Перейти к содержанию

Безопасные настройки Chrome и Firefox для организации | Блог Касперского


Рекомендуемые сообщения

  • 4 часа назад, ska79 сказал:

    Интересно как автоввод сработает если браузер запущен в песочнице?

    Проверил - результат положительный :) 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 41
  • Создана
  • Последний ответ

Топ авторов темы

  • Mrak

    17

  • Umnik

    15

  • Sandor

    3

  • ska79

    3

Классический Кипасс лучше защищён, это однозначно. Но — под Windows. Под Linux лучше KeePassXC. Потому что там Secure Desktop не реализован всё равно. Под Винду я бы тоже классический взял, пожалуй.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...
22 часа назад, Umnik сказал:

Вовремя я его от сети отключил и все свои данные оттуда скинул на обычный винт. 

 

12.03.2023 в 16:00, Umnik сказал:

Но да, ты берёшь на себя обеспечение безопасности. Ставишь любой линукс дистрибутив и периодически обновляешь одной командой.

Тут профессионалы от WD не справляются с обеспечением безопасности, что ж говорить о собственных очумелых ручках. 

Ссылка на комментарий
Поделиться на другие сайты

Тут такая штука. Профессионализм корпораций не стоит преувеличивать. Там работать могут люди с головой, но они не имеют права голоса перед продажниками. Если продажники говорят, что надо сделать фигню и продажи вырастут - сделают фигню, даже не сомневайся.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Umnik сказал:

Если продажники говорят, что надо сделать фигню

Вряд ли продажники просили ослабить безопасность. Взлом данных плохо влияет на продажи.

Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, Mrak сказал:

Вряд ли продажники просили ослабить безопасность.

Прям так наверно и не просили, просили:  сделайте эту настройку проще или скройте, иначе отпугнете клиентов :rolleyes:

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, Friend сказал:

Прям так наверно и не просили, просили:  сделайте эту настройку проще или скройте, иначе отпугнете клиентов :rolleyes:

Там кроме логина и пароля настроек не было касаемо безопасности. По крайней мере на домашнем облаке. 

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Mrak сказал:

настроек не было касаемо безопасности

Ну вот, нет настроек и нет лишних проблем для "продажников" и поддержки ;)

Изменено пользователем Friend
Ссылка на комментарий
Поделиться на другие сайты

6 hours ago, Mrak said:

Вряд ли продажники просили ослабить безопасность.

Они просят удобно. Чтобы ничего не делать - а всё само работает. И даже если это будет ухудшать безопасность и приватность пользователя - наплевать. А если что-то не приносит денег, но само требует денег - откажут. Например, WD не имеет аварийных систем для обслуживания пользовательской инфраструктуры, как мы выяснили. Ведь зачем тратить деньги и время на аварийный сценарий, если можно не тратить и выписать себе премий? А то, что пользователи не смогут использовать устройство - ну да и плевать, в договоре сказано, что мы не несём ответственности ни за что. Хотите гарантированную доступность - платите совсем другие деньги по корпоративным тарифам. Не хотите платить - даже в шутку не будем рассматривать аварийные сценарии.

  • Like (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

16 часов назад, Umnik сказал:

Ведь зачем тратить деньги и время на аварийный сценарий, если можно не тратить и выписать себе премий?

Пишут, что четверо суток облака клиентов недоступны. https://habr.com/ru/news/727296/ 

