• ↓
  • ↑
  • ⇑
 
Записи с темой: security (список заголовков)
17:38 

Sberbank Online Password

Stance Dance

А они все не унимаются :) Плюс один в копилку диких требований к паролям:

Запрет на более чем 3 символа из одного ряда кнопок - это же просто прелесть! :)

@музыка: Yanni - A walk in the rain

@темы: Этот безумный мир, Security

19:36 

Windows 10 + Firewall

Stance Dance

Не знаю, кто там что говорит по поводу "RSS - мертвая технология", все более менее интересующие меня новости именно через RSS и читаю. Впрочем, речь не об этом, речь вот о чем.
Винда-десятка уверенно шагает по планете. Ну еще бы, с таким-то остервенением ее МС в свое время насаждали. И таки добились своего. С широко известного в узких кругах сайта виртуализаторов прилетела крайне забавная вещь: Микрософт отжигает 0x800706D9
Если вкратце - у человека перестала синхронизироваться адресная книга Outlook с сервера Exchange. Решение проблемы, имхо, абсолютный шедевр - нужно включить файрволл. Еще раз, медленно, с расстановкой: нужно. включить. файрволл.
В обычной ситуации файр при включении, наоборот, что-то режет. А тут - вот те на те!

Поделился этой новостью с коллегой по цеху, так он меня огорошил. Оказывается, еще со времен висты он укладывал полностью сетевую работу виндов, если отключал службу Windows Firewall. Как - не знаю, но решил проверить. Поднимаем виртуальную семерку, даем ей доступ в сеть, проверяем, что интернет есть. Он есть. Вырубаем службу файра. Интернет по-прежнему есть, чего бы не быть? Штурмуем мозгами дальше, давно дело было, может быть это только для серверов так работало? Ок, поднимаем по очереди Win 2008, Win 2008 R2, Win 2012 R2 (вечная хвала разработавшим виртуализацию!), проверяем в каждой. Все работает.

Гуглим. Гугля подсказывает, что не сеть накрывается, а вырубается доступ по RDP. Ок, идем внаглую, с одного сервера открываем RDP-сессию до другого, и прямо в ней тушим службу файра. Все пашет. Пинги бегают, связь не разорвана.

В общем, моя не знать, моя не понимать :)

@музыка: David Arkenstone - Ah*Nee*Mah Project - River of Creation

@настроение: я ржу!

@темы: Этот веселый мир, Security

22:14 

Sony vs BlueBorne #3

Stance Dance

Начало было тут - Клац!

Будучи неудовлетворенным (гусары, молчать!) их ответом, решил задать вопрос более прямо. К нижеизложенному просто ни прибавить, и убавить:

Добрый день. Спасибо за ответ, но хотелось бы уточнить одну важную для меня деталь. Xperia - довольно обширный ряд устройств. Как владельца устройства модели Xperia Z3 Compact, интересует, планируется ли обновление прошивки именно на ней?

---

К сожалению, мы не располагаем информацией о порядке и времени обновления системы безопасности конкретных моделей. Как сообщалось ранее, в устройствах Sony Xperia будет установлен пакет безопасности Android™ от 2017-09-01 или более поздней версии. Обновление выходит поэтапно, доступность обновления зависит от страны и региона.

Не знают они. Да скажите уж прямо - не собираетесь. Ваша политика по обновлению устройств всем и так известна, но нет. Прячетесь за максимально обтекаемыми формулировками, чтобы не дай боже не вызвать неудовольствие клиента. Основная проблема в том, что именно такой ответ именно неудовольствие и вызывает. К тому же, я не время от вас хотел, а принципиальный ответ - да или нет. Что может быть проще-то?

Короче, Sony - это Sony. Об их "легендарном качестве" уже давно идет не самая лучшая молва, а моя Z3C эту молву только подтвердила. Увы и ах. Остается вопрос - а у кого лучше-то? Все же буду рад, если ошибусь в своих суждениях, и заплатку против Blue Borne они на Z3C все же выкатят.

