Pull to refresh

Comments 62

Запрещают вставлять пароли из буфера обмена программисты — братья тех сисадминов, что запрещают протокол ICMP. «Нас не смогут пинговать — значит и не взломают»…
братья тех сисадминов, что запрещают протокол ICMP. «Нас не смогут пинговать — значит и не взломают»…

Вообще-то ICMP это не только ping, но и куча других типов сообщений. Поэтому есть два подхода: аккуратно выключить все ненужные типы, а на оставшиеся повесить рейт. Либо вообще выключить ICMP.

Мысль не про уязвимость самого ICMP, а про то что его закрытие "якобы" панацея от взлома.

Это самый простой и малозатратный способ борьбы с атаками ICMP-flood.
UFO just landed and posted this here
Во-первых, отключение ICMP усложняет анализ атаки. При выключенном атака производится вслепую и непонятно, имеет она эффект или нет — если на стороне жертвы стоит железный файрволл, он все запросы отщелкает как семечки. При включенном сразу видно: «Ага, время ответа увеличивается, пакеты теряются, значит все делаем правильно» или «Нифига, тут у меня ресурсов не хватит, чтоб задавить».

Во-вторых, при отключенном ICMP сервер не тратит ресурсы на формирование ответа. Само по себе это не панацея, но в комплексе с другими мерами безопасности может сыграть роль.

В-третьих, позволяет избежать случайных атак, когда китаец просто пингует все адреса по очереди и с теми, которые ответили, уже начинает разбираться детальнее.

Может его отключение и не самый кошерный ход, но зато простой, быстрый и не требует от сисадмина серьезных навыков. Потому имеет право на жизнь.
Может его отключение и не самый кошерный ход, но зато простой, быстрый и не требует от сисадмина серьезных навыков.
Простой быстрый способ доставить людям кучу гемора, да.

Потому имеет право на жизнь.
Дык людче провод из розетки выдернуть и всё — куда как надёжнее. На выключенный компьютер ни одна DDOS-атака не действует!
К сожалению это также самый простой и малозатратный способ сделать ваш сайт недоступным для части пользователей, так как перестаёт работать PMTUD.
Ладно пароли, объясните мне зачем в формах регистрации иногда просят email продублировать? Это ведь тупое копироавние из поля выше в поле ниже… Какой в этом смысл?
Ну с буфером обмена на сайтах вообще грустно. Даже тут нельзя комментарий написать где-то и вставить. Пока не наберёшь хоть символ — отправить невозможно. А на некоторых, особо продвинутых (вроде госуслуг, например) есть поля в которые в принципе невозможно что-то вставить. Нужно вставить длинны номер определённой длинны? Хрен тебе, набирай вручную.
Кое где, кстати, словил непонятный баг, из-за которого ввести пароль не могу в принципе. Скопировать можно, а ввести нет. Уже и по кодам символов проверял — так ничего и не понял.
А по ГосУслугам по поему скромному мнению и опыту работы складывается впечатление, что они просто коллекционируют антипаттерны UX. Вдогонку к паролям: формы с обязательными полями, которые обязательными не должны и не могут быть, и которые приходится забивать либо нулями либо lorem ipsum, чтобы тебя пропустило дальше.
О дааа! Как раз сейчас имею дело с одной такой формой из десятка полей, которая ВСЯ (кроме 2х, вроде) заполняется именно так. Ну и логика работы — это отдельная песня. Когда для получения документа есть на выбор 2 пункта: получить услугу в электронном виде и лично. Так вот прийти за ним в организацию — это получить услугу в электронном виде. А что значит лично — хз, поскольку я просто не могу там выбрать нужную организацию.
Подскажите что за услуга требует десять полей и не дает вставлять.
Лучше ссылкой.
С полем — моя ошибка. Поле было на сайте гибдд при печати квитанции. Которая оказалась не на тот счёт, но это другая история.
А услуга — получение прав. По факту там нужно заполнить только адрес (почему адрес!? почему с точностью до квартиры? почему нельзя выбрать из списка инспекцию?) инспекции, где собираешься получать права. При этом ещё, внезапно, становится обязательным номер телефона, который для гу не обязателен. Причём половину полей я заполнить даже не могу, поскольку документы эти уже находятся в гибдд и номеров их у меня просто нет.
Так что вся форма забивается просто мусором, подходящим по формату. Формат подбирается опытным путём по сообщениям об ошибке. Очень удобно, если вам нечем заняться…
Ещё забавно, что далеко не все из заполненных данных доходят до ведомства. Например, при взаимодействии с ЛРО они сканов документов не получают от портала госуслуг по их словам.
А что такое ЛРО?
Вообще есть некоторая вероятность, что сканы там просто не хранятся. С другой стороны то, что эта система вообще как-то работает вызывает уважение. Имею некоторое представление о том, как происходит взаимодействие разных систем у нас…
Лицензионно-разрешительный отдел Росгвардии, ведают учётом и контролем оборота гражданского оружия.
В моём случае для получения разрешения на ношение и хранение (да и лицензии на приобретение так же) в форму подачи заявления я загрузил все требуемые сканы справок и документов, а на следующий день меня пригласили в ЛРО для предъявления тех документов, чтобы в ЛРО сняли с них копии. Когда я пришёл, спросил сотрудника, зачем это делать, если сканы есть в госуслугах, на что мне показали распечатку моего заявления в котором ни о каких сканах нету и упоминаний, притом в истории поданных заявлений в госуслугах файлы есть и доступны для скачивания по сей день.
Занятно. Вообще обычно если есть приложенные доки — то в заявлении есть галочки, что есть приложения такие-то, по которым можно заметить потерю. Тут, возможно недоработка формата передачи или просто баг.
обычно это значит:
— в электронном виде: ты заполняешь на сайте все формы и приходишь только для получения уже готового документа (ну или приходишь, показываешь оригиналы документа, тебя фотографируют/ты отдаешь фотографию и тебе сразу или через пару часов отдают готовый документ)
— лично: ты идешь в организацию, там заполняешь в бумажном виде/через оператора все документы, потом через n дней приходишь за результатом…

