Ответы пользователя по тегу Информационная безопасность
  • Срок на устранение уязвимости - через сколько можно публиковать?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    В УК РФ про это всё есть, наказание приличное, если они в суд пойдут.
    Просто забейте и всё.
    Ответ написан
  • Как безопасно раздавать через torrent?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    seedbox купленный через тор за биткойны.
    Само собой, заливать на сидбокс тоже только через тор. И постить так же.

    tor можно заменить на vpn (купленный через tor).
    Ответ написан
    Комментировать
  • Как быть с end-to-end в Viber?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Не будет.
    Ответ написан
    Комментировать
  • Как разобраться со множеством вопросов перед переходм на HTTPS?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    > https медленнее чем http?
    Грамотно настроенный - нет. Но проблема в хендшейках, это +3-4 rtt перед первым коннектом по https с сервером (раз во время жизни хендшейков).
    Ну и шифрование тяжелого контента всё же жрет cpu на сервере, на видеопотоке заметно.

    > Кэшируется ли зашифрованный контент на устройстве пользователя?
    HTTPS шифрует только канал между пользователем и сервером. Внутри - самый обычный http, по сути. Настроите кэши - будут работать.

    > Нужен ли постоянный IP адрес?
    Нужен выделенный адрес (иначе будут проблемы с клиентами, которые не поддерживают SNI). А насчет его постоянства - вопрос удобства.

    > Может ли работающий сертификат до истечения своего срока заглючить и браузер выдаст сообщение о том, что сайт не безопасен?
    Сертификат не заглючит, но у сертификата есть срок действия (при том он выражен временем "от" и "до"). Если у клиента неверно настроены часы (сбиты на год) - то сертификат у пользователя будет считаться невалидным. С другой стороны, у такого человека вообще https работать нигде не будет толком)

    > Кто все эти организации (центры сертификации), которые выдают сертификаты, на каких основаниях, по какому-то закону или просто так, захотели и выдают на доверии, перед кем несут ответственность?
    Они занесли деньги владельцам основных хранилищ (майкрософт с виндой, mozilla c firefox, apple с макосью и так далее) и прошли аудит безопасности этих самых владельцев. Всё это дорого. В теории они несут материальную ответственность перед клиентами, но это только в теории.
    На практике - вся система торговли сертификатами - это торговля воздухом, что уже доказано, например, StartSSL (берут деньги только за услуги, требующие ручной работы - например, валидируют пользователя за деньги, а сертификатов он может получить уже сколько угодно) и letsencrypt (которые выдают бесплатные сертификаты, а существуют на деньги спонсоров).

    > По какому принципу следует выбирать центр сертификации?
    Если речь не о e-commerce - то по цене. Если о коммерции - то по размеру страховки (вы её всё равно не получите, но всё же).
    Плюс смотрите на свою аудиторию, устройства, какие корневые сертификаты у них зашиты из коробки.

    > Видел на каком-то популярном сайте разные цвета одного и того же замка, один желтый, второй зеленый. Какая между ними разница?
    Браузер в таких вопросах озвучивать нужно. Но скорее всего речь про то, что желтый замок == сам сайт работает по https, но часть контента (например, картинка) загружена по http. Это невалидная настройка https на сервере/сайте.

    > На некоторых сайтах этих центров написано о гарантии в 5, 10, 100 тысяч и пр. Что это значит?
    С учетом того, что вы общаетесь на русском языке - ничего.

    > Какие типы шифрования у тех или иных сертификатов и какой выбрать?
    От сертификата шифры не зависят. Выбирать вам можно только длину ключа. Больше длина - надежнее шифрование, но медленнее хендшейк.

    > Допустим что есть два сертификата от двух разных центров сертификации. Один заканчивается 10 августа, а второй сформирован 5 августа. Можно ли спокойно заменить один сертификат на другой без каких бы то ни было последствий?
    Если нет пиннинга - то да. Но второй сертификат нельзя ставить раньше 6 августа (точнее, лучше всего подождать 24 часа с момента получения сертификата).

    > Можно ли с одним и тем же сертификатом переехать на другой сервер с другой конфигурацией?
    Да.

    > Любой ли сертификат будет поддерживать все устройства или все зависит от центра сертификации или типа сертификата?
    Зависит от центра сертификации - занесли ли они денег конкретному производителю. Ну и если про старые платформы говорить (та же ХР) - то вопрос в том, когда занесли.

    > Что будет с отображением и работой сайта если этот сертификат им не поддерживается?
    Сайту наплевать на сертификаты, "сайту" (а точнее его движку) важно понимать, что он должен работать по https, чтобы не генерировать http-ссылки.

    > Есть ли отличия платного сертификата от бесплатного для одного домена?
    Страховка, список поддерживаемых платформ, уровень поддержки живыми людьми (но тут как бы документация у всех есть).
    Ответ написан
    Комментировать
  • На сколько безопасна защита "админки" сайта через http basic auth?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    От mitm правильно настроенный https спасет.

    От локально висящего трояна, желающего украсть логин с паролем - нет.
    Ответ написан
    Комментировать
  • Безопасна ли схема?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    > Раздолбай, студент, программист
    Nuff said.

    Домен купите и прекратите на людей агриться.
    Ответ написан
    Комментировать
  • Являются ли облачные хранилища страховкой на случай заражения энкодерами (шифровальщиками-вымогателями)?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Платный Dropbox - да, там файлы версионируются.
    Ответ написан
    Комментировать
  • Увеличивают ли стойкость пароля спецсимволы?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Против брутфорса - да. Помимо того, что есть спецсимволы - их список для перебора будет неизвестен брутфорсеру.

