Перейти к содержанию

Почему Касперский не любит АйТишников


Рекомендуемые сообщения

7 hours ago, Mrak said:

ут же принципиален вопрос доверия: если пароли утекут

Откуда? КиПасс не имеет своего механизма синхронизации вообще. Всё, что он делает — создаёт файл с паролями. А ты его сам синхронизируешь как хочешь. Раньше я использовал Гугл Драйв для этого, а потом перешёл на Syncthing.

7 hours ago, Mrak said:

Тут же принципиален вопрос доверия: если пароли утекут, то кто будет за это отвечать? Кто понесёт репутационные издержки в таком случае?

Но ведь ЛК не будет отвечать ни за какие проблемы.

13 minutes ago, Umnik said:

Но ведь ЛК не будет отвечать ни за какие проблемы.

Дабы не было недопониманий. Это не какая-то особенность ЛК. Это вообще про абсолютно всех производителей ПО на планете.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 46
  • Created
  • Последний ответ

Top Posters In This Topic

Popular Posts

Наша стратегия - что каждый имеет право на безопасность. И для этого мы успеваем создавать функции для всех - и простые, и специальные айтишные. Тот же быстрый поиск и подстановка паролей по хоткею. Х

Ой-ёй, эге-гей! Похоже, что ваши дискуссии чуть вышли немного за рамки темы, заранее обозначенной.   А тем временем был я в Ханты-Мансийске, где была встреча и выступление в местном Уни

Ну как, случился удар? https://donjon.ledger.com/kaspersky-password-manager/ Краткая суть: менеджер паролей использовал не безопасный генератор, а значит все пароли, сгенерированные разными польз

Posted Images

36 минут назад, Umnik сказал:

Но ведь ЛК не будет отвечать ни за какие проблемы.

36 минут назад, Umnik сказал:

Не будет, но удар по репутации окажется существенным (мол обещали сберечь пароли, но не справились). Если же левая контора пообещала и не сделала - тут же аналогичную откроют с не менее красивыми вывесками и обещаниями абсолютной надежности. 

 

37 минут назад, Umnik сказал:

Всё, что он делает — создаёт файл с паролями.

Применительно к программам я не специалист, поэтому я не знаю, что делает и что может делать какая-то программа. Приходится исходить из того, кто её разработал и отвечает за неё. Перепроверить не могу. 

 

Тут также как с конфиденциальным общением. Ты раньше писал, что лучше всего из общедоступных в этом плане платная threema. При этом обещания конфиденциальность хранить у всех одинаковые (телеграмм, вотсап, вибер, трема, сигнал и что угодно ещё). Технически проверить обоснованность обещаний лично я не могу. Только верить на слово (тебе или другим экспертам). Но существует вполне обоснованное поле для скепсиса - если программа не заблокирована в РФ, значит несмотря на все заверения её разработчиков, они сливают необходимые данные под предлогом или в целях борьбы с преступностью. 

Ссылка на сообщение
Поделиться на другие сайты
Наша стратегия - что каждый имеет право на безопасность. И для этого мы успеваем создавать функции для всех - и простые, и специальные айтишные. Тот же быстрый поиск и подстановка паролей по хоткею. Хоткеи в настройках – скажете не по-айтишниковски? Но нам важно и то, чтобы все считывали команды интерфейса однозначно, а вот тут приходится делать скидку на простых пользователей. Хорошим примером как раз является то, что вместо простого «Добавить в исключения» мы просим подтвердить операцию на следующем шаге. Это сделано для того, чтобы невнимательный пользователь не оступился. Поэтому вынужденно перестраховываемся.

Поддержка работы с IP в KPM есть, при разборе ситуации в личном общении, нашли ошибку. Баг заведен, поправим в ближайшем релизе.

По предупреждениям о заходе на ресурс с недоверенными сертификатами - это не баг, это фича, и касается не только поведения нашего продукта, но индустриальных стандартов безопасности. Кстати, аналогичное поведение в браузерах с проверкой сертификатов и предупреждениями. Поэтому тут стоит использовать практику добавления рутового сертификата в системное хранилище Trusted Root сертификатов.

А вот регулярных предупреждений при работе с ресурсом и тем более отключения интернета быть не должно – здесь нужно разбираться с конкретным воспроизведением проблемы и собирать артефакты для анализа. Поэтому нам никак не обойтись без вашей помощи в сборе данных.

