getasbrb

Гарантия у бизнеса только одна - прибыль. Вот её-то и не видно пока. ЕМНИП основные доходы FB как раз с рекламы. Точно можно сказать одно, если после таких заявлений описанная в патенте технология всплывёт в их продуктах, это удар по репутации и ==> по доходам, так что появление подобного зонда именно у них маловероятно и в целом позиция "сам не ам и другим не дам" выглядит правдоподобной. Однако тут не видно прямой финансовой выгоды, что настораживает.

А до конца никто не дочитал что-ли: FB столь парадоксальным образом пытаются защищать простых пользователей от такой прослушки. По крайней мере, декларируют это. Другой вопрос, а какой им профит с такой защиты?

Зачем же откатываться, уже распределенный GitPub пилят: http://www.opennet.ru/opennews/art.shtml?num=48763 Правда, Issues там нету, только форки, пулл-реквесты и звёзды.

Имя Stuxnet ни о чем не говорит?

Субьективно, в IDE удобнее (хоткеи во все поля. Или я просто не знаю как назначить хоткей ОС на переключение к конкретному окну). Пробовал много мониторов - вариант с одним, но широким 21:9 более удобен.

Ну вот сейчас нужно залезть в браузере на гитхаб, дождаться окончания проверок на мерж и CI, сделать ревью, дождаться исправлений, смержить. В процессе этого приходится метаться между консолью, браузером и IDE, лично мне тяжеелее удерживать концентрацию на задаче, да и окон много, альттабаться заколебываюсь. В IDE тупо удобнее было бы.

Что, и прям уже можно из какой-нибудь IDE отправить кому-нибудь PR, отревьювить PR в свои репы и принять его? Я просто основываюсь на том, что видел в Eclipse - там куцые обрезки.

Если они сделают нормальную интеграцию той же студии с гитхабом, будет здорово. А если ещё и внешнее апи для интеграции сторонних решений - то вообще фантастика.

CodePlex - https://blogs.msdn.microsoft.com/bharry/2017/03/31/shutting-down-codeplex/

Если составить рейтинг его безобразий, то CWMP там будет хорошо если в первой десятке. Проверил CWMP - публичные прошивки с этим паролем никуда не ходят, к себе ConnectionRequest тоже не принимают. Так что и тут мимо. Ну а про тех злобных буратин, которые пользуются девайсами от РТК я уже выше всё высказал.

При чем тут касперский? Это вы утверждаете, что есть бэкдор в cwmp. Ок, проверю и его, надо порыться по сусекам, вроде оставался старый образ докера с OpenACS.

Я понял, что обращаться к логике в вашем случае бесполезно. Пары логин и пароль для cwmp можно указать на морде, в моем случае по-дефолту они были пустые. Дыра в другом месте. По стандарту положено (причем TLS), но по факту положено на стандарт:). Серьезно, среди кучи вендоров мне почти не встречались девайсы даже с SSL, даже если принудительно url для ACS указать именно HTTPS. А уж с наличием корневых сертификатов вообще беда.

Итак, отписываюсь по результатам обещанной проверки. Стащил прошивку с FTP, зашил, попробовал зайти на веб-морду с теми credentials что упомянуты в отчете и тут на форуме - не пускает. cwmp отключен и в списках процессов tr069 отсутствует. Выводы - в кашперском работают идиоты, а на форуме присутствуют параноики. Ещё раз, для не умеющих в логику: (наличие захардкоженных credentials в прошивке) != (бэкдор||уязвимость) Я как бы знаю, что такое протокол CWMP, правда, с другой стороны. Всё вышеописанное - это вообще стандартный функционал, и ваши snr точно также "уязвимы". Причем, ЛЮБОЙ девайс, поддерживающий протокол CWMP!!! Стоит поднять в локальном сегменте сети DHCP сервер (а провайдеров, не разделяющих своих клиентов до сих пор до фига), прописать там нужную 43-ю или 125-ю опцию, и вуаля - любой девайс с поддержкой CWMP ваш с потрохами!

ЕМНИП дырлинк сказал про кастомную версию для ISP. Что у них там в кастоме мне насрать, в конце концов, пользующиеся роутером от провайдера - сами себе злобные буратины и их не жаль. А в общедоступной версии есть только вызов аутентификации, и вот когда мне продемонстрируют атаку на cwmp на моём 620, вот тогда я и убежусь, что это не бред и не паранойя. Ну не надо шлангом прикидываться, я тоже так могу. Вот это: "по сути используя и одну и вторую можно получить доступ к настройкам устройства включая смену реквизитов доступа". Как вы пришли к таким выводам? Опять же ЕМНИП, у меня ТР069 отключатеся через web. Начнем сначала: какие основания считать что в клиенте бэкдор? Кроме наличия хардкоженного пароля для НЕИЗВЕСТНЫХ(!) целей, других аргументов пока не вижу. ЗЫ: В курсе, что это технические отчёты, и советую вам самому быть внимательнее, TR-069 пока не потерял своей актуальности, и он всё ещё 69. Убедиться просто, открываем: https://www.broadband-forum.org/standards-and-software/technical-specifications/technical-reports и смотрим дату последней версии (TR-069 Amendment 6, март 2018)

С другой стороны, кто вам сказал, что он проверил? А что авторизация может использоваться не для WEB, вам в голову не приходит? Вот поэтому и говорю про паранойю. А то что cwmp сам по себе анальный зонд от провайдера, не смущает? И заметьте, конечным пользователям про это ни слова не говорят, и даже опенсорсность тут не спасает - ну есть в openwrt cwmp, ну открыт, так всё равно провайдер через него что хочешь с твоим устройством сделает. А как тут диагноз не поставить? На основании чего сделан такой вывод? Только при условии, что им можно воспользоваться для доступа к устройству. Во приду домой, проверю оба пароля. Распаковал прошивку - нет там rompager, там только httpd. Зато в tr069 есть упоминания HTTP, похоже там своя реализация. На здоровье, вот только просьба не делать ничем необоснованных выводов, а то получается какое-то изнасилование журналиста. Да и не пофиг вам на обиды длинка?   А это вопрос к вашему другу Sd :) "Так что точно бэкдор во всех клиентах."

Человек, делающий однозначные выводы при неполных данных - это идиот или гений. Гениев исчезающе мало. Лично я по имени set_auth_data могу только сделать предположение с большой долей вероятности, что это функция связанная с авторизацией. А вот для чего эта авторизация используется, я уже не могу предполагать с той же уверенностью - возможно несколько вариантов. С учетом данных твоего друга, если эта функция переехала аж в демон cwmp, уже можно предположить, что это какая-то внутренняя авторизация, ибо общего у web и cwmp крайне мало. Версия с бэкдором маловероятна, однако почему-то безаапеляционно утверждатеся что это именно бэкдор. Отсюда следует, что либо в кашперском работают идиоты, либо они знают что-то большее, нежели только имя метода, но почему-то молчат. Так что конкретно эта "уязвимость" - спекуляция, а люди не из кашпера утверждающие об этом - параноики. Я что-то упустил в своих выкладках?

Мне за логику обидно, её тут поимели по-всякому:(

Ну с sfstudio всё понятно, он параноик и не умеет в логику + длинк у него кажется сорцы потырил. Но делать вывод о том что в прошивке бэкдор на основании имени метода и предкомпиленного пароля - это верх некомпетентности, такого я от представителей кашперского не ожидал. Мало ли где этот метод может вызываться? Ведь авторизация - это так подозрительно, не правда-ли!