Men der kan måske være ting der direkte kan bruges til kompromat. Og man kan i hvert fald mappe personens netværk, og se om der er nogle af dem, man kan finde kompromat om. Og helt generelt bare bruge det til at høste information der kan bruges til social engineering.
Lidt reklame herfra (ved jeg ikke, om man må).
Godt spørgsmål – men når det er relevant for emnet samt med tydelig deklaration af din tilknytning, burde det ikke være et problem, IMHO.
Det er noget andet med spam og astroturfing :)
One.com skriver godt nok at de eksiterende gratis domæner bibeholdes som en gratis løsning. meeeeeeeen.....
Som jeg skriver i Kramses blog:
Og jeg stoler ærligt talt ikke på at der ikke bliver lavet en bait and switch. Man opkøber ikke et firma hvis man ikke regner med at kunne tjene på købet, vel?
Jeg kan ikke huske hvorfor jeg har antipati mod One, det er vist en del år siden – men det må have været i den trælse ende, siden jeg stadig sidder med "der har jeg ikke lyst til at være kunde".
Mailen fra GratisDNS linker til en faq, men den er godt nok uldent formuleret:
Der har via andre kanaler været "DNS burde fortsætte med at være gratis", men det er ikke en direkte, officiel udmeldelse.Vil DNS stadig være gratis?</p>
<p>Alle nuværende gratis DNS-opsætninger vil blive overført til en af one.coms DNS-pakker. De fleste kunder vil kunne fortsætte med at administrere deres domæne- og DNS-indstillinger gratis efter migreringen.
Og jeg stoler ærligt talt ikke på at der ikke bliver lavet en bait and switch. Man opkøber ikke et firma hvis man ikke regner med at kunne tjene på købet, vel?
Det er trælst og ærgerligt at GratisDNS forsvinder, men ingen bad will overfor Peter Larsen – det har været en super god og stabil gratis service i mange år :)
Jeg er lidt ligeglad med hvad en Unicode standard mener og synes, jeg vil bare gerne have en default setting sat i min texteditor, som hedder Disable Insane Unicode Effects, så hver byte eller word fylder netop een fixed width character i editoren. Altid.
"Disable Insane Unicode Effects", lyder som en nice feature, men IMHO er "én byte én character" ikke den bedste løsning – jeg kan godt lide at mine editors har UTF-8 support og kan rendere både "international" tekst og emojis, så noget i stil med WordPerfects "vis koder" ville være at foretrække.
UpCloud (som mig bekendt har hovedsæde i Finland) har svaret mig:
Det er da et ikke-svar i forhold til den gældende problemstilling? Som andre har nævnt tidligere: den fysiske placering af data er så godt som ligegyldig.
Har de slet ikke forstået kritikken? Problemet er ikke at lave phishingkampagner, det er en god idé – det var måden de gjorde det på 🤦♂️man »er indstillet på at finde et alternativ til phishingkampagner som del af uddannelsen.«
Det at de har slået notifikationer fra er en pinlig lappeløsning. Jeg skal ikke have MitID før de genindfører løsen.
Der er – trods alt – password hvis du bruger token/keyfob. Så hvis man fravælger appen er der nogenlunde sikkerhed?
Jeg er dog godt nok ikke imponeret over deres valg. Ja, keyloggers der kan opsnappe passwordet er da et reelt problem, men der har vi jo hele pointen med MFA – ekstra beskyttelse, hvis passwordet bliver opsnappet.
Hvis vi snakker brugeroplevelsen, klient vinkel så er det DNS de ser som problemet, først.
Hvis man sad og doomscrollede på fjæsbogen mens nedbruddet skete, ville man så ikke allerede have de relevante DNS entries cached? Men være forhindret i videre brug af sitet, på grund af routing fuckuppet?
Det kræver kun at der er en person on site, som kan gå ind og sætte den på konsolporten, og trykke på en knap. Så opretter den forbindelsen via GSM.</p>
Det kræver at de kan komme ind i rummet.
<p>Jeg tror Facebook ville have givet en arm for sådan en i går.
Der var rygter om at de havde fysisk-adgang problemer fordi de bruger Internet of Trash låse, der var på samme netværk som alt det andet der ikke virkede...
Tjaa ... disse angreb går sjældent mod en enkelt virksomhed ad gangen. Det foregår på industriel skala. Hvis man ansætter billige folk til at finde sårbarheder og så bruger sårbarhederne mod mange mål på en gang, så kan man komme udenom de fleste forsvar. Umiddelbart virker det som om en stabil gevinst der er 10 gange større end udgiften er mulig.
