?

Log in

No account? Create an account
Попробую поучаствовать в конкурсе Навального на политический блог https://www.youtube.com/watch?v=GVmG1Vyzbjk
Правда, совершенно не представляю себе, какие у нас местные проблемы :) Так что вряд ли получится.
Зачем? А почему бы и нет?
Что я теряю? Чем я хуже?
Итак, мой любимый яндекс в очередной раз меня задолбал.
Мало того, что на главной странице сайта yandex.ru подлинность удостоверяет сертификат с турецким именем yandex.tr .
Сегодня ещё и украина прибавилась. При переключении пользователей сайт производит переавторизацию через украинский домен yandex.ua .

Вот ну зачем яндексу это делать, а? Мы же в России живём. И они, в основном, тоже. Зачем пользователей пугать то турками, то украинцами???


Мало того, если раньше можно было обратиться в службу поддержки как угодно, когда угодно, то теперь - бобро пожаловать. Никакой службы поддержки. Формы обратной связи есть только для совершенно определённых моментов поддержки и они разбросаны по всей справке яндекса. Фактически, возможность обратиться в службу поддержки убрали.
Яндекс у нас стал таким авторитетом, что пользователи теперь его не интересуют.
Сейчас очень часто говорят о том, что необходимо чуть ли не все сайты переводить на двухфакторную аутентификацию.
Недавно я даже просмотрел статью, где на полном серьёзе утверждалось, что антиправительственный сайт то ли в Сирии, то ли в Иране должен был бы использовать двухфакторную аутентификацию. Потому что его взломали и взяли каких-то там антиправительственных людей.

То есть людям, которые работают против правительства при регистрации аккаунта предлагается вводить номер телефона и входить на сайт не только по паролю, но ещё и по sms.
Как вы понимаете, это очень забавное предложение. Ведь sms нужно откуда-то и куда-то посылать, что само по себе является демаскирующим антиправительственного агента признаком и доказательством против него, которое может быть получено простым запросом детализации соединений у оператора сотовой связи.


В чём риски двухфакторной аутентификации:
1. При вас должен быть включённый мобильный телефон или мобильное устройство с приложением.
Это означает
1.1. Это устройство вы должны с собой носить. Если вы его потеряете - вы временно потеряете доступ к аккаунту.
1.2. Если устройство не заряжено или сломалось - вы временно теряете доступ к аккаунту.
1.3. Если у вас нет устройства - вы его должны купить.
1.4. Если вы потеряли свой номер телефона (такое тоже бывает) - вы временно потеряли доступ к аккаунту.
2. Двухфакторная аутентификация подвергает опасности ваш второй фактор.
2.1. Мошенники становятся заинтересованными в том, чтобы украсть не только ваши деньги, но и ваш номер телефона, если вы используете sms как второй фактор. Причём вы некоторое время можете даже не понимать, что происходит и не можете посмотреть состояние вашего счёта. То есть не знаете о том, что вас обокрали и не можете никуда позвонить. Особенно весело, если в этот момент времени вы за границей.
2.2. Мошенники становятся заинтересованными в заражении вашего мобильного устройства.
3. Вероятность случайной утери аккаунта почти в 2 раза выше, так как утерять один из двух факторов гораздо проще, чем единственный фактор.
Причём после такой утери, никак не связанной со злым умыслом, мы должны будем ехать в офис и доказывать, что это вообще наш аккаунт. То есть тратить своё личное время и деньги на то, чтобы просто доехать и постоять в очереди. Если вы в Москве - это не проблема. А если в Урюпинске? Насколько долго надо будет ехать в офис?
4. Платёжная система (здесь я называю так любое предприятие с электронное коммерцией) вынуждена содержать офисы и платить операторам связи за рассылку sms. А также разрабатывать мобильные приложения, кстати, которые бывают с уязвимостями.
Всё это удорожает их услуги.

Конечно, всё это ради повышения безопасности по сравнению с парольной защитой. И это окупается. Так ведь?

