В развиваемом компанией KCodes драйвере NetUSB выявлена (http://www.kb.cert.org/vuls/id/177092) критическая уязвимость (https://www.sec-consult.com/fxdata/seccons/prod/temedia/advi...) (CVE-2015-3036), позволяющая выполнить свой код с правами ядра через отправку специально оформленного сетевого пакета. Атака может быть совершена злоумышленником, имеющим доступ к локальной сети, в которой размещён маршрутизатор.NetUSB представляет собой модуль для ядра Linux, обеспечивающий возможность проброса USB-устройств по сети и предоставления к нему совместного доступа. Драйвер NetUSB достаточно широко распространён в маршрутизаторах и точках доступа для домашних и небольших офисных сетей, в том числе он используется в различных моделях устройств Netgear, D-Link, TP-Link, Trendnet и Zyxel. Кроме того, отмечается, что продукты ещё 25 производителей, поддержка которых явно присутствует в драйвере, потенциально могут быть подвержены уязвимости, но они ещё не проверены на наличие проблемы.
Уязвимость вызвана классическим переполнением буфера, возникающим при копировании передаваемого со стороны пользователя имени клиентской системы без проверки соответствия размера помещаемой в буфер строки. Так как выпуск обновления прошивки у многих производителей может затянуться, для защиты рекомендуется убедиться, что в настройках отключена функция совместного доступа к USB-устройствам. Другим методом защиты является блокировка TCP-порта 20005.
Для демонстрации успешного совершения атаки уже подготовлен прототип эксплоита, который решено некоторое время не публиковать, дав возможность производителям выпустить обновления прошивок. Интересно, что попытка добиться исправления проблемы предпринималась с февраля, но прямое общение с производителями затянулось и не привело к каким-то результатам, несмотря на предоставление рабочего эксплоита. Проблема была признана и работа над исправлением активировалась только после привлечения в качестве посредника организации CERT/CC.
URL: http://blog.sec-consult.com/2015/05/kcodes-netusb-how-small-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=42271
> но прямое общение с производителями затянулось и не привело к каким-то результатам, несмотря на предоставление рабочего эксплоитаЗато когда объявляешь своим абонентам "Мы не рекомендуем пользоваться маршрутизатором производителя ***", тут же перезванивают маркетологи этого производителя, наглухо обиженные, и просят убрать такую надпись.
Ну так.. Делайте прошивки! Убирайте уязвимости. Кто виноват что ваш маршрутизатор откровенно говоря Г. и почему провайдер или сообщество должны решать ЧУЖИЕ проблемы проприетерастов.
Хуже то, что обновления прошивок бестолку пылятся на сайтах производителя, так как мало какой пользователь обновляет прошивку, а автоматом они не применяются. Браузеры уже доперли, что если автоматом не обновишь, пользователь не почешется.
И зря. Раньше, чтобы заставить пользователя обновиться нужно было сделать что-то полезное, а сейчас с автообновлением из браузера исчезают фичи, жить становится хуже. А из-за большого количества тупых пользователей с автообновлениями это становится быстро новым стандартом веба, которым уже не ясно, как пользоваться сейчас
Вам браузер нужен чтобы его настраивать или чтобы просматривать web?
что бы удобно просматривать web
И какая из "исчезнувших фич" сделала его менее удобным?
> И какая из "исчезнувших фич" сделала его менее удобным?Аппроксимируя, получаем что веб-киоск - пи...ц как удобно, да? :)
RequestPolicy несовместим с Firefox 38.0.1, как мне сегодня выдало. Траходактели из Мозиллы постоянно что-то ломают, отваливаются расширения, становится ущербным интерфейс, хотят от HTTP отказаться — это типа так и надо?
opera 12
> opera 12Те кто закладывался на проприетарь - должны знать что их ожидает.
проприетарь? я почему-то бесплатно юзаю оперу, и ничего ни кому не платил, чего это я? и кстати, юзаю я ее до сих пор, просто потому, что все попытки перелезть на хромиум и фирфокс - не окончились успехом, не хватает функционала...
> проприетарь? я почему-то бесплатно юзаю оперу, и ничего ни кому не платил,...и ничего в ней исправить не в состоянии -- речь именно об этом, а не о цене.
>> проприетарь? я почему-то бесплатно юзаю оперу, и ничего ни кому не платил,
> ...и ничего в ней исправить не в состоянии -- речь именно об
> этом, а не о цене.вы так говорите, как будто с хромом и лисой можно многое исправить.
> вы так говорите, как будто с хромом и лисой можно многое исправить.По хрому некоторые видят смысл потеть вплоть до отладчика, т.к. баги покупают; по лисе есть багзилла проекта, знакомые в нём и исходники, если совсем припрёт.
> вы так говорите, как будто с хромом и лисой можно многое исправить.Форки есть. Исправляют.
> Вам браузер нужен чтобы его настраивать или чтобы просматривать web?Ты опять со своими ложными дихотомиями? Сгинь.
> из-за большого количества тупых пользователей с автообновлениями это становится быстро новым стандартом вебавот и отлично.. теперь web-разработчикам можно сразу начинать использовать новые web-стандарты , не дожидаясь пока люди стали бы вручную обновлять свои браузеры :-)
>> из-за большого количества тупых пользователей с автообновлениями это становится быстро новым стандартом веба
> вот и отлично.. теперь web-разработчикам можно сразу начинать использовать новые web-стандарты
> , не дожидаясь пока люди стали бы вручную обновлять свои браузеры
> :-)в погоне за свистелками, ага...
> , не дожидаясь пока люди стали бы вручную обновлять свои браузеры :-)Мозилла зае...ла ломать браузер знакомым хомякам. Знаешь, когда после обновления браузер не стартует или трескает 100% проца или половина расширений отпадает - это таки гемор и отольется мозиле, имхо.
Согласен, именно тут пересекаются две стороны медали, с одной - готовое устройство воткнул и забыл, с другой обновления с улучшениями и заплатками. Можно настройть автопроверку обновлений на устройстве, уж где-где, а на роутере это проще всего, но ведь не смогут они без новых багов, и поток "все работало нах лезть" подмочит производителю жизнь, можно встроить на подобии рекламы в страницы бегущие через роутер варнинг о критикал апдэйт с переходом на страницу с инфой и прочим, но блин, ведь не удержатся производители и рекламу свою впихнут или чужую зарежут и будет оно каждый день орать о критикал еррор, чтобы базу адблока обновляли с прошивкой, короче нет решений у задачки. Разве что в антивирь добавить сканилку локальной сети, чтоб находил устройство опозновал и проверял багнутость прошивки, но это как-то ))
Более того - многие производители открытым текстом говорят в мануалах "обновляйтесь, только если у вас проблемы, если проблем нет и всё работает - не трогайте". А кроме этого - манера в одном корпусе под одной моделью продавать разные устройства, даже не всегда присваивая им разные номера ревизии.
> Мы не рекомендуем пользоваться маршрутизатором производителя ***Вот, а помимо черного списка? белый есть? Типа наоборот "Мы рекомендуем пользоваться маршрутизатором производителя ***"
Да.
При чём у каждого производителя он свой.
У каждого провайдера он свой. Закупается партия, затем продаётся с наценкой к рынку. А на сайте потом висят "рекомендуемые роутеры" и мелким шрифтом "работа нашего интернета с нерекомендованными роутерами не гарантируется".
ну они хотя бы продают то что работает у них и то что они протестировали, и между прочим это очень неплохо. В свое время когда только пошел анлим люди покупали всякую дрянь, как страдал от этого саппорт я даже говорить не буду.
Саппорт страдал не от роутеров, работающих по стандарту, а от провайдерского оборудования и настроек, которые стандарт пытались обойти.Russia PPTP
Russia L2TPИмпортозамещение состоялось, господа. У нас даже протоколы свои, именные. А тайваньский производитель железа вынужден направлять своих представителей в Россию чтобы по факту узнать чем его реализация Russia L2TP отличается от реализаций L2TP провайдеров страны. Если думаешь, что в Пензе работает Russia L2TP от московского Билайна, то очень заблуждаешься. Не работает. Впору делать Russia Penza L2TP и пр. по всем городам, весям и провам.
