| 1.1, ОлдФак (ok), 10:32, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +32 +/– |
 Ага, закрытые ключи на смартфоне. А смартфон их при любом удобном случае - дядям Сэмам.
Молодцы!
| | |
| |
| 2.59, XXX (??), 14:06, 04/05/2017 [^] [^^] [^^^] [ответить]
| +8 +/– |
"Может им еще и ключи от сервера где деньги лежат?" (с)
| | |
| |
| 3.73, DmA (??), 15:40, 04/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
у вас есть способ передавать ключи со смартфона не размещая их там? Они всё равно будут у дяди Сэма!
| | |
| |
| 4.77, _ (??), 16:09, 04/05/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
Так и не размещай их _там_ Д,Б!
Да сервера иногда ломают.
Но, таки - да, телефоны взломаны _всегда_, это их основная функция вообще-то :)
| | |
| |
| 5.82, DmA (??), 16:25, 04/05/2017 [^] [^^] [^^^] [ответить]
| –5 +/– |
> Так и не размещай их _там_ Д,Б!
> Да сервера иногда ломают.
> Но, таки - да, телефоны взломаны _всегда_, это их основная функция вообще-то
> :)
Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!
| | |
| |
| 6.119, Аноним (-), 21:16, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!
Вы хотите поговорить о том, что Вам кажется?
| | |
| |
| 7.136, DmA (??), 08:24, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!
> Вы хотите поговорить о том, что Вам кажется?
а я всегда только об этом и говорю!
| | |
|
|
|
|
|
|
| 1.2, Аноним (-), 10:33, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– | |
>С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере).
По-моему, хипстота снова пытается всех обмануть.
Не кажется ли вам, что подобный trade-off не в пользу мобильного приложения?
| | |
| 1.3, Аноним (-), 10:37, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
В этой новости не хватает ссылок на тестирование безопасности android приложений...
| | |
| |
| 2.8, Аноним (-), 10:57, 04/05/2017 [^] [^^] [^^^] [ответить]
| –11 +/– |
Технологии защиты в Android на порядок лучше (SELinux, sandbox-изоляция, идентификаторы процессов, ограничение к API и т.п.), чем в стационарных системах. Не ставьте на смартфон всякую непроверенную гадость и смотрите/урезайте права доступа, которые требует приложение, и всё будет в порядке.
| | |
| |
| 3.9, tstalker (ok), 11:20, 04/05/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Подавляющее большинство целевой аудитории пользователей смартфонов разбираются в IT Security примерно так же, как я в балете.
Какие права доступа?
Они и слов таких никогда не слышали.
А потому лови шпалу, как говорят на ЯПе.
| | |
| 3.11, rob pike (?), 11:26, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему. С неизвестно какими дырами.
| | |
| |
| |
| 5.56, Ivan_83 (ok), 13:56, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Только разница в том, что для работы МЕ нужна её встроенная сетевушка.
АМД же своим псп вообще с сетью работать не умеет.
| | |
| |
| 6.68, Аноним (-), 15:13, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Спорное утверждение. Кто там выдаёт разрешения на продажу сетевух? А где заводы?
| | |
|
|
| 4.76, Аноним (-), 16:08, 04/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему.
Ко всему он доступа не имеетпри наличии IOMMU в девайсе.
| | |
| |
| 5.139, фф (?), 09:48, 05/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет. iommu это не про то. Это только виртуальное адресное пространство io. Вся мякотка в контроле DMA. А DMA контролируется через pcie ACS расширение. Которое реализовано в основном на серверах.
| | |
|
|
| 3.14, Аноним (-), 11:42, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Технологии защиты в Android на порядок лучше
Поэтому там постоянно находят новые вирусы чуть ли не каждый день? То деньги вымогают, то смс-ки на короткие номера шлют. Да, безопасность!
| | |
| |
| |
| 5.24, Аноним (-), 12:21, 04/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Пруф какой-нибудь что ли.
https://www.cnet.com/news/malware-from-china-infects-over-10-million-android-u
Ну вот, например. А ещё, когда я купил смартфон на ведре, обнаружил, что там встроена какая-то малварь, которая аппарат регистрирует, путём отправки смс на короткий номер. Стоит это 5 рублей, но всё равно, неприятно. Естественно, как получил рут, сразу снёс.
| | |
| |
| 6.138, DmA (??), 09:17, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Пруф какой-нибудь что ли.
> https://www.cnet.com/news/malware-from-china-infects-over-10-million-android-u
> Ну вот, например. А ещё, когда я купил смартфон на ведре, обнаружил,
> что там встроена какая-то малварь, которая аппарат регистрирует, путём отправки смс
> на короткий номер. Стоит это 5 рублей, но всё равно, неприятно.
> Естественно, как получил рут, сразу снёс.
точно снёс? :)Может она только делает вид, что удалилась?
| | |
| |
| 7.143, Аноним (-), 11:15, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Лол, она как системная была. Я ещё заодно всякие гуглофремворки и прочее снёс. А потом плюнул на всё и накатил AOSP.
| | |
|
|
|
| 4.25, Аноним (-), 12:24, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Технологии защиты в Android на порядок лучше
> Поэтому там постоянно находят новые вирусы чуть ли не каждый день? То
> деньги вымогают, то смс-ки на короткие номера шлют. Да, безопасность!
