Sergej Qkowlew

UPD с сожалениями: Нет, на андроидах 4-х версий НОРМАЛЬНО НЕ РАБОТАЕТ. Потому я его использовать на практике КАК ОСНОВНОЙ НЕ БУДУ.

Вкупе с невозможностью отказаться от автообновления из централизованного источника - продукт считаю фиктивным с точки зрения "безопасности" и "шифрования". Хотя и интересным. :(

на 4 андроиде всё-таки наконец подключилась версия, скачанная через F-droid, от 20170215... Но сообщения в неё, как правило, НЕ ДОХОДЯТ доходят с диким запаздыванием.

http://ring.cx/

плюсы:
+ имеет "ДЛЯ СОВСЕМ ТУПЫХ" интерфейс регистрации нового акка, более простой, чем у Skype/Telegram
+ имеет неплохую продуманность интерфейса настроек, по умолчанию для тупых скрытую.
+ полностью распределённый как Tox.
+ позволяет, как Скайп, "забить на себя" внятные НИКИ, а не пугающие среднего пользователя сгенерённые ключи (как в Tox)
+ даже если "точки контакта" будут запорчены окружающим миром - в настройках можно прописать другие.
+ есть под все современное ОС.
+ легко отвечать на вопрос "где скачать клиента?"
+ можно как ХРАНИТЬ, так и НЕ хранить у себя лично на этом устройстве историю переписки.
+ умеет голосовые и видеозвонки (пока не проверял сам)

нейтральное:
! не имеет привязки к симкам, емейлам и прочим внешним атрибутам. Только наборы из файлов, логинов и паролей.
! жрёт 31М оперативки "в ждущем состоянии".

минусы:
- не работает на Андроидах 4.1 по крайней мере. Отзывы, что работает на андроиде 5 - разные.
- не работает под XP, под ещё совсем недавними Линуксами (jessie).
- Добавление устройства к этому аккаунту - кому-то удалось, мне пока нет. Хитрожопо. Глючно.
- У кого два устройства - синхронизация историй поглюкивает (а у кого не? :)
- (для пользователя-идиота) - если уж у тебя его увели, этот ник ты не восстановишь никак.
- нельзя (или я не нашёл как) выбрать что ХРАНИТЬ или НЕ хранить для конкретного собеседника.
- Кнопка "копировать" позволяет скопировать только одно сообщение, нельзя выделить и скопировать произвольный кусок переписки (виндовый клиент, остальные пока не проверял)
- отсутствует консольный клиент для чисто текстовой переписки (потому приоритет у меня так и остаётся за джабером и аськой)
- имеет автообновление по умолчанию раз в 7 дней, что, в конечном итоге, делает разработчиков главной "точкой отказа", если до них дое. От автообновления отказаться НЕЛЬЗЯ.
- в виду того что оно работает через DHT - трафик оно ЖРЕТ, на багтрекере пишут 3 гига в месяц в простое - ну типа норма.

Надо пробовать. :)

Есть сайт 2001 года или старше.
Апплеты на нём.
Если добавить сайт в список исключений Явы по безопасности - то всё равно Error - Click for Details и на клик вот такое сообщение:

жать Ignore не помогает.

Принимаются предложения от опытных Яваводов:
- посетителю такого сайта (трёх ипостасей:
-- с телефона/планшета
-- c виндового компа
-- линуксовому )
- вебмастеру такого сайта

пример такой странички - http://my.arcto.ru/public/statement.html

(моё по этому информоповоду, хехе)

Меня периодически спрашивают, почему я, опытный IT-шник и админ хостинговых серверов:
1. не выкидываю на помойку аккаунты в разных бесплатных почтовых сервисах в пользу какого-то одного, в своём домене ли, или наиболее удобного, или как-то ещё отличающегося в лучшую сторону.
2. не пользуюсь каким-то одним почтовым сервисом чтобы собирать в него почту со всех прочих тех или иным способом (раз уж у меня много ящиков).
3. пользуюсь (обычно для разных ящиков, хехе) КАК (нормальной|никому на хер не нужной) почтовой программой (TheBat), ТАК и (замечательным|ублюдочным) вебинтерфейсом.
4. применяю как нормально защищённые лучшими специалистами от спама ящики типа Gmail, так и требующее заметных затрат времени, сил и знаний "самостройные" сервера.
5. имею не один ящик на некоторых сервисах.

