cat_mucius: (Default)
Товарищи украиноязычные, а можете помочь? Привезли друзья песенку симпатичную каких-то ребят из Львова, но слов найти не выходит, а на слух я разобрал лишь одно (но зато важное, общеславянское) - "мяу".

Green Silence - Коти на стрісі (скачать)

О чём она в целом, и что за речь, отрывок из которой звучит в конце?
И кстати (это уже вопрос, конечно, к носителям не только украинского языка, но и любых ушей), как бы вы классифицировали жанр ?

P.S. То, что звучит после 3:39 мне очень напомнило рефрен из одной известной вещи. Это не в плане плагиата, совсем нет, просто напомнило. Кто-то хочет угадать? :-)
cat_mucius: (Default)
To whom it may concern: Удел Могултая, который был недоступен в последнее время, сменил хостинг и снова в строю, включая форум. Заходите, пользуйтесь. Если что не работает - скажите мне.
cat_mucius: (Default)
Мир стал бы немножечко уютней, если бы желающие соорудить очередной VPN-клиент (а говоря шире - любую шнягу для аутентификации, включая вебные) изначально поддерживали бы протокол EAP. Его великое преимущество в том, что проверку любых credentials и решение о допуске можно взять и переложить с VPN-гейта (вебсервера, терминал-сервера, чего угодно) на широкие плечи RADIUS - причём гейт/сервер нисколько не волновало бы, что из себя представляют эти credentials - будь то пароли, сертификаты, infocards, SAML tokens или ещё какая хрень.

Но увы.
cat_mucius: (Default)
Завёл себе технобложик, буду там постить всякие сисадминские штучки - и у самого под лапой будут, и авось кому ещё пригодятся.

Вот, например, о том как постить список отозванных сертификатов (CRL) на внешнем бесплатном хостинге.
cat_mucius: (Default)
Просто мысля, чтоб не потерялась:

Сегодня подавляющее количество траффика из типичной внутренней сети в Интернет выходит по шифрованному HTTPS. Современный файерволл предоставляет две опции для его обработки:
- либо отказаться от инспекции, разве что попытавшись проверить destination IP против заранее заданного списка (скажем, на файерволле заранее указано, какие адреса соответствуют *.windowsupdate.com),
- либо устраивать SSL inspection, то есть "узаконенный" man-in-the-middle attack: подсовывать юзеру фальшивый сертификат, расшифровывать и проверять траффик.

Обе опции проблематичны: первая - потому что поток данных полностью непрозрачен, плюс адреса служб имеют обыкновение меняться, а значит, внезапно будет накрываться связь. Вторая несёт в себе этические проблемы - если юзер заходит на сайт своего банка или больничной кассы, а сисадмин устраивает ему MitM, имея возможность совать нос в его данные - хорошо ли это, товарищи? Кроме того, вероятно, куча небраузерных программ, типа Дропбокса, перестанут работать, получив от файерволла левый сертификат.

Возможна третья опция - неидеальная, но предоставляющая какой-то компромисс. Файерволл может проактивно тестировать заранее заданные HTTPS-сервисы, подключаясь на них самостоятельно. Это позволит задавать в правила, наряду с стандартными "source & destination IP, source & destination port" также: Subject сертификата, имя выдавшего его CA, его уровень (DV/OV/EV), валидность по времени, длину ключа и так далее. Если файерволл подключился к сервису и получил сертификат, отличающийся от ожидаемого - соединения из внутренней сети туды не допускаются и конец делу.

(Можно, конечно, не открывать соединение, а просто пассивно инспектировать сертификаты, посланные сервером - но это не даст файерволлу криптографического подтверждения, что сервер и впрямь обладает законным ключом).

Как вариант, тестирование может проводить не сам файерволл, а служба егойного производителя, от которой файерволл будет получать регулярные апдейты (см., например, FortiCloud).

Кроме того, файерволл может проверять поле SNI в пакетах "Client Hello" исходящих SSL-соединений, чтобы убедиться, что клиенты пытаются подключиться к законному и проверенному сервису.

Таким образом, и клиентская приватность сохраняется, и сисадмину больше уверенности, что траффик наружу легальный ходит (а не какой пакостный бот изнутри на свой C&C коннектится).
К тому же, юзер уберегается от MitM-атак снаружи - он, допустим, не заметит, если mail.google.com внезапно предоставит сертификат от какого-нибудь странного ГУЦ, зато файерволл - таки да.