Эти вирусы атакуют пользовательскую ОС, к Android Keystore они доступа не имеют.
| | |
| |
| 5.57, Аноним (-), 14:03, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> к Android Keystore
Есть куча уязвимостей помогающих получить рут на девайсах? Не веришь? Погугли. То есть ты считаешь, что они не могут получить рута и вытворять что угодно? Да я не в жизнь не поверю.
| | |
| |
| 6.121, Аноним (-), 23:50, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> к Android Keystore
> Есть куча уязвимостей помогающих получить рут на девайсах? Не веришь? Погугли. То
> есть ты считаешь, что они не могут получить рута и вытворять
> что угодно? Да я не в жизнь не поверю.
Причём тут root? Android Keystore недоступен для чтения, у него нет такой функции «прочитать ключ».
| | |
| |
| 7.144, Аноним (-), 11:16, 05/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты очень наивный падаван. Через ядро можно прочитать всё что угодно. А эксплойтов в блобах дохера на ведре.
| | |
| |
| 8.151, пох (?), 13:32, 05/05/2017 [^] [^^] [^^^] [ответить] | +/– | ну ставься на ипхон - там не все в андроиде keystore - _программный_ механизм, ... большой текст свёрнут, показать | | |
|
|
| 6.154, Аноним (-), 13:54, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Есть куча уязвимостей помогающих получить рут на девайсах
Да, kingroot называется.
Но я буду вам признателен, если вы поделитесь ссылкой на рабочий эксплоит к андроbду 6.0.1.
А то как-то грустно без рута на телевизоре...
ЗЫ: Xiaomi Mi 3s 60"
| | |
|
|
| 4.51, Аноним (-), 13:46, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Какие вирусы? Фонарик, которые запришивает пермишен на отправку смс? Самая основная уязвимость андроида держит его в руках. И тут никакие песочницы, selinux не помогут
| | |
| |
| 5.61, Аноним (-), 14:07, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Огоспаде, да окуда вы такие берётесь? Тролль или правда не понимаешь? Ты доверяешь свои данные системе, у которой половина блобов в ядре несвободная. У ядерных блобов есть прямой доступ к ядру, думаешь они не могут слить данные? Нет, конечно, если у тебя какой-нибудь Replicant, то, теоретически ты защищён, да.
| | |
| |
| 6.72, Аноним (-), 15:26, 04/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это если речь про ядерные блобы. На практике на многих девайсах уже активирован ARM-ский Trust Zone (в котором выполняется Samsung Knox, а то и что похуже), а он может иметь (и имеет!) пользователя не заморачиваясь с кольцами доступа ОС.
| | |
| |
| 7.75, Аноним (-), 15:54, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Это если речь про ядерные блобы. На практике на многих девайсах уже
> активирован ARM-ский Trust Zone (в котором выполняется Samsung Knox, а то
> и что похуже), а он может иметь (и имеет!) пользователя не
> заморачиваясь с кольцами доступа ОС.
Ну анон выше писал, что рут можно легко получить на почти всех девайсах. Так что проблемы заразить ведро вообще нет.
| | |
|
| 6.123, Аноним (-), 00:00, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Огоспаде, да окуда вы такие берётесь? Тролль или правда не понимаешь? Ты
> доверяешь свои данные системе, у которой половина блобов в ядре несвободная.
> У ядерных блобов есть прямой доступ к ядру, думаешь они не
> могут слить данные? Нет, конечно, если у тебя какой-нибудь Replicant, то,
> теоретически ты защищён, да.
Почему тебе лень кликнуть на ссылку в новости и узнать наконец что такое Android Keystore?
> У ядерных блобов есть прямой доступ к ядру, думаешь они не
> могут слить данные?
Нет не могут, потому что Android Keystore это отдельный защищённый чип и у него нет функции «прочитать ключ».
| | |
| |
| 7.145, Аноним (-), 11:19, 05/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Слушай, ты наивный. Доступ ядра есть?! Есть! Всё. Можно прочитать. Кстати, судя по API можно получить сертификат и ещё много чего через него. То есть подписать сертификат и управлять устройством типа нельзя? Я вообще не понимаю, чего ты ведро выгораживаешь? Всем известно, что защищённых на 100% ОС не бывает. Не говоря уж о том, что есть бэкдоры даже в хардваре. Вон, на Intel AMT посмотри.
> отдельный защищённый чип
Значит у гугла есть доступ к твоему смартфону, только и всего. И молись, чтобы он не сливал этот доступ третьим лицам.
| | |
| |
| 8.152, пох (?), 13:40, 05/05/2017 [^] [^^] [^^^] [ответить] | +1 +/– | в случае чипа с tpm - нету Только через апи и только на чтение Сами ключи не ч... большой текст свёрнут, показать | | |
|
|
| 6.161, Аноним (-), 15:28, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> если у тебя какой-нибудь Replicant, то, теоретически ты защищён, да.
От СОРМ он поможет?
| | |
|
|
|
| 3.26, Аноним (-), 12:25, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>урезайте права доступа, которые требует приложение
Научи без получение рута на девайсе.