Особенно это заметно когда ездишь по странам.Сингапур: L2TP
Китай: L2TP
Тайвань: L2TP
Япония: L2TP
США: L2TP
Европа: L2TPРоссия: Russia L2TP + часы споров с тех. поддержкой по поводу низкой скорости и частых разрывов, итогом которых является "у вас роутер неправильный". Ну да..........
> Россия: Russia L2TP + часы споров с тех. поддержкой по поводу низкой
> скорости и частых разрывов,Все проще, чувак. В европах и прочих сингапурах L2TP используется для чего? Правильно - для доступа в офис. А не для пропуска всего клиентского траффика вообще.
А у нас как?
- Энтузиасты сделали сети. Из офисных свичей.
- Комерсы прибрали к рукам и стали продавать выход в и-нет.
- ВНЕЗАПНО, юзеры возрадовались. А комерсы заметили что дешевые офисные свичи не умеют авторизацию. И поэтому если кто не платит за интернет, перекрыть ему этот интернет - почти нереально.
- Переделывать сеть - сцукодорого.
- Но у нас же страна инженеров! Почесав репу придумали - локалка это только локалка. Ей можно пользоваться нахаляву. А чтобы был интернет - извольте VPN соединение до сервака. А вот там уже будет авторизация. И те кто не заплатил - пойдет в пень и интернет не получит.В результате PPTP/L2TP используется не столько по причинам проброса траффа сколько по причинам авторизации. А роутеров у юзерья еще не было когда это внедрили.
И, конечно же, хреновая работа оборудования тайваньцев, китайцев и т.д. с уродливейшими костылями наших провов это вина первых, а не вторых.
Я не защищаю дешёвый soho, он и без того часто крив до безобразия, но списки нерекомендуемого оборудования, исходя из своего опыта, чаще видел у провайдеров как раз таки предоставляющий доступ через vpn (L2TP в частности). Кто предоставляет доступ через pppoe в блэклисты отправляет оборудование чаще всего из-за хренового мультикаста/igmp, из-за которого касячит iptv.
> И, конечно же, хреновая работа оборудования тайваньцев, китайцев и т.д.Во всем остальном мире:
1) ВЕСЬ ТРАФФИК НЕ ГОНИТСЯ ЧЕРЕЗ ВСЯКОЕ VPN-БАРАХЛО. Всякие PPP-образные протоколы, оставшиеся по недоразумению со времен диалапа - требуют от проца довольно много лишних действий. Поэтому у остального та же железка работает В РАЗЫ БЫСТРЕЕ и им неведомы и не понятны такие заявы. Они не делают из роутера клиента PPTP или L2TP VPN который должен на 50-100Мбит не только нат, фаер и роутинг, но еще всякую дурную энкапсуляцию, эскейпинг и кучу всего еще. Поэтому эти железки "хреново работают" только на родине слонов. В остальных странах они работают нормально. И ничего не тормозит. Но даже на родине слонов можно найти прова без VPN, и та же самая мыльница там сможет выжать в три раза больше.
2) Проблема сессий - в том что они STATEFUL. Если у юзера выпадет пара пакетов на обычном роутинге, или там пров DHCP сервер перезагрузит и прочая - да юзверю все это не видно. Ну накрайняк будет небольшая пауза в данных. Потери пакетов. Но айпишник не слетит. Сессия не накроется. И софт ничего особо не заметит.А вот эти VPN - stateful. Особенно злобно если IP динамический выдается. Малейший пшик - сессия падает. Айпи меняется. Все соединения - рвутся. Юзверя везде разлогинивает. Чатики дисконектятся, игры вырубаются, в качалках и торентах скорсть - в плинтус. Спасибо если битых данных не приезжает. Извините, но это - гoвно. Непотребное. И ему не место в XXI веке.
> костылями наших провов это вина первых, а не вторых.
Ну вот правда во всем остальном мире, в этих сингапурах и европах это soho работает вполне нормально. Вот они и недоумевают на эти писки-визги. И даже лучший роутер ничего не сможет поделать с перезапуском VPN сервера и отвалом на нем всех сессий, например. Айпишник внешки при этом неизбежно потеряется и все соединения упадут, хоть там что.
> частности). Кто предоставляет доступ через pppoe
А кто предоставляет "просто роутинг по DHCP через управляемый свич" - вообще никаких проблем не имеют: юзер втыкает комп или железку. Оно работает. И быстро. Даже настраивать ничего не надо. Ни логинов, ни паролей. Бонусом вероятно еще и нагрузка на саппорт снижается, т.к. всякие овощи не канифолят мозг по поводу логинов, кривых настроек впнов и прочая. Там просто негде облажаться.
> всего из-за хренового мультикаста/igmp, из-за которого касячит iptv.
Ну мне IPTV ни в п...у, ни в красну армию и поэтому я не в курсе этой проблематики. Пусть с этим сношаются те кому оно надо.
>> И, конечно же, хреновая работа оборудования тайваньцев, китайцев и т.д.
> Во всем остальном мире:
> 1) ВЕСЬ ТРАФФИК НЕ ГОНИТСЯ ЧЕРЕЗ ВСЯКОЕ VPN-БАРАХЛО. Всякие PPP-образные протоколы, оставшиеся
> по недоразумению со времен диалапа - требуют от проца довольно много
> лишних действий.То-то я видел жалобы на кривых провайдеров с VPN-технологиями в Великобритании, Бельгии, Франции, Канаде... Жадность и лень — понятия интернациональные.
Что до Russia L2TP - оно, на самом деле, о том, чтобы локальную сеть не гонять через VPN-подключение. Это плохое решение для VPN в его изначальнои предназначении, но разумное для домашних пользователей. И никакой магии.
> Из чего я заключаю, что роутер работает как надо, а проблема в провайдере.Надо же, и в дepьме встречаются жемчужины - даже микрософтовский бот иногда может сказать дельную мысль.
> То-то я видел жалобы на кривых провайдеров с VPN-технологиями в Великобритании, Бельгии,
> Франции, Канаде...Ну ты сравни объем этих жалоб, да? Тут только какая-нибудь одна "горбина" (заметьте, благодарные пользователи даже название отражающее всю суть придумали) - заткнет за пояс всех остальных, вместе взятых.
> Жадность и лень — понятия интернациональные.
А пЫонЭрнеты из офисных свичей, прокостыленные до возможности тарификации ВПНом - довольно местечковое явление. Ну понятно что на те же грабли мог встать кто-то еще и придумать тот же костыль. Но более-менее массово это явление имеет место быть только в exUSSR, насколько я понимаю.
> Что до Russia L2TP - оно, на самом деле, о том, чтобы локальную сеть не гонять
> через VPN-подключение.Оно на самом деле о том что локалка - есть всегда, ее чисто технически нельзя отключить, ибо офисные свичи. А выход в интернет, который и несет основную ценность - таки тарифицируется - через аккуанты ВПН.
Очевидные недостатки этого варианта как минимум в том что
1) VPN сессии с динамическими адресами - падают при малейшей неидеальности, айпи меняется, все везде отваливается и разлогинивается. Юзерей вымораживает.
2) Мощные сервера под впн и каналы к ним - дорого, грабельно, узкое место и источник множества проблем на ровном месте.
3) Два газилиона проблем с логинами и паролями и параметрами впн. Юзеры проябывают кренделя или неверно вбивают, путают параметры впн и прочая. А в саппорте в результате очередь звонков на три часа. С понятными последствиями для затрат на саппорт, для репутации прова и все такое прочее.
4) ВПН грузит роутеры у юзеров почем зря. А без роутера - гм, эзернет в смартфон воткнуть почему-то не получается.
5) Примерно 95% хомяков не знает чем отличается WAN и LAN. Зато если у прова свич глупый - такой хомяк роняет весь сегмент левым DHCP. А если свич умный - так вся эта котовасия с впн даром не сдалась.> в его изначальнои предназначении, но разумное для домашних пользователей.
Это - костыль г-нному оборудованию сети. Надежный признак того что провайдерская сеть это бывший пЫонЭрнет, сделанный из г-на и палок бухими студнями, давно и из того что под руку попалось. При том это попавшееся под руку - было предназначено для офисов, а то и SOHO, в проблемы провайдинга - не умело чуть более чем полностью. Поэтому коммерсы прокостылили отруб халявщиков как сумели.
К такому провайдеру нет никакого смысла заказывать новое полключение, если есть более нормальный конкурент под бокм. Зачем подключаться к сети хаотично слепленой из трэша и потом иметь кучу проблем с впн, если есть более адекватные варианты? Где никакие сесси не падают. роутеры работают в 3 раза быстрее, не надо помнить ничего кроме номера счета для пополнения, и вообще.
У одного производителя модели могут варьироваться от уровня "чудовище" до уровня "красавица", даже в рамках моделей такое возможно от ревизии к ревизии.Нам, не так давно, коллеги из числа производителей, представили концепцию - вируал-хом-роутер. - Имея VLAN на абонента, можно настроить существующее оборудование таким образом, что оно будет цеплять абонента в некий аналог - netns линукса, с вэб-мордой на которой абонент сможет управлять доступом в инет отдельных своих устройств, включать родительский контроль, устанавливать лимиты, приоритеты, смотреть статистику и даже объединять точки подключения, формируя типа-L2 туннель между филиалами просто байдизайн. Но реализация на данный момент - это отдельная стойка с кучей серваков, которая стоит невероятных денег. Хотя идея хорошая и решает проблему с роутером, перекладывая это на прова. Но если пров не один, то все пропорционально усложняется.
Зачем каждому свой биллинг? Школьницы вай-фай не всегда запоролить могут, а седобородые админы уже поставили себе старый пентиум 4 и настроили гейтвеяшейперобиллинг.
> а седобородые админы уже поставили себе старый пентиум 4P4 был ужасен. А так да, fli4l на 486 вполне себе ISDN-ило...
> решает проблему с роутером, перекладывая это на прова.Да щаз. На третий день Зоркий Глаз заметил что от провайдера идет ОДИН провод. Чтобы его разветвить на все девайсы, а потом еще и раздать wi-fi - всяко нужен какой-то девайс. Свич может и катил бы, если бы все девайсы были с только эзернетом. Но чисто свич + беспроводка это по вашему как должно быть? Это значит что должен быть проц, вебморда для настройки как минимум беспроводки, и какой-то бриджинг между беспроводкой и проводной сетью - проц будет между ними данные гонять. При том при современных скоростях это означает что в девайсе всяко будет мощный проц. Вы ж не сделаете радиоинтерфейс в хате юзера ремотно-виртуально, чудаки :)
...поэтому нормальные провы - не выеживались и просто поставили управляемые свичи, позволяющие заглушить неплательщику порт. А интернет с точки зрения юзерей - обычный роутинг. С обычным DHCP. Втыкаешь комп. Или если девайсов более 1 - роутер. И оно просто работает. И ничего не тормозит - нечему в роутинге тормозить, так что даже слабые мыльницы рулят десятками Мбит. И понятия "сессий" из эпохи диалапа нет. А с точки зрения прова - нет никаких убер-дорогих серверов и жалоб на падающие сессии.
> заглушить неплательщику портАга, руками на свич зайти и заглушить, "нормальные" да.
> свич + беспроводка это по вашему как должно быть
Так и должно быть, - мост со всеми интерфейсами, можно запретить новым устройствам доступ в инет, и разрешать на вэб морде, тогда вафлю можно открытой делать. Это не хуже чем сейчас - дырявые л3 роутеры. Хош секурности бери и заморачивайся
> с точки зрения прова - нет никаких убер-дорогих серверов и жалоб на падающие сессии
Зато есть куча заморочек с недоадминами, которые в собственной сети нихера понять не могут и названивают, рассказывая как они ничего не качали, а деньги списали, как у них все тормозит, потому, что именно им мы режем инет, а их соседям нет. Таких жалоб ~70%.
> чудаки
Вы бы поработали, а потом говорили.
> Ага, руками на свич зайти и заглушить, "нормальные" да.Ты что, совсем виндyзятник?! O_O Все кто в здравом уме - такие операции автоматизируют. Биллинг иногда смотрит по базе кто задолжал и тушит порты или файрволит плохишей. Там же не надо никакого особого реалтайма. А когда они заплатят - возвращает как было. И всем становится хорошо. Ессно все это - на полном автомате. И все это есть и работает, у целого ряда провов.
Бонусом - неглупые свичи с умениями базового фаера - ограждают сеть (путем ограничения портов UDP 67/68) от ретардов, традиционно путающих LAN и WAN у своей мыльницы (да, люди бывают тyпыми НАСТОЛЬКО). У более глупых или жлобастых провов использующих обычный роутинг - такой ретард в два счета кладет сегмент левым DHCP. А вот с парой костыликов со стороны нормального свича и его фаера - нормально. И "традиционная" топология построения сетей остается одним из лучших решений. В плане отсутствия слетов сессий, отсутствия супер-серверов, разумной топологии и вообще - минимальный гемор для всех участников процесса.
> Так и должно быть, - мост со всеми интерфейсами,
Никто в этом мире никому ничего не должен, особенно - вам. Реально - оптом для юзерей производятся роутеры которые именно роутеры, а не что-нибудь еще. В большинстве случаев с фабрики они выходят с ожиданием DHCP на WAN порте и своим собственным DHCP на LAN. Это данность. У провов которые делают как я описал - такие девайсы начинают работать просто после втыкания в них проводов. Как впрочем и кабель от прова воткнутый в просто комп с {виндой, линем, маком или какой там у них еще QNX}. Это удобно. Не надо помнить никаких логинов-паролей, etc и саппорт никто не будет иметь при склерозе или сбросе мыльницы на фабричные настройки.
> можно запретить новым устройствам доступ в инет, и разрешать на вэб морде,
> тогда вафлю можно открытой делать.Круто. А что помешает атакующему спи...ть пару {IP, MAC} у вон того разрешенного девайса, установив их на своем интерфейсе и получив в результате порцию халявного интернета, даже еще проще чем с вездесущим WPS и дырявым WEP? :)
> Это не хуже чем сейчас - дырявые л3 роутеры. Хош секурности бери и заморачивайся
Пользователям в общем случае нафиг не сдался гемор с походом на левые вебморды какого-то там провайдера, чтобы новый смарт к своей домашней сетке прицепить. И логины-пароли они вечно забывают. И если единственный WPA2-пароль сети - хомяков еще более-менее можно со скрипом обучить печатать, то что-то сверх того - отольется в жесткач для саппортов. И вы таки или увеличите их штат в 5 раз, попав на деньги, или у вас будет адское время дозвона и очень злые пользователи в стиле "ни единого разрыва", их будет много и они будут эффективно смешивать вашу репутацию с г-ном, при том - за дело.
А говоря за лично себя (административно настроенного технаря, который этим хомякам такие сетки и настраивает зачастую) - я как-то могу в OpenWRT настроить фаер или фильтр MAC, а светить прову полную топологию сети и столь подробно отчитыавться какие я там девайсы юзаю - я вообще труба шатал. А предлагаемую вами топологию я считаю defective by design.
> Зато есть куча заморочек с недоадминами, которые в собственной сети нихeра понять
> не могут и названивают, рассказывая как они ничего не качали, а деньги списали,Правда жизни такова что семейство протоколов IP никогда не создавалось с прицелом на тарификацию. Поэтому ... если кто-то например шлет хомяку трафф, хомяк просто не может его не принять, хоть там что. Протоколы так устроены. И мысль оплачивать это выглядит странно с точки зрения хомяка, поскольку не факт что этот трафф был вообще запрошен хомяком и нес какую либо ценность для него, не говоря о том что он мог "просто посмотреть мувик на ютубе". А оплачивать то что не имело ценности может возжелать только круглый идиoт.
...по этой причине большинство провов в здравом уме и твердой памяти сдались и просто сделали анлимы с той или иной нарезкой бандвиза, некий оверселл и задействовали теорию массового обслуживания. Когда небольшой процент "качков" или "неудачников которым налили траффика" ни на что особо не влияют и на них могут в принципе и не обращать внимания, кроме может каких-то совсем клинических случаев типа сервирования торрентов терабайтами много месяцев подряд. В результате складываются нормальные отношения, когда услуга работает с минимальным поимением всех участников. Юзерам не надо мозготрах - они не за это платят.
> как у них все тормозит, потому, что именно им
> мы режем инет, а их соседям нет. Таких жалоб ~70%.А это потому что вы фигней страдаете в общем случае. Для домашнего интернета оплата по траффику - архаика. А анлим подразумевает что в принципе допустимо качать на его тарифной скорости достаточно длительно времени без каких либо предъяв.
А вы больше денег тратьте на всякие мегасервера, не несущие юзерям ничего кроме гемора вместо расширения инфраструктуры - и пользователи как раз и уйдут к конкурентам. С которыми нет дурных проблем и заморочек.
Ну а особо флудливых хомяков например бурно извергающих спам можно рубануть фаером на их свиче, накрыв конкретно этому хомяку порт 25. А дальше, если у хомяка был почтарь - он уже начнет выяснять у саппорта с фига ли почта больше не работает. Вот так хомяк может и начнет выводить вирусы. Впрочем не факт.
> Вы бы поработали, а потом говорили.
Я уже ...цать лет в IT. Но это не обязывает меня стать таким же яйцеголовым как вы и оторваться от реалий.
> O_O Все кто в здравом уме - такие операции автоматизируют. Биллинг иногда смотрит по базе кто задолжал и тушит портыА вы из криокамеры? добро пожаловать, редирект давно у нормальных провов работает.
> Реально - оптом для юзерей производятся роутеры которые именно роутеры, а не что-нибудь еще
А еще в реальном мире насилуют детей и бомбят города, но это НЕ значит, что так и должно быть.
> Круто. А что помешает атакующему спи...ть пару
IP - 192.168.1.2, да ради бога, хочешь секурности настраивай, не умеешь плати тем кто умеет, пров не виноват ни в чьем долбоибизме и не обязан никому ничего настраивать, но такой подход - виртуал-хом-роутер решат проблему косячных прошивок роутера, и это куда более реальный сценарий , чем добится от производителей нормальной секурности роутеров.
> Пользователям в общем случае нафиг не сдался гемор с походом на левые вебморды
Они не левые, а правые, в идеале - интеграция с личным кабинетом, это удобно 1 портал для управления своим каналом, а у вас видимо ума не хватает понять разницу между идеей и ее первой и уж какой есть реализацией.
> И если единственный WPA2
А личного кабинета у ваших абонов нет, ну-ну
> А говоря за лично себя (административно настроенного технаря
Да большенству людей дозвезды чего они светят, если вы такой умный, никто у вас возможность впихнуть свой роутер и натится на нем не отбирает, это дополнительный уровень абстракции, который позволяет централизовать и сильно упростить типовые задачи обычных людей.
> семейство протоколов IP ..
NAT решает проблему незапрошенного трафика
> А это потому что вы фигней страдаете в общем случае. .. оплата по траффику - архаика
А никто не говорил о помегабайтной оплате, но какбы там ни было, это право оператора, знаете сколько стоит мегабит спутникового канала, а знаете какого качества такие каналы у нас, вот и не надо ляля, а оптику до отдельных деревенек тянуть, это дешевле оттуда всех в Париж на пмж переселить.
> Ну а особо флудливых хомяков например бурно извергающих спам можно рубануть фаером на их свиче, накрыв конкретно этому хомяку порт 25. А дальше, если у хомяка был почтарь - он уже начнет выяснять у саппорта с фига ли почта больше не работает. Вот так хомяк может и начнет выводить вирусы. Впрочем не факт.
> Я уже ...цать лет в IT. Но это не обязывает меня стать таким же яйцеголовым как вы и оторваться от реалий.
> Я уже ...цать лет в ITВ каком-нибудь хламтелекоме? Ну дело ваше, но оператор права не имеет рубить порт абону, это называется - "сетевой нейтралитет", вам платят не за то, что вы контролируете, что делает абон, есть сорм, это работа его и товарищей его владельцев, когда у вас счет абонов на сотни тысяч заниматься херней, это как раз рубить порты.
> таким же яйцеголовым
))), ну а ваша узколобость меня улыбает.
> А вы из криокамеры? добро пожаловать, редирект давно у нормальных провов работает.Редиректы - ну я рад за вас. А что все-таки за сказ про ручное отключение свичей? Мне не понятно: как стафф прова может быть настолько чужд идеям автоматизации, что даже мысль не допускает что свичи дергает автоматика? Это вообше как?
> НЕ значит, что так и должно быть.
А по-моему все вполне логично получается. И по минмуму конфигуряемо втыканием проводов. Без ...бучих вебморд, особенно прововских.
А если сделать бридж - станет только хуже, в плане того что ломать станут не только роутер на границе сетей, но и всевозможные китаефоны с древним как помет мамонта софтом, умные телевизоры обновлявшиеся три года назад, писюки с пираццкой виндой не получающие обновлений и прочие кофемолки.
> IP - 192.168.1.2, да ради бога, хочешь секурности настраивай,
Единственное что можно настроить в беспроводке, чтобы всякие левые типы в сети не водились - WPA2 с нормальным паролем и без какого либо намека на WPS. А если сеть открытая, атакующий в радиусе действия точки доступа может выставить себе на и-фейс это ваше 192.168.1.2 и мак как у разрешенного девайса. Ну и все - халявный инет без лишних хлопот.
> такой подход - виртуал-хом-роутер решат проблему косячных прошивок роутера,
Не вижу что он решает. Провод он не разветвляет, беспроводной интерфейс из провода - не отращивает. Значит, девайс который все это сделает - нужен. Ну и его хзкакая прошивка - остается. А фильтрация по MAC... остановит только совсем нубастых пЫонЭров. Но уж явно не матерых ботнетчиков.
А лично я - о своем провайдере помню только номер счета. Вот мне делать не..й как помнить еще какие-то их логины-пароли в количестве пяти штук, адрес какой-то там вебморды прова и какую там еще буиту.
> чем добится от производителей нормальной секурности роутеров.
Это кусок страдания фигней, который создает новые проблемы, не решая старые, имхо.
> Они не левые, а правые, в идеале - интеграция с личным кабинетом,
Мое общение с провом строится по принципу "ввел циферки в автомате оплаты, засунул купюры, включился интернет". Последний раз я видел ЛК 2 года назад и не помню по какому адресу он живет и тем более кренделя к нему. Это хорошо и мне (нет мозготpaха) и прову(нет нагрузки на саппорт).
> видимо ума не хватает понять разницу между идеей и ее первой
> и уж какой есть реализацией.Я глядя на мой юзкейс и то как пользуются интернетом знакомые хомяки понимаю что вы там в вашей шарашке от реалий оторвались. Вы действительно думаете, что хомяки мечтают ходить в какие-то ЛК, купив очередной планшет или пригласив гостей? Идиотека.
> А личного кабинета у ваших абонов нет, ну-ну
Если вы думаете что абонентам хочется денно и нощно тусоваться в ЛК, да еще прописывая туда все пять смартфонов пришедших к ним гостей... мне почему-то кажется что пользователи будут совсем иного мнения на этот счет.
