Перейти к содержанию

Безопасные настройки Chrome и Firefox для организации | Блог Касперского


Рекомендуемые сообщения

2 часа назад, Umnik сказал:

А сервер домашний вообще всегда работает. На самом деле это самое важное, но я считаю, что у тебя его нет, а вот телефон есть

Сам не знаю, есть у меня сервер или нет :) Есть вот такая железка (пока не продал, хотя выставил) - my cloud home 4tb https://www.dns-shop.ru/product/e420bdc0aca43330/setevoe-hranilise-nas-wd-my-cloud-home/ 

Она считается за сервер? (Если вдруг вещь полезная, то удалю объявление). Настраивается только через https://home.mycloud.com/ и файлы тянет исключительно с участием сервера WD, при этом невероятно медленно, как "вещь в себе" без связи с WD работать не умеет даже когда я нахожусь дома и подключен через Wi-Fi. 

 

С помощью телефона синхронизировать по кабелю мне просто лень, проще через one drive тогда уж, пока они в санкции не играются и не гадят. Если облако от WD, перепавшее мне нахаляву, можно использовать как полноценный сервер, буду очень рад. Хотя все равно по твоей же технологии часть данных надо на другом сервере хранить, весь вопрос в том, ты купил облачную подписку или доступ к серверу. 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 41
  • Created
  • Последний ответ

Top Posters In This Topic

  • Mrak

    17

  • Umnik

    15

  • ska79

    3

  • Sandor

    3

Top Posters In This Topic

Popular Posts

Они просят удобно. Чтобы ничего не делать - а всё само работает. И даже если это будет ухудшать безопасность и приватность пользователя - наплевать. А если что-то не приносит денег, но само требует де

Если в браузере вредоносное расширение, что внешний менеджер паролей не поможет. То есть достаточно не синхронизировать расширения, получается? В случае циски всё было интереснее. Автор статьи

Если есть пароль для входа в систему, в Chrome сейчас чтобы увидеть пароль к сайту, нужно ввести пароль системы. Это было добавлено некоторое количество версий браузера назад. Так что не совсем о

On 10.03.2023 at 22:45, Mrak said:

Она считается за сервер?

Нуу, нет. Может есть сторонние прошивки, которые отучают от вендор лока, но в текущем виде не считается. В общем, эта штука принадлежит тебе также, как айфон. Вроде у тебя в руках, а ты ничем на самом деле не рулишь.

On 10.03.2023 at 22:45, Mrak said:

С помощью телефона синхронизировать по кабелю мне просто лень,

Так syncthing не по кабелю работает. Это я настроил, чтобы он не работал, если телефон не заряжается. Но можно настроить, чтобы синхра работала и при работе от батарейки.

 

В общем, если у тебя есть старый комп/ноут, то вот его можно сделать полноценным сервером. Мой прошлый сервер - это мой комп, который собрал в 2008 году. Вчера я его продал и на его место поставил новый, купленный специально для этого https://aliexpress.ru/item/1005004836218109.html?sku_id=12000030676361405 Но нужен ещё IP внешний купить у провайдера. Для дисков купил корзину https://aliexpress.ru/item/1005001723778051.html

Сейчас цены на неё бешенные, когда я покупал, то на 5 дисков стоила 7 тысяч.

 

Сейчас всё это добро просто стоит на шкафу в детской, но думаю перенести вообще в коридор.

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Umnik сказал:

купленный специально для этого https://aliexpress.ru/item/1005004836218109.html?sku_id=12000030676361405

А это идея! 

У меня используется на работе такой: https://volgograd.nix.ru/autocatalog/barebone/Intel-NUC-Kit-BOXNUC8I5BEK2-i5-8259U-38-GGts-HDMI-GbLAN-2DDR4-SODIMM_376088.html , чем-то похож на указанный тобой. В моём тоже 16 гб. оперативки, только SSD на 1 tb samsung evo 970. Думаю как сервер должен потянуть. А вместо корзины для дисков я в него фан-клубовские внешние жесткие диски по usb запихаю. 

 

4 часа назад, Umnik сказал:

Сейчас всё это добро просто стоит на шкафу в детской, но думаю перенести вообще в коридор.

Что с охлаждением? Или ты шкаф не закрываешь? У меня роутер в шкафу в прихожей и всегда смущает, что он там задохнётся. Хотя кладу руку на корпус - тёплый, но не горячий. 

 

4 часа назад, Umnik сказал:

IP внешний купить у провайдера

И ждать гостей - тех, кто будет снаружи ломать сервер? :) 

Ссылка на сообщение
Поделиться на другие сайты
11 minutes ago, Mrak said:

Думаю как сервер должен потянуть

В ближайшие лет 15-20 — потянет :)

 

11 minutes ago, Mrak said:

Что с охлаждением? Или ты шкаф не закрываешь?

Сзади пропили вентиляцию. Пока этого хватает, но когда ребёнку понадобится вся высота шкафа всё равно придётся убрать. Надеюсь к тому времени выберу место, где не будет мозолить глаза. Это ж домашний сервер, на нём не ведутся сложные вычислительные задачи. Проц почти всегда просто прохлаждается. Для него мои задачи — грязь из-под ногтей.

 

11 minutes ago, Mrak said:

И ждать гостей - тех, кто будет снаружи ломать сервер? :) 

А тебе не продадут прямой доступ. По крайней мере у нас так. Тебе продадут фиксированный IP за натом с пробросом IP адресов 1 к 1. По крайней мере у нас так. И далее внешний атакующий встретит твой роутер, который тоже является NAT. Вот данные моего IP:

➜  ~ host 87.xxx.xxx.xxx
xxx.xxx.xxx.87.in-addr.arpa domain name pointer client.bigtelecom.ru.

Как видишь, просто какой-то клиент провайдера БигТелеком

Но да, ты берёшь на себя обеспечение безопасности. Ставишь любой линукс дистрибутив и периодически обновляешь одной командой.

 

По мере того, как будешь разбираться, будут расти аппетиты. Всё больше всякого будешь добавлять. А потом ещё внешний сервер купишь для других задач :)

Изменено пользователем Umnik
Ссылка на сообщение
Поделиться на другие сайты
24 минуты назад, Umnik сказал:

Сзади пропили вентиляцию. Пока этого хватает

У меня не вариант. Шкаф встроенный. 

 

25 минут назад, Umnik сказал:

По мере того, как будешь разбираться, будут расти аппетиты. Всё больше всякого будешь добавлять. А потом ещё внешний сервер купишь для других задач :)

Я ещё не придумал ни одной задачи, кроме банальных - хранить файлы и документы, синхронизировать. Только с этим onedrive пока справляется нормально и яндекс.диск. Вот как кончится подписка через годик, может быть моя жадность сподвигнет к приключениям. Хотя фиксированный IP по цене может оказаться, как половина стоимости яндекс.диска. 

Ссылка на сообщение
Поделиться на другие сайты
33 минуты назад, Umnik сказал:

Ставишь любой линукс дистрибутив и периодически обновляешь одной командой.

Если всё настолько просто, то это очень круто. Мне объясняли, что там надо реально шарить, иначе сервер лучше не заводить. 

1 минуту назад, Umnik сказал:

У меня эта услуга стоит 200 рублей в месяц

Яндекс.диск стоит 1200 руб. в год, т.е. 100 рублей в месяц. Значит, пока не целесообразно создавать собственный сервер. 

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Umnik сказал:
Цитата

ЛастПасс сообщил о том, что сорян, файлы пользователей в публичном доступе.

То есть у пользователей этой программы утекли все логины и пароли, что они держали в менеджере?

Ссылка на сообщение
Поделиться на другие сайты

Нет. Утекли базы. Зашифрованные. Пароли внутри них. То есть если кто-то использовал мастер-пароль плохой, то сего базу уже расколупали. Но в целом https://habr.com/ru/news/t/707254/

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, Umnik сказал:

То есть если кто-то использовал мастер-пароль плохой

Сейчас странные требования к паролю, чтобы его считали хорошим. Даже менеджер паролей от Касперского себе стал противоречить. Сгенерированные год назад сложные пароли сейчас прописывает как средние или нуждающиеся в замене. Хотя делались через их же генератор, что особенно удивляет. 

 

Цитата

В LastPass напомнили, что текущие требования предусматривают использование как минимум двенадцати символов для мастер-паролей.

Если пароли не могли быть проще, маловероятен ущерб от атаки. 

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, Mrak сказал:

Сейчас странные требования к паролю, чтобы его считали хорошим

Да, у каждого ресурса свои требования.
Эти символы можно использовать, а  эти нельзя, длинная не должна превышать N-символов, а в другом уже наоборот длинна не должна быть короче N-символов и т.д.  :o

7 минут назад, Mrak сказал:

Хотя делались через их же генератор, что особенно удивляет

Где-то на форуме обсуждали это и причина тоже была опубликована, нужно искать здесь на форуме  ;)  Получается с тех времен до сих пор не обновили "устаревшие" пароли.