Почему то при всех этих технологиях зашиты приложения имеют Андройд как хотят
| | |
| 3.40, wins proxy (?), 13:20, 04/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
В типичном Android-смартфоне куча уязвимостей, закрывать которые вендор и не собирается.
| | |
| 3.137, DmA (??), 09:14, 05/05/2017 [^] [^^] [^^^] [ответить] | +1 +/– | и да и нет Частично Selinux изоляция всё это давно есть в Линукс на десктопе ... большой текст свёрнут, показать | | |
| |
| 4.162, Аноним (-), 15:32, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> запускаются почтовые программы и браузеры с правами администратора
На винде? Это ты сам придумал? Нет, конечно технически это можно, но.. Ну ладно, запускаешь ты ФФ с ТБ на винде из под администратора и бог с тобой.
| | |
|
|
|
| |
| 2.27, Аноним (-), 12:26, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
А если недалеко от вышки? Антенна даже не понадобится. Как минимум, выпаять радиомодуль.
| | |
| 2.163, Аноним (-), 15:36, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Не, а чо, купить специально дешёвый смартфон, отпаять антенну - и вуаля.
А также вынуть батарею и забросить её в пруд с утятами. Для 100% гарантии надёжности всё что осталось положить под трамвай.
| | |
|
| |
| 2.13, Аноним (-), 11:38, 04/05/2017 [^] [^^] [^^^] [ответить]
| +14 +/– |
Ты не хипстота. Быть хипстотой - это мейнстрим, а хипстер никогда не признает себя мейнстримщиком. Позер!
| | |
| |
| |
| 4.165, Аноним (-), 15:38, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> так эти челки носили, те что сейчас про бритвы не знают
Резали чёлки бритвами? Себе или окружающим?
| | |
|
|
|
| 1.12, rob pike (?), 11:28, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Обмен данными между агентом и смартфоном может производиться по Bluetooth
Замените смартфон на небольшое отдельное устройство на открытом hardware, и будет уже похоже на что-то полезное.
| | |
| |
| |
| 3.21, Crazy Alex (ok), 12:00, 04/05/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
 это уже явно перебор. учитывая неизбежную маргинальность такой железки - порты не проблема, целенаправленно атаковать никто не станет, а от остального спасёт экзотичность
| | |
|
|
| |
| 2.19, пох (?), 11:55, 04/05/2017 [^] [^^] [^^^] [ответить] | +1 +/– | тем что с флэшки его могут спереть плохие ребята, когда ты этой флэшкой воспольз... большой текст свёрнут, показать | | |
| |
| 3.28, music (?), 12:26, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
а смартфон можно уронить, утопить, как от этого спастись? а, ну да синхронизация на гугл драйв и дропбокс ;-)
| | |
| |
| 4.49, пох (?), 13:43, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> а смартфон можно уронить, утопить
здесь это трейдоф, понятный - можно остаться без ключей, но их не сопрет просто так кто-то, на полчасика одолживший твой компьютер (зашедший с помощью AMT, заодно походя обойдя secure boot ;-) - во всяком случае, ему понадобятся совершенно нетривиальные телодвижения и сам телефон, а как только ты все это выключил, снова останется без твоих ключей - к ним надо обращаться каждый раз через телефон и как-то обойдя проверку (тоже каждый).
С флэшкой трейдоф непонятный- ты без флэшки, у хороших ребят, поломавших твой ноут, есть копия твоих ключей в расшифрованном тобой же виде, но, поскольку они не оставляли тебе свой адрес, ты не можешь попросить их поделиться (хотя я бы в отделе безопасности спросил ;-)
| | |
|
|
| 2.33, Аноним (-), 12:44, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Тем, что слямзить можно дистанционно, пользователь даже не догадаетя. А расшифровывать придётся хоть со смартфона, хоть с флешки.
| | |
|
| |
| |
| 3.53, пох (?), 13:51, 04/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> а вот это правильный вопрос. Чем ним нормальная 2FA не угодила?
и где она, нормальная -то?
_нормальная_ - self hosted, а не в гугле. Желательно - в кармане, а не на сервере.
то есть в идеале - usb-token с пинпадом (требует _одновременно_ продемонстрировать наличие артефакта _и_ знание пина. Причем правильный пин не является особоценным товаром, поменять его можно в любую секунду и это никак не требует синхронизации с тем, от чего там лежат ключи). И, разумеется, понятным мне содержимым, а не нечто залитое эпоксидкой, а внутри sd карта с ключами там же где и шифрованный раздел, как мы все любим.
С тех пор, как вездесущие камеры свели пользу от otp-генераторов на базе хешей к нулю, я уже очень давно ищу им какую-нибудь замену. Тоже нету в природе.
| | |
| |
| 4.66, Ergil (ok), 14:48, 04/05/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > _нормальная_ - self hosted, а не в гугле. Желательно - в кармане, а не на сервере.
Чувак, я тебе открою тайну, никому не говори.
Google Authenticator нигде не хостится, он реализует два RFC(RFC 6238 и RFC 4226) и приложение работает оффлайн. Их же, к примеру, реализует FreeOTP Authenticator, у которого исходники открыты(https://github.com/freeotp) кушай, не обляпайся и больше не говори чуши.
| | |
| |
| 5.86, пох (?), 17:17, 04/05/2017 [^] [^^] [^^^] [ответить] | –6 +/– | чувак, я тебе открою другую тайну это тред об аутентификации на собственные сер... большой текст свёрнут, показать | | |
| |
| 6.97, Crazy Alex (ok), 17:58, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ёк. Ты вообще что такое TOTP знаешь или со скуки влез туда, о чём вообще не в курсе?
| | |
| |
| 7.98, пох (?), 18:08, 04/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
что такое - знаю. Как реализовано - не знаю и знать не хочу.
