[alibek]

9 минут назад, Sergey Gilfanov сказал:

Смысл в том, что авторизация - есть и никуда деваться не собирается.

Авторизация — это порт коммутатора, этого достаточно. Конкретная реализация (dhcp option 82 или c-vlan) уже не принципиально.

Накручивать поверх этого еще что-то — создавать проблемы на ровном месте для себя и для абонентов.

[st_re]

ну вот да, у меня дома никаких дополнительных авторизация нет, воткнул хочешь ноут, хочешь точку и оно сразу работает.. sim карты НЕ НАДО ..

[jffulcrum]

12 часов назад, sfstudio сказал:

Никто не заинтересован работать в стол. Оценка спроса - критерий реализации.

Я Apple не случайно упомянул, они мастера создавать именно спрос на уже существовавшие предложения.

 

12 часов назад, sfstudio сказал:

Никакой даже самый сильный бренд не будет делать железо себе в убыток.

Делают сплошь и рядом, от приставок до автомобилей. Продукт выстрелил - начинается работа по снижению себестоимости, не выстрелил - ну не смогла и не смогла, в большой экономике могу себе позволить, да и просто на колебаниях курса акций после анонса отбить затраты.

[Ivan_83]

4 часа назад, adron2 сказал:

Думаю дисплейчик не нужен. Сейчас у каждого есть смартфон.

Ты готов мне смартфон купить?

А тыщам других?

 

 

4 часа назад, Sergey Gilfanov сказал:

Потому и SIM-ка нужна. Чтобы воткнул в купленный/предоставленный роутер - и сеть сразу знает, чей это порт.

Вы предоставляете услугу на порту своего коммутатора ну либо какого то гпон терминала.

Если у вас такой звездец что вы путаетесь в своих портах - значит вам нужен специалист который наведёт в вашем бардаке порядок, заодно выдав люлей всем кто будет против, а кой кого и на улицу.

Все нормальные тут уже сделали по влану на порт, где работает DHCP сервер, и клиент может туда роутер любой дыркой включать - работать будет.

А вам всё надо чтобы кто то ваш колхоз починил: вот будет волшебный роутер который за нас всё сделает.

Вам же сфстудио выше предложил, платите ему бабки и он решит ваши проблемы.

Он может даже не роутер а просто какой то авторизатор сделать, типа прозрачного моста, будете впаривать как умную интернет розетку.

 

3 часа назад, Sergey Gilfanov сказал:

За *-дцать лет можно было бы технологию и вылизать до пригодности использования операторами, не?

Это не для вас технология, а для корпоратов, или скорее всяких госов с секретностью головного мозга.

Вы же не просите рефлектометр вылизать чтобы гуманитарная домохозяйка могла им пользоваться.

 

4 часа назад, Sergey Gilfanov сказал:

Дисплейчик нужен, чтобы какой-нибудь одноразовый пароль показать.

Нужен не дисплейчик а интерфейс для отдачи ключа, и не человеко читаемого а для машины.

Я предпочёл чтобы требовался физ контакт, типа на фуфлоне металическая площадка и на роутере, касаешься, держишь пару сек и у тебя есть подключение по вифи.

По ВИФИ! Как безопасная альтернатива WPS.

Не для провайдеров, нет!!!

[Ivan_83]

1 час назад, jffulcrum сказал:

Я Apple не случайно упомянул, они мастера создавать именно спрос на уже существовавшие предложения.

Как Джобс сдох так они просто доживают, у них своей харизмы и своих яиц нет чтобы что то двигать, там такие же задроты маркетологи как и везде сидят, ни ума ни фантазии.

 

1 час назад, jffulcrum сказал:

Делают сплошь и рядом, от приставок до автомобилей. Продукт выстрелил - начинается работа по снижению себестоимости, не выстрелил - ну не смогла и не смогла, в большой экономике могу себе позволить, да и просто на колебаниях курса акций после анонса отбить затраты.

Это крайне упрощённый взгляд.

При массовом производстве снижаются издержки, изначально оно практически ни кем себе в убыток не делается.

Есть всякие товары которые идут ниже себестоимости, типа дотация производителя, но там всегда расходник дорогой, это и принтеры и всякие игровые приставки.

Насчёт сервисных моделей авто - сильно сомневаюсь что там кто то надеется отбить субсидии, там изначально гонят говно, велкам ту соседний раздел форума.

Всякие мабилы тоже изначально делают такими какими они будут до конца жизненного цикла товара, обычно это год сейчас.

