Перейти к содержанию

Безопасные настройки Chrome и Firefox для организации | Блог Касперского


Рекомендуемые сообщения

2 часа назад, Umnik сказал:

А сервер домашний вообще всегда работает. На самом деле это самое важное, но я считаю, что у тебя его нет, а вот телефон есть

Сам не знаю, есть у меня сервер или нет :) Есть вот такая железка (пока не продал, хотя выставил) - my cloud home 4tb https://www.dns-shop.ru/product/e420bdc0aca43330/setevoe-hranilise-nas-wd-my-cloud-home/ 

Она считается за сервер? (Если вдруг вещь полезная, то удалю объявление). Настраивается только через https://home.mycloud.com/ и файлы тянет исключительно с участием сервера WD, при этом невероятно медленно, как "вещь в себе" без связи с WD работать не умеет даже когда я нахожусь дома и подключен через Wi-Fi. 

 

С помощью телефона синхронизировать по кабелю мне просто лень, проще через one drive тогда уж, пока они в санкции не играются и не гадят. Если облако от WD, перепавшее мне нахаляву, можно использовать как полноценный сервер, буду очень рад. Хотя все равно по твоей же технологии часть данных надо на другом сервере хранить, весь вопрос в том, ты купил облачную подписку или доступ к серверу. 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 41
  • Created
  • Последний ответ

Top Posters In This Topic

  • Mrak

    17

  • Umnik

    15

  • Sandor

    3

  • ska79

    3

On 10.03.2023 at 22:45, Mrak said:

Она считается за сервер?

Нуу, нет. Может есть сторонние прошивки, которые отучают от вендор лока, но в текущем виде не считается. В общем, эта штука принадлежит тебе также, как айфон. Вроде у тебя в руках, а ты ничем на самом деле не рулишь.

On 10.03.2023 at 22:45, Mrak said:

С помощью телефона синхронизировать по кабелю мне просто лень,

Так syncthing не по кабелю работает. Это я настроил, чтобы он не работал, если телефон не заряжается. Но можно настроить, чтобы синхра работала и при работе от батарейки.

 

В общем, если у тебя есть старый комп/ноут, то вот его можно сделать полноценным сервером. Мой прошлый сервер - это мой комп, который собрал в 2008 году. Вчера я его продал и на его место поставил новый, купленный специально для этого https://aliexpress.ru/item/1005004836218109.html?sku_id=12000030676361405 Но нужен ещё IP внешний купить у провайдера. Для дисков купил корзину https://aliexpress.ru/item/1005001723778051.html

Сейчас цены на неё бешенные, когда я покупал, то на 5 дисков стоила 7 тысяч.

 

Сейчас всё это добро просто стоит на шкафу в детской, но думаю перенести вообще в коридор.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, Umnik сказал:

купленный специально для этого https://aliexpress.ru/item/1005004836218109.html?sku_id=12000030676361405

А это идея! 

У меня используется на работе такой: https://volgograd.nix.ru/autocatalog/barebone/Intel-NUC-Kit-BOXNUC8I5BEK2-i5-8259U-38-GGts-HDMI-GbLAN-2DDR4-SODIMM_376088.html , чем-то похож на указанный тобой. В моём тоже 16 гб. оперативки, только SSD на 1 tb samsung evo 970. Думаю как сервер должен потянуть. А вместо корзины для дисков я в него фан-клубовские внешние жесткие диски по usb запихаю. 

 

4 часа назад, Umnik сказал:

Сейчас всё это добро просто стоит на шкафу в детской, но думаю перенести вообще в коридор.

Что с охлаждением? Или ты шкаф не закрываешь? У меня роутер в шкафу в прихожей и всегда смущает, что он там задохнётся. Хотя кладу руку на корпус - тёплый, но не горячий. 

 

4 часа назад, Umnik сказал:

IP внешний купить у провайдера

И ждать гостей - тех, кто будет снаружи ломать сервер? :) 

Ссылка на комментарий
Поделиться на другие сайты

11 minutes ago, Mrak said:

Думаю как сервер должен потянуть

В ближайшие лет 15-20 — потянет :)

 

11 minutes ago, Mrak said:

Что с охлаждением? Или ты шкаф не закрываешь?

Сзади пропили вентиляцию. Пока этого хватает, но когда ребёнку понадобится вся высота шкафа всё равно придётся убрать. Надеюсь к тому времени выберу место, где не будет мозолить глаза. Это ж домашний сервер, на нём не ведутся сложные вычислительные задачи. Проц почти всегда просто прохлаждается. Для него мои задачи — грязь из-под ногтей.

 

11 minutes ago, Mrak said:

И ждать гостей - тех, кто будет снаружи ломать сервер? :) 

А тебе не продадут прямой доступ. По крайней мере у нас так. Тебе продадут фиксированный IP за натом с пробросом IP адресов 1 к 1. По крайней мере у нас так. И далее внешний атакующий встретит твой роутер, который тоже является NAT. Вот данные моего IP:

➜  ~ host 87.xxx.xxx.xxx
xxx.xxx.xxx.87.in-addr.arpa domain name pointer client.bigtelecom.ru.

Как видишь, просто какой-то клиент провайдера БигТелеком

Но да, ты берёшь на себя обеспечение безопасности. Ставишь любой линукс дистрибутив и периодически обновляешь одной командой.

 

По мере того, как будешь разбираться, будут расти аппетиты. Всё больше всякого будешь добавлять. А потом ещё внешний сервер купишь для других задач :)

Изменено пользователем Umnik
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

24 минуты назад, Umnik сказал:

Сзади пропили вентиляцию. Пока этого хватает

У меня не вариант. Шкаф встроенный. 

 

25 минут назад, Umnik сказал:

По мере того, как будешь разбираться, будут расти аппетиты. Всё больше всякого будешь добавлять. А потом ещё внешний сервер купишь для других задач :)

Я ещё не придумал ни одной задачи, кроме банальных - хранить файлы и документы, синхронизировать. Только с этим onedrive пока справляется нормально и яндекс.диск. Вот как кончится подписка через годик, может быть моя жадность сподвигнет к приключениям. Хотя фиксированный IP по цене может оказаться, как половина стоимости яндекс.диска. 

Ссылка на комментарий
Поделиться на другие сайты

33 минуты назад, Umnik сказал:

Ставишь любой линукс дистрибутив и периодически обновляешь одной командой.

Если всё настолько просто, то это очень круто. Мне объясняли, что там надо реально шарить, иначе сервер лучше не заводить. 

1 минуту назад, Umnik сказал:

У меня эта услуга стоит 200 рублей в месяц

Яндекс.диск стоит 1200 руб. в год, т.е. 100 рублей в месяц. Значит, пока не целесообразно создавать собственный сервер. 

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Umnik сказал:
Цитата

ЛастПасс сообщил о том, что сорян, файлы пользователей в публичном доступе.

То есть у пользователей этой программы утекли все логины и пароли, что они держали в менеджере?

Ссылка на комментарий
Поделиться на другие сайты

Нет. Утекли базы. Зашифрованные. Пароли внутри них. То есть если кто-то использовал мастер-пароль плохой, то сего базу уже расколупали. Но в целом https://habr.com/ru/news/t/707254/

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, Umnik сказал:

То есть если кто-то использовал мастер-пароль плохой

Сейчас странные требования к паролю, чтобы его считали хорошим. Даже менеджер паролей от Касперского себе стал противоречить. Сгенерированные год назад сложные пароли сейчас прописывает как средние или нуждающиеся в замене. Хотя делались через их же генератор, что особенно удивляет. 

 

Цитата

В LastPass напомнили, что текущие требования предусматривают использование как минимум двенадцати символов для мастер-паролей.

Если пароли не могли быть проще, маловероятен ущерб от атаки. 

Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, Mrak сказал:

Сейчас странные требования к паролю, чтобы его считали хорошим

Да, у каждого ресурса свои требования.
Эти символы можно использовать, а  эти нельзя, длинная не должна превышать N-символов, а в другом уже наоборот длинна не должна быть короче N-символов и т.д.  :o

7 минут назад, Mrak сказал:

Хотя делались через их же генератор, что особенно удивляет

Где-то на форуме обсуждали это и причина тоже была опубликована, нужно искать здесь на форуме  ;)  Получается с тех времен до сих пор не обновили "устаревшие" пароли.

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, Friend сказал:

Да, у каждого ресурса свои требования.

