Группа исследователей из университетов Цинхуа (Китай) и Джорджа Мейсона (США) раскрыла информацию об уязвимости (CVE-2022-25667) в беспроводных точках доступа, позволяющую организовать перехват трафика (MITM) в беспроводных сетях, защищённых с использованием протоколов WPA, WPA2 и WPA3. Через манипуляцию ICMP-пакетами с флагом "redirect" атакующий может добиться перенаправления трафика жертвы внутри беспроводной сети через свою систему, что может применяться для перехвата и подмены незашифрованных сеансов (например, запросов к сайтам без HTTPS)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58935
Где этот исмп редирект нужен вообще. Сплошной оверинжиниринг и проблемы.
Не оверинжиниринг, а заранее скрытно подготовленные бекдоры для прослушки для спецслужб. Всего скорее уязвимость давно обнаружена сторонними людьми и торговалась на черных рынках.
Даже в новости указано что университет раскрыл. Получается он это уязвимость создал, а теперь он её раскрыл. Потому как уже отработали кого надо.
чего ты как маленький, "университеты" используются просто как выгребная яма куда уже скидуют "отработанные" уязвимости, чтобы конкурентам ну или заказчикам пришлось лишний раз напрячся и вложится в новые "неотработанные" уязвимости. Своеобразный и по большей части рукотворный закон устаревания для тёмной стороны IT.
Вот-вот могли бы хотя бы для отчётности сказать. Что хотя бы обнаружил, или по результата исследований выявил. А тут всё просто и лакончино раскрыл. Ему сказали, а он раскрыл, всё просто мы ничего не выдумываем все итак всё знают.
Нет.
Это из тех времён когда связность была дороже приватности, потому что извращенцев любящих почитать чужое было сильно меньше чем тех кто хотел объединится в сеть.
"те времена" наступили на 10-20 тысяч лет позже чем первые извращенцы любящие почитать чужое начали удовлетворять свои страсти...
Это не связность дороже приватности, это халатность, некомпетентность и злой умысел.
Расскажите какая крипта была на момент появления ICMP, DNS?
Золото, доллары.
Те, кто хотел объединится в сеть, действовали по принципу "тяп-ляп и в продакшон". Щас мы быстренько черновик протокола набросаем, чтобы как-то можно было объединится в сеть, тут все свои, шифроваться не от кого, ой, нас хакнули, памагити!
нигде не нужен, скажем спасибо дидам, которые втюхнули это в протокол."net.ipv4.conf.all.accept_redirects" = false;
"net.ipv4.conf.all.secure_redirects" = false;
"net.ipv4.conf.all.send_redirects" = false;
"net.ipv4.conf.default.accept_redirects" = false;
"net.ipv4.conf.default.secure_redirects" = false;
"net.ipv4.conf.default.send_redirects" = false;вообще, диды очень много свиней подложили, один лишь cleartext dns чего стоит. Прослушивай не хочу.
Еще можно обычный хттп вспомнить. Ведь это же абсолютно нормально, что каждый hop может прочитать содержимое, отправленное тебе. Скрывать же нечего. Или поменять и впихнуть чуток рекламы.
Но особенные будут кричать что хттпс не нужОн, он же сертификаты требует.
анекдот про хакера и солонку был написан еще до того, как ты как кто-то абсолютно нормально зачал кого-то?
"Пальцами и яйцами в соль не тыкать!" (табличка в столовой, времен появления DNS)
HTTPS нужен банкам и всяким местам где есть авторизация.
То что помойные операторы вмешиваются в траффик - это надо их по лапкам бить.
Ок, в твоем доме есть три оператора и все помойные. Что теперь? Переезжать?
Или когда это делает мобильный оператор? А его по лапкам никто бить даже не подумает.
Https нужен практически везде, потому что ты не знаешь где и что вплывет в будущем и за скольколетний пост тебя привлекут.
Ну да, в чём проблема переехать?
Можете конечно и какой то дедик купить по близости и через него туннелировать.В адекватных локациях закон обратной силы не имеет, и нельзя привлечь за то что на момент публикации было легальным.
Да чо мелочиться, пусть арендует волокно до мск-9 и место в стойке.
> То что помойные операторы вмешиваются в траффик - это надо их по лапкам бить.Ну пропишут они в договора право на подмес рекламы, как опсосы недавно вписали возможность поднимать цены по своей инициативе.
За прописанное в договоре по лапкам никак. Другой метод нужен. Типа HTTPS.
