|
2.20, Аноним (20), 12:30, 16/08/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Посоветуйте достойную открытую альтернативу OpenSSH. Там уязвимость на уязвимосте.
| |
|
3.22, A.Stahl (ok), 12:37, 16/08/2018 [^] [^^] [^^^] [ответить]
| +14 +/– |
Приехали. Гражданин, освободите вагон.
>на уязвимосте
Гражданина, выходяйте из трамвавайа. Чух-чух ездяет у деппо.
| |
|
|
5.51, Аноним (51), 12:56, 17/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
осциллограф овер ССЛ
(ну, я лично знавал электронщиков 90-го уровня, которые используют осциллограф вместо дебаггера, так что подумал, что аналоговый аутентификатор, и туннель канального уровня с глубинным обучением вполне реальны)
| |
|
|
5.42, ыртулз (?), 21:04, 16/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Дадад, это обалденная альтернатива. 20 лет как никто этим не хочет в здравом уме пользоваться.
| |
|
|
|
|
1.2, Аноним (2), 08:18, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
> Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита
Так, а вот с этого места, пожалуйста, по подробнее и с консольными командами.
| |
|
2.3, KonstantinB (ok), 08:40, 16/08/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
С какими командами? Защита там из коробки. То, что сейчас обнаружили и исправили - это то, что защита не срабатывает, если специальным образом повредить пакет.
| |
|
|
4.53, PereresusNeVlezaetBuggy (ok), 14:18, 17/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Как раз именно что кто-то обратил внимание на один из коммитов и понял, что решаемая им проблема больше, чем может показаться на первый взгляд. Пройдите по ссылке к новости, что ли...
| |
|
|
2.7, Нанобот (ok), 09:00, 16/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
"присутствует защита" - слишком громко сказано. просто оно спроектировано так, чтобы по ответу сервера нельзя было определить, было ли указано неправильное имя пользователя или неправильный пароль.
| |
|
|
|
5.14, Аноним (14), 11:04, 16/08/2018 [^] [^^] [^^^] [ответить]
| +9 +/– |
нужно не просто одинаково ответить, нужно еще и по времени одинаково обрабатывать запрос. т.к. если на существующего пользователя ты отвечаешь за 200мс, а на несуществующего - 50мс, то вообще плевать, что ты там отвечаешь.
| |
|
6.25, Аноним (-), 13:02, 16/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
> нужно не просто одинаково ответить, нужно еще и по времени одинаково обрабатывать
ну добавить 150с ожидания в первом случае. Или рандомное время ожидания (до определенного значения) добавлять ко всему
| |
|
7.30, Ан (??), 15:36, 16/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не добавить, а фиксированное время обработки ввести. Например, 2 минуты =)
| |
|
|
|
4.52, Нанобот (ok), 13:36, 17/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну а как бы ты сделал?
я бы сделал именно так, как сделано в openssh
| |
|
|
|
1.5, lone_wolf (ok), 08:55, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Эм а патчи уже какие-то есть? И кто нибудь знает номер этой проблемы, чтоб можно было в ченжлоге к обновленному пакету смотреть исправлена эта проблема или нет.
| |
1.8, Аноним (8), 09:12, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Ну узнает хацкир, что у меня есть в системе пользователи с именем root и "I+i4Jl[t5h>}|<" , дальше что? Потом узнает, что в системе работает fail2ban и firewall настроенные, и пускают туда только по ключам.
| |
|
2.58, Maxim (??), 15:30, 17/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
С такой энтропией (~84bit) на гигабитном канале (условно 1 000 000 пакетов в секунду) и при отсутствии fail2ban и DDoS protection - миллиарды лет.
| |
|
1.9, A.Stahl (ok), 09:28, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Совсем сайт поломали. Ну тогда сами исправляйте глупые ошибки в тексте.
| |
|
2.18, Michael Shigorin (ok), 12:17, 16/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Совсем сайт поломали. Ну тогда сами исправляйте глупые ошибки в тексте.