Вот эта чудесная хня в pam_google_какаятопогребень - она точно сама все считает, а не берет у гугля готовый ответ?
Если да, то возвращаемся к исходному вопросу- чем она лучше поделия на go, которое хотя бы не светит ни кодом, ни ключами наружу, и где, блин, что-то вменяемое, вместо.
Как (примерно) выглядит вменяемое - я описал (нет, это не убиквити, если вы про нее подумали - там все _совсем_ плохо)
| | |
| |
| |
| 9.107, пох (?), 18:45, 04/05/2017 [^] [^^] [^^^] [ответить] | +/– | желания нет - поверю на слово Это, мягко говоря, не та технология, которой я хо... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 2.36, Аноним (-), 12:53, 04/05/2017 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Чем он лучше езопасных тайм ключей QR от Google Authenticator?
Ты продумал защиту от брутфорса? Шесть цифр легко подобрать.
| | |
| |
| 3.39, КЭП (?), 13:08, 04/05/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ты подумал об ограничении на количество неверных вводов, умник?
| | |
| |
| 4.43, Аноним (-), 13:25, 04/05/2017 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> Ты подумал об ограничении на количество неверных вводов, умник?
Умник - это попытка оскарбить? :-)
Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.
| | |
| |
| 5.91, Аноним (-), 17:38, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.
Кому нужны твои шесть цифр через три дня, если они меняются каждые 30 секунд?
| | |
| |
| 6.124, Аноним (-), 00:38, 05/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.
> Кому нужны твои шесть цифр через три дня, если они меняются каждые
> 30 секунд?
Более того, как ты собрался проверять пароль трёх дневной давности? Подбирают текущий 30 секундный пароль, а не прошлый.
| | |
|
| 5.133, Аноним (-), 04:11, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
"Оскарбить" - наделить, снабдить скарбом, каким-л. имуществом, то же, что одарить.
| | |
| |
| 6.157, Аноним (-), 15:06, 05/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
У тебя кавычки не верные, в русском языке используют «ёлочки» или „лапки“.
| | |
|
|
|
| |
| 4.45, Аноним (-), 13:33, 04/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> sshguard и плюс защита самой rate-limit в google PAM
Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним IP с атакующим, что для 3G не такая уж редкость. А для ботнета sshguard не проблема.
| | |
| |
| 5.50, Аноним (-), 13:46, 04/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> sshguard и плюс защита самой rate-limit в google PAM
> Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним
> IP с атакующим, что для 3G не такая уж редкость. А
> для ботнета sshguard не проблема.
В последнем OpenSSHd уже встроен rate-limit на уровне ip.
| | |
| |
| 6.63, Аноним (-), 14:17, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>> sshguard и плюс защита самой rate-limit в google PAM
>> Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним
>> IP с атакующим, что для 3G не такая уж редкость. А
>> для ботнета sshguard не проблема.
> В последнем OpenSSHd уже встроен rate-limit на уровне ip.
А чем он лучше sshguard? Он так же заблокирует и админа, если он в одной подсети с ботнетом.
| | |
|
|
|
| 3.46, Аноним (-), 13:33, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Удачно вам перебрать брутфорсом Time-based One Time Password.
| | |
| |
| 4.62, Аноним (-), 14:13, 04/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Удачно вам перебрать брутфорсом Time-based One Time Password.
На угадывание шести цифр TOTP требуется три дня.
| | |
| |
| |
| |
| 7.148, Аноним (-), 12:54, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Там же описано лекарство: Simply lock the account after 10 failed attempts and ask the user to change his password.
| | |
|
|
| 5.84, Crazy Alex (ok), 17:08, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Хотя в любом случае - если что-то лупит попытками входа с верным ключом и кривым кодом - на это должна быть реакция, в виде письма как минимум
| | |
| |
| 6.87, пох (?), 17:21, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Хотя в любом случае - если что-то лупит попытками входа с верным
> ключом и кривым кодом - на это должна быть реакция, в
> виде письма как минимум
ну и что мне делать с этим письмом - распечатать и на йолку повесить?
К тому же спасибо за новую идею ddos'а систем - всего-то надо сделать с десяток попыток с одного зомбо-ip, чтобы ты получил песьмо щастья, я правильно понял? ;-) Жди завтра почтальона - на камазе.
| | |
| |
| 7.96, Crazy Alex (ok), 17:56, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
с десяток попыток с верным ключом. Соответственно, что делать - понятно - дёргаться, менять ключи, аудитить безопасность и так далее.
