LINUX.ORG.RU

109
Всего сообщений: 1574

Ваш Firefox мало жрёт памяти? А вот вам патч от разработчиков!

Субж

Разработчики браузера Firefox представили сверхраннюю сборку Firefox 70 Nighly с встроенной системой изоляции сайтов. В обычных условиях Firefox разделяет задачи на процессы, когда каждый сайт и отдельные компоненты браузера получают по своему отдельному процессу. Режим изоляции предполагает, что свой процесс получит каждый элемент типа iframe (грубо ― инструмент для встраивания других веб-страниц в главную страницу). Очевидно, это должно защитить пользователя, если один из внешних элементов ― документ, код, видео или другое ― окажется вредоносным. Но также очевидно, что это повлечёт за собой дополнительный расход оперативной памяти.

По умолчанию режим разделения процессов в Firefox 70 Nighly выключен. Для самостоятельной активации режима изоляции необходимо зайти в меню about:config и по поиску «fission» переключить пункт fission.autostart в положение true. Добавим, сборки Nighly, и Firefox 70 Nighly не исключение, отличаются крайней нестабильностью. Поэтому скачать её можно здесь исключительно на свой страх и риск.

 , , ,

tiinn ()

Так а что насчёт Тру-секурного мессенджера?

Какое там на сегодняшний день решение есть, если нужно мессенджер на собственном сервере, чтобы были веб-морда и мобильные приложения? Кроме Jabber что-то еще изобретено?

 ,

Alve ()

Скайп и Кортану слушает не только MS, но и его подрядчики

https://3dnews.ru/992058

Согласно переданным в руки журналистов Vice Motherboard скриншотам, кешу внутренних документов и аудиозаписям, сторонние подрядчики слушают разговоры пользователей Skype, которые ведутся через службу автоматического перевода. Хотя на сайте Skype говорится, что компания может анализировать аудио телефонных звонков, которые пользователь хочет перевести, она не сообщает, что какие-то из записей будут прослушиваться людьми.

Полученные журналистами фрагменты включают разговоры пользователей, которые общаются с близкими людьми, беседуют о личных проблемах вроде потери веса или обсуждают проблемы личных взаимоотношений. Другие файлы, полученные Moterboard, показывают, что подрядчики Microsoft также слушают голосовые команды, которые пользователи отправляют персональному помощнику Cortana

 , , ,

alexferman ()

Мошенники и Сбербанк

Привет всем!

Рано утром позвонил и разбудил подозрительный товарищ:
«ls-h, с вашей карты была попытка мошеннического перевода. Некто из другого города вошёл в ваш личный кабинет Сбербанка и пытался перевести деньги в Урюпинск Василию Пупкину. Мы, доблестная служба безопасности, всё предотвратили. Но нам надо проверить, что вы это вы. Назовите сумму последнего платежа и баланс по карте иначе мы заблокируем ваш счёт». СМС о входе в ЛК, конечно же, не приходило.

Товарищ был послан. Это я спросонья зря так сделал, не сообразил. Надо было сказать левую сумму и неправильный остаток и посмотреть, что будет дальше. Позвонил в Сбер, они предложили не делать ничего, по их словам данных недостаточно. Какой смысл в таких данных, они мне не сказали.

Теперь вот интересно стало, что можно сделать, если знать сумму последнего платежа и остаток на карте? Так же, собственно, им известно моё ФИО, город проживания и наличие карты Сбера (ну, тут можно просто наугад, они много у кого есть).
Я могу предположить, что дальше должна была быть какая-то атака на настоящую службу поддержки. Но вот что может дать служба поддержки по ФИО+адрес+сумма платежа+баланс? Привязать другой номер к мобильному банку? Или что? Может быть знает кто?

