Security-all

Konkrétan centos 7, de valószínűleg más rendszeren is így van.
Szóval, httpd.conf-ban ugye ott van:

<Directory />
    AllowOverride none
    Require all denied
</Directory>

és ennek végén az include-ok conf.d-re, sites-enabled-re, stb...

Ehhez képest ha az emberfia egy senkiházi utolsó virtualhost konfigba berak egy ilyet:

<Directory />
    Require all granted
    Options +Indexes +FollowSymlinks
</Directory>

Akkor ezzel simán felülbírálta a /-re vonatkozó beállításokat.

Ez így jól van?

Egyik magyar párt programjában szerepel az ígéret, hogy elektronikus szavazást vezetne be, innen a téma aktualitása. Nem részletezi túl, ezért csak következtetek rá a szövegkörnyezetből, hogy pontosabban fogalmazva online szavazást akarnak bevezetni.

Utána néztem a témának, és elsőre meglepő lehet, de azt találtam, hogy megbízható online választási rendszer jelenleg NEM létezik. De ha valaki tud ilyet, akkor írja le, hogyan lenne ez lehetséges. Választási rendszer alatt a parlamenti választást értem, amikor a választópolgárok konkrétan megválasztják a pártokat, képviselőket, és ezután jogerősen a megválasztott képviselők kerülnek be a parlamentbe.

Egy választási rendszernek több kritériumot kell teljesíteni, de az egyszerűség kedvéért nézzük a két legfontosabbat:

1) anonimitás - ne lehessen tudni, ki kire szavazott, sem a választás közben, sem utána (ezzel elkerülve a szavazatvásárlást és a fenyegetés miatti szavazást)
2) ellenőrizhetőség - ne kelljen vakon megbízni a rendszer üzemeltetőjében, vagy az adott kormányban, hogy elhiggyük, hogy nem történt csalás; ellenőrizhetőnek kell lennie, hogy 1 ember egyszer szavazott, és az összes és tényleg csak a leadott szabályos szavazatok kerültek pontosan összeszámlálásra.

A papír alapú szavazás sem teljesíti ezeket maradéktalanul, de még mindig több nagyságrenddel megbízhatóbb a papír alapú szavazás, mint az online.

Úgy tudom, hogy egyedül Észtországban van lehetőség parlamenti választáson online szavazni. Máshol sehol. Viszont a rendszer gyengeségeire már többször felhívták a figyelmet, tehát nem biztonságos. Eleve ha egy ilyen rendszerbe belenyúlnak, lehet, hogy ki sem derül; vagy ha eddig nem nyúlt bele valaki, az lehet csak a szerencse műve, merthogy a technológia nem biztonságos, az eléggé bizonyos.

Annyit találtam, hogy a blokklánc lehetne a megoldás, azonban a gyakorlatban is működő rendszer erre tudtommal még nincsen, legalábbis én úgy tudom, még nem találták fel.

Ha viszont nem létezik jelenleg megbízható online választási rendszer, és adott ország mégis bevezeti, és a rendszer gyengeségeit kihasználva kerül csalással hatalomra egy párt, annak katasztrofális következményei lehetnek, úgyhogy eléggé kritikus téma ez.

Sziasztok!

Fejlesztéssel foglalkozunk, GlassFish + MySql alapokon webes alkalmazást.
Egyre több ügyfelünk dönt úgy, hogy kiengedi az alkalmazást punlikus netre és nem csak belső hálón használja.
És úgy látjuk elég felelőtlenül üzemeltetik.
Nem igazán vagyok otthon ebben a témában de, jó lenne kicsit elmélyedni benne.
Tudtok nekem ajánlani valami jó összefoglalót dokumentumot? Ha van kifejezetten GF-re vonatkozó az lenne a legjobb.

Nem jár programozással?
Érdekel a security, van hova fejlődni, de nem akarok programozó lenni. Egyszerűen nem vagyok olyan beállítottságú...

Lehet bugyuta a kérdés, de csak azért érdekel mert x év múlva a jelenlegi IT admin szakmám szívesen lecserélném valami olyanra ami emberközelibb. A security vonalat érdekesnek tartom és maradnék az IT-n belül ha lehet.
Szerintetek van erre lehetőség? Vagy hagyjam a fenébe az egészet...

Samsung A5. Ki tudja, milyen megfontolásból, az ujjlenyomat olvasóhoz három ujjat lehet regisztrálni. Én még nem hallottam olyanról, hogy egy ember két ujjának lenyomata egyforma lenne. Mégis, legalább négy ujjal fel tudom oldani a zárást...
Ilyenkor mi van? Megjegyezte a régieket is, amikkel próbálkoztam? Vagy ennyire szar a scannere?

Sziasztok!

Kötelező biztosítás átkötése kapcsán botlottam bele, egy olyan ügybe, aminek a végén az üfsz. e-mailben visszaküldte a regisztrációhoz tartozó adataimat, melyben nem csak a felhasználónevem, de a korábban általam jóval régebben megadott jelszó is szerepelt. Szerintetek ez mennyire van így rendben?

Minap ki akartam dobni az ubuntut (17.10) a laptopomról, hogy Debiant vagy FreeBSD-t tegyek fel helyette.
Természetesen(?) egyik sem volt hajlandó felmenni a secure boot miatt.

Tudatlanként inkább visszatértem Ubuntu LTS-re, mert nem mertem kikapcsolni a SB-t.
Feltéve, hogy megbízom a kiválasztott rendszerek készítőiben és csak saját repo-ból és általam megbízhatónak tartott forrásokból telepítek szoftvert, milyen rizikói lehetnek a SB hiányának egy kizárólag UEFI-s gépen?

Amíg be van kapcsolva, nem telepíthetek aláírás nélküli kernelt, sem kernel modult.
Elvben.
Gyakorlatban... csak egy példa: VirtualBox használ saját kernel modult. Ubuntu alatt csak akkor tudom felrakni bekapcsolt SB mellett, ha telepítek saját kulcsot és a frissen generált modulokat aláírom. LinuxMint is telepíthető, de ott már nem kell aláírnom ezeket a modulokat. Ha jól értettem, a kernel már dönthet úgy, hogy aláíratlan modulokat is elfogad, és a Mint kernele így van konfigurálva