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Friend сказал:

Да, у каждого ресурса свои требования.

Когда ресурсы разные, то я понимаю логику. Но если я генерирую в КПМ в 2022 году сложный пароль, то на мой взгляд КПМ не должен в 2023 году говорить: "пароль не сложный, рекомендуется заменить". С первого раза нельзя генерировать сложный будто бы. Да и где гарантии, что заменённый в 2023 году пароль не будет вновь самим КПМ признан нуждающимся в замене в 2024 году.

Ссылка на сообщение
Поделиться на другие сайты

В целом этого можно ожидать. Не утверждаю, что причина в этом, но может и оно. В общем, стойкость пароля реально очень трудно оценить. Потому что пароль "z.qW)c`3k'x%" будет значительно менее стойким к перебору, чем пароль "папа у Васи силён в математике, учится папа за Васю весь год. Где это видано, где это слыхано - папа решает, а Вася сдаёт". И, вроде, даже понятно, почему второй пароль реально хорош. Но системы редко могут это правильно оценить, т.к. оценку делают на регулярках. Допустим, прошли по длине и по спецсимволам. А где циферки? Не пойдёт, мы хотим ещё циферки.

 

Это я даже не считаю, что когда-то стойким считалось от 8, потом от 12 (хотя NIST по-прежнему говорит "от 8"). Тут мы уже понимаем, что чем выше мощность, то выше скорость перебора.

 

Сейчас проблемы в другом. Многие сервисы хранят пароли как быстрые хеши, например SHA-2. И не видят в этом проблемы. Из-за этого меньше 20 символов использовать не стоит.

