Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
2 часа назад, Umnik сказал:

А сервер домашний вообще всегда работает. На самом деле это самое важное, но я считаю, что у тебя его нет, а вот телефон есть

Сам не знаю, есть у меня сервер или нет :) Есть вот такая железка (пока не продал, хотя выставил) - my cloud home 4tb https://www.dns-shop.ru/product/e420bdc0aca43330/setevoe-hranilise-nas-wd-my-cloud-home/ 

Она считается за сервер? (Если вдруг вещь полезная, то удалю объявление). Настраивается только через https://home.mycloud.com/ и файлы тянет исключительно с участием сервера WD, при этом невероятно медленно, как "вещь в себе" без связи с WD работать не умеет даже когда я нахожусь дома и подключен через Wi-Fi. 

 

С помощью телефона синхронизировать по кабелю мне просто лень, проще через one drive тогда уж, пока они в санкции не играются и не гадят. Если облако от WD, перепавшее мне нахаляву, можно использовать как полноценный сервер, буду очень рад. Хотя все равно по твоей же технологии часть данных надо на другом сервере хранить, весь вопрос в том, ты купил облачную подписку или доступ к серверу. 

Опубликовано
On 10.03.2023 at 22:45, Mrak said:

Она считается за сервер?

Нуу, нет. Может есть сторонние прошивки, которые отучают от вендор лока, но в текущем виде не считается. В общем, эта штука принадлежит тебе также, как айфон. Вроде у тебя в руках, а ты ничем на самом деле не рулишь.

On 10.03.2023 at 22:45, Mrak said:

С помощью телефона синхронизировать по кабелю мне просто лень,

Так syncthing не по кабелю работает. Это я настроил, чтобы он не работал, если телефон не заряжается. Но можно настроить, чтобы синхра работала и при работе от батарейки.

 

В общем, если у тебя есть старый комп/ноут, то вот его можно сделать полноценным сервером. Мой прошлый сервер - это мой комп, который собрал в 2008 году. Вчера я его продал и на его место поставил новый, купленный специально для этого https://aliexpress.ru/item/1005004836218109.html?sku_id=12000030676361405 Но нужен ещё IP внешний купить у провайдера. Для дисков купил корзину https://aliexpress.ru/item/1005001723778051.html

Сейчас цены на неё бешенные, когда я покупал, то на 5 дисков стоила 7 тысяч.

 

Сейчас всё это добро просто стоит на шкафу в детской, но думаю перенести вообще в коридор.

  • Спасибо (+1) 1
Опубликовано
4 часа назад, Umnik сказал:

купленный специально для этого https://aliexpress.ru/item/1005004836218109.html?sku_id=12000030676361405

А это идея! 

У меня используется на работе такой: https://volgograd.nix.ru/autocatalog/barebone/Intel-NUC-Kit-BOXNUC8I5BEK2-i5-8259U-38-GGts-HDMI-GbLAN-2DDR4-SODIMM_376088.html , чем-то похож на указанный тобой. В моём тоже 16 гб. оперативки, только SSD на 1 tb samsung evo 970. Думаю как сервер должен потянуть. А вместо корзины для дисков я в него фан-клубовские внешние жесткие диски по usb запихаю. 

 

4 часа назад, Umnik сказал:

Сейчас всё это добро просто стоит на шкафу в детской, но думаю перенести вообще в коридор.

Что с охлаждением? Или ты шкаф не закрываешь? У меня роутер в шкафу в прихожей и всегда смущает, что он там задохнётся. Хотя кладу руку на корпус - тёплый, но не горячий. 

 

4 часа назад, Umnik сказал:

IP внешний купить у провайдера

И ждать гостей - тех, кто будет снаружи ломать сервер? :) 

Опубликовано (изменено)
11 minutes ago, Mrak said:

Думаю как сервер должен потянуть

В ближайшие лет 15-20 — потянет :)

 

11 minutes ago, Mrak said:

Что с охлаждением? Или ты шкаф не закрываешь?

Сзади пропили вентиляцию. Пока этого хватает, но когда ребёнку понадобится вся высота шкафа всё равно придётся убрать. Надеюсь к тому времени выберу место, где не будет мозолить глаза. Это ж домашний сервер, на нём не ведутся сложные вычислительные задачи. Проц почти всегда просто прохлаждается. Для него мои задачи — грязь из-под ногтей.