Я так паспорт получал с женой — она — лично — сдала паспорт и ксерокопии всех документов в МФЦ, потом через 2 недели она пришла за новым паспортом.
Я в электронном виде заполнил все формочки, мне назначили время приема, я пришел, сдал фото, показал оригиналы документов и через два часа уже получил новый паспорт со всеми отметками…
Хм. Спасибо за разъяснение. Правда тогда тем более странно.
Поскольку доки уже там, а выбрать вариант «лично» кое-где просто невозможно. Т.е. можно, но дальше выбрать место нельзя. Собственно что меня постоянно ставило в тупик, пока тп не пояснила, что этот вариант просто не работает.
Фиг с ним, с UX-ом, у них бизнес-логика не работает порой (заявление из черновиков подаётся с вероятностью 50%). На 3 моих заявки динамили отписками 30 дней — потом сказали: «а мы логи больше 30 дней не храним, так что помочь ничем не можем»

Можно тут вставить. Тут всё не на символах, а на обработчике нажатия клавиши работает (keypress, -down, -up). А на госуслугах просто используются очень хреновые jq формочки, да ещё вроде как своего производства.

Попробовал. Да, кнопками можно, а мышой — нет.
На гу всё хреновое imho.
Речь не про пароли, а про поля ввода в целом. Хотя на гу очень много всего, возможно и пароли где-нибудь есть.
Это чтобы пользователь еще раз посмортел на эмайл и, может быть, заметил опечатку. Хотя глупость конечно же. Такая же как спрашивать ФИО при регистрации.
Пусть будет. Это для тех пользователей, что не знают про буфер обмена вообще. Чтоб mashenka1987@mail.ru точно набирали, без ошибок.
хехе, спросите ещё, зачем в WinXP при подключении к wi-fi пароль два раза надо вводить
«здесь так принято»
О! Это одна из тех тем, которая меня реально задевает за живое! Пусть горят в аду те, кто заставляет меня руками перебивать из keypass пароль длиной в 24 символа со спецсимволами для их сайтика, которым я пользуюсь от силы два-три раза в год. С некоторых пор ввёл в привычку просто разворачиваться и уходить с таких сайтов, какими бы они полезными не были. Потому даже примеров таких сайтов не вспомню, в отличие от имени того человека, которого имя упоминать запрещали за сожжение библиотеки.
За сожжение храма Артемиды. А библиотека погорела благодаря Юлию Цезарю — его упоминать можно:)
Я обычно меняю аттрибуты (id) элемента через дев-консоль и пастю пароль.

