TOTP от фишинга с поддельным сайтом не защитит (юзер сгенерирует одноразовый код и отдаст его злоумышленнику, а тот им сразу же автоматически воспользуется, не выпадая из 30-секундного окна). Защитит к примеру Webauthn, либо автозаполнение пароля из менеджера паролей (они не увидят ключ/пароль на левом сайте) при условии, что юзер не настолько опрометчив, чтобы руками копировать пароль из менеджера и пихать куда попало. Но если выбирать между TOTP и получением кода по SMS, то да, TOTP намного безопаснее.
Воспользовавшись неполадками у Github, РКН несколько часов назад под крысу заблокировал несколько IP-адресов, использующихся в технических доменах. Это 185.199.110.133 и 185.199.111.133, на которые иногда резольвятся raw.githubusercontent.com и release-assets.githubusercontent.com. Из-за этого при скачивании релизов с github без средств обхода могут быть проблемы (Zapret с определённым SNI обходит блокировку, потому тут точно РКН постарался).
Ноутбуки вроде не подходят под запрет (кроме HP и Fudjitsu, которые были внесены раннее), если не ошибаюсь, они имеют код 8471 30 000 0 – "машины вычислительные портативные массой не более 10 кг, состоящие, по крайней мере, из центрального блока обработки данных, клавиатуры и дисплея"
Часть юзеров падки на однокнопочные решения, они просто поставят их проприетарное приложение, полное спайвари. Как уже случилось с клиентом "Телега", на которое довольно много людей повелось.
утилита для очистки реестра зачем-то лезет на непонятный китайский сервер, — это повод немедленно отправить ее в корзину
Некоторые утилиты при запуске лезут проверять наличие обновлений, потому это вполне типичное поведение. Но чистильщикам реестра и прочим программам для "оптимизации" не доверял бы априори.
Может быть, считают, что блокируя ссылки на Ютуб в личных переписках, они тем самым помогают своему VK Video (звучит как бред для любого разумного человека, но что творится в головах у этих - можно только гадать).
Странно то, что при блокировках по ФЗ у людей и так все счета во всех банках сразу отваливаются, значит, о каждом счёте им централизованно известно, кому он принадлежит и какие там ещё есть счета. Как в этой схеме добавление ИНН уменьшит риск мошенничества?
CORS не поможет, владелец зонда разрешит другим сайтам пользоваться им. Тут разве что расширения браузера наподобие uMatrix могут помочь, явно запретив одним сайтам дёргать ресурсы с других сайтов, но проще в таком случае отдельный браузер на виртуалке, трафик с которой гонится напрямую.
Что-то математика у этих исследователей слегка не сходится:
Как ClientHello может оказаться в пределах 513 байт в их случае, если в этом пакете и так применяется мимикрия под пост-квантовый Хром, у которого доля ключа X25519MLKEM768 занимает ровно 1216 байт? Padding там математически никак не может оказаться в пакете. Может, конечно, это на будущее борьба с хрупким кодом, если в современном Хроме выкинут алгоритм с большим ключом (чтоб их код случайно не поломался при адаптации под новый Хром), но критической серьёзности тут в упор не вижу, всё равно в таком случае придётся сравнивать пакеты и несостыковка выплывет наружу.
И в доквантовые времена не припомню также, чтобы padding в каких-нибудь браузерах генерировался рандомной длины, как раз этот параметр дополняет пакет до строго фиксированной длины, если пакет слишком короткий (а случайный с потрохами сдал бы).
Нет, он присутствует в любом запросе более-менее современного браузера. Либо реальный, если ECH поддерживается сервером и клиент знает параметры, либо рандомно сгенерированный муляж (ECH Grease).
Для серверной тоже вроде как подняли (если текст в статье достоверный):
Серверная версия Ubuntu 26.04 LTS теперь требует 1.5 ГБ оперативной памяти, когда Ubuntu 22.04 требовала всего 1 ГБ, а 18.04 всего 512 МБ. Для сравнения, Windows 11 требует минимум 4 ГБ ОЗУ.
TOTP от фишинга с поддельным сайтом не защитит (юзер сгенерирует одноразовый код и отдаст его злоумышленнику, а тот им сразу же автоматически воспользуется, не выпадая из 30-секундного окна). Защитит к примеру Webauthn, либо автозаполнение пароля из менеджера паролей (они не увидят ключ/пароль на левом сайте) при условии, что юзер не настолько опрометчив, чтобы руками копировать пароль из менеджера и пихать куда попало. Но если выбирать между TOTP и получением кода по SMS, то да, TOTP намного безопаснее.