> упростить типовые задачи обычных людей.
Нифига себе упрощеньице. Помнить адрес и кренделя вебморды, прописыать туда каждый девайс и что там еще. Вместо того чтобы просто сказать гостям название сети и пароль и они получат интернет. При том девайс для разветвления инета и беспроводки - останется. У него будет своя морда для настройки как минимум параметров беспроводки и прочая. И хзкакая прошивка. И ему придется какой-никакой доступ в сеть дать. Ума не приложу в каком месте выигрыш наступает.
> NAT решает проблему незапрошенного трафика
Простите? В каком месте он ее решает? То что кто-то убил пакет фаером, не отменит того факта что пакет до этого занимал свое время в проводах, вплоть до самого ната. Не говоря о том что нат на стороне прова - жирный минус прову в общем случае. Т.к. от него много гемора пользователям.
> А никто не говорил о помегабайтной оплате, но какбы там ни было,
> это право оператора,Во первых, права оператора, равно как и пользователя - прописаны в договоре. Если юзерь нарушает - его можно отключить или там скорость снизить или что там еще из того что в договоре указано. Но делать это по понятным причинам не любят: при минимальном наличии конкурентов юзверя можно потерять. А вот если оператор наглеет - вот оператору уже есть что терять. Начиная от того что юзерь может просто уйти к конкуренту, если это не совсем пустыня и заканчивая возможностью судебного процесса.
> знаете сколько стоит мегабит спутникового канала,
Да это вообще ваши проблемы. Не умеете работать - "ничего личного, это бизнес". Пользователей все это интересует слабо.
> а знаете какого качества такие каналы у нас,
Имел шансы ощутить, поэтому догадываюсь.
> а оптику до отдельных деревенек тянуть, это дешевле оттуда всех в
> Париж на пмж переселить.А это где как. Доступные опции в конкретной местности могут дико варьироваться. В некоторых деревеньках не достреливает даже GPRS. А местами... ну например вдоль ЖД линий PIDаров во многих местах есть характерная конструкция из выделенной линии на 10 ... киловольт (для питания пунктов регенерации) и пучка оптоволокна. Такие фиговины тянутся на сотни километров. И несут достаточно нормальный интернет.
> В каком-нибудь хламтелекоме?
Это вроде больше на вас похоже, по совокупности.
> оператор права не имеет рубить порт абону,
Что имеет право оператор - прописано в договоре. И операторы имевшие башню на плечах - давно прописали в договоре что абузивное поведение типа рассылки спама и атак на другие системы - запрещается. И никто разумеется не нагибает клиентов без крайней необходимости. Но если 1 клиент валит спам и в блеклист летит вся подсеть, проблемы с отправкой почты начинаются у толпы народа.
> это называется - "сетевой нейтралитет", вам платят не за
> то, что вы контролируете, что делает абон, есть сорм, это работа
> его и товарищей его владельцев, когда у вас счет абонов на
> сотни тысяч заниматься херней, это как раз рубить порты.Теоретически, с точки зрения идеалиста все как бы правильно. Практически - у операторов есть TOS/AUP с которыми абонент соглашается при подключении. И там обычно прописано что запрещается создавать помехи в работе других систем. Поэтому если юзерь начинает зарываться в плане проведения атак или спама, его можно вполне законно отключить.
А с практической точки зрения все определяется целесообразностью. Пока взаимодействие имеет смысл и взаимовыгодно - оно есть. Когда это не так, одна из сторон расторгает договор. Если юзеру не нравится пров - он им прекратит пользоваться при удобном случае. Если прову дешевле отключить особо проблемного юзера чем нарваться на тот факт что за спам его подсети внесли в блеклисты все вокруг, так что почту не сможет слать целая толпа клиентов, а договор позволяет тот или иной маневр - "ничего личного, это бизнес". В принципе бывают например хостеры готовые за (сильно отдельные) деньги потерпеть довольно много выходок от клиента, посылая всех с их абузами в пешее эротическое. Но они за такое довольно прилично деpyт, так что оплата перевешивает неудобства и риски.
> Редиректы - ну я рад за вас. А что все-таки за сказ
> про ручное отключение свичей? Мне не понятно: как стафф прова может
> быть настолько чужд идеям автоматизации, что даже мысль не допускает что
> свичи дергает автоматика? Это вообше как?
> А лично я - о своем провайдере помню только номер счета. Вот
> мне делать не..й как помнить еще какие-то их логины-пароли в количестве
> пяти штук, адрес какой-то там вебморды прова и какую там еще
> буиту.
> Мое общение с провом строится по принципу "ввел циферки в автомате оплаты,
> засунул купюры, включился интернет".А зачем их дергать? для абона назначается политика с редиректом на лк через радиус и никуда он не уйдет кроме днс, лк и сайтов оплаты с карт. И как нормальный белый человек может не бегая ни к какому терминалу все оплатить, или нажать кнопочку обещанного платежа, я лет 5 уже не пользовался терминалом и не платил барыгам %, вам нравится не туда деньги отправлять или возвращаться к терминалу забыв оплатить и вспомнив, что инет закончился, ну бред же.
> А по-моему все вполне логично получается. И по минмуму конфигуряемо втыканием проводов.
> Без ...бучих вебморд, особенно прововских.У вас какие-то проблемы с вэбом?
>[оверквотинг удален]
> не водились - WPA2 с нормальным паролем и без какого либо
> намека на WPS. А если сеть открытая, атакующий в радиусе действия
> точки доступа может выставить себе на и-фейс это ваше 192.168.1.2 и
> мак как у разрешенного девайса. Ну и все - халявный инет
> без лишних хлопот.
> Не вижу что он решает. Провод он не разветвляет, беспроводной интерфейс из
> провода - не отращивает. Значит, девайс который все это сделает -
> нужен. Ну и его хзкакая прошивка - остается. А фильтрация по
> MAC... остановит только совсем нубастых пЫонЭров. Но уж явно не матерых
> ботнетчиков.У многих только 1 устройство, и многим дозвезды что кто-то сидя в подъезде или из соседней квартиры пользует их безлимитный инет и они сознательно ставят опенвайфай.
Другие просят пароль, и им ставят его, никто ничего никуда гвоздями не прибивает.>> видимо ума не хватает понять разницу между идеей и ее первой
>> и уж какой есть реализацией.
> Я глядя на мой юзкейс и то как пользуются интернетом знакомые хомяки
> понимаю что вы там в вашей шарашке от реалий оторвались. Вы
> действительно думаете, что хомяки мечтают ходить в какие-то ЛК, купив очередной
> планшет или пригласив гостей? Идиотека.Шарашка эта в тройке крупнейших операторов РФ.
Идиотика это судить всех по себе, то что вы не пользуетесь не значит, что другие не пользуются, а у нас есть статистика, и циферки с которыми хрен поспоришь.> Если вы думаете что абонентам хочется денно и нощно тусоваться в ЛК,
> да еще прописывая туда все пять смартфонов пришедших к ним гостей...
> мне почему-то кажется что пользователи будут совсем иного мнения на этот
> счет.Когда кажется креститься надо.
> Нифига себе упрощеньице. Помнить адрес и кренделя вебморды, прописыать туда каждый девайс
> и что там еще. Вместо того чтобы просто сказать гостям название
> сети и пароль и они получат интернет. При том девайс для
> разветвления инета и беспроводки - останется. У него будет своя морда
> для настройки как минимум параметров беспроводки и прочая. И хзкакая прошивка.
> И ему придется какой-никакой доступ в сеть дать. Ума не приложу
> в каком месте выигрыш наступает.Выйгрыш наступает в сегменте малого бизнеса, тогда ИП Иванову вообще админ нафиг не упал и в своей квартире-конторе он может инетом у бухов рулить сам, но и для обычных людей отпадает необходимость ставить специальный софт чтоб чадо на порнушку не напоролось, но вы ведь не понимаете простой идеи, что если это вам лично не надо вы не обязаны этим пользоваться, это дополнительная услуга.