Если инпут брался через getElementById ссылка на него после изменения id не изменится. Ну это так, возвращаясь к реальности.

Мой первый опыт с блокировкой вставки из буфера обмена был с серийниками. Могу ошибаться, но вроде даже у Адобе. Мол, код написан на этикетке и его прийдётеся по-любому печатать по символу, если пользователь его вставляет из буфера, значит копирует из кейгена. Может быть оттуда и пошло?
Блокировка вставки паролей это ещё полбеды! Есть сайты, типа Альфаклика и Godaddy, у которых после вставки пароля из менеджера и при попытке сабмита формы он ОЧИЩАЕТСЯ! А если перейти в поле пароля, набрать и удалить один символ, то форма нормально сабмитится.
Желаю им всем гореть в аду всем!
П.С.: Жаль, что ада нет :(
Это похоже какой-то популярный компонент. Так же было у тинькова (пофиксили) у Открытие Брокера и еще в куче мест, в которые я не так часто хожу чтобы помнить. Уже рефлекс — увидел, что имя пользователя вставилось, а кнопка Ок не активна — выделить поле, пробел бэкспейс ctrl-enter
Насколько я понял, это у них в целях борьбы с автозаполнением из браузера. Чтобы посторонний подошедший к компу не смог войти в банк с автосохраненным паролем
> Оправдание 3: «Пароль останется в буфере обмена»
Вообще ни о чём. Запрещают же вставлять, а не копировать в буфер обмена.
UFO just landed and posted this here
Я имел ввиду, что если я копирую откуда то пароль для вставки в поле password, то он останется в буфере в любом случае смогу я его вставить или не смогу.
Более того. Keepassx, например, даже чистит буфер после вставки

Согласен на 100% со статьёй. Ужасно бесит, и доходило даже до того, что писал скрипты для GreaseMonkey включающие вставку в поля

Имхо каждый сайт если хочет как то считывать нажатия служебных клавиш типа ктрл, или же хочет подменить действие правой кнопки, должен запрашивать у пользователя разрешение на это как сейчас делают с геолокацией. Если есть для хрома расширение такое подскажите плз.

В тот же котёл можно посадить разработчиков сайтов, которые запрещают выделять текст. Видимо, это бестолковая попытка бороться с воровством контента, но нормальному использованию это тоже мешает. Чтобы, например, загуглить неизвестный термин, приходится лезть в devtools.

Угу, при этом для тех, кто хочет действительно скопировать большую часть страницы, практически всегда остаётся доступно сочетание клавиш «Ctrl+A» с последующим копированием через контекстное меню.
Это бестолковые заказчики, которые упрутся рогами и слышать ничего не хотят что это по ****** ладошкой!
Возможно кто-нибудь сделает расширение, которое блокирует блокировку вставки — как адблок, только для этого ужаса? Многие будут благодарны!
Для FireFox есть (был) аддон RightToClick. Автор его удалил, но найти его все еще можно, и, по крайней мере в FF 52ESR, он всё ещё более-менее работает.
обновляйте программное обеспечение — это IT-версия здорового питания и один из лучших способов защитить компьютер