Уже пробовали не замечать бешенный принтер и закрыватся криптой, результат печальный.
Административные проблемы лучше решать административно а не закрывать техникой.
Тут же пример цивильных стран которые с криптой в коммуникациях административно борятся и весьма успешно.
блин когда http придумали всяких коммерсанов в сети не было. а впихивать рекламу в реальном времени, не хватало вычислительных способностей
Зато мне хватало технических способностей собирать весь http исходящий трафик со спутника без регистрации и смс. Популярно было так рыбачить в нулевые.
его вообще для научной литературы придумали. читаешь статью и можешь перейти на другую
>Еще можно обычный хттп вспомнить. Ведь это же абсолютно нормально, что каждый hop может прочитать содержимое, отправленное тебе. Скрывать же нечего.Вы письма отправленные по обычной почте шифруете? А то ведь отправление по пути могут вскрыть, прочитать, подменить и запечатать в новый конверт. Но обычно подразумевается, что окружающие это честные и законопослушные люди. Особенно когда подписывают договора на своё имя.
Ну надо признать что диды не ожидали что спустя Х лет слушать трафик будут все кому не лень включая и особенно - государство, хотя конечно могли бы и догадаться. С другой стороны ПРАдиды вообще не предпологали что сетью будет пользоваться кто-то кроме вонных, гос. учреждений и университетов.
А вы посмотрите на годы когда появились протоколы а потом на годы когда появилась крипта и криптолибы.
Изначально DARPANet для военных и делался и уж этих шифрование должно было бы интересовать. Хотя бы потому что очень не айс если противник отснифает. Но на тот момент нормального шифрования не было, а существующие компьютеры еще и крайне медленные были.Это сейчас умничать с 25519 каким и прочими чачами и хардварным аесом и быстрыми компьютерами легко как надо было, а тогда компьютеры были хилые, а крипто никакое, с таким сочетанием не особо развернешься. Вам "никак" или "как-то работает"? Выбор был вот такой.
Никто ничего не подкладывал, когда это всё создавалось враги были за железным занавесом, остальным требовался только сервис.
Privacy никого не интересовало, более того и криптографии то не было в публичном доступе когда DNS создавался, как и остальные стандарты.
И уж тем более не было компов чтобы греть воздух хря.
Не было бизнеса с бигдатой. Каждый хомяк не был подвязан к коновязи за банковскую карту. Потому была прайваси неинтересна - денег с неё не было понятно как слупить. В отличии от сегодня.
Шифрование внутри своей локалки и сейчас не особо нужно.
Уверен, что твоя локалка еще твоя?
В ней наверняка есть андроид-смартфоны с китайскими прошивками и российскими приложениями и конешно американским гуглом (полный набор).
Умные устройства вроде Алисы/алексы, телевизоры, микроволновки, кондиционеры и боже упоси windows.
Точно твоя локалка твоя? Точно уверен, что все эти устройств на анализируют трафик "твоей" локалки внутри себя или не передают его на свои сервера?
Я что-то не очень уверен, что современная локалка чемто отличается от "голой жoпой в интернет".
Это пока в ней полтора человека, пока они вирусы/трояны не подцепили, и все белые и пушистые. А чуть в сторону от этого идеала и начинается, оказывается что свич можно парой пакетов отредиректить вон туда, пушистые и белые были не все, или вирус в сеть пролез и не стал разбираться кто там белый, просто разломав все что ломалось.
В ядрах для Debian по умолчанию редиректы не принимаются и если принимаются то только от шлюзов из своей таблицы маршрутов для всех интерфейсах.
Вопрос к ядру андроид.
безопасный редирект это означает что редиректы принимаются только от существующих в таблице маршрутов шлюзов. Так что лучше изменить на true. Это сузит круг атакеров.
> безопасный редиректСлово "secure" во фразе "secure redirects" принято брать в кавычки, потому что ничего секурного там не предполагается:
It is still possible for even known gateways to be compromised. Setting
net.ipv4.conf.all.secure_redirects and net.ipv4.conf.default.secure_redirects
to 0 protects the system from routing table updates by possibly compromised known
gateways.
Каждому по ICMP redirec-ту )
Как так получается, что all и default accept redirects запрещены, а на самих интерфейсах они включены? Дистрибутив Debian. Приходится отключать в sysctl.conf.
> Где этот исмп редирект нужен вообще.Для поддержания межсетевой связности.