[sfstudio]

39 минут назад, Ivan_83 сказал:

Нужен не дисплейчик а интерфейс для отдачи ключа, и не человеко читаемого а для машины.

Я предпочёл чтобы требовался физ контакт, типа на фуфлоне металическая площадка и на роутере, касаешься, держишь пару сек и у тебя есть подключение по вифи.

По ВИФИ! Как безопасная альтернатива WPS.

Не для провайдеров, нет!!!

И это решается. NFC в вердроидах (как минимум) позволяет передавать конфиг сети причём в любом из 3х вариантов подключения. Но опять вопросы, и уже с 2х сторон. +2 бакса к цене роутера. И уже на нашей стороне вечный сэкис отсчлеживания совместимости с каждой новомодной "машиной".

 

Проще (но не дешевле) eink дисплэй. Хочешь QR код туда генери, хочешь человекочитаемый.

 

Ну и общий вопрос. Юзверь в шкаф будет лазить? Сначала нужно отучить юзверя пихать роутер в самую страшную жопу в квартире. Потом уже размышлять о интерфейсах.

 

Предупреждая вопрос. Дело тут не в дизайне, а в том, что роутер по сути штука которая "просто стоит и занимает место". Потому и пихают куда по дальше. Особо одарённые в зеркальные шкафы засовывают. А потом клиенты плачутся, чего-то так всё фигово работает. Начинаешь выяснять, вот 100% роутер в какой-нить жопе типа шкафа, металлического щитка. Самые одарённые в подъездный щиток лепят.

 

Да и вообще, всё это лабуда. Просто нужно объяснять людям не только о ваших крутых тарифах, но и о банальных средствах предохранения. Тупым юзверя делают сами же операторы. 80% народа прекрасно понимает русский язык и важность таких процедур после внятного объяснения.

[Sergey Gilfanov]

40 минут назад, Ivan_83 сказал:

Вы предоставляете услугу на порту своего коммутатора ну либо какого то гпон терминала.

Если у вас такой звездец что вы путаетесь в своих портах - значит вам нужен специалист который наведёт в вашем бардаке порядок, заодно выдав люлей всем кто будет против, а кой кого и на улицу.

Все нормальные тут уже сделали по влану на порт, где работает DHCP сервер, и клиент может туда роутер любой дыркой включать - работать будет.

А вам всё надо чтобы кто то ваш колхоз починил: вот будет волшебный роутер который за нас всё сделает.

Вам же сфстудио выше предложил, платите ему бабки и он решит ваши проблемы.

Он может даже не роутер а просто какой то авторизатор сделать, типа прозрачного моста, будете впаривать как умную интернет розетку.

Еще раз напомнить, что я, вообще-то, абонент. И, похоже, мой оператор (большой и федеральный) к нормальный операторам не относится - как было PPPoE, так и осталось.

А 'умную интернет-розетку-авторизатор' я на этом же форуме много лет назад предлагал. Народ не проникся.

 

40 минут назад, Ivan_83 сказал:

Я предпочёл чтобы требовался физ контакт, типа на фуфлоне металическая площадка и на роутере, касаешься, держишь пару сек и у тебя есть подключение по вифи.

У фуфлофонов интерфейсов для такого нет. Ну разве что звуковые вход-выход задействовать. Хотя я бы тоже всячески такой интерфейс, требующий физического контакта, поддержал.

19 минут назад, sfstudio сказал:

И это решается. NFC в вердроидах (как минимум) позволяет передавать конфиг сети причём в любом из 3х вариантов подключения.

NFC начинается совсем не с бюджетных смартов. Хотя стоимость у него, вроде, копейки и могли бы уже во все подряд ставить.

19 минут назад, sfstudio сказал:

Начинаешь выяснять, вот 100% роутер в какой-нить жопе типа шкафа, металлического щитка.

Собственно, у меня так и стоит. Специально ящик к стене прикручивал. Правда, антенны наружу выведены. И оно только для смартов. Стационарные железки - по проводам, что из того же ящика расходятся. Я 'одаренный'?

[sfstudio]

Ну и ещё учим монтажников тому, что если система благим матом кроет на тему смены реквизитов - то делает она это не случайно. Юзвери ныне менее баранообразны, и если система грит смени пароль часто таки меняют. А вот с монтажёрами беда. На wifi сменили, а дальше пофигу.

 

4 минуты назад, Sergey Gilfanov сказал:

Собственно, у меня так и стоит. Специально ящик к стене прикручивал. Правда, антенны наружу выведены. И оно только для смартов. Стационарные железки - по проводам, что из того же ящика расходятся. Я 'одаренный'?