>> NAT решает проблему незапрошенного трафика
> Простите? В каком месте он ее решает? То что кто-то убил пакет
> фаером, не отменит того факта что пакет до этого занимал свое
> время в проводах, вплоть до самого ната. Не говоря о том
> что нат на стороне прова - жирный минус прову в общем
> случае. Т.к. от него много гемора пользователям.А вот это ересь откровенная, за такое надо пинком вышвыривать из IT.
NAT это костыль вылизаный и вросший в тело ip4 до того, что стал его неотъемлемой частью, с чего бы тогда его в v6 стали портировать, он достаточно надежно изолирует нежное мясо необновленных виндов от клыков ботнетов, но раз вы таких простых вещей не знаете я вам сочувствую.> Во первых, права оператора, равно как и пользователя - прописаны в договоре.
Тогда в-нулевых, оператор связи - обеспечивает трубу от пользователя до интернета, и засовывая нос в эту трубу оператор нарушает права человека на тайну личной жизни, или переписки. Договор может защитить оператора на суде, но я вам еще раз повторяю это НЕ ОПЕРАТОРСТАЯ РАБОТА, что непонятного, а если оператор сеть нормально построить не может, так чтобы абон не влиял на нее ну тогда извините, нанимайте юристов, чтобы они в договоре закрыли все косяки специалистов, железа и софта.
> Да это вообще ваши проблемы. Не умеете работать - "ничего личного, это
> бизнес". Пользователей все это интересует слабо.Зато гос-во интересует, и когда дядя путин приезжает в такую деревеньку его эти бизнесы мало волнуют, и минсвязь в приказном порядке обесвечивает пунк связью за счет коммерческих организаций, ну да большой жирный оператор может себе позволить, да может, но за ваш счет уважаемый пользователь)). И вы же потом в боложиках орете, вот сранный **** опять цены поднял))
> Имел шансы ощутить, поэтому догадываюсь.
)) Вот. А канала надо минимум 2 - для резервирования с 2х спутников на разных орбитах, и спутниковые операторы за 0.5 мбита даже разговаривать не станут.
> А это где как. Доступные опции в конкретной местности могут дико варьироваться.
> В некоторых деревеньках не достреливает даже GPRS. А местами... ну например
> вдоль ЖД линий PIDаров во многих местах есть характерная конструкция из
> выделенной линии на 10 ... киловольт (для питания пунктов регенерации) и
> пучка оптоволокна. Такие фиговины тянутся на сотни километров. И несут достаточно
> нормальный интернет.Могут, но речь не о той России, которая ж/д охвачена, Россия велика.
>[оверквотинг удален]
> имеет смысл и взаимовыгодно - оно есть. Когда это не так,
> одна из сторон расторгает договор. Если юзеру не нравится пров -
> он им прекратит пользоваться при удобном случае. Если прову дешевле отключить
> особо проблемного юзера чем нарваться на тот факт что за спам
> его подсети внесли в блеклисты все вокруг, так что почту не
> сможет слать целая толпа клиентов, а договор позволяет тот или иной
> маневр - "ничего личного, это бизнес". В принципе бывают например хостеры
> готовые за (сильно отдельные) деньги потерпеть довольно много выходок от клиента,
> посылая всех с их абузами в пешее эротическое. Но они за
> такое довольно прилично деpyт, так что оплата перевешивает неудобства и риски.Так вот. NAT это решает, - большенству людей в голову мысль не придет почтовик разворачивать, но кто-то развернет, а кому-то червь развернет и сидя за NATом этот кто-то вдруг осознает, что эти ip в черных списках, но БОЛЬШЕНСТУ это дозвезды, и тот кто с червем даже не заметит, ни он, ни оператор, а вот тот кто сам развернет пойдет в тп и выделят ему белый адрес нигде не засвеченный и пусть он с ним делает, что хочет и платит за него отдельно, потому что оператору после этого этот ip отмывать. Так что.
> Мне не понятно: как стафф прова может
> быть настолько чужд идеям автоматизацииЭто структурная градация, есть сеть оборудования, прозрачная для абонов, но со своими серверами обеспечения, опорными магистральными кольцами и прочим, а есть биллинг и сервера поддержки пользователей. И обсуживают это разные подразделения, и изоляция между ними полная, то есть биллинг попросту не видит сеть оборудования, то есть если кто-то ломанет его он физически сеть не увидит, и если кто-то умный врежется в оптику на столбе, ну максимум район положит, но базы биллинга не сольет.
А еще есть офисная сеть, оттуда оператор тп может на няшной вэбморде определить 99% ошибок биллинга, а на другой транспорта, физически погасить абонентский порт и прочее прочее.
На этапе разворачивания сети функционал биллинга по взаимодействию с оборудованием поддерживался, но потом ввиду наличия проблем выпилился за ненадобнось, проще говоря - новое оборудование криво индексировало в snmp дереве свои физические порты, соответственно оператор тп гасил не 10 порт как он жал в биллинге , а какойто другой, и ладно если абонентский, а мог и магистральный - спасибо компании хуавей. Ну и биллинг не давал возможности запретить операторам тп гасить порты магистрали, а они после абонентских истерик не всегда адерватны, так что такое решение приняли.
> А зачем их дергать? для абона назначается политика с редиректом на лкМожно и как-то так. Только все эти редиректы вызывают массу глюков у софта и работают не всегда и не везде. А по мере развития ssl pinning, dnssec и https-only веба - ну ты понял. Юзерь эти потуги чаще всего не увидит. Hijack чужих cайтов таки собираются сорвать, а то поразвелось тут умников патчащих или изучающих чужой трафф...
> бегая ни к какому терминалу все оплатить,
Ну так я купюры засовываю слегка заранее, а не когда все уже фигакнулось. У меня интернет не блокируется. Для меня это критичный сервис.
> терминалу забыв оплатить и вспомнив, что инет закончился, ну бред же.
Бред - это когда мне начинают пытаться врезать в трафф какое-то гуано, при том что возникают дикие глюки. Но ничего, таким умникам крылья пообломают в самом обозримом будущем, просто выпилив http без шифрования.
> У вас какие-то проблемы с вэбом?
У меня какие-то проблемы с тем когда все перестает работать с непонятными глюками. Оказывается пров попытался редиректить. Но с SSL - работает понятно как :).
> У многих только 1 устройство,
Не знаю кто эти многие, но смарты и планшеты нынче встречаются чуть менее чем везде, как и всякие вумные телевизоры.
> пользует их безлимитный инет и они сознательно ставят опенвайфай.
Ну так это их дело. Если вам не нравится характер траффа - придется отключить.
Для тугих еще раз: через эфир можно передать произвольный мак. Например как у юзерского девайса. Фильтрация по маку срубит только наиболее глупых халявщиков. Так что такая конфига что с виртуальным свичом, что без - полное ситечко.
> Шарашка эта в тройке крупнейших операторов РФ.
Им там что, совсем некуда девать деньги? Вместо того чтобы инфраструктуру улучшать - занимаются каким-то образцовым кpeтинизмом. С введением новых точек отказа и дорогостоящих серверов.
> значит, что другие не пользуются, а у нас есть статистика, и
> циферки с которыми хрен поспоришь.Что у вас за статистика есть? Что там у юзеря в L2 творится - пров в случае роутера вообще не видит.
> Выйгрыш наступает в сегменте малого бизнеса,
Ну это еще может быть. И то - проблемы разветвления кабеля и всякой беспроводки это не решает. Т.е. все-равно покупать какие-то железки придется.
> рулить сам, но и для обычных людей отпадает необходимость ставить специальный
> софт чтоб чадо на порнушку не напоролось,А, ну так и скажи что это для цензуры делается, а не потому что так рациональнее сеть строить. Я и не сомневаюсь что вскоре там из разрешенного останется только кремлин.ру.
> но вы ведь не понимаете простой идеи,
Почему же, понимаю. Сделать из интернета очередной "первый канал" кремляди бы очень хотели.