Почему двухфакторная аутентификация вредна в сравнении даже с парольной защитой?

Начнём с того, что у меня есть старенький мобильник 10-летней давности (даже больше). И я им вполне доволен.
Зачем мне более сложное мобильное устройство? Кому-то нужно, мне - нет. Таким образом лично у меня появляется необходимость покупки дорогостоящего устройства. Но даже если это не так: это устройство не является специально разработанным в целях безопасности. То есть является довольно уязвимым. Взломать его не так сложно, хотя гораздо сложнее, чем только компьютер. Сложнее, но вполне доступно для многих мошенников.

Теперь посмотрим, что мы можем сделать недорого с одним фактором - то есть с нашим компьютером.
1. Зашифровать разделы жёсткого диска (или купить второй компьютер - кстати, может быть даже дешевле, чем мобильное устройство).
2. На один из них установить систему для общих нужд. На другой раздел систему для нужд платёжных систем. Это может быть обычная лицензионная Windows Professional. Для систем, которые работают из браузера или могут работать из-под Linux хватит обычной бесплатной Ubuntu.
3. Настроить на ней обновления, установить антивирус, межсетевой экран (фаервол; брандмауэр), HIPS (host based IPS - система предотвращения вторжений). Последнее, например, в бесплатном виде - это COMODO Internet Security. Можно вообще обойтись стандартными средствами Windows.
4. Настроить политику ограниченного использования программ по сертификатам. В том числе и на компоненты ОС и антивируса. Если под Ubuntu - настроить AppArmor.
5. Межсетевой экран настраиваем ограниченным и на вход, и на выход. Обновления с CDN, включая обновления ОС, разрешаем только вручную, когда сами их запросили и появился запрос на их разрешение в межсетевом экране.
6. Ходим только на сайт банка/платёжной системы. На всякий случай, для этих целей устанавливаем на FireFox дополнительно NoScript и Http UserAgent Cleaner, чтобы не грузился лишний контент. Разумеется, межсетевой экран также говорит досвидания неразрешённым сайтам.
7. Да, совсем забыл. Конечно же, работаем из-под ограниченного аккаунта.

Фактически, мы получили систему, которая защищена чуть ли не лучше, чем сам банк :) . Особенно учитывая, что в банке могут работать тысячи "доверенных" лиц, а у вас доверенное лицо - только вы.
Эта система точно защищена лучше, чем оба фактора, если оба используются не только в целях безопасности. Помним, что оператор мобильной связи вообще не защищает свои sms так, как полагалось бы защищать второй фактор.

Таким образом, мы можем за небольшие деньги или бесплатно построить более защищённую систему с обычной парольной защитой, чем двухфакторная аутентификация. А вот с двумя факторами мы такую защищённую систему построить не сможем (или один из факторов тогда просто будет лишним - уже не повышать безопасность, а скорее - понижать).

Если же говорить про самую серьёзную защиту, то это вовсе не два фактора. Это может быть всего лишь одно устройство - один фактор.
Это устройство должно быть специальным криптографическим устройством, используемым только в целях криптографии. Оно должно отображать информацию, которую клиент подпсывает и иметь собственную клавиатуру для ввода пин-кода. Но это уже не мало денег стоит.


Вывод.
Двухфакторная аутентификация подвергает нас рискам даже тогда, когда никто не хочет нас обокрасть. Нам самим гораздо легче потерять один фактор из двух, чем единственный фактор. Восстановить утерянный доступ гораздо сложнее. А мошенники теперь заинтересованы в том, чтобы украсть ваш второй фактор (например, номер телефона или заразить ваше мобильное устройство).
Но пользы от этого очень мало.

Таким образом, двухфакторная аутентификация не обязательна. Конечно, платёжная система должна её предлагать, но не навязывать пользователю. Пользователь может нести повышенные риски, связанные с двухфакторной аутентификацией.