>Для эксплуатации уязвимостей атакующий должен иметь возможность легитимного подключения к Wi-Fi сети, т.е. должен знать параметры входа в беспроводную сетьЗачем тогда уязвимость эта ещё?
Многие популярные "чайна-фоны" предоставляют функции по "удобной синхронизации" wifi "настроек" с облаком, подозреваю что тем же самым занимается microsoft.
Гугл пароли от точек доступа "бэкапает" по умолчанию. Здорово же, везде бесплатный интернет. Worldwide. Хорошо быть богом...
Там вроде надо добавлять какую-то строку в имя чтобы корпы не сливали пароли от точек доступа. Причём у каждой корпы свои предпочтения. Только что-то не особо распространено и корпам в итоге известны все пароли всех вайфаев.
Ухты, в самом деле. В одной из статей сказано, что у Apple такого нет. Да и длина суффикса как бы намекает (своей длиной), чтобы не пользовались. А не двухбуквенный флаг какой-то. Спасибо за упоминание!
> Там вроде надо добавлять какую-то строку в имяАга. Добавить какие-нибудь 0x0, 0xA, 0xD, ... и сдобрить жестким уникодом в название точки доступа и пароле. Там так то в SSID и пароль почти что угодно можно вводить. Даже если они и сбэкапают ЭТО, то...
1) Есть шанс что их софт на ЭТО не был расчитан и будучи писан вебмакаками он может сломаться с различной степенью фатальности при попытке это распарсить.
2) А даже если вдруг они очень сильно прошареные и (уже?) учитывают такие моменты (все? ORLY?), и в курсе таких приколов, совсем не факт что они сообразят как подобные пароли вводить, так что забьют и используют кого попроще.Конечно если станет ну вот очень надо, кому-то размером с NSA, они найдут кого-то разумного, который и с этим справится. Но далеко не кажлый аноним удостоится такого персонального внимания.
херь собачая, бекапы даже не создаются по умолчанию, просто не включайте все это Г, отключите все бекапы и будет счастье, особенно с кастомным ромом, если смарт мейд ин чайна кастомный ром обязателен, а здесь все печально с поддержкой
А ты кастомный ром сам собирал? или доверился честному анониму с форума?
и все дрова к чипам наверное у тебя опенсорс?
> Зачем тогда уязвимость эта ещё?белки-истерички открыли для себя icmp - увизгвимость-увизгвимость
ну и грантик на гендерные штудии за прекрасно выполненную работу этому недоуниверу теперь достанется.
Интересно, производители wifi ap пойдут на поводу и попереломают всем ip стек полностью зарезав icmp (какввенде - чтоб и packet too big не пролез а то вдруг вражеский) или поломают только частично?
в победу здравого смысла что-то не верится.
Валят с больной головы на здоровую, вместо того чтобы проверить параметры ядра андроид. Как там настроены параметры, отвечающие за редирект.
А ведь политически додавят и поддержание связности интернет будет под вопросом.
на магистралях связность поддерживается иными способами. Мелкие (по траффику, а не числу узлов или покрытой площади) multihomed сетки каких-нибудь заводов - пострадают.
Да там много чего повырубится, вплоть до промоборудования. И хомячки без ютуба злые будут. По этой причине его так и не блочат. Даже если б и хотелось. А свой ютуб сделать - да сейчас, уровнем технологий не вышли. А если у плебса поотбирать хлеб и зрелища... хехехе, дальше будет интересно.
> белки-истерички открыли для себя icmp - увизгвимость-увизгвимостьВообще-то интернет протоколы в их чистом виде достаточно мягкотелые. Можно сбрпризов подбросить. Поэтому вон те господа не особо миндальничают с такими как ты. И плевать хотели на твои страшилки про подключение к точкам и массаж почек. Ты когда им почки соберешься массировать их уже и след простынет, вместе с твоими данными. А как ты думал всякие сливы появляются? Приходят и вы...вают, жестко быстро и эффективно, пока такие как ты вещают про службы безопасности и энтерпрайзные фичи, бла-бла-бла.
> след простынет, вместе с твоими данными. А как ты думал всякие
> сливы появляются?обычнейшим образом - от засланных казачков. У меня нет никаких сомнений кто сп-л данные яндекса. У сбера вообще никаких кто сп-л данные кредитных карт - после второго сломанного пальчика он все рассказал. Все остальное - фантазии, по преимуществу.
И да, напоминаю что история хакера и солонок закончилась тем что ты жрешь х-й без соли, потому что столовую закрыли.
И этого бы не случилось если бы еще на первом этапе ему просто дали п-ды.
