Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Производитель дронов DJI по ошибке опубликовал закрытые ключ..., opennews (??), 17-Ноя-17, (0) [смотреть все] а какие существуют способы защиты от подобной случайной публикации чтобы и прогр, Аноним (-), 11:39 , 17-Ноя-17, (1) –7 // https github com StackExchange blackbox, Аноним (-), 11:43 , 17-Ноя-17, (2) +1 // AES-ключи для шифрования прошивок - вообще фича а не баг , Аноним (-), 18:43 , 17-Ноя-17, (27) // это антифича , Аноним (-), 23:41 , 17-Ноя-17, (34) +4 Насколько мне известно а я не ИБшник , можно всю инфраструктуру перевести на се, kuraga (ok), 11:46 , 17-Ноя-17, (3)   // Да, это решает проблему утечки закрытого ключа, но вносит ряд неудобств с точки , zanswer CCNA RS and S (?), 14:15 , 17-Ноя-17, (15) +3   // не нужно, это просто кусок пластика Единственно, конечно, могут стырить, но так, пох (?), 16:00 , 17-Ноя-17, (20) +1   Что за края такие Проблема в том что токен не безопаснее нормального зашифрованн, EHLO (?), 23:48 , 17-Ноя-17, (35) +2   Никаких Всегда есть вероятность утечки Мненять ключи часто В дронах обновять, Andrey Mitrofanov (?), 11:49 , 17-Ноя-17, (4) +1 // Хм Ну тогда сразу на гитхаб и положим, зато очень удобно , Аноним (-), 17:34 , 17-Ноя-17, (25) +4 hashicorp vault, Какойтотамноним (?), 12:25 , 17-Ноя-17, (6) +2 git submodule, rshadow (ok), 13:00 , 17-Ноя-17, (9) +1 // git-crypt, Аноним (-), 13:13 , 17-Ноя-17, (12) // Штука, конечно, занятная, но за помещение приватных ключей в гит в любом виде на, Аноним (-), 14:26 , 17-Ноя-17, (17) +5 Гарантий нет, но есть меры по снижению рисков Например, ту же DLP натаскать на , Это я (?), 13:40 , 17-Ноя-17, (14) +1 Голову на плечах иметь Помогает от любых уязвимостей , Аноним (-), 15:08 , 17-Ноя-17, (18) +7 // Если не учитывать человеческий фактор , Аноним (33), 22:42 , 17-Ноя-17, (33) Организационные меры Например, надо взять за правило, выполнять на рабочих серв, Ordu (ok), 16:04 , 17-Ноя-17, (21) // в той истории, если я правильно помню, якобы непрод база была глубоким продом , sabakka (?), 19:51 , 17-Ноя-17, (28) // https www reddit com r cscareerquestions comments 6ez8ag accidentally_destroye, Elhana (ok), 20:59 , 17-Ноя-17, (29) +1 Это уже несущественные детали Если студент может _случайно_ снести базы, то ком, Ordu (ok), 21:25 , 17-Ноя-17, (31) +4 Зачем такие сложности Просто девы не должны иметь доступа к любым системным prod, rwtzx (?), 09:21 , 18-Ноя-17, (39) +1 // Это означает наличие дополнительных штатных едениц, а зарплатный фонд ограничен , Агроном (?), 00:48 , 19-Ноя-17, (41) Для начала не генерить не зашифрованные ключи и не хранить не зашифрованные паро, EHLO (?), 23:50 , 17-Ноя-17, (36) +1 Кто-нибудь ещё посмеет оспорить, что гитхаб - это удобно , Аноним (-), 11:57 , 17-Ноя-17, (5) –5 // ты хотел написать публичный гит , мимо (?), 12:47 , 17-Ноя-17, (7) +4 // Явки с паролями хранят в VCS только полные идиоты Не важно, публичный он или вн, Аноним (-), 14:15 , 17-Ноя-17, (16) +2 удобно-удобно, только что-то быстро все удаляют - кто успел слить ключи и прошив, . (?), 12:50 , 17-Ноя-17, (8) –1 // По данным заметивших ключи исследователей, архив находился в открытом доступ, SysA (?), 13:06 , 17-Ноя-17, (10) // а как часто обновляются прошивки, загрузчики и списки отозванных сертификатов на, koblin (ok), 13:10 , 17-Ноя-17, (11) Подозреваю что раз в никогда , Ilya Indigo (ok), 17:25 , 17-Ноя-17, (24) +3 быстро удалили после разболтавших о ключах исследователях А так - кто ж знал-то , . (?), 13:32 , 17-Ноя-17, (13) +1 Я помню, была новость о сервисе, который периодически делал бекапы популярных ре, AnonPlus (?), 15:35 , 17-Ноя-17, (19) Ну так на то есть форки https github com MAVProxyUser skypixel_lottery blob m, Аноним (-), 17:04 , 17-Ноя-17, (22) // Так на амазон и не нужно лезть Выпилить зонды из прошивки на своем дроне уже бо, Аноним (-), 17:41 , 17-Ноя-17, (26) +3 А куда ещё ты собрался лезть с ключом от AWS Все остальные ключи там лежат , Аноним (-), 21:23 , 17-Ноя-17, (30) из новости следует, что ключи которыми были пошифрованы прошивки тоже были в арх, Аноним (-), 22:23 , 17-Ноя-17, (32) Просто 3 14 Ну хоть у кого-то мозги есть не подписывать разную хрень за копейк, Ilya Indigo (ok), 17:22 , 17-Ноя-17, (23) +1 // Ну и что ты узнал нового благодаря его принципиальности Что люди ошибаются и чт, Аноним (-), 05:29 , 18-Ноя-17, (37) // Да там не про деньги был базар Чувак написал вежливое письмо Письмо переправил, ACCA (ok), 09:09 , 18-Ноя-17, (38) +1 // Справедливости ради, стоит сказать, что общался он с менеджером не мало и письмо, zanswer CCNA RS and S (?), 18:41 , 19-Ноя-17, (42) +3 Корпорасты по какой-то странной причине не одупляют кто в этой ситуации кого за , ram_scan (?), 18:03 , 18-Ноя-17, (40) +1 1,5,23