Фактически, в двухфакторной аутентификации заинтересован не пользователь, а платёжная система.
1. Она использует её наличие как рекламу
2. Пытается отпугнуть мошенников, снижая количество хищений. У сильно защищённых пользователей это ничего не снижает. Это хорошо для слабо защищённых, плохо осведомлённых в области информационной безопасности людей.

Поэтому, если в следующий раз вы прочитаете статью о том, как замечательна двухфакторная аутентификация, задумайтесь над профессионализмом этих людей. И над тем, зачем им это надо. Потому что, возможно, надо это им, а не вам.
Мысли о том, как должны быть организованны рассылки по почте на сайтах.

Это чисто мнение для программистов, пишущих скрипты рассылок.

Рассылка должна обеспечивать:
0.1. Отсутствие беспокойства для пользователя там, где это не нужно.
0.2. Отсутствие лишней информации с его субъективной точки зрения.
0.3. Безопасность.
0.4. Возможность быстрой отписки.

1. Что должно быть в рассылке?

1.1. Рассылка должна ясно идентифицировать себя с помощью заголовка и e-mail.
1.1.1. Содержать наименование сайта или фирмы, которое хорошо знакомо пользователю. Спамеру трудно угадать, с кем именно пользователь имеет дело.
1.1.2. Содержать, уникальную информацию, которую знает пользователь. Например, уникальный номер заказа, чтобы пользователь мог его проверить, не открывая письмо (так как спамер не угадает заказа). Это может быть и другая, менее сторого идентифицирующая информация. Например, не просто "ваш заказ", а "заказ дивана", если пользователь заказывает диван.
1.1.3. E-mail должен содержать правильное доменное имя, то есть то, к которому привык пользователь. Специальные службы рассылок нежелательны. Сторонние домены, даже похожие по наименованию, должны быть указаны на сайте в специальном списке и об этом списке должно быть сообщено в письме.

1.2. Рассылка должна позволить себе отказаться от рассылки. В том числе в том случае, когда отказаться от рассылки невозможно. Это должно быть сделано безопасно.
1.2.1. В худшем случае, рассылка должна содержать ссылку на удаление или заморозку аккаунта (возможно, с подтверждением удаления ещё раз по e-mail). Ссылка должна работать без какой-либо авторизации, но её действие по времени может быть ограничено. Пользователь новую ссылку, если пройдёт по устаревшей ссылке.
1.2.2. В лучшем случае, рассылка должна содержать e-mail, по которому можно написать о необходимости удаления или заморозки аккаунта (с возможным автоподтверждением). Смысл e-mail в том, что он позволяет пользователю не посещать каких-то сайтов, которые ему кажутся незнакомыми. То есть не проходить ни по каким ссылкам вообще (он по ним может заразиться).
1.2.3. Рассылка должна содержать возможность отписаться от того, от чего можно отписаться. Опять же, без какого-либо входа в аккаунт.
1.2.4. В рассылке должна быть информация, запрошенная пользователем или информация, предоставляющая необходимое знание о возможных проблемах с безопасностью аккаунта или изменением способов входа, которые требуют действий от пользователя. Возможна отсылка сообщений, если изменены какие-то способы проведения финансовых транзакций или потенциально возможны другие реальные потери от неинформированности пользователя.
1.2.5. Идеально - e-mail службы поддержки, если есть какие-то вопросы по рассылке. В случае заказов и других финансовых манипуляций, адрес, телефон фирмы и e-mail, на который нужно писать в случае возникновения проблем.
1.2.6. Указание причины, по которой пришло письмо, если это не понятно из содержания письма.

