://tailscale.com/docs/features/access-control/grants