Men hvorfor skulle man hyre folk til at finde 0-days når det er så nemt at komme ind med velkendte exploits? Hvorfor skulle man brænde exploits der kan bruges til virkeligt lukrative targets, når ens mode of operation (som du selv skriver) er masseafpresning?
Det er et spørgsmål om der er MBEC (Mode Based Execution Control) understøttelse indbygget i chippen. I følge ThioJoe kan det betyde et preformance fald på 40% i forbindelse med en ny sikkerheds feature for Memory Integrety Checks.
Ah, endeligt noget med noget kød på! :)
Så er spørgsmålet hvorfor MS kræver det som baseline feature, i stedet for en ekstra-sikkerheds bonus på CPU'er der understøtter det.
Det virker helt hul i hovedet at lave et nyt OS der ikke supporter ~5 år gamle CPUer.
(der var engang noget der hed TrueCrypt)
Fanen bæres videre af VeraCrypt projektet!
Jeg tvivler på at de typiske ransomeware gangs benytter sig af den slags – det er ikke nødvendigt, og det for dyrt at brænde den slags teknikker af til dét formål.
Er der nogen der ved hvad de reelle systemkrav er?
Jeg har en Ryzen 5 1600, der ellers supporter TPM2.0 (og har det enabled osv) – er der noget instruktions- eller chipsæt support der mangler, eller har Microsoft bare lavet en whitelist i stedet for at checke available features?
Aner ikke hvordan Exchange server håndtere tingene, men Postfix kan sagtens se forskel på mails til mailbokse, som kommer fra eksterne email adresser vs interne adresser.
Jeg mente ikke hvad der kigges på for at klassificere, men om advarslen vises som et UI-element i mailprogram/webapp, eller om mail-body bliver modificeret (ligesom visse mailservere havde tendens til at tilføje "ER SCANNET MED SNAKE-OIL ANTIVIRUS" footers).
Her bliver alle mails som kommer fra ikke-firmarelaterede domænet flagget med en besked skrevet med neonorange baggrund med følgende besked:
Flagget hvordan? Et UI-element (som man sandsynligvis ender med at blive trænet i at ignorere), eller bliver mail body text omskrevet af et eller andet emsigt software?
Vi bruger gmail for business, den tilføjer en external label – det støjer ikke super meget, men kan også forholdsvist nemt overses 🤷♂️
Jeg forstår ikke hvorfor du synes at kilden (specielt NemID) skal være offentlig tilgængelig med al den IT-kriminalitet vi bliver forsøgt bombarderet med udefra, og efter alle solemaærker at dømme accepteres eller set igennem fingre med af de lokale myndigheder. Næh lad os holde kortene ind til kroppen hvad kildekode til den slags angår.
De kriminelle har fint været i stand til at lave de angreb på NemID, der nu engang kan laves på den arkitektur, uden at have kildekoden tilgængelig.
Open source gør ikke det helt store hverken for eller imod sikkerhed (På den side virker "many eyes" kun hvis der er folk der rent faktisk kigger, på den anden side behøver jeg ikke sourcekode for at finde vulnerabilities) – det skal primært ses som ejerskab for os borgere, mod de glubske røvhuller der vil have penge for at gen-gen-genopfinde den dybe tallerken.
Jeg tænker der er en redaktionel årsag til det, men er jeg den eneste der synes det er tungt at skulle læse alle de kreative danske oversættelser?
+1 – det er også drønirriterende der insisteres på at skrive alting med stort startbogstav, i stedet for at beholde den oprindelige skrivemåde (fx Ios vs iOS).
Jeg prøvede virkeligt at finde ét eller andet formildende, men... det er jo snotdumt. Upwards traversal skulle naturligvis ikke være kravlet helt op til TLD'et, og det virker farligt i det hele taget at kravle opad.
Og plaintext er supported? Ugh.
Det eneste en smule formildende er at passwords trods alt ikke ligger og flyder frit tilgængeligt rundt, hvilket "Fejl i Microsofts autodiscover synliggør titusindvis af brugeres adgangskoder" ellers kunne antyde – det kræver trods alt at du registrerer et domæne eller kan sniffe trafik (og muligvis påvirke, for at lave TLS->HTTP downgrade?), men... det er sgu slemt nok.
Sune Marcher