Comments 372
как в той истории с монгой, смотрящей в интернет
и как в той истории с паролями, хранящимися на гитхабе
и как… в общем как всегда:(
Понимаете теперь, зачем чебрволл возводят? Чем закрывать такие дырявые сетки по одной — лучше уж все разом! :)

"Если бы строители строили здания так, как программисты пишут программы, первый залетевший дятел разрушил бы цивилизацию" (с)

Ой как начинает доставать эта фраза)
Во первых они так и строят.
Во вторых если бы строителям выдавали задачи в стиле: «перестройте этот сарай в 5 звездочный отель» или «не снося автовокзал постройте международный аэропорт», я бы на них посмотрел.
Или как у меня было: «постройте нам небосркеб в 40 этажей и парковку для жителей рядом. Готово? Ой, все классно, но надо поменять одну мааааленькую вещь: давайте парковку сделаем подземной, под самим небоскребом? Как практически невозможно, надо все переделывать? Это же маленькое изменение. Переделали? Классно, но мы тут погоняли, подумали — а давайте вместо небоскреба сделаем одноэтажный рядник. Ну, просто все те же квартиры, но не друг над другом, а рядом».
а давайте вместо небоскреба сделаем одноэтажный рядник. Ну, просто все те же квартиры, но не друг над другом, а рядом

Математики, задумчиво крутя в руках оператор транспонирования, искренне не понимают в чём тут проблема.
UFO landed and left these words here
Если по простому, транспонировать — это повернуть объект (группу объектов) набок. В данном случае, парковка построенная рядом окажется снизу, если повернуть на 90 градусов небоскреб в связке с парковкой.
Инженеру, физику и математику выдали одинаковое число досок для забора и дали задание огородить максимально возможное число овец.
Инженер построил небольшой, но крепкий загончик в форме квадрата.
Физик построил загон в форме окружности, утверждая, что такая форма может вместить больше овец.
Математик построил заборчик по кругу, сел в центре и сказал: «я нахожусь снаружи».
Математик построил заборчик по кругу, сел в центре и сказал: «я нахожусь снаружи»

Но тогда надо было строить не по кругу, т. к. круг занимает максимальную площадь при одинаковом периметре, и, соответственно отнимает максимум от площади планеты…

</зануда-математик off>

Так задача была не связана с площадями по разные стороны забора, задача была огородить как можно больше овец. Математик выиграл — он огородил ВСЕХ овец :-)

но надо поменять одну мааааленькую вещь: давайте парковку сделаем подземной, под самим небоскребом?

Нет проблем: вот Вам предполагаемая смета в $100500 млн. А, что, Вам вдруг резко расхотелось перестраивать? Ну, как скажете, хозяин — барин.


(Как я говорю, "воплощу в жизнь любой ваш идиотизм — за ваши деньги.")

Нет проблем: вот Вам предполагаемая смета в $100500 млн.
«Вы наверное не специалист, а проходимец какой-то. Мы расторгнем с вами контракт и лучше наймем студентов заборостроительного факультета, они сделают за гораздо меньшие деньги».
:)
В моему случае клиентом является, скажем так, другой отдел, подкрепленный волей начальства и я не могу выставить такой счет. Проблема в бестолковости труда в такой ситуации и в том, что в итоге получается вооооот такое костыльное монстрище.

В этом случае можно "счет" выставить не в денежных единицах, а во временны'х. Через 100500 часов сделаю.

на новой фабрике забыли фундамент нарисовать/расчитать.
потом, не посчитали подъезд-разъезд: производственная линия впритык к стенам, а из неё панели в много метров выходят.
Ой как начинает доставать эта фраза)
А скоро начнут доставать дятлы, когда IOT проникнет глубоко в массы.

Вообще-то у строителей частных домов ровно такие же проблемы, когда коробка с перегородками уже стоит: "знаете, мы тут с женой подумали, на втором этаже нам понадобится еще один санузел, и давайте сделаем вход с юга, а эти панорамные окна из зала перенесем на восточную сторону в спальню"

Слышал такие истории. Но, я думаю, что построить новый дом, вокруг старого, не уменьшая функциональности второго, вам не предлагали.
Так это же классическая схема постройки нового частного дома на маленьком участке была — новый дом строят поверх нового, продолжая жить в старом в это время
Хех — часто. Несколько лет назад был ураган и деревья попадали. Одно дерево упало на забор одного завода в Люберцах. Забор был кирпичный и немного разрушился. За ним открылось помещение, даже с каким-то инвентарём, в виде давно заброшенных кислородных баллонов. Но в эту «тайную комнату» не вело никаких дверей. Вот просто четыре глухие кирпичные стены с бетонными перекрытиями. И о ней никто не узнал бы еще N-лет, если бы не упавшее дерево.
Была бы бреда, если бы чебурнет был бы нужен, Так нет, все наоборот. Так что — это хорошо.
А там есть различие данные тех, кто в поезде, и тех, кто оказался снаружи (не успел, отменил поездку в самый последний момент, сняли с поезда и т.п.)?
Я не пользовался Сапсанами — любопытно!

Так статья — это райтап финального "багрэйз-таска" на конференции ZeroNights.

Да уж, впечатляет. А я то думал что предел — это смотреть голой 1С в мир.
Это. Просто. Как голой жопой смотреть в мир.

Скорее — как с голой жопой зайти пропустить стаканчик-другой в бар «Голубая устрица».
> РЖД даже не потратилось на сертификат, и поставило let's encrypt на свои домены для HTTPS
А что с ним не так?
Ну как, бабки на это зажали, в коммерческое использование let's заюзали.
Сертификаты Let's Encrypt разрешено использовать в коммерческих проектах:
Commercial users are welcome to use Let’s Encrypt for commercial and for-profit purposes. This is an intended use; we don’t have any desire to restrict the use of our services to non-profit or non-commercial purposes. (Seth Schoen, EFF)
Отсюда: community.letsencrypt.org/t/are-they-limitations-on-who-can-use-lets-encrypt/687

А какая разница? Платные сертификаты от любой шараги (thawte там, что ещё есть) технически от бесплатных letsencrypt не отличаются ничем. Так зачем платить больше?

Это, наверное, те же стереотипы, как если директор завода на встречу на метро приедет. Технически вроде то же самое, вот он директор, приехал. Но братки не поймут.

Да, сертификаты Let's Encrypt не хуже. Но когда я вижу такой на сайте хостера, то у меня появляется опасение, что они экономят копейки на всём, в том числе на закупках оборудования. Подчёркиваю: относится только к коммерческим IT-компаниям.
Как уже выше сказали — в данном случае нет совершенно никакого смысла платить за что-то, если нет разницы в платном и бесплатном.

«экономить копейки» это обычно в ущерб качеству, здесь же никакого ущерба нет. Или если хостер покупает не «брендовое» оборудование (которое ничуть не хуже, но стоит в пару раз дешевле) — это тоже «экономить копейки»?

Или это вопрос принципа — раз «коммерсант» — то покажи что способен платить? Вот так и появляются помпезные офисы с барами и танцполами, и цены на услуги взлетают до небес.

Танцпол же с танцовщицами? Вот что в офисе должно быть! А спортзал этот с печеньками себе оставьте.

Или если хостер покупает не «брендовое» оборудование (которое ничуть не хуже, но стоит в пару раз дешевле) — это тоже «экономить копейки»?
Хорошо если просто без громкого имени! А если хостер покупает и использует изношенные комплектующие? Поэтому экономия копеек настораживает.
Все комплектующие становятся «изношенными» после пары лет работы, с именем или без.

Но судить о железе по сертификатам как-то не очень логично — я, к примеру, из принципа не плачу деньги за сертификаты (именно потому что платный от бесплатного DV отличается только затратами), но никогда не экономлю на железе (хотя и избегаю железа с именем — потому что оно просто дороже, но без ощутимого преимущества, опыт эксплуатации разного оборудования за последние 20 лет показывает что и с именем и без ломаются одинаково, а вот затраты на восстановление/ремонт существенно выше в случае брендов).

Смотря в какой сфере — вполне может быть, что из двух подобных железок, сдохших через пять лет, к брендовой хоть какие-то детали найти можно, а про безымянную уже никто и не слышал, в том числе производитель

Безыменная меняется на другую безымянную аналогичного функционала, по цене детальки от брендовой.
Здесь не экономия копеек, а автоматизация продления сертификатов, с Let's Encrypt продление будет автоматическим.

Тут ещё есть интересный момент, эти сертификаты автообновляемые, а с платёжкой и обновлением "платных" постоянно (когда их много) что-то да идёт не так…
А с учётом некоторых особенностей компаний, бывает и совсем всё плохо, т.к. нужно через конкурсные процедуры проводить.

Мы в очень крупной компании постепенно вытесняем платные сертификаты в пользу Let's Encrypt. Именно из-за автоматизации и частой ротации ключа. Это должен быть обычный демон и сервис с мониторингом, а не ручные телодвижения каждый раз.

Как они будут целее, если люди из Питера в Москву будут на них же кататься?

из спб в мск и ездит гораздо меньше людей, чем из мск в спб. хотя бы потому, что в рф и зарубежье куча городов, из которых есть прямой рейс в мск, но нет такого в спб.

Как все эти люди обратно возвращаются? Вплавь или билет в один конец?

вы серьёзно не понимаете?
попробуйте тогда нарисовать 2 картинки. с 10 условными разработчиками из спб и 80 разработчиками со всего мира (прямого рейса в спб от их местонахождения нет). на первой картинке изобразите линиями ситуацию, когда всем людям надо ехать в мск и обратно, а на второй — в спб и обратно.
На какой картинке у вас получится больше линий между мск и спб?

Рисовать не стал, прикинул в голове. На первой картинке получилось 20 линий: 10 из спб в мск и еще 10 из мск в спб
на второй 160: 80 со всего мира в мск и потом из мск в спб, а еще 80 из спб в мск и в разные концы света. 10 условных разработчиков из спб сидят в спб и никуда не едут.
В итоге в обоих картинках получается что из мск в спб ездит ровно столько же, сколько из спб в мск.

странный вы аналитик. я бы вам не доверился, честно.
вот, нарисовал картинку, раз в голове у вас это не получилось сделать правильно:
image

у вас всё ещё получается в голове равное количество человек в первом и во втором случае?

PS: минусующие, хоть бы свою точку зрения здесь привели, или сцыкотно?

Картинка несомненно верная, но


  1. Изначальное утверждение было о другом (из спб в мск и ездит гораздо меньше людей, чем из мск в спб — это очень двусмысленно)
  2. не все люди не из СПб будут ездить на Сапсанах. Могут и самолетом (я об этом писал ниже)
  3. не все люди не из СПб будут ездить через МСК — есть МНОГО прямых рейсов из СПб по России.
  4. Вы предлагаете все конференции в МСК переместить? Т.е. чтобы действительно движуха во всех остальных городах совсем умерла?
  5. Вряд ли конференция в СПб привлечет столько же людей, сколько и в МСК. И чисто за счет масштаба-охвата и за счет (как Вы говорите) — более сложной логистики.
Изначальное утверждение было о другом (из спб в мск и ездит гораздо меньше людей, чем из мск в спб — это очень двусмысленно)

изначально я отвечал на:этот комментарий. вы перечитайте всю ветвь дискуссии с него, прежде, чем делать выводы о чём было утверждение. оно несколько отличается от того, что вы там себе надумали ;)
не все люди не из СПб будут ездить на Сапсанах. Могут и самолетом (я об этом писал ниже)

про это же я тоже ответил ниже.
не все люди не из СПб будут ездить через МСК — есть МНОГО прямых рейсов из СПб по России.

я не говорил про всех. я говорил, что есть много городов, из которых прямых рейсов в спб нет.
Вы предлагаете все конференции в МСК переместить? Т.е. чтобы действительно движуха во всех остальных городах совсем умерла?

ну, предложил не я :) (да и то, вероятно, это было ироничное предложение). к тому же в своём 5 пункте вы же сами себе и ответили на четвёртый :)))

так-то я вообще за то, чтобы конференции проходили не только в спб и мск, но и в других относительно крупных городах (даже в «почти миллионниках»… да хоть на лесной опушке) :)
и за сохранение сапсанов (и «Сапсанов», пусть тоже целее будут) :)

Я очень долго пытался осознать этот тезис. Я бы понял, если б шла апелляция к тому, что рядом с СПб есть Таллинн и Хельсинки, из которых есть множество рейсов в европейские города… Тогда да.
А так — эти люди чудом телепортируются? К тому же, наверняка, если человек прилетает в МСК, то ему проще оттуда улететь в СПб, чем пересаживаться на поезд?

человек может по каким-то своим причинам использовать только поезда, а не самолёты или автомобильное сообщение
-Шеф, у нас дыра в безопасности!
-Ну хоть что то у нас в безопасности.
Всё же правильно я делал, что не подключался к wi-fi в Сапсане.
Но не правлильно делал, что оставлял свои данные РЖД, которым на безопасность пофигу, но альтернативы нет.

Совершенно напрасно: данные всех пассажиров рейса были в этих ненадежных серверах, но вы при этом ещё и никакого профита (сомнительного, к слову — в виде сервиса wifi) не получили!

он попросил меня ввести номер вагона, места и последние 4 цифры паспорта для авторизации
Собирать и хранить номера паспортов для авторизации в WiFi поезда? Может я чего-то не понимаю, но по-моему это финиш какой-то.

Для сравнения: во всех ICE бесплатная и открытая WiFi без всякой авторизации (сапсан — это первая, старая модель ICE). Зачем вообще нужно ограничение на доступ к сети внутри скоростного поезда?
я думаю тут речь о идентификации пользователя (какой там ФЗ, который заставил все Кафе, гостиницы и прочие открытые точки разрешать выходить в сеть после смс, входа на госуслуги и прочее?)
А может просто на билете печатать временный(на время поездки ±30минут) пароль на доступ?
UFO landed and left these words here
Билеты уже с персональным номером. Пусть его принимает. Если длинный — ограничить последними 6 цифрами.
Номер билета может быть сквозным. Его чуть-чуть легче угадать/подсмотреть.

Во-первых, это будет противоречить тому самому 97-ФЗ — вероятность того, что плохой парень кто-то попросит поделиться паролем с соседом по вагону и получит его (кому-то жалко?) абсолютно ненулевая.
Во-вторых, в наше время билеты, (на Сапсан — в особенности), нередко представляют собой исключительно штрих-код на экране телефона.
Я не знаю, единая ли у РЖД система доступа к их вай-фаю (скорее всего, да) — представьте себе объём работ: к продаже билетов нужно прикручивать сервис генерации паролей, каким-то образом распространять эти пароли по нужным поездам (в масштабах РФ!) в нужное время, а в другое нужное время деактивировать их… А главное — в итоге (для заинтересованных организаций) получится всё та же БД по цифрам паспорта. Так зачем городить весь этот сложный огород, когда конкретный нуждающийся в Инете человек может просто сам их вбить в форму при регистрации?

UFO landed and left these words here

А потом прилег интернет и мы не можем зарегистрироваться на рейс, ога. В любом случае, у проводника должна быть какая-то бумажная копия списка пассажиров на случай непредвиденного ЧП.

Поэтому в электронном билете есть приписка, что пассажиру необходимо иметь при себе билет. Правда я в основном с конечных уезжал и там обычно есть смарт с данными или распечатка, а вот в середине пути боюсь может не оказаться.

Честно говоря, у меня есть подозрение, что наличие билета все равно ничего не гарантирует. Как должно быть — в билете есть некий код (хэш), в котором зашифрованы имя, паспорт, номер-дата рейса и пр. И по нему можно провалидировать — действительно ли билет существовал (у нас же билет можно купить, а потом вернуть в кассу).
Только что-то не подсказывает, что учитывая уровень защиты тех же пригородных поездов, ничего такого нет. Остается придумать способ печатать билеты на сапсаны самостоятельно )

Что-то поменялось с тех пор. Раньше было только распечатать, сейчас:
ПОСАДОЧНЫЙ КУПОН — BOARDING COUPON
Распечатайте данный купон или сохраните на мобильном
устройстве и предъявите при посадке вместе с документом,
удостоверяющим личность, указанным при покупке электронного
билета. Если Вы хотите сохранить посадочный купон на мобильном
устройстве, дождитесь полной загрузки изображения и убедитесь,
что 2D-код отображается на экране.

Ну и для туалета на вокзале паспорта недостаточно, билет всё ещё нужен.
Все эти требования билетов для туалета вообще незаконны сами по себе.
Магазины площадью более 1000 квадратных метров обязаны организовать туалетные комнаты для посетителей. Вокзалы сейчас — это те же магазины и рестораны, чего там только нет. Поэтому шлите всех лесом.
p.s. особенно смешно, когда в том же Павелецком есть платный туалет (бесплатный с билетом) на первом этаже для обычного «быдла» (как они считают), и полностью бесплатный без турникетов на -1 этаже в в бесплатной свободной зоне отдыха Аэроэкспресса.

journal.tinkoff.ru/ask/besplatnyj-tualet

Штрих-код на экране это хорошо… Ровно до тех пор, когда прямо перед отъездом роняешь смартфон. На асфальт экраном вниз. Со мной такое было.

Если Эппл — спасает добавление таких штук в wallet и часы. Часы разбить сильно сложнее. Меня выручало, когда я телефон в машине на парковке забывал в торговом центре при походе в кино по электронному билету.

Когда едем с друзьями куда-то далеко — каждый электронный билет (или посадочный талон) пересылаем ещё на парочку телефонов. Ведь телефон даже не обязательно разбивать или терять — он может просто разрядиться.
Когда еду сам — распечатываю ещё и бумажную копию (в тот раз она мне как-раз и пригодилась).

Не страшно, в Сапсан сажусь исключительно по паспорту, предъявляя только его (частенько приходится ездить). Бумажка с собой есть (распечатка электронного билета), но только чтобы посмотреть номер поезда-вагона-места (в основном вагона).
Если уронил телефон, то и интернет не нужен (если в письме на телефоне есть к нему пароль).

Можно глупый вопрос?
Нахера вообще парольк Wifi на Сапсан? Хоть убейте не понимаю) Это скоростной поезд, недешёвый, почему нельзя просто дать людям халявный Wifi? Государство само хочет обеспечить всех халявным Wifi, а ё*а «гос» РЖД не может своим пасажирам дать Wifi? Тип это же скоростной поезд, максимум где к нему можно подлючиться извне вагона так это на станциях!
Таки вопрос: Почему нельзя нормальной настроить конфиги устройств, но при этом зачем-то лепить пароль?

Чебурнетовские законы. Насколько мне известно, теперь нельзя иметь "открытую для всех" точку, по которой невозможно определить, ходит ли Вася Пупкин на сайты аллах-бабахов.

Не в ваш огород, но при этом иметь дырявый wifi — это норма *class*
P.S. а ещё метро, и думаю найдётся ещё что-нибудь.
иметь дырявый wifi — это норма
Кто в России оставляет свой WiFi открытым для всех, тот не слышал про Дмитрия Богатова (технически там история другая, но последствия могут быть такие же).
Слышал. Но доступ к wifi можно упростить, и тем более не хранить локально их информацию! Это раз, а два, учитывая их дырявый wifi, можно успешно использовать сеть для своих целей!
Так, что вопрос: «Стоит ли игра свеч? Стоит ли хранить данные пользователей для авторизации wifi, когда есть теже места, номера билетов и т.д. и т.п.»

Вы так договоритесь до того, что не нужно аутентифицировать/авторизовать пользователя по номеру телефона/билета/паспорту, а вся ввозимая техника в РФ уже будет со шпионским модулем от ФСБ и продаваться в магазинах по талонам (и уже сам факт обладания техникой зафиксирован в компетентных органах).

Чем-то это похоже на вездесущие заборы. Заборы есть, а толку от них нет.

А в открытом виде данные пользователей хранить обязательно?
А если так, то подходят ли данные других пользователей с предыдущих рейсов для авторизации, или все-таки где-то еще есть и время поездки?
Авторизация по месту и номеру паспорта работает там, где не принять СМС из-за отсутствия покрытия. В Сапасане окна металлизированные, с приемом похуже, чем в обычных поездах.

Доступ к интернету в сапсане зависит от вагона. Где-то включено в билет, где-то — в интернет платно, а в локалку бесплатно. Так что авторизация не только для ФЗ нужна, ещё и услуги в билете посмотреть.

Не знаю, можно ли уже прикупить интернет вместе с базовым билетом. Но в то, что это может быть сделано в будущем — легко поверю. А пока что интернет гарантирован лишь в 1ом классе.

Чуть точнее
** Пассажирам с местами классов обслуживания «экономический», «экономический+ (плюс)», «семейный», «комфорт», а также в вагонах-бистро услуга доступа в сеть Интернет предоставляется в режиме тестовой эксплуатации без ограничения по времени.

*** Пассажирам с местами класса обслуживания «базовый» услуга доступа в сеть Интернет предоставляется в режиме тестовой эксплуатации в течение 15 минут с момента подключения.
В Сапасане окна металлизированные, с приемом похуже, чем в обычных поездах
Это особо иронично в контексте публикации Вымпелкома пятилетней давности о том, как они на говно изошли, чтоб трасса Сапсана на Питер была полностью покрыта связью, в том числе в вагонах (ссылка).

Ну, так это вымпелком, а не мегафон или МТС. У меня мегафон, кстати, честно ловит бОльщую часть участка трассы, но, к сожалению, не всю.

У них там коло на объектах был, если я верно помню. Должны быть плюс-минус в равных условиях.
Почему? В статье как раз описано, что нужны ещё настройки на скорость. На одной и той же трассе «Питер-Зеленогорск прием на скорости 60 км/ч в обычной электричке намного лучше, чем на 156 км/ч в Ласточке. Это я опять про теле2.

Так что даже если башни общие, то прием на скорости все равно может быть хреновый.

На сколько я помню что бы отвалится от вышек надо "лететь" со скоростью 350км/ч

Не знаю, как в 3G/4G/5G, но в GSM спецификации требуют обеспечивать соединение с абонентом, движущимся до 500 км/ч.
Моете ли вы подтвердить своё «помню» ссылками на документы? Особенно интересуют те моменты, где можно накосепорить и сделать ограничение по скорости вследствие неверной настройки?

Ну как пример — у теле2 в Питере не настроен handover на выходе из метро на большинстве станций. Вышел из дверей станции — опаньки, связь прервалась.

Теоретически — должно быть все хорошо, практический — пушной полярный лис.
А по факту уже на 100км/час в машине 3г не ловит. Останавливаешься — ловит.
Там какието механизмы отсеивания шума и настройки антенн, которые ломаются на скорости.
А по факту уже на 100км/час в машине 3г не ловит.

Чудеса какие-то вы наблюдали — при нормальном покрытии нормально всё работает — ютюб ютюбит и эпплмюзик мюзикует.
Возможно в центре сот так и есть, но как минимум на трассах от скорости зависит. Приходилося просить водителя ехать медленее, чтоб ssh работал.

на трассе сильно вдалеке от столиц бывает так, что инет работает и на скорости автомобиля в сотню, но периодически рвётся из-за лёгкой неравномерности покрытия. что в случае просмотра ютрубки или прослушивания музыки онлайн обычно нивелируется за счёт кэширования

У меня теле2, видимо они на гавно так и не изошли.

Ну и учтите, что у теле лицензии на 2G на московскую область нет.
Довелось ехать в Сапсане с коллегами, пользующимися разными операторами. Мегафон держал связь стабильнее прочих, Билайн показался худшим. Правда, Теле2 ни у кого не было.
Ну, Билайном я не пользуюсь уже пять лет, так что ничего не могу про него сказать. С 2015-го до 2018-го пользовался Йотой, и в «Сапсане» в 2018-м же году она в целом работала практически на всём протяжении поездки из Питера в Москву. Я хз как у них сейчас отношения с материнским Мегафоном устроены, но YouTube в 720p я смотрел без проблем.
Ездил до Твери из Питера и обратно, по пути туда показалось, что сеть ловит лучше, чем обратно. Но скорее всего я просто спал. Но до отличного покрытия на всей трассе им далеко. Местам и 2г нет.
Мой опыт показывает, что в сапсанах качество мобильного интернета значительно выше чем в обычных поездах. Во всяком случае у мегафона.
Мой опыт показывает почти полное отсутствие мобильного инета в Сапсане. Но зачем он, когда есть wifi?

P.S.Tele2
Wifi в сапсане, во всяком случае раньше, был бесплатным только в отдельных классах.
На мегафоне без проблем всю дорогу можно потоковое видео смотреть, конечно с учетом небольшого кэша, например тот же youtube.
Ну сапсан — это за счет фирмы. А мегафон — это за личный счет. :-) Не спорю, что он лучше. Но и дороже.

Фишка в том, что когда возникает необходимость ехать именно сапсаном, а не обычным купе, это означает, что цейтнот такой, что несколько лишних ночных часов очень нужны. А инет в сапсане — это ещё пара лишних часов на работу.

Да и если покупать билет за несколько часов, то по цене обычно все равно бизнес или эконом. Там динамическое ценообразование, когда свободных мест мало — цены подскакивают. Вплоть до дурной ситуации «эконом» дороже «бизнеса». Вроде и такое бывало.

P.S. Раньше он платный был «экономе». Вроде сейчас везде бесплатный, но в «эконом» — 15 минут. А в «эконом+» — просто не гарантированный.

Паспорт то зачем? По номеру билета места нельзя что-ли идентифицировать?

Для выполнения 97-ФЗ. При активации в базе появится строчка с ФИО и другими персональными данными и IMEI (или МАС) телефона. Номер билета, номер места — это ещё один лишний запрос, как минимум (а если связи с сервером нет?), и вообще — лишний код. Зачем он нужен, когда пользователь собственноручно может вбить эти данные?

Если нет номера места -и можно вообще любой номер паспорта вбить. И реальный номер паспорта зайца или провожающего и выдуманный.
UFO landed and left these words here

То есть вариант упавшего сервера аутентификации вы исключаете? А зря.

Идентифицировать можно. А аутентифицировать как? Как вы докажите, что именно вы — пассажир 1ого класса с гарантированным инетом? Вот для этого и нужен номер паспорта.
UFO landed and left these words here
Во-первых, я ваш горшок не брала, во-вторых он уже был битый....

Во-первых я этот вариант (номе билета) где-то видел, кажется в дальней ласточке СПб-Сортавала, во-вторых он менее удобен именно для Сапсана. При электронной регистрации посадка по номеру паспорта. Так что билет, если и есть, то глубоко в недрах email.

Специфика такая у Сапсана, если уж берется билет за 10-15 труб вместо 1-3 труб, то время дороже денег.

P.S.И номер места и номер билета — это указатели на билет, а там все равно ФИО и номер паспорта.
А откуда посторонний будет знать номер билета?
Номер билета
скан билета РЖД с обведённым номером
Разве что с билета. Но если у него есть доступ к билету, то есть доступ и к номеру паспорта на нём
См. строку №5
image
(фото отсюда)
Или в Сапсане кардинально другие билеты?
А откуда пассажир будет знать номер билета? При электронной регистрации нужен только паспорт. При посадке проводник вводит 4 цифры номера паспорта и получает вагон и место для посадки и ФИО для проверки по паспорту, тот ли пассажир садится.

Номер билета был нужен пару лет назад, когда по номеру паспорта и номеру билета надо было напечатать обычный билет для командировочного отчета.

А сейчас проще. Звоним секретарше «работу закончили, через час будем на вокзале». Она через 10 минут перезванивает «билеты взяла, поезд, вагон». Всё. Когда появляется время залезть в почту и глянуть на бланки — сапсан уже отъехал от Москвы и с мобильным инетом тяжко.

Это ж командировка — в 5 утра выехали в Москву, в 19 или 23 вернулись в Питер. Бывало и меньше минуты до отправления оставалось, когда в Сапсан прыгали. Пока до нужного вагона дойдешь, Сапсан уже далеко уехал…

Так что нам удобнее именно так. А то ловить урывками сеть, чтобы глянуть номер билета и войти в сеть…

P.S. Кажется понял, что вам непонятно.
Или в Сапсане кардинально другие билеты?

Да, в основном другие. Это у вас бумажный билет, а в сапсане — у большинства электронный. Кстати, номер бланка там, возможно, другой. Документ называется «Контрольный купон», а номера — «номер заказа» и «номер электронного билета». Вроде те же 14 цифр, но я не уверен, что они не меняются при печати на бланке.
UFO landed and left these words here
Нашёл на сайте РЖД все возможные виды билетов, на всех цифры есть.
Электронный
image
Справа под красной рамочкой после букв ПН цифры номера паспорта.
Внутренние билеты на бланке
image
image
См. предыдущий мой комментарий.
Международные билеты
imageimage
Справа вверху под надписью «01 ВЗРОСЛЫЕ»

Итого, если у вас есть билет, то есть и номер его, а если кто-то раздобыл в любом виде ваш билет с номером, то на нём есть и цифры паспорта.
UFO landed and left these words here
UFO landed and left these words here
Ездил, в том числе на Сапсане. Смотрю в билет, иду к поезду/вагону. Т.е. билет у меня на руках есть, посмотреть его номер тоже не проблема. Там pdf-ка, а значит чтоб посмотреть она всё равно скачается.
А зачем это всё запоминать, если можно pdf'ку с билетом сразу с почты скачать в телефон?
Я, напомню, отвечал на комментарий следующего содержания:
Идентифицировать можно. А аутентифицировать как? Как вы докажете, что именно вы — пассажир 1ого класса с гарантированным инетом?
UFO landed and left these words here
Потому что только я знаю номер своего паспорта.
Это сарказм?
Вы получали паспорт в закрытом конверте и никому его не показывали? Нигде не заполняли и никому не отдавали данные из паспорта?
UFO landed and left these words here
> Из тех людей, кто едет со мной в вагоне этого самого первого класса — никому.

Строго говоря — Вы этого не можете знать, т.к. совершенно случайно в вагоне могут оказаться Ваши родственники, сослуживцы, представители подрядчиков и поставщиков и многие другие люди, кто мог видеть Ваш паспорт. Другой вопрос, что скорее всего это не является проблемой )
И я уж не говорю, что сотрудник РЖД, который впускал Вас в вагон — ТОЧНО ВИДЕЛ Ваш паспорт и при желании МОГ запомнить его номер (благо последние 4 цифры у него есть в портативном компьютере).
Так, давайте ещё больше контекста: мой ответ был на следующую цепочку:
По номеру билета места нельзя что-ли идентифицировать?
Идентифицировать можно. А аутентифицировать как? Как вы докажите, что именно вы — пассажир 1ого класса с гарантированным инетом? Вот для этого и нужен номер паспорта.
Т.е. обсуждалась достаточность номера билета, а не необходимость.

Потому что публичные WiFi без идентификации у нас в стране вроде как запрещены.

там речь только 4 цифрах от паспорта. Интернет без регистрации по текущему закону запрещён.

Ну возможно потому что все публичные wifi должны 6 месяцев вести логи для органов, чтобы по запросу можно было предоставить информацию кто именно заходил на тот или иной сайт.

Ну, то ICE, а в Thalys, например, интернет платный (если не отменили ещё, конечно)

а в Thalys, например, интернет платный
Да нет, точно такой же: бесплатный и открытый.
Во-первых, Сапсан — это ICE-3, во-вторых, какое отношение подвижной состав имеет к криворукой настройке побочного сервиса?

Законодательно у нас на разрешён анонимный доступ в общественные сети. А дальше вопросы реализации...

про вайфай в самолётах аэрофолота думаю до конца этого года) Попробую его поковырять. Надеюсь там есть что-то интересное
и люфтганзу, пожалуйста, тоже, а то там приходится проводить по 9+ часов :)
Тем более, что аудитория у такой статьи на английском будет повыше…

зы. к тому же интересно насколько они будут оперативными по сравнению с отечественными компаниями

Там можно IP over DNS, но iodine, конечно, тяжело использовать в 2020, вот бы кто написал получше

Это у кого? Вчера в аэрофлоте пробовал, локальный DNS никуда дальше запросы не пробрасывает.
подтверждаю, домены точно решались без авторизации в Аэрофлоте или Finnair, не запомнил у кого именно.
Летал в октябре несколько раз с S7, они пытаются предоставлять развлечения по WIFI, но у меня не получилось ни с ноута, ни с андроида.
Когда-то давно смотрели фильмы в S7 на борту.
В Аэрофлоте прикольно: перед взлётом капитан говорит что у нас есть развлекательная система, так что если хотите ею пользоваться, то качайте приложение сейчас, а то в воздухе не сможете. Не помню только это было до того, как выключили телефоны или нет.
S7 присылает СМС с рекламой своей развлекательной системы, когда ты ещё в аэропорту и можно скачать приложение для иос и андроид, но если вы летите с виндой, то вас ждет сюрприз — система не работает, потому что у вас не установлено дополнение.
Да вроде прям на борту скачивал приложение и смотрел. Но с телефона, да.
Проблема с установкой приложения актуальна только для эппловских девайсов. После подключения к вайфаю можно прямо с landing page скачать приложение для андроида и винды. Вот только дальше списка фильмов в этом приложении я продвинуться не смог, воспроизведение просто не начиналось. Я так понимаю у них на боингах и эйрбасах разные мультимедиа системы так что возможно что косяк был конкретно в боинговской системе.

Летом 2018 с их странички скачать нельзя было, только через Гугл стор, оно и понятно, приложение для видео не их, а вот каталог доступен был без приложения.

Объявлятут во время посадки, но закачать их АПП можно только через свой мобильный инет, можно не успеть до взлёта :)

Там я хотел как всегда что-либо поломать, получить за это приз, и т.д., но как я выяснил — интересных задач там не было, и пришлось развлекать себя самому.


Ничего не выйграл @ конфа шлак
Потому, что гладиолус войн-андройд тайландский лупит рептилойда с астеройда рулоном руберойда.
Хм, теперь пофиксят быстро. :-)))))))) После статьи на хабре. Вот бы все проблемы страны так решались
Уже, см. выше, РЖД, наверняка, уже работает над решением. Главное, чел написал легко и интересно. И главное, полезно.
Это когда же? Когда за публикацию или комментарий ставят плюс или минус в карму, то нередко параллельно с этим ставят тот же знак той публикации или тому комментарию. Публикаций у Вас нет, только комментарии. Оценки у Ваших комментариев за предшествующие полгода нулевые и положительные. Самый старый Ваш комментарий с отрицательной оценкой датирован 11-м апреля (–7), предшествующие два отрицательно оцененные написаны 28 февраля (–1) и 27 февраля (–5). Так когда Вам понизили карму?
Сразу хочу заметить, что я не жаловался, поэтому специально смайлик поставил. Я много лет читал хабр, не комментируя — чукча не писатель, чукча читатель :)
Я честно не ожидал, что после этого комментария добрые люди мне поправят карму, хотя чисто по-человечески это очень приятно, конечно.
Заминусовали карму за комментарий про Канаду от 11 апреля. Может, и правильно сделали, он был не нейтральный точно. Да и в общем я согласен, что в таком разношёрстном сообществе, как аудитория хабра, лучше избегать политоты.
Маленький секрет вам раскрою бесплатно, чтобы как с Канадой в дальнейшем не произошло. Политоту на хабре любят, даже плюсцов можно схватить гарантированно, однако при условии освящения проблем в этой стране, а не за рубежом (ибо живем мы в этой стране, а не в Канаде, они там и без вас разберутся), смотреть на них нужно с позиции хорошего, ибо учиться надо хорошему, а не плохому, а если так хочется рассказать о Канаде и любой другой стране — можно тогда рассказать какие у них зарплаты, пенсии и медицина, есть к чему стремиться, правда? Или как некоторые любят говорить о том как там в Китае вообще инет запрещен, однако в Китае коррупционеров на стадионах расстреливают (я не сторонник таких методов, однако пожизненное или сроки от 80 лет и выше как в Штатах никто не запрещает), потому-что они борются с коррупцией не на словах, а на деле, тоже есть чему поучиться, правда? И так далее. Так что минусы уместны оказались, и дело явно не в политоте. В общем суть я донес, думаю.
однако при условии освящения проблем в этой стране

они никогда не закончатся.
плюсцов можно схватить гарантированно, однако при условии освящения проблем в этой стране
Освящения?
А, ну это да, это да, тут спорить не буду. Но опечатка смешная вышла конечно, даже не заметил)
Заминусовали карму за комментарий про Канаду от 11 апреля. Может, и правильно сделали, он был не нейтральный точно. Да и в общем я согласен, что в таком разношёрстном сообществе, как аудитория хабра, лучше избегать политоты.
Слово «политота», на мой взгляд, используется тогда, когда говорящий предпочитает закрывать глаза на неправильные поступки власти (или даже одобряет их). А если Вы думаете, что любой комментарий, критикующий что бы то ни было в Канаде, непременно не понравится хабрасообществу, то взгляните на одно обсуждение с моим участием (от места по ссылке до конца обсуждения).

Я как раз защищал Канаду. Ну, да это неважно. Я тупо сагрился на тупой комментарий, позор мне. Меня действительно гораздо больше интересует техническая информация, троллить политических оппонентов я предпочитаю в жеже.

Так парень же пошутил просто. Написал на хабр неправду, чтобы срубить плюсов.
Пожалуйста, попробуйте доказать обратное.
Весело дотнет под центосью запускать, нет бы винду поставить рядом, а то как я помню Net Core под линью оперативки жрёт поболее, чем под виндой.

только на скриншоте ни одного жрущего процесса я не увидел, у дотнета максимум 250Мб, а всех прожорлевее жава

Тоже не понял этого наезда. Стояла бы рядом винда наверное написали бы в духе "видите, уже третий дотнет кор вышел а до сих пор не осилили на него сервис переписать".

у джавы только один процесс, а у дотнета больше пяти. Предполагаю что из-за этого
У дотнета тоже один, если не косячить.
А жор памяти отложился у автора, скорее всего, из-за серверного режима GC, который не понимат эти ваши линуксы c cgroups и просто съедает 1/8 всей оперативы на старте для пустой кучи.
Приписка: workstation GC работает адекватно, ест не больше чем ему нужно, реакцию на лимит памяти в cgroup правда не тестил, но все равны перед oom_killer-ом.

Автор, покатайтесь в автобусах и в метро в обеих столицах — тоже много интересного найдется в местном вай фай.

UFO landed and left these words here
Более младшие поколения привыкли беседовать, пить напитки и далее по списку, уткнувшись в мобилофон с чятиками.

Для кого-то это возможность поработать, пока в дороге. Проверить почту, почитать отчёты.

Это Сапсан — сидячий. Скоростной. Поезд. Какие беседы, курочки, окошки, пиво на станции?

Когда я последний (и единственный) раз ездил на Сапсане, то вполне успешно сидел и писал код на ноуте. Отлично провел время, но с интернетом было бы лучше.

бегают на станции за пивом

Увы, вы отстали от поезда жизни — спиртное в поездах побрили, ну может за исключением вагонов-ресторанов.
спиртное в поездах побрили

Летом в Сапсане в бизнес (если не ошибаюсь) классе в составе обеда можно было взять вино и легально его выпить прямо на месте. Правда, сильно сомневаюсь, что разрешат со своим…

В Бизнесе можно, но это санкционировано. Со своим — точно нет.
В вагоне-ресторане — можно купить пиво или виски. Цены почти рыночные. И там же выпить.

В первом классе — это все анлим. Ну и к своему Шато ля Фит 1985г с пониманием наверное отнесутся, хотя это не точно.

при остром желании пить пиво в поезде нужна некоторая подготовка. специально в исследовательских целях проверял: тёмное в пластиковой бутылке из-под известных сладких газировок (с этикеткой, конечно) либо из картонного пакета сока типа "Незлой" вообще не вызывают вопросов. Главное, чтобы ваше поведение не заставило усомниться в вашей адекватности.

Меня эти нововведения застали внезапно, поэтому был не готов и ситуация получилась анекдотичная и хорошо запомнившаяся.
В прошлом году, в первый раз за хрен знает сколько лет возвращался из кемпинга не на машине, а на перекладных и на «Ласточке» в т.ч.
Измученный нарзаном жарой, поклажей и лёгким похмельем, а также давкой и бардаком на вокзале в Новороссе, я предвкушал удобное кресло в кондиционированном вагоне Ласточки и холодное пиво на скорости 100 + км/ч. под любимую музыку и хорошую книжку.
Первый звоночек — на вокзале пива нет, вернее так: «ПИВА НЕТ!».
Ладно, время ещё есть, вышел за периметр, купил пару бутылочек. Захожу назад через рамки и меня огорашивают новостью, что на вокзале и в поезде за спиртное, в т.ч. и пиво, теперь атата по. А теперь представьте себе, как я мучался, везя эти две бутылки холодного, свежего пива пять часов. А пить пришлось минералку, купленную в поезде.
Зато на вокзале в РнД — пива было ну сколько угодно, в каждом ларьке, любого. Вот такой вот конфуз вышел.
да, сочувствую.
но в дороге алкоголь, конечно, лучше не пить. дорога — вещь иногда непредсказуемая и лучше снизить вероятность попадания в неприятные ситуации (хотя бы обладанием незамутнённого разума) ;)
За такое разглашение не привлекут?..
За находки — мое уважение!
В Этой стране? Привлекут. Особенно если истец — кто-то с деньгами.
уже в ВК флудят с угрозами.
Не знаю к чему это, я ведь не публиковал их пароли, которые по надёжности не уступают admin:admin

image

А вообще интересно посмотреть на реакцию РЖД, и исправление косяков, ведь половина их сервисов на портах — без какой либо веб авторизации. Любой желающий может зайти, и управлять магазином, бистро итд у поезда.
Если дело ляжет — пишите, защитим. Скорее угрожателей снимут с должности, чем с вами что-то сделают.

Вы же понимаете, что это не ржд пишет, а ради шутки некто былинную "пасту" отправил?)

Вы, я так понимаю, не двачуете? Это же знаменитая копипаста:


Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых — стоп. Остальные просто не найдут.

Так могут привлекать за неправомерный доступ…
Разглашение? Это гостайна была?

Взлома же как такового не было по факту, а не, хотя был, когда автор вбивал какие-то пароли. Автор в большинство служб без пароля заходил, как он писал чуть выше в ветке комментариев.

Неправомерный доступ — это когда он чем-то прикрыт. А когда данные голой ж в сети — это другая статья УК и нарушают её владельцы серверов.
Неправомерный доступ — это когда он чем-то прикрыт.

Не всегда. Например, если вы зайдёте в чужую квартиру, не закрытую на замок, — это всё равно будет незаконное проникновение в жилище.

А почему вы так смело опубликовали этот (статью)

А что тут криминального? Я не выкладывал пароли для доступа, а выложил просто сервисы, которые доступны по разным портам без веб авторизации. Обычные пользователи могут их заютзать, или случайно обнаружить.

статья 272 УК РФ — несанкционированный доступ к информации. Ответственность наступает, например, в случае копирования информации посредством НСД — а доказать, что ничего не копировал — нереально. Особенно учитывая специфику РЖД, близость к высшей власти и т.д. Захотят — поимеют. Поэтому стоит крайне аккуратно такое публиковать, чтобы даже владельцы Хабра и прочих сервисов не смогли слить ваши реальные ФИО…

а доказать, что ничего не копировал — нереально


Есть такая вещь, как «презумпция невиновности». Тебе не надо доказывать, что ты ничего не копировал, это обвинение должно доказывать, что ты что-то копировал.
Гонца, приносящего плохие вести, укорачивают.
Поправил.

Вы не слышали про "нет оснований не доверять… (сотруднику полиции, эксперту, системе голосования и т.д.)"?


Судьи этой фразой, например, отметают видеозаписи, полностью опровергающие обвинение. И это не единичный случай, а стандартный приём. Реальность не имеет значения.


Забросить на арестованный у обвиняемого компьютер нужный файл или сто, чтобы было к чему прицепиться? Да вообще легко делается. После историй с "пьяным ребёнком" или типичными подбросамми наркотиков тут даже сомнений нет. Из недавнего — а что там было с разработчиком Kate Mobile?


Но и этого не нужно, достаточно просто заказать экспертизу у нужного эксперта (их таких много). А после — "нет оснований не доверять эксперту".


Более того, если эксперт ещё и напишет, что ваше вмешательство в работе систем подвергло опасности жизнь и здоровье пассажиров, то это будет ещё веселее, и так же неопровергаемо — доказательства невиновности никому не интересны.


Поэтому если граждане из РЖД вместо благодарности обидятся (а такое часто случается), то им ничего не стоит прихлопнуть назойливого комара, чтобы неповадно было.


Впрочем, дело ваше, если вы верите в справедливое разбирательство в случае чего — воля ваша, вам ей и распоряжаться.


Просто поймите, что мой сценарий это не пессимизм и не выдумка. Так происходит сплошь и рядом, поэтому не принять соответствующие меры безопасности — это как оставить admin/admin или root/root.

Я думаю, автор статьи такие варианты предусмотрел и подстраховался.


Вы не находите ничего общего между keklick1337 и densneg? :)

Давайте через некоторое время вернемся и сравним наши прогнозы с реальностью. Мой прогноз следующий:


  1. На Сапсане сменят пароли на всех сервисах и закроют все служебные порты от доступа через пассажирский вайфай.
  2. Автору спасибо не скажут, но и наркотики в ноутбук подбрасывать не будут.
  3. Возможно, выпустят пресс-релиз, где скажут, что ничего чувствительного не утекло, и никакой угрозы безопасности не возникало.

Вероятнее всего, правы окажетесь вы. Но не подстраховаться на случай внезапного сокращения седалищного нерва высокого начальства — такая же беспечность, как оставить root / root. К сожалению, мой прогноз тоже вполне вероятен, не на этот раз так на следующий. Историй, где белые хакеры получали по щщам вместо благодарности — полно.

Обращаю внимание на это великолепное объяснение:


Почему удалось взломать? Наверное, потому, что злоумышленник.

Уже злоумышленник. Не человек, который помог обнаружить дыру, и которому стоит выписать премию.


А в остальном — любимая тактика "ихтамнет".

Зачем? Доступ — это доступ, а копирование — это копирование.
«Нет оснований не доверять» — это про административные дела, у умниц с Хабра как всегда юр. каша в голове.
UFO landed and left these words here
Поскольку в обязанности сотрудников полиции входит пресечение административных правонарушений, а также составление протоколов об адм. правонарушениях, в суде при оспаривании может быть привлечён сотрудник полиции в качестве свидетеля. Если у (якобы) совершившего правонарушение обвиняемого нет никаких доказательств, свидетельствующих об обратном, то суд примет сторону сторудника полиции.
При рассмотрении уголовного дела же только показаний одного сотрудника будет недостаточно.
на одном из слушаний суд просто отказался смотреть видеозапись-доказательство невиновности обвиняемого

Это не про «нет оснований не доверять», а наоборот. Сама фраза может использоваться и непредвзятым судом при рассмотрении адм. правонарушений.
UFO landed and left these words here
Формулировка «нет оснований не доверять», при наличии игнорируемых судом улик — это преступление, которое совершает конкретный судья.

… а ваши слова в защиту таких формулировок — как минимум глупость, но больше похоже на вброс
«Нет оснований не доверять» — это про административные дела,

вы ошибаетесь
Если захотят посадить, то посадят. К примеру, возбудяться по терроризму, и после открытия уголовного дела отправят в СИЗО, для начала на пару месяцев, чтоб улики не уничтожил, пока следствие разбирается. А оно разберётся: придёт с обыском и найдёт на конфискованом компьютере «преступника» разные неположенные вещи.
Если оправдают, через годик выйдете из СИЗО и получите свою технику обратно. Если не потеряют, конечно. Презумпция в действии.
Какая вероятность оправдания при условии попадания клиента в СИЗО? Процент? или меньше? :)
Уточнение, скорее дадут условный срок, чтобы не платить компенсацию, за то что сидел год

Система РЖД, ведь на открытых сервисах даже не сопротивлялась доступу, как я понимаю по статье автора.
А пошарился по серверу он только ради интереса. Хотя, никто, кроме автора этого не знает.

UFO landed and left these words here
'Согласно документу, владельцы объектов, которые входят в состав критической информационной инфраструктуры, обязаны информировать государственные органы о хакерских атаках, а также предотвращать неправомерные попытки доступа к информации"

источник в источнике РЖД восхваляют за кибербезопасность. А вы «развалили» этот миф.
Надеюсь, все обойдется, но мы в РФ в «далеком» 2019г.
По моему прямым текстом пишете что получили несанкционированный доступ (Дальше я пошёл изучать содержимое контейнеров, и некоторыми публичными CVE залился в систему. (пароли у них простые, а доступ по ssh к руту открыт).)"
Он ведь написал, в конкурсах не смог победить -> не досталось мерча -> конфа уг. В этом году действительно было крайне мало халявного мерча, который может взять любая обезьянка. Даже за безделушки просили хотя бы фоточку, а для чего-нибудь более-менее интересного нужно было посидеть ни один час с ноутом, решая задачки. Я в этом году наконец-то сделал упор на доклады, и не пожалел, хотя и было всего два трека, но как-то так вышло, что постоянно были интересные мне доклады то на первом, то на втором, а во второй день ещё и параллельно шла годнота,

Мне вот тоже интересно. Тем более я сам как-то делал .Net в Docker'е, хоть тот проект production-версии так и не увидел в итоге. Про РЖД я понял лишь примерно, что у них как, а я делал через внутреннюю сеть контейнеров, открывая наружу только NGINX, всё остальное через него. Просто даже стало интересно, какие в этом случае могли остаться уязвимости.


Кстати, тогда в состоянии pre-production я видел log'и NGINX'а и попытки получить оттуда всякие PHP'ные файлы, коих там и не было.

Не понимаю, вот сделали люди достаточно сложную систему. Достаточно современную. Даже наверняка рабочую. Ну почему бы им было не закрыть хотя бы очевидные дыры??? Откуда они такие берутся в больших и малых конторах — всем на голову?
Похоже на security through obscurity.
Наверное они думают «никто не найдет комбинацию ip: порт»
Ну или то что это очень сложно )

А домен sapsan.center… «ой забыли, но ведь нужно еще угадать порт. А сервисы наверное и так по умолчанию всегда защищенные — грамотные же люди писали. Вобщем безопасность это не наш профиль, что вы к нам пристали» :D
Да там никто ничего не думал. Субподрядчики сделали как в ТЗ написано, а его еще надо уметь писать.
UFO landed and left these words here

А какие именно данные пассажиров там валяются?
Если номер места и 4 цифры, то не так страшно. А если полное ФИО, полный паспорт, да ещё и исторически всех кто ранее катался на сапсане (и когда именно), то уже интересно.

Это норма
Сначала выделяют миллион на это дело из бюджета
Чиновник забирает себе 900k и дает подрядчику 100k
Затем подрядчик забирает себе 90k и на 10k нанимает фрилансера
Фрилансер делает побыстрее ибо чего еще можно сделать за 10k?

Говорю со знанием дела, как человек, который лет 10 назад поддерживал сервера партии Молодая гвардия за $50/мес.
ну тогда ты ппц ыксперт безусловно, ога… раз ты в каку наступил, то и все в радиусе 5000 километров думают и действуют аналогичными способом. Вы случаем не мамкин аналитик?
Есть вкусный контракт с ТЗ, но чтобы его точно получить, нужно знать людей (решал), которые решают кому дать этот контракт. Договориться с решалами, получить контракт, из бюджета этого контракта выплатить решалам оговоренную сумму, выплатить себе за работу, на оставшиеся деньги нанять подрядчика, который сделает всю работу по ТЗ.
был у нас вариант делать 3д модели для военного симулятора для американской армии, в конкурсе участвовало несколько студий, в итоге одна европейская студия дала принимающему американцу денег и заказ ушёл к ним, деньги везде любят, просто у нас схемы распила и коррупции примитивные
UFO landed and left these words here
ну меня один раз в 2016ом, пытались захантить на разработку электроники для вагонов и составов в какую-то контору в СПБ.
обещали: оклад 60тр, обеды за счёт фирмы и дадут квартиру как молодому специалисту.
сходил в курилку к мужикам в которую инженеры ходят,
выяснилось:
1. 60тр имеют на руки всего несколько человек, и то те что заартачились и захотели уволится, а так с окладом и премией выше 50 не получается, но премии лишают за любую мелочь — в компе что либо сгорело или мышь износилась и надо новую покупать, опоздал на 5 минут и тд.
2. Не квартиры, а квартиру могут дать раз в год одному, а могут вообще не давать никому. Правда разрабам никогда не давали. И вообще посоветовали не наедятся т.к. судя по слухам не дают а продают чуть дешевле рынка, в счёт зарплаты как бы в кредит но так как никто из их знакомых не получал… стало как то всё равно и бессмысленно расспрашивать.
3. В столовую советовали не ходить — там крысы и еда не всегда свежая.
4. Инет как и в некоторых бывших гос конторах 100мб в месяц на отдел и только для скачивания даташитов. Когда-то даже пробовали включать глушилку сотовых сетей — получили по башке от соседних зданий и ТЦ.
Неформальное общение после собеседование рулит, сколько раз уже спасало от таких дно-конторок: консервированных совоков.

А на самом собеседовании ничего не показалось странным? Такое должно быть уже сразу видно.

А Вам не совестно было поддерживать Молодую гвардию, тем более за 50 долларов в месяц?

А что по вашему, все полит-поп и рядом организации живут в вакууме, "forex кидалы" и прочие продвинутые мошенники получают ит-системы обманом?
На днях наблюдал как народ всё ещё проходит через турникеты бесплатно, и сделал для себя вывод что должно пройти много благополучных лет чтобы такое поведение получило массовое порицания, т.к. ещё совсем недавно мы голодными студентами бегали от контролёров и лазили через заборы, нет у меня морального права их обвинять, хоть мне очень неприятно за то что иногда делал сам...

Не сервера поддерживал, а говнокодил сайт на Django 6, за 50 долларов, из Одессы. Нормальный сайт появился на пару лет позже и хостился в соседнем переулке. Москва маленькая, вас помнят.
Впрочем, сути вашего сообщения это не меняет, только бюджет тут не причем: источники финансирования другие, а ваш заказчик был… Наказан.

Встречал в "Ласточке" такую же систему авторизации, так что скорее всего все эти уязвимости подходят не только к Сапсанам.

По тому, что везде используется бортовая развлекательная система от одного и того же производителя. То есть это даже косяк не РЖД, а поставщика.

А чем плохи задачи в crontab?
Какие данные хранятся в текстовых файлах?
Из статьи это совершенно не ясно.

Статья понравилась, а вот выводы читать очень тяжело.
я подозреваю что в кроне открытым текстом есть пароли. Запускают скрипт и параметром передают пароль.

А каким образом можно собирать HTTPS-трафик? Он разве не шифруется end-to-end?

У него есть root, значит, может получить приватный ключ.Или внедрить закладку и собирать уже расшифрованные данные.

Я вот тоже этот момент не понял. root от чего и приватный ключ кого? Если я через WiFi поезда на Яндекс зашёл например?

Ну большинство людей на предложенные браузером левые сертификаты просто тупо жиёт "согласен". И вот он mitm

Хм, мне в последнее время браузеры скорее не дают это сделать, убирая кнопку пропуска. Забота, конечно, но для тестирования не удобно...

Удивляет даже не то, как всё настроено, это ожидаемо. Автору сильно повезло, что ни одна система не обнаружила проникновение, и товарищ майор прямо в поезде подошёл бы познакомиться)

Думаю, что если бы они заботились о таких вещах, как IDS, то большинства подобных тривиальных дыр просто не было бы.

Развивая мысль можно предположить, что это один большой ханипот?

Прочитал целую статью за 4 минуты и это просто ужас, никаких технических деталей, оформление просто ужаснуло. Но больше всего меня убило то что с всеми косяками (открытыми портами служебных сервисов без авторизации, устаревший софт, не спрятан в отдельный vlan или не ограничеными хотя бы по ip, ) автор «безопасник» докапался до lets encrypt сертификата. Это настолько тупо критиковать let's encrypt в 2019 еще й просто основываясь на догадке что они же бесплатные, а значит — хуже платных. Мож вы еще за воздух платите? За частую let's encrypt сертификаты безопсней в 10 раз чем платные. Почему? Да как минимум надёжность сертификата измеряется не его ценой, а: время жизни (меньше — лучше, тут говорить не о чем), поддержка OCSP must staple которую легко включить и 384bit ECDSA вместо 2048bit RSA которые у большинства в CSR висит. Ну и наезды автора на одну машину с докером, догадка автора об dotnet core неоптимизированность на linux полностью не обоснована и в априоре ахтунг. Это поезд, а не дата центр.

Благодарю за критику, статью писал впервые вообще.
Про технические детали — их не будет, ибо тогда я могу попасть под статью. Так что подобную информацию публиковать нет желания

Если весь эксплоит заключается в эксплуатации CVE к которым в интернетах уже PoC, то это всеравно не очень интересно. Админом (читайте эникейщиком) школьником и шефом который не понимает за что эти ITшники хотят ЗП как у самого шефа, никого не удишишь. Вот с такого и имеем такие истории.
А кстати по поводу mitm https и его статусе «проверено»: почему я думаю что это ложь?) Может потому что сам поднимал proxy, и mitm без разрыва ca trust переподписи, не проканает. Любой кто откроет https получит alert о недоверенном CA. А transparent ssl proxy кроме sni индикатора, который и так plaintext — больше ничего не покажет об https соединении.

Редирект на похожий домен (http), и прокси по типу Modlishka. В наше время всё возможно, главное понять насколько ты хочешь извратиться с той или иной задачей.

Так а при чем тут ваши заявления что вы можете делать mitm https к mitm http? И зачем вам редирект на похожий домен когда в L2 сети без client isolation лучше делать спуфинг dns и не выдавать себя? Мало того что вы назвали палку рогаткой o_O, так еще й жизни вам эта атака мало чего даст на нормально настроеные ресурсы которые юзеры посищают активно, ибо 301 редиект http => https на то он и permanent что живет долго в кеше. HSTS живет еще еще дольше :), в основном год, а если ресурс еще й include subdonains и preload, то сам браузер вас не пустит на http. По этому на норм сайты по http никто почти не обращайте за редиректом. И это не догадки, а констатация факта на осноне наблюдий за трафиком. А мобильные приложения вообще ходят по захардкоженым https линкам, никаких http.
Вот это меня тоже заинтересовало, как удалось сделать mitm https. Только если взломать компьютер жертвы и подсадить туда свой сертификат в доверенные. Но опять же, остается проблема с мобильными приложениями где не только осуществляется переход по https, но еще и проверка сертификата.

Признаюсь, во время чтения несколько раз споткнулся о немного "выпирающее" эго автора, характерное скорее для "кулцхакеров", чем серьёзных и уверенных в себе специалистов по ИБ. А это как правило чревато некоторым лукавством, и в первую очередь по отношению к самому себе. Но, кто не без греха, поэтому, я лично простил автору это " преукрашивание", ибо и у самого меня бывало "рыльце в пушкУ", так что негоже мне пенять на зеркало, коль рожа кривая. Молодец автор в том, что привлек внимание к важной теме безопасности персональных данных. Возможно, после этого РЖД пошевелится и выделит средства для построения более надёжной системы.

Сталкивался раз с веселым интернет провайдером у которого 95% пользователей в системе имели одинаковые логин: пароль сгенирированые сапортом. Пример: gena:gena, kot:kot, и другие сказочные персонажи. Пользователи за частую даже не знали о существовании этих учётных данных так как логин с их домашних IP как у многих провайдеров идет без авторизации. Никаких capche, fail2ban со стороны сервиса реализовано не было. Банальный перебор по словарю за 10 минут возвращал пару сотен учеток. В учетной записи хранилось неприлично много личной информации: ФИО, полный адрес, иногда email, статистика in/out трафика из zabbix, модель телевизора (если было подключено кабельное) и была возможность без подтверждения сменить тариф на более высокий по цене или сменить привязку MAC и тем самым сломать доступ в интернет. Кладезь для домушников и конкурентов. Домушник на основе трафика мог узнать когда хазяева есть дома и когда их — нет, узнать какой ТВ и тариф используется, а это отразит общее финансовое состояние жертвы, а изменение MAC можно было использовать что бы увести системы сигнализации в offline. Ну а конкуренты могли просто пополнить свою базу потенциальных клиентов, да и сделать пакость: всех зашвырнуть на самый дорогой тариф или сломать доступ в интернет сменив MAC. Месяц я ждал пока провайдер откликнется, сначала испугались и затихли. Потом в ВК число случайно столкнулся в переписке с одним из их сотрудников и тот пролобировал эту проблему в верх и ее начали фиксить. Если бы за месяц ничего бы не сдвинулось то на хабре было бы на одну похожую историю больше. Все хорошо что хорошо кончается, но лучше бы иногда оно и не начиналось :)

Максимателеком в метро подменяет сертификат, и ничего, миллионы людей же жуют и пользуются, получая mitm.

Я не с Росии и не Казахстана, такого в живую не видел, и надеюсь никогда не увижу. Но наслышан. Что сказать? Первое — гнать такой конекш сами знаете какими тряпками. Второе — тем людям что продолжают использовать такое подключение можно похлопать и посочувствовать. Третье — контраргумент, грамотно написаные мобильные приложения которые передают ценные клиентские данные при такой конструкции сети откажутся рабатать. В IDE включено по умолчанию: не доверять сертификатам из пользовательского хранилища, и эту фичу еще надо прикручивать в коде. А у прошареных вообще настроен Certificate Pinning. Шах и мат.

В добавок к прошлому коментарию в любом браузере (кроме разве что Netscape >_<) наличие HSTS header'а не разрешает использование «я знаю что CA не доверенный, но все равно хочу подключиться». Подключение удастся только если CA добавлен в trusted root CAs. Об этом я уже писал выше. Тема закрыта.

А вы почитайте хотябы Wiki, а еще лучше RFC. HSTS это защита от downgrade атак, она не просто говорит что нужно идти по линке https://, она говорит что это соединение обязано быть доверенным. Текст из wiki с посылаем на rfc: If the security of the connection cannot be ensured (e.g. the server's TLS certificate is not trusted), the user agent must terminate the connection (RFC 6797 section 8.4, Errors in Secure Transport Establishment) and should not allow the user to access the web application (section 12.1, No User Recourse).

Крайне признателен. Это важно. Я еще обычно и в DNS прописываю корректного издателя сертификата — DNS Certification Authority Authorization. И preload, да.

CAA больше для того что бы не дать другим CA выдать Вам (или тем кто вами прикинется) сертификат и уведомить вас о злоупотреблении (возможно). У меня в CAA везде Let's Encrypted и хорошо себя чувствую. Но в CAA можно прописать несколько СА, многие этого не знают. Учтите что Preload работает только в комбинации с includeSubDomains. И самое важное HSTS с includeSubDomains должен быть как можно выше. Если у вас домен example.com, а сайт находится на www.example.com. То вам нужно редирект делать с http://example.com на https://example.com, а отктуда на www. Иначе ваш hsts будет не валидным для preload, https://hstspreload.org/

includeSubDomains у меня на основном домене висит, спасибо. Не знал, но хорошо, что правильное решение принял.

С HSTS и протухшим сертификатом браузер уже не разрешает игнорировать ошибки сертификатов.

Ну то есть вы ехали с другими хакерами в одном поезде… и вышли в местный wi-fi?.. вы абсолютно точно уверены, что никого не заинтересовали? :))

Это поезд млять с не датацентр… ))) Тоже мне достижение. Я тоже по молодости баловался снифингом в кафешках пока не понял, что это тупая тупизна. Фан быстро походит, а смысла нет. Хотя читал, что некоторые таким образом ухитрялись наснифить телефоны девочек с соседнего стола. ))) Вы слышали про принцип не вешать на барный сарай золотой замок? От взлома вайфая поезда никто не пострадает, а про паспорта не беспокойтесь они уже давно утекли из банков и опсосов. Но все ровно за статью спасибо она была как минимум познавательной.

Не вижу ничего неожиданного. Почему к информационной безопасности относятся так, будто она обязана быть по-умолчанию у всех на высшем уровне? Почему мы относимся к иб не так как к физической? Если бы автор написал что-то вроде "Ой какая у них дырявая физическая безопасность, я их замок смог срезать публичным болторезом, а их забор не выдерживает простейшей атаки стремянкой" — мы же не забрасываем говном такую организацию. А вот если вместо болтореза в статье волшебное слово "эксплойт", то автор сразу герой, а организация — идиоты. Зачем так?

Потому что у Вас аналогия неверная. Условно — если Вы привязали велик веревкой в публичном месте и у Вас его угнали, то кто виноват в ущербе (я не оправдываю вора, но тем не менее)? Это вместо того чтобы взять специализированный замок или закатить велосипед на охраняемую парковку.


Здесь та же история — ИБ — это процесс. Нужно патчить уязвимые версии софта — это известно даже ребенку. Если коллеги из РЖД это не умеют/не могут, то это попросту говорит об их проф. уровне. Тем более, что судя по всему внутри этого черного ящика есть ПД пассажиров и через этот черный ящик можно атаковать личные и рабочие устройства пассажиров.

Поскольку по российскому закону виноват будет атакующий, а не оставивший дыру в безопасности, какой смысл им заботиться о защите данных клиентов?

Атакующий вообще может сидеть на соседнем пути в другом поезде или на перроне, сидеть в смартфоне и искать практически нереально

Автору спасибо за статью. Придирки к сертификату сайта я тоже не понял, но ладно. Кстати, сайт sapsan.center живёт на http, если не ошибаюсь. Когда то было на https.
С техническими деталями было бы интересней:). Но в этом случае уже на следующий же день кто нибудь взломал бы уже другой поезд и что нибудь там поломал. Тогда ржд бы обиделось. На подрядчика сервиса, конечно. Вставили бы ему раскалённую кочергу в попЕц. Точнее в попцЫ. А к автору применили бы "Статья 272. Неправомерный доступ к...", но не факт. Заморачиваться, искать злодея из тех 100 людей, что сидели в вифи сети.
Хотя, чтото мне подсказывает, что уже сейчас происходят анальные кары внутри ржд.

Правильно, что нет технических деталей: статья содержит достаточно информации, чтобы админы могли исправить очевидные уязвимости, но недостаточно, чтобы школьники ломали всё и вся. А хакеры-нешкольники в состоянии и без статьи всё там переломать
Ничего там не происходит. Для монополий не применимо понятие репутационных потерь. Нет и не будет никакого другого сапсана от другой фирмы на этом маршруте. Им совершенно безразличны ваши персональные данные и в случае чего отвечать перед законом не им, а злобному хакиру «взломавшему» их систему.
Пентестер становится особо опасен, когда у него медленный Интернет и ему становится скучно :)

Не очень давно ехал на похожем поезде с WiFi и как увидел весь этот интерфейс сразу понял, что там всё очень и очень плохо. Сделал выводы, отключился от WiFi и искренне надеюсь, что на моё имя никто не возьмёт кредит. Бороться с этим бессмысленно, к сожалению: полезу ломать и принесу пачку ужаса на стол РЖД — засудят. Полезу качать права без пачки пруфов — проигнорируют (и скорее всего пошлют).

да ладно, не так просто взять кредит, имея только 4цифры от номера паспорта, номер вагона и места...

РЖД и знать не знает кто это делал, им продали как законченное решение прокладки.
я как-то давно в поезде Москва-Ярославль нашел в их Wi-Fi сетевое хранилище WD с дефолтным паролем и залил туда хорошей black metal музыки. Через год где-то ездил опять и музыка так и лежала нетронутой на шаре.

С одной стороны это отличный хак. Поделился хорошим:)
А с другой — это как подкинуть пакетик с кокосом в чужую сумку. Т.к. за размещение этого контента поставщик не платил и может сработать защита прав на музыку и т.д :)

Лет 8 назад один весельчак подкинул порнушки на видеорекламные щиты в Москве. Органы не оценили и показательно закрыли на всю катушку

«РЖД даже не потратилось на сертификат, и поставило let's encrypt» звучит примерно как «РЖД даже не потратилось на венду, и поставило линукс» ;)
ага, почитал. Великолепные выводы у медузы. Я тоже так могу:
— на сервере обнаружен шлюз на некий приватный ip адрес;
— на сервере обнаружена база данных, в которой хранятся Персональные данные пользователей. Такие как номер вагона, места, и какая то часть цифр паспорта;
— на сервере обнаружены видеоматериалы зарубежных производителей.

Это такой кривой юмор в сторону журналистов
И причем здесь Сапсан (Siemens Intercity-Express 3)?
Подвижной состав обслуживает в техническом плане (именно как подвижной состав) две организации — соответствующее эксплуатационное и ремонтное депо (ТЧЭ).
Тем что внутри пассажирских вагонов и является сервисом для пассажиров — обслуживается другими организациями (какими нибудь дирекциями по обслуживанию пассажиров (ДОП) или частными шарагами а-ля «Трансгазмяссервис»), которые с первыми двумя не взаимодействуют никак. Приличных организаций, среди подобных — предоставляющих сервис пассажирам, в РФ замечено не было. Тоже самое в пассажирских поездах (это одни и теже ДОП, как правило). Это эти ребята продают в вагонах-ресторанах балтику №3 по 250 рублей за банку, это эти ребята в 00:00 через час после отправления поезда рекламируют через не отключаемые динамики тапки, газеты, значки и прочую дичь, и судя по инфе из статьи — еще не раз нас порадуют.
Сапсан не защищаю, просто в данном случае он как подвижной состав не при делах.
Инфраструктура РЖД обслуживается огромным, несчитанным количество разных организаций. Можно всю жизнь проработать на железной дороге и не знать названия всех этих организаций, филиалов и их функций. Не удивлюсь, если чуваки из ДОП, за неимением собственных специалистов, наняли на оутсорс кого нибудь по принципу «лишь бы дешевле» из ООО «Any key» которые и построили сию инфраструктуру, описанную в статье.

Вообще это повод для расследования на уровне расследований ФБК Навального. Ну, реально. Если качественный вай-фай стоит, скажем, 1 млн руб, а наняли ООО Any Key за 100 т.р., то куда делось еще 900? А мы, как пассажиры Сапсана, теперь получаем некачественную услугу?

Представители ржд остались довольны количеством сэкономленного времени На совещания, и количеством описанных кейсов из комментариев). Очевидно для них теперь работы станет в резы меньше))

В «Хакере» это бы называлось как-то типа «Потрошим тушку хищной птицы» или «Сапсан в позе Рака»:)
это не совем взлом…
скорее «смотрите, у них доступ к докеру не ограничен, азаза»
А вот если подобные статьи выходили-бы вместе с одновременной подачей коллективного иска, связанного с нарушением конфиденциальности ПД — было-бы и интереснее и продуктивнее…

Мда, слов нет.
Возили бы хакеров на конференции в товарных вагонах, такой бы проблемы не было.
Это шутка, если что.

Шутка, то шутка, но очень злободневная. А потом потомки будут «не представлять себе, как они так жили». Как мы не представляем себе, какого это жить, при массовом терроре. А путинизм к этому и движется…
Я, возможно, невнимательно статью прочитал, но так и не понял, в каком виде хранятся данные пассажиров? Именно <ФИО — номер паспорта>, или <номер места — последние 4 цифры номера паспорта>? Если первое, то непонятно, нафига вообще такие данные хранить? А если второе, как это может использовать злоумышленник? Да даже если там полный номер паспорта, без хотя бы ФИО он бесполезен, нет? Я могу скрипт написать, которые несколько миллионов номеров паспортов сгенерирует, из них несколько тысяч даже будут совпадать с номерами паспортов реальных людей, а что толку?
как это может использовать злоумышленник?


Авторизоваться в сети под именем любого другого пассажира, отправить нехорошее сообщение/поставить неправильный лайк/посетить неодобренный сайт… Богатов 2.0, теперь без всяких TORов.
Удивлен продвинутостью стека. В ржд ожидаешь увидеть какой-нибудь древний сервер java или .net, а не современные .net core в докере. Наверное какой-то сторонний подрядчик делал, а в требованиях про безопасность ничего не было.
Дальше я пошёл изучать содержимое контейнеров, и некоторыми публичными CVE залился в систему.

Я правильно понимаю, что если бы у них система своевременно обновлялась, то вы бы не получили доступ?
Скорее всего да. Раз речь идет об эксплуатации публичных уязвимостей. И с условием что это не какой-то заброшенный дистрибутив.
Если так подумать, то большинство устройств вообще не безопасные. Многие роутеры не обновляются автоматически.
Что уже говорить об IOT. Тут и ОС и ПО нужно обновлять как-то не мешая пользователям.
А если устройство при каждых доработках должно проходить сертификацию, то об автоматическом обновлении можно забыть.

Вы говорите, будто составы 24/7 ездят с пассажирами. Но это не так. Есть регламентные окна — в них можно и IT привести в порядок… Была бы воля....

Если в целом говорить, то да, эти опасения уже озвучивались ранее специалистами по ИБ. К ним привлекали внимание.
UFO landed and left these words here
Все, кто подключен к их WiFi подвержены снифу трафика, ибо всё идёт через их прокси, можно легко собирать HTTP трафик, но если чуть постараться, то и HTTPS (проверенно).


keklick1337 И в чем смысл сбора шифрованного HTTPS-трафика?
в чем смысл сбора шифрованного HTTPS-трафика?


Раскрытие любой части шифрованной информации нежелательно. Прослушивание HTTPS что может дать злоумышленнику?
Адреса серверов, к которым клиент коннектится.
Время, когда выполнено соединение.
Обьем траффика.
Использование/неиспользование VPN.
Все это может быть использовано для фингерпринтинга, например. Кому нечего скрывать, тем не нужно беспокоиться.
Кому нечего скрывать, тем не нужно беспокоиться.
Точнее, тем, кому кажется, что им нечего скрывать, также кажется, что они могут не беспокоиться.
И что Вам даст вышеуказанная информация? Где здесь копроментация данных пользователя? Расшифровать данные все равно не сможете.
И что Вам даст вышеуказанная информация?


А что может дать информация о разрешении дисплея? Пару дополнительных бит в fingerprint. Не о чем беспокоиться.

Извините, но Вы забыли тег сарказм… Действительно фингерпринтинг работает, как и суперкуки… Потом можно агрегировать информацию по нескольким аффилированным сайтам… и пользователь деанонимизирован.

Так любой публичный Wi-Fi снифает ваши данные, в чём новость то? И даже https, с подменой сертификата, как МаксимаТелеком в метро. Скорее всего, там есть база данных всех ваших паролей от всех ваших соцсетей и почтовых сервисов. Которыми они с удовольствием поделятся в случае чего с компетентными силовиками. Мало того, с большой вероятностью ваш крупный работодатель делает то же самое, собирая весь ваш трафик, пароли и мессенджеры на телефоне через корпоративный Wi-Fi через известные программные продукты типа SearchInform, InfoWatch, StaffCop и ещё десяток других.
Ну так не надо заходить на сайт, если сертификат подменён! Ну то есть если там просто картинки и текст, то ничего, вводить же пароли нельзя. Я говорил об этом восемь месяцев назад (семь-девять сообщений, начиная с указанного).

Если работодатель не прописал этого в контракте то за такое у него можно отбить свой годовой оклад и испортить имидж в 0. А если он указал это в контракте который вы подписали, то кто Вам доктор? Имея даже права юзера можно легко и без особых навыков проверить есть ли в сети mitm https proxy даже если ваш девайс уже верит CA организации. F12 -> Security -> Show certificate

> И даже https, с подменой сертификата, как МаксимаТелеком в метро

Ну дык ничего работать не будет, разве вы корневой сертификат установите дополнительный от МаксимаТелеком.
Ну вот у этих товарищей работает, снифают трафик любого месссенджера, если работник подключился к корпоративному Wi-Fi. Постоянно множество кейсов поимки работников приводят на конференциях. Уверен у МаксимыТелеком так же.
РЖД мажется:
«РЖД проведут технологическое расследование заявления о взломе системы высокоскоростного поезда «Сапсан». При этом необходимо отметить, что на сервере информационно-развлекательной системы (ИРС) поездов «Сапсан» не хранятся персональные данные пассажиров. Мультимедийный портал предоставляет информационный и развлекательный контент: новости ОАО «РЖД», фильмы, книги, музыку и другую информацию. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным, в соответствии с действующим законодательством РФ, и хранятся на сервере ИРС не более одного дня», — сказали в пресс-службе.
В пресс-службе подчеркнули, что сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде. «Он разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов», — добавили в пресс-службе.

keklick1337 плиз подтверди или опровергни их слова
Цитата: «Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.»
Как по мне тут РЖД лукавит, ну или впн не до внутренней сети, хотя учитывая иб поезда, думаю, что во внутреннюю =))
UFO landed and left these words here
А вот и официальный ответ подъехал:

Во-первых никакие данные персональные [в системе] не хранятся [...] Почему удалось взломать? Наверное, потому, что злоумышленник. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.


Евгений Чаркин директор РЖД по информационным технологиям

Only those users with full accounts are able to leave comments. Log in, please.