Ссылка на сообщение
Поделиться на другие сайты

Лучше keepass не нашёл, даже keepassxc не то - нет безопасного рабочего стола для ввода мастерпароля, в keepass он есть, но в последних версиях пришлось менять мастер пароль на кириллицу - ибо так и не пофиксили проблему невозможности сменить раскладку клавы на БРС. Интересно как автоввод сработает если браузер запущен в песочнице?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Представьте себе, что вам пишет или звонит ваш непосредственный начальник — или даже руководитель всей организации. Он предупреждает, что в компании развивается неприятная ситуация, которая грозит фирме штрафами или другими финансовыми потерями, вашему отделу — большими проблемами, а лично вам, возможно, — и вовсе увольнением. Холодный пот уже течет по спине, но ситуацию еще можно спасти! Для этого, конечно, придется постараться и очень быстро сделать несколько не совсем обычных вещей, но все будет хорошо…
      Остановитесь и сделайте несколько глубоких вдохов и выдохов. С вероятностью 99% «экстренная ситуация» целиком вымышлена, а пишут и звонят мошенники. Как распознать такую атаку и защитить себя?
      Анатомия атаки
      У подобных схем есть десятки разновидностей — в разных странах мошенники описывают разные трудности компании, ссылаются на вовлеченные надзорные и полицейские органы или важных бизнес-партнеров, предлагают самые разные способы решения проблемы. Но есть несколько ключевых моментов, важных психологических опорных точек, без которых атака почти невозможна. Именно по ним ее проще всего распознать.
      Авторитет начальника и просто доверие знакомому человеку. Большинство людей уже выработало устойчивость к странным просьбам от незнакомцев, будь то полицейский инспектор, внезапно решивший написать вам в мессенджер, или сотрудник банка, лично озабоченный вашим благополучием. В данной схеме все иначе — к жертве якобы обращается более-менее знакомый и достаточно важный человек. Часто на роль «подсадной утки» мошенники «назначают» одного из высших руководителей организации. Во-первых, у него больше авторитет, во-вторых, есть неплохие шансы, что жертва знает этого человека, но не настолько близко, чтобы заметить неизбежные отличия в речи или стиле письма. Но есть и разновидности схемы, в которых мошенники обращаются от имени коллеги из подходящего подразделения, например из бухгалтерии или юридического отдела. Переадресация на внешних исполнителей. В самых примитивных вариантах обращающийся «коллега» или «начальник» сам высказывает просьбу, связанную с деньгами. Но чаще всего после первоначального общения «босс» просит обсудить практические детали с неким внешним контрагентом, который прямо сейчас напишет или позвонит. В зависимости от деталей схемы этот «специальный человек» может быть представлен сотрудником ФСБ, полиции, налоговой инспекции, банка, аудиторской компании и так далее — важно то, что ему уже не нужно прикидываться знакомым жертвы. «Босс» попросит оказать «компетентному товарищу» максимальное содействие и ни в коем случае не откладывать общение с ним. Впрочем, в самых тонко проработанных схемах — как, например, с кражей $25 миллионов по результатам дипфейк-видеоконференции — мошенники могут от начала до конца представляться исключительно сотрудниками компании. Большая срочность. Это важно, чтобы жертва не могла остановиться и подумать, разобрать ситуацию. «Уже завтра будет проверка», «прямо сейчас пришли партнеры», «сегодня вечером деньги компании спишут со счета» — в общем, действовать надо немедленно. Очень часто мошенники ведут эту часть беседы по телефону и запрещают жертве класть трубку до момента расставания с деньгами. Абсолютная секретность. Чтобы никто не мог вмешаться в разыгрываемую сцену, «босс» сразу предупреждает жертву, что обсуждать происшествие с кем бы то ни было ни в коем случае нельзя, — огласка приведет к страшным последствиям. Мошенник может, например, сообщить, что довериться ему больше некому, среди других сотрудников есть преступники или нелояльные компании люди — в общем, постарается, чтобы до выполнения требований жертва вообще ни с кем не общалась. В нашем случае в роли «финального босса» мошеннической схемы выступил, разумеется, «Евгений Касперский» (обратите внимание на предложение «Заблокировать/Добавить новый контакт»)
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Для многих ИБ-команд SIEM-система де-факто является основным рабочим инструментом. Так что безопасность компании в значительной мере зависит от того, насколько экспертам удобно взаимодействовать с SIEM, концентрируясь непосредственно на борьбе с угрозами, а не на рутине. Поэтому практически в каждом обновлении нашей системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) мы уделяем особое внимание улучшению пользовательского интерфейса, автоматизации рутинных процессов и добавлению функций, позволяющих специалистам работать максимально эффективно. Значительная часть усовершенствований создается на основании обратной связи от экспертов наших заказчиков. В частности, в последней версии платформы KUMA — 3.0.3 мы добавили следующие возможности и улучшения.
      Написание условий фильтров и корреляционных правил в виде кода
      Раньше аналитикам приходилось задавать фильтры и писать корреляционные правила, выбирая требуемые условия мышкой. В обновлении мы расширили возможности написания правил для продвинутых пользователей, переработав интерфейс написания условий и добавив возможность написания их в виде кода. При этом режим конструктора, разумеется, остался на месте — условия фильтров и селекторов автоматически транслируются между режимами конструктора и кода.
      Одно и то же условие в режимах конструктора и кода
      При этом конструктор позволяет писать условия при помощи клавиатуры. Вы можете начать набирать условия фильтра, и KUMA подскажет подходящие варианты из полей событий, словарей, активных листов и так далее, после чего вы сможете выбрать подходящий вариант. Можно сразу сократить диапазон вариантов, набрав соответствующий префикс. Для удобства типы условий подсвечиваются разными цветами.