Интересно, изобретён ли уже этот велосипед?
cat_mucius: (Default)
Забавно - вот я большой любитель всяких протоколов federated identity и прочей продвинутой аутентификации: SAML, oAuth, всё такое. Но вот уже в двух проектах приходится ловить людей за хвост и орать: опоментайтесь, панове! Вот вы хотите, чтоб на ваш сайт люди заходили через свой Google account - да, это очень удобно. Но подумали ли вы, что это значит, что доступ к данным ваших юзеров будет полностью в руках у Гугла? А подумали ли вы, что какой-нибудь ихний работник может залогиниться к вам под аккаунтом любого юзера по своему выбору, никаких паролей не зная вообще? А вы взвесили, позволяет ли природа этих данных вам брать такой риск, пусть даже и маленький? А этично ли это по отношению к юзерам, которые решили доверять вам, но вовсе не Гуглу?

И ведь люди-то не какие-то ламера, ещё нетвёрдо уверенные, чем Word от Firefox отличается - нифига, веб-разработчики, проджект-менеджеры и секъюрити-специалисты.

Вообще, ощущение такое, что удобство многочисленных облачных сервисов здорово развратило народ. Лет так десять назад предложение Микрософта "а давайте мы будем пароли от ваших персоналочек у себя держать" вызвало бы немедленный вопль негодования и ждала бы эту инициативу бесславная судьба проекта Clipper. А теперь - пожалуйста, куча народа логинится в Windows через Microsoft account, и никаких криков по этому поводу не слышно.

Или вот, пожалуйста - успешный бизнес, на 99% построенный на идее "а давайте мы будем контролировать доступ к вашим устройствам, от персоналки с виндой и до VPN-гейта". Этап первый - давайте выкачаем всю вашу Active Directory со всеми юзерами и паролями... Как на такое можно соглашаться - для меня загадка, но вот ведь.

Масса компаний размещает сервера в облаках Амазона, Гугла, Микрософта и провайдеров поменьше, совершенно не задаваясь вопросом, а так ли они уж доверяют этим конторам и их работникам, что те, дескать, ни в коем случае своими возможностями не злоупотребят и в чужие данные нос не сунут. Хотя знать это неоткуда, а любому человеку с доступом к гипервизору создать снэпшот чужой машинки и разбирать его оффлайн в своё удовольствие - как нефиг делать. Подозреваю, что дело именно в автоматизации получения облачных ресурсов - она позволяет поддерживать иллюзию, что "на той стороне" всем управляют добрые роботы, а человеческая воля давно уже сведена к нулю. Если бы для открытия аккаунта в облаке понадобилось бы хоть минутку поговорить с кем-то живым по телефону - сдаётся мне, уровень беспечности упал бы на порядок.

Вангую, что в недалёком будущем мы станем свидетелями не одной утечки и взлома с участием персонала таких вот провайдеров всевозможных "... as a service". Потому что если чем-то можно злоупотребить - этим злоупотребят.
cat_mucius: (Default)
Нашёл недавно довольно интересную штуку:
Положим, у нас есть сайт, использующий "Windows Integrated Authentication" - то есть Kerberos или NTLM. И допустим, что юзер, пытающийся на него зайти - относится к другому, недоверяемому домену, или же он локальный юзер на доменном компе, а то и вовсе на стэнд-элоне. Так или иначе, попытка автоматического, прозрачного для юзера логина проваливается. Что произойдёт?

Ответ: зависит от браузера. Firefox просто выдаст сообщение об ошибке. А вот Chrome или IE поступят по другому - выкинут стандартное окошко username & password. А самое интересное, что если username указать в полной форме - к примеру, me@mydomain.com, - то они пошлют запросы DNS-серверу на две записи SRV, стремясь обнаружить керберосовский центр раздачи ключей (KDC) для указанного домена:
  • _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mydomain.com
  • _kerberos._tcp.dc._msdcs.mydomain.com

  • и получив ответ, попытаются запросить по его адресу керберосовский билетик для сайта. Каковой затем и предъявят сайту как доказательство юзерской личности.

    (Update: обнаружил, что и клиент Remote Desktop в Win7 тоже так умеет.)

    Почему это так интересно? А потому, что означает, вопреки популярному убеждению, что Kerberos можно использовать в Интернете - а не только в корпоративных сеточках.
    Read more... )
    cat_mucius: (Default)
    -- Кто это "они"? - допытывался Клевинджер. - Кто именно, по-твоему, хочет тебя убить?
    -- Все они.
    -- Кто?
    -- А ты как думаешь, кто?
    -- Понятия не имею.
    -- А почему же ты тогда заявляешь, что они не хотят меня убить?
    -- Потому что... - брызжа слюной, начал Клевинджер, но осекся и умолк с выражением полного отчаяния.
    Клевинджер искренне считал себя правым, но Йоссариан - тоже, так как у него были доказательства: совершенно незнакомые люди палили в него из пушек каждый раз, когда он поднимался в воздух, чтобы сбросить на них бомбы.
    Джозеф Хеллер, "Catch-22"
    .


