Comments 80
То-то я смотрю, на форумах Deep Rock Galactic пляшут...
Всего стран 195. Аккаунт PSN можно создать только в 25 странах?
~75 если не ошибаюсь. Элементарно не у всех есть региональный PSN, например в Казахстане сидели с Российских акаунтов.
Доступен в 73, вчера в интернете был вой по этому поводу
Там всё гораздо хуже :) В некоторых из 70 странах из списка можно создать аккаунт только через PS4/PS5. А в некоторых странах таких как Англии, вам нужно отсканировать паспорт или лицо.
А в некоторых странах таких как Англии
Возможно занудствую, но такой страны нет. :-)
Возможно занудствую, но такой страны нет. :-)
Вообще-то страна :) Являющая частью Великобритании. Шотландия тоже страна, у них например даже свой печатный двор и законы.
П.С может в данном случае конечно, там UK и требование скана паспорта распространяются на всё королевство, а не только Англию. Тут вы наверно правы.
П.С2 Хотя если исходит из мест в ООН, то там только Великобритания представлена, то наверно тогда Англию, как отдельную страну называть нельзя. Если кто лучше подкован, пусть напишет своё мнение :)
отсканировать паспорт или лицо
Извините, не смог удержаться.
Раздражающий фактор эти привязки регистрации и тд. Покупаешь умную розетку где надо простой таймер настроить - а там скачайте приложение, создайте аккаунт в нашем rozetka_id, посмотрите рекламу в нашем фирменном приложение и не отключайте розетку от интернета. Если завтра это rozetka_id исчезнет, то розетку можете выкинуть
И что самое печальное - даже пророку неизвестно сколькими открытыми портами эта розетка смотрит в интернет. И если с ipv4 вы как-то можете надеяться на роутер, то с ipv6 она будет ими торчать наружу голой, ээммм, сетью, потому что "для ipv6 NAT не нужен!"
то с ipv6 она будет ими торчать наружу голой
Зависит от настроек роутера. Да и с UPnP проброс портов даже на IPv4 становится почти прозрачным, ничего на роутере не нужно дополнительно настраивать.
то с ipv6 она будет ими торчать наружу голой, ээммм, сетью
Вас обрадую (или расстрою), но ipv6 пакеты файрвол роутера не перелетают, и всё настраивается.
Этож надо так все вывернуть! NAT теперь чуть-ли не спаситель и защитник простых людей! А злобный IPv6 так и стремится слить ваши данные и пустить кого попало.
Хотя на самом деле именно NAT мешает разрабатывать безоблачные решения для умных домов. Как только клиент спрашивает "А могу ли я управлять домом из кафе?", облачные умные дома отвечают "Да!", а остальные "а какой у вас NAT? и сколько их? И какой NAT в кафешке? а свяжитесь с нашими специалистами, они помогут настроить прямую связь".
Единственное, что NAT успешно защищает - это вот эти облачные решения, собирающие персональные данные. Они конкурируют только друг с другом. Коммерчески успешного удобного необлачного решения для умного дома (с контролем снаружи) не может быть как раз из-за того, что вездесущий NAT сломал и уничтожил изначальную p2p архитектуру Интернета.
NAT дает гарантию что к умной лампочке нельзя обратиться из интернета. Это очень важная фича. У ipv6 тут лапки. Просто купить случайный роутер в магазине прокликать настройку далее-далее-готово и иметь гарантию что к вашей лампочке не будет доступа из интернета нельзя.
Массовый p2p в современном интернете это зло. Слишком много всякого железа с непонятным софтом.
Просто купить случайный роутер в магазине прокликать настройку далее-далее-готово и иметь гарантию что к вашей лампочке не будет доступа из интернета нельзя.
Можно. В случайном роутере для ipv6 будет включен точно такой же фаервол как и для ipv4, запрещающий по умолчанию входящие соединения.