Гм, ну исправил, вроде "патч" ушёл...
| |
|
3.24, A.Stahl (ok), 13:01, 16/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
У тебя есть какой-то доступ ближе к сути? У меня вообще не было кнопки отправить изменения. Да и как-то последнее время сайт себя странно ведёт: там вылезет, там перекосит, там ещё фигня какая-то.
| |
|
4.31, Michael Shigorin (ok), 16:26, 16/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> У тебя есть какой-то доступ ближе к сути? У меня вообще не
> было кнопки отправить изменения. Да и как-то последнее время сайт себя
> странно ведёт: там вылезет, там перекосит, там ещё фигня какая-то.
Это не кнопка, а ссылка -- справа внизу под текстом новости на основной её странице:
---
исправить +11 +/–
--- https://www.opennet.dev/opennews/art.shtml?num=49142
| |
|
5.33, A.Stahl (ok), 16:47, 16/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Неужели моё сообщение НАСТОЛЬКО невразумительно? Я могу зайти в режим редактирования, но там нет кнопки коммита.
| |
|
6.34, Michael Shigorin (ok), 16:50, 16/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Неужели моё сообщение НАСТОЛЬКО невразумительно?
Как минимум для меня, выходит, да.
> Я могу зайти в режим редактирования, но там нет кнопки коммита.
Всю дорогу были кнопки "сохранить" и "восстановить" опять же справа внизу под формой редактирования существующей новости. Сломать или потерять не пробовал, правда.
| |
6.39, Аноним84701 (ok), 20:28, 16/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Неужели моё сообщение НАСТОЛЬКО невразумительно? Я могу зайти в режим редактирования, но
> там нет кнопки коммита.
У меня (но только в "нефорумном" режиме просмотра) есть. У Михаила есть. Даже у простого, неномерного анонима - тоже есть (зашел и проверил). И только у вас нет. Выводы прямо таки напрашиваются :)
| |
|
|
|
|
|
|
2.15, Аноним (15), 11:09, 16/08/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
во времена дырявых процессоров использовать ключи не слишком надежнее.
разве что использовать одноразовые пароли распечатанные на бумажке.
| |
|
3.17, A.Stahl (ok), 12:07, 16/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Во вторую мировую британская разведка смогла пебедить даже шифрблокноты. Именно математически, а не кражей материалов.
Даже шифрблокнотам нет веры, хотя казалось бы...
| |
|
4.19, Пользователь Debian (?), 12:26, 16/08/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Шифроблокнот длиной с общую длину всех сообщений, зашифрованных с его использованием (или длиннее) невозможно победить математически — даже во Вторую Мировую.
| |
|
|
6.27, anonymous (??), 13:50, 16/08/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
и значит что сказаное тобой лишь флюродросинг могучей сильной светлой и чистой как роса на утреннем солнце западной науке.
| |
|
|
|
|
2.35, Пшшш (?), 16:53, 16/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Использую SSH с паролем+TOTP RFC 4226. Приходите, буду рад.
| |
|
3.38, имя (?), 17:57, 16/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
так не честно.
Мы для vpn тоже так, а вот для ssh как-то проще с ключами, хотя так наверное даже безопаснее.
| |
|
|
|
|
3.56, Ilya Indigo (ok), 14:27, 17/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
> На что? На то, что обнаружили уязвимость в коде, который был уже
> пропатчен?
1 Из текста новости не понятно исправлена она или нет.
2 Апстим должен выпускать обновления, а не патчить.
| |
|
4.57, PereresusNeVlezaetBuggy (ok), 14:32, 17/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> На что? На то, что обнаружили уязвимость в коде, который был уже
>> пропатчен?
> 1 Из текста новости не понятно исправлена она или нет.
Поправьте автора новости?
> 2 Апстим должен выпускать обновления, а не патчить.
И выпустит. Проблема критической не считается, так что внеочередного релиза, скорее всего, не будет (но я с djm@ водку по утрам не пью, так что зарекаться не буду).
| |
|
|
|
1.44, Аноним (44), 00:31, 17/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Фейспалмище! То есть они специально работали над выравниванием времени в том и другом случае, но при этом оставили разное поведение?
| |
|
2.45, Стоп (?), 01:30, 17/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это OpenSSH. А Фейспал за углом в трех кварталах отсюда.
| |
2.48, КО (?), 08:17, 17/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Поведение разное в третьем и четвертом случае. В первых двух выровняли.
| |
|
1.46, Аноним (46), 03:48, 17/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Похожая проблема openssh от 2016 года https: https//www.opennet.ru/opennews/art.shtml?num=44802
| |
|