Вот так надёжность. Интересно, можно ли расковырять моё облако, чтобы сделать из него просто сетевой диск для моего роутера) Но чую тут навыков адвокатских точно не хватит, пусть и далее стоит на продаже. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Генерация программного кода стала одной из сфер, где ИИ уже внедрен достаточно широко, — по некоторым оценкам, за минувший год около 40% нового кода было написано ИИ. CTO Microsoft считает, что через пять лет эта цифра достигнет 95%. Этот код еще предстоит научиться правильно сопровождать и защищать.
      Безопасность ИИ-кода эксперты пока оценивают как невысокую, в нем систематически встречаются все классические программные дефекты: уязвимости (SQL-инъекции, вшитые в код токены и секреты, небезопасная десериализация, XSS), логические дефекты, использование устаревших API, небезопасные алгоритмы шифрования и хеширования, отсутствие обработки ошибок и некорректного пользовательского ввода и многое другое. Но использование ИИ-ассистента в разработке ПО добавляет еще одну неожиданную проблему — галлюцинации. В новом исследовании авторы подробно изучили, как на ИИ-код влияют галлюцинации больших языковых моделей. Оказалось, что некоторых сторонних библиотек, которые ИИ пытается использовать в своем коде, просто не существует в природе.
      Вымышленные зависимости в open source и коммерческих LLM
      Для изучения фантомных библиотек исследователи сгенерировали 576 тысяч фрагментов кода на Python и JavaScript с помощью 16 популярных LLM.
      Модели выдумывали зависимости с разной частотой: реже всего галлюцинировали GPT4 и GPT4 Turbo (вымышленные библиотеки встретились менее чем в 5% образцов кода), у моделей DeepSeek этот показатель уже превышает 15%, а сильнее всего ошибается Code Llama 7B (более 25% фрагментов кода ссылаются на несуществующие библиотеки). При этом параметры генерации, которые снижают вероятность проникновения случайных токенов в выдачу модели (температура, top-p, top-k), все равно не могут снизить частоту галлюцинаций до незначительных величин.
      Код на Python содержал меньше вымышленных зависимостей (16%) по сравнению с кодом на JavaScript (21%). Результат также зависит от того, насколько стара тема разработки. Если при генерации пытаться использовать пакеты, технологии и алгоритмы, ставшие популярными за последний год, несуществующих пакетов становится на 10% больше.
      Самая опасная особенность вымышленных пакетов — их имена не случайны, а нейросети ссылаются на одни и те же библиотеки снова и снова. На втором этапе эксперимента авторы отобрали 500 запросов, которые ранее спровоцировали галлюцинации, и повторили каждый из них 10 раз. Оказалось, что 43% вымышленных пакетов снова возникают при каждой генерации кода.
      Интересна и природа имен вымышленных пакетов. 13% были типичными «опечатками», отличающимися от настоящего имени пакета всего на один символ, 9% имен пакетов были заимствованы из другого языка разработки (код на Python, пакеты из npm), еще 38% были логично названы, но отличались от настоящих пакетов более значительно.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      В официальном магазине Chrome Web Store исследователи кибербезопасности обнаружили 57 подозрительных расширений более чем с 6 000 000 пользователей. Эти плагины привлекли внимание исследователей из-за того, что разрешения, которые они запрашивают, не соответствуют заявленным функциям.
      К тому же эти расширения скрыты от индексирования — они не отображаются в результатах поиска в Chrome Web Store и их не находят поисковые системы. Для установки такого плагина необходимо иметь прямую ссылку на него в магазине Chrome. В нашем посте расскажем подробно, почему расширения могут быть опасным инструментом в руках киберпреступников, в чем состоит угроза непосредственно от недавно обнаруженных подозрительных плагинов и как не стать жертвой их создателей.
      Чем опасны расширения и как удобство ставит под угрозу безопасность
      Мы уже не раз рассказывали о том, почему к установке браузерных расширений не стоит относиться легкомысленно. Плагины для браузеров часто помогают пользователям ускорить рутинные задачи — например, перевод информации на посещаемых сайтах или же проверку грамотности написанного текста. Однако за сэкономленные минуты нередко приходится платить собственной приватностью и безопасностью.
      Дело в том, что для эффективной работы расширениям, как правило, необходимо иметь широкий доступ ко всему, что делает пользователь в браузере. Например, даже «Google Переводчик» для своей работы просит доступ к «Просмотру и изменению данных на всех сайтах» — то есть он может не только наблюдать за всем, что делает пользователь в Интернете, но и изменять любую отображаемую на странице информацию. Например, в случае переводчика, подставлять переведенный текст вместо оригинального. А теперь представьте, что может сделать вредоносное расширение с таким уровнем доступа!
      Проблема еще и в том, что большинство пользователей не особенно задумывается о потенциальной опасности плагинов. Если исполняемых файлов из непроверенных источников многие уже привыкли опасаться, то от браузерных расширений, да к тому же загруженных из официального магазина, обычно никто не ждет подвоха.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Современный человек практически не расстается со своими девайсами. Согласно исследованию, проведенному в США аналитической компанией Reviews.org, за 2024 год среднестатистический пользователь потратил на смартфон примерно 2,5 месяца жизни. Это колоссальная цифра, показывающая, насколько глубоко мобильные устройства интегрировались в нашу повседневную жизнь.
      Цифровой детокс — это модное название простого отдыха от экранов и уведомлений, который пойдет на пользу всем, у кого есть смартфон или ноутбук. Согласно обзору десяти исследований, проведенных с 2013 по 2023 год, цифровой детокс способствует улучшению качества сна, удовлетворенности жизнью и субъективного благополучия, а также помогает уменьшить тревогу, стресс, депрессию и зависимость от телефона. К тому же регулярная цифровая разгрузка помогает восстановить способность мозга к длительной концентрации внимания и глубокой обработке информации.
      Однако полное отключение от Сети несет в себе риски для вашей цифровой жизни. Сегодня мы разберемся, как дать голове отдохнуть, сохранив при этом контроль над аккаунтами, устройствами, данными и даже умным домом.
      Что может случиться во время цифрового детокса?
      Всего предусмотреть невозможно, но «постелить соломку» для минимизации последствий некоторых рисков вам вполне по силам. Что это за риски?
      Кража аккаунтов — как обычных, так и экосистемных, вроде аккаунтов «Яндекса», «ВКонтакте», Google, Apple, Samsung, Xiaomi и так далее — через подбор паролей или подмену SIM-карт (SIM Swapping). Несанкционированные подписки и списания средств. Утечка личных данных из-за сливов паролей или отсутствия двухфакторной аутентификации. Угон аккаунтов в мессенджерах и соцсетях. Использование ваших устройств и аккаунтов для рассылки спама. Утеря или кража ваших гаджетов. Бытовые проблемы — взлом квартиры в длительное отсутствие, затопление, утечка газа или пожар.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      При знакомстве с рейтингом CVSS (Common Vulnerability Scoring System) многим кажется, что он прекрасно подходит для сортировки уязвимостей и их приоритизации: если больше цифра рейтинга, значит уязвимость важнее. На практике этот подход не срабатывает. Уязвимостей с высоким рейтингом каждый год становится все больше, закрывать их все команды ИБ не успевают, при этом львиная доля этих дефектов никогда не эксплуатируется в реальных атаках. В то же время злоумышленники то и дело используют менее броские уязвимости с невысоким рейтингом. Есть и другие подводные камни — от чисто технических (конфликтующие оценки CVSS) до концептуальных (отсутствие бизнес-контекста).
      Считать это недостатками самого рейтинга CVSS нельзя, нужно просто применять этот инструмент правильно: в рамках более сложного и комплексного процесса управления уязвимостями.
      Разночтения CVSS
      Иногда одна и та же уязвимость получает разную оценку критичности в доступных источниках: у исследователя ИБ, который ее нашел; у производителя уязвимого ПО; в национальном реестре уязвимостей. Кроме банальных ошибок у этих разночтений может быть и более серьезная причина — разные эксперты могут расходиться в оценках контекста эксплуатации: например, о том, с какими привилегиями выполняется уязвимое приложение, доступно ли оно из Интернета, и так далее. Производитель может ориентироваться здесь на свои рекомендации лучших практик, а исследователь ИБ — на то, как приложения настроены в реальных организациях. Один исследователь может оценить сложность эксплуатации как высокую, а другой — как низкую. Все это далеко не редкость. В исследовании VulnCheck, проведенном в 2023 году, подсчитали, что 20% уязвимостей из NVD содержат два рейтинга CVSS3 из разных источников и 56% этих парных оценок конфликтуют между собой.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Мошенники постоянно что-нибудь «раздают»: то бесплатные подписки в Telegram, то криптовалюту, то NFT-кроссовки. В новой схеме все по-простому: «раздают» сразу деньги — точнее, делятся способом, как их якобы законно можно получить.
      Жулики с помощью ИИ создали двухминутный ролик, где «журналИИсты» и одна знаменитость рассказывают байки: «Каждый человек может получить компенсацию, для этого нужно всего лишь…». Читайте эту историю, чтобы узнать, что просят сделать жертв и как теперь мошенники завлекают людей в свои схемы.
      Как действуют мошенники
      В рамках этой кампании были разработаны фишинговые сайты, на которых как раз и размещалось видео. Вы не сможете найти его на YouTube или других видеохостингах (извините, но ради вашей безопасности мы тоже им не поделимся), потому что там подобный ИИ-контент довольно-таки быстро удаляют. С подконтрольными злоумышленникам сайтами все сложнее, особенно когда ссылки на них рассылают в почте и мессенджерах.
      Теперь о самом интересном: о видео. Выглядит оно как свежий выпуск бразильских новостей, но с одним нюансом. Новости — фейковые, они «сняты» без согласия журналистов. Мошенники в качестве фактуры использовали настоящий выпуск новостей, на который наложили закадровую озвучку, сделанную с помощью ИИ, а также синхронизировали движения губ с новым текстом. Итак, ИИ-клоны реальных журналистов рассуждают о «нарушениях», допущенных одним из популярнейших банков страны.
      «Банковские балансы клиентов уменьшаются без всякой причины или даже полностью обнуляются». «Несправедливо блокируются счета». «Процентные ставки по кредитам завышаются». Часть фейковой статьи, созданной ИИ для этой схемы
       
      View the full article

×
×
  • Создать...