P.S.: Номер: +7 495 005 56 15

 , , , ,

ls-h ()

Перешёл с Windows 10 на Ubuntu 18.04

Месяц назад я сменил операционную систему и теперь не знаю что делать дальше. На экране появляются какие то непонятные полосы во время просмотра фильмы.Зарядка держится в 10 раз меньше.Даже игры не получается через Wine устанавливать(устанавливал через Терминал).Ничего не выходит.Только кучу бесполезных папок понасоздавал.А удалить не получается(кнопочки нет).Читал статью:«10 вещей,которые нужно сделать после установки Ubuntu 18.04».Делал все по инструкции.Но после 2 или 3 пунктов ошибка,которую смог устранить только сегодня.Обновления не загружаются почему то.Пишет,что интернета нет у меня.А ноут то новый. Intel 5.Nvidia Geforce MX150 with 2 gb VRAM. 8GB оперативы. 1000 GB HDD.Боюсь как бы не сломал его нафиг своими махинациями вечными через терминал.Систему я сменил,потому что программистом хочу стать.Думал,вот щас перейду.Будет все бесплатно.Буду через терминал все делать.это мне нравится.Вводишь ему команду,а там куча слов и непонятных символов в низ бегут.Красота.А тут Даже игру через вайн скачать не могу.Казалось бы,всего то по инструкции все сделать надо.Вводишь в терминал эту команду,сравниваешь с тем что на сайте,нет ли ошибок? Нажимаешь Enter.И тут Бац!Все идет не так.Ищешь ответ в интернете.Не то,опять не то.И так до бесконечности.И вот на компе этого мусора куча скапливается.И так в конечном счете я имею полностью не настроенный ноут и желание во всем разобраться.Но все мои попытки тщетны.А на виндовс не горю желанием возвращаться.Сплошная ограниченность на нем.Еще и вирусники подхвачу.А я свободу люблю.А свободна меня не любит походу.Вывод:Мне нужно комп настроить.Может кто нибудь посоветует,Как его настроить?

 , ,

BillyM ()

Дырява ли ekiga?

есть учётка в задарма.
подключена к нашей АТС (астер).
к астеру уже подключена экига.
сегодня мне «позвонила» ekiga со странного номера 1004.
в журнале задарма и АТС - чисто и пусто, непонятных звонков нет.
я бы сказал, что взломана АТС, или учётка задармы(или сип-учётка)
но памятуя опыт с сип-телефоном grandstream, который был не просто телефоном, а шлюхой для ботов и хакеров по дефолту, то есть комбайном блин,а не Нормальным сип-клиентом. до состояния обычного сип-телефона его пришлось допиливать, чтобы с ним не могли шалить боты/ботнеты. это сраный стыд


короче, после этого опыта я бы не стал косить только на астериск и задарма.

вопрос в общем такой, есть ли дыры в екига?

 , , ,

darkenshvein ()

mesh сеть от OPPO. без сотовых сетей, Wi-Fi или Bluetooth. Через СВ, что ли, работает?

Сабж

На выставке MWC 2019 в Шанхае компания OPPO представила новую фирменную технологию децентрализованного обмена данными MeshTalk, которая позволяет передавать текстовые и голосовые сообщения, а также совершать голосовые вызовы между устройствами OPPO на расстоянии до 3 км без использования сотовых сетей, Wi-Fi или Bluetooth.

Технология OPPO MeshTalk также позволяет объединять множество устройств в локальные сети (LAN) и создавать групповые чаты, увеличивая диапазон связи с помощью функции трансляции сигналов. Технология MeshTalk поддерживает обмен данными по сети LAN, когда устройства OPPO находятся в диапазоне приема сигналов друг друга.

Для разработки технологии MeshTalk компания OPPO оптимизировала чип связи для обеспечения децентрализованного обмена данными, увеличения расстояния и снижения уровня энергопотребления. MeshTalk — это инновационное решение для сквозного обмена данными без базовых станций, серверов и прочих устройств, обеспечивающее пользователям более высокий уровень конфиденциальности. Ожидается, что MeshTalk найдет широкое применение в экстремальных условиях, при экстренной связи и некоторых ситуациях за городскими пределами.