Была у меня грешная мысль посмотреть в сторону всяких Пикселей (Pixel). Как никак, трубки от самого Гугла, с поддержкой и фиксами там всяко попроще и быстрее должно быть. Но что-то грызет меня червяк сомнений. Да и жаба квакает, очень громко квакает. Эти трубки не из дешевых, а текущая мобилка, если закрыть глаза на Blue Borne, устраивает решительно по всем параметрам.

Короче, вилы.

@настроение: клац-клац-клац

@темы: Security

11:02 

Sony vs BlueBorne #2

Stance Dance

Итак, они ответили. Как и полагается в корпоративной переписке - предельно обтекаемыми фразами, чтобы не подкопаться. Хотя в своем запросе я указал конкретную модель телефона: Xperia Z3 Compact.

Sony Mobile относится к безопасности и конфиденциальности данных клиентов с максимальной серьезностью.

Мы знаем о проблеме, известной как «BlueBorne», и хотели бы заверить наших пользователей, что исправления (патчи) для защиты были разработаны как часть нашей постоянной программы обновления безопасности. В устройствах Xperia будет установлен пакет безопасности Android™ от 2017-09-01 или более поздней версии.

Xperia - это довольно обширный ряд устройств. Чует печенка, что поставить-то поставят, но лишь на ветку ZX. Те, что постарше, как всегда пролетят.

Короче, ждем дальше.

@музыка: Bob Mould - See a little light

@настроение: пнуть их еще раз, что ли...

@темы: Security

15:07 

Sony vs BlueBorne

Stance Dance

Отписал в поддержку Sony с прямым вопросом - ждать на Xperia Z3C патч для BlueBorne или не ждать. Посмотрим, как ответят и ответят ли вообще. Стандартную отписку о регистрации заявки и присвоения ей номера прислали.

@настроение: задумчивое

@темы: Security

15:35 

Firefox Sync

Stance Dance

Прочитал тут, что у моего любимого Xmarks есть все шансы отвалиться от огнелиса и больше на нем не взлететь. Осенью Fx окончательно переходит на Web Extensions, а Xmarks уже давным-давно не обновляется. Так что приходится продумывать пути отступления уже сейчас. И первое, что пришло на ум - Firefox Sync. Попробовал я его. Понял, что нет, не судьба. И вот почему:

На картинке - дефолтные настройки Sync. И доступны они уже после того, как собственно, синхронизация включена и работает. Да, да, пароли утекают в далекие дали по дефолту. В Xmarks до запуска процесса синхронизации все же сначала спрашивали, а что будем по сети гонять-то.

Короче, думаем дальше.

@музыка: Мельница - Лента в волосах

@настроение: ...

@темы: Этот безумный мир, Security

15:04 

И снова VK.com

Stance Dance

Эксперимент продолжается, сколько продержится моя теперь уже новосозданная учетка до того, как ее попытаются перехватить. Пока держится. Но ВК продолжает жечь напалмом.

Понадобилось мне сегодня зайти в эту шайтан-сеть с другого компа. Открыл стартовую, ввел логин, ввел пароль. ВК мне и говорит: "Парень, а подтверди-ка ты нам, что это действительно ты. Мы тебе код отослали, вбей его в форму". Ладно, лезу в почтовый ящик... нет кода.
Подождал минуту-другую, кода так и не пришло. Переключаюсь на страницу с формой ввода того злосчастного кода, вижу там опции: другие методы проверки. Среди прочего - отсылка СМС, и таймер, который уже приближается к нулю. Обнулился, появилась ссылка "Послать нах СМС".

Отсылаю.

Удивительно, но сообщение пришло, и даже на мой номер. И даже с кодом. Счастье-то. Вбиваю код, меня пропускает в свой "личный кабинет". Вроде бы все ок. Да нифига не ок. Рядом с графой Messages красуется единица. О-па! Кто это мне уже чего-то написал? Открываю - и вижу там тот самый проверочный код, который они выслали мне в ПРИВАТ.

Вот тут мне очень хотелось одновременно ржать и материться на чем свет стоит!

Ну и на сладкое. Список логинов и браузеров, с которых эти логины были. Логины-то мои, тут все как надо. Но вот сами браузеры...

Интересно, что это за Firefoxonline, и в курсе ли о нем ребята из Mozilla?