 

В вашем случае одарённость в хорошем смысле слова. Антенны вытащили, стационары кабелем подвели. Если бы ещё бы не в углу корридора (вангую), то вообще +10 к тому как нужно делать.

 

Я говорю о совсем иных случаях. Ваш случай это исключение, когда и спрятали и сделали по человечески.

 

Чаще встречаются металлические ящики внутри ЖБ стены, в нём роутер, кабелем не подключено ничего. При этом ниша с ящиком находить в углу кладовки.

 

Я уже грил, щас строители-ремонтеры специально даже клиенту помогают спрятать роутер в подобную жопу, а т.к. стоит до кучи обычно всякое говно типа тплинка, то сразу предлагают отдельную линию питалова с автоматом, что бы проще было перезагружать. =)))

[Ivan_83]

18 минут назад, sfstudio сказал:

И это решается. NFC в вердроидах (как минимум) позволяет передавать конфиг сети причём в любом из 3х вариантов подключения. Но опять вопросы, и уже с 2х сторон. +2 бакса к цене роутера. И уже на нашей стороне вечный сэкис отсчлеживания совместимости с каждой новомодной "машиной".

 

Проще (но не дешевле) eink дисплэй. Хочешь QR код туда генери, хочешь человекочитаемый.

Жаль что тему можно было бы продавить только более-менее крупным вендорам, ибо в маркетинг такой хрени нужно вбухать дохерища бабла, а профита вендорам с этого нет.

Ты конечно можешь сам попробовать двигать тему, но для начала нужно будет накорябать приложения которые этот пароль в вифи пихают, склепать роутеров, наделть роликов на ютупе для дебилов о том как это удобно и очень безопасно и параллельно о том какая дыра WPS и как оно легко ломается, и ещё лицензировать это всё и объявить что отчислений не собираешь и тогда может года через 3....

 

Только что, Sergey Gilfanov сказал:

Еще раз напомнить, что я, вообще-то, абонент. И, похоже, мой оператор (большой и федеральный) к нормальный операторам не относится - как было PPPoE, так и осталось.

Голосуй ногами :)

[sfstudio]

Моя политика на тему подобных нововведений такова - если есть заинтересованное лицо/лица и готовы инвестировать в решение - можно чесать репу. Ходить что-то продавливать в части новшеств подобного рода на рынке на котором мы работаем не имеет смысла. Т.к. даже то, что просят (аля всякие TRы) потом никто не юзает. А время на это убито.

 

Хотя вот с тем же ТРом запросто можно увязать всё включая пароли с ЛК, и если что высылать смской по запросу да вариантов миллион. Но никто не хочет шевелиться от слова совсем. Зато хотелок и фантазий хоть лопатой выгребай.

 

P.S. Реализация подхода с конфигурацией по NFС заложена в гуглороутеры. Т.е. всё написано до нас и приложения по дефолту в каждом смарте кроме тыблок. Остальное верно.

[Sergey Gilfanov]

5 минут назад, Ivan_83 сказал:

 начала нужно будет накорябать приложения которые этот пароль в вифи пихают, склепать роутеров, наделть роликов на ютупе для дебилов о том как это удобно

Собственно, QR-код с данными для подключения к WiFi уже давно придуман и более-менее стандартен. Приложения давно есть, ролики на ютубе, я думаю, тоже.

[alibek]

1 час назад, sfstudio сказал:

NFC в вердроидах (как минимум) позволяет

Я вот у производителей одной СКУД спрашивал, почему они NFC не хотят на считыватель поставить.

А то есть Mifare и EM-Marin есть, даже Bluetooth недавно добавили, а NFC нет.

А оказывается, что на устройствах Apple это какой-то большой геморрой и квест, так что они долго пытались, а потом решили вообще отказаться в пользу Bluetooth.

[Sergey Gilfanov]

1 минуту назад, alibek сказал:

А оказывается, что на устройствах Apple это какой-то большой геморрой и квест, так что они долго пытались, а потом решили вообще отказаться в пользу Bluetooth.

Странная логика. NFC же и само по себе бывает, внутри карточек с чипом?

[alibek]

2 минуты назад, Sergey Gilfanov сказал:

NFC же и само по себе бывает, внутри карточек с чипом?

Карточки сами по себе и так есть, те же Mifare.

Ну или таблетки с BLE есть, которые 2-3 года на одной батарейке работают.