| | |
| |
| 8.99, пох (?), 18:11, 04/05/2017 [^] [^^] [^^^] [ответить] | –1 +/– | ну и - я под елкой, интернет где-то далеко, ключ утек - то ли через поломанную м... текст свёрнут, показать | | |
| |
| |
| 10.106, пох (?), 18:42, 04/05/2017 [^] [^^] [^^^] [ответить] | –1 +/– | нету Ну в смысле, я не храню и не использую ключи там, где они могут утечь или... большой текст свёрнут, показать | | |
| |
| |
| 12.111, пох (?), 19:04, 04/05/2017 [^] [^^] [^^^] [ответить] | +/– | так в оригинале было не про 2FA, а про просто замену гуглем этой вот чудо-хрени ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 3.69, Ergil (ok), 15:13, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Что ты брутфорсить собрался? Шестизначное число меняющееся каждые 30 секунд? Да еще после того, как ты набрутфорсил ключ? :-D Выщипайте мне перья, я хочу это видеть! fail2ban тебя пришибет сразу, ты даже до брутфорса ключа не дойдешь, я уж молчу про то, что хрен ты его подберешь. А! Да! Тебе же еще надо логин угадать :-D
| | |
| |
| |
| 5.128, Укпшд (?), 00:56, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> fail2ban это хороший способ заблокировать вход администратору :-)
Используя только ключи невозможно ошибиться в пароле или еще каким-то образом допустить ошибку ауфа, да еще трижды подряд. Ну плюс к тому мой вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте, хрен он мне чего заблокирует
| | |
| |
| 6.168, _ (??), 16:31, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>Ну плюс к тому мой вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте, хрен он мне чего заблокирует
Ну то есть то, что местные называют Jump-server. Ок. Детский вопрос - а с какого статика ты заходишь на тот статик? ;-) Ибо если проломят его - то отЪымеют сразу всё ибо оно в вайт листах да и ключики небось на нём хранятся. И не говори что нет - не поверю.
| | |
| 6.178, пох (?), 00:48, 06/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> fail2ban это хороший способ заблокировать вход администратору :-)
> Используя только ключи невозможно ошибиться в пароле или еще каким-то образом допустить
только ключи - да, но тут же ж их объявили ненадежными и жаждут гугле-отп, он вполне себе ошибка auth. (и с ключами, мягко говоря, перпендикулярен)
> ошибку ауфа, да еще трижды подряд. Ну плюс к тому мой
> вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте,
вот его и будут ломать.
| | |
|
|
|
|
|
| |
| 2.29, gogo (?), 12:29, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это - бред.
| | |
| |
| 3.90, пох (?), 17:34, 04/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это
> - бред.
это такой телнет, только модный, да?
| | |
|
|
| 1.30, evkogan (?), 12:33, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Идея носить всегда с собой закрытые ключи и контролировать каждое их использование хороша. Но использовать для этого смартфон...
Вот если это отдельное устройство, да еще и вообще без блобов, в том числе в прошивках, а еще лучще openHW. Но еще и дешевое для массового потребителя и хоть минимально симпатичное (все же все время с собой таскать), то да идея интересная.
| | |
| |
| 2.34, Crazy Alex (ok), 12:46, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
ну, смотря на сколько нужно open, но на современных мк должно быть крайне дёшево. если выкаблучиваться и FPGA брать - конечно, вряд ли выйдет
| | |
| |
| 3.100, пох (?), 18:15, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> ну, смотря на сколько нужно open
ну, товарищу, вероятно, не нравится gpu-загрузка модных одноплаток и странные выкрутасы со сборкой полу-рабочего ядра из чужих модулей.
других нет.
Я бы вот согласился терпеть (и таскать, вместо лопаты) модную одноплатку - если бы она решала вторую проблему - pin/скан отпечатка/еще что-то в том же роде.
Она не то чтоб совсем не умеет, но это получается и дорого, и хрупко, и крупно (нужны отдельная клавиатура и экран, необязательно vty)
Кстати, _промышленный_ вариант подобных решений - существует. Но, насколько я сумел узнать -абсолютно для нас недоступный.
| | |
| |
| |
| 5.109, пох (?), 18:55, 04/05/2017 [^] [^^] [^^^] [ответить] | +/– | э ну и кто допилит Раз недорого - это,кстати, сколько - я может в очередь з... большой текст свёрнут, показать | | |
| |
| 6.131, Crazy Alex (ok), 01:57, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Ну, я подумываю потихоньку, но торговать бы пытаться не стал, вот на гитхаб вывалить для желающих - дело другое. Впрочем, есть сильное подозрение, что у нас разные требования - я бы хотел иметь возможность увидеть (возможно - выбрать) какой ключ будет использован и нажать кнопку "разрешить", дополнительный пин вводить смысла не вижу.
Если хочется готовую железку - можно посмотреть в сторону самых дешевых MP3-плееров, на которые какой-нибудь rockbox ставится, и на его базе склепать... В любом случае малинка там - адский перебор.
| | |
| |
| 7.155, пох (?), 14:02, 05/05/2017 [^] [^^] [^^^] [ответить] | +/– | разные, да - зачем мне еще одна убиквити, только не умещающаяся на кольце с ключ... большой текст свёрнут, показать | | |
| |
| |
| 9.179, пох (?), 01:02, 06/05/2017 [^] [^^] [^^^] [ответить] | +/– | так это логический доступ - тупо шифруем пином что-то ценное, и после третьей не... большой текст свёрнут, показать | | |
|
|
|
|
| 5.110, Аноним (-), 18:56, 04/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
еще как дорого, такую штуку можно продать за 15-25$ потолок, если больше то уже не полетит. Следовательно с заовда она должна уходить по 7-10$, плюс себе нужно что то заработать, и того себестоимость должна быть максимум 5$. И в эти 5$ нужно уместить плату, проц, экран, пару кнопок, корпус и сборку. Ну не реально такое сделать, может только если от млн экземпляров.
| | |
| |
| 6.112, пох (?), 19:07, 04/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> еще как дорого, такую штуку можно продать за 15-25$ потолок, если больше
за штуку, которая на фотке выше (за полную реализацию, а не за сами кнопки ;-)
реализованную как надо, а не как всегда, я готов заплатить $500 сходу.
Но что-то мне подсказывает, что на другом конце там rsa appliance, который и 50000 маловато будет, и протоколы закрытые. А в пять сотен обойдется комплект для настройки карт, и тот тоже просто так не купить.
| | |
| |
| 7.115, Аноним (-), 20:15, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
вас таких которые по 500$ готовы заплатить тысяча ну может две три на всей земле, да и то что ты готов не факт что заплатишь как показывает практика.
| | |
| |
| 8.116, пох (?), 20:41, 04/05/2017 [^] [^^] [^^^] [ответить] | +/– | ну, во-первых больше - если оно вдруг хорошее, то корпоративные заказы подтянутс... большой текст свёрнут, показать | | |
|
|
| 6.185, Crazy Alex (ok), 14:16, 06/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Если нет уж настолько денег на железку - значит, защищать нечего. Хотя если не брать смарткарты, то вложиться можно.
| | |
|
|
|
|
|
| 1.31, Аноним (-), 12:36, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>вместо размещения в файле ~/.ssh/id_rsa
>мобильного приложения для Android и iOS
>iOS Keychain
>Apple iOS Security Framework
Нет, спасибо, не надо. Дураков нет.
PS Хипстеры, запилите хранение ключей в облаках.
| | |
| |
| 2.92, Аноним (-), 17:43, 04/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> PS Хипстеры, запилите хранение ключей в облаках.
По ссылкам не ходил? Они это и предлагают, только уже за бабло.
| | |
|
| |
| 2.44, Аноним (-), 13:27, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.
| | |
| |
| 3.64, Аноним (-), 14:21, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.
Вирус не имеет доступа к Android Keystore.
| | |
| |
| 4.80, _ (??), 16:24, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Он и к ядру шиндафс доступа не имеет, а вот поди ж ты :)
| | |
| |
| 5.127, Аноним (-), 00:52, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Он и к ядру шиндафс доступа не имеет, а вот поди ж
> ты :)
Ядро это программное решение, а keystore — аппаратное, но зависит от реализации, да.
| | |
|
|
|
|
| 1.41, Аноним (-), 13:21, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Сначала надо убедиться, что этот самый смартфон имеет большую защиту. Сейчас почти не найдёшь не обновляющихся браузеров на компе с инетом. А сколько смартфонов со старыми прошивками? Ок прошивка это не браузер. Но ssh ключи ведь наверное не для старой пиратки Zver WinXP Super Edition. А актуальные ОС гораздо быстрее обновляются чем смарты. Мысль о том, что все ключи и пароли попросту брошены на тумбочке в прихожей и к тому же легко могут быть унесены в чужом кармане может отравить любую счастливую жизнь".
| | |
| |
| 2.47, Аноним (-), 13:35, 04/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>А сколько смартфонов со старыми прошивками?
Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без гугл сервисов.
| | |
| |
| 3.149, Аноним (-), 12:56, 05/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без
> гугл сервисов.
И без ГСМ-модуля, ага.
| | |
|
|
| 1.48, Anonplus (?), 13:42, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Давно храню закрытые ключи в базе KeePass + плагин KeeAgent. При необходимости PuTTY или WinSCP вызываются прямо из кипасса, им передаётся ключ.
Linux-софт, наверное, тоже можно этому обучить, да и обучать там нечему, в кипассе создаётся запись вида ssh://10.10.10.10:22, а в качестве обработчика протокола ssh указывается в настройках нужная софтина с нужными ключами ком.строки (https://habrahabr.ru/post/303894/), которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.
Приватные ключи хранятся непосредственно в базе, которая в любой момент времени надёжно зашифрована и синхронизируется через любое облачное хранилище.
| | |
| |
| 2.65, Аноним (-), 14:27, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.
По какому протоколу?
| | |
| 2.93, Аноним (-), 17:46, 04/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Давно храню закрытые ключи в базе KeePass + плагин KeeAgent. При необходимости
> PuTTY или WinSCP вызываются прямо из кипасса, им передаётся ключ.
> Linux-софт, наверное, тоже можно этому обучить, да и обучать там нечему, в
> кипассе создаётся запись вида ssh://10.10.10.10:22, а в качестве обработчика протокола
> ssh указывается в настройках нужная софтина с нужными ключами ком.строки (https://habrahabr.ru/post/303894/),
> которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.
> Приватные ключи хранятся непосредственно в базе, которая в любой момент времени надёжно
> зашифрована и синхронизируется через любое облачное хранилище.
Это ж сколько костылей вместо родного шифрования ключей и ssh-agent.
| | |
| |
| 3.104, пох (?), 18:32, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Это ж сколько костылей вместо родного шифрования ключей и ssh-agent.
это не костыли, разумная предосторожность - "родное шифрование ключей" упирается в короткий (потому что его часто надо набирать) и легкий (потому что их надо не один а много) пароль, а в памяти ssh-agent они и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.
База keepass зашифрована _хорошим_ паролем, поскольку вводить надо только один и только в начале сессии, при этом после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.
Остаются вопросы - как написан keeagent (не тащит ли он в рот всякую га...не тащит ли он в себя уже расшифрованный закрытый ключ через дырявый ipc - хотя бы даже на время аутентификации, полагаю - тащит) и доверяете ли вы keepass вообще.
Ну и у товарисча, повидимому, винда, что добавляет интересных вопросов.