2. Чего не должно быть в рассылке.
2.1. Если пользователь не пользуется сайтом регулярно, в рассылке не должно быть информации об обновлениях на сайте, даже очень больших. Хотя, раз в несколько лет, такая информация может быть терпима при условии, что на сайте появились принципиально новые сервисиы, представляющие ценность даже отдельно от старого сайта. Это, почти наверняка, не относится к расширениям функций или изменению технической платформы сайта.
2.2. Не должно быть информации, которую пользователь не запрашивал и от отсутствия которой он не понесёт ущерб.
2.3. Не должно быть информации, которая входит в новый рубрикатор списка рассылки, но, при этом, не входила в старый. Если пользователь получает старые рубрики и нет точного соответствия с новыми рубриками, ему должно быть выслано письмо с просьбой отметить, какие рубрики он хочет получать.
В любом случае, не должно быть существенного увеличения корреспонденции у пользователя.

3. Что говорит о том, что вы неверно рассылаете рассылку?
3.1. Пользователь не может отказаться от рассылки, даже удалив/заморозив аккаунт
3.2. Пользователь не может отказаться от рассылки или аккаунта, не зайдя в аккаунт (у него могут быть с этим технические проблемы)
3.3. Пользователь получил от вас незапрошенные им сообщения чаще, чем раз в несколько лет или получает их регулярно. Даже если это поздравление с днём рождения.
3.4. Пользователь, не предпринимая для этого никаких действий, стал получать значительно больше корреспонденции от вас, чем ранее. Даже если причиной этому возросший объём материала на сайте (возможно, стоит размельчить рубрикатор).

Насчёт сварщиков уже написали, приводил ссылку ниже, как они требуются ( https://maxpark.com/community/129/content/3765838 ).

Теперь вопрос к моей специальности: насколько требуются программисты и сотрудники в области ИБ?

Пожалуй, в этот раз я не забуду воспользоваться катом и буду загибать уже под ним.

Read more...Collapse )

Свет на сварщиках клином не сошёлся...

----
цитата из https://news.mail.ru/society/25577301/ (25 апреля 2016; ГТРК "Южный Урал")
Обратившегося к Путину челябинца могут повысить
По крайней мере, директор предприятия «Уралавтоприцеп», на которое пожаловался рабочий, не исключает карьерный рост сотрудника, который решил не молчать о проблемах с выплатой зарплат.

«Молодой человек работает у нас на предприятии четвертый месяц, у него есть возможность проявить себя, у нас есть на сегодняшний день вакансия начальника участка», — объяснил Валерий Филатов, генеральный директор АО «Уралавтоприцеп».

Директор и сварщик сегодня впервые после скандала, который разгорелся после прямой линии с Владимиром Путиным, появились на публике вместе. Делегацию «Уралавтоприцепа» пригласили набираться опыта на Челябинский трубопрокатный завод. Правда, сварщик скромно шел в хвосте, а после признался: работает, как и прежде, зарплату выплатили. Никаких репрессий не последовало, впрочем, говорит: никто из руководства с ним по поводу того демарша не общался.

«О чем меня спрашивать, я простой рабочий», — отметил Дмитрий Дудкин.

После экскурсии руководство «Уралавтоприцепа» заявило: теперь будут не только вовремя платить зарплату, но и, по примеру трубопрокатного, наведут на своем заводе красоту. Правда, денег на сад камней, как у трубопрокатчиков, паркет в цехе и стильные спецовки нет, поэтому начнут с малого — побелят стены и вывезут мусор.

----
цитата http://riafan.ru/526939-rabotnik-chelyabinskogo-zavoda-uvolilsya-posle-zhaloby-putinu (3 июня 2016)

Сварщик челябинского «Уралавтоприцепа» Дмитрий Дудкин уволился после обращения к президенту РФ Владимиру Путину. В ходе прямой линии с главой государства в апреле он пожаловался на задержку зарплат.

В конце мая мужчина написал заявление по собственному желанию, которое руководство предприятия уже подписало. При этом, как сообщают местные СМИ, причиной увольнения Дудкина стало давление со стороны начальства. Однако долги по зарплате «Уралавтоприцеп» все же погасил.

