Задать вопрос
z3apa3a

Владимир Дубровин

Ответы

  • Как в 3proxy перенаправить группу доменов на другой сервер?

    z3apa3a
    @z3apa3a 
    allow * * aa.site.ru,bb.site.ru,cc.site.ru 80,443
parent 1000 tcp dev.aa.site.ru 0
allow *
proxy


    вместо aa.site.ru,bb.site.ru,cc.site.ru можно указать ip, тогда будет перенаправляться все что резолвится в этот ip
    Ответ написан
    7 комментариев
    7 комментариев

  • В какого типа переменных хранить адреса?

    z3apa3a
    @z3apa3a
    В C используетсяvoid *, обратиться по нему без преобразования типа не получится
    Ответ написан
    Комментировать
    Комментировать

  • Как добавить пользователя 3proxy без перезагрузки сервиса?

    z3apa3a
    @z3apa3a
    Можно использовать внешнюю авторизацию - RADIUS/Windows/PAM
    Ответ написан
    Комментировать
    Комментировать

  • Есть ли здесь реальная reflected XSS или это false positive (безопасно ли включать URL запроса в код страницы)?

    z3apa3a
    @z3apa3a
    На практике в современных браузерах этот вектор в XSS не эксплуатируется из-за URI энкода. Последними популярными браузерами где этот вектор был эксплуатируем были IE 6/7, они не URI-енкодили GET-параметры при редиректе. Однако вставка URI без HTML-енкода в любом случае является ошибкой, даже если не приводит к XSS, например по стандарту должен HTML-енкодиться символ &, который может присутствовать в урлах.
    Ответ написан
    2 комментария
    2 комментария

  • Нужно ли удалять A, MX и прочие записи у моего регистратора, если я добавил NS-записи cloudfare?

    z3apa3a
    @z3apa3a
    Если старый сервер не отдает старые NS записи зоны, то проблем возникнуть не должно и достаточно все менять на cloudflare, но обычно рекомендуют полностью снести зону со старого сервера чтобы избежать ситуации когда резолверы будут рефрешить записи из старой зоны.
    Ответ написан
    Комментировать
    Комментировать

  • Как может быть, что ping резко уменьшается, если быстро водить мышью?

    z3apa3a
    @z3apa3a
    Скорей всего, есть фоновое приложение которое начинает работать при простое и съедает ресурсы, посмотрите по диспетчеру задач. Это может быть и что-то безобидное, например бекап по сети или синхронизация облачного диска, а может быть и какой-нибудь троян с майнером/прокси/DDoS, в последнем случае есть шанс его по диспетчеру задач не увидеть. Судя по собранной диагностике выжирается у вас скорей всего сетевой канал до провайдера.
    Ответ написан
    5 комментариев
    5 комментариев

  • Как защитить себя юридически при email-рассылках?

    z3apa3a
    @z3apa3a
    Если вы шлете письма своим клиентам, то можно рассчитывать на то, что письмо отправленное конкретному лицу не является рекламой (реклама адресована неопределенному кругу лиц). Поэтому юридические риски у вас не в области рекламы, а в области сбора/обработки/использования персональных данных. Будьте готовы показать что персональные данные включая email у вас собираются, обрабатываются и используются на законных основаниях и в соответствии с пользовательским соглашением / политикой конфиденциальности. При сборе email крайне желательно делать double opt-in чтобы не нарваться на претензии, что вы храните персданные лиц не дававших согласие.
    Ответ написан
    Комментировать
    Комментировать

  • Как устранить проблему во взаимодействии между Mail Drop и Mail.ru?

    z3apa3a
    @z3apa3a
    Mail Drop запрашивает не логин/пароль от почты Mail.ru, а эккаунт iCloud, потому что именно туда он заливает файл.
    Ответ написан
    Комментировать
    Комментировать

  • Почему imap_open выдает ошибку "SSL negotiation failed" при соединении без SSL?

    z3apa3a
    @z3apa3a
    Скорей всего клиент пытается сделать STARTTLS. Попробуйте сделать
    % nc myhost.com 143
* OK IMAP4 ready
AAA CAPABILITY
* CAPABILITY IMAP4rev1 ID XLIST UIDPLUS UNSELECT MOVE LIST-STATUS STARTTLS LOGINDISABLED
AAA OK CAPABILITY completed

    если увидите термы STARTTLS и LOGINDISABLED - это означает что сервер запрещает вход без TLS и клиент пытается сделать STARTTLS. Можете попробовать флаг /notls (но при LOGINDISABLED это не спасет) или /novalidate-cert - это с большой вероятностью спасет от проблем с TLS-хендшейком
    Ответ написан
    Комментировать
    Комментировать

  • Имеет ли смысл хранить refresh-токены?

    z3apa3a
    @z3apa3a
    Это слишком общий вопрос.

    В целом, хранить сами токены не стоит ни в каком случае, для сравнения всегда достаточно хранить хеш.

