| 1.1, commiethebeastie (ok), 22:55, 27/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +34 +/– |
 По моему опыту безопасники всегда являлись основным источником дыр. Создают сейфы с целлофановыми стенами. Знают кучу бесполезных слов, но абсолютно не понимают как работает "защищаемый" объект. Гнать их надо отовсюду с волчьим билетом.
| | |
| |
| 2.19, Аноним (-), 05:42, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Это отчасти так. Такие "безопасники" совсем бесполезны. Но эксперты занимающиеся только этим вопросом нужны, потому что разработчикам, часто, совсем не до этого, даже если они и понимают, но заняты другим.
Я так понимаю, ты имеешь в виду личностей, вроде сотрудников первого отдела, всяких "начальник службы безопасности", "сертифицированный специалист по б." - да, согласен.
Кстати, кто подскажет, есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников? Например, что бы искать сотрудника на вакансию.
| | |
| |
| 3.24, Харли (ok), 07:09, 28/04/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Гы. Ну зато в ОБ одного ну очень известного и принадлежащего нуоченьправославным братьЯм системного интегратора (Москва, Рязанский проспект) на столе у тамошнего черта стоит бюстик Дзержинского. Какой хттпс еще?
| | |
| |
| |
| 5.72, Аноним (-), 16:29, 28/04/2017 [^] [^^] [^^^] [ответить]
| +7 +/– |
Кактус — к монитору, от излучения; Эдмундыча — к роутеру, от хакиров.
| | |
|
| 4.81, krijich (ok), 11:54, 29/04/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >на столе у тамошнего черта стоит бюстик Дзержинского. Какой хттпс еще?
А как Феликс Эдмундович влияет на хттпс? Или это твоя личная неприязнь и какое-то суждение на этой основе?
| | |
|
| 3.29, commiethebeastie (ok), 09:33, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– |
Вот этих имею в виду: "сертифицированный специалист по б.". "начальник службы безопасности" это простой начальник охраны.
| | |
| 3.65, commiethebeastie (ok), 15:33, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>Кстати, кто подскажет, есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников?
Есть, но для этого надо знать как работает предмет.
| | |
| 3.80, agent_007 (ok), 00:49, 29/04/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников? Например, что бы искать сотрудника на вакансию.
Просто спросить как правильно защищать систему мгновенных сообщений, например. Абстрактную IM систему "телецап".
| | |
|
|
| 1.2, Аноним (-), 22:56, 27/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +25 +/– |
Чем больше кричат в рекламе о супербезопасности продукта, тем больше вероятность, что это дырявая поделка и все деньги потратили на рекламу, а не на разработчиков.
Антивирусное ПО тому хороший пример.
| | |
| 1.4, Аноним (-), 23:02, 27/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
> По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.
Ещё бы, Raspberry Pi за $35 дорого и не потянет по производительности, поэтому в серию поставили китайский Orange Pi PC 2 за 20 долларов.
| | |
| |
| 2.28, Аноним (-), 09:16, 28/04/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Ещё бы, Raspberry Pi за $35 дорого и не потянет по производительности,
> поэтому в серию поставили китайский Orange Pi PC 2 за 20
> долларов.
которая ВНЕЗАПНО еще медленней
| | |
| |
| 3.34, кэп (?), 10:18, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– |
С какого перепугу оно медленней? Оно заметно шустрее, особенно сетевуха.
Единственная проблема с оранджами - борьба с перегревом. Лечится радиатором побольше и термоклеем получше.
| | |
| |
| 4.40, ak (??), 10:51, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– |
> С какого перепугу оно медленней? Оно заметно шустрее, особенно сетевуха.
> Единственная проблема с оранджами - борьба с перегревом. Лечится радиатором побольше и
> термоклеем получше.
не единственная
некоторые питают плату маломощными адаптерами. результат непредсказуем.
| | |
|
|
|
| 1.5, Sabakwaka (ok), 23:11, 27/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 >> По моему опыту безопасники всегда являлись основным источником дыр...
nomx — не безопасники, а болгены.
| | |
| 1.6, Аноним (-), 23:17, 27/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Про создателя nomx написано "W.L. Donaldson is a cybersecurity expert...", но в списке регалий "Mr. Donaldson served as the first USMC Webmaster at the Pentagon". это PHP, правку конфигов от рута и все детские дыры поясняет. Типа, если вёбмастер в пентагоне, то эксперт по безопасности.
| | |
| 1.7, Аноним (-), 23:53, 27/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами и рекламой.
Подобных разоблачений был миллион, что бизнесу многих компаний не сильно помешало.
| | |
| |
| 2.37, Аноним (-), 10:28, 28/04/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами
> и рекламой.
> Подобных разоблачений был миллион, что бизнесу многих компаний не сильно помешало.
имеющий уши да услышит...