В общем, мой внутренний параноик против, но это ничего еще не значит.
| | |
| |
| 4.122, Аноним (-), 23:58, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> короткий (потому что его часто надо набирать)
Использую длинный. Набираю раз в день.
> в памяти ssh-agent они и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.
Попробуй, дотянись.
> после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.
Не знаю, расшифровывается или нет, но раз пароль повторно вводить не надо — какая разница? Необходимая для расшифровки информация так или иначе хранится в памяти.
| | |
| |
| 5.156, пох (?), 14:14, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> короткий (потому что его часто надо набирать)
> Использую длинный. Набираю раз в день.
один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.
> отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.
> Попробуй, дотянись.
это много проще, чем хакать хранилку.
>> после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.
> Не знаю, расшифровывается или нет, но раз пароль повторно вводить не надо
> — какая разница?
существенная - нам уже мало приаттачиться к памяти процесса или сбросить его в core dump, надо еще разбираться с его собственным специфичным шифрованием (опять же - если сделано правильно, то и от памяти будет мало пользы - храним какую-нибудь нужную детальку в регистре и никогда не убираем оттуда - только дебаг поможет)
| | |
| |
| 6.169, _ (??), 16:53, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>>> короткий (потому что его часто надо набирать)
>> Использую длинный. Набираю раз в день.
>один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.
Точно также как в твоём сохранижопие :) Один на все ключи.
| | |
| |
| 7.175, пох (?), 22:07, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Точно также как в твоём сохранижопие
ну и вот чем тогда оно лучше, кроме того что в памяти все ключи разом и в раскрытом виде? (причем не факт что они тебе сегодня нужны вообще - сохранижопие при этом их и вынимать из закрытого файла не станет, полагаю, не его стиль)
Я хоть добавляю поштучно, если вообще пользуюсь агентом (собственно, у меня выбора нет)
| | |
|
| 6.182, Аноним (-), 11:12, 06/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.
У тебя для каждого сервера отдельный ключ со своим паролем? Ты админишь два сервера или носишь с собой под каждую ёлку монитор с бумажками?
| | |
|
|
| 4.129, Аноним (-), 00:59, 05/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> а в памяти ssh-agent они
> и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж
> не верить) - приходи и бери любой, кто дотянется до сокета.
ssh-agent не умеет дампить ключ в сокет, что бы сдампить ключ нужен рут и доступ к памяти процесса.
| | |
| |
| 5.153, пох (?), 13:48, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> ssh-agent не умеет дампить ключ в сокет, что бы сдампить ключ нужен
если у тебя есть доступ к сокету - тебе не очень нужен ключ, агент за тебя проделает всю нудную работу ;-)
> рут и доступ к памяти процесса.
в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.
(а на винде, заметим, недостаточно, у процессов нет доступа к этому апи без повышения привиллегий. Обходится, да. Но с гемором. Гемор даст тебе время засечь подозрительное явление - в теории.)
keepass, заметь, аккуратнее - сам по себе доступ к его памяти мало что даст.
Правда, дьявол в деталях - агенту, скорее всего, таки уходит ключ в открытом виде (см в тексте новости, как надо было делать _правильно_ ;-) - но да, нужны protocol-specific фичи в собственно хранилке.
| | |
| |
| 6.171, _ (??), 16:57, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
1*
>> рут и доступ к памяти процесса.
>в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.
Угу. А чтобы хакнуть юзера - надо как то выудить его ключ.
goto 1**
:)
| | |
| |
| 7.176, пох (?), 22:10, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>>в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.
> Угу. А чтобы хакнуть юзера - надо как то выудить его ключ.
зачем тебе его ключ, мы ж локальную сторону хакаем? Предположим, уже. Тырить файл с диска бестолку, ибо он с паролем, перехватывать пароль нудно и неэффективно. Попросить ssh-agent нас авторизовать - бесплатно, беспалевно и сразу. Пошуршать в его памяти - чуть сложнее, но снабжает дешифрованным ключиком, который можно унести в норку и использовать когда юзер сопит в подушку.
| | |
|
|
|
|
|
|
| |
| 2.54, пох (?), 13:53, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Кто-нибудь, научите их записывать ключи на бумажке
сперва верните мне мой монитор, с приклеенными бумажками.
| | |
| |
| |
| 4.88, пох (?), 17:23, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Выпиленную дверь уже вернули?
кто писал на ней пароли - сам виноват
все нормальные люди делают ЭТО на монитор.
| | |
| |
| 5.167, Аноним (-), 15:55, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Выпиленную дверь уже вернули?
> кто писал на ней пароли - сам виноват
> все нормальные люди делают ЭТО на монитор.
А у вас ещё какие-то маленькие куколки есть же? Вы на них это тоже ведь делаете.
| | |
|
|
|
|
| 1.58, F (?), 14:06, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А если телефон надо сменить? А в том числе с IOS на Android или наоборот?
| | |
| |
| 2.94, Аноним (-), 17:48, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> А если телефон надо сменить? А в том числе с IOS на
> Android или наоборот?
Заплатишь модным парнишам, и они разрешат тебе синхронизировать ключи через облако.
| | |
| |
| 3.101, пох (?), 18:22, 04/05/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> А если телефон надо сменить? А в том числе с IOS на
>> Android или наоборот?
> Заплатишь модным парнишам, и они разрешат тебе синхронизировать ключи через облако.
д.лы, б..
Учиться им у ms еще сто лет, и так ничему и не научиться.