 , , , ,

tiinn ()

Безопасность java приложений

Привет всем. Установил yEd отсюда - https://www.yworks.com/downloads#yEd ( версия с Java 8 JRE ), графы понадобилось делать. пакетов с подписями у них похоже нет, но установщик вроде нормальный, все барахло установил в каталог установки, ничего лишнего в системных каталогах не появилось. правда контрольных сумм к файлу установщика не нашел там. Редактор приличный, но случайно увидел какой каталог java создает мне в ~/.java/.userPrefs, как-то живо вспомнились эксплойты начала 2000-х ;))

slava [~/.java/.userPrefs]$ ls -la
total 12
drwx------ 3 slava slava 4096 июня  12 12:51 .
drwxr-x--- 5 slava slava 4096 июня  12 12:50 ..
drwxr-x--- 2 slava slava 4096 июня  12 12:51 _!(k![@"k!'`!~!"p!(@!bw"y!#4![!"v!':!d@"t!'`!bg"0!&@!e@"w!'`!ew"0!(k!c!"l!&:!d!"y!'k!bg"n!$0!,w"h!(!!c!"s!'k!}w"h!(@!a@"v!'4!.@"5!'}!a@"s!'`!cw!n!(0=
-rw------- 1 slava slava    0 июня  12 12:50 .user.lock.slava
-rw------- 1 slava slava    0 июня  12 13:12 .userRootModFile.slava
версия java -
slava [~/yEd/jre/bin]$ ./java -version
java version "1.8.0_202"
Java(TM) SE Runtime Environment (build 1.8.0_202-b08)
Java HotSpot(TM) 64-Bit Server VM (build 25.202-b08, mixed mode)
система на этом PC довольно старая из за старого железа -
System:    Host: HOMEPC Kernel: 3.13.0-24-generic x86_64 (64 bit, gcc: 4.8.2) 
           Desktop: Xfce 4.11.8 (Gtk 2.24.23) Distro: Linux Mint 17 Qiana
кодировка ru_RU.UTF-8.

хотелось бы узнать у тех кто в теме - это просто несовпадение кодировок, или это yEd такой, или сейчас с десктопной java лучше не связываться, может есть прецеденты. учитывая что поделка плюс к этому упорно создает TCP сервер на 4701 порту, теперь профиль apparmor делать для нее?

 ,

spring ()

Обучение в Аспирантуре США (PhD)

Добрый день. Наша исследовательская группа ищет кандидатов на обучение в докторонтуре (PhD) в computer science в области безопасности. Исследования связаны с низкоуровневыми атаками (kernel, side channel, hardware-based, speculative execution (Spectre, Meltdown). Обучение бесплатное и предоставляется стипендия. От кандидатов требуется степень бакалавра или выше и хорошее знание систем и программирования. Если есть вопросы прошу контактировать: runjet.service@gmail.com

 , , , ,

d-man ()

Тысячи уязвимостей, почти все без CVE: обсуждение OSS-Fuzz в oss-security

Тихо и незаметно, в одном из самых известных списков рассылки на тему безопасности, развивается драма – на найденные проектом по фаззингу OSS-Fuzz уязвимости не пишутся патчи и не закрепляются идентификаторы уязвимостей CVE, тем самым оставляя десятки ошибок без исправлений.

https://seclists.org/oss-sec/2019/q2/165

 , , , ,

jollheef ()

Загладки существуют? Или спецслужбы США занимаются приписками?

https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html

США развивает сетевые(sic) удары по российской энергосистеме

Как сказали действующие и бывшие чиновники правительства США, США усиливает(sic) цифровые(sic) вторжения(sic) в российскую электросеть в качестве предупреждения Путину и чтобы показать, как администрация Трампа использует новые законы о киберинструментах.

Пользовались закладками и что-то хакали к выборам 2018 года. Правда? Или врут?

 

question4 ()

Зачем при SSL-рукопожатии передаётся имя моего компа?