откровения Сноудена тоже не сильно как-то людей вразумили
| | |
| 2.45, Аноним (-), 12:46, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> анонимуса
Это нас, анонимусов, слушать не будут. А Скотт, хоть шарашкина контора и называет его "блогером", довольно известный чувак.
| | |
| 2.53, YetAnotherOnanym (ok), 13:57, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами
> и рекламой.
Во-первых, таки не анонимус, а во-вторых, за спиной мистера Хельме стоит Британская Вещательная корпорация. Отставной уёб-кодер Пентагона против BBC - ну-ка, кто кого?.
| | |
|
| |
| 2.74, Sabakwaka (ok), 16:55, 28/04/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>> что же делает это уберустройство
Это SMTP сервер, сконфигурированный без DNS и без MX записей.
Все данные статически прописаны у GoDaddy, у которого закуплены статические DNS и MX записи и IP на всю выпущенную серию устройств.
Типа, втыкаешь медь, регистратор сам, втайне от остального мира, тебя маршрутизирует.
Т.е. мир, с точки зрения nomx — это твой домашний рутер, твоя виртуальная домашняя сеть over WAN.
И поскольку никто про тебя ничего не знает — должно выходить неуязвимо.
| | |
| |
| 3.78, Аноним (-), 18:21, 28/04/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Все данные статически прописаны у GoDaddy, у которого закуплены статические DNS и MX записи и IP на всю выпущенную серию устройств.
Невнимательно читал. Во-первых, API GoDaddy используется в качестве замены DDNS, а никаких статических IP нет; во-вторых, MX записей тоже нет, потому что API GoDaddy не даёт их создавать; в-третьих, домен и доступ к API для руления A-записью оплачивает сам клиент.
> И поскольку никто про тебя ничего не знает — должно выходить неуязвимо.
Они тебе за рекламу забашляли, что ли?
| | |
| |
| 4.86, Sabakwaka (ok), 18:46, 29/04/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>> API GoDaddy используется в качестве замены DDNS, а никаких статических IP нет
Да ну?
>>> MX записей тоже нет, потому что API GoDaddy не даёт их создавать
Да ну??? :) :) :)
>> доступ к API для руления A-записью оплачивает сам клиент.
Понял, ты пользователь nomx, у тебя восемь боксов, тебя не обманешь.
>> Они тебе за рекламу забашляли, что ли?
За разоблачение.
| | |
| |
| 5.87, Аноним (-), 23:01, 29/04/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Чего разданукался? Пойди по ссылкам и почитай. А если инглиш не понимаешь, то хотя бы не пытайся умничать.
| | |
|
|
|
|
| 1.9, Noteme (?), 00:12, 28/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ничего удивительного. У нас делают точно также. В буклетах и на сайте чего только не понаписано, а внутри - софт мало того что дырявый, да еще и ворованный.
| | |
| |
| 2.11, Crazy Alex (ok), 00:44, 28/04/2017 [^] [^^] [^^^] [ответить]
| +7 +/– |
 Ну, мошенников везде хватает. Но какова наглость... Аж завидно слегка, я б так не рискнул
| | |
| 2.43, тоже Аноним (ok), 12:13, 28/04/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Вот неправда ваша. У нас так не делают. У нас делают программно-аппаратный комплекс, в котором общаться с вот такой коробочкой может только программа на распоследнем дотНете, требующая под собой MSSQL для хранения этой важной переписки.
| | |
|
| 1.13, all_glory_to_the_hypnotoad (ok), 01:12, 28/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
 > PHP от 2015 года, ... MySQL от 2016 года.
Какая разнрица от какого они года, эта смесь дерьма в принципе не может иметь ничего общего с безопасностью.
| | |
| |
| 2.14, Ilya Indigo (ok), 02:11, 28/04/2017 [^] [^^] [^^^] [ответить]
| –4 +/– |
 Обоснуйте Ваш выс... казывание!
А также напомните, какие за 2 года уязвимости, связанные с безопасностью были обнаружены в PHP?
| | |
| |
| |
| 4.23, A.Stahl (ok), 07:07, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– |
 >PHP это не erlang.
А в Форте секьюрити дыр не находили уже лет 20. Да на том же РНР в месяц пишется больше, чем было написано на Эрланге за всё время его существования.
| | |
| |
| 5.25, Харли (ok), 07:19, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– |
Тут дело то не в собственно кривости гаечного ключа, а в генетической бестолковости механиков, продолжающих, как те мыши жрать кактус, этот ключ использовать. В СССР кирзовых сапог тоже выпускалось на порядки больше чем нормальной обуви, а толку то?
| | |
| |
| 6.38, Аноним (-), 10:29, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Тут дело то не в собственно кривости гаечного ключа, а в генетической
> бестолковости механиков, продолжающих, как те мыши жрать кактус, этот ключ использовать.