    Это офигительно, клянусь усами: CNN перечисляют пять причин (частью неубедительных, а частью просто бредовых), почему целью последней террористической атаки был выбран именно Брюссель - и при этом ухитряются ни буквой не упомянуть тот факт, что Бельгия - участник анти-ИГИЛовской коалиции. Сама ИГИЛ, разумеется, именно это и называет причиной, нисколько не скрываясь.

    Я об этом упоминаю потому, что вижу тут не курьёз, а тенденцию. Когда я читал статьи и обсуждения о парижских ноябрьских терактах, в глаза как-то бросилось, что практически никто из писавших не связал атаку с тем простым фактом, что за два месяца до того французская авиация начала бомбардировки позиций ИГИЛ в Ираке, а через месяц - и в Сирии. Впрочем, подавляющее число участников обсуждений и вовсе не задавалось вопросом "почему Париж?" - ну понятно, исламисты ведь ненавидят нашу славную западную цивилизацию и всё такое. Исламисты же причину выбора цели не скрывали и в этом случае.

    Вообще, у меня складывается (надеюсь, обманчивое) впечатление, что несмотря на огромное количество материалов и кинопродукции, выходящей на Западе об исламских террористах, вопрос "а чего же они пытаются реально добиться?" как-то заметается под диван - точнее, за непосредственные цели джихадистов выдаются их цели очень далёкие и глобальные, если не вовсе эсхатологические мечтания (торжество Ислама над всем миром). Между тем, прямые цели от пусть и несомненно желаемого мирового владычества могут отличаться очень существенно. Например, исследователь терроризма Robert Pape пишет, что в мотивации террористов-самоубийц нарратив изгнания захватчиков со своей земли играет куда более важную роль, чем религиозные представления: в случае Аль-Каиды времён бин Ладена роль этих захватчиков играли американские войска на Аравийском полуострове. (Кстати, выводы этого чувака рвут далеко не только этот шаблон).

    В результате граждане массово не улавливают связи между тем, что их доблестная авиация бомбит каких-то там кровожадных уродов где-то фар-фар-эвэй, и тем, что эти уроды их, мирных граждан, взрывают у них дома. Для западных правительств такое положение дел несомненно удобно тем, что не вводит граждан во искушение поддаться требованиям джихадистов: прекратить интервенцию, вывести войска из Саудовской Аравии и так далее. Ведь искушения вступать в переговоры с желающими завернуть весь мир в бурку заведомо не будет.
    cat_mucius: (Default)
    Неожиданное продолжение этой темы - принят новый российский закон (ФЗ-445), обязывающий все фирмы, выпускающие свои цифровые сертификаты (Сertificate Authorities, Удостоверяющие Центры) не использовать в качестве корневого самоподписанный сертификат, а получить его от государства, за подписью от некоего Государственного Удостоверяющего Центра. Что означает, что отправной точкой, от которой выстраивается цепочка доверия той или иной цифровой подписи, становится не сертификат определённой фирмы (какого-то российского аналога Verisign), а этого самого ГУЦ.

    В статье на Хабре в качестве обоснования этого шага приводится забота о юзере - ему, дескать, не надо решать вопрос доверия каждому из CA - добавил государственный корневой сертификат в список доверяемых и вся недолга. У меня такой подход вызывает сомнение: система PKI тем и хороша, что позволяет определять меру доверия разным CA (и соответственно, выданным ими сертификатам) независимо друг от друга, и в случае чего вовсе это доверие отменить (что чуть не произошло с фирмами TrustWave и TeliaSonera, и произошло с DigiNotar). Доверие единому корню же навязывает логику "всё или ничего" (ну и к тому же, сам факт государственной регуляции в области, где это совершенно не требуется...)

    На это можно возразить, что такое построение не мешает конечным юзерам (или сисадминам в корпоративной сети) выстраивать цепочки доверия по своему усмотрению: занести сертификат ГУЦ или проштрафившегося частного CA в список недоверяемых, или наоборот, указать сертификат CA в качестве корневого, хоть он и не самоподписан.