 

11 minutes ago, Mrak said:

И ждать гостей - тех, кто будет снаружи ломать сервер? :) 

А тебе не продадут прямой доступ. По крайней мере у нас так. Тебе продадут фиксированный IP за натом с пробросом IP адресов 1 к 1. По крайней мере у нас так. И далее внешний атакующий встретит твой роутер, который тоже является NAT. Вот данные моего IP:

➜  ~ host 87.xxx.xxx.xxx
xxx.xxx.xxx.87.in-addr.arpa domain name pointer client.bigtelecom.ru.

Как видишь, просто какой-то клиент провайдера БигТелеком

Но да, ты берёшь на себя обеспечение безопасности. Ставишь любой линукс дистрибутив и периодически обновляешь одной командой.

 

По мере того, как будешь разбираться, будут расти аппетиты. Всё больше всякого будешь добавлять. А потом ещё внешний сервер купишь для других задач :)

Изменено пользователем Umnik
  • Спасибо (+1) 1
Опубликовано
24 минуты назад, Umnik сказал:

Сзади пропили вентиляцию. Пока этого хватает

У меня не вариант. Шкаф встроенный. 

 

25 минут назад, Umnik сказал:

По мере того, как будешь разбираться, будут расти аппетиты. Всё больше всякого будешь добавлять. А потом ещё внешний сервер купишь для других задач :)

Я ещё не придумал ни одной задачи, кроме банальных - хранить файлы и документы, синхронизировать. Только с этим onedrive пока справляется нормально и яндекс.диск. Вот как кончится подписка через годик, может быть моя жадность сподвигнет к приключениям. Хотя фиксированный IP по цене может оказаться, как половина стоимости яндекс.диска. 

Опубликовано
33 минуты назад, Umnik сказал:

Ставишь любой линукс дистрибутив и периодически обновляешь одной командой.

Если всё настолько просто, то это очень круто. Мне объясняли, что там надо реально шарить, иначе сервер лучше не заводить. 

1 минуту назад, Umnik сказал:

У меня эта услуга стоит 200 рублей в месяц

Яндекс.диск стоит 1200 руб. в год, т.е. 100 рублей в месяц. Значит, пока не целесообразно создавать собственный сервер. 

Опубликовано
3 часа назад, Umnik сказал:
Цитата

ЛастПасс сообщил о том, что сорян, файлы пользователей в публичном доступе.

То есть у пользователей этой программы утекли все логины и пароли, что они держали в менеджере?

Опубликовано

Нет. Утекли базы. Зашифрованные. Пароли внутри них. То есть если кто-то использовал мастер-пароль плохой, то сего базу уже расколупали. Но в целом https://habr.com/ru/news/t/707254/

  • Спасибо (+1) 1
Опубликовано
5 часов назад, Umnik сказал:

То есть если кто-то использовал мастер-пароль плохой

Сейчас странные требования к паролю, чтобы его считали хорошим. Даже менеджер паролей от Касперского себе стал противоречить. Сгенерированные год назад сложные пароли сейчас прописывает как средние или нуждающиеся в замене. Хотя делались через их же генератор, что особенно удивляет. 

 

Цитата

В LastPass напомнили, что текущие требования предусматривают использование как минимум двенадцати символов для мастер-паролей.

Если пароли не могли быть проще, маловероятен ущерб от атаки. 

Опубликовано
8 минут назад, Mrak сказал:

Сейчас странные требования к паролю, чтобы его считали хорошим

Да, у каждого ресурса свои требования.
Эти символы можно использовать, а  эти нельзя, длинная не должна превышать N-символов, а в другом уже наоборот длинна не должна быть короче N-символов и т.д.  :o

7 минут назад, Mrak сказал:

Хотя делались через их же генератор, что особенно удивляет

Где-то на форуме обсуждали это и причина тоже была опубликована, нужно искать здесь на форуме  ;)  Получается с тех времен до сих пор не обновили "устаревшие" пароли.

Опубликовано
4 минуты назад, Friend сказал:

Да, у каждого ресурса свои требования.