Команда B2C продуктов
Ссылка на сообщение
Поделиться на другие сайты
49 минут назад, Dmitry Turmyshev сказал:

А вот регулярных предупреждений при работе с ресурсом и тем более отключения интернета быть не должно – здесь нужно разбираться с конкретным воспроизведением проблемы и собирать артефакты для анализа.

Здесь очень просто, возникает уведомление с выбором действия с проблемным сертификатом, ничего не делаем в течение 20-30 минут и интернета нет, так как антивирус блокирует всю сетевую активность.

 

KPM очень медленно развивается.  Странно что до сих пор не реализовали возможность импорта с популярных конкурентов (импорт возможен только с каких-то древних версий не популярных конкурентов), как возможность сделать экспорт в csv файл, создание автоматической резервной копии на компьютере при внесение каких-либо изменений в базу и т.д.. Многие пожелания есть на community и на портале бета-теста, но их либо не читают, либо откладывают в долгий ящик.

 

  

1 час назад, Mrak сказал:

Не будет, но удар по репутации окажется существенным (мол обещали сберечь пароли, но не справились). Если же левая контора пообещала и не сделала - тут же аналогичную откроют с не менее красивыми вывесками и обещаниями абсолютной надежности. 

Абсолютную надежность вам никто не сможет пообещать, может вы сами передали все данные злоумышленникам или сами установили вирусы и т.д, доказать обратное будет очень сложно.

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Friend сказал:

Абсолютную надежность вам никто не сможет пообещать, может вы сами передали все данные злоумышленникам или сами установили вирусы и т.д, доказать обратное будет очень сложно.

Если из моего КПМ утекут данные, то скорее всего это затронет не только меня, а тысячи других пользователей. И тут уже логика: "сам дурак" не пройдёт. А насчёт абсолютной надежности: я ещё не слышал, чтобы двухфакторную аутентификацию успешно обходили на разных сервисах одновременно. Так что критичные данные при краже сложного пароля все же останутся защищёнными. 

Ссылка на сообщение
Поделиться на другие сайты

Ой-ёй, эге-гей!

Похоже, что ваши дискуссии чуть вышли немного за рамки темы, заранее обозначенной.

 

А тем временем был я в Ханты-Мансийске, где была встреча и выступление в местном Университете, где всё про цифровую безопасность и кибер-иммунинет рассказал.

 

А также всех привлёк на фанклуб, о чём им надо будет непременно напомнить.

 

А как иначе?

Ссылка на сообщение
Поделиться на другие сайты

Всем спасибо за комментарии. Поясню, что я поднял тему больше со стороны маркетинга. Сейчас все продвигают продукты через лидеров мнений. Например, 1с Битрикс делает продукт удобный для разработчиков да еще и платит 50% от продаваемых лицензий. В итоге, все студии советуют делать сайты на 1с Битрикс, хотя для клиента есть решения более удобные и более дешевые как в разработке, так и во владении. 

 

Я не сисадмин и KTS приобреталось не для корпоративного сегмента. А для домашнего использования. Но так как я участвую в разработке сайтов, то часто захожу на собственные ресурсы по IP и/или с самоподписным сертификатом. Я уже ранжировал все браузеры по тому, насколько удобно добавлять исключения. Кстати, удобнее всего в этом Яндекс. У Яндекса, кстати, есть внутренний Pass Manager с шифрованием по ключу. 

 

Так как занимаюсь сайтами, друзья считают меня экспертом в IT и спрашивают какой антивирус лучше поставить и какой браузер. Я естественно, советую те, с которыми сам работаю (так как  мне с ними удобно). А именно такие, где удобно добавлять исключения. И где IP трактуется как полноценный домен. 

 

Еще раз подчеркну. Сейчас не о продукте. А том, что если он неудобен для лидеров мнений, то это очень сильно подрывает его распространение. Прерывается цепочка "сетевого маркетинга". 

 

Выше писали про то что KAV обрывает доступ к Интернет Банкингу даже не сообщая об этом. Это тоже пример, когда нужны исключения. 

 

Видимо надо заново продумать обработку исключений. Чтобы было удобно добавлять. Если есть опасения что люди будут по ошибке туда кидать опасные ресурсы и не знать как удалить, можно раз в месяц выводить список исключений для ревизии. И т.п. 