    Но вот что у меня сомнения не вызывает, так это то, что такая система позволяет государству подделать сертификат от любого CA из заверенных им, способом, куда более сложнообнаружимым, чем при нынешнем положении дел. Как я писал ранее, сегодня государство может заставить какой-нибудь из CA, действующий под его властью, выдать поддельный сертификат под любой сайт, почтовый адрес и т.д., который будет принят браузером или мэйлером без возражений - но проверка такого сертификата может обнаружить, что его CA внезапно изменился. Странно будет, если вдруг окажется, что сайт https://mail.google.com заверен израильской фирмой StartCom, а не американским GeoTrust, не так ли? По ссылке описан плагин CertLock, который именно это и проверял.

    Но если государство само заверяет множество CA, то ему и заставлять их не надо: имея доступ к корневому ключу, элементарно сгенерировать сколь угодно длинную цепочку, на выходе которой будет сертификат, выглядящий как выданный законным CA, с точно такими же полями Issuer, Subject и так далее по всей длине цепочки. Единственное, что нельзя будет подделать, это собственно цифровые подписи на сертификатах (а следовательно, и байты публичных ключей, которыми их проверяют) - поскольку для них нужен доступ к приватным ключам CA. Но радости в этом немного, поскольку: a.) для обнаружения подделки нужно уже иметь сохраненную цепочку - если данный сайт запрашивается впервые, то сравнивать не с чем; б.) пары ключей могут изменяться и по легитимным причинам.

    Если через какое-то время после выполнения этого распоряжения выйдет следующее, обязавающее владельцев российских сайтов получать сертификаты непременно от российских CA - всякое сомнение в том, что перехват и являлся целью этого закона, у меня отпадёт.

    Что я могу посоветовать тем, кто имеет основания опасаться интереса к своему траффику со стороны российских спецслужб: если в списке "Trusted Root Certification Authorities" засветился какой-нибудь ГУЦ - переправить его в "Untrusted Certificates". Если опасения сильные, можно туда отправить и все прочие российские CA.
    cat_mucius: (Default)
    Дорогие женщины!

    Позвольте мне в честь светлого праздника 8 марта порадовать вас этой чудесной песней о любви.
    cat_mucius: (Default)
    Последние достижения израильской демократии:
  • http://main.knesset.gov.il/News/PressReleases/Pages/press080216-9i.aspx
  • http://txt.newsru.co.il/israel/08feb2016/ethique_0014.html
  • http://txt.newsru.co.il/israel/04feb2016/netanyahu_009.html

    Это что-то новенькое: чтобы в вину ставилась уже не поддержка терроризма и террористов, а семей террористов. Лихо. Может, пора уже и понятия ЧСИР / ЧСВР в обиход вводить?

    Медленно, но верно съезжаем в массовую истерию.


    P.S. Но есть и хорошие новости:
    Лидер партии "Авода" также заявил, что при составлении этого плана были извлечены уроки из того, как "Ликуд" провел размежевание в секторе Газы. "ЦАХАЛ останется на всех территориях и с места не сдвинется", – заявил Ицхак Герцог.
    Нуславатебегосподидошло.
  • cat_mucius: (Default)
    Скажите мне, товарищи. Видел ли кто из вас какое-то рациональное объяснение, какую пользу должно принести Украине или её сторонникам обесточивание Крыма, кроме очевидного злорадного "ну вот пускай теперь попляшут"?

    Единственное что-то напоминающее рацио, что мне удалось найти, было "таким образом проблема оккупации Крыма удерживается в центре внимания". Блестящая идея, должен сказать: привлечь внимание, демонстративно нарушив главное табу современности в ведении конфликтов - не наносить намеренного вреда населению.
    cat_mucius: (Default)
    Полларда освободили!

    Обложив целым рядом кретинских ограничений, но тем не менее. Ура.

    По этому поводу можно и единственный подзамочный постик из-под замка вынуть. Был я ну очень оптимистичен, конечно...
    cat_mucius: (Default)
    Вот какой бы вывод вы ожидали увидеть, запустив такую простенькую java-програмку на винде?
    public static void main(String[] args)
    {
        long first;
        long next;
    				
        first = System.currentTimeMillis();
        while (true)
        {
            next = System.currentTimeMillis();
            if (first != next)
                break;
        }
    				
        System.out.println("Difference: " + (next - first));
    }
    


    А такую?
    public static void main(String[] args)
    {
        long first;
        long next;
    		
        Thread t = new Thread()
        {
            public void run()
            {
                try
                {
                    Thread.sleep(Integer.MAX_VALUE);
                } catch (InterruptedException e) {}
            }
        };
        t.start();
    		
        first = System.currentTimeMillis();
        while (true)
        {
            next = System.currentTimeMillis();
            if (first != next)
                break;
        }
    				
