Единственное, зачем может быть нужен User-Agent это отдать мобильную или десктопную версию
Как раз для этого он и не нужен, потому что проще обработать 1 или 0 (в идеальном мире):
The Sec-CH-UA-Mobile HTTP header is a user agent client hint that indicates whether the browser prefers a mobile user experience. It is sent by default without requiring the server to opt in via the Accept-CH header
Если аус современный, то пароль отсутствует бай дизайн
Если пароль есть - это не современный подход
Но для чего именно пароль? Ведь кейсов тьма: банально веб сервис, или что-то сложнее, как то: телефон, архив, ворд/пдф документ, код двери, вайфай (попробуй это фразу из статьи на ТВ ввести)
Как придумать надежный пароль и не забыть его?
Отвечая на вопрос в заголовке - юзать менеджер паролей и не мучать свой мозг сложносочинёнными правилами, те же вайфай и опароль от телефона - тоже в менеджер паролей ибо стоит признать - память она такая, забывает редко используемое
Использовать одну учётку более чем для одной цели в целом так себе путь
Ставить простой пароль
Кажется, что «слабые» пароли давно канули в прошлое
Пароли давно канули в прошлое, а не только лишь слабые
В рисках есть 4 пути: митигировать, принять, переложить и лучше всего - избежать, нет паролей = нет риска слабых паролей
специалисты могут забыть почистить тестовые данные и аккаунты. В итоге тестовая СУБД становится точкой входа, открывающей хакерам доступ к персональным данным клиентов, партнеров и сотрудников
Тестовые данные почти всегда содержат реальные данные 0_о
Таких "специалистов" надо бы лишать доступа к прод. данным
Плюс даже, если у них появилось желание скопировать данные, то доп шифрование на уровне приложения ключом прода неплохо так митигирует вероятность скопипастить данные
Выдавать избыточные привилегии
Про ревизию доступов - кмк лучше правильный процесс, даже если доступ был выдан на всё, то это должно быть зафиксировано в тикетной системе с указанием даты отзыва (а как уже будет отзыв реализован - не суть важно, может ручками, может автоматом)
логи фиксируют запросы, но не результаты
кмк и не нужно логировать результаты до тех пор, пока не триггернётся правило, что в выдаче сенситив инфа, соответственно DLP. Иначе у вас появится ещё одна неизменная база данных (логи ведь обязаны быть неизменными, иначе ценность их нулевая, как раз в случае реального расследования), а неизменная БД = невозможность удалить данные пользователя по его требованию
Побесить злоумышленника – святое дело, ведь его потраченное впустую время = потенциально кого-то спасти
Однажды они спалили токен к тг боту (привет вайбкодерам) - перенаправил хуки к себе. Как следствие я знал жертв, а злоумышленники - нет. У них там тикетная система была построена на хуках тг, оч неплохо. Ну и все аккаунты, благодаря боту спалились (куда нужно жалобы отправили)
Ещё был кейс - нехорошее ручное использование сервиса, так я слегка спалил красные флаги и вкрутил тупую защиту, о которой они не знали (вызов апи возвращал 200 OK, но ничего не делал). Как "атака" прекращалась – защита отключалась и я наблюдал, как они пытаются отладить своё решение, но во время ручного теста всё работало ожидаемо 😈
А разок прислали ссылку коллеге от DHL или банка, сервер был простеньким и укладывался через slow client attack на раз два, всю ночь они мучались, бедняги
Теперь жду, когда бы против парней заюзать React2shell 🫠
О, чуть не забыл - backup.zip и всё такое на фиш сайтах искать тоже полезно! Но увы, лишь раз сработало 🙃
Я этого и не утверждал, но определённо они уменьшают себе кучу рисков и расходов касаемо чисто компаний: общение с пользователями, рассылки СМС, в крайнем случае – траты на юристов. Для людей – современный безопасный и гораздо более удобный аус, чем пароли, для компаний – меньше трат. Приложить палец проще к телефону/компу, чем заставлять пользователя ждать, ожидание это опасно – он может передумать или поставить плохую оценку (актуально для сторов)
Вы можете хоть десять пасскеев резервных добавить (телефоны, менеджеры паролей, ОС, всякие гугл/эпол, юбикеи в конце концов)
И если вы потеряли один единственный ключ – ССЗБ, нужно было как с ключами от квартиры - делать запаску
А вот утеря единственного пароля это реальная печаль
Да что там говорить, для веб сервисов пароли уже прошлый век, глянуть хотя бы на багтехи, типа гугл, мс, да хоть ибей или дроп бокс – форсируют по полной программе (видимо бороться с фишами устали)
Получилось так, что примерно раз в год пробую новые браузеры
На текущий момент в качестве личного дефолтного на десктопе и мобиле юзаю Brave, из хорошего - всё лишнее отключаемое, из плохого - нужно всё же всё лишнее отключить. Зато ютуб без рекламы и без шортсов!