Когда ресурсы разные, то я понимаю логику. Но если я генерирую в КПМ в 2022 году сложный пароль, то на мой взгляд КПМ не должен в 2023 году говорить: "пароль не сложный, рекомендуется заменить". С первого раза нельзя генерировать сложный будто бы. Да и где гарантии, что заменённый в 2023 году пароль не будет вновь самим КПМ признан нуждающимся в замене в 2024 году.

Опубликовано

В целом этого можно ожидать. Не утверждаю, что причина в этом, но может и оно. В общем, стойкость пароля реально очень трудно оценить. Потому что пароль "z.qW)c`3k'x%" будет значительно менее стойким к перебору, чем пароль "папа у Васи силён в математике, учится папа за Васю весь год. Где это видано, где это слыхано - папа решает, а Вася сдаёт". И, вроде, даже понятно, почему второй пароль реально хорош. Но системы редко могут это правильно оценить, т.к. оценку делают на регулярках. Допустим, прошли по длине и по спецсимволам. А где циферки? Не пойдёт, мы хотим ещё циферки.

 

Это я даже не считаю, что когда-то стойким считалось от 8, потом от 12 (хотя NIST по-прежнему говорит "от 8"). Тут мы уже понимаем, что чем выше мощность, то выше скорость перебора.

 

Сейчас проблемы в другом. Многие сервисы хранят пароли как быстрые хеши, например SHA-2. И не видят в этом проблемы. Из-за этого меньше 20 символов использовать не стоит.