Сообщения

[Сортировка по времени | RSS]

	3. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."	+/–
	Сообщение от kuraga (ok), 17-Ноя-17, 11:46
	Насколько мне известно (а я не ИБшник), можно всю инфраструктуру перевести на сертификаты, а сертификаты использовать с помощью устройства, которое позволяет производить необходимые в криптографии действия с приватным ключом, но никогда его не выдает.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	15. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."	+3 +/–
	Сообщение от zanswer CCNA RS and S (?), 17-Ноя-17, 14:15
	Да, это решает проблему утечки закрытого ключа, но вносит ряд неудобств с точки зрения пользователя/персонала. Поскольку требует наличия такого/таких крипто-ключа/ключей в каждом устройстве, что не всегда возможно по техническим причинам, а иногда по административным. Ведь нужно вести учёт таких крипто-ключей, их уничтожение, в случае необходимости, ограничение доступа к ним и так далее.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."	+1 +/–
	Сообщение от пох (?), 17-Ноя-17, 16:00
	> Ведь нужно вести учёт таких крипто-ключей, их уничтожение, в случае необходимости, ограничение > доступа к ним и так далее. не нужно, это просто кусок пластика. Единственно, конечно, могут стырить, но так стырить могут и владельца заодно, для комплекта, в багажнике места много. Учет нужен для _сертификатов_, а не для их ключей. А с ними все банально - если что, кадр проcpал свой токен, или самого его увезли в багажнике в неизвестные леса - revoke его, и дело с концом. Ну и срок валидности, разумеется, короткий. проблема, как обычно, в недоступности, особенно в наших краях, качественных железок с приличным софтом к ним. ("приличный" - как минимум спрашивает пин, а не довольствуется наличием только самого ключа)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."	+2 +/–
	Сообщение от EHLO (?), 17-Ноя-17, 23:48
	>проблема, как обычно, в недоступности, особенно в наших краях, качественных железок с приличным софтом к ним. Что за края такие? Проблема в том что токен не безопаснее нормального зашифрованного ключа, но добавляет несколько лишних сущностей, причём закрытых и подозрительных
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема