PGina - альтернатива Active Directory аутентификации в windows для гетерогенных сетей
Коллеги пишут нам о полезных программах - собственно, почему бы и нет?!
Общеизвестно, что с древнейших времен не только юзеры, но и сисадмины локалхостов, да что тут говорить, даже матерые ветераны страдали.
В сети за много лет накопилось огромное количество свидетельств поиска страждущими способов добавления компьютеров с урезанными версиями Windows (Home, Starter и т.п.) в домен Active Directory. Большая часть свидетельств содержит сведения о том, что страждущие так и не обрели желаемого, обломались и продолжали пребывать в унынии и страдании.
В то время как выход есть, и он прекрасен и прост. Много лет существует и развивается незаслуженно малоизвестный, но прекрасный свободный проект pGina, который позволяет легко организовать, по крайней мере, часть нужного, а именно аутентификацию.
С одной стороны это решение не может претендовать на полноценный клиент для AD, про групповые политики и другие радости вам придется забыть. Но пользователей оно аутентифицирует на ура и с минимальными трудозатратами.
С другой стороны этот проект позволяет совсем избавиться от AD, и даже про samba не вспоминать, потому что ежели кроме аутентификации ничего не нужно, то настроить сервис можно даже на OpenLDAP с минимумом телодвижений. Что для людей, у которых преимущественно *NIXы всякие да радиусы с такаксами, а Windows мало и спорадически, может быть очень и очень приятственно.
Ну вот засим и все. Настройка и сопровождение никаких проблем и хлопот не сулят, поэтому откланиваюсь, до новых встреч.
Авторизация по смс или моя паранойя
Прочитав пост администрации по поводу смены паролей (пост), мне очень резануло по глазам то, что собираются ввести авторизацию по смс.
Далее были попытки взлома с помощью купленных баз данных с парами логин/пароль.
Чтобы исключить такой метод, сегодня мы включаем невидимую капчу при авторизации, а также подтверждение по смс при регистрации.
Ну и сразу в топовых висит хвалебный комментарий от местного секундомера:
Как по мне, очень похоже на манипуляцию мнением людей, когда замыливают глаза уводя от истиной сути ситуации. Сначала мы повышаем безопасность, потом избавляемся от ботов-однодневок, потом собираем базу ваших телефонов, потом... Так! Стоп! Что?
Я не хочу никого ни в чем обвинять, возможно это и в самом деле хотят ввести для безопасности. Но где гарантии, что эта база в дальнейшем не будет использована против пользователей? Если я не ошибаюсь, Пикабу официально зарегистрирован в России, и к админу вполне может прийти бумажка от прокуратуры о выдаче личных данных пользователя...
О возможных последствиях напишу коротко: в России можно присесть за неправильную картинку или комментарий, а с привязкой к номеру телефона доказать вашу причастность намного проще.
Ну и вообще, хотя в посте указано, что никаких баз слито не было, в это слабо вериться, поскольку слишком уж настойчиво просят сменить пароль. Увели пароли - уведут и телефоны.
Да, в комментариях к посту администрации уже написали способы обхода смс регистрации, но это не есть правильный подход. Нужно бороться против ограничений, а не искать пути их обхода!
Да, пока что ничего не сказано о старых аккаунтах, но если это схавать сейчас - то могут ввести и в дальнейшем для всех.
Уважаемый @admin, Я взрослый человек и за безопасность моего аккаунта/пароля с моей стороны я отвечаю сам. (Если вы просрали базу данных, то это другой разговор). Кроме того, я не считаю аккаунт на Пикабу чем-то архи-важным, и если его уведут (не важно по чьей вине), я горевать не буду.
А вот оставлять свой номер телефона я не хочу, просто не хочу и всё.
Привязка аккаунта к смс должна быть только добровольной! Не отмахивайтесь и не проходите мимо! Долой сбор личных данных!
Сложная схема
aaa: Порнохаб авторизация через VK, что дальше? через ДНК, прописку в паспорте?
ххх: Скажи спасибо что не через госуслуги ))
Pornhub. Обход авторизации через ВК
Итак.
1. Заходим на главную страницу Pornhub, встречаем сообщение о необходимости авторизоваться через госуслуги ВКонтакте.
2. Открываем консоль разработчика (F12, Ctrl+Shift+I или клик правой кнопкой мыши -> "Просмотреть код" )
3. Находим блоки с идентификаторами "age-verification-*" (см. рисунок). Они под тэгом body
4. Удаляем их
5. Profit
Может кто-то захочет написать расширение для браузера, а мне лень.
