Я бы скорее предположил, что это какое-то относительно хитрое колдунство с перенаправлением внутреннего трафика на стороне роутера.
Например, микротики довольно спокойно можно так настроить одним правилом в разделе Firewall NAT. Такое бывает, когда пользователь пытается пробросить порт наружу и сделать устройство внутри сети доступным по внешнему адресу как снаружи, так и изнутри сети. Иногда что-то идёт не так, правило составляют с ошибкой и, в лучшем случае, лишь проверяют, работает ли нечто ожидаемое, забыв проверить, не поломали ли чего-нибудь другого.
У меня есть доступ с личных компьютеров к сведениям под NDA. Специфика работы по фрилансу над некоторыми проектами.
Иногда друзья обращаются ко мне с просьбами или советами и просят не раскрывать полученную информацию никому. Если я обязался не сообщать никому, то «ну уж этому-то человеку можно сказать» недопустимо.
А ещё таким же образом могут получить доступ к почте дети и гости. И хотя у меня пока нет детей, я уверен, что в будущем мне будет, что от них скрывать.
Впрочем, я вижу в этом комментарии перевод темы из «это небезопасно» в «безопасность не нужна».
Код может быть шестизначным, и тогда перебор будет ощутимо дольше.
Поставщик смс может отреагировать на массовую отправку смс (а она, как мы знаем, недавно у некоторых подорожала в шесть раз) и после n-ного сообщения сказать: «слишком много запросов, подождите пять минут».
Но, соглашусь, с «невозможно» они переборщили. Вероятность всё-таки ненулевая, хоть и низкая на уровне погрешности.
Легко, соглашусь. Однако, пин-код подсматривается, как мне кажется, проще: пользователь совершает отрывистые нажатия на «клавиши» с чётко определёнными границами, имеющими иногда свойство неотключаемо подсвечиваться после нажатия. Для сравнения, жест при вводе графического ключа, если отключить демонстрацию ввода, выглядит как хаотичное движение пальцем по экрану, в котором опасность представляет только анализ жирового следа.
К тому же, ввод пин-кода от сим-карты нельзя заменить сканированием отпечатка пальца, FaceID или иной биотметрией, которую нельзя атаковать через слежку за пользователем.
>Protonmail <...> сделали возможность авторизации только по одному паролю
Да, причём, где-то полгода-год назад, как мне показалось, и это выглядит логичным: если тип второго фактора авторизации совпадает с типом первого, дополнительную безопасность они обеспечат вместе только для слишком замороченных пользователей.
Как правило, сим-карты в последние года выдаются с пин-кодами 0000 или 1234, выключенными по умолчанию. Большинство пользователей не стремится их включать, поскольку это затягивает процесс включения телефона, но при этом нечасто (пока ещё) даёт эффективную защиту.
В целом, пин-коды — штука легко подбираемая соц. инженерией в бытовых, семейных условиях. Что-то вроде «подглядеть из-за спины», пока партнёр вводит пин-код в перезагруженном злоумышленником телефоне. Графические ключи такую атаку делают более сложной. Но их в сим-карты, к сожалению, не завезли.
Имхо, использовать только смс без пароля — в целом опаснее, чем внедрять пароль без смс, поскольку взломы почт нужны не только незнакомым злоумышленникам, но и знакомым: ревнивым женам/мужьям или завистливым коллегам.
Печальная новость.
Теперь читать почту близких людей будет проще.
Взял телефон спящего супруга/супруги, зашёл в почту. Если телефон заблокирован и не показывает коды в первых строчках уведомлений на главном экране — переставил симку и получил ещё один код для входа.
С кражей паролей бороться было проще: сменил пароль на новый и уникальный, сохранил туда, откуда не утащат, и больше не паришься до следующего слива. С кражей телефонов бороться будет значительно сложнее.
Расскажите, пожалуйста, о сроке жизни на одном аккумуляторе. Сильно падает? Не планируете сделать подсветку отключаемой?
Cам, кстати, тоже являюсь обладателем двух Inch A6i и не перестаю радоваться, хотя, после того, как один разбился при довольно загадочных обстоятельствах, просто лёжа всю ночь в машине, второй пытаться модифицировать жалко. Да и аккумуляторы у обоих уже довольно грустные.