> не обязаны этим пользоваться, это дополнительная услуга.
Мне почему-то кажется что это весьма временно. И потому идиoтская в плане пропуска траффа и точек отказа но удобная в плане цензуры топология вполне может быть пропихана добровольно-принудительно. В последнее время тренд именно такой и я бы не стал гордиться такой деятельностью на вашем месте, пожалуй.
> А вот это ересь откровенная, за такое надо пинком вышвыривать из IT.
За нат то? Да, надо. Сколько можно протоколы калечить и вызывать уйму глюков софта?
> стали портировать, он достаточно надежно изолирует нежное мясо необновленных виндов от
> клыков ботнетов,Вообще-то изоляцией занимаются ФАЙРВОЛЫ. В том числе и stateful.
> но раз вы таких простых вещей не знаете я вам сочувствую.
А, еще один МегаСисоп из Крупного Прова. Который NAT и Stateful Firewall не различает. NAT в IPv4 как таковой - чаще всего некая помесь с stateful firewall. Но таковой можно применять и на IPv6, например. А для хомяковых роутеров по дефолту это было бы еще и довольно разумно.
> засовывая нос в эту трубу оператор нарушает права человека на тайну
> личной жизни, или переписки.По такой логике, росглавжандарм - просто серийные преступники, для начала. Что нам скажет крупный пров по этому поводу? Вы б там разобрались с враньем и двойными стандартами, чтоли. А то DPI и трафф пользователя цензурить вам не нарушение на тайну, а тут - нарушение. Круто придумано.
> а если оператор сеть нормально построить не может, так чтобы абон
> не влиял на нее ну тогда извините, нанимайте юристов,Странно. С чего вдруг такой едкий батxepт?
> Зато гос-во интересует,
Да, его интересует. Сделать из интернета первый канал.
> и когда дядя путин приезжает в такую деревеньку
...то он нервничает что интернет - проект ЦРУ (да, он прямо так и сказал что интернет - проект ЦРУ). Ну подумаешь, ЦРУ, DARPA, какая нафиг разница.
> его эти бизнесы мало волнуют,
Это заметно, мягко говоря.
> себе позволить, да может, но за ваш счет уважаемый пользователь)).
Так есть рынок, есть спрос-предложение. Если мне не понравится такое обеспечение - я не буду услугой по несимпатичной цене пользоваться. А вот эти господа вообще филиал первого канала на мои налоги в прикахном порядке отбабахивают.
> И вы же потом в боложиках орете, вот сранный **** опять цены поднял))
Конечно, поднял. Если вместо развития сетевой инфраструктуры устраивать игрища с суперсерверами которые стоят дофуя и являются лишней точкой отказа - еще б они смогли дешево гонять мой траффик с хорошей скоростью. Это было бы не логично.
Судя по всему скоро можно будет забыть что мы когда-то были чуть ли не впереди планеты всей по качеству и скорости интернета.
> Могут, но речь не о той России, которая ж/д охвачена, Россия велика.
Это да. Я на самом деле в курсе что в России с интернетом очень по разному.
> Так вот. NAT это решает,Это не NAT а stateful firewall решает на самом деле. И бьющий себя пяткой в грудь кульсисоп из оператора большой тройки мог бы и знать что такое stateful firewall.
> придет почтовик разворачивать, но кто-то развернет, а кому-то червь развернет
Червю даром не упало "почтовик разворачивать". Червь конектится к C&C серверу и потом например спамит по свистку. Ему пофиг, нат там или не нат. Он почту шлет точно так же как обычный почтарь у юзера. И ему не важно, нат там или не нат.
> черных списках, но БОЛЬШЕНСТУ это дозвезды,
...кроме того что гугл вместо поиска постоянно просит ввести капчу, половина сайтов кажет 403, почта не доходит, и вообще.
> платит за него отдельно, потому что оператору после этого этот ip отмывать. Так что.
Странно что провайдер из большой тройки жмется на отдельный айпишник, ведя себя как типовой пЫонЭрнет. Это кто у нас такие позорники то нынче?
> Зато когда объявляешь своим абонентам "Мы не рекомендуем пользоваться маршрутизатором производителя ***"лучше бы делом занимались - блокировали Windows-машины, а то зае..ли, пол инета просит подтвердить что ты не бот.
> Google просит, Bing не просит.DuckDuckGo тоже не просит. И у них даже есть tor hidden service. И ищут они зело получше бинга нынче. Вот так вот нубы в стартапе сделали микрософтовских мамонтов по всем фронтам.
Почему-то этот ваш бинг все время пытается впарить то какие-то путешествия, то еще какую-то туфту, вообще никак не имеющую отношения к тому что я ищу.
> Почему-то этот ваш бинг все время пытается впарить то какие-то путешествия,
> то еще какую-то туфту, вообще никак не имеющую отношения к тому что я ищу.Так вот как клоун содействует отельному бузинесу Bill Gaytes :)
>>> Интересно, что попытка добиться исправления проблемы предпринималась с февраля, но прямое общение с производителями затянулосьКак обычно и бывает с проприетарщиной. "release cycle". В OS хотя бы фиксят быстро.
Критикуешь - предлагай. Предложи другую модель разработки, которая при прежней маржинальности обеспечила бы пожизненные обновления и тех. поддержку.
> Критикуешь - предлагай.Микротики за пару тысяч (по цене всяких нетжиров) c регулярными обновлениями?
Не, не слышал!
Хоум-рутеры от сисек c регулярными обновлениями?
Не, не слышал!> Предложи другую модель разработки,
Ну, просто не наглеть ТАК сильно и иногда, в добавку к индусам и студентам приглашать специалистов?
> которая при прежней маржинальности
> при прежней маржинальностиНу, тут все ясно - "мы хотим и далее грести бабло и перекладывать наши косяки на пользователей!"
> Микротики за пару тысяч (по цене всяких нетжиров) c регулярными обновлениями?...а также всякими "лицензиями". Дебиан на который надо лицензию - это сильно!!!
> Хоум-рутеры от сисек c регулярными обновлениями?
А оплачивает это кто? АНБшники? В обмен на доступ к данным, да? Новая услуга - BAAS. Backdoor As A Service! :)
> ...а также всякими "лицензиями". Дебиан на который надо лицензию - это сильно!!!Так вам шашечки или ехать (поддержка и обновления)?
Благо все включено в стоимость железки. И я очень сомневаюсь, что микротиковцы работают себе в убыток - т.е. как пример, что можно не только "выпустить и забить" но и "выпустить и поддерживать", вполне прокатывает.> А оплачивает это кто? АНБшники? В обмен на доступ к данным, да?
> Новая услуга - BAAS. Backdoor As A Service! :)А, ну да, в нетжирах такого нет и дырками типа сабжа анбу пользоваться брезгует :)
Ну и, внезапно (кто бы мог предположить!!!), в моделях для хомячков - пингвин.
> Так вам шашечки или ехать (поддержка и обновления)?Получать поддержку от тех кто зажимает сорц дебиана и впаривает какие-то "лицензии" - это примерно как уповать на "защиту от проблем" со стороны ларечного рэкетира.
Мне как-то OpenWRT проще использовать. Сорцы - доступны, булшита с лицензиями - нет, проект живой и поэтому с "обновлениями" нет проблем. И вообще - живые люди, понимающие что такое опенсорс. Которых можно в случае проблем просто напрямую спросить. А еще все это можно кастомизировать под нестандартные применения, что очень удобно.
А микротик - очередной вендорлокер по типу циски и продавцы воздуха, по большому счету.
> только "выпустить и забить" но и "выпустить и поддерживать", вполне прокатывает.
На мой вкус - они достаточно жлобская и враждебная контора, использующая весьма сомнительные методы отжима бабла из НеЛохов. Иметь дело с такой конторой - то же самое что добровольно совать голову в петлю.