  • Спасибо (+1) 1
Опубликовано

Лучше keepass не нашёл, даже keepassxc не то - нет безопасного рабочего стола для ввода мастерпароля, в keepass он есть, но в последних версиях пришлось менять мастер пароль на кириллицу - ибо так и не пофиксили проблему невозможности сменить раскладку клавы на БРС. Интересно как автоввод сработает если браузер запущен в песочнице?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Как вы думаете, при восстании машин какого представителя «умной» бытовой техники стоит опасаться больше всего? Блендера, чайника, а может быть, робота-пылесоса? Моя ставка — на роботов-газонокосилок, и, готова поспорить, после прочтения этой статьи вы тоже начнете их опасаться. В ней пойдет речь о свежей работе независимого исследователя безопасности Андреаса Макриса, который на момент публикации своего исследования следил за шестью тысячами газонокосилок бренда Yarbo. Более того, при желании он мог получить полный контроль над любым из этих устройств: включать и выключать робота, управлять им на расстоянии, делать снимки встроенной камерой и многое другое. Подробнее о том, как это у него получилось, читайте в нашей статье.
      Что представляют собой роботы-газонокосилки Yarbo
      Называть устройства Yarbo простыми газонокосилками — значит не отдавать им должное. На деле продвинутые роботы Yarbo — это автономные мини-тракторы, которые могут решать массу разнообразных задач. Их можно использовать не только для ухода за газоном, но также для уборки снега и опавших листьев, транспортировки грузов, патрулирования территории и других задач. Для разных видов хозяйственной деятельности производитель предусмотрел целый набор различных насадок.
      Yarbo — модульный робот для ухода за участком. В зависимости от установленной насадки он может работать как газонокосилка, триммер, снегоуборщик, воздуходувка для листьев или маленький грузовик. Источник
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      По мере того как организации начинают использовать нейросети для все более широкого круга задач, они неизбежно сталкиваются с вопросами надежности и стоимости ИИ-инструментов. Возникающие проблемы варьируются от временной недоступности сервисов из-за технических сбоев и полного отключения нужных моделей (как это недавно произошло с Fable 5) до неожиданной блокировки некоторых вариантов использования (прощай, OpenClaw) или гигантского перерасхода отведенного бюджета (как узнал в этом году Uber).
      Чтобы не отказываться от нужных нейросетей, бизнес часто рассматривает переход на сторонние сервисы, обеспечивающие единое «окно доступа» к различным нейросетям. Пользователь прописывает в своем ИИ-агенте или открывает в браузере адрес выданного ему сервера (API-прокси) и начинает получать ответы нейросети, к которой вместо него обратился этот прокси.
      Одни платформы на этом рынке в первую очередь предлагают широкий выбор моделей и удобный учет ресурсов, а также балансировку нагрузки между официальными API. Другие строят свой маркетинг на радикальном снижении стоимости. Они предлагают услуги на десятки процентов, а иногда и в разы дешевле, чем у официальных поставщиков, обещая заодно обход любых лимитов. Разумеется, за скобками остаются серьезнейшие риски, затрагивающие эффективность, надежность и безопасность подобных решений.
      Как работают серые ИИ-прокси
      Согласно недавнему исследованию Oxford China Policy Lab, бизнес-модель дешевых посредников строится на создании ферм аккаунтов. На множестве компьютеров регистрируются учетные записи, доступ к ним подтверждается подделанными или купленными у граждан в бедных странах документами. В подписках могут использовать бесплатный пробный период (или фиксированную сумму «API-кредитов» на пробное использование), а могут и покупать дорогую премиум-подписку за $100–200. Доступ к ней потом автоматически распределяется между несколькими пользователями.
      Экономика таких сервисов часто носит криминальный характер. Сверхнизкие цены объясняются не только максимальным использованием лимитов в аккаунтах, но и кражей учетных данных у добросовестных пользователей, а также массовым использованием краденых банковских карт для оплаты подписок. Сервисы такого рода автоматизированы, и, как только поставщик ИИ-модели блокирует подозрительный аккаунт, отработанная учетная запись заменяется на новую.
      Для пользователей сервисов проблема заключается не только в том, что посредник получает доступ нечестным путем. API-прокси видит полный обмен данными между конечным пользователем и моделью: запросы, цепочка рассуждений, ответы. Более того, прокси может менять любые данные в запросах и ответах. Вот какие риски это создает.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      К сожалению, на обман и фишинговые атаки ведутся не только простодушные люди — оказаться в числе жертв сейчас может буквально кто угодно. Злоумышленники годами оттачивают свои тактики, чтобы обеспечить себе успех, и пользуются сложными психологическими манипуляциями, которые зачастую трудно распознать. Такие манипуляции в мире кибербезопасности даже удостоились отдельного термина — социальная инженерия.
      В этой статье рассказываем, какие психологические уловки используют злоумышленники, чтобы обманывать своих жертв, на какие «красные флаги» стоит обратить внимание и, наконец, что делать, если вы обнаружили, что вас пытаются обмануть.
      На каких эмоциях играют злоумышленники
      Социальная инженерия работает именно потому, что бьет по нашим эмоциям. Когда жертва взволнована, напугана или охвачена азартом, она принимает решения быстро и почти не думает о последствиях. Именно это злоумышленникам и нужно.
      Поэтому в тот момент, когда вы разговариваете или переписываетесь с кем-то, остановитесь на секунду и спросите себя: что именно я чувствую прямо сейчас? А какие ощущения у меня были мгновение назад? Не пытается ли мой собеседник как-то воспользоваться моим эмоциональным состоянием?
      Чаще всего злоумышленники пытаются надавить на следующие эмоции:
      страх, тревога; азарт; стыд, вина; удивление, шок.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Наша команда Kaspersky Global Emergency Response Team и сервис MDR за последний год расследовали множество инцидентов в компаниях самого разного профиля. Выявленные в ходе этой работы техники, тактики и инструменты атакующих легли в основу глобального отчета Анатомия ландшафта киберугроз 2026. Мы выбрали три кейса, три реальные истории о том, как злоумышленники атакуют сегодня, а главное, почему им удается проворачивать такие атаки.
      Кейс № 1. Одна учетная запись — и все данные зашифрованы
      Что произошло
      В одной латиноамериканской компании атакующие получили доступ к SMTP-серверу через компрометацию учетной записи локального администратора. Ничего сложного — просто каким-то образом украли пароль, а дальше — классическая эскалация:
      Злоумышленники, используя утилиту Mimikatz, сделали дамп хешей паролей, а далее, применяя технику Pass-the-Hash, с помощью утилиты Invoke-TheHash получили привилегии пользователей. Затем они использовали еще один инструмент для повышения привилегий через уязвимый драйвер и распространили шифровальщик на конечные устройства корпоративной сети. Почему это произошло
      Большинство компаний до сих пор защищаются, пытаясь отслеживать явные вредоносные действия, а не легитимные действия, производящиеся под легитимными учетными записями. Схема действий злоумышленников хорошо прослеживается по статистике из вышеупомянутого отчета «Анатомия ландшафта киберугроз». Сначала злоумышленники компрометируют учетную запись. Вот статистика по конверсии техник злоумышленников в реальные атаки:
      Password guessing — 34,8%. Valid account abuse — 34,5%. Захватив одну учетку, злоумышленник создает себе запасной аэродром внутри скомпрометированной инфраструктуры:
      Local account creation — 34,7%. Account manipulation — 32,0%. Далее атакующие начинают сканировать сетевые сервисы.
      Network service discovery — 31,2%. Если вы не видите этот трафик или не считаете это инцидентом — вы проигрываете еще до начала активной фазы атаки.
      Кейс № 2. Когда сервер мониторинга становится троянским конем
      Что произошло
      Произошла атака шифровальщика BlackNevas. Как и в предыдущем кейсе, злоумышленники вошли в корпоративную сеть через скомпрометированную учетную запись. Сканируя внутреннюю сеть, атакующие обнаружили сервер PRTG (Paessler Router Traffic Grapher) — решение для мониторинга инфраструктуры. Через него злоумышленники попали в общую сеть, нашли ESXi-серверы и зашифровали виртуальную среду целиком.
      Почему это произошло
      Были допущены две классические ошибки:
      Сервер мониторинга был настроен с избыточными привилегиями, с доступом ко всем активам компании: и физическим, и виртуальным. Была скомпрометирована учетная запись. Кейс № 3. Когда патч выпустили, а вы его не поставили
      Что произошло
      В этом кейсе атакующие применили не обычный шифровальщик, а вайпер, при атаке которого данные уже не восстановить. Злоумышленники использовали уязвимость в сервере SAP NetWeaver для первоначального доступа. Через нее установили веб-шелл на серверах периметра. Затем применили атаку password spraying для получения доступов более привилегированных пользователей.
      Попав в инфраструктуру, через Active Directory и групповые политики злоумышленники распространили в корпоративной сети вредоносное ПО с функциональностью вайпера. Вредоносный объект подгрузили через уязвимости в Microsoft Defender и ПО для работы с электронными книгами. Используемый вайпер полностью зашифровал маленькие файлы с помощью криптостойкого RSA, в файлах среднего размера использовал RSA только для заголовков, для остального применил AES, большие файлы обрезал до 5 Мбайт, остальное занулил. С учетом приведенного алгоритма работы вайпера полное восстановление поврежденных файлов было невозможно.
      Почему это произошло
      View the full article
    • Dzmitry
      Автор Dzmitry
      Описание с магазина
       