NAT дает гарантию что к умной лампочке нельзя обратиться из интернета
NAT бывает разных типов, и в общем случае - таких гарантий не дает. Для защиты от входящих соединений существует фаервол
У фаервола есть гигантская проблема. У него есть настройки. У него так же есть дефолты в которых я не уверен. И в общем случае дефолты могут быть любыми. Менять их никто не будет.
У NAT нет настроек. Нет дефолтов. И есть уверенность что доступа не будет. Как раз в общем случае есть уверенность. Типов в общем случае домашнего роутера тоже нет. Оно все одинаковое. Просто включил вот сюда провод от провайдера, вот сюда домашние устройства, вот вайфай. И все просто работает достаточно безопасно. Домохозяйка выбравшая роутер по внешнему виду и просто подключившая провода в подписанные дырки сделает защищенную домашнюю сеть.
У него так же есть дефолты в которых я не уверен.
Но при этом вы почему-то уверены что в этих же дефолтах роутера включен NAT, отключен DMZ, отключен UPnP, и вообще роутер не торчит на внешнем интерфейсе веб-мордой с дефолтным admin/admin.
Попробуйте найти в соседнем крупном оффлайн магазине роутер который не удовлетворяет моим критериям.
В upnp нет ничего плохого или опасного. Ваше устройство или приложение сознательно открывает какой-то порт для себя. Плюсы понятны, минусы непонятны.
Сначала вы попробуйте найти в соседнем магазине роутер с отключенным фаерволом на ipv6 :)
Слишком много всякого железа с непонятным софтом.
плюс
Ваше устройство или приложение сознательно открывает какой-то порт для себя.
Вы тут только что рассказывали нам историю о том что лампочка безопасно сидит за NAT'ом и никто до неё не доберётся. А теперь оказывается что непонятный софт с лампочке спокойненько открывает дырку через UPnP наружу.
Сначала вы попробуйте найти в соседнем магазине роутер с отключенным фаерволом на ipv6 :)
Я вообще не уверен что ipv6 будет работать из коробки на случайном роутере из магазина. Скорее даже уверен что не будет. До проверки настроек по умолчанию файервола дело даже не дойдет.
Вы тут только что рассказывали нам историю о том что лампочка безопасно сидит за NAT'ом и никто до неё не доберётся. А теперь оказывается что непонятный софт с лампочке спокойненько открывает дырку через UPnP наружу.
Лампочка должна его специально открыть. Он сам по себе не откроется.
В целом это может быть проблемой, но в реальной жизни я не видел прецедентов. Лампочка должна быть уже заражена чтобы это стало проблемой. А если она заражена, то и без upnp сделать можно все что угодно. Кто мешает атакующим поднять сервер и передавать все через него?
Не лампочка, но мне попадалась IP-камера, которая автоматически без моего ведома выставила себя в интернет через UPnP. Непонятно, почему вы решили, что для этого нужно что-то заражать
Так это нормальная легальная фича. Камера поддерживает общение к ней через интернет и открывает для этого порт. В чем проблема?
Ну например ровно в том же, в чём и причина вашей боязни доступа к лампочке?
У лампочки нет фичи доступ из интернета. И при этом есть какой-то софт с неизвестным списком RCE в нем. И вероятно есть какая-то админка с доступом admin/admin. Доступа из интернета нет же. Чего переживать, деньги на обновления тратить и пароли сложные ставить?
Значит сеть должна быть построена так чтобы обращение к лампочке из интернета было в принципе невозможно. Серые адреса это отличное решение. Не нужен глобальный адрес хотя бы теории доступный из интернета этой лампочке.
А что, в IP-камерах с UPnP принципиально не может существовать RCE?
Принципиально может. Но производитель когда делает такую фичу должен закладываться на открытый доступ и выпускать обновления. Покупатель соответственно должен их ставить.
Площадь атаки снижается кардинально. Устройств открывающих к себе доступ неизмеримо меньше чем просто всего iot.