Сам мужчина сообщил, что переезжает из Челябинска из-за болезни дочери. Однако отказался рассказывать, куда именно. По словам Дудкина, после обращения к Путину его начали «прессовать», перекладывая на него ответственность за ошибки коллег.

Руководство «Уралавтоприцепа» заявило, что не оказывало никакого давления на своего сотрудника и не имеет представления о причинах его увольнения.

Напомним, сотрудник «Уралавтоприцепа», отец многодетной семьи обратился к Путину с просьбой вмешаться в ситуацию. По его словам, руководство завода три месяца не выплачивало сотрудникам зарплату.

После этого мужчину вызвала на допрос служба безопасности завода. Долги перед сотрудниками завод погасил при вмешательстве СК РФ. Спустя семь часов после проведения проверки «Уралавтоприцеп» выплатил работникам 13 млн рублей.
----
цитата http://ura.ru/news/1052251380 (2 июня 2016)
...
Еще 24 мая рабочий подал заявление об увольнении по собственному желанию, в котором просил с 1 июня рассчитать его в связи с тем, что у него внезапно заболела дочь и ему надо везти ее на операцию в Курган.
...
По информации источников «URA.Ru», причиной внезапного увольнения Дмитрия Дудкина якобы стало внимание, проявленное к нему судебными приставами. «Дело в том, что за ним числится долг по алиментам. Четверо детей, о которых упоминали журналисты, живут не в одной семье — у него есть дети от первого брака. После того, как Дудкин „засветился“ в СМИ, он привлек внимание ФССП и у него начали вычитать средства из зарплаты», — рассказал собеседник.
...
Сам Дудкин утверждает, что его дети живут в одной семье. «У меня есть определенные кредитные обязательства, по которым я плачу. При этом бухгалтерия завода, производя вычеты, практически ополовинила мою зарплату, — рассказал рабочий корреспонденту „URA.Ru“. — За март насчитали 20 тыс. рублей — половину вычли. За апрель с отпускными было 32 тысячи — на руки я получил 16 тысяч. Наверное, им так удобнее. Но мне надо как-то кормиться и семью кормить! Я поэтому и президенту звонил, никто меня к этому не подталкивал. И сейчас я просто хочу найти работу с большей зарплатой».

Версию Дудкина в Гострудинспекции агентству подтвердили. «Причиной увольнения стали вычеты по исполнительным листам от судебных приставов за пропуск платежей в микрокредитные организации — информации об алиментах у нас нет. Мы проанализировали документы, работодатель обязан производить эти удержания по исполнительному листу, здесь нет нарушения. Что касается увольнения — трудовой договор расторгнут на законных основаниях, по личному заявлению работника. Других причин на встрече он нам не назвал», — пояснил заместитель руководителя Гострудиспекции Челябинской области Александр Куликов.
----

В общем, одни пишут - давление руководства. Другие пишут - что алименты. Третьи - что кредитные обязательства.

Догадывайтесь сами, что там произошло. Но явно, что желания там работать у сварщика больше нет. А кредитные обязательства, естественно, могли возникнуть из-за задержек по зарплате (ему ведь на что-то жить надо было).

Хотя это https://maxpark.com/community/129/content/3765838 , конечно, круче.

Оу, в США опять выборы?

С удивлением узнал, что в США опять выбирают президента... вроде недавно было дело? Что, снова? А у нас, вроде, ещё нет??? Оу... как это недемократично с нашей стороны.


Кстати, вы знаете, кто выиграет на этих выборах?
Я думаю, что Трамп.

Нет, не потому что миллиардер.
А потому что существует всем известная закономерность: если выиграли демократы, то через 8-мь лет прийдут республиканцы. А республиканцы - это именно Трамп.