@музыка: En Voice - Line 2

@настроение: Ржать и убивать! :)

@темы: Security, Этот безумный мир

06:52 

VK.com номер следующий

Stance Dance

Все же не люблю, когда у меня что-то крадут. Пусть даже это всего лишь учетка от сети, которой я почти не пользуюсь.

Сколько там уже прошло, больше полугода с той истории? Ради хохмы попробовал восстановить контроль над той учетной записью еще раз. Ожидаемо - фейл, с меня снова потребовали скан паспорта, предупредив, что восстановят доступ только в том случае, если в учетке есть несколько фотографий с рожей, которую я им покажу в паспорте. Ага, щаз, разбежался.

Ладно, в учетке нет ровным счетом ничего ценного, кроме номера телефона. Все таки не очень хорошая идея, иметь свой номер телефона привязанным к записи, контроля над которой нет. А что если попробовать создать новую учетку с использованием моего номера? VK, помнится, предупреждал, что номер телефона там должен быть уникальным. Но он и насчет 2FA много чего говорил, на поверку вышел пшик. ОК, заходим на главную, внаглую там прописываем свой номер, отдаем сайту свои имя и фамилию (они там все равно давным давно есть), давим кнопку Sign up... И тут просто невероятное - сайт просто предлагает мне либо авторизоваться в украденной учетке (но, эта попытка будет фейловой, стопудово), либо отвязать мой номер от старой учетки и привязать к новосозданной. Хы! Второй вариант мне подходит, так что - давай, отвязывай и привязывай :)

Прокатило, в системе меня авторизовало. Снова включаю 2FA, выкручиваю на полную оповещения из раздела Безопасность. Все как полагается: чих из разряда "логин с нового браузера" - лови СМС и письмо-алерт. Теперь ждем, как быстро спохватится тот упырь, который постоянно тырил старую запись, телефонного номера-то теперь у него нет.

И попутно новый вопрос. Если номер телефона является логином, то сейчас в базе VK есть две записи с одним логином и разными паролями. ЭТО ВООБЩЕ КАК? Хорошо, допустим, все упоминания о номере в процессе регистрации и перепривязки со старой записи были удалены. Тогда вопрос еще один - что осталось в качестве логина на старой записи?

@музыка: Nigel Stanford - Near Centaurus

@темы: Security, Этот безумный мир

11:55 

Windows 2012 Lock Screen

Stance Dance

Ох и достал же меня этот экран блокировки в моей домашней лабе. Пора его отрубить. Огромное спасибо автору вот этой статьи:
How To Disable Windows Server's Auto Lock Feature - Клац!
Не знаю, удалось ли бы мне когда-нибудь самому домыслить, что за экран блокировки отвечает следующая настройка:

Computer Configuration \ Policies \ Administrative Templates \ System \ Power Management \ Video and Display Settings \ Turn off the display (plugged in)

Ставим ее в ноль и наслаждаемся результатом.

@музыка: The Offspring - Secrets from the other side

@настроение: Ну наконец-то!

@темы: Security

22:46 

Как нас берегут...

Stance Dance

«Доктор Веб»: портал государственных услуг Российской Федерации (gosuslugi.ru) скомпрометирован и может в любой момент начать заражать посетителей или красть информацию
Клац!

Читать всем до полного осознания масштаба проблемы.

@музыка: Equilibrium - Waldschrein

@настроение: мрак...

@темы: Security, Этот безумный мир

18:37 

Ozon.ru

Stance Dance

Многого я ожидал, но не такого.

Позавчера. Искал себе новый рюкзак. Старый показался слишком громоздким, хочется чего-то по-компактнее. Нашел, Озон говорит, что даже есть (учитывая, что модель 15 года - удача), заказал. Понятное дело, что Озон завел для меня учетную запись. Сгенерированный пароль менять не стал, сессию в браузере не завершал, хотя сам браузер потушил (we have cookies).

Вчера. Залез в личный кабинет, понял, что скорее всего Озоном может быть еще воспользуюсь. Сменил пароль на требуемый.

Сегодня. Прихожу на работу, открываю страницу Озона, и вижу, что моя сессия даже после смены пароля - по-прежнему валидна.

Я ОТКАЗЫВАЮСЬ В ЭТО ВЕРИТЬ!!!