Воспользовавшись неполадками у Github, РКН несколько часов назад под крысу заблокировал несколько IP-адресов, использующихся в технических доменах. Это
185.199.110.133и185.199.111.133, на которые иногда резольвятсяraw.githubusercontent.comиrelease-assets.githubusercontent.com. Из-за этого при скачивании релизов с github без средств обхода могут быть проблемы (Zapret с определённым SNI обходит блокировку, потому тут точно РКН постарался).Результат проверки доступности
Ноутбуки вроде не подходят под запрет (кроме HP и Fudjitsu, которые были внесены раннее), если не ошибаюсь, они имеют код 8471 30 000 0 – "машины вычислительные портативные массой не более 10 кг, состоящие, по крайней мере, из центрального блока обработки данных, клавиатуры и дисплея"
Очень забавно это сочетается с заявлением МВД о том, что опасные ссылки за пределами зоны .ru
Часть юзеров падки на однокнопочные решения, они просто поставят их проприетарное приложение, полное спайвари. Как уже случилось с клиентом "Телега", на которое довольно много людей повелось.
Некоторые пытались, но по всей видимости, не потянули
Некоторые утилиты при запуске лезут проверять наличие обновлений, потому это вполне типичное поведение. Но чистильщикам реестра и прочим программам для "оптимизации" не доверял бы априори.
Всё так и есть, замедлили до 100% - дальше замедлять уже некуда, потому дальнейшее замедление встало
Не имею понятия. Только догадки:
Скрытый текст
Может быть, считают, что блокируя ссылки на Ютуб в личных переписках, они тем самым помогают своему VK Video (звучит как бред для любого разумного человека, но что творится в головах у этих - можно только гадать).
Может быть, из-за наличия ссылки на ютуб он не пропустил? Но это лишь мои догадки, ставить мах, чтобы проверить, не горю желанием
Если просто для контроля непреднамеренного повреждения файла - то забивание гвоздей
микроскопомлупой, а преднамеренного - очень слабый алгоритм.2026 год на дворе, а они для контроля целостности используют MD5. А может быть и намеренно для лёгкой подмены при необходимости.
Странно то, что при блокировках по ФЗ у людей и так все счета во всех банках сразу отваливаются, значит, о каждом счёте им централизованно известно, кому он принадлежит и какие там ещё есть счета. Как в этой схеме добавление ИНН уменьшит риск мошенничества?
Это бета, а новость про стабильную ветку
Он ещё давно там был сломан, судя по датам багрепортов
На Андроид только что прилетел фикс, с красивым номером билда 😈
Скрытый текст
Полёт пока нормальный
CORS не поможет, владелец зонда разрешит другим сайтам пользоваться им. Тут разве что расширения браузера наподобие uMatrix могут помочь, явно запретив одним сайтам дёргать ресурсы с других сайтов, но проще в таком случае отдельный браузер на виртуалке, трафик с которой гонится напрямую.
Что-то математика у этих исследователей слегка не сходится:
Как ClientHello может оказаться в пределах 513 байт в их случае, если в этом пакете и так применяется мимикрия под пост-квантовый Хром, у которого доля ключа X25519MLKEM768 занимает ровно 1216 байт? Padding там математически никак не может оказаться в пакете. Может, конечно, это на будущее борьба с хрупким кодом, если в современном Хроме выкинут алгоритм с большим ключом (чтоб их код случайно не поломался при адаптации под новый Хром), но критической серьёзности тут в упор не вижу, всё равно в таком случае придётся сравнивать пакеты и несостыковка выплывет наружу.
И в доквантовые времена не припомню также, чтобы padding в каких-нибудь браузерах генерировался рандомной длины, как раз этот параметр дополняет пакет до строго фиксированной длины, если пакет слишком короткий (а случайный с потрохами сдал бы).
Нет, он присутствует в любом запросе более-менее современного браузера. Либо реальный, если ECH поддерживается сервером и клиент знает параметры, либо рандомно сгенерированный муляж (ECH Grease).
Для серверной тоже вроде как подняли (если текст в статье достоверный):
24.04 тоже 1Гб требовала