Практическое использование атаки ну очень сомнительно: надо чтоб жертва набрала пароль и сразу отскочила от клавиатуры чтоб дать отработать тепловизору и чтоб ещё и не фонить.
При таких исходниках проще заснять на видео процесс ввода пароля - и дешевле и надёжнее и погода не влияет
И поисковая выдача от Bing по умолчанию вполне порадовала релевантностью по сравнению с тем что раньше было. Даже не стал хром качать для не основной машины ;)
Всё-таки срок перебора, принятый приемлемым для каждого случая, должен проходить красной линией в описании. В каких-то случаях срок в год вполне приемлем, а в каких-то и час это уже много.
И ещё: насколько я понимаю для сравнения принимается полный перебор всех значений, что в реале не совсем верно, ведь нам не надо перебрать все значения, а лишь дойти до правильного. Поправьте если ошибаюсь, мне всегда этот нюанс в оценочных расчётах казался большим упущением (или допущением :) ).
Именно так и делаю. Плюс у одного не особо известного сервиса пользуюсь функцией «бэкап папки»: это когда всё что в папку попадает заливается на облако, но если что-то из папки удаляется, то в облаке оно остаётся
Пусть кинет в меня камень кто по своей рукожопости не имел даунтайм 12 часов.
Да, дерьмо случается, бывают даже лютые факапы, но вот то как на это реагирует компания, какую даёт обратную связь и делает из этого выводы это очень важно и один из главных индикаторов для решения работать с ребятами.
Надо тогда по защищённому каналу обменяться ключами (какому?), а потом ещё и защититься от компрометации твоего ключа у какого-то отдельного пользователя, а значит иметь столько ключей сколько собеседников, а значит ручками менеджментом ключей заниматься. Этот вариант чуть продвинутее блокнотика и кнопочного телефона, но тоже далёк от совершенства…
Ждал релиза, как раз надо было новую ОСь накатывать на новое железо. Но заявление о наличии ошибок дискредитировало саму суть Дебиана. Раньше была философия что пакеты не свежие, ядро тоже не самое последнее, но стабильность. А сейчас?
Зачем брать дистрибутив, заточенный многими умными головами под проверенную стабильность (это касается и железа - проверенного временем) и прикручивать потом к нему не стабильное ядро? Проще тогда уж Арч взять ;)
Что ж он только после окончания поддержки винды 7 раскрыл лайфхак этот? Кому как, а для меня реально полезная фича
Ваше объяснение проще, понятнее и нагляднее чем в статье. Спасибо.
Практическое использование атаки ну очень сомнительно: надо чтоб жертва набрала пароль и сразу отскочила от клавиатуры чтоб дать отработать тепловизору и чтоб ещё и не фонить.
При таких исходниках проще заснять на видео процесс ввода пароля - и дешевле и надёжнее и погода не влияет
То есть рельса прочнее не стала пока ещё? Но статья уже есть…
И поисковая выдача от Bing по умолчанию вполне порадовала релевантностью по сравнению с тем что раньше было. Даже не стал хром качать для не основной машины ;)
Всё-таки срок перебора, принятый приемлемым для каждого случая, должен проходить красной линией в описании. В каких-то случаях срок в год вполне приемлем, а в каких-то и час это уже много.
И ещё: насколько я понимаю для сравнения принимается полный перебор всех значений, что в реале не совсем верно, ведь нам не надо перебрать все значения, а лишь дойти до правильного. Поправьте если ошибаюсь, мне всегда этот нюанс в оценочных расчётах казался большим упущением (или допущением :) ).
Именно так и делаю. Плюс у одного не особо известного сервиса пользуюсь функцией «бэкап папки»: это когда всё что в папку попадает заливается на облако, но если что-то из папки удаляется, то в облаке оно остаётся
Может я слишком быстро пролистал код, но где мы удостоверяемся что грузим медиа файл, а не какой-нибудь бэкдор? Ну разве что на права 0666 уповаем?
Спасибо за минус в карму (первый)
А я всё равно настаиваю что реакция у ребят на свой факап правильная и я был бы рад если бы этому примеру последовали другие.
Пусть кинет в меня камень кто по своей рукожопости не имел даунтайм 12 часов.
Да, дерьмо случается, бывают даже лютые факапы, но вот то как на это реагирует компания, какую даёт обратную связь и делает из этого выводы это очень важно и один из главных индикаторов для решения работать с ребятами.
Надо тогда по защищённому каналу обменяться ключами (какому?), а потом ещё и защититься от компрометации твоего ключа у какого-то отдельного пользователя, а значит иметь столько ключей сколько собеседников, а значит ручками менеджментом ключей заниматься. Этот вариант чуть продвинутее блокнотика и кнопочного телефона, но тоже далёк от совершенства…
Было почти так, но не совсем. Количество багов было существенно меньше (ну или мне так кажется из-за того что ну очень уж релиз ждал для установки)
Ждал релиза, как раз надо было новую ОСь накатывать на новое железо. Но заявление о наличии ошибок дискредитировало саму суть Дебиана. Раньше была философия что пакеты не свежие, ядро тоже не самое последнее, но стабильность. А сейчас?
Чтоб применить этот эксплоит нужно много очевидных для хомяка действий совершить, да ещё и на залогиненной машине:
Слить образ тайм машины, модифицировать его
Заливать обратно, запустив скрипт судя по всему руками юзера (ну или имея рутовый доступ, но тогда нахрена вот это вот всё)
А потом ещё и заставить юзера откатиться на нужный образ
И потом после ребута, как я понял, заработает эксплоит.
Майкам самим не стыдно после сравнения со своими дырами?
Я думаю стоит исправить опечатку в названии профессии: engineer
Зачем брать дистрибутив, заточенный многими умными головами под проверенную стабильность (это касается и железа - проверенного временем) и прикручивать потом к нему не стабильное ядро? Проще тогда уж Арч взять ;)
Забыл что сегодня первое апреля, по 5 раз перечитывал новый синтаксис, думал всё, доработался к вечеру…