Так что они на NFC забили.

[YuryD]

18 часов назад, st_re сказал:

А если вы внутрь не попали, то как установлили, что это имено это? Ну устройства пытаются ломать 100500 раз на дн давно и надежно. у меня знакомому кирпич из дир 300 делали дет 7-8 назад.

 Потому-что похоже на описание на серте. Пытались видимо свой pptp поднять, что в общем-то нонсенс, у дешевых железяк и у винды невозможно иметь и сервер и клиента на одном ip, порт 1723 занят :) Что ломают - это понятно и обычно. Для тплинков всё кончается сбросом конфига в дефолт, у асусов и блинков возможны более сложные изменения конфигов, подмена dns например. Второй случай сегодня - тот-же тплинк, потеря настроек типа подключения на wan. При смене типа подключения на static pptp - все настройки вдруг восстановились, и имя и пароль и прочие ip. Причем клиенты и понятия не имеют, как попасть в настройки, и паролей они понятно не знают. С файвайпаролями я доставляю клиентам лишний геморрой, ибо забыли - везите роутер к нам с договором, или сильно платный вызов. Пуcть память тренируют :)

[sdy_moscow]

5 часов назад, YuryD сказал:

Пытались видимо свой pptp поднять, что в общем-то нонсенс, у дешевых железяк и у винды невозможно иметь и сервер и клиента на одном ip, порт 1723 занят :)

? очень странная фраза.

Дешифруйте плиз, чем наличие сервера на порту 1723 мешает установить TCP соединение с клиентского порта с другим сервером. Скорее уж реализация GRE протокола будет мешать, а никак ни TCP контроллер сессии.

[Andrei]

https://habr.com/company/jetinfosystems/blog/359210/

[st_re]

ну на хабре, в отличии от опеннета, хотябы не сослались на русских какеров.. 

[sfstudio]

Вы имеете что-то против русских хакеров? =))) Вот на хабре не рассматривают сценарий озвученный мной выше вот это точно Ж. Всё же цифры и опыт одного из участников темы как бы намекает, что далеко не во всех случаях схема атаки была в лоб, т.е. на открытый из мира web. Всё же большинство вендоров осилило по дефолту рожу в мир не открывать.

 

Юзвери сами крайне редко включают доступ с мира до WEB им оно тупо не надо. Чаще это делается опять таки руками монтажников (напуркуа и кто просил не ясно).

 

А вот с локалки оно в 99% случаев открыто и в 90% случаев реквизиты дефолтовые.

[Ivan_83]

1 час назад, sfstudio сказал:

Юзвери сами крайне редко включают доступ с мира до WEB им оно тупо не надо. Чаще это делается опять таки руками монтажников (напуркуа и кто просил не ясно).

Когда я работал то монтажники шарили морду в веб с паролем юзера от личного кабинета/инета или каким то нашим фирменым паролем, не дефолтным точно.

Потом ТП могла диагностировать чото на стороне клиента.

[sfstudio]

Во первых я о случаях с дефолтным, таких роутеров даже на Wive оказалось море (хотя по дефолту из инета вообще в wive ничего не доступно, т.е. включали сами, массово при этом) в т.ч. в подсетях ДОМ.РУ. Во вторых, давно пора начать по дефолту фильтровать порты телнета веба и т.д. в сторону абонета по дефолту, с возможностью снять блокировку в ЛК. Это хоть какая-то гарантия что подобное рукоблудие не сделет из абонентской сети какюу-нить бот заразу.

 

Это как минимум.

[YuryD]

54 минуты назад, sfstudio сказал:

Во первых я о случаях с дефолтным, таких роутеров даже на Wive оказалось море (хотя по дефолту из инета вообще в wive ничего не доступно, т.е. включали сами, массово при этом) в т.ч. в подсетях ДОМ.РУ. Во вторых, давно пора начать по дефолту фильтровать порты телнета веба и т.д. в сторону абонета по дефолту, с возможностью снять блокировку в ЛК. Это хоть какая-то гарантия что подобное рукоблудие не сделет из абонентской сети какюу-нить бот заразу.

 

Это как минимум.

 C wive не знаю, но у халявных роутеров(вроде асус-рт какой-то) от домвру была своя прошивка, которая позволяла управлять клиентским роутером, вплоть до смены прошивки, не говоря уж о конфигах. Характерная вебморда, которая не позволяла ничего клиенту, только ssid и пароль посмотреть.

