Jump to content
Калькуляторы

getasbrb

Пользователи
  • Content Count

    28
  • Joined

  • Last visited

About getasbrb

  • Rank
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Гарантия у бизнеса только одна - прибыль. Вот её-то и не видно пока. ЕМНИП основные доходы FB как раз с рекламы. Точно можно сказать одно, если после таких заявлений описанная в патенте технология всплывёт в их продуктах, это удар по репутации и ==> по доходам, так что появление подобного зонда именно у них маловероятно и в целом позиция "сам не ам и другим не дам" выглядит правдоподобной. Однако тут не видно прямой финансовой выгоды, что настораживает.
  2. А до конца никто не дочитал что-ли: FB столь парадоксальным образом пытаются защищать простых пользователей от такой прослушки. По крайней мере, декларируют это. Другой вопрос, а какой им профит с такой защиты?
  3. Зачем же откатываться, уже распределенный GitPub пилят: http://www.opennet.ru/opennews/art.shtml?num=48763 Правда, Issues там нету, только форки, пулл-реквесты и звёзды.
  4. Субьективно, в IDE удобнее (хоткеи во все поля. Или я просто не знаю как назначить хоткей ОС на переключение к конкретному окну). Пробовал много мониторов - вариант с одним, но широким 21:9 более удобен.
  5. Ну вот сейчас нужно залезть в браузере на гитхаб, дождаться окончания проверок на мерж и CI, сделать ревью, дождаться исправлений, смержить. В процессе этого приходится метаться между консолью, браузером и IDE, лично мне тяжеелее удерживать концентрацию на задаче, да и окон много, альттабаться заколебываюсь. В IDE тупо удобнее было бы.
  6. Что, и прям уже можно из какой-нибудь IDE отправить кому-нибудь PR, отревьювить PR в свои репы и принять его? Я просто основываюсь на том, что видел в Eclipse - там куцые обрезки.
  7. Если они сделают нормальную интеграцию той же студии с гитхабом, будет здорово. А если ещё и внешнее апи для интеграции сторонних решений - то вообще фантастика.
  8. GitHub всё?

    CodePlex - https://blogs.msdn.microsoft.com/bharry/2017/03/31/shutting-down-codeplex/
  9. Если составить рейтинг его безобразий, то CWMP там будет хорошо если в первой десятке. Проверил CWMP - публичные прошивки с этим паролем никуда не ходят, к себе ConnectionRequest тоже не принимают. Так что и тут мимо. Ну а про тех злобных буратин, которые пользуются девайсами от РТК я уже выше всё высказал.
  10. При чем тут касперский? Это вы утверждаете, что есть бэкдор в cwmp. Ок, проверю и его, надо порыться по сусекам, вроде оставался старый образ докера с OpenACS.
  11. Я понял, что обращаться к логике в вашем случае бесполезно. Пары логин и пароль для cwmp можно указать на морде, в моем случае по-дефолту они были пустые. Дыра в другом месте. По стандарту положено (причем TLS), но по факту положено на стандарт:). Серьезно, среди кучи вендоров мне почти не встречались девайсы даже с SSL, даже если принудительно url для ACS указать именно HTTPS. А уж с наличием корневых сертификатов вообще беда.
  12. Итак, отписываюсь по результатам обещанной проверки. Стащил прошивку с FTP, зашил, попробовал зайти на веб-морду с теми credentials что упомянуты в отчете и тут на форуме - не пускает. cwmp отключен и в списках процессов tr069 отсутствует. Выводы - в кашперском работают идиоты, а на форуме присутствуют параноики. Ещё раз, для не умеющих в логику: (наличие захардкоженных credentials в прошивке) != (бэкдор||уязвимость) Я как бы знаю, что такое протокол CWMP, правда, с другой стороны. Всё вышеописанное - это вообще стандартный функционал, и ваши snr точно также "уязвимы". Причем, ЛЮБОЙ девайс, поддерживающий протокол CWMP!!! Стоит поднять в локальном сегменте сети DHCP сервер (а провайдеров, не разделяющих своих клиентов до сих пор до фига), прописать там нужную 43-ю или 125-ю опцию, и вуаля - любой девайс с поддержкой CWMP ваш с потрохами!
  13. ЕМНИП дырлинк сказал про кастомную версию для ISP. Что у них там в кастоме мне насрать, в конце концов, пользующиеся роутером от провайдера - сами себе злобные буратины и их не жаль. А в общедоступной версии есть только вызов аутентификации, и вот когда мне продемонстрируют атаку на cwmp на моём 620, вот тогда я и убежусь, что это не бред и не паранойя. Ну не надо шлангом прикидываться, я тоже так могу. Вот это: "по сути используя и одну и вторую можно получить доступ к настройкам устройства включая смену реквизитов доступа". Как вы пришли к таким выводам? Опять же ЕМНИП, у меня ТР069 отключатеся через web. Начнем сначала: какие основания считать что в клиенте бэкдор? Кроме наличия хардкоженного пароля для НЕИЗВЕСТНЫХ(!) целей, других аргументов пока не вижу. ЗЫ: В курсе, что это технические отчёты, и советую вам самому быть внимательнее, TR-069 пока не потерял своей актуальности, и он всё ещё 69. Убедиться просто, открываем: https://www.broadband-forum.org/standards-and-software/technical-specifications/technical-reports и смотрим дату последней версии (TR-069 Amendment 6, март 2018)
  14. С другой стороны, кто вам сказал, что он проверил? А что авторизация может использоваться не для WEB, вам в голову не приходит? Вот поэтому и говорю про паранойю. А то что cwmp сам по себе анальный зонд от провайдера, не смущает? И заметьте, конечным пользователям про это ни слова не говорят, и даже опенсорсность тут не спасает - ну есть в openwrt cwmp, ну открыт, так всё равно провайдер через него что хочешь с твоим устройством сделает. А как тут диагноз не поставить? На основании чего сделан такой вывод? Только при условии, что им можно воспользоваться для доступа к устройству. Во приду домой, проверю оба пароля. Распаковал прошивку - нет там rompager, там только httpd. Зато в tr069 есть упоминания HTTP, похоже там своя реализация. На здоровье, вот только просьба не делать ничем необоснованных выводов, а то получается какое-то изнасилование журналиста. Да и не пофиг вам на обиды длинка?   А это вопрос к вашему другу Sd :) "Так что точно бэкдор во всех клиентах."