Владимир Дубровин

allow * * 10.1.0.0/16
parent 1000 http 10.10.10.10 8080
allow * * 10.2.0.0/16
parent 1000 http 10.20.10.10 8080
allow * * 10.3.0.0/16
parent 1000 http 10.30.10.10 8080
proxy -p1234

Есть OAuth 2.0 - это протокол авторизации между клиентским приложением и сервером с ресурсами

Нет, не так. В OAuth2 участвуют минимум 3 стороны - ресурсный сервер, клиент и сервер авторизации. Обычно OAuth используется в ситуациях когда имеется несколько ресурсных серверов и надо иметь единую точку авторизации. В этой схеме логины/пароли/рефреш-токены видит только сервер авторизации, клиент использует рефреш-токены для получения короткоживущих аксесс токенов с нужными скопами к ресурсным серверам. Компрометация одного из ресурсных серверов при правильной организации доступа не скомпрометирует доступ клиента к другим ресурсным серверам.

Убери /127.0.0.1, если RADIUS не на локальном интерфейсе, то со 127.0.0.1 ты туда не попадешь.
Версия 3proxy какая?

Так сделать не получится, потому что работает это следующим образом
1. HTTPS прокси не видит URI запроса, т.к. он идет внутри TLS соединения. Это можно решить через SSLPlugin, но все клиенты должны доверять сертификату прокси
2. socks5 не видит URI запроса, он ничего не знает про прикладной протокол, это можно решить перенаправлением в локальный http прокси
3. URI в 3proxy не участвует в установке исходящего соединения, это функции обратного прокси типа nginx + как минимум для https на момент когда будет приходить URI соединение с родительским сервером уже будет установлено - это одним 3proxy решить не получится

Если нужно именно SOCKSv5, то можно domain.com парентить из 3proxy в nginx, на нем терминировать TLS (если речь про https) и проксипасить по урлам

allow * * aa.site.ru,bb.site.ru,cc.site.ru 80,443
parent 1000 tcp dev.aa.site.ru 0
allow *
proxy

вместо aa.site.ru,bb.site.ru,cc.site.ru можно указать ip, тогда будет перенаправляться все что резолвится в этот ip

В C используетсяvoid *, обратиться по нему без преобразования типа не получится

Можно использовать внешнюю авторизацию - RADIUS/Windows/PAM

На практике в современных браузерах этот вектор в XSS не эксплуатируется из-за URI энкода. Последними популярными браузерами где этот вектор был эксплуатируем были IE 6/7, они не URI-енкодили GET-параметры при редиректе. Однако вставка URI без HTML-енкода в любом случае является ошибкой, даже если не приводит к XSS, например по стандарту должен HTML-енкодиться символ &, который может присутствовать в урлах.

Если старый сервер не отдает старые NS записи зоны, то проблем возникнуть не должно и достаточно все менять на cloudflare, но обычно рекомендуют полностью снести зону со старого сервера чтобы избежать ситуации когда резолверы будут рефрешить записи из старой зоны.

Скорей всего, есть фоновое приложение которое начинает работать при простое и съедает ресурсы, посмотрите по диспетчеру задач. Это может быть и что-то безобидное, например бекап по сети или синхронизация облачного диска, а может быть и какой-нибудь троян с майнером/прокси/DDoS, в последнем случае есть шанс его по диспетчеру задач не увидеть. Судя по собранной диагностике выжирается у вас скорей всего сетевой канал до провайдера.

Если вы шлете письма своим клиентам, то можно рассчитывать на то, что письмо отправленное конкретному лицу не является рекламой (реклама адресована неопределенному кругу лиц). Поэтому юридические риски у вас не в области рекламы, а в области сбора/обработки/использования персональных данных. Будьте готовы показать что персональные данные включая email у вас собираются, обрабатываются и используются на законных основаниях и в соответствии с пользовательским соглашением / политикой конфиденциальности. При сборе email крайне желательно делать double opt-in чтобы не нарваться на претензии, что вы храните персданные лиц не дававших согласие.

Mail Drop запрашивает не логин/пароль от почты Mail.ru, а эккаунт iCloud, потому что именно туда он заливает файл.

Скорей всего клиент пытается сделать STARTTLS. Попробуйте сделать

% nc myhost.com 143
* OK IMAP4 ready
AAA CAPABILITY
* CAPABILITY IMAP4rev1 ID XLIST UIDPLUS UNSELECT MOVE LIST-STATUS STARTTLS LOGINDISABLED
AAA OK CAPABILITY completed

если увидите термы STARTTLS и LOGINDISABLED - это означает что сервер запрещает вход без TLS и клиент пытается сделать STARTTLS. Можете попробовать флаг /notls (но при LOGINDISABLED это не спасет) или /novalidate-cert - это с большой вероятностью спасет от проблем с TLS-хендшейком

Основной недостаток ECB заключается в том, что одинаковые данные будут шифроваться в одинаковые блоки шифротекста, поэтому зная шифрованный текст для одного открытого текста (например для одного JSON) можно понять что другой файл это тоже JSON в определенной структуре. Если какие-то блоки из 16 октетов у файлов совпадают, то и в шифротексте будут совпадающие блоки. Если у атакующего есть возможность получать шифротекст по открытому тексту (например инциировать запрос клиента и получать результаты шифрования, аналогично BEAST) то можно попытаться подобрать недостающие неизвестные данные в блоке, причем в отличие от BEAST просто прямым перебором.

Имеет ли это значение зависит от того, как именно вы собираетесь использовать криптографию. Есть замечательное правило: "do not roll your own crypto". Если можно обойтись без криптографии - лучше обойтись без криптографии. Если вам надо шифровать данные - используйте готовые проверенные библиотеки и форматы криптоконтейнеров. Если вам надо шифровать потоки данных - используйте TLS с рекомендуемыми настройками.

IV не секретен и обычно хранится вместе с зашифрованными данными. Если IV не передается / не хранится отдельно, то, как правило, он находится в начале блоба с зашифрованными данными.

Желательно отфильтровать весь трафик к защищаемому хосту сделав исключение для cloudflare, особенно если высока вероятность DDoS атак. Это есть в рекомендациях Cloudflare. Если этого не сделать, то действительно высока вероятность что IP адрес можно будет обнаружить и атаковать в обход Cloudflare. Например shodan или аналогичные сканеры могут идентифицировать хост по SSL-сертификату или ответу по дефолтному хостнейму, или на сайте может быть функциональность которая делает запрос с сайта наружу (наприме загрузка картинки по URL) с его реального IP в обход Cloudflare.

Windows хранит NT-хеши паролей, "расшифровать" их в открый текст нельзя, можно только сбрутить. Сравнить их с базой haveibeenpwned не получится, т.к. формат хешей разный. А если вы их сбрутите, то сравнивать не имеет смысла - раз вы смогли сбрутить, значит пароль заведомо плохой, поэтому можете их просто побрутить.

Смотрите не в сторону дампа паролей, а в сторону механизма passfilt.dll - он позволяет проверять пароль в открытом тексте в момент когда его меняет пользователь, в этот момент вы можете проверить стойкость пароля в т.ч. по базе haveibeenp0wned и по словарям. Напишите свою библиотечку passfilt.dll или поищите готовую, подключите и инициируйте смену пароля пользователям.