[sfstudio]

Разделение прав в подобных прошивках реализовано исключительно на уровне WEB (прям на жабоскрипте обычно) при этом за 3 минуты выколупывается рутовый пароль и поехали.

 

Такое извращение у всех почти типа многоюзверных фирмварей. Достаточно иметь хоть какой-то доступ в рожу, а дальше с помощью банального firebug расколупывается всё. Так что на подобные ограничения кулхацкеры клали, кладут и класть будут.

 

В wive, до последнего времени, был только один юзверь. Ибо кто роутер обслуживает - тот его и танцует.

 

Но нас заколупали и 3 месяца назад было решено - хрен с вами сделаем разделение прав.

 

Но! Мы не пошли по пути наименьшего сопротивления. А решили сделать по уму, что бы юзверю не была доступна вся nvram а только строго то, что позволено capabilitis.

 

В итоге пришлось переезжать на nginx, рожать свою реализацию поддержки asp, обёртки для nvram и т.д. Следующая публичная версия выйдет уже с поддержкой многоюзверности.. Буквально вчера закончили. И такой финт ушами как с большинством других реализаций у нас не пройдёт.

 

А у дом.ру там такие городушки... Видел, присылали.

 

P.S. В любом случае не надо полагаться на то, что фирмварь в роутере не содержит закладок или банальных дыр. Чаще всего это увы не так. Как пример https://wi-cat.ru/others/d-link-bugs/

 

Т.е. надо на уровне своей сети фильтрацию таки какую-то обеспечивать в сторону юзверя. Это +100500 к безопасности, особенно когда юзается какое-нить проприретарное говно.

[YuryD]

10 минут назад, sfstudio сказал:

Т.е. надо на уровне своей сети фильтрацию таки какую-то обеспечивать в сторону юзверя. Это +100500 к безопасности, особенно когда юзается какое-нить проприретарное говно.

 Ну и кто кому за это заплатит ? Фильтровать - ну возможно это меньшее зло, чем клиента прибьют.  Хотя - клиента нагнули по вине говнороутера, который мы ему не продавали, так что абонплата в полном объеме. У меня стандартный вопрос хотетелям реальника - а вы понимаете, что это значит?  Если не понимают, то длинная лекция о возможных последствиях, и сами пусть решают, зачем им это надо. Непонимающие получили массовый отказ работы от своих например дохуярегистраторов. Нее, атаки со своих Ip-сетей гашу, но клиенты пусть сами уж защищаются, или за деньги. Я клиентам с реальником никакой защиты вообще не предлагаю, а денег у них нету....

[sfstudio]

1) За что платить? За стопку правил автоматически генерируемых из ЛК на шлюзе? Зажрались. Оформите это как тарифную опцию, с ценой 50р. раз так жаба душит.

2) Ждёте пока нагнут по вине говнороутера который продали вы?

3) Лекция прекрасно, однако белый iP или серый в описанной мной схеме не важно. Троян на ПК, скан шлюза - доступ к роутеру. Ну не нужен реальник для такой схемы. И кулхацкеры не дурнее меня и вас, что бы не приюзать оную. Как подсунуть юзверю троян дело 100500. Правда и фильтрация при такой схеме мало чем поможет. А то, что именно эта схема скоро вполне может стать основной - ну дык всё к этому идёт. 

 

Я вот с ужасом это всё пытаюсь на ipv6 экстраполировать. Вот где будет ад адский. Всё железо жопой в инет, да с реальниками. У себя привентивно по дефолту только ответы на то что юзверь запросил разрешаю, форвард v6 в сторону юзверя зарезан по дефолту.

 

При IPV6 строгая фильтрация обязательна. И юзверь сам врятли будет этим заморачиваться. А вот дропнуть всё по дефолту и сделать галочки в ЛК аля разрешить коннект к тому-то вполне решение.  В большинстве своём никто ничего разрешать и не будет. А вот троянов разворачивающих какой-либо микросервер (тоже надо сказать не мало) это прищучит как и сейчас NAT.

 

P.S. О большинстве успешных атак вы никогда не узнаете, оно обычно проходит тихо и мирно. А потом железка дооооолго юзается по какому-либо назначению, от развёртывания узлов тор, vpn - до майнинга и использования как ботов при массовом, но неспешном брутфорсе.

 

PP.S. Ну и вероятно, что не сделаете вы - сделает кто-то другой и прорекламит как суперпупер преимущество, ещё и "на халяву". Поимеет определённый отток клиентов в свою сторону. Эдакая конкуренция с головой, а не тупой демпинг.