Задеплоить бложик компании на вордпрессе или лендинг с двумя скриптами на PHP иногда проще на шаред хостинге.
Заказчик оплачивает домен и ресурсы сервера в одном месте и не парится даже с добавлением DNS-записей. Аутсорсный разработчик пакует свою работу в архив, заказчик его разворачивает своими руками. В итоге даже на одного программера в штат денег не надо.
Было бы здорово, если бы кто-нибудь из присутствующих на рынке «накрутчиков» в такое умел. А то сейчас большинство берёт деньги за абсолютно бездумный массфоловинг просто по спискам, от которого отдачи очень мало, соответственно, задачу заказчика «а накрутите мне условные 5к подписчиков» они выполняют медленнее, чем могли бы.
Казань, Таттелеком, не работает Pocket (ec2-52-72-69-150.compute-1.amazonaws.com), на который когда-то меня подсадили ребята из Mozilla. Теперь мои закладки (на сайтах) доступны только через прокси.
Например, микротики довольно спокойно можно так настроить одним правилом в разделе Firewall NAT. Такое бывает, когда пользователь пытается пробросить порт наружу и сделать устройство внутри сети доступным по внешнему адресу как снаружи, так и изнутри сети. Иногда что-то идёт не так, правило составляют с ошибкой и, в лучшем случае, лишь проверяют, работает ли нечто ожидаемое, забыв проверить, не поломали ли чего-нибудь другого.
Примеры:
А ещё таким же образом могут получить доступ к почте дети и гости. И хотя у меня пока нет детей, я уверен, что в будущем мне будет, что от них скрывать.
Впрочем, я вижу в этом комментарии перевод темы из «это небезопасно» в «безопасность не нужна».
Поставщик смс может отреагировать на массовую отправку смс (а она, как мы знаем, недавно у некоторых подорожала в шесть раз) и после n-ного сообщения сказать: «слишком много запросов, подождите пять минут».
Но, соглашусь, с «невозможно» они переборщили. Вероятность всё-таки ненулевая, хоть и низкая на уровне погрешности.
К тому же, ввод пин-кода от сим-карты нельзя заменить сканированием отпечатка пальца, FaceID или иной биотметрией, которую нельзя атаковать через слежку за пользователем.
>Protonmail <...> сделали возможность авторизации только по одному паролю
Да, причём, где-то полгода-год назад, как мне показалось, и это выглядит логичным: если тип второго фактора авторизации совпадает с типом первого, дополнительную безопасность они обеспечат вместе только для слишком замороченных пользователей.
В целом, пин-коды — штука легко подбираемая соц. инженерией в бытовых, семейных условиях. Что-то вроде «подглядеть из-за спины», пока партнёр вводит пин-код в перезагруженном злоумышленником телефоне. Графические ключи такую атаку делают более сложной. Но их в сим-карты, к сожалению, не завезли.
Имхо, использовать только смс без пароля — в целом опаснее, чем внедрять пароль без смс, поскольку взломы почт нужны не только незнакомым злоумышленникам, но и знакомым: ревнивым женам/мужьям или завистливым коллегам.
Теперь читать почту близких людей будет проще.
Взял телефон спящего супруга/супруги, зашёл в почту. Если телефон заблокирован и не показывает коды в первых строчках уведомлений на главном экране — переставил симку и получил ещё один код для входа.
С кражей паролей бороться было проще: сменил пароль на новый и уникальный, сохранил туда, откуда не утащат, и больше не паришься до следующего слива. С кражей телефонов бороться будет значительно сложнее.
Cам, кстати, тоже являюсь обладателем двух Inch A6i и не перестаю радоваться, хотя, после того, как один разбился при довольно загадочных обстоятельствах, просто лёжа всю ночь в машине, второй пытаться модифицировать жалко. Да и аккумуляторы у обоих уже довольно грустные.
Заказчик оплачивает домен и ресурсы сервера в одном месте и не парится даже с добавлением DNS-записей. Аутсорсный разработчик пакует свою работу в архив, заказчик его разворачивает своими руками. В итоге даже на одного программера в штат денег не надо.