Google отказалась исправить баг на странице авторизации...
Независимый исследователь Айдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, которую компания не может исправить. Эксплуатация бага может привести к автоматической загрузке вируса прямо со страницы логина.
В своем блоге Вудс рассказал, что проблема заключается в том, что Google разрешает использование на странице авторизации GET-параметра «continue=[ссылка]». Данный параметр, по сути, сообщает серверу Google, куда перенаправить пользователя после аутентификации. Понимая, что такое решение может доставить немало проблем, разработчики Google ограничили его использование только доменами компании, то есть подойдут только домены *.google.com/*.
Вудс пишет, что ссылки на drive.google.com и docs.google.com параметр continue тоже воспринимает как должно, то есть разрешает их использование. Таким образом, атакующий может разместить практически любой вирус в Google Drive или Google Docs и скрыть ее в URL официальной страницы авторизации. Пользователь, который нажмет на такую ссылку, скорее всего, ничего не заподозрит, так как действительно попадет на страницу логина Google. Но как только жертва пройдут процедуру авторизации и нажмет на кнопку Sign In, на компьютер без ведома пользователя будет загружен вредоносный файл.
Исследователь честно попытался сообщить о проблеме специалистам Google, однако те закрыли все три баг-репорта Вудса. В блоге исследователь приводит свою переписку с сотрудниками компании и пишет, что они, похоже, не до конца понимают важность проблемы.
«Мы провели расследование вашего отчета и приняли решение не классифицировать это как проблему безопасности. К сожалению, данный отчет не будет принят нашим VRP. Мы рассматриваем только первые отчеты о технических уязвимостях, которые явно затрагивают конфиденциальность или целостность данных наших пользователей, и мы считаем, что описанная вами проблема не дотягивает до этой планки :(«, — сообщил специалист Google Вудсу.
Исследователь надеется, что публичное раскрытие информации о баге наконец привлечет внимание Google к проблеме. Вудс даже снял видео, в котором детально продемонстрировал работу уязвимости. Ролик можно увидеть ниже.
Американец женился на девушке после ошибочной авторизации в Фейсбуке под ее именем
http://www.thesun.co.uk/sol/homepage/news/6675990/Man-logs-in-to-strangers-Facebook-account-then-marries-her.html
Авторизация
Авторизация пользователя.
Чтобы доказать, что вы не робот, причините вред другому человеку, или своим бездействием допустите, чтобы человеку был причинен вред.
Чтобы доказать, что вы не робот, причините вред другому человеку, или своим бездействием допустите, чтобы человеку был причинен вред.
Талия
Женская талия – это естественная граница, ниже которой тактильные контакты требуют дополнительной авторизации.
Мы ищем frontend-разработчика
Привет!)
"Шо? опять?"
Задач так много, что мы не успеваем! И вот нам снова нужны frontend-разработчики!
Как уже стало традицией, мы предлагаем небольшую игру, где вам необходимо при помощи знаний JS, CSS и HTML пройти ряд испытаний!
Зачем всё это?
Каждый день на Пикабу заходит 2,5 млн человек, появляется около 2500 постов и 95 000 комментариев. Наша цель – делать самое уютное и удобное сообщество. Мы хотим регулярно радовать пользователей новыми функциями, не задерживать обещанные обновления и вовремя отлавливать баги.
Что надо делать?
Например, реализовывать новые фичи (как эти) и улучшать инструменты для работы внутри Пикабу. Не бояться рутины и удаленной командной работы (по чатам!).
Вам необходимо знать современные JS, CSS и HTML, уметь писать быстрый и безопасный код ;) Хотя бы немножко знать о Less, Sass, webpack, gulp, npm, Web APIs, jsDoc, git и др.
Какие у вас условия?
Рыночное вознаграждение по результатам тестового и собеседования, официальное оформление, полный рабочий день, но гибкий график. Если вас не пугает удаленная работа и ваш часовой пояс отличается от московского не больше, чем на 3 часа, тогда вы тоже можете присоединиться к нам!
Ну как, интересно? Тогда пробуйте ваши силы по ссылке :)
Если вы успешно пройдете испытание и оставите достаточно информации о себе (ссылку на резюме, примеры кода, описание ваших знаний), и если наша вакансия ещё не будет закрыта, то мы с вами обязательно свяжемся по email.
Удачи вам! ;)