Смотрел что передаётся по сети при помощи Wireshark. Всякая фигня передаётся. Понятно что зашифровано всё. Но перед началом шифрованной передачи данных с каким-нибудь HTTPS-сайтом, мой браузер соединяется с root-servers.net и verisign-grs.com. А также передаёт имя моего хоста 0_o

Зачем? Вот просто зачем? Какая ему разница? Я так понимаю, в винде имя хоста всегда дефолтное, и никто его не меняет (и это не мешает отличать одного виндоюзера от другого). А в линуксе мы пишем что-то вроде «вася-ПК», и это всегда передаётся, чем делает наши запросы уникальными. Чем это лучше телеметрии? Последняя хотя бы обезличенная (якобы)

Блин, не удивлюсь если SSL-сервер ещё и серийник материнки просит

 , ,

ZenitharChampion ()

Посоветуйте кодовый замок на дверь

Это про hardware, но не про GNU/Linux, поэтому здесь.

Хочу поставить на входную дверь цифровой номеронабиратель и магнитный замок, а ещё считыватель каких-нибудь бесконтактных ключей. Цель такая: я отпираю дверь набирая пароль, потому что мне лень носить ключ; жена отпирает дверь бесконтактным ключом, потому что ей лень запоминать пароль. Само собой это всё должно выдерживать пропадание электропитания хотя бы на часик. Хочу ещё чтобы это можно было подключить к какой-нибудь Raspberry Pi чтобы записывать в какое время каким паролем или ключом открыта дверь, открывать удалённо и т.п.

Есть ещё одна проблема. Я хочу всё это собирать самостоятельно из говна и палоквсякого ширпотреба с Алика и строительного рынка. Кроме того, я не верю с свою способность сделать вандалоустойчивый номеронабиратель, потому нужно ещё предусмотреть отпирание каким-нибудь радиобрелоком.

Что посоветуете? Какие есть готовые железки для этого? Какие подводные камни?

 , , ,

Camel ()

RKHunter: процесс указывается в виде «/proc/path;strange-ID»

Всем привет!

Может, кто-то сталкивался и знает. Регулярно приходят сообщения о слушающем процессе, где процесс указывается как
'/usr/sbin/NetworkManager;*набор букв и цифр*'
Причем этот набор — это явно не PID и не имя пользователя. Что это за ID?

Очень сильно смущает, т.к. похоже на левый процесс, но если зайти на сервак, то там в процессах видно только стандартный /usr/sbin/NetworkManager (он завайтлистен, так что RKHunter на него ругаться не должен).

 ,

U-da ()

Хэш файла в качестве пароля

Недавно пришла в голову идея – использовать в качестве пароля хэш определённого файла на жёстком диске. Безопасно ли это? Хорошая ли это идея?

 , ,

Amaryllis ()

Мозилла и сертификаты

Зашёл на http://www.seamonkey-project.org/releases/, а там:

•If you are using NoScript you might encounter a certificate error when trying to download SeaMonkey from this site. NoScript tries to force an https connection for an http only site. It is not a NoScript problem but how the Mozilla server, from which downloads are delivered, is configured.
In this case please add download.cdn.mozilla.net to the NoScript «Never force secure (HTTPS) connections» options or turn off NoScript for this download only. The settings are located in the NoScript options under «Advanced->HTTPS».

А я давно говорил что мода на повальное шифрование всего и вся среди вебмакак и прочих неосиляторов ничем хорошим не кончится, теперь вот и браузер без пердолинга не скачаешь.

 , , , ,

h578b1bde ()

Злобные хацкеры такие злобные

Получил смешное письмо, первая часть:

Subject: Important information about your account: мой_аккаунт@gmail.com
Hello! 

This is important information for you!

Some months ago I hacked your OS and got full access to your account мой_аккаунт@gmail.com
On day of hack your account мой_аккаунт@gmail.com has password:

В данном случае свидетельств компрометации нет — пароль пустой.