    Против других методов (кража пароля, социнженерия, уязвимости) - нет, конечно.
    Ответ написан
    1 комментарий
  • Рассылается спам от моего имени. Что делать?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    spf, dkim, писать абузы хостеру отправителя.
    Ответ написан
    Комментировать
  • Каков уровень безопасности если я сообщил номер своей банковской карты?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Раньше точно были онлайн-сервисы, которые позволяли оплатить что-то через себя, имея только номер карты, срок действия и ФИ владельца. И были карты, которые через такую муть спокойно отдавали деньги. Наверняка такие сервисы дожили и до наших дней.

    В общем, вердикт - сообщать номер своей основной карты небезопасно. Получать деньги лучше на отдельную карту, потом сразу переводить на основную.

    А лучше всего, если никуда не торопитесь, отдать обычные платежные реквизиты (номер счета и вот это вот всё) - на них все умеют отправлять деньги, разве что идти они будут чуть дольше.
    Ответ написан
    Комментировать
  • Какие логи читать?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Попадают они туда обычно тоже через хитровы*й POST/GET запрос. Берите access.log, сортируйте по количеству хитов и рассматривайте все странные запросы - так всплывет какая-нибудь уязвимость внутри cms.

    Ну а в первую очередь, проверьте версию proftpd на сервере.
    Ответ написан
    2 комментария
  • Взломали сервер. Устроили email фишинг-атаку разместив у нас свои скрипты и "лендинг". Каков алгоритм действий?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    1) взять новую vps, настроить, обновить весь софт до упора, научиться вовремя обновлять proftpd и cms
    2) запретить всем сайтам писать себе в docroot
    3) начать аккуратно переносить все сайты, ставя их из чистых дистрибутивов cms.

    Пункты 1-2 лучше кому-нибудь поручить.
    Ответ написан
    Комментировать
  • Безопасен ли Tor Browser в базовой конфигурации для анонимности?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Гарантированную - нет.
    Ответ написан
    Комментировать
  • Как отразить хакерскую атаку на сервер (хостинг)?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    proftpd установлен? Какой версии?

    UPD: как и предполагалось - это CVE-2015-3306 (habrahabr.ru/post/257027/)
    Ответ написан
    3 комментария
  • Как быть более-менее в курсе про безопасность linux-сервера?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Дистрибутив указывать нужно, блджад, в таких вопросах.

    www.ubuntu.com/usn
    https://www.debian.org/security/
    https://access.redhat.com/security/
    Ответ написан
    9 комментариев
  • Почему в debian 7.8 apt-get update приносит старьё?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    debian 7 релизнут в 2013м году (2.5+ года назад). Весь софт по мажорным версиям замораживается в репозиториях на момент релиза (например, php там всегда будет 5.4 или какой там был). Пока возможно - обновления безопасности будут бэкпортироваться на эти версии пакетов.

    Нафига? Чтобы apt-get upgrade внезапно не сломал сервера в продакшне, обновив php до несовместимой версии.

    Новые версии пакетов есть в официльных репозиториях backports, но опять же, туда кладут только те версии софта, которые заведомо совместимы с остальным софтом в релизе (где нет необратимых несовместимостей).

    Есть dotdeb, там тоже свежие пакеты (впрочем, качество сборки не всегда на высоте, да и репозиторий неофициален).

    > Есть виртуалка у хостера fastvps.
    Зависит от используемой технологии виртуализации и конфигурации. В примерно половине случаев ответ "нет, не пофиг".

    > проще всего поставить новейшее ядро на древнейший Debian
    Новейшее _протестированное на совместимость с релизом_ ядро можно поставить из backports. А так любой дистрибутив слабо зависит от версии ядра, берем сорцы ядра, дебианизацию и собираем себе пакет.
    Ответ написан
    Комментировать
  • Какие контейнерные системы для линукса Вы знаете?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    На самом деле живых только три - LXC, openvz/Virtuozzo, porto. (Docker основан на LXC чуть более, чем полностью).

    Остальные уже не развиваются и/или не совместимы с более или менее актуальными ядрами (даже RH-вскими).
    Ответ написан
    Комментировать
  • Конкретные вопросы в выборе между Debian и Ubuntu?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Ставьте убунту LTS, раз у вас возникают такие вопросы, мой вам совет. Тем более, что с играми проблем там намного меньше (dota 2, cs 1.6 спокойно взлетели из стима мышевозным способом).
    Про сервера я бы ещё порассуждал, но на десктопе вам убунта больше подойдет.
    Ответ написан
  • Как технологично защититься от кражи ноутбуков?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Технически это решать бесполезно (можно, но дорого выйдет - дороже покупки 20 ноутбуков).
    Во всех компаниях давно уже подписывают бумажку про получение рабочей техники и материальную ответственность в случае её порчи-утери. По этой бумажке всё легко удерживается из зарплаты (а если зарплаты не хватает - то через суд).
    Единственное что, все эти ноуты должны быть законно инвентаризованы и опечатаны (на случай того, что сопрут только hdd/ram).
    Ответ написан
    Комментировать
  • Где дешевле всего покупать ssl сертификаты и еще пару вопросов по ним?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    > будут спрашивать о доверии к источнику?
    Да. Точнее, они просто будут говорить, что сертификат недоверенный (а пользователи разбираться, скорее всего не будут).

    > Можно ли один и тот же сертификат использовать для нескольких виртуальных хостов на одном сервере?
    Можно, если сертификат выдан на несколько доменных имен (такие бывают). Но вообще у сертификата в полях перечислены те домены, для которых он "действителен".

    > Где можно купить и недорогой?
    Letsencrypt, startssl (правда, если много доменов - то там лучше заплатить $59 за год и сгенерить один сертификат на все, чтобы про поддержку SNI клиентами не париться).
    Самые дешевые из разряда "не бесплатно, на один домен" - на namecheap.
    Ответ написан
    Комментировать