В том числе потому, что вот сегодня, "One Account to rule them all" на Gmail подвергся фишинговой атаке на невнимательных людей, от которой никто из пользующихся этим конкретным сервисом на 100% не защищён.

Коротко (может и не совсем точно - подробнее читайте по ссылке) суть сегодняшнего:

Некие люди написали в рамках Google Apps приложение, назвали его Google Docs с такой же иконкой, как настоящие, и сделали так, что вы получаете письмо с предложением посмотреть расшаренный документ, лежащий на гугль драйв. Перейдя по ссылке из письма, вы попадаете на предложение якобы настоящего гуглевого сервиса предоставить полный доступ ко ВСЕЙ вашей почте ентим конкретным пидарасам.

Если вы согласились - то с вашей почты немедленно начинают рассылаться такие же фишинговые письма по всем вашим контактам.

Как известно, ныне под Винду есть три существенно различных броусера:
Internet Explorer, Mozilla Firefox и Google Chrome.

Однако в части "безопасных" протоколов https всё ещё хуже - у Мозиллы есть своя реализация SSL/TLS, а Гугль тупо пользуется системной, той же что IE.

В настоящее время для Windows XP и 2003 настал момент, когда ни один браусер, кроме Мозиллы, не может установить https соединение с сайтами, на которых используется TLS 1.1 и более поздние. Так как в этих операционках реализации TLS позже 1.0 просто нет (и более не будет апдейтов). "сертификат имеет недействительную подпись, иди нахрен отседова". Так как Гугль продавливает логику "ssl everywhere", а рынок с наслаждением потирает свои наглые ручки в ожидании бабла от врадельцев сайтов...

Иными словами, машинки с Windows XP и Windows 2003 server ЕЩЁ НЕ ПЕРЕСТАЛИ (пока файрфокс жив и развивается), но скоро могут перестать быть используемы для просмотра на них существенной доли современного интернета. А особенно - нафиг всякий онлайн банкинг, оплата и магазины.

И Файрфокс на них - в ближайшее время становится безальтернативен. :(
UPD1: Ну можно ещё какое-то время жить на Opera 12.17.
UPD2: Клоны Хрома не предлагать, они ВСЕ наследуют логику "пользуемся системным". Vivaldi туда же.
UPD3: Клоны Файрфокса (PaleMoon был интересен на момент выхода, например) не интересны, ибо ОТСТАЮТ от основного потока.
UPD4: Старый Сафари (Safari 5.*) под виндой - тоже системное хранилище криптографии использует.

Наткнулся тут на задачу:
- вот у продвинутого пользователя есть:
-- какой-никакой личный сайтик
-- несколько компов (дом, работа, тёщин комп) и, возможно, ресурсов типа видеорегистратора и интерфейсов "умного дома".
-- задача "достучаться до любого из своих ресурсов, находящихся в данный момент в онлайне"
-- сделать это относительно безопасно
-- независимо от того, у какого провайдера компы и за сколькими NAT'ами они.

Решение 1:
Берём Тим вьюер, регистрируемся на их сайте, вбиваем все компы в аккаунт.
+ Плюсы:
++ подключение к рабочему столу параллельно с работой на нём пользователя, "помощь другу" и всё такое
++ очень хороша и стабильна работа с большинством приложений
++ неимоверная простота обращения с продуктом - реально даже очень "ничего не знающие" узеры оказываются способны.
++ Для большей части действий админских прав не требуется.
- Минусы:
-- чтобы тебе не напоминали всё время про то, что ты работаешь бесплатно - минимум надо заплатить 30тр.
-- завязано на внешний сервис, который внезапно может поменять условия и быть взломан.
-- Линуксовая версия теперь только устанавливается, запустить без установки нельзя

(аналог тим вьюера AMMYY мной неоднократно был опробован и отличается от Teamviewer НА ПОРЯДКИ ХУДШЕЙ стабильностью и совместимостью, вылетами в синий экран, странными ограничениями типа "не работаю на серверных ОС").

