Мне кажется, это (hsts, список) костыли переходного периода и современный веб весь должен работать по защищенному протоколу. Браузер и так поддерживает в актуальном состоянии свежий список корневых сертификатов, зачем ещё какие-то списки?
Когда в Firefox появилась опция использования https по умолчанию (с предупреждением, когда протокол недоступен и возможностью опуститься до http), я активировал её сразу. Знаете, как случился тот единственный момент, когда я начал испытывать трудности? Когда провайдер случайным образом стал сбрасывать соединения на 443 порт, а подключение по http редиректил на заглушку с довольно ироничным содержимым. Можно сказать, я стал жертвой MITM от Ростелекома, и это не прошло для меня незамеченным, так как браузер предупреждал о каждой такой ситуации.
Мой опыт, безусловно, слишком частный, чтобы делать какие-то выводы, но для себя я их давно сделал.
Спидтест с самого начала показывал скорость последней мили (с опциональным выбором, где эту милю терминировать). Как там шейпится трафик выше - уже не в компетенции спидтеста.
А, ну это не Defender виноват, это как я и написал, тот факт, что брандмауэр дропает входящий трафик на хост на этом интерфейсе.
То, что вам техподдержка посоветовала, это еще хуже в плане безопасности чем то, что рекомендуется сделать в мануале Jetbrains, ссылку на который я привел. Там просто разрешается входящий трафик, но интерфейс остается в public зоне, и к приложениям, слушающим порты в private зоне, зловреды из виртуалки не пролезут. А для вашего софта нужно просто добавить правило на входящий трафик из public зоны. Техподдержка же советует вам разрешить вообще любой трафик из виртуалки в любой зоне на все порты этого интерфейса. Ну, такое.
Посмотрел, что за софт у вас. Иксы в WSL2 проще через ssh прокидывать, рекомендую вам посмотреть как это в MobaXterm реализовано. Там в виртуалке запускается лайтовая копия ssh-сервера dropbear, подключение к нему происходит через лайтовую копию putty, всё это прозрачно для пользователя - достаточно один раз настроить.
Ой ли? К примеру, ASUS вплоть до 2019 года (а может и сейчас) не ставила TPM header на топовые материнки ROG Maximus (кроме Hero). И fTPM там нет. Ну, типа, а зачем? Впрочем, дожить до 2025 с Win10 для таких - вполне адекватно.
Интерфейс-то есть, он поднимается при запуске ВМ с WSL2. И правила брандмауэра для него создаются (тут не без нюансов, что часто видно в eventlog, особенно если во время работы виртуалки у хоста меняется powerstate - не исключено, что там состояние гонки, сильно это не копал). И интерфейс по умолчанию в недоверенной зоне (public network), и например чтобы делать всякие вещи с хостовой IntelliJ IDEA внутри WSL2, у них же в мануале советуют весь трафик с этого интерфейса к хосту разрешать (что, конечно же, совсем не добавляет секурности). Тут как бы проблемы индейцев, но если рассматривать WSL2 чисто как игрушку для VSCode, то грустно. Ждём гуй и нативный запуск IDE, да. В Docker Desktop поверх WSL2 проблем не замечал, опять же, но там сеть работает через прокладку (я так понимаю, это best practice, не только у докера видел такой способ). А куда там Defender лезет и зачем? И вы наверное под сетевый интерфейсом имеете в виду отдельный connection profile?
А разве там теперь не новый планировщик? МС же вроде как специально для big.LITTLE его переписывали, ну и смена цифры версии ОС для такой значимой части системы выглядит логично.
Набор основан не на сервисе поиска, а на Дзене. В тексте про это целый параграф.
То есть про Кеску именно пишут. Пользователи. Ну а слова на КДПВ вряд ли связаны с частотностью, их же лингвисты отбирали из набора. Думаю, основной критерий попадания на картинку — уникальность.
Вы, наверное, не понимаете, как работает sslstrip. Человек посередине запрашивает сайт по https и отдает браузеру жертвы по http, выступая прокси.
Если жертва заранее была на сайте и получила HSTS-заголовки, или браузер жертвы актуализировал preload списки, то атака не получится.
Если жертва ничего не знает про (не)доступность сайта по незащищенному протоколу - получится.
Как я уже написал выше, поможет только повсеместный переход на https, только хардкор. Остальное костыли
Мне кажется, это (hsts, список) костыли переходного периода и современный веб весь должен работать по защищенному протоколу. Браузер и так поддерживает в актуальном состоянии свежий список корневых сертификатов, зачем ещё какие-то списки?