      Режим кода позволяет быстро редактировать условия корреляционных правил, а кроме того, выделять и копировать условия в виде кода и легко переносить их между разными правилами или разными селекторами в рамках одного правила. Эти же блоки кода могут быть перенесены и в фильтры (отдельный ресурс системы), что значительно упрощает их создание.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Решения по кибербезопасности выбирать непросто. Здесь не всегда можно положиться на мнение друзей или краудсорсинговые рейтинги, которые отлично работают для более простых товаров и услуг. Если удобство интерфейса и общую юзабилити подобными методами оценить реально, то вот качество защиты от сложных угроз — уже вряд ли.
      Наиболее взвешенный объективный критерий — результаты экспертных исследований от профильных тестовых лабораторий и СМИ. Разумеется, важно, чтобы тестеры были независимыми — не связанными ни с одним из вендоров, продукция которых изучается.
      Мы всегда уделяли много внимания независимому тестированию наших продуктов и сервисов. Для удобства оценки результатов тестов на нашем сайте предусмотрен специальный раздел «ТОП-3». Он показывает, как много за год было тестов и в скольких из них мы заняли призовые места.
      Прошедший 2023 год стал для нас рекордным. Из сотни тестов, в которых участвовали наши решения, в 93 случаях мы заняли первое место, а 94 раза входили в первую тройку. Всего же с 2013 года наши продукты были протестированы независимыми исследователями 927 раз, завоевав 680 первых мест (и 779 раз мы были в тройке лидеров). Это абсолютный рекорд среди всех вендоров защитных решений как по количеству тестов, так и по количеству побед.
      Теперь немного подробностей.
      Сравнительный график с результатами независимых тестов защиты популярных вендоров. «Лаборатория Касперского» — абсолютный лидер: 680 первых мест из 927 проведенных тестов. Источник
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Недавно американские исследователи опубликовали работу, в которой показали, что полезную информацию можно извлекать из звуков нажатий клавиатуры. Это, разумеется, далеко не первое исследование такого рода. Более того, его результаты даже нельзя назвать более точными, чем выводы прошлых аналогичных работ. Однако оно представляет интерес из-за того, что в данном случае исследователи не пытались создать идеальные условия для атаки, а работали в условиях, приближенных к реальным: в относительно шумном помещении, при помощи не очень качественного микрофона и так далее.
      Модель атаки
      Мы редко отдаем себе в этом отчет, но нас подслушивают довольно часто. И для этого вовсе не обязательно устанавливать в кабинете жучок, как это происходит в шпионских фильмах. Представьте, что вы сидите на скучном конференц-звонке и параллельно, потихоньку, отвечаете на рабочую почту или личные сообщения, не выключая микрофон. Ваши собеседники могут слышать звук нажатий на клавиши. В группе риска также находятся стримеры: любители транслировать всем желающим то, как они играют в игры (и не только). Можно отвлечься и в процессе трансляции, например, набрать на клавиатуре пароль. Саму клавиатуру, возможно, никто и не видит, но вот звук нажатий на клавиши вполне реально распознать в записи и попытаться вычислить, что было набрано.
      Первая научная работа, подробно изучающая подобную атаку, была опубликована в 2004 году. Тогда исследователи из IBM лишь предложили метод и показали принципиальную возможность отличить друг от друга нажатия на разные клавиши, но не более того. В 2009 году те же исследователи попытались решить проблему с помощью нейросети: специально обученный алгоритм был натренирован на 10-минутной записи клавиатурного набора, причем набираемый текст был заранее известен — это позволило сопоставить определенный звук нажатия на клавишу с набираемой буквой. В результате в дальнейшем нейросеть уверенно распознавала до 96% набираемых символов.
      Но этот результат был получен в лабораторных условиях. В помещении стояла полная тишина, использовался качественный микрофон. Один и тот же испытуемый набирал текст примерно в одном и том же стиле: с примерно равномерной скоростью печати и силой нажатия на клавиши. Использовалась громкая механическая клавиатура. Такое исследование показывало теоретическую возможность атаки, но его результаты сложно было применить на практике: изменить немного стиль набора, поменять клавиатуру, добавить естественный шумовой фон в помещении — и ничего распознать не получится.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Серьезные атакующие, выбравшие целью именно вашу компанию, наверняка захотят проникнуть в инфраструктуру глубоко и закрепиться в ней надолго. Иногда для этого используется качественное вредоносное ПО, но многие злоумышленники предпочитают обходиться без него. Они атакуют компанию, используя уязвимости, украденные учетные данные и легитимные программы, которые уже есть в системе. Эта техника называется living off the land (LOTL, буквально «кормиться с земли» или, что точнее по смыслу, «работать подручными средствами»), и, с точки зрения злоумышленника, у нее масса достоинств:
      вредоносная активность сливается с повседневной работой в сети и обычными административными активностями; инструменты, которые уже установлены на компьютерах, с меньшей вероятностью вызовут срабатывание базовых средств защиты информации (EPP); атакующим не надо тратиться на разработку своих вредоносных инструментов; у такой активности нет простых в применении индикаторов компрометации (IOC), поэтому зловредные действия сложно отследить, а кроме того, сложно сопоставить атаки в разных организациях; во многих компаниях мониторинг сети и информация о повседневной сетевой активности собирается и хранится недостаточно детально, поэтому ни в реальном времени, ни тем более в прошедшем не удается эффективно и подробно проследить за развитием атаки. В результате предотвращение атаки и устранение ее последствий оказываются очень трудны. Технику LOTL применяют как шпионские группировки (раз, два), так и финансово мотивированные злоумышленники и банды ransomware.
       
      Посмотреть статью полностью

×
×
  • Создать...