Вторая часть — социальный инжиниринг, наслаждайтесь:

So, you can change the password, yes.. Or already changed... But my malware intercepts it every time.

How I made it:
In the software of the router, through which you went online, was a vulnerability. I used it...
If you interested you can read about it: CVE-2019-1663 - a vulnerability in the web-based management interface of the Cisco routers.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS of your device.

After that, I made a full backup of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the normal course!

And I got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

I'm know that you would not like to show these screenshots to your friends, relatives or colleagues.
I think $743 is a very, very small amount for my silence.
Besides, I have been spying on you for so long, having spent a lot of time!

Pay ONLY in Bitcoins!
My BTC wallet: 1GLvEgpHZxBMhkcoUXP69owPTbHs51mHGe

You do not know how to use bitcoins?
Enter a query in any search engine: "how to replenish btc wallet".
It's extremely easy

For this payment I give you two days (48 hours).
As soon as this letter is opened, the timer will work.

After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically.
If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your "enjoys".

I hope you understand your situation.
- Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server)
- Do not try to contact me (you yourself will see that this is impossible, the sender address is automatically generated)
- Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server.

P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment!
 This is the word of honor hacker

I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation.

Do not hold evil! I just good do my job.
Good luck.

Вопрос: как это работает? Как они узнают пароль, если вообще? Почему при рассылке пароль не проверяется?

P.S.: Никогда не менял пароль (даже после Heartbleed) — видимо и не нужно ;-)

 

Evenik ()

Как прийти к разумному компромиссу по безопасности системы

Навеяно темой о безопасности десктопного линукса и вообще…

Несмотря на то, что ЛОР это комьюнити в первую очередь линуксоидов, а это специфичные (хотел написать «особенные», но подумал, что не так поймут) люди, я надеюсь, что тут есть те, кому не все равно на происходящую дичь в мире ОС и ПО в целом и (или) кто этим занимается по долгу службы/работы. Мне интересно мнение таких людей в отношении того, что можно назвать сегодня в мире ГНУ/Линукс правильным поведением для снижения вероятности скомпрометировать свои данные (персональные данные, данные счетов и проч.) простому пользователю, который не проверяет лично все исходники и бинарники, который не имеет специфических знаний по безопасности (хотя стоило бы), но имеет общее представление о допустимости и недопустимости каких-либо действий (не качать без регистрации и смс, не ставить везде права 777, не открывать все порты, не оставлять ssh доступным для рут-логина, не использовать пароль 123 и т.д).

Если приходить к какому-то компромиссу между уровнем безопасности, уровнем удобства использования и уровнем знаний, который необходим простому пользователю для обеспечения этого уровня безопасности, что бы вы предложили? Может быть даже стоит разработать всем ЛОРом небольшую методичку для помощи пользователям? Уверен, тут есть спецы в ИБ, которые могут поделится простыми мудростями.

P.S. Я сюда не включаю вопрос аппаратной части по понятной причине - вряд ли среднестатистический пользователь будет жертвовать производительностью (она для меня входит в понятие «удобства использования») ради получения железа 10летний давности (синкпады от РМС) или покупать втридорого одобренное ФСФ железо.

 , ,

Lithium ()

Какой Linux лучше для учреждений?

Доброго времени суток. Вообщем в техникуме нужно перевести компы с Windows на Linux, собственно c линуксом я никогда не работал и какую именно выбрать для изучения пока что незнаю. Нужен ваш совет какую именно выбрать, чтобы была максимально понятна, удобна в установке и для работы студентов. На выбор дали: Astra Linux CE, ROSA ENTERPRISE LINUX DESKTOP, Calculate Linux, ЛОТОС Linux, Astra Linux Special Editon, ROSA DX «Никель»

 , ,

Dmitryy1994 ()

Улучшение формата ссылки на ролик для встраивания PeerTube в новостную ленту или сообщение форума

Ссылка на соответствующий запрос в репозитории PeerTube на GitHab https://github.com/Chocobozzz/PeerTube/issues/1763

Нормальное название темы «Улучшение формата ссылки на ролик для встраивания PeerTube в новостную ленту или сообщение форума» заменил на текущее так как с нормальным названием тему читать никто не хочет.