Ну, это такое, весьма сомнительное заявление, между прочим. Из личных наблюдений: условная версия «1.0» условной программы, которая устанавливается с нуля, может быть «чистой» в плане вирусов, и нетребовательной в плане злоупотребления доступом к правам/системе/данным, а вот обновлённая версия «1.1», которая устанавливается поверх спустя некоторое время, может содержать в себе много всего лишнего, о чём сама система послушно и непременно сообщит, но что большинством даже относительно внимательных пользователей всё равно будет проигнорировано — скажется положительный опыт работы с «1.0» плюс нежелание отказываться от вполне работающей программы: "не паникуй, я же пользовался 1.0 до сегодняшнего дня нормально — всё ок, можно смело ставить и 1.1". Самим же автором программы её возросший аппетит к правам/системе/данным будет, как обычно, обоснован внедрением новых фич, технологий, и общим чувством заботы о своих пользователях.

Так что не всё так однозначно с обновлениями.
Это не мешает копированию/вставке по средней кнопки мыши. Но вот блокировка и переопределение стандарных хоткеев это ни в какие ворота.
В твиттере нам часто присылают примеры сайтов, которые блокируют вставку пароля из буфера обмена.

Так зачем организации это делают? Часто они не дают никаких объяснений, но если всё-таки дают, то говорят о «безопасности».

Появилось это в начале нулевых. Лично я это встретил в корпоративных софтинках после 9/11. Возможно даже из-за этого. Американское правительство озаботилось защитой от терроризма в интернете и выделило деньги на создание отдела по защите своих сайтов от хакерских атак. Потом это стало модно и каждая корпорация озаботилась такими же отделами. Я лично спрашивал этих гайцев — зачем? Зачитали с бумажки своего циркуляра. Звучало приблизительно так — «Пользователю запрещается пользоваться буфером обмена для пароля, чтобы пользователь случайно не ввёл неправильный пароль и скопировал его не заметив ошибку». Потом добавили, что дальнейший логин с неправильным паролем просто лочит учётную запись после нескольких ретраев. Это создаёт головную боль всей иерархии по разблокированию юзера. (Представьте компанию в >100000 человек, где смена пароля обязательна после 30 дней и ошибаются 5%) Юзер с заблокированным акаунтом сидит и ничего не делает несколько часов пока не разблокируют учётку, при этом компания ему платит деньги за ожидание.
На совещаниях это преподносилось как защита от ошибок и как огромная экономия денег. Капиталисты одним словом…
Кто-то еще пользуется паролями? Давно пора убрать все эти нелепые поля для ввода логинов и паролей и оставить авторизацию через социальные сети… и пароль не забудешь, и не сопрут! Разве что только с социальной сетью. Но чтобы ее не сперли, надо авторизацию через смс делать )
Очень надеюсь, что это был сарказм… :)
UFO just landed and posted this here
если честно, не совсем понимаю почему) что не так) мне кажется это удобно и пользователям, и владельцам сайтов)
UFO just landed and posted this here
Ну соцсети — это общее название… в данном случае я имел ввиду и всевозможные дополнительные сервисы — авторизация через маил.ру, через google и так далее… каждый выбирает свой способ авторизации. Это первое. Второе. Беда в том, что на своих 100500 аккаунтах вы почти наверняка используете несколько пар логинов-паролей (а большинство пользуется одной парой)… то есть получив доступ к одной паре, можно получить доступ к 100500 аккаунтах на разных сайтах. Я уже писал, что довольно легко защитить свою соцсеть от взлома. Достаточно иметь мобильный телефон. Защитить одну точку входа гораздо проще, чем 100500)
UFO just landed and posted this here
UFO just landed and posted this here
Ожидаем в скорее плагины для браузеров, которые снова разрешают эту вставку пароля)
К слову плюсов в этом и правда никаких, я бы никогда не вставлял пароль, который помню и знаю, а сгенерированный всегда вставляю. Как те кто это делал, не понял такие простые вещи остается загадкой.
Думаю, изначально это было придумано во времена 9х виндов, против привычки хранить пароли в тхт на рабочем столе, когда не было намека на менеджеры паролей, а потом, когда они появились, этот «стандарт» уже разошелся, как оно часто бывает.
Sign up to leave a comment.

Articles