Когда в Firefox появилась опция использования https по умолчанию (с предупреждением, когда протокол недоступен и возможностью опуститься до http), я активировал её сразу. Знаете, как случился тот единственный момент, когда я начал испытывать трудности? Когда провайдер случайным образом стал сбрасывать соединения на 443 порт, а подключение по http редиректил на заглушку с довольно ироничным содержимым. Можно сказать, я стал жертвой MITM от Ростелекома, и это не прошло для меня незамеченным, так как браузер предупреждал о каждой такой ситуации.
Мой опыт, безусловно, слишком частный, чтобы делать какие-то выводы, но для себя я их давно сделал.
Заглушка РТК, от которой фейспалм
Да, проблема курицы и яйца. Если пользователь заходит на сайт впервые, он никак не сможет узнать, что ему сделали sslstrip (ну, если он невнимателен).
Где Insert?
Спидтест с самого начала показывал скорость последней мили (с опциональным выбором, где эту милю терминировать). Как там шейпится трафик выше - уже не в компетенции спидтеста.
Далее по тексту, конечно, понятно, что речь о квокке, но первая мысль - "за что они так Сеймура".
Ну это уже классика. Вероятно, обсуждаемое в статье возбуждение - тоже результат контрольной закупки.
Извините, а зачем вы позволяете ключу восстановления (и нет, это не мастер-ключ) попадать к Майкрософт?
Видите ли, в чем дело...
Если читать это как конкатенацию, то первый и второй пункты плохо соотносятся друг с другом -> это перечисление.
А, ну это не Defender виноват, это как я и написал, тот факт, что брандмауэр дропает входящий трафик на хост на этом интерфейсе.
То, что вам техподдержка посоветовала, это еще хуже в плане безопасности чем то, что рекомендуется сделать в мануале Jetbrains, ссылку на который я привел. Там просто разрешается входящий трафик, но интерфейс остается в public зоне, и к приложениям, слушающим порты в private зоне, зловреды из виртуалки не пролезут. А для вашего софта нужно просто добавить правило на входящий трафик из public зоны. Техподдержка же советует вам разрешить вообще любой трафик из виртуалки в любой зоне на все порты этого интерфейса. Ну, такое.
Посмотрел, что за софт у вас. Иксы в WSL2 проще через ssh прокидывать, рекомендую вам посмотреть как это в MobaXterm реализовано. Там в виртуалке запускается лайтовая копия ssh-сервера dropbear, подключение к нему происходит через лайтовую копию putty, всё это прозрачно для пользователя - достаточно один раз настроить.
*Сформулирую иначе: не на всех скайлейках(и выше) можно включить Intel PTT, это сильно зависит от производителя.
Ой ли?
К примеру, ASUS вплоть до 2019 года (а может и сейчас) не ставила TPM header на топовые материнки ROG Maximus (кроме Hero). И fTPM там нет. Ну, типа, а зачем? Впрочем, дожить до 2025 с Win10 для таких - вполне адекватно.
Интерфейс-то есть, он поднимается при запуске ВМ с WSL2. И правила брандмауэра для него создаются (тут не без нюансов, что часто видно в eventlog, особенно если во время работы виртуалки у хоста меняется powerstate - не исключено, что там состояние гонки, сильно это не копал). И интерфейс по умолчанию в недоверенной зоне (public network), и например чтобы делать всякие вещи с хостовой IntelliJ IDEA внутри WSL2, у них же в мануале советуют весь трафик с этого интерфейса к хосту разрешать (что, конечно же, совсем не добавляет секурности). Тут как бы проблемы индейцев, но если рассматривать WSL2 чисто как игрушку для VSCode, то грустно. Ждём гуй и нативный запуск IDE, да. В Docker Desktop поверх WSL2 проблем не замечал, опять же, но там сеть работает через прокладку (я так понимаю, это best practice, не только у докера видел такой способ).
А куда там Defender лезет и зачем? И вы наверное под сетевый интерфейсом имеете в виду отдельный connection profile?
А разве там теперь не новый планировщик? МС же вроде как специально для big.LITTLE его переписывали, ну и смена цифры версии ОС для такой значимой части системы выглядит логично.
Интересно, как появилась такая должность?
Набор основан не на сервисе поиска, а на Дзене. В тексте про это целый параграф.
То есть про Кеску именно пишут. Пользователи. Ну а слова на КДПВ вряд ли связаны с частотностью, их же лингвисты отбирали из набора. Думаю, основной критерий попадания на картинку — уникальность.
То есть если его прямо сейчас удалить, то он больше не поставится?
У вас, судя по всему, включен errexit в профиле оболочки, а у китайского разработчика - нет.
Ключевая - в сложности реакции.
Вероятно, в механизме (он может быть отчасти общим). Но это уже к этологам. Выше привели хорошую ссылку.