Так что за ходом выборов можно не следить: от народа ничего не зависит. Выиграет Трамп, даже если кому-то из выборщиков придётся предать демократов и проголосовать за республиканцев.
Источник новости http://rg.ru/2016/02/24/nad-rossiej-sozdadut-sploshnoe-radiolokacionnoe-pole.html

Над Россией воссоздается сплошное радиолокационное поле
Единое радиолокационное поле над всей страной создается впервые со времен СССР. Его основу составят самые мощные в мире РЛС "Воронеж". Их строительство сейчас поставлено на поток.

Опять очередная ложь. Ну как можно "воссоздать" радиолокационное поле с помощью системы СПРН?
Ведь это, всё-таки, совершенно разные вещи.
РЛС для создания радиолокационного поля НАД страной - это задачи ПВО, и решать их должны системы ПВО.
РЛС системы СПРН смотрят по периметру, защищая нашу страну от неожиданного ракетного нападения.

И это разные системы. Надгоризонтная РЛС принципиально не может делать вот это:

Армавирская РЛС способна засекать старты баллистических и крылатых ракет с воздуха, земли и с подводных лодок на дальности до шести тысяч километров.

Обратите внимание, что Земля круглая. И запуск крылатой ракеты на дальности 6000 километров просто невозможно определить без загоризонтной станции, так как крылатая ракета скрывается за самой Землёй. "Воронеж" же, о котором говорят, является надгоризонтной станцией СПРН. Обнаружить современную низколетящую крылатую ракету он не способен вообще. Ни на каком участке траектории (ну если только очень повезёт или когда она подлетит и сделает горку прямо на станцию, чтобы её уничтожить).

А это вообще уже подаётся как успех:

Немаловажно, что самая современная аппаратура в основном отечественного производства.

То есть в системе есть импортные компоненты. Докатились, теперь это успех, что "в основном", отечественного производства. То есть что-то сделать в нашей стране не смогли, но теперь это успех. В СССР всё делали у нас и если надо было, компенсировали выдумкой недостатки электронной части.

При этом, фактически, пытаются подменить проблему восстановления радиолокационного поля ПВО проблемой восстановления радиолокационного поля СПРН. Что, как я уже сказал, не одно и то же.
Не могу удержаться от перепоста. Хочу только заметить, что то, что мы считаем необъяснимой "дружбой", может быть лишь следствием политической игры. Например, кроме недавнего разоблачения генпрокурора Чайки, сделанного ФБК, может всплыть компромат ещё на кого-либо.
Большой дядя вызвал маленького Путина на ковёр и отшлёпал, а то и отодрал.

Оригинал взят у dr_piliulkin в Газ для Геническа или Форточка Овертона
Я считаю это ошибкой. Большой ошибкой.

Постараюсь объяснить, почему.

1. Ни на какую благодарность или оплату за поставляемый бесплатно газ рассчитывать на приходится.
2. Ни на какую положительную оценку этой гуманитарной акции на западе рассчитывать не приходится.
3. На украинских территориях эти поставки будут расцениваться как слабость и "нагнули кацапов". Собственно говоря, так уже и расценивается. Мэр Геническа вообще уже заявил, что к Путину не обращался за помощью и "Кремль врет". Газ при этом радостно берут. :)
4. Энергетическая, продовольственная и прочая блокада Крыма будет продолжаться. Так же как и блокада ДНР и ЛНР.
5. Украина нынче валится в чудовищную гуманитарную катастрофу - как и было запланировано на западе. И основная цель запада сейчас - перекинуть этот чемодан без ручки на содержание России, как оно всегда и было, сохранив при этом украинские территории враждебными России. Гуманитарные поставки газа из России - это окно Овертона, как нынче модно говорить. Завтра будет кормить и согревать сорок миллионов ненавидящих Россию предателей?
Read more...Collapse )


У меня накрылся компьютер. Поэтому в ближайшие месяцы не ждите, что буду что-то писать или на что-то отвечать.

Tags:

Latest Month

June 2017
S M T W T F S
    123
45678910
11121314151617
18192021222324
252627282930 

Syndicate

RSS Atom
Powered by LiveJournal.com
Designed by Tiffany Chow