Для работы таки - Google Chrome, чтобы понимать, как оно работает у людей, как себя поведут изменённые политики
В обоих десктопных вариантах есть выгрузка неактивных вкладок, что позволяет экономить память, раз уж на то пошло (но я более 10-15 не держу открытых - раздражает)
Также очень хорошо помогает для сёрфинга - отключить JavaScript по дефолту для всех сайтов, как следствие - любая статья открывается буквально моментально (и без баннеров войдите / подпишитесь / на кукисы согласитесь / номер оставьте - созвонитесь). А если JS нужен - в адресной строке переключатель и для сайта он запоминается навсегда, но чтобы лишнего таки не грузить можно NoScript extension прикрутить (больше для хрома актуально)
В DuckDuckGo тоже вроде ютубчик без рекламы (даже со своим плеером), но по поводу данных сайтов и истории - сжигание нужно вызывать спец кнопкой, в хроме и брейве емнип можно включить в настройках тот же режим и зачищать всё при выходе (не оч удобно, пробовал без зачистки истории, для логинов спасал 1пасс, но горе дизайнеры делают не всегда комфортные автовход страницы, порой даже с капчей - изверги)
Edge пробовал (месяцами в качестве дефолта), когда ии там только появился (вроде 2023-й) - было достойно, но больше всего зашла фича рабочих пространств (читай - проектов), как бы мини профили внутри профилей под задачи (оч своеобразные группы, что-то в них есть): жаль требует МС учётки. Примечательно - именно Edge блокировал самые свежие плохие сайты быстрее хрома и фф, в этом отношении прям полодцы. Встроенный впн с преднастройками - тоже неплохо, только не знаю нафига он рядовому пользователю.
С Firefox пришлось слезть, когда началось ощутимое тех. отставание (вроде тот же 23-й и это была фича FIDO2 WebAuthN), запускаю лишь для редких кейсов связанных с девтулбаром
Увы, идеала нет, и пробовать всякое разное бывает полезным, ибо для каждой задачи/цели свой инструмент (слышал яндекс браузер умеет ютуб видео переводить, вероятно когда-нибудь даже заюзаю)
Помню одним из первых заданий на самой первой работе было что-то сделать с каптчами, тогда тоже хорошо проигрался с дизайном, но генерили мы кодом эти картинки (идеальная задача для джуна – сделать свою капчу, особенно в год появления Stack Overflow, читай - не было)
Сейчас же наблюдаю, как ботики или ресёрчеры спотыкаются на:
просто CSRF токенах
на том, что на каждое поле - свой api endpoint с ключом продолжения в ответе (да, похоже на csrf, но суть во множестве endpoints)
На рандомных задержках
И рейтлимитах
В особых случаях – JavaScript challenge (без UI!)
Тут главное, чтобы интерфейс (пользователь) при том не ждал ответа сервера, если чисто визуально можно продолжать заполнять "форму"
И как заметили выше – рандомные имена параметров тоже неплохой вариант
А вот капчи, которые нужно разгадывать – это ж прошлый век, как впн и кнопочные телефоны (да, они всё ещё есть и используются, но не вы же?)
Чуть идей можно найти тут https://yoursec.substack.com/p/login-page-for-modern-applications
Тут ещё не хватает edge, таки много людей на нём (раз уж есть хром)
Интереса ради иногда сравниваю, как они реагируют на те или иные плохие (откровенные фиш) сайты, в прошлом edge справлялся на порядок лучше, хром малость отставал, остальные на свежие находки вовсе не реагировали
Так что люди, что хотят приватности от бигтехов в браузере, вероятно, неплохо подставляют себя по риалтайм протекшн. И какой в том толк, если почтовые сервисы юзают от бигтехов, не шифруя почту на каком-либо email relay через PGP. Типа почта gmail, но хром нельзя, оч "хитро"!
