UPD: А, да, можно атаковать, если на HTTP-сайте отправить редирект на сторонний HTTPS-сайт с фальшивым доменом. Сработает это в случае, если пользователь будет вводить доменное имя сайта вручную, а режим HTTPS-only отключён в его браузере (тут не обладаю статистикой, у какого процента пользователей он отключён). Также спасёт HSTS Preload на стороне сервера, но сомневаюсь, что российские банки отправили свои домены в этот список.
А как? В содержимое TLS-сессии он по-прежнему вклиниваться не может. Разве что плоский HTTP-трафик может перехватить, но пользователь должен увидеть рядом с URL плашку "Не защищено" и что-то заподозрить.
Смысл PIN-кода в том, что он выступает не ключом для шифрования, а одобряет расшифровку при помощи TPM. Потому вариант с перебором не подойдёт: есть "мягкий" лимит на количество неудачных попыток, после исчерпания которых попросит перезагрузить компьютер, чтобы попытаться снова. И "жёсткий" лимит, после исчерпания которого TPM окажется заблокирован на какое-то время (если я правильно понимаю). Командой Get-TPM в PowerShell можно посмотреть лимиты.
Мусор мне не нравился в 3-й части игры своей однотипностью. Да, выглядит красиво, как он разлетается, но когда это одна газета, расклонированная во множестве экземпляров - то выглядит это очень странно
Нормальная и правильная позиция. Практически любой уважающий себя автор не захочет, чтобы его произведения публиковали на околопиратских ресурсах, да ещё и без его согласия. В случае с видеоблогерами - то же самое.
Нет, это такой извращённый вариант галочки "remember me". При неактивности пользователь разлогинивается только частично, для повторного логина ему вместо ввода логина и пароля достаточно ввести свой пятизначный код. Насколько я понял из беглой проверки работоспособности этой функции.
Могли бы webauthn какой-нибудь прикрутить вместо костыля своего.
P.S. Проверил, "вход по отпечатку" это у них webauthn, но после этого подтверждения дополнительно отправляется ещё и СМС на номер телефона с кодом подтверждения. А по пятизначному PIN-коду - повторное подтверждение по СМС не требуется.
AlmaLinux 9 + xray в докере ещё меньше весит, чем убунту, даже 3 гига на диске не заняло. Хорошо подойдёт для совсем "худых" VPSок на максимально дешёвых промо-тарифах:
Filesystem Size Used Avail Use% Mounted on
/dev/vda2 10G 2.6G 7.4G 26% /
На момент 6 августа 2024 года - не поддерживает. Проверить можно тут: https://dns.google/query (RR Type выбрать HTTPS). Поскармливал несколько гугловских серверов (как из GGC, так и из подсети Гугла), все они выдают "1 . alpn=h3" без публичного ключа для ECH.
UPD: А, да, можно атаковать, если на HTTP-сайте отправить редирект на сторонний HTTPS-сайт с фальшивым доменом. Сработает это в случае, если пользователь будет вводить доменное имя сайта вручную, а режим HTTPS-only отключён в его браузере (тут не обладаю статистикой, у какого процента пользователей он отключён). Также спасёт HSTS Preload на стороне сервера, но сомневаюсь, что российские банки отправили свои домены в этот список.
А как? В содержимое TLS-сессии он по-прежнему вклиниваться не может. Разве что плоский HTTP-трафик может перехватить, но пользователь должен увидеть рядом с URL плашку "Не защищено" и что-то заподозрить.
Из похожих ещё PowerTunnel есть
И даже больше скажу: осуществляются эти "атаки" одной и той же компанией из трёх букв
Банковским приложениям замедление Google Play как раз и не грозит - их давно уже оттуда выкинули после попадания в санкционные списки.
Теперь понятно, почему замедлили Google Play, и без средств обхода DPI или VPN качает очень долго и постоянно стопорится посреди загрузки
И резко упавшее качество бумаги после того, как Эксмо скупил другие издательства, по моим субъективным наблюдениям
Без TPM PIN-код не даст безопасность, напротив, очень уязвим.
https://blog.elcomsoft.com/2022/08/windows-hello-no-tpm-no-security/
Смысл PIN-кода в том, что он выступает не ключом для шифрования, а одобряет расшифровку при помощи TPM. Потому вариант с перебором не подойдёт: есть "мягкий" лимит на количество неудачных попыток, после исчерпания которых попросит перезагрузить компьютер, чтобы попытаться снова. И "жёсткий" лимит, после исчерпания которого TPM окажется заблокирован на какое-то время (если я правильно понимаю). Командой Get-TPM в PowerShell можно посмотреть лимиты.
Мусор мне не нравился в 3-й части игры своей однотипностью. Да, выглядит красиво, как он разлетается, но когда это одна газета, расклонированная во множестве экземпляров - то выглядит это очень странно
Возможно, имелось ввиду, что эти настройки были в виде апплета классической Панели Управления, а теперь их перенесли в приложение Параметры.
Нормальная и правильная позиция. Практически любой уважающий себя автор не захочет, чтобы его произведения публиковали на околопиратских ресурсах, да ещё и без его согласия. В случае с видеоблогерами - то же самое.
В переводе на русский: 15 тысяч человек в сутки заглянули из любопытства проверить, работает ли на Рутубе функция заливки видео
Нет, это такой извращённый вариант галочки "remember me". При неактивности пользователь разлогинивается только частично, для повторного логина ему вместо ввода логина и пароля достаточно ввести свой пятизначный код. Насколько я понял из беглой проверки работоспособности этой функции.
Могли бы webauthn какой-нибудь прикрутить вместо костыля своего.
P.S. Проверил, "вход по отпечатку" это у них webauthn, но после этого подтверждения дополнительно отправляется ещё и СМС на номер телефона с кодом подтверждения. А по пятизначному PIN-коду - повторное подтверждение по СМС не требуется.
Вроде же по закону все российские провайдеры обязаны ставить ТСПУ, или нет?
Любой нашедший не знает ни логина-пароля владельца часов, ни какому сервису код принадлежит
AlmaLinux 9 + xray в докере ещё меньше весит, чем убунту, даже 3 гига на диске не заняло. Хорошо подойдёт для совсем "худых" VPSок на максимально дешёвых промо-тарифах:
В крайнем случае, можно качество понизить, для видео, в которых не нужно вчитываться в мелкий текст на экране, этого хватит
На момент 6 августа 2024 года - не поддерживает. Проверить можно тут: https://dns.google/query (RR Type выбрать HTTPS). Поскармливал несколько гугловских серверов (как из GGC, так и из подсети Гугла), все они выдают "1 . alpn=h3" без публичного ключа для ECH.