Самая большая проблема паролей -- программисты, которые решают понаставить фильтров, чтоб пользователь ни в коем случае не поставил пароль, который ему хочется. Вариантов миллион: от странных "пароль не должен превышать 20 символов" до смешных, когда требуется, чтоб в пароле "не было рядом стоящих повторяющихся цифр" и "должны быть следующие спецсимволы: !_+=-*?" (остальные спецсимволы таковыми не считаются".
Зачем -- непонятно. Мало того, что это уменьшает секьюрность паролей (из перебора можно исключить не подходящие комбинации), так это еще и не дает пользоваться общим для всех сайтов алгоритмом генерации паролей и приходится для этого случая придумывать что-то, что потом ни за что не вспомнишь (ведь у тебя есть алгоритм, ты знаешь, что здесь пароль должен быть такой, но он не подходит). А взламывают в итоге все равно не подбором пароля а через утечку хешей или кражу токена авторизации.
Единственное, что кажется сейчас одновременно и удобным, и достаточно безопасным -- это селф-хостинг опен-сорс менеджеров паролей. Что-то типа vaultwarden.
Из плюшек -- шифрование, синхронизация паролей везде, автозаполнение, ТОТР, генератор паролей любой зашкварности, проверка на утечки\рекомендации по замене. Можно вообще не знать ни одного пароля кроме мастер-пароля от волтвардена. Доступность опять же, если веб-морду включить. И при этом пароли хранятся не у "дяди", а у себя на сервере, который будут ломать только при таргетировании конкретно вас. А большинство вряд ли настолько интересно злоумышленникам, что они будут тратить время на взлом.
Помню, какой-то банк не считал спецсимволом то ли "+", то ли "!". В итоге если в пароле только один этот спецсимвол, то пароль считался недостаточно секьюрным.
А будет ли возможность в будущем разворачивать свои сервера амнезии на своих серверах? На гитхабе я не нашел у вас репозитория с серверной частью. Только клиенты у вас открыты?
И второй вопрос: когда будет xray, можно ли использовать сторонние xray-клиенты для подключения к вашим серверам? Или только официальный?
Дело в том, что это не тонкости, а принципиальный момент. Если вам нужна кнопка, чтоб открывать заблокированные сайты -- пользуйтесь "известными ВПН-расширениями" (которые не ВПН, конечно).
Но помните, что безопасность практически всегда обратно пропорциональна удобству.
Для всех, кто пользуется Docker в повседневной жизни и оркестрирует его через Portainer, я бы посоветовал поставить portainer agent и задеплоить панель оттуда. Дополнительно можно поставить Watchtower и панелька всегда будет самой последней версии.
А не подскажете что это за VPS провайдер и где сервер арендован?) Меня немного удручает скорость 100 Мбпс... Выбирал по пингу через файбергласс, но, кажется, это было неправильно.
Вот кстати интересно: у меня нет проблем по quic обращаться к cloudflare, adguard-dns, nextdns и puredns (это что тестировал). Блокировку протокола сняли?
Я только недавно со стаком Nextcloud разобрался, сделал отдельно контейнер с СУБД, контейнер с редисом для кеширования и контейнер с cron для фоновых задач. Ну плюс еще контейнер с collabora-сервером. А в примерах ocis для docker-compose вижу кроме самого ocis только всякую обвязку типа реверс-прокси, identity provider-ов всяких.. Неужели и правда ему не нужно ничего из того, что обычно в стаке с Nextcloud ставят? Или надо искать исчерпывающий стак где-то на стороне?
Но, как я понял из этой ветки, это не полностью независимое self-hosted облако? Если они в какой-то момент закроют свои сервера обнаружения, то только в локальной сети можно будет синхронизироваться?
Медиум "в стране, где над ссылками на соцсети не ставят звёзды" тоже только через VPN.
winget install peazipТам уже 9.8 качается. В aur уже тоже есть 9.8 под Qt.
Самая большая проблема паролей -- программисты, которые решают понаставить фильтров, чтоб пользователь ни в коем случае не поставил пароль, который ему хочется. Вариантов миллион: от странных "пароль не должен превышать 20 символов" до смешных, когда требуется, чтоб в пароле "не было рядом стоящих повторяющихся цифр" и "должны быть следующие спецсимволы: !_+=-*?" (остальные спецсимволы таковыми не считаются".