Ссылка на сообщение
Поделиться на другие сайты
15.06.2021 в 21:30, Friend сказал:

В нашем окружении повторить не получается – здесь так же нужно разбираться с конкретным воспроизведением проблемы и собирать артефакты для анализа со свежей версией продукта.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
On 15.06.2021 at 19:44, Mrak said:

Не будет, но удар по репутации окажется существенным

Ну как, случился удар? https://donjon.ledger.com/kaspersky-password-manager/

Краткая суть: менеджер паролей использовал не безопасный генератор, а значит все пароли, сгенерированные разными пользователями, но с одинаковыми условиями и в одно и тоже время — одинаковые. То есть если мы с тобой в одно время скажем "сделай пароль на 8 вот таких символов", мы получим одинаковые пароли.

 

Таким образом, зная/предполагая длину пароля и символы, можно его сбрутфорсить здесь и сейчас. То есть ВСЕ СУЩЕСТВУЮЩИЕ пароли, созданные в программе до исправления, скомпрометированы. Все пароли нужно пересоздать в последней версии программы и на всех сайтах и во всех программах сменить эти пароли.

 

В KeePass же этой проблемы не могло быть вовсе, т.к. исходный код открыт и настолько провальную реализацию просто не пропустили бы.

Ссылка на сообщение
Поделиться на другие сайты
44 минуты назад, Umnik сказал:

Краткая суть: менеджер паролей использовал не безопасный генератор,

В этот момент я пожалел, что у меня лицензий на КПМ приобретено на 4 года вперёд. Жаль, что эта новость за вчерашний день, а не всплыла ДО покупки мною лицензий. 

 

Я так понимаю, сам КПМ мне не подскажет, какие пароли он сгенерировал не случайным образом и нуждаются в замене?

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Mrak сказал:

В этот момент я пожалел, что у меня лицензий на КПМ приобретено на 4 года вперёд.

Они уже исправили уязвимость: https://support.kaspersky.ru/general/vulnerability.aspx?el=12430#270421, просто поменяйте все пароли на новые.

Сейчас другие проблемы с расширением в браузере Firefox 89.0.2:
KPM.thumb.png.53fb1dda77567562cabc51b6a4cb6408.png

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Friend сказал:

просто поменяйте все пароли на новые.

Это ни разу не просто! Сменить 200 (!!!) паролей. Это как минимум зайти на 200 разных ресурсов (эпл, наш форум, почта, банки и т.п. - думаю очевидно, что каждый ресурс разный). 

 

Допустим, на замену пароля уйдет 1 минута (что вряд ли, ведь надо много щелкать, генерировать новый пароль и т.п.). При таком раскладе я должен вычеркнуть более трёх часов из своей жизни лишь потому, что кто-то там допустил ошибку? 

 

Мне принципиально знать какой конкретный пароль надо сменить, чтобы я не тратил своё время. Если КПМ вынудит меня более трех часов менять пароли, то я лучше обойдусь без этой платной программы. 

 

Можно ли лицензии, добавленные в личный кабинет и присоединенные, отсоединить и кому-то подарить? Я выберу кого не жалко или сразу предупрежу, что есть такие риски. 

Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, Mrak сказал:

Можно ли лицензии, добавленные в личный кабинет и присоединенные, отсоединить и кому-то подарить?

Можно через службу технической поддержки открепить лицензии.

11 минут назад, Mrak сказал:

Я выберу кого не жалко или сразу предупрежу, что есть такие риски. 

У любой программы могут быть ошибки, это всегда указывается в Лицензионном соглашение ПО, которое вы принимаете перед использованием ;)

11 минут назад, Mrak сказал:

Сменить 200 (!!!) паролей.

Я обычно меняю все пароли раз в год и удаляю со списка ресурсы, которые уже закрылись :) Шансы что используют эту уязвимость против вас очень минимальны и равны ~ 0,001 %, к этому времени все необходимые пароли вы уже успеете поменять на новые.  :)

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты

@Mrak

1 час назад, Umnik сказал:

То есть если мы с тобой в одно время скажем "сделай пароль на 8 вот таких символов", мы получим одинаковые пароли.

 понадобится знать точное время создания пароля или учётной записи, если я правильно понял. Следовательно менять пароли нужно в первую очередь на тех сайтах которые предоставляют подобные данные (дата и время создания аккаунта) в публичный доступ.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...