> обычнейшим образом - от засланных казачков.На хабре был рассказ какого-то 31337 как они это делают, по поводу того что их заказчик кинул и они решили в паблик вывалить награбленое. Насколько сие правда черт знает, но я думаю что такие просто придут в радиус действия с правильным шмотом и все вы...т. С почтенного расстояния, быстро и компетентно. Такой как ты это явно не удержит, квалификация не та.
> У меня нет никаких сомнений кто сп-л данные яндекса.
Ну а все же - в результате, вот, сп-ли. А на кого собак повесят и правда ли это он или это рандомный крайний, кто их там знает.
> У сбера вообще никаких кто сп-л данные кредитных карт - после второго сломанного
> пальчика он все рассказал. Все остальное - фантазии, по преимуществу.Если до пальчиков дошло, это наверное залетный лох какой-то а не профи темных дел. Ну а твои безопасники отметелят какого-то лопуха с кал-и-линуксом, который вчера его установил, соответственно. Более прошареных - это врядли. Получение в тыкву можно рассматривать как вполне себе индикатор (отсутствия) квалификации и мозгов у хаксора. Или неуемное желание похвастаться как у митников всяких.
> жрешь х-й без соли, потому что столовую закрыли.
Или получает стопку зелени и новый заказ, еще пару конкурентов в районе аннулировать чтобы бизнес бодрей шел.
> И этого бы не случилось если бы еще на первом этапе ему просто дали п-ды.
Поэтому при серьезном недружественном настрое - обычно не понятно кому п-ды давать. Получают в тыкву какие-то рандомные ламеры а вовсе не те кто реально стоял за схемой и что-то решал. А с чего ты, Депардье, взял что Фантомаса просто ловить?
>> У сбера вообще никаких кто сп-л данные кредитных карт - после второго сломанного
>> пальчика он все рассказал. Все остальное - фантазии, по преимуществу.
> Если до пальчиков дошло, это наверное залетный лох какой-тообычный менеджер среднего звена из какого-то урюпинска, то ли обидевшийся на что-то, то ли не хватило на выплаты по автокредиту (и поэтому обидевшийся)
тем не менее - данные стали достоянием общественности и белки-истерички могут и дальше рассказывать легенды о неуловимых джо с супер-аппаратурой и про происки интел.
Аудитория верует.
> обычный менеджер среднего звена из какого-то урюпинска, то ли обидевшийся
> на что-то, то ли не хватило на выплаты по автокредиту (и поэтому обидевшийся)А чего ты ожидал от менеджера? Он же не блекхэт и продвинуто маскироваться и планировать такие вещи не умет в принципе. Поэтому продолбается в 9000 аспектов и будет легкой палкой для всех заинтересованных. Коих почему-то будет. Ну как, если ты нагнул большую организацию и толпу их клиентов, они "чем-то" недовольны, что по-моему логично. Особенно если это запалилось и вышел скандал и тихо замести под ковер не вышло, репутация слилась. Так что чуть более жирный вариант вон того лошья которое к банкомату идет креду разувать, а потом пополняет собой тюрьмы как "злобный хакер". Хотя реально это конечно никакие не хакеры а просто м...ки, решившие что круто когда ничего не умея и не зная вон сколько можно срубить. Круто, ага, только потом придется отработать это расходником для майора. Но про эту часть балета лоха никто не информирует конечно.
> рассказывать легенды о неуловимых джо с супер-аппаратурой и про происки интел.
Тебе никогда не приходило в голову что многие легенды и даже sci-fi не настолько уж легенды и не настолько уж fi? Большая часть всего этого "технически реализуема" а значит существует. Или может существовать. Прикольно думать что ты пуп земли, венец творения. А может оказаться и что ты всего лишь таракан а тут какой-то вселенский тапок решил тебя йопнуть от души. И вон те далеко на самый большой и опасный тапок, технически возможны намного более крутые тапки.
А вон там в соседней новости прикольная дока как клиентов с MFP дисконектить, поклав на него. "S" in wi-fi stands for "security".
Задрали уже со всеми этими беспроводными хренями! Хотите ходить спустя штаны - не жалуйтесь что вас отпенетрировали.
А почему нельзя просто изначально сделать протокол безопасным и без наворотов?
Потому что безопасно и без наворотов - это записка на бумажке, переданная из рук в руки. Всё остальное - чревато уязвимостями и требует наворотов.