"должен"
китайские камеры (стоящие по всему миру, потому что дешёвые) составляют более половины всех ботнетов, содержат в себе давно известные уязвимости, неотключаемые админские учётки с единым паролем итд. Даже на хабре тьма пруфов. Так вот, самая простая защита от взлома такой камеры - это нат. Не очень правильная и обходимая при должном умении, но уже все автоматические сканнеры обламывает.
И опять же:
И веронятно есть какая-то админка с доступом admin/admin.
А что, в IP-камерах с UPnP принципиально не бывает админок с доступом admin/admin?
Если бы я как простой пользователь не знал про UPnP, я бы мог решить не менять стандартный пароль, думая, что камера останется в пределах локальной сети и это не страшно
(к счастью, я не совсем простой и у меня есть привычка периодически прогонять себя через nmap с целью выявления каких-нибудь ошибок конфигурации)
(кстати здесь ещё можнно припомнить Docker, который в конфигурации по умолчанию !!!!!В ОБХОД ФАЕРВОЛА!!!!! выставляет себя голыми контейнерами в интернет — спасибо что хоть без UPnP)
В таких устройствах не должно быть. Печатать уникальные пароли на каждом устройстве давно научились.
Докер ведет себя нормально. К контейнеру кроме как по порту нормально не обратиться. Если ваше устройство где вы запустили Докер доступно из интернета вы сами виноваты. Это тоже в копилку пользы серых адресов. С ними все просто удобно работает. И безопасно при этом.
Устройств открывающих порты все еще гораздо меньше чем не открывающих. Присматривать за ними проще. Вероятнее всего у обычного пользователя ничего открывающего порт просто не будет, а вот лампочка вероятно будет.
Я тоже так могу:
Просто купить случайный роутер в магазине прокликать настройку далее-далее-готово и иметь гарантию что к вашей лампочке не будет доступа из интернета нельзя.
«В таких устройствах не должно быть. Печатать уникальные пароли Включать фаервол по умолчанию на каждом устройстве роутере давно научились.»
Если ваше устройство где вы запустили Докер доступно их интернета вы сами виноваты.
Почему виноват я, а не докер, без моего ведома перезаписывающий настройки настроенного мной фаервола?
Вы опять забываете про массовость. Всякого iot море. А процент устройств открывающий порты стремится к нулю.
Вы хотите строить безопасность за счет фаервола. В котором можно ошибиться. Сейчас безопасность построена за счет дизайна самой сети. Там ошибаться просто негде.
Может ну его нафиг? Закопать вместе с идеалистическим ipv6. Добавить еще один октет к ipv4. Назвать это ipv42. Нат при этом не трогать, он безопасность гарантирует. И всем хорошо будет.
То, что вы называете «безопасностью» — не безопасность, а череда случайностей, которые мешают напакостить (не сошлись дырки в швейцарском сыре)
NAT без фаервола не блокирует доступ к локальным устройствам: если извне прилетит запрос к локальному IP — роутер его без проблем отроутит (я проводил реальный эксперимент на практике — это действительно работает)
Вся ваша хвалёная «безопасность» держится лишь на той случайности, что такие запросы просто не дойдут до роутера — дропнутся ещё где-то на уровне интернет-провайдеров
При этом сам интернет-провайдер, имея прямое подключение к домашнему роутеру, сможет просканировать всю локальную сеть, если захочет и если его не остановит фаервол
Я с трудом представляю себе такой роутер который такой запрос прокинет на локальное устройство. Покажете? Точно же кто-то еще делал и какое-нибудь видео снимал. И да такой запрос на самом деле не дойдет. Его прохождение по сети провайдера противоречит пачке RFC и настройкам роутинга провайдера. В провайдере не домохозяйки работают и шанс что они настроят железо правильно неизмеримо выше.