        System.out.println("Difference: " + (next - first));
        t.interrupt();
    }
    


    Жизнь, натурально, прекрасна и удивительна.
    cat_mucius: (Default)
    Интересное интервью с бывшим секретарём шароновского правительства на тему размежевания с Газой десятилетней давности:
    http://txt.newsru.co.il/israel/27jul2015/maimon_in_701.html

    Хорошо оно ещё и тем, что журналист, его проводящий (gottfrid) - взглядов диаметрально противоположных интервьюированному, и сам поселенец. Потому своему собеседнику лёгкой жизни не устраивает.

    Однако есть одна вещь, которая меня давно удивляет: что в нём, что в тысячах других разговорах на эту тему, совершенно не обсуждается вопрос - а зачем армию вывели из сектора немедленно сразу за поселенцами? Удивительно, что в многочисленных яростных спорах об итнаткуте этот вопрос обычно не подымается никем - ни сторонниками, ни противниками. Притом что мне представляется достаточно очевидным, что:
    a.) Ухудшение ситуации по части безопасности (оружейная контрабанда, обстрелы, хамасовский переворот) - результат именно отсутствия армии, а отнюдь не поселений,
    б.) Одно совершенно не требовало другого. Наличие еврейских анклавов в секторе, наверное, облегчало военным жизнь во многих аспектах, но ни из чего не следует, что без них армия не смогла бы справляться со своими задачами.

    Почему же так было сделано? И почему дискуссий об этом шаге практически не ведётся? Я чего-то базового не понимаю?

    P.S. Чтобы дважды не вставать: тут "Авода" решила бороться за популярность, ударившись в правый популизм.
    По словам авторов проекта, "еврейские общины живут и процветают во многих странах мира, и нет никакой причины, чтобы то же самое не происходило в палестинском государстве, которое будет существовать по соседству с нами".
    И вправду, никакой. Правильно я за этих мудаков не голосовал.
    cat_mucius: (Default)
    В напрасных надеждах смотрел расписание концертов полюбившейся группы Enter the Haggis. Про Израиль ни слова, зато вдруг налетаю на строчку: "Aug 8 - Bethlehem, PA". Вот же ж блин, думаю. Что за свинство - по соседству совсем выступать, а к нам не заглянуть? Неужто и они нас бойкотируют? И ты, Брут? Массаракш, как добраться до Вифлеема?

    В какой-то момент дошло, что Read more... )

    Пользуясь случаем, хочу порекомендовать отличный альбом "Whitelake":
    cat_mucius: (Default)
    Глубокое переживание, накрывшее меня с головой после выхода с фильма "Mad Max: the fury road":
    Spoiler alert )
    cat_mucius: (Default)
    Считаю несомненным, что картину "Big Eyes" снимал на самом деле не Тим Бартон, а Хелен Бонем Картер. Доказательство: будь Тим Бартон подлинным её режиссёром, в ней был бы Джонни Депп.
    cat_mucius: (Default)
    Меня тут спросили, почему решил на этих выборах поднять лапу за МЕРЕЦ - решил расписать подробно.
    На самом деле, так вышло к моему собственному некоторому удивлению, поскольку ещё утром дня выборов предполагал, что скорее всего проголосую за Аводу ака "Сионистский лагерь".

    Определялся так:
    Под катом израильская политота! Оно вам надо? )

    Пока моя электоральная история выглядит так:
  • 2001, прямые премьерские выборы - Эхуд Барак, Авода.
  • 2003 - Ихуд Леуми.
  • 2006 - то ли Кадима, то ли воздержался, точно не помню.
  • 2009 - собирался за Ликуд, но, к счастью, накладка вышла.
  • 2013 - Авода.
  • 2015 - МЕРЕЦ.
    В общем - дорогие змеи! не пытайтесь повторить маршрут.
  • cat_mucius: (Default)
    В этот раз за МЕРЕЦ.

    Update: расписал подробней, почему, собственно - если кому вдруг интересно.

    Profile

    cat_mucius: (Default)
    cat_mucius

    July 2017

    S M T W T F S
          1
    2345678
    9101112131415
    16171819 202122
    23242526272829
    3031     

    Syndicate

    RSS Atom

    Most Popular Tags

    Style Credit

    Expand Cut Tags

    No cut tags
    Page generated Jul. 27th, 2017 08:41 am
    Powered by Dreamwidth Studios