Когда ресурсы разные, то я понимаю логику. Но если я генерирую в КПМ в 2022 году сложный пароль, то на мой взгляд КПМ не должен в 2023 году говорить: "пароль не сложный, рекомендуется заменить". С первого раза нельзя генерировать сложный будто бы. Да и где гарантии, что заменённый в 2023 году пароль не будет вновь самим КПМ признан нуждающимся в замене в 2024 году.

Ссылка на комментарий
Поделиться на другие сайты

В целом этого можно ожидать. Не утверждаю, что причина в этом, но может и оно. В общем, стойкость пароля реально очень трудно оценить. Потому что пароль "z.qW)c`3k'x%" будет значительно менее стойким к перебору, чем пароль "папа у Васи силён в математике, учится папа за Васю весь год. Где это видано, где это слыхано - папа решает, а Вася сдаёт". И, вроде, даже понятно, почему второй пароль реально хорош. Но системы редко могут это правильно оценить, т.к. оценку делают на регулярках. Допустим, прошли по длине и по спецсимволам. А где циферки? Не пойдёт, мы хотим ещё циферки.

 

Это я даже не считаю, что когда-то стойким считалось от 8, потом от 12 (хотя NIST по-прежнему говорит "от 8"). Тут мы уже понимаем, что чем выше мощность, то выше скорость перебора.

 

