элементарно - если сим-карта не российская то и никакие белые списки на нее не распространяются по причине того что трафик идет через домашнего оператора
Во времена доткомов не было логистики как правильно заметил автор. Это сейчас даже роботы на улицах - обыденность. Думаю что не все тогда об этом кричали на каждом углу. А что нужно огромным датацентрам которые строят в США на каждом углу? Правильно - электричество! А где его брать будут вы слышали? Как не слышали? :) Там вроде атомные станции строить собирались да? А никто не в курсе что это минимум 5 лет - а на самом деле 10 :) А никто не слышал что в США нету технологии обогощения урана и его покупают? :) Хотя недавно вот вроде целых 90 кило обогатили :) Зеленая энергетика тут в пролёте - сегодня ветер дует, завтра нет. Гидроэлектростанции строить ещё сложнее. Углеводороды жечь - да их экологи сожрут без хлеба. Так что сейчас "главное построить ДЦ - потом разберемся" :)
ну на broadcom свет клином не сошелся, есть и другие вендоры вроде mellanox и остальных. да и зачем Вам доступ напрямую в CAM? Вы же не знаете внутреннюю структуру чипа и логику работы с ним. Хотя отдельные чипы позволяют как минимум читать эти таблицы диагностическими средствами.
Я недавно писал ndp proxy себе для VPN. Алгоритм работы примерно следующий:
отслеживается conntrack и если адрес (src или dst) попадает в указанную сеть периодически (10 секунд) выполняется unsolicited neigh advert этого адреса с mac интерфейса.
unsolicited neigh advert прекращается если событий conntrack для этого адреса не было 1 час.
прослушивается трафик neigh solicit и при получении запроса из искомой сети отправляется ответ с mac интерфейса.
периодически (10 секунд) отсылается neigh solicit на default gw и при получении ответа обновляется его адрес в таблице - сделано скорее для надежности и почему-то на одном из хостингов сеть /80 и мак gw часто пропадает.
могу немного причесать и выложить на github если кому-то будет полезно...
История из собственной жизни - чуть больше 3-х лет назад мне позвонили из одной компании и предложили работу разработчика сетевых сервисов. Возраст на тот момент 40+, опыта коммерческой разработки нет, компания пишет на Go - я писал на C (не модный и не молодежный) и в основном вещи для сетевой инфраструктуры сотового оператора (в котором тогда работал уже почти 7 лет), что такое Go вообще не знал до этого звонка. По модной классификации - джун--. Сходил, поговорил, вышел на работу. Втянулся, стал потихоньку писать. На данный момент свой уровень оценить сам я не смогу, но собеседования я уже сам провожу и коллеги периодически обращаются за советом. Так о чем я вообще? Джуны могут быть тоже разными - и это очень хорошо видно на собеседованиях. Под словом "джун" я в данном контексте понимаю человека без опыта разработки или с минимальным опытом. Одни например пытаются понять (или найти где-то) например как и почему сделаны какие-то вещи в языке именно так как сделаны, а не по другому. Понять концептуальные особенности языка чтобы правильно применять его сильные стороны и обойти слабые. Другие просто пытаются из готовых фреймворков что-то сляпать не разбираясь как и что внутри работает. Третьи (часто в телеграме очень попадается такое в профильных чатах) вообще пишут "посоветуйте интересный фреймворк вроде вот такого - чтобы поизучать". И опыт тут совсем не имеет значение, значение имеет заинтересованность в знаниях и какое-то базовое образование, которое дает университет (и уровень которых к сожалению падает сейчас). Вот по этой причине скорее всего и не берут дунов - тех кто хочет разобраться очень мало.
Т.е. другими словами Максима запрещает Вам выключать WiFi когда Вы им не пользуетесь — чтобы Ваш телефон не сканировал WiFi вокруг себя и не сажал зря батарею? :) Пойду жаловаться в «профильную службу»! :)
1. Именно осуществить установку корневого или промежуточного сертификата при посещении сайта — сильно совневаюсь — это просто технически довольно сложно (читай невозможно) сделать при посещении сайта через браузер :) В противном случае давно бы уже работал Казахский MITM :)
2. Как минимум у человека, который это написал это, на странице написано Security Researcher а не Security Expert :) И, честно говоря, этот пост не добавляет ему авторитета…
3. Что было на самом деле: устройство идет на какой-то хост по протоколу HTTPS, в момент когда оно не авторизовано (другими словами пользователь ещё не смотрел рекламу) контроллер WiFi перехватывает этот запрос и пытается на него ответить — естественно подсунув какой-то свой «левый» сертификат (обычно самоподписанный). В этот момент у пользователя и появляется предупреждение о том, что ему пытаются «впарить» сертификат сайта, у которого как минимум: a) не соответствует CN запрашиваемому (имени сайта), b) подписан он неизвестным издателем. Контроллер перехватывает этот трафик только для того, чтобы вставить туда редирект портал Максимы или сайт с рекламой. После жалоб Максима скорее всего изменила настройки контроллера — этот трафик просто стал дропаться и эта проблема ушла :)
4. Что касается совсем параноиков и людей, которые только «краем уха» слышали что такое PKI стоит почитать про certificate OID — это (грубо говоря) такие метки в сертификате, которые указывают для каких целей данный сертификат может применяться :) Т.е. не всякий сертификат можно использовать в качестве корневого или промежуточного, в качестве сертификата, удостоверяющего подлинность сайта и т.д. Начать можно здесть www.sysadmins.lv/blog-ru/chto-v-oide-tebe-moem.aspx :)
так а чем отличается то от PostgreSQL?
как человек, который проработал в сотовой связи 7 лет, не представляю как это возможно в случае с роумингом :) а написать можно что угодно :)
элементарно - если сим-карта не российская то и никакие белые списки на нее не распространяются по причине того что трафик идет через домашнего оператора
Во времена доткомов не было логистики как правильно заметил автор. Это сейчас даже роботы на улицах - обыденность. Думаю что не все тогда об этом кричали на каждом углу. А что нужно огромным датацентрам которые строят в США на каждом углу? Правильно - электричество! А где его брать будут вы слышали? Как не слышали? :) Там вроде атомные станции строить собирались да? А никто не в курсе что это минимум 5 лет - а на самом деле 10 :) А никто не слышал что в США нету технологии обогощения урана и его покупают? :) Хотя недавно вот вроде целых 90 кило обогатили :) Зеленая энергетика тут в пролёте - сегодня ветер дует, завтра нет. Гидроэлектростанции строить ещё сложнее. Углеводороды жечь - да их экологи сожрут без хлеба. Так что сейчас "главное построить ДЦ - потом разберемся" :)
Но вроде так не получится сослаться на интерфейс если Вы, например, хотите добавить маршрут через него
Cтранное решение идентифицировать интерфейсы по именам когда kernel их идентифицирует по ifIndex...
ну на broadcom свет клином не сошелся, есть и другие вендоры вроде mellanox и остальных. да и зачем Вам доступ напрямую в CAM? Вы же не знаете внутреннюю структуру чипа и логику работы с ним. Хотя отдельные чипы позволяют как минимум читать эти таблицы диагностическими средствами.
в разных ASIC по разному реализуется. SAI это надстройка над vendor SDK.
Я недавно писал ndp proxy себе для VPN. Алгоритм работы примерно следующий:
отслеживается conntrack и если адрес (src или dst) попадает в указанную сеть периодически (10 секунд) выполняется unsolicited neigh advert этого адреса с mac интерфейса.
unsolicited neigh advert прекращается если событий conntrack для этого адреса не было 1 час.
прослушивается трафик neigh solicit и при получении запроса из искомой сети отправляется ответ с mac интерфейса.
периодически (10 секунд) отсылается neigh solicit на default gw и при получении ответа обновляется его адрес в таблице - сделано скорее для надежности и почему-то на одном из хостингов сеть /80 и мак gw часто пропадает.
могу немного причесать и выложить на github если кому-то будет полезно...
История из собственной жизни - чуть больше 3-х лет назад мне позвонили из одной компании и предложили работу разработчика сетевых сервисов. Возраст на тот момент 40+, опыта коммерческой разработки нет, компания пишет на Go - я писал на C (не модный и не молодежный) и в основном вещи для сетевой инфраструктуры сотового оператора (в котором тогда работал уже почти 7 лет), что такое Go вообще не знал до этого звонка. По модной классификации - джун--. Сходил, поговорил, вышел на работу. Втянулся, стал потихоньку писать. На данный момент свой уровень оценить сам я не смогу, но собеседования я уже сам провожу и коллеги периодически обращаются за советом. Так о чем я вообще? Джуны могут быть тоже разными - и это очень хорошо видно на собеседованиях. Под словом "джун" я в данном контексте понимаю человека без опыта разработки или с минимальным опытом. Одни например пытаются понять (или найти где-то) например как и почему сделаны какие-то вещи в языке именно так как сделаны, а не по другому. Понять концептуальные особенности языка чтобы правильно применять его сильные стороны и обойти слабые. Другие просто пытаются из готовых фреймворков что-то сляпать не разбираясь как и что внутри работает. Третьи (часто в телеграме очень попадается такое в профильных чатах) вообще пишут "посоветуйте интересный фреймворк вроде вот такого - чтобы поизучать". И опыт тут совсем не имеет значение, значение имеет заинтересованность в знаниях и какое-то базовое образование, которое дает университет (и уровень которых к сожалению падает сейчас). Вот по этой причине скорее всего и не берут дунов - тех кто хочет разобраться очень мало.
2. Как минимум у человека, который это написал это, на странице написано Security Researcher а не Security Expert :) И, честно говоря, этот пост не добавляет ему авторитета…
3. Что было на самом деле: устройство идет на какой-то хост по протоколу HTTPS, в момент когда оно не авторизовано (другими словами пользователь ещё не смотрел рекламу) контроллер WiFi перехватывает этот запрос и пытается на него ответить — естественно подсунув какой-то свой «левый» сертификат (обычно самоподписанный). В этот момент у пользователя и появляется предупреждение о том, что ему пытаются «впарить» сертификат сайта, у которого как минимум: a) не соответствует CN запрашиваемому (имени сайта), b) подписан он неизвестным издателем. Контроллер перехватывает этот трафик только для того, чтобы вставить туда редирект портал Максимы или сайт с рекламой. После жалоб Максима скорее всего изменила настройки контроллера — этот трафик просто стал дропаться и эта проблема ушла :)
4. Что касается совсем параноиков и людей, которые только «краем уха» слышали что такое PKI стоит почитать про certificate OID — это (грубо говоря) такие метки в сертификате, которые указывают для каких целей данный сертификат может применяться :) Т.е. не всякий сертификат можно использовать в качестве корневого или промежуточного, в качестве сертификата, удостоверяющего подлинность сайта и т.д. Начать можно здесть www.sysadmins.lv/blog-ru/chto-v-oide-tebe-moem.aspx :)