Существующий формат ссылки для встраивания ролика PeerTube в новостную ленту является потенциально небезопасным, так как предполагает загрузку исполняемого кода с распространяющего ролик сервера.

https://framatube.org/videos/watch/9c9de5e8-0a1e-484a-b099-e80766180a6d
Это может быть использовано недобросовестными людьми для распространения вирусов, майнеров и прочих действий которые дискредитируют разместивший у себя PeerTube ролик ресурс перед его пользователями.
Это приведёт к запрету администрацией соц сетей и форумов размещения роликов по протоколу PeerTube и отключению соответствующего функционала если он будет предусмотрен в форумном движке.

Для того чтобы этого избежать я предлагаю разделить ссылку на PeerTube ролик на две части.
Первая часть это ссылка на страницу содержащею приложение плеера которая может быть заменена на любую другую страницу плеера с сайта, которому размещающий ролик ресурс доверяет.
Например ресурс размещающий у себя ролик может разместить страницу с плеером у себя.
Вторая часть адреса это передаваемые в параметрах страницы магнет ссылка на размещаемый ролик.
Например для ролика выше такая ссылка будет выглядеть так:
https://framatube.org/peertube/player?xs=https%3A%2F%2Fframatube.org%2Fstatic%2Ftorrents%2F9c9de5e8-0a1e-484a-b099-e80766180a6d-1080.torrent&xt=urn:btih:dc84b692c4002fec0cae873df0dc7f5d67fc09db&dn=What+is+PeerTube%3F&tr=wss%3A%2F%2Fframatube.org%3A443%2Ftracker%2Fsocket&tr=https%3A%2F%2Fframatube.org%2Ftracker%2Fannounce&ws=https%3A%2F%2Fframatube.org%2Fstatic%2Fwebseed%2F9c9de5e8-0a1e-484a-b099-e80766180a6d-1080.mp4
При этом если кто либо захочет разместить этот ролик на фейсбуке то фейсбук сможет переделать ссылку так:
https://www.facebook.com/peertube/player?xs=https%3A%2F%2Fframatube.org%2Fstatic%2Ftorrents%2F9c9de5e8-0a1e-484a-b099-e80766180a6d-1080.torrent&xt=urn:btih:dc84b692c4002fec0cae873df0dc7f5d67fc09db&dn=What+is+PeerTube%3F&tr=wss%3A%2F%2Fframatube.org%3A443%2Ftracker%2Fsocket&tr=https%3A%2F%2Fframatube.org%2Ftracker%2Fannounce&ws=https%3A%2F%2Fframatube.org%2Fstatic%2Fwebseed%2F9c9de5e8-0a1e-484a-b099-e80766180a6d-1080.mp4
При этом как можно видеть плеер будет грузится с фейсбука, ну и понятно что фейсбук сам себе доверяет.

С другой стороны так как плеер принимает магнет ссылку на файлы то будет возможно дополнительное сидирование с помощью обычных торрент клиентов, что облегчит создание сидирующей инфраструктуры.

Ссылка на соответствующий запрос в репозитории PeerTube на GitHab
https://github.com/Chocobozzz/PeerTube/issues/1763
Надеюсь что вы сходите на GiHub и проголосуете за этот запрос или иначе окажете ему поддержку.

К тому же у текущего формата ссылки ссылки на ролик Peertube есть ещё один недостаток, по ссылке нельзя определить ни названия, ни каких либо других параметров позволяющих найти файл.
Это очень плохо, так как в случае удаления ролика на форуме который дал его разместить будет пустой фрейм.
Причём фрейм будет пустым даже если ролик присутствует в сети на других серверах.

 , ,

torvn77 ()