      О Внешний аккумулятор с встроенными кабелями
      Зарядное устройство с функцией беспроводной зарядки для смартфона и часов. Увеличенный объем батареи и быстрая зарядка по MagSafe позволят забыть об ограниченности аккумулятора. Кроме того, больше не надо носить с собой моток проводов, ведь кроме беспроводной зарядки устройство имеет встроенные type-c и lightning кабели с еще большей выходной мощностью.
      ∙ Материал: АВS, металл
      ∙ Цвет: чёрный
      ∙ Размер: 115х70х22 мм
      ∙ Ёмкость: 10000 mAh
      ∙ Вход: Type-C
      ∙ Выход: USB, Type-C
      ∙ Встроенные кабели Lightning и Type-C
      ∙ Встроенная подставка для смартфона
      ∙ Индикатор зарядки
      ∙ MagSafe беспроводная зарядка 15 Вт Зарядное устройство 2.5 Вт для Apple Watch QC2.5W + PD20W быстрая зарядка
       
       
      В описании ничего не написано про модель пауэрбанка, даже гугл по картинке не смог найти эту модель.
      По результатам использования:
      Хороший компактный поуэрбанк, который всё время под рукой. Для меня самое главное – поддержка быстрой зарядки. Вес 212г , аналогичный от xiaomi весит 214г
      Из минусов хочу отметить тонкие зарядные провода и невозможность зарядки отдельных моделей смартфонов на подставке (huawei pura 80)
       

       

       

       

       

       

       

       

       

       

       

       

       

       

       

×
×
  • Создать...