> Задрали уже со всеми этими беспроводными хренями!открою тебе страшеннейшую тайну - icmp redirect могут (о ужас!) прислать тебе и в проводной сети.
Причем для этого не понадобится пытать тебя чтобы узнать пароль от wifi, нужно просто подключиться к сетевой розеточке.
Безграмотные, безмозглые белки-истерички. Вот уровень опеннета и уровень современного IT к сожалению в целом.
Открою тебе страшеннейшую тайну - я не открою страшеннейшую дверь. А в радиоэфир можно нагадить даже не звоня в дверь. А провода все дома, под кроваткой :3
Ну и где этот тип, который орал что в стандарте не может быть уязвимостей?
> Для эксплуатации уязвимостей атакующий должен иметь возможность легитимного подключения к Wi-Fi сети, т.е. должен знать параметры входа в беспроводную сеть (уязвимости позволяют обойти применяемые в протоколах WPA* механизмы разделения трафика пользователей внутри сети).Надоели эти "уязвимости".
2 недели назад была похожая.
> Mercury, 360, H3C, Tenda, RuijieЭто какие-то широко известные в неизвестных узких кругах штуки? Где кинетик?
Имею пару устройств от Tenda, ранее находил по вайфай сетке чужие устройства с Tenda. и это РБ.Tenda покупалась на али, работают отлично.
Знаю только H3C - это Huawei-3Com, ныне совместное предприятие Hewlett-Packard Enterprise и какой-то китайской структуры
Сектантам циски подарят кружку с логотипом циски, и им без разницы на уязвимости
А чего им, их задача ходить на работу. А кто там у кого чего украл и что узнал это не их дело. Это вообще должно владельцев компании волновать, а не сотрудников.
Надеюсь хоть кружки не дырявын у них..
Учебные просверлены. Как ложки и автоматы.
Не у нас. Все кружки с логотипом циски разбиты молотками, о чём составлен акт с подписями ответственных сотрудников.
> Не у нас. Все кружки с логотипом циски разбиты молотками, о чём
> составлен акт с подписями ответственных сотрудников.блин, а мне не дали кружку :-( ручки только (дешевые и плохие, то ли дело вот забиксовая).
Как думаешь, сломать или просто потихому в мусоропровод? Не найдут по отпечаткам пальцев?
Лучче сжэчь. Грета осудит, но деваться некуда.
> Лучче сжэчь. Грета осудит, но деваться некуда.Диоксины при этом к счастью огребет далеко не Грета. Хотя половину двуногих так то можно было бы на Darwin Awards номинировать, если б не было так банально.
Емнип, ручки, расчёски и всякая подобная мелочёвка делается из полистирола или поликарбоната, а диоксины - это галогенорганика, для их образования нужен хлор, которого в полистироле и поликарбонате нет.
Вот бомжи, которые обжигают пвх-изоляцию с ворованных проводов - вот они да, получают богатый букет всякой гадости в лёгкие.
Полистирол, правда, может давать канцерогены за счёт присутствия бензольного кольца, но от одной ручки ничего не будет.
ICMP redirect?
Pacefalm.
Сетям как то надо поддерживать связность, если изменилось оборудование и надо изменить маршрут.
И часто у вас настолько жёстко всё меняется, что вам даже IP не перекинуть?
Видимо в канцелярии что-то править надо.
а зачем что-то править ради счастия для белок-истеричек?Аплинк упал - вот и поменялось. Второй подключен в другом месте и между ними пара километров очень поганой телефонной пары или радиорелейка с потерями, потому что это долбаный завод а не твой подвальчик с тремя столами.
Поэтому куда засунуть свой vrrp - догадайся сам.А редирект вполне работает и каши не просит, как и тридцать лет назад, когда ту лапшу понавешали.
VRRP и в этом случае работает, так-то.
Упало и упало - пока не поднимется, будет сидеть на втором.
А на нестабильность и потери просто холд и ретраи, не надо при каждой первой потере всё переключать.
По факту есть у меня такие места, и даже есть места где не только линк, но и софт (!) мониторится - всё прекрасно работает.
> VRRP и в этом случае работает, так-то.не работает. У тебя вообще сеть будет больше лежать чем работать.
vrrp надежно работает только при идеальном линке между пирами, и желательно чтоб оба в одной стойке. А у тебя обратная ситуация - у тебя может оператор в одной стойке быть с тобой - но один. А второй -воооон на том конце канализации, и стойка там своя.
> А на нестабильность и потери просто холд и ретраи, не надо при каждой первой потере всё переключать.