    В случае если вы используете JWS, хранение токенов может потребоваться чтобы иметь возможность отозвать токены при завершении сессии пользователем. Обычно хранится не сам токен, и даже не хеш, а идентификатор сеанса. При этом можно хранить либо список активных сессий либо наоборот список отозванных (в течении времени жизни рефреш токена). Фактически это убивает все преимущества JWS, но другого способа завершить сеанс нет, это глобальная проблема JWS. Поэтому использовать JWS для рефреш токенов в целом не очень разумно.

    Про запрет повторного использования вам ответили, но в целом такой запрет является опциональным, в большинстве реализаций OAuth2 новый рефреш не возвращается и старый токен остается действительным.

    В случае если вы не используете JWS, а генерируете случайные токены, вам в любом случае надо их хранить (точнее их хеши), т.к. вы будете сравнивать переданный токен с хранимым.
    Ответ написан
    9 комментариев
    9 комментариев

  • Как правильно настроить SPF запись?

    z3apa3a
    @z3apa3a
    Для mail.example.ru так же необходимо создать SPF-запись, при условии что mail.example.ru использует это имя в SMTP HELO/EHLO, это необходимо для хождения писем с пустым адресом SMTP конверта, например NDR/DSN. В таких случаях SPF проверяет имя из HELO/EHLO См заблуждение 7.
    Ответ написан
    Комментировать
    Комментировать

  • Почему Postfix не отправляет письма на mail.ru?

    z3apa3a
    @z3apa3a
    seczone.my.zone MX 1.2.3.4

    По стандартам MX запись не может указывать на IP адрес, MX запись должна указывать на A или AAAA. Должно быть

    seczone.my.zone. MX seczone.my.zone.
    Ответ написан
    3 комментария
    3 комментария

  • Какова вероятность взлома AES-128-ECB, если часть информации доступна?

    z3apa3a
    @z3apa3a
    Основной недостаток ECB заключается в том, что одинаковые данные будут шифроваться в одинаковые блоки шифротекста, поэтому зная шифрованный текст для одного открытого текста (например для одного JSON) можно понять что другой файл это тоже JSON в определенной структуре. Если какие-то блоки из 16 октетов у файлов совпадают, то и в шифротексте будут совпадающие блоки. Если у атакующего есть возможность получать шифротекст по открытому тексту (например инциировать запрос клиента и получать результаты шифрования, аналогично BEAST) то можно попытаться подобрать недостающие неизвестные данные в блоке, причем в отличие от BEAST просто прямым перебором.

    Имеет ли это значение зависит от того, как именно вы собираетесь использовать криптографию. Есть замечательное правило: "do not roll your own crypto". Если можно обойтись без криптографии - лучше обойтись без криптографии. Если вам надо шифровать данные - используйте готовые проверенные библиотеки и форматы криптоконтейнеров. Если вам надо шифровать потоки данных - используйте TLS с рекомендуемыми настройками.
    Ответ написан
    Комментировать
    Комментировать

  • Где хранить iv, если я могу запомнить только пароль?

    z3apa3a
    @z3apa3a
    IV не секретен и обычно хранится вместе с зашифрованными данными. Если IV не передается / не хранится отдельно, то, как правило, он находится в начале блоба с зашифрованными данными.
    Ответ написан
    9 комментариев
    9 комментариев

  • Нормально ли, что ip сайта торчит наружу?

    z3apa3a
    @z3apa3a
    Желательно отфильтровать весь трафик к защищаемому хосту сделав исключение для cloudflare, особенно если высока вероятность DDoS атак. Это есть в рекомендациях Cloudflare. Если этого не сделать, то действительно высока вероятность что IP адрес можно будет обнаружить и атаковать в обход Cloudflare. Например shodan или аналогичные сканеры могут идентифицировать хост по SSL-сертификату или ответу по дефолтному хостнейму, или на сайте может быть функциональность которая делает запрос с сайта наружу (наприме загрузка картинки по URL) с его реального IP в обход Cloudflare.
    Ответ написан
    Комментировать
    Комментировать

  • Как проверить надежность доменных паролей?

    z3apa3a
    @z3apa3a
    Windows хранит NT-хеши паролей, "расшифровать" их в открый текст нельзя, можно только сбрутить. Сравнить их с базой haveibeenpwned не получится, т.к. формат хешей разный. А если вы их сбрутите, то сравнивать не имеет смысла - раз вы смогли сбрутить, значит пароль заведомо плохой, поэтому можете их просто побрутить.