Надо было - наоборот! заплатишь - они разрешат тебе работать без облака.
| | |
|
|
| 1.67, vitalif (ok), 14:48, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Не надо мне этих чудес DRM для хранения моих ключей... сам потом не достанешь, а гугл достанет.
| | |
| 1.114, IZh. (?), 19:50, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
Как-то всё наоборот. Я бы предпочёл пароли от телефонных аккаунтов и приложений хранить бы в некоем своём облаке. Обычному линуксовому компу я доверяю больше, чем телефону на андроиде. Даже банально потому, что у андроида кодовая база больше. Если на компе не иметь открытых портов (ну или по минимуму), то какие способы проникновения на комп остаются? По ssh вряд ли. Если только в почтовом клиенте баг или в браузере.
А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) -- больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к тому же, обожают лезть на свои серверы (https://www.opennet.ru/opennews/art.shtml?num=46472).Опять-таки, многие производители телефонов годами систему не обновляют при десятках известных CVE (помните QuadRoots?), в то время как во всех нормальных дистрибутивах обновления выходят постоянно.
И вот на этом вот предлагается хранить ключи?..
| | |
| |
| 2.117, Аноним (-), 20:42, 04/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
спасибо, что чётко и понятно выразили 98% моих опасений по поводу сего поделия
+100500
| | |
| 2.118, пох (?), 20:54, 04/05/2017 [^] [^^] [^^^] [ответить] | –2 +/– | там как бе основная фишка - крипто-дивайс У тебя в обычном линуксном компе тако... большой текст свёрнут, показать | | |
| |
| 3.146, IZh. (?), 11:33, 05/05/2017 [^] [^^] [^^^] [ответить] | +3 +/– | Чем криптодевайс поможет при получении удалённого доступа к устройству, и аутент... большой текст свёрнут, показать | | |
| |
| 4.150, пох (?), 13:11, 05/05/2017 [^] [^^] [^^^] [ответить] | +/– | тем что хотя бы работает только в это время А в случае получения удаленного ил... большой текст свёрнут, показать | | |
| |
| |
| 6.177, пох (?), 22:27, 05/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А что с ним не так? Я серьёзно спрашиваю, может я не
> https://access.redhat.com/security/cve/cve-2016-10229
04-19 - мгм...
баг всплыл в начале апреля (в смысле, о нем уже все узнали, а судя по cve некоторые знали сильно раньше), через пару недель осилили значить...
Я к этому времени уже потерял интерес к вопросу, хотя и удивлен, почему это в рассылке тихо.
Если "серьезно" - возьми да и приложи патч - если прилепится, будут вопросы к редхату. (мне интересно, с чего это они решили что неуязвимы, когда nvd считает иначе, но не настолько чтоб возиться - у меня, к счастью, нет редхатов в открытых сетях)
А пока у меня полный мэйлбокс писем про hdlc и dccp - это уже сколько, пол-года исполнилось или еще рано поздравлять? По hdlc (local root прямо сразу) даже для семерки фикс пришел 12 апреля, что-ли... Original release date: 03/07/2017
| | |
|
| 5.180, IZh. (?), 01:34, 06/05/2017 [^] [^^] [^^^] [ответить] | +3 +/– | А вы -- прекрасный образец задранного самомнения, любящий переходить на личности... большой текст свёрнут, показать | | |
| |
| 6.181, пох (?), 03:22, 06/05/2017 [^] [^^] [^^^] [ответить] | +/– | я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохр... большой текст свёрнут, показать | | |
| |
| 7.183, IZh. (?), 12:39, 06/05/2017 [^] [^^] [^^^] [ответить] | +2 +/– | Мне бы в идеале один телефон Мы про обновления ядра У меня, например, VPS есть... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| |
| 2.147, пох (?), 12:13, 05/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Уж лучше Yubikey или аналоги чем это.
не лучше.
Во всяком случае, было пару лет назад, когда я его всерьез разглядывал.
То есть, там не было единственно-правильного варианта, когда a) ключи не покидают устройство ни в каком случае - можно только показать ему _открытый_ ключик и попросить вердикт или, то что делает предложенная андроедоненужность - показать зашифрованный открытым ключиком server secret, получить в ответ расшифрованный (закрытый ключ _остается_внутри_токена_), зашифровать им ответ серверу "это я". (пункты 2-3 можно в принципе не выпускать наружу из токена, но это уже становится сильно protocol-specific).
и b) все это делается локально без "облачков".
Там, вместо этого, были совершенно ненужные варианты "что-то зашифровать block cipher" (это я могу и на основной системе) и "спросить у облачка подтверждение авторизации" - причем, поскольку индусы сэкономили три цента, вариант выбирается при инициализации ключа, если тебе нужен второй - купи два, а то индусу не хватает на краску для лба.
Слегка утрировано, но суть сохранена - это феерическое ненужно за много денег и с неочевидным (в плане легальности) путем покупки - от рюйских дилеров не удалось даже ответ получить.
А, ну и да - зашшшита в виде сенсорной кнопки, пинпад/сканер отпечатков индусы тоже не осилили. Любой, сперший у тебя флэшку, автоматически получает все твои пароли.
| | |
| |
| |
| 4.174, нах (?), 20:44, 05/05/2017 [^] [^^] [^^^] [ответить] | +/– | действительно не в теме - я изучал вопрос в том самом 2014 на деле в 15м, но ... большой текст свёрнут, показать | | |
|
|
|
|