Решение 2:
OpenVPN с самостоятельной настройкой всего
+ Плюсы:
++ можно строить хитрые комбинации из сеток, а не только связь с конкретным компом.
- Минусы:
-- обязательны админские/root права
-- в качестве хоста требуется минимум VPS на весьма лояльном к трафику И к ip роутингу хостинге. За последние 2-3 года цены понизились, а вот "у вас кривые настройки, знать ничего не хотим пойдите от нас нафиг" стало встречаться всё чаще и заметнее.
-- зависимость от IP адресов, доставшихся компу от провайдера или в местной локалке - если ты "попал в такие же адреса", комп отвалился.
Решение 3:
На VPS ничего поднимать не нужно вообще, нужен ТОЛЬКО шелл ssh.
На самих компах, к которым надо присоединяться снаружи - программа типа MyEnTunnel (для поддержания канала) и plink.exe с опциями командной строки для установления туннеля R127.0.0.1:29389:127.0.0.1:3389. Логика 3389 порт RDP компа пробрасывается на 127.0.0.1:29389 VPS-ки, и тому подобное.
На компе, с которого рулишь прочими - на рабочем столе ярлык поднятия туннеля на VPS с пробросом портов по длинному списку, вида L127.0.0.1:29389:127.0.0.1:29389. И ярлыки доступа к конкретным компам типа Тёща - на 127.0.0.1:29389; видеосервер 127.0.0.1:29390 и тому подобное.

+ Плюсы
++ отсутствует понятие "изменение роутинга" как на самих компах, так и на VPS-ке/хостинге
++ ВСЁ это МОЖЕТ работать из под обычного пользователя, не админа/root'a. Как на компах, так и на VPS (только порты открывайте слушать те, что выше 1024).
++ Единственный IP, который требуется писать в конфигах - это IP VPS-ки/хостинга. ВСЕ прочие конфиги - ориентированы на локалхост.
++ Весь трафик, идущий вне VPS и самих компов, шифруется SSH, и смена версии оного при необходимости не потребует менять конфигов.
++ При желании можно туннелить не только локалхост, но и порты других ресурсов в локалке (опробовал тут недавно - видеорегистратор сам умеет только динDNS, а вот таким туннелем я сделал его доступным клиенту из любого интернета). Правда, тогда конфиги становятся ip-зависимы. :)
- Минусы:
-- если это не твой хостинг, то коннект только на 22 порт, а его провайдер вдруг может перекрыть. Я ради этого у себя поставил sshd слушать 443 порт помимо 22-го. :)
-- по сравнению с тим вьюером намного меньше возможностей "показать рабочий стол" и помочь.
-- трафик и процессор кушаются заметно.

Ваши предложения? Альтернативы? Критика?

Год примерно 2003, если я правильно помню.

Если лица А и Б обмениваются между собой потоками информации, на которую накладывают стегано-составляющую, то сам факт наличия оной составляющей никакой В не должен детектировать, даже имея в руках тот стеганографический софт, которым пользуются лица А и Б, и даже имея в руках все их публичные ключи к этому софту.

Иными словами - если есть сервер видеочата, то с точки зрения любого наблюдателя (в том числе - контролирующего сам сервер), кроме непосредственно смотрящего в экраны компьютеров А и Б, обмен информацией между А и Б есть действительно видеочат. И попытка проверить эти потоки любым софтом показывают, что там ничего ещё нет.

Если Б не получил от А валидный публичный ключ, то с точки зрения Б сторона А НЕ передаёт.
Если А не использовал публичный ключ Б, то с точки зрения Б сторона А НЕ передаёт.

Есть незагружающаяся система с Windows 10 и установленным на неё Яндекс Браусером (версия 15.10, внутри - Гугль Хром 45.0.2454.3865).
Sync настроен НЕ БЫЛ.
Есть ноутбук с Windows 7.
Задача: перенести из первой системы во вторую ПАРОЛИ и куки, сохранённые в Яндекс-Браусере.
Ваши предложения/рецепты?
( Что уже делалось? )

Я многократно обращал внимание знакомых мне клиентов, что они не очень позитивно поступают, пользуясь mail ru агентом, браусером Амиго, тулбарами от мейлру, а также мейлрушным веб-интерфейсом.