Сейчас проблемы в другом. Многие сервисы хранят пароли как быстрые хеши, например SHA-2. И не видят в этом проблемы. Из-за этого меньше 20 символов использовать не стоит.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Лучше keepass не нашёл, даже keepassxc не то - нет безопасного рабочего стола для ввода мастерпароля, в keepass он есть, но в последних версиях пришлось менять мастер пароль на кириллицу - ибо так и не пофиксили проблему невозможности сменить раскладку клавы на БРС. Интересно как автоввод сработает если браузер запущен в песочнице?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Мы уже рассказывали, что большинство приложений для фитнеса и трекинга при занятиях спортом (например, бегом) при настройках по умолчанию практически никак не защищают ваши персональные данные. Маршруты и время тренировок, фотографии с пробежек, данные о вашей физической форме в большинстве случаев выкладываются в открытый доступ в Интернет, если вы явно это не запретите. А результаты, как мы уже писали, могут быть катастрофическими — от утечек местоположения секретных объектов до сталкинга и покушений на убийство.
      Чтобы избежать этого, необходимо настроить как сами смартфоны, так и беговые приложения. По ссылкам вы найдете инструкции по настройке наиболее популярных трекеров бега: Strava, Nike Run Club, MapMyRun, adidas Running.
      Завершая обзор настроек приватности беговых приложений, сегодня мы расскажем, как правильно настроить ASICS Runkeeper (версии для Android и iOS).
      Как и другие крупные производители спортивной обуви и амуниции Nike и adidas, японская компания ASICS, хорошо известная своей беговой обувью, не стала изобретать велосипед, а просто приобрела популярное приложение для трекинга бега Runkeeper и даже не переименовала его, добавив лишь собственное имя — ASICS Runkeeper.
      Настройки приватности в ASICS Runkeeper, как, впрочем, и в других беговых приложениях, находятся в не вполне очевидном месте. Если на основном экране щелкнуть на шестеренку в левом верхнем углу, то там вы их не найдете — это настройки тренировки. Вместо этого нажмите на кнопку Я в левом нижнем углу, далее нажмите на шестеренку в правом верхнем углу и на открывшейся странице выберите Настройки приватности.
      Где найти настройки приватности в приложении ASICS Runkeeper: Я → Настройки → Настройки приватности
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Ранее мы рассказывали, почему перед началом использования беговых трекеров обязательно нужно настроить конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении, — для минимизации утечки ваших персональных данных, включая геопозицию, в открытый доступ. Вы же не хотите, чтобы любой желающий мог подписаться на информацию о ваших пробежках и точно знать, где и когда вас можно найти офлайн?
      Вы можете изучить уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений Strava и Nike Run Club, а сегодня мы поговорим о настройках приватности в MapMyRun.
      У приложения MapMyRun (версии для Android и iOS) очень любопытная история. В сентябре 2024 года оно было приобретено в составе пакета приложений MapMyFitness медиакомпанией Outside под руководством генерального директора Робина Терстона у американского производителя спортивной обуви и одежды Under Armour. A Under Armour, в свою очередь, приобрела этот пакет аппов за $150 млн в 2013 году у некоего… Робина Терстона, основавшего MapMyFitness в 2007 году! Таким образом, через 11 лет Робин вернул себе компанию, основанную им 17 лет назад.
      Настраиваем приватность в MapMyRun
      Найти в этом приложении настройки приватности, нажав на кнопку с шестеренкой в правом верхнем углу основного экрана, как обычно, не получится — это снова настройки тренировки. Вместо этого надо нажать на кнопку с тремя точками в правом нижнем углу (для iOS) или на «бургер-меню» из трех линий в верхнем левом углу (для Android), далее выбрать пункт Настройки (не Центр конфиденциальности — это другое) и уже на открывшейся странице выбрать Конфиденциальность.
      Где найти настройки приватности в приложении MapMyRun: ••• → Настройки → Конфиденциальность
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В предыдущем посте, посвященном приватности беговых приложений в целом, мы подробно рассказывали, почему эти приложения — настоящий Клондайк персональных данных для мошенников и преступников всех сортов. Увы, по умолчанию они делятся с кем попало вашей конфиденциальной информацией, включая точную геопозицию. Результаты, как мы уже писали, могут быть катастрофическими — от утечек местоположения секретных объектов до сталкинга и покушений на убийство.
      Там же мы поделились подробной инструкцией по общей настройке смартфонов для минимизации этих рисков. В этом и следующих постах мы поговорим о тонких настройках наиболее популярных беговых приложений. Начнем со Strava.
      Strava (версии для Android и iOS) — вероятно, самое популярное приложение для отслеживания тренировок по бегу, велоспорту и просто пеших прогулок. И последнее, сохраняющее независимость: все остальные «большие» беговые приложения уже куплены производителями спортивной одежды и обуви. Кстати, именно оно стало героем нескольких инцидентов с использованием открытых данных — например, публикацией карты, выдавшей местоположение массы секретных объектов.
      Также Strava, как правило, становится центральным объектом претензий каждый раз, когда встает вопрос о том, как одни пользователи следят за другими через фитнес-приложения. Не могу не отметить, что упреки эти по-прежнему справедливы: по умолчанию пользовательский профиль в Strava настроен совершенно не приватно — приложение очень хочет, чтобы вы делились своими данными со всем Интернетом.
      Но это можно исправить — благо, в Strava есть довольно много настроек приватности. Чтобы до них добраться, нажмите кнопку Вы в правом нижнем углу экрана, потом нажмите кнопку с шестеренкой в правом верхнем углу экрана и в открывшемся окне выберите пункт Конфиденциальность.
      Где найти настройки приватности в приложении Strava: Вы → Настройки → Конфиденциальность
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Как мы уже рассказывали, нельзя просто так взять и начать использовать приложения для трекинга бега, не настроив предварительно конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении. При настройках по умолчанию эти приложения делятся со всем Интернетом полной информацией о ваших тренировках, включая точную геопозицию. А мошенники и преступники умеют использовать эти данные в своих целях.
      Если вы хоть немного заботитесь о своей приватности, изучите уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений — Strava, Nike Run Club, MapMyRun. А сегодняшний пост — для всех ценителей трех полосок: настроим приватность в трекинговом приложении adidas Running (версии для Android и iOS).
      Ранее известное как Runtastic, это фитнес-приложение теперь принадлежит крупнейшему европейскому производителю спортивной одежды и обуви и называется просто adidas Running. Настроек приватности в adidas Running не так много, как, например, в Strava. Тем не менее стоит убедиться в том, что все сконфигурировано правильно.
      Чтобы попасть в настройки приватности приложения adidas Running, нажмите на кнопку Профиль в правом нижнем углу, затем на кнопку с шестеренкой в правом верхнем углу и выберите пункт Конфиденциальность (в списке есть два пункта с таким названием, вам нужен верхний — с иконкой, на которой изображен ключ).
      Где найти настройки приватности в приложении adidas Running (Runtastic): Профиль → Настройки → Конфиденциальность
      Содержимое этого раздела почему-то забыли перевести на русский язык. В первую очередь здесь вас интересует пункт Maps (кому видны ваши карты) — убедитесь в том, что галочка стоит напротив Followers (подписчикам), а еще лучше — Only me (только мне).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
×
×
  • Создать...