и в результате у тебя сплошной холд и ретраи. А на банальных редиректах все бы работало, без всяких сложностей.
Вот зачем ты изобретаешь неработоспособную мишуру вместо того чтобы использовать примитивное и надежное решение?
Ну и так-то, если у тебя не упало то, что может редирект заслать - проще на нём маршрут изменить, и пусть гоняет - даже VRRP не нужен, просто динамическая маршрутизация любого разлива, или мы будем полтора ватта экономить в критической ситуации? А если у тебя упало то, что может редирект заслать, то уже как бы он и не актуален, и вот тогда-то и приходят на помощь разные VRRP. Смысл использовать ICMP redirect вообще отсутствует как класс с момента, когда появилась динамическая маршрутизация.
> Ну и так-то, если у тебя не упало то, что может редирект
> заслать - проще на нём маршрут изменитьон изменился - и ведет через гнилую лапшу обратно почти в ту же точку откуда приехал пакет. А оно медленное и может терять пакетики.
Поэтому его и подгоняют редиректом, чтоб второй пакет уже вообще в ту лапшу не попадал лишний раз.
Динамическая маршрутизация к сожалению прошла мимо конечного оборудования (даже банальный rip2 в банальной винде кончился не начавшись). А маршрутизация только на бордерах в таком вот раскладе неэффективна.
И будешь ты ставить маршрутизирующие коробки около каждого станка - что обойдется тебе в круглую сумму и добавит сети нестабильных и требующих присмотра мест. И все это чтоб назло маме отморозить уши.
Маршрутизацию около каждого станка? Да вообще не проблема, L3 свитчи ныне не дороги, и в динамическую маршрутизацию прекрасно умеют.
Ну и VRRP/HSRP и прочий IP failover не зря придумали, да.
Расскажите, как это работает с HTTPS, SSH и т. п.
Я и без «взломов» не доверяют своему провайдеру.
Что поменяется со «взломом»?
Провайдер сбивает кому надо. А кому сбивает тот, кто пользуется этой уязвимостью в твоей сети - это ещё установить надо
Таких, как ты, Пашев, пятнадцать человек на весь земной диск. И среди этих 15 все женщины имеют приставку.Нормальные люди не знают слов ssh и https.
Ну нихрена, 15 человек на всю планету столько миллионов серверов настраивают! Плодовитые какие, интересно, какая у них зарплата?!
Какие миллионы, очнись, Аноним. На дворе не 2003 год, а 2023. За просто "настройку серверов" уже 10 лет никто не платит ни пфеннига. Либо ты девопс, либо ты вылетел из профессии.Но тем не менее, даже эти люди знают о существовании https и ssh только в силу профессии.
> Либо ты девопс, либо ты вылетел из профессии.Да ладно, вот прям каждый ларек девопса нанимает ради сайта визитки? :) Правда платят тем кто не умеет в девопс не сильно жирно но это другой вопрос.
> Но тем не менее, даже эти люди знают о существовании https и
> ssh только в силу профессии.Ну так знают же. И даже этих явно более 15 штук на планету.
>> Либо ты девопс, либо ты вылетел из профессии.
> Да ладно, вот прям каждый ларек девопса нанимает ради сайта визитки? :)просто покупают вместе с дерьмохостингом. Админ не нужен, он на весь дерьмохостинг один (и да, платить ему не договаривались), девопс тем более, упало - еще полежит. Все равно на эти сайты визитки никто давно не заходит (там нет ничего кроме неработающего чатика и телефона) а сразу ищут в телеге или чом там теперь модно - я отсталый.
А в какой грузии - там вообще один всосап. В смысле визиток тоже нет, но есть телефон.
И может даже чатбот в нем но это неточно.Будущее которое мы чем-то заслужили :-(
Чем выше сложность программы, тем больше в ней ошибок и уязвимостей.
Classic :)
Вывод не писать программы, мы поняли.
Скорее про классику: данные прилетели от чужих, но мы не будем валидировать... Лень. И время на другое хочется. Полно таких.
Кто валидирует валидатора? Тоже "лень" или "этодругое"?
Когда не было программ, жить было лучше.
Опять ненастоящие сишники код прошивок писали.
Вот только ICMP redirect обычно выключен на конечных хостах, так что точка доступа может сколько угодно их слать.
А если она по моновению IME включится? Так-то ты можешь себя успокаивать сколько угодно.
Фантастика, ненаучная.
белки-истерички верят.
> белки-истерички верят.Вообще у интеля некоторые фирмвары вафли умеют совместно с ME играть, организовывать вот именно out of band канал для менеджмента через вафлю насколько я помню. Оно работает только в очень сильно некоторых комбо железа, конечно, но вроде некоторые интели реально отменеджить через именно вафлю.
И это, у интеля фирмвари по 2 мега бывают. Почти операционка нафиг. Ты там точно проверял что оно умеет с таким размером кода? А то у белок истеричек может ненароком оказаться пойнт.
В Debian выключен прием редиректов и если принимаются то только от уже существующего шлюза. Как андроиде?
так тебе от существующего и подбросят - кой смысл тебе подбрасывать редирект того куда ты и не собирался вовсе ходить?Если у тебя в сети только один шлюз, как у большинства - можешь смело заблокировать любые редиректы.
Ну либо надеяться что внутри периметра не бывает злоумышленников (да еще и таких которым есть польза от перехвата траффика) и не блокировать никакие.Потому что если у тебя там хз что творится - то в общем уже пофигу на редиректы. Просто считай эту сеть недоверенной.
От редиректа на домашний роутер никак не защититься. PPP поможет в отличие от IPoE?
Есть умные свичи которые запоминают на каком порту какие маки и адреса, если идёт попытка спуфинга то пакеты просто дропаются на входе в свич, и может посылатся алерт.
А можно модель свича? Из любопытства спрашиваю.
циска отправила в переработку не то что свитчи, а офисные столы и табуретки, чтоб рассеянам остались только скрепы да репа.очень-плохая-дорога тебе тоже ничего уже не продаст (она вообще такое не продавала в розницу и продаванам не разрешала, так что только если операторский стыришь - но учти, там пароль если установлен - сбросить невозможно)
так что тебе, ванька, знание это нынче - без пользы. Учись колхозить свитчи на основе астралинуксов и китайских плат.
Так - почти на всем более-менее небытовом обрудовании доступа есть ip acls, а кое-где и mac learning впридачу.
> на основе астралинуксов и китайских плат.Китайская экономика- вторая по величине в мире.
айфоны- их тоже в китае делают если что...а не помните где собирают платы для циски (tm)?
> Китайская экономика- вторая по величине в мире.повторяю для лаптеногих - и оттуда вас тоже послал единственный производитель нормальных свитчей. Второй величине в мире совершенно незачем с вами сотрудничать, потому что вы-то - 1.8%
Поэтому общеобразовательные знания у кого из них есть полезные фичи - вам уже совершенно без надобности, мир прошел мимо а вы остались на обочине прогресса.
Свитчи zte - г-но.
Но можете подбирать что с воза упало. white label и вот ето вот все. Оно, разумеется, работает как г-но, зато его много.
а... под китайскими понимались не все китайские а некоторые китайские, но те китайские которые хорошие- те не подразумевались, а подразумевались только плохие китайские...теперь все ясно.. :)
обычно когда писатель, вместо изложения мысли уповает на подразумевающиеся обстоятельства, которые существуют только в его воображении - он плохой писатель. Может у него и хорошее воображение - но как писатель- он плохой...
D-Link L2+ management.
DGS-1210 и выше. В 3ххх серии точно должно быть.
> Вот только ICMP redirect обычно выключен на конечных хостах, так что точка
> доступа может сколько угодно их слать.Увы и фак, по умолчанию включен в тех же ваших рхелах, приходится выключать насильно.
>> Вот только ICMP redirect обычно выключен на конечных хостах, так что точка
>> доступа может сколько угодно их слать.
> Увы и фак, по умолчанию включен в тех же ваших рхелах, приходится
> выключать насильно.зачем? У тебя тоже кругом враги?
Они с тобой сейчас в одной комнате?
На винде включен по умолчанию.
не понимаю, зачем люди в 2023 используют wifi, за столько лет уже должно было дойти, что он гораздо медленнее кабеля, в туалет с ним тоже не сходишь, как и с кабелем, потому что не ловит, проблемы из-за вайфая соседей, высокое потребление и лишний софт в системе.
одни сплошные страдания и ни одного плюса, про уязвимости, эксплуатируемые любым школоло с мониторящей картой, я уже молчу
Просто в смартфон не получается впихнуть ethernet кабель((
Идея. Надо придумать экранирующие обои и проблема подслушивающего соседа будет решена. )
что их придумывать то... плати деньги- будут тебе такие обои... только договориться придется с соседом... поскольку обклеивать надо ЕГО квартиру...а не твою...
В Pixel2 через type c спокойно вставлял сетевую карту TP-Link и был коннект. Wi-Fi и мобильный интернет были выключены, там даже отдельный значок на такой случай появляется на верхней панели.
многие китайфоны могут
Нормально пихается в недишманские
А ты в туалет или во двор с кабелем ходишь?
честно говоря, я и без мобилы как-то могу пос..ть.
так себе достижение....
Как же ты без селфи?!
Однако весомый аргумент!
P.S. Ходить в туалет с телефоном - такая себе идея, рано или поздно это окончится каким-либо заболеванием.
телефонный триппер? хммм, пока не слыхали.
Самодиагноз - зависимость
> А ты в туалет или во двор с кабелем ходишь?В туалете необязательно рассиживаться часами. Отгрузил, привёл себя в порядок и вышел. Ни смартфон, ни планшет, ни ноутбук для этого не нужны.
А если состояние здоровья требует долгого уединения - можно и витуху в санузел кинуть.
Люди, сэр.
Построили себе этих самых кресел из керамики, сидят там, и это самое...
тут разные варианты могут быть - купить железку помощнее...и она вполне пробьет и даже не только в туалет но и до туалета соседа достанет... поставить усилитель, или просто раскинуть меш сеть...легкость покупки и втыкания в розетку бытового wi-fi роутера - создает ложное ощущения ненужности инженерного образования для создания карты покрытия сетью площади...
отсюда и недоумение- почему в сортир сеть не достает...
у тех кто делает правильно- сеть есть везде...
Дома не то что WiFi - bluetooth от соседей видно, какие-то там то ли ТВ приставки то ли ещё какая мультимедия.
сильно зависит от года постройки дома похоже. бетон разный. арматура разная... гдето пробивает хорошо, а гдето две стены и уже не берет... поэтому и выбор места для роутера, и архитектура решения - требует работы по месту.
> выбор места для роутера, и архитектура решения - требует работы по местуЗолотые слова. Лет 15 назад в квартире у матери монтажник от провайдера поставил роутер тупо кинув его на тумбочку в коридоре. В итоге слабый сигнал с периодическими переподключениями. Пришел я, увидел это безобразие, прикинув обстановку, повесил роутер на стену в месте из которого прямая видимость сразу на две комнаты и часть кухни, в итоге по всей квартире сигнал поднялся до полной шкалы и лишь в туалете и ванной одно-два деления. Так ещё и мощность на роутере поставил минимальную для энергосбережения.
П.с. бывают еще "феерические" случаи когда роутер ставят возле окна на подоконник, а потом удивляются почему он "глухой" и вечно теряет коннект :)
> bluetooth от соседей видноФига себе вы открытие сделали. А я еще застал времена "нулевых" годов, когда эфир был относительно чист и ловились блютузы и вайфаи за километр и более относительно прямой видимости. Сейчас же даже на 5ГГц порядка десятка соседских точек доступа и это учитывая что живу я в частном секторе вдали от многоэтажек.
> не понимаю, зачем люди в 2023 используют wifiНе использую кроме смартфона больше нигде, для телеграма и лайканья котиков хватает даже стандарта 802.11b. А для вечно находящегося на рабочем столе ноута есть кабель с гарантированными 100 мегабитами в обе стороны. Хотя есть те кто пользует ноут лёжа, но я даже не представляю как это возможно :)
Давайте еще CVE'шек докидаем, на каждый вид спуфинга, включая те, что есть в IPv6?
Там где массовое скопление всегда будут взломы и/или будет слежка..
Взгляните, как приложения массовый пользователь использует по умолчанию... да ему хоть что дай, всё равно он не понимает и понимать не хочет как это работает, как всё устроено.
Так что главную уязвимость воспитали товарищи корпорасты - человек-растяпа
т.е. 99,9%??
Мысли футуролога . Надо на openwrt ,android и по. приложение делать . Чтоб в одной сети находились и искусственным интеллектом дэцибелы подбирало чтоб другим не мешать. Ибо много ты антенн от usb инжекторов которые фанят как не в себя . А если в аду маркет добавить то питание можно понижать . Чтоб лишнего фана не было . Да и вифи каналы регулить . Ибо не всегда Сингапур людям нужно . Как пряник , крутить маршрутик на камеру смартфона пока ии дэцибелы пробует , тоже и с любой антенной . В условиях военного положения страны . Да и оборудование меньше греется , следовательно горит . С указанием старых фонящих антенн и устройств самопальных.