Да-да, отвечали они и продолжали. В конце концов я перестал кого либо воспитывать, ибо бессмысленно.

Но самое наглое, яркое и безобразное - это тот замечательный прикол, что если вы ввели при логине в веб-интерфейс mail.ru полный почтовый адрес И ПАРОЛЬ от ящика, который завели на ДРУГОМ (ЛЮБОМ!) сервисе - mail.ru:
- проверяет, подходит ли этот логин и пароль на сервер, прописанный как MX для этого домена
- СОЗДАЕТ для вас ящик со входом по этому логину и паролю
- Настраивает сборщик почты по этому ящику и паролю с иного сервиса
- Хранит эти логин и пароль у себя "типа так и надо".
- Удалить такой "ящик" - в интерфейсе такая опция или отсутствует, или закопана так, что я не нашёл а как проверить, что в самом деле удалено?.

Только что проверил, развлёкся со свежесозданным ящиком mailru@gfns.net на своём сервере.


По следам отсюда и опубликованного там ОФИЦИАЛЬНОГО ОТВЕТА представителей мейлру.

UPD: собеседники gornal и dibr мной забанены. Первый - сразу за незамутнённый, чистый троллинг, второй - за ложь, хождение по кругу, повторы, троллинг и провоцирование, в том числе, на уголовщину. Ни один из их комментов здесь не стёрт, "дабы глупость каждого (в том числе моя, если что) была видна".

suvorow_ - помнишь, у нас был в перепаянном мной на 256К КГД ДВК-3 экземпляр РУ7, у которой можно было УВИДЕТЬ на экране появление яркого пиксела там, где его явно не должно было быть? :)

Я всегда подозревал, что построение DDR3 после DDR2 - это какая-то найобка от макретолухов, которые наконец задумались "А не слишком ли надёжная у нас память?!?!"...

Оказывается, в современной DDR3 памяти многих производителей есть АППАРАТНЫЙ так называемый RowHammer bug - то есть при некоторых условиях заряды перетекают на соседний ряд ячеек памяти и меняют их содержимое. И типа об этом репортили уже. И даже есть тестилка этого безобразия - https://github.com/google/rowhammer-test

Народ, однако, заморочился тем, чтобы воспользоваться этим багом в целях получения рута в Linux'e - и преуспел. Причём на x64/x86 Intel архитектуре основной применённый народом метод эксплойта (через CLFLUSH) закрыть типа никак нельзя, ибо соотв команду процессора нельзя задизаблить. :)

http://googleprojectzero.blogspot.ch/2015/03/exploiting-dram-rowhammer-bug-to-gain.html

Есть в этом что-то фееричное...
пошёл тестировать... :)

Очередной SQL Injection довольно массового характера
Обнаружив на сайте урлы вида
/album.phtml?id=340
бот злоумышленника предлагает php-шному коду к рассмотрению урлы формата например
/album.phtml?id=999999.9+%2f**%2fuNiOn%2f**%2faLl+%2f**%2f
sElEcT+%2f**%2fcAsT(0x393133353134353632312e39+as+char),%2f**%2fcAsT(0x393133353
134353632322e39+as+char),%2f**%2fcAsT(0x393133353134353632332e39+as+char),%2f**%
2fcAsT(0x393133353134353632342e39+as+char),%2f**%2fcAsT(0x393133353134353632352e
39+as+char),%2f**%2fcAsT(0x393133353134353632362e39+as+char)...

что даёт злоумышленнику возможность собрать интересующую его информацию и ею далее воспользоваться.

Так как код сайта ну ОЧЕНЬ древний, приходится лечить примерно вот такими вставками с регекспом, в который укладываются валидные URI этого конкретного сайта:

if ( !preg_match("/^id\=\d{1,3}(|\&track\=\d{1,2})$/", $_SERVER{"QUERY_STRING"})) {
...
}

В этом смысле наименее приятны как раз движки, в которых без дополнительных проверок ищется в базе человекочитаемый URI произвольной длины и практически произвольного содержания. :(