Забыл дополнить, тут 2FA при желании тоже присутствует, как минимум с ключами, что на телефоне/менеджере паролей или даже в юбикее (можно установить пин или брать устройство с отпечатком, главное на всякий случай брать парочку и тестить DRP для себя)
Но в целом нормально, я бы её рекомендовал до чтения Клеппмана
Как раз для этого он и не нужен, потому что проще обработать 1 или 0 (в идеальном мире):
Если аус современный, то пароль отсутствует бай дизайн
Если пароль есть - это не современный подход
Но для чего именно пароль? Ведь кейсов тьма: банально веб сервис, или что-то сложнее, как то: телефон, архив, ворд/пдф документ, код двери, вайфай (попробуй это фразу из статьи на ТВ ввести)
Отвечая на вопрос в заголовке - юзать менеджер паролей и не мучать свой мозг сложносочинёнными правилами, те же вайфай и опароль от телефона - тоже в менеджер паролей ибо стоит признать - память она такая, забывает редко используемое
Спам будущего: лучший пламбер, с которым вы работаете уже несколько лет по адресу бла бла, игнориуй остальные письма
Чуть докину:
Использовать одну учётку более чем для одной цели в целом так себе путь
Пароли давно канули в прошлое, а не только лишь слабые
В рисках есть 4 пути: митигировать, принять, переложить и лучше всего - избежать, нет паролей = нет риска слабых паролей
Тестовые данные почти всегда содержат реальные данные 0_о
Таких "специалистов" надо бы лишать доступа к прод. данным
Плюс даже, если у них появилось желание скопировать данные, то доп шифрование на уровне приложения ключом прода неплохо так митигирует вероятность скопипастить данные
Про ревизию доступов - кмк лучше правильный процесс, даже если доступ был выдан на всё, то это должно быть зафиксировано в тикетной системе с указанием даты отзыва (а как уже будет отзыв реализован - не суть важно, может ручками, может автоматом)
кмк и не нужно логировать результаты до тех пор, пока не триггернётся правило, что в выдаче сенситив инфа, соответственно DLP. Иначе у вас появится ещё одна неизменная база данных (логи ведь обязаны быть неизменными, иначе ценность их нулевая, как раз в случае реального расследования), а неизменная БД = невозможность удалить данные пользователя по его требованию
Побесить злоумышленника – святое дело, ведь его потраченное впустую время = потенциально кого-то спасти
Однажды они спалили токен к тг боту (привет вайбкодерам) - перенаправил хуки к себе. Как следствие я знал жертв, а злоумышленники - нет. У них там тикетная система была построена на хуках тг, оч неплохо. Ну и все аккаунты, благодаря боту спалились (куда нужно жалобы отправили)
Ещё был кейс - нехорошее ручное использование сервиса, так я слегка спалил красные флаги и вкрутил тупую защиту, о которой они не знали (вызов апи возвращал 200 OK, но ничего не делал). Как "атака" прекращалась – защита отключалась и я наблюдал, как они пытаются отладить своё решение, но во время ручного теста всё работало ожидаемо 😈
А разок прислали ссылку коллеге от DHL или банка, сервер был простеньким и укладывался через slow client attack на раз два, всю ночь они мучались, бедняги
Теперь жду, когда бы против парней заюзать React2shell 🫠
О, чуть не забыл - backup.zip и всё такое на фиш сайтах искать тоже полезно! Но увы, лишь раз сработало 🙃
Я этого и не утверждал, но определённо они уменьшают себе кучу рисков и расходов касаемо чисто компаний: общение с пользователями, рассылки СМС, в крайнем случае – траты на юристов. Для людей – современный безопасный и гораздо более удобный аус, чем пароли, для компаний – меньше трат. Приложить палец проще к телефону/компу, чем заставлять пользователя ждать, ожидание это опасно – он может передумать или поставить плохую оценку (актуально для сторов)
Вы можете хоть десять пасскеев резервных добавить (телефоны, менеджеры паролей, ОС, всякие гугл/эпол, юбикеи в конце концов)
И если вы потеряли один единственный ключ – ССЗБ, нужно было как с ключами от квартиры - делать запаску
А вот утеря единственного пароля это реальная печаль
Да что там говорить, для веб сервисов пароли уже прошлый век, глянуть хотя бы на багтехи, типа гугл, мс, да хоть ибей или дроп бокс – форсируют по полной программе (видимо бороться с фишами устали)
Because 9 8 2000
Неожиданное воспоминание разблокировано 🤪
FF: 9 & 93
Brave: 12.8 & 178
Батарея более 99%, gt 7, andr 16
Про задачи: статьи читать с отключенным JS по-дефолту – любой подойдёт
А вот ютуб без рекламы и странных редиректов – таки Brave ;)
Фи, какая старая
У меня уже 95-я!
Стоило лишь раз загуглить таблетки от паранойи и их реклама меня уже 10 лет преследует!
Получилось так, что примерно раз в год пробую новые браузеры
На текущий момент в качестве личного дефолтного на десктопе и мобиле юзаю Brave, из хорошего - всё лишнее отключаемое, из плохого - нужно всё же всё лишнее отключить. Зато ютуб без рекламы и без шортсов!