Безопасность построенная на дизайне сети лучше всего. Сама архитектура решения гарантирует что доступа не будет. Любая домохозяйка получает безопасную сеть дома просто так. Менять это на фаервол такое себе. Стоит еще подумать и сделать не хуже чем сейчас. Как такое сделать кроме серых адресов я не знаю. Может кто-то придумает.
Идеи времен изобретения ipv6 что каждое устройство должно быть адресуемо и потенциально доступно из интернета оказались несостоятельными. Не должно. Тогда этого не понимали и сделали ошибку.
прохождение по сети провайдера
Ну так я то же самое и написал:
дропнутся ещё где-то на уровне интернет-провайдеров
А при отправке такого запроса напрямую на роутер его уже ничего не остановит, кроме фаервола. Проверял на кинетике, в котором фаервол включен по умолчанию — запросы не идут, выключаю фаервол — идут
Любая домохозяйка получает безопасную сеть дома просто так.
Как я уже пояснил в этом и предыдущем комментариях, данное утверждение ложно
Безопасность построенная на дизайне сети лучше всего. Сама архитектура решения гарантирует что доступа не будет.
Не гарантирует, NAT сам по себе не обладает такими свойствами. А ещё принципиально не способен остановить «лампочку», пожелай та самостоятельно постучаться в интернет обеспечив доступ для неизвестных в локальную сеть
Идеи времен изобретения ipv6 что каждое устройство должно быть адресуемо и потенциально доступно из интернета оказались несостоятельными.
Несостоятельной, по моему мнению, является идея ломать связность сети. Нет, я не являюсь непримиримым противником NAT, но то что вы по своему личному опыту под ним подразумеваете включает в себя уже преднастроеный фаервол.
Да и существует несколько типов IPv6 адресов, не давайте iot-ятине GUA, пусть живут на Link-local
И вот это:
Добавить еще один октет к ipv4. Назвать это ipv42. Нат при этом не трогать, он безопасность гарантирует.
И сломать совместимость абсолютно со всем, и софтом, и железом. Железо к ipv6 готово уже лет 20. Все основные платформы в 2024 году - тоже, возможно ваш мобильный телефон уже его получает от вашего мобильного оператора. NAT, не гарантирующий безопасность, можете не трогать, раз уж вам надо.
Вы решаете не ту проблему. Сейчас есть решение работающее у всех из коробки. Да-да. И в рабочих сетях и в домашних, вообще везде все просто работает. Видишь серый адрес - доступа из интернета нет. Включил нат - доступа из интернета нет. Твое устройство за провайдерским натом - на него никто гигабит не отправит. Просто и удобно.
Связность всего со всем это однозначное зло. В 2024 это уже точно. Односторонняя связность это что нужно для основной массы устройств. Пожалуйста сделайте стандарт чтобы такую одностороннюю связность было делать удобно.
И даже с таким простым решением люди умудряются случайно выставлять внутренние сервера в интернет.
Вы вместо того чтобы рассказать почему в вашем новом мире не станет хуже пишите здоровый текст на птичьем языке. Этот текст не поймёт более 99 процентов людей которые делают сеть дома.
Не стоит после этого пенять что ipv6 будет еще 30 лет внедряться с такими же успехами как сейчас. Людям неудобно и они не будут ухудшать себе жизнь.
Железо к ipv6 готово уже лет 20.
Тут правда вопрос что значит "готово". У Mikrotik вот поддержка IPv6 в L3 Hardware offload это 2022-й и RouterOS 7 (а теперь вспоминаем что есть места где используют только long-term версии RouterOS а не stable, long-term RouterOS 7 вообще пока нет).
Операторы.. ну вот у меня насколько я в курсе:
домру - IPv6 в ЛК включить можно. выдают /64 , про рекомендации про /48 или /56 - положили. Статический и НЕ меняющийся адрес получить нельзя (для IPv4 услуга есть)
мегафон (как проводной оператор)(там не все железо их но пусть) - IPv6 нет в принципе
билайн (как проводной оператор) (сейчас уже не использую их) - IPv6 нет в принципе
мегафон (как сотовый оператор) - IPv6 нет в принципе
тиньковмобайл (как сотовый оператор) - IPv6 нет в принципе
Ну и да - некоторое время у меня часть трафика через домрушный IPv6 ходило. Теперь не ходит, спасибопартиизаэто, пришлось усложнять структуру внутренней сети чтобы все нормально работало и была связность в условиях блокировок со всех направлений а IPv6 в этом случае все только усложняет и не дает вообщем то для меня преимуществ (пробросить порт если надо я сумею).
домру - IPv6 в ЛК включить можно. выдают /64 , про рекомендации про /48 или /56 - положили. Статический и НЕ меняющийся адрес получить нельзя (для IPv4 услуга есть)
У них уже давненько выдается статический префикс /64 когда активируешь статический IPv4. Причем довольно костыльно сделано, выдается префикс вида: 2a03:1ac0:xx:xx, где xx:xx - октеты в точности совпадающие с выдаваемым IPv4 адресом, по аналогии 6to4.
Возможно, это зависит от региона.
Возможно пора перепроверить что они мне выдают. Может хоть это починили. Допустим. Но это - не решает остальных проблем (и с тем что в других местах нет и что /64 а не хотя бы /56, да - у меня не одна подсеть плоская, да - оно мне надо). Особенно если HE'шный tunnelbroker.net теперь в целях защиты детей нормально не работает.
М(Г)ТС - ipv6 умирает смертью храбрых при подключении статического ip.
мегафон (как сотовый оператор) - IPv6 нет в принципе
Враньё.
NAT без фаервола не блокирует доступ к локальным устройствам: если извне прилетит запрос к локальному IP — роутер его без проблем отроутит
Очень часто на WAN летят запросы от разных IP 192.168.*.*. Но все успешно блокируются: "Block private networks from WAN block 192.168/16"
кстати здесь ещё можнно припомнить Docker, который в конфигурации по умолчанию !!!!!В ОБХОД ФАЕРВОЛА!!!!! выставляет себя голыми контейнерами в интернет — спасибо что хоть без UPnP
По умолчанию докер держит контейнеры в отдельной сети, доступ в которую отдельно пробрасывается (ключи -p, --publish)
Контейнеры разумеется в отдельной сети, но проброс-то портов всё равно придётся делать, и они с какого-то перепуга по умолчанию пробрасываются сразу в интернет. Я конечно почитал доку и перебиндил всё на 127.0.0.1, только вот вообще-то с точки зрения безопасности наоборот всё должно биндиться на 127.0.0.1 по умолчанию хотя бы в качестве «защиты от дурака» — и уж точно не должно быть никакого постороннего вмешательства в фаервол (опять же, в доках написано как его отключить, но блин, оно должно быть отключено по умолчанию!)
Не удивлюсь, если такое кривое поведение по умолчанию является причиной половины утечек всяких баз
Вот это вы рубанули! у NAT НЕТ НАСТРОЕК! Ого!!!! Шикарно! Может NAT для вас это что-то презерватива на ipv4 кабель ethernet?
У NAT нет настроек. Нет дефолтов. И есть уверенность что доступа не будет.
Как так можно? NAT вообще не про безопасность. Это вынужденная смена адресов на роутере с очень болезненными и вредными сайдэффектами, сломавшими IPv4 Интернет. Оправдывать его все равно что оправдывать вирус который, например, отнял бы ноги у всего человечества - зато тюрьмы не нужны, "есть уверенность что никто далеко не уползет".
Фаервол - с другой стороны это как раз заточенное на безопасность решение. Та "защита" которую дает NAT - это пару строчек в фаерволе. Они включены в любом домашнем роутере с IPv6.
Кроме этого фаервол позволяет блокировать вредные выходящие соединения. Есть популярные списки для фаерволов, в которые, например, добавляют управляющие узлы ботнетов или другие шаблоны вредных соединений. Можно отрезать свой умный пылесос или лампочку от облака. У NAT тут даже не лапки, там даже в дизайне нет таких фич. Он не про безопасность вообще.
А развитый выделенный фаервол дает еще на порядок больше безопасности. Там и IDS, и нормальная DMZ, и анализ трафика для того чтоб найти непонятные соединения. Очень полезно, когда хочешь увидеть куда твои телефоны и умные устройства лезут. По хорошему именно такое должно быть в каждом доме, а не "NAT защищает - его достаточно"
Если у роутера один NAT а firewall'а (по умолчанию - закрытого на вход) - нет, ну значит производитель роутера - идиот.
Ну и NAT в IPv6 на практике вполне себе бывает - даже 2-х видов:
NPTv6 - например https://docs.opnsense.org/manual/nptv6.html , в RouterOS тоже завезли - трансляция префиксов, для случая когда провайдер - дает только динамический и меняющийся префикс
собственно NAT66 - именно аналог того что в IPv4 называют обычно NAT'ом, один(или очень мало) внешний адрес, таблица трансляции, и полный набор проблем
если что, nat v6 есть :)
например https://datatracker.ietf.org/doc/html/rfc5902
Об этом до покупки, обычно, известно.
Плясанул. У меня тут беда была. Лет 10 назад купил на Алли стетоскоп. Ну думал, в работе пригодится, монтажникам давать буду, когда они говорят "Ну не смогла я".
А вот прям недавно случай. Мелкая дочь (3 Года) за кровать скинула мобильник. Это было подозрение. Расстояние от стены 0.5 см. Кровать 200кг. Отодвинуть никак.
Достал статоскоп, и блин. А приложения, для коннекта к нему - нет. Ни на иОс ни на андройд. Полностью рабочая - бесполезная хрень.
С антресоли достал планшет на андройд 4.4. там приложение стояло. Мобильник рассмотрел, и прутом вытолкал/достал
Картина маслом: "эффективные менеджеры поднимают статистику подписок в PSN".
Однако регистрация такой учётной записи в некоторых странах невозможна.
Не в некоторых, а чуть ли не в половине.
Hidden text
И ни разу не фейк
И ни разу не фейк
ну да ну да
Вы ведь не пытались использовать .ru почту?
PS: Могу этот акк подарить, только придется выдуманный мной gmail зарегать.
Вы ведь не пытались использовать .ru почту?
То есть, получается это все-таки запрет на регистрацию в России, хоть и не такой жесткий.
Там дальше второй забор. Получить СМС. СМС на российские номера от Соньки не доходят вообще или доходят крайне нестабильно.
Такая же проблема с российской стороны бывает. Например хотел я как то войти в Яндекс почту (старую, не основную), а мне такой, - ай нет, твоя почта в опасности, пока не привяжешь телефон не зайдёшь.
Ну ладно ввел телефон, а оно дальше жди смс. В течение недели пытался заходить повторно и запрашивать смс, но так и не пришло.
П.С Европейский телефонный номер.
Россия хотя бы в списке стран есть. Балтийских стран вообще не существует для Сони. Еще в 2007ом пришлось регистрироваться как Finland
О, очередная компания решила, что может забрать обратно то, за что получила деньги. Как знакомо. :)
Список стран интересный. А теперь представьте, этот же список в виде списка IP адресов(ip geolocation), и предположим у вас есть какой-то коммерческий продукт, или локальный бизнес... добавите этот список в DROP, не всё так однозначно да ведь?)
А что если Сони просто захотело убить игру? Копия стоит недорого, подписки нет, а серверное время мультиплеер жрёт как не в себя. Если новых игроков нет, то логично, что популярность игры только вредит, а так можно отсечь хоть часть игроков-"дармоедов". Дескать, ну а что вы хотели, да вот такие Сони корпоративные злодеи, как будто вы не знали.
Helldivers 2 убрали с продажи в Steam более чем в 170 странах