> А, ну да, в нетжирах такого нет и дырками типа сабжа анбу
> пользоваться брезгует :)Так мне то главное чтобы работало и обновлялось. Поэтому мне нравится OpenWRT. А кто там сделал железо - да вообще не так уж принципиально.
> в моделях для хомячков - пингвин.
Это как бы отлично, но что в комплект к нему допихнула цыска - очень отдельный вопрос. Лично мне не особо нужны хзкакие полупроприетарные прошивки от цыски.
ubuntu core
> Критикуешь - предлагай.Использовать OpenWRT и иногда донатить им :)
Netgear красиво выступил: "NETGEAR told us, that there is no workaround available, the TCP port can't be firewalled nor is there a way to disable the service on their devices"
> Netgear красиво выступил: "NETGEAR told us, that there is no workaround available,
> the TCP port can't be firewalled nor is there a way
> to disable the service on their devices"Они наверное просто не в курсе что есть OpenWRT - он много чего воркэраундит, от бэкдоров с фабрики до репоголовости вендыря :)
Они всего в курсе. Просто очень красиво послали товарищей исследователей безопасности, качественно, профессионально.
Программисты на С они такие программисты на С... Нафиг вообще что-то проверять? Писать целую лишнюю строчку проверки? Западло!
> Программисты на С они такие программисты на С... Нафиг вообще что-то проверять?
> Писать целую лишнюю строчку проверки? Западло!То ли дело программисты на джавва! На каждой строчке проверка, каждая строчка длиной в 2К. А роутеры-то, роутеры на джава - просто Сказка. И драйверы netUSB на джавва - бальзам. </>
Есть три способа писать код:
- скинуть все проблемы на компилятор/ВМ
- внимательно ручками делать все проверки
- не делать проверок, потому что западло и потому что три лишних строчки в трех местах - ужас, тормоза!
Каким путем идет большинство С-кодеров?
Вопрос не в том, лучше ли это переписать на жабе. Нет, не лучше. Вопрос в том, почему на С нельзя писать нормально?
> Есть три способа писать код:
> - скинуть все проблемы на компилятор/ВМ
> - внимательно ручками делать все проверки
> - не делать проверок, потому что западло и потому что три лишних
> строчки в трех местах - ужас, тормоза!Ага, ага. А цвета есть только два чёрный и белый.
> Вопрос в том, почему на С нельзя писать нормально?
Код пишется в соответсвии с требованиями.
А "нормально", "не нормально", "нравится", "не нравится",
где вы такое в требованиях встречали?
То есть, в требованиях было указано переполнение буфера, приводящее к созданию рабочего эксплоита? Писать "нормально" - это писать нормально, и к "требованиям" это не относится никак.
В требованиях было написано "до конца недели и ниипет".
> Каким путем идет большинство С-кодеров?Вообще-то ядерные модули пишет далеко не "большинство". А то что эти блин-линки не умеют писать софт, нанимают черти-каких индусов писать полу-проприетарный крап, а потом оказывается что их фабричные прошивки полный крап - такая неожиданность!
> Вопрос в том, почему на С нельзя писать нормально?
Конкретно все эти *-линки и прочие - они просто не разработчики софта. И нормально софт не напишут вообще ни на чем. Поэтому когда они нанимают черти-каких проприерасов писать out of tree модули вместо того чтобы нормально интегрироваться с процессом разработки майнлайна, где за чрезмерную лажу по рукам дадут и заставят чинить под угрозой вылета (как вон там в staging недавно) - ну, увы, проприерасы - слоупоки.
Что-то я не видел модуль для ядра на Java.
Толстая очень.
На Lua - пожалуйста, например http://bsd.slashdot.org/story/13/02/16/2329259/netbsd-to-sup...
Свят-свят-свят...
Тп-линк подготовили инструкции по замене УГ на openwrt?
> Тп-линк подготовили инструкции по замене УГ на openwrt?Было бы логично. Не умеешь писать софт сам - делегируй тем кто умеет. Ну то-есть майнлайну ядра и тем кто вокруг обвязку собирает, типа OpenWRTшников.
Ну и кто из производителей обновляет прошивки?
Для моего прошивки кончились в 2013 году, типа всё покупайте новый?
TP-Link худо-бедно обновляет, для моего WDR4300 (2013) последняя в феврале (этого года) была
Zyxel регулярно обновляет. Для Giga II с ноября уже 2 глобальных обновления вышло.
> Ну и кто из производителей обновляет прошивки?OpenWRT :)
>Несмотря на то, что сетевой порт NetUSB, как правило, открывается только для локальной сети, при сканировании интернета выявлены устройства, в которых соединения NetUSB принимаются из глобальной сети.Ну это ваще ппц безотносительно к наличию уязвимости. Любой желающий может читать воткнутую вашу флешку. Большой Брат очень одобряет.
Не совсем так. Любой сайт может попросить ваш браузер попросить ваш роутер якобы воткнуть флешку по сети, а на самом деле выполнить некоторый код из под рута. А в некоторых случаях браузер не нужен.
Да всем пофиг. На той флешке кучка фильмов с торрентов в 99.99999999999999% случаев
> Да всем пофиг. На той флешке кучка фильмов с торрентов в 99.99999999999999% случаевСтранно. А лыжники зачем-то вот сливали оглавление флех на свои сервера. Может быть, копирасам - не пофиг и они готовы за информацию полезную для начала вымогательства у жертвы неплохо доплатить? :)
Имелось в виду пофиг всем пользователям подобных роутеров.
Тем кому не пофиг, отключают WiFi кнопочкой, ставят OpenWRT, и только потом в сеть пускают этот коробок, и то аккуратно.А что, известны случаи вымогательств?
> Имелось в виду пофиг всем пользователям подобных роутеров.Ну не знаю, с лыжниками вон довольно крупный скандал вышел. Оказалось что пофиг было все-таки не всем.
> А что, известны случаи вымогательств?
Силами MAFIAA то? А как ты думаешь, за что они такое меткое прозвище то получили? Уж не за то ли, что постоянно пытаются отрэкетировать какую-нибудь домохозяйку на несколько k$ за какую-нибудь сцаную песенку? :)
Прошивка маршрутизаторов на основе Linux не подвержена уязвимостям связаным с переполнениям буфера: http://alpinelinux.org/
> буфера: http://alpinelinux.org/... alpine-3.1.4-x86_64.iso (307MB)
Нефиговый такой маршрутизатор. А если у меня в маршрутизаторе флеха 4Мб - то чего?
А если избушка в глухом лесу без электричества?
> А если избушка в глухом лесу без электричества?Ну тогда придется докупить солнечных батарей и поставить ветряк :)
Как альтернативу, тоже устойчивую к переполнению буфера, могу предложить: http://www.openbsd.org/> А если у меня в маршрутизаторе флеха 4Мб - то чего?
http://librecmc.org/
http://librewrt.org/но все они без защиты от переполнения буфера!
Купил роутер без юсб и сплю спокойно. Нет фичи - нет проблем )). Шутка, конечно, но с долей шутки.
> Купил роутер без юсб и сплю спокойно. Нет фичи - нет проблем
> )). Шутка, конечно, но с долей шутки.По такой логике, лучше купить кирпич. У него и сети нет - так гораздо спокойнее будет.
>> Купил роутер без юсб и сплю спокойно. Нет фичи - нет проблем
> По такой логике, лучше купить кирпич.У него нет фичи превращения в роутер (да и обычно является объектом маршрутизации, а не субъектом) -- а вот у роутера фича превращения в кирпич обычно есть.
> а вот у роутера фича превращения в кирпич обычно есть.Ну вот видите, у кирпича есть еще одно достоинство: он кирпич сразу, без лишней возни :)
Для того, чтобы воспользоваться уязвимостью, надо быть уже в сети (знать пароль на вайфай или воткнуть патчкорд в роутер). Так что ничего серьезного домашним роутерам не угрожает.
дебаг забыли с релиза убрать :)