Для работы таки - Google Chrome, чтобы понимать, как оно работает у людей, как себя поведут изменённые политики
В обоих десктопных вариантах есть выгрузка неактивных вкладок, что позволяет экономить память, раз уж на то пошло (но я более 10-15 не держу открытых - раздражает)
Также очень хорошо помогает для сёрфинга - отключить JavaScript по дефолту для всех сайтов, как следствие - любая статья открывается буквально моментально (и без баннеров войдите / подпишитесь / на кукисы согласитесь / номер оставьте - созвонитесь). А если JS нужен - в адресной строке переключатель и для сайта он запоминается навсегда, но чтобы лишнего таки не грузить можно NoScript extension прикрутить (больше для хрома актуально)
В DuckDuckGo тоже вроде ютубчик без рекламы (даже со своим плеером), но по поводу данных сайтов и истории - сжигание нужно вызывать спец кнопкой, в хроме и брейве емнип можно включить в настройках тот же режим и зачищать всё при выходе (не оч удобно, пробовал без зачистки истории, для логинов спасал 1пасс, но горе дизайнеры делают не всегда комфортные автовход страницы, порой даже с капчей - изверги)
Edge пробовал (месяцами в качестве дефолта), когда ии там только появился (вроде 2023-й) - было достойно, но больше всего зашла фича рабочих пространств (читай - проектов), как бы мини профили внутри профилей под задачи (оч своеобразные группы, что-то в них есть): жаль требует МС учётки. Примечательно - именно Edge блокировал самые свежие плохие сайты быстрее хрома и фф, в этом отношении прям полодцы. Встроенный впн с преднастройками - тоже неплохо, только не знаю нафига он рядовому пользователю.
С Firefox пришлось слезть, когда началось ощутимое тех. отставание (вроде тот же 23-й и это была фича FIDO2 WebAuthN), запускаю лишь для редких кейсов связанных с девтулбаром
Увы, идеала нет, и пробовать всякое разное бывает полезным, ибо для каждой задачи/цели свой инструмент (слышал яндекс браузер умеет ютуб видео переводить, вероятно когда-нибудь даже заюзаю)
PS: про инкогнито мод ↘️
Благодаря web assembly это доступно и сейчас, например https://dotnet.microsoft.com/en-us/apps/aspnet/web-apps/blazor
От Скиены сильно полнее и полезнее будет ;)
Помню одним из первых заданий на самой первой работе было что-то сделать с каптчами, тогда тоже хорошо проигрался с дизайном, но генерили мы кодом эти картинки (идеальная задача для джуна – сделать свою капчу, особенно в год появления Stack Overflow, читай - не было)
Сейчас же наблюдаю, как ботики или ресёрчеры спотыкаются на:
просто CSRF токенах
на том, что на каждое поле - свой api endpoint с ключом продолжения в ответе (да, похоже на csrf, но суть во множестве endpoints)
На рандомных задержках
И рейтлимитах
В особых случаях – JavaScript challenge (без UI!)
Тут главное, чтобы интерфейс (пользователь) при том не ждал ответа сервера, если чисто визуально можно продолжать заполнять "форму"
И как заметили выше – рандомные имена параметров тоже неплохой вариант
А вот капчи, которые нужно разгадывать – это ж прошлый век, как впн и кнопочные телефоны (да, они всё ещё есть и используются, но не вы же?)
Чуть идей можно найти тут https://yoursec.substack.com/p/login-page-for-modern-applications
Тут ещё не хватает edge, таки много людей на нём (раз уж есть хром)
Интереса ради иногда сравниваю, как они реагируют на те или иные плохие (откровенные фиш) сайты, в прошлом edge справлялся на порядок лучше, хром малость отставал, остальные на свежие находки вовсе не реагировали
Так что люди, что хотят приватности от бигтехов в браузере, вероятно, неплохо подставляют себя по риалтайм протекшн. И какой в том толк, если почтовые сервисы юзают от бигтехов, не шифруя почту на каком-либо email relay через PGP. Типа почта gmail, но хром нельзя, оч "хитро"!
"Сервис Pocket" – из-за этого кажется, что это перевод какой-то старой статьи, только ссылки не вижу
А так да, сервис закончился 8 июля
Когда ожидал прочесть про NIST 800 207, а читал про Windows 11 by Ghost Spectre 🤪
Забыл дополнить, тут 2FA при желании тоже присутствует, как минимум с ключами, что на телефоне/менеджере паролей или даже в юбикее (можно установить пин или брать устройство с отпечатком, главное на всякий случай брать парочку и тестить DRP для себя)