@музыка: Nigel Stanford - Far Centaurus

@настроение: донельзя удивленное

@темы: Этот безумный мир, Security

18:26 

VK.com

Stance Dance

Как говорится, садись - двойка! Извините за мат под катом, но накипело.
Не то, чтобы эта учетка сильно была нужна, в конце концов, там сведений-то имя с фамилией, да один френд, затесавшийся непонятно зачем. Ни фотографий, ничего. Но неприятно осознавать, что у тебя что-то украли. Тем временем, учетку эту у меня угнали уже в третий раз. Но этот угон - особенный.
Достало меня, что к учетке существует такой повышенный интерес. Восстановил контроль на ней в очередной раз, вычистил оттуда все левое, что какой-то кретин уже успел туда напихать, включая фото профиля, сделал ее девственно чистой, после чего врубил для нее 2FA - двухступенчатую авторизацию. Отныне любое действие с учеткой (логин, смена пароля) должно сопровождаться уведомлением на телефон. Каково же было мое удивление, когда через день я снова не смог в свою же учетку влезть. Напоминаю - 2FA включена. Никаких оповещений о том, что кто-то пытался в учетку залезть, за это время не приходило. Ну ладно, не в первый раз замужем, процедуру восстановления пароля я уже с закрытыми глазами могу там пройти. В процессе прохождения выясняю, что в профиль снова повесили левую фотографию, причем того же самого чувака, что и в предыдущий раз. Делаю вывод, что действует один и тот же кретин.
И тут мне выкатывают птицу обломинго - поскольку выбрана учетка со включенной двухфакторкой - вы обязаны нам прислать фото своего лица и фото вашего паспорта. И далее вообще смешно - мы восстановим вашу учетную запись только в том случае, если в ее профиле есть ваши фотографии (в количестве большем, чем 1).

ШТА?!

Нет, ребята, так не пойдет. Вы требуете кучу всего с негарантированным результатом? А в моем случае - гарантируется фейл, потому что фотографий в профиле либо нет, либо всего одна? Здорово живем! ОК, я знаю, что так поступать нельзя, но тем не менее - вот вам изображение Mark of the Outsider в качестве моей рожи, и вот вам это же изображение в качестве скана моего паспорта. Держите запрос.

Они это запрос приняли. И даже, о чудо! - прислали об этом оповещение на телефон (где вы, твари, были днем раньше?). В сообщении короткая ссылка на домен vk.cc (лолшто???) и приписка - по этой ссылке вы можете всегда уточнить статус вашего обращения. Открываем ссылку - открывается профиль какой-то совершенно левого и незнакомого VK-юзера.

Ребята, это вообще как понимать?! О.О

Короче говоря, VK.com отныне и во веки вечные послан в таки матерные дали, что их я тут даже постесняюсь публиковать.

@темы: Security, Этот безумный мир

18:06 

Blizzard ... запись номер... уже потерял счет.

Stance Dance

Ситуация: хочу зайти на их веб-портал. Ввожу логин, ввожу пароль... Мне говорят - извините, таких не знаем, проверяйте пароль. Ы? Ну ладно, может ошибся. Вбиваю его еще раз. Не, нифига, мы тебя не знаем.
Проверяю логин - все верно. Вбиваю еще раз пароль. Медленно, проверив раскладку, Caps Lock, все по феншую. Не, знать таких не знаем.
Черт с вами, давайте заменю его. Окей, вот тебе форма смены пароля. Читаю ее и сползаю под стол.

Пр-р-р-растите, ШТАААА???
Хохмы ради вбиваю в оба поля тот же пароль, что у меня был. Ответ просто шедеврален (хотя и ожидаем): Пароль не может совпадать со старым.

Извините, но это уже просто ни в какие ворота не лезет! Они не пускали меня ровно потому, что в старом пароле как раз были спецсимволы, как завещали лучшие собаководы практики.

И да, регистр пароля им по-прежнему до одного места!

@музыка: Nadia Ali - Rapture

@темы: Security, Этот безумный мир

22:04 

Secure Communications.

Stance Dance

Всего лишь одна ссылка:
ФСБ предложила расшифровывать весь интернет-трафик россиян - Клац!
"Казахский вариант" в России? Ну что, браво, дождались! А кто-то сомневался, что они захотят бОльшего?

@музыка: тихий шум кулера

@темы: Security, Этот безумный мир

10:53 

Kaspersky

Stance Dance

После тотальной переустановки всего и вся пришлось заново воткнуть Kaspersky Antivirus Free. Его обновили. И вот что там теперь присутствует:

Да, да, VPN от каспарычей, а-ля "Привет, Роскомпозор!"
А подробнее вот тут: support.kaspersky.ru/12726?cid=KSDE_17.0
Знаете, хорошая попытка, но - нет.

@музыка: NieR OST - Kaine Escape

@темы: Security

15:18 

Пароли

Stance Dance


Сначала, как и полагается, проржался всласть :) Потом задумался - а ведь это вполне укладывается в рамки "М". Пока выговоришь... ну сами понимаете.

А потом мне вспомнилась вот эта новость: geektimes.ru/post/280120/
И что-то сразу как-то стало грустно и печально.

@музыка: The Herbalist OST - Tranquility

@темы: Этот веселый мир, Этот безумный мир, Security

17:05 

Runtastic

Stance Dance

Ну, попадать под дождь на велике мне доводилось. И не один раз. Но чтобы попасть на нем же под дождь с градом и так, что путь обратно строго против ветра - такого не припоминаю за всю свою жизнь. Случилось, вот. Выдохся как последняя зараза.

Впрочем, речь немного не о том. Есть такая замечательная вещь - Runtastic.com. Да, трекеры. Да, отслеживают. Да, я прекрасно осознаю, чем это грозит. Но мне нужна статистика. Соц.сети этих вашил персональных данных собирают тоже немалое количество и гораааааздо чаще.

Ввалившись домой после такой вот поездочки, стал изучать, а чего вообще этот трекер предлагает. Нашел просто шедевральное. Там доступен список людей, которые занимаются бегом, велопокатушками, еще-чем-нибудь около тебя (GPS же). Тыкаю в одного наугад, тыкаю в раздел "Маршруты", надеясь увидеть, где тело катается. И мне говорят - чувак, маршруты этого пользователя скрыты от посторонних глаз. Ок, понимаю, приватность, все дела. И тут глаз цепляется за кнопочку Live! Нажимаю ее и сползаю под стол. Эта кнопка открывает карту и в режиме реального времени показывает, где чувак едет на своем двухколесном друге вот прям щас! И маршрут строит, да подробненький такой.

Настройки приватности, значит? Ну-ну, теперь можно с уверенностью сказать - плавали, знаем.

@музыка: David Arkenstone - Horizon of stars

@темы: Этот безумный мир, Security

15:16 

AirDroid

Stance Dance

Однако, новое слово в безопасности мобильных устройств. Открываем приложение AirDroid (связанное с аккаунтом в сети), чтобы от сетевой учетки его отвязать. Не удалить аккаунт в целом, а всего лишь разлогиниться. Нажимаем кнопочку Sign Out, и получаем:

@темы: Android, Security

11:25 

Android 6: Жизнь - боль #2

Stance Dance

WebDAV доступ. Работать-то работает. На чтение. Даже на удаление. А вот создать что-нибудь на SDCard - фигушки. Но ладно, если бы написали избитое Access Denied - я бы это понял. Но нет, выдали совершенно фееричную вещь:

Вот что я вам скажу, ребята. То, что гугл сделал с доступом к SD-карточкам - вот это настоящая катастрофа.

@музыка: Ryan Farish - Sunshine in the Rain

@настроение: печально все

@темы: Security, Этот безумный мир

10:46 

Flash Update

Stance Dance

В очередной раз всплыло предупреждение, что Flash устарел и требует обновления. ОК, заходим на сайт адобы, просим апдейт и что же видим:

Ну ладно, к настойчивым предложениям об установке Макафи я уже привык. Хм... теперь они даже заявляют, что не потревожат уже имеющийся антивирусный софт, какая прелесть. Но ниже что еще такое появилось??? Вспоминая об Intel AMT ставить хранилку паролей их производства? Не-не-не, Дэвид Блейн, не пройдет.

@музыка: Now you see me OST

@темы: Security

Записная книжка

главная