> В СССР кирзовых сапог тоже выпускалось на порядки больше чем нормальной
> обуви, а толку то?
а толк в том, что обуви на всех хватало...
| | |
|
| 5.61, Аноним (-), 15:18, 28/04/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> на том же РНР в месяц пишется больше, чем было написано на Эрланге за всё время его существования
Что это говорит о качествах языка?
| | |
|
|
| |
| 4.85, Аноним (-), 16:52, 29/04/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вы сами-то по своим ссылкам читали? Где там уязвимости _языка_?
| | |
|
| 3.84, all_glory_to_the_hypnotoad (ok), 16:49, 29/04/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
нифгасе ты нaдрoчил минусов.
> А также напомните, какие за 2 года уязвимости, связанные с безопасностью были обнаружены в PHP?
Первая проблема пыха это слишком большое кол-во особенностей платформы и поведения различных компонент о которых нужно знать чтобы не вляпаться в проблемы. И это не удивительно, ведь пых разрабатывал идиoт по принципу ~ что вижу, то и херачу (аналогично, кстати, как и разрабатывался mysql).
А самая большая проблема пыха это куча рукозадых бездарей которые выбирают его для реализации чего-либо - гoгo притягивается к гoгну. И как следствие, практичеси весь пых софт усеян эпическими багами связанными с безопасностью.
| | |
|
|
| 1.15, Аноним (-), 02:24, 28/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Скот еще случайно набрел на postfixadmin, правда он похоже сам того не понял.
| | |
| |
| 2.22, Аноним (-), 06:27, 28/04/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Сейчас это называется не мошенничество, а маркетинг.
Оно всегда называлось маркетинг.
| | |
| 2.31, хрю (?), 09:54, 28/04/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последних нескольких десятилетий.
| | |
| |
| 3.39, Аноним (-), 10:31, 28/04/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последних
> нескольких десятилетий.
издержки капиталистического подхода, увы
| | |
| |
| |
| |
| Часть нити удалена модератором |
| 6.70, Аноним (-), 15:48, 28/04/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
"Единая Россия" не оглашает свои тарифы. Но понятно же, что на выборах любого уровня "излишки коммуняк" сразу же поступают в избирательные закрома ЕР.
| | |
|
|
| 4.51, Аноним (-), 13:46, 28/04/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Северная Корея - наше будущее! Но сначала переходный демократический период турецкого образца.
| | |
|
| 3.41, Аноним Аналитег (?), 10:56, 28/04/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вспомнилось интервью одного из производителей шоколадок, на вопрос стоит ли ждать повышения цен на продукцию из-за повышения цен на какао бобы, ответ был замечательный:
- Не обязательно! Есть много технологий позволяющих сохранить прежние цены. Например можно уменьшить порции.
| | |
|
|
| 1.46, ALex_hha (ok), 12:58, 28/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован
но видать умалчивают тот факт, что тесты проводились специалистами по безопасности их фирмы. Тогда понятно, почему не было найдено ни одной проблемы.
| | |
| 1.49, Аноним (-), 13:25, 28/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован
да это же прям как казённая сертификация непотребного хлама за деньги
| | |
| |
| 2.62, Аноним (-), 15:22, 28/04/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> да это же прям как казённая сертификация непотребного хлама за деньги
...только без сертификата и денег. Зачем тратиться, если можно просто сказать, что всё секюрно?
| | |
|
| 1.55, ALex_hha (ok), 14:39, 28/04/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Кстати на сайте nomx, они полностью опровергают заявление о дырявости. Факты в свою защиту особо доставляют
Security Testing of a Rooted nomx Device:
The BBC provided the nomx devices for testing to a UK-based blogger who physically disassembled and rooted one of the nomx devices. Rooting was done, in his words, by disassembling the nomx case, physically removing memory card from the Raspberry and inserting it into his PC, and then resetting the root password. That is not an action a typical user would do, nor is it routine for a nomx device
"That is not an action a typical user would do, nor is it routine for a nomx device" а как будет действовать типичный пользователь? Или под типичным пользователем они подразумевают блондинку? :facepalm:
И это заявляет человек, который на сайте написал о себе
About our founder
W.L. Donaldson is a cybersecurity expert, entrepreneur and multi-patented inventor.
Или я что то не понимаю или лыжи не едут :D
| | |
| |
| 2.89, Kuromi (?), 15:27, 30/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
Первые читалки Nook (first edition) к удивлению любопытных юзеров вместо встроенного чипа памяти имели microsd слот с карточкой. Так что копание во внутренностях и смена прошивки были как два пальца об асфальт. Более поздние юниты такой "уязвимости" не имели. Барнс и Ноблс (производители Нука) тоже не ожидали что-то кто-то разберет читалку.
Nomx ничьему опыту не учатся
| | |
|
|