Зачем -- непонятно. Мало того, что это уменьшает секьюрность паролей (из перебора можно исключить не подходящие комбинации), так это еще и не дает пользоваться общим для всех сайтов алгоритмом генерации паролей и приходится для этого случая придумывать что-то, что потом ни за что не вспомнишь (ведь у тебя есть алгоритм, ты знаешь, что здесь пароль должен быть такой, но он не подходит). А взламывают в итоге все равно не подбором пароля а через утечку хешей или кражу токена авторизации.
Существует довольно известный проект WLED. Не знаю есть ли интеграция с яндексом, но с Home Assistant точно есть.
Единственное, что кажется сейчас одновременно и удобным, и достаточно безопасным -- это селф-хостинг опен-сорс менеджеров паролей. Что-то типа vaultwarden.
Из плюшек -- шифрование, синхронизация паролей везде, автозаполнение, ТОТР, генератор паролей любой зашкварности, проверка на утечки\рекомендации по замене. Можно вообще не знать ни одного пароля кроме мастер-пароля от волтвардена. Доступность опять же, если веб-морду включить. И при этом пароли хранятся не у "дяди", а у себя на сервере, который будут ломать только при таргетировании конкретно вас. А большинство вряд ли настолько интересно злоумышленникам, что они будут тратить время на взлом.
Помню, какой-то банк не считал спецсимволом то ли "+", то ли "!". В итоге если в пароле только один этот спецсимвол, то пароль считался недостаточно секьюрным.
Большое спасибо за ответ!
А будет ли возможность в будущем разворачивать свои сервера амнезии на своих серверах? На гитхабе я не нашел у вас репозитория с серверной частью. Только клиенты у вас открыты?
И второй вопрос: когда будет xray, можно ли использовать сторонние xray-клиенты для подключения к вашим серверам? Или только официальный?
Дело в том, что это не тонкости, а принципиальный момент.
Если вам нужна кнопка, чтоб открывать заблокированные сайты -- пользуйтесь "известными ВПН-расширениями" (которые не ВПН, конечно).
Но помните, что безопасность практически всегда обратно пропорциональна удобству.
Когда на сервере крутятся 60 контейнеров, руками не наобновляешь) Это ежедневно 4-11 контейнеров надо пересоздавать.
Для всех, кто пользуется Docker в повседневной жизни и оркестрирует его через Portainer, я бы посоветовал поставить portainer agent и задеплоить панель оттуда. Дополнительно можно поставить Watchtower и панелька всегда будет самой последней версии.
Бедный Pikabu, не досчитался такого поста.
А не подскажете что это за VPS провайдер и где сервер арендован?) Меня немного удручает скорость 100 Мбпс... Выбирал по пингу через файбергласс, но, кажется, это было неправильно.
Вот кстати интересно: у меня нет проблем по quic обращаться к cloudflare, adguard-dns, nextdns и puredns (это что тестировал). Блокировку протокола сняли?
В новых версиях Nekobox костыль уже не работает) Но работает domain:ru
PS: Большое спасибо за серию статей!
Я только недавно со стаком Nextcloud разобрался, сделал отдельно контейнер с СУБД, контейнер с редисом для кеширования и контейнер с cron для фоновых задач. Ну плюс еще контейнер с collabora-сервером. А в примерах ocis для docker-compose вижу кроме самого ocis только всякую обвязку типа реверс-прокси, identity provider-ов всяких.. Неужели и правда ему не нужно ничего из того, что обычно в стаке с Nextcloud ставят? Или надо искать исчерпывающий стак где-то на стороне?
В NC 2fa есть, добавляется плагином (приложением) Two-Factor TOTP Provider.
Что-то даже не гуглится что это.
В плане как такое оформить
Жаль, что при регистрации просит данные карты внести, а из России это сделать не получается.
Но, как я понял из этой ветки, это не полностью независимое self-hosted облако? Если они в какой-то момент закроют свои сервера обнаружения, то только в локальной сети можно будет синхронизироваться?