    Смотрите не в сторону дампа паролей, а в сторону механизма passfilt.dll - он позволяет проверять пароль в открытом тексте в момент когда его меняет пользователь, в этот момент вы можете проверить стойкость пароля в т.ч. по базе haveibeenp0wned и по словарям. Напишите свою библиотечку passfilt.dll или поищите готовую, подключите и инициируйте смену пароля пользователям.
    Ответ написан
    Комментировать
    Комментировать

  • Разрешение tls для получения почты от РУ сегмента?

    z3apa3a
    @z3apa3a
    Текущие практики применения STARTTLS для взаимодействий между серверами следующие:
    - если клиент и сервер поддерживают MTA-STS или DANE, то следовать спецификации MTA-STS или DANE (TLS в таком случае обязателен и валидность сертификата проверяется)
    - иначе в случае поддержки STARTTLS сервером клиент не проверяет валидность сертификата (сервер может использовать в т.ч. самоподписанный сертификат)
    - если произошел сбой в STARTTLS то письмо отправляется в открытом тексте
    - статистика использования STARTTLS доступна через TLS-RPT.

    Почему используется именно такой подход (не проверяется сертификат сервера):
    - в случае пассивного MitM (когда можно только слушать трафик) не важно, какой именно сертификат использует сервер
    - в случае акттивного MitM между серверами атакующий может изменить MX записи направив трафик на другой сервер и/или выпустить сертификат для одного из серверов, поэтому проверка сертификата не спасает без дополнительных мер (определяемых MTA-STS и DANE).

    Поскольку MTA-STS и DANE вы наверняка не поддерживаете, вам надо в конфигурации вашего сервера
    - отключить проверку сертификата
    - разрешить фолбек на отправку письма в открытом тексте (не требовать обязательного STARTTLS)
    - там где надо гарантировать доставку писем поверх TLS на определенные домены, сконфигурировать MTA-STS, DANE (в зависимости от поддержки доменами) либо отдельные транспорты с жестким прописыванием имени MX сервера для каждого домена назначения и включением TLS и проверки сертификата для транспорта.

    Иначе ужесточая требования TLS без дополнительных мер вы только стреляете себе в ногу.
    Ответ написан
    13 комментариев
    13 комментариев

  • Как наоборот ПОВЫСИТЬ приоритет ip6 над ip4?

    z3apa3a
    @z3apa3a
    В целом при доступности обоих сетей то, какая сеть будет использована зависит больше от клиентского ПО, в этом случае браузера, потому что именно клиент выполняет разрешение имени в адрес. В большинстве случаев используется IPv6 с фолбеком на IPv4 в случае медленного соединения (Happy Eyeballs о котором писали выше), туннели IPv6 over IPv4 так же обычно пессимизируются как заведомо более медленные . Можно либо попробовать поискать соответствующую настройку для браузера, которая будет задавать приоритет разрешения имен (если она, конечно, существует) либо можно попробовать установить локальный прокси, который будет разрешать имена в нужном приоритете, например для 3proxy можно использовать такую конфигурацию

    proxy -64 -i127.0.0.1 -p12345

    и прописать 127.0.0.1:12345 в качестве прокси
    Ответ написан
    2 комментария
    2 комментария

  • Как работает Wins и DNS?

    z3apa3a
    @z3apa3a
    Есть две разных задачи:
    1. Список обзора, его поддерживает служба обозревателя на которую давали ссылку выше. Список обзора поддерживается по каждому домену/рабочей группе. Это то, что вы видите когда открываете "сетевое окружение". Роль обозревателя выполняет один из хостов в каждом сегменте (обычно с наиболее свежей версией Windows и максимальным аптаймом, если его выключить - список может пропасть, т.к. анонсы рассылаются каждым хостом с некоторой периодичностью, через некоторое время будет выбран новый обозреватель и постепенно он соберет анонсы компьютеров сегмента). Соответственно этот механизм работает на броадкастах, Но при наличии домена, контроллеры домена собирают и реплицируют списки обзора по своим доменам между сегментами.
    2, Разрешение имени хоста в IP адрес. Здесь штатно в Windows используется три механизма:
    - DNS имя (ищется имя в домене к которому относится хост)
    - WINS (если он есть и сконфигурирован, то хосты динамически в нем регистрируются)
    - широковещательная рассылка (NBName)
    и файл lmhosts, где соответствия можно прописать руками
    DNS и WINS уникастны, если они есть, то их IP прописаны в сетевых настройках или получены через DHCP.
    Приоритет этих операций (например "сначала использовать WINS, если не получилось - броадкаст) задается параметром который называется "тип узла", им можно управлять. Если в вашей домашней сети нет домена или специально настроенного на динамическую регистрацию DNS сервера, то используется броадкаст.

    Но могут быть и другие механизмы, например если установлен iTunes/службы Apple то будет дополнительно использовать bonjour, это механизм на мультикастных рассылках
    Ответ написан
    Комментировать
    Комментировать

  • Проблемы в работе с электронной почтой gmail?

    z3apa3a
    @z3apa3a
    По IMAP имея доступ к ящику можно положить любое письмо в любую папку, в т.ч. в отправленные - почтовые приложения ровно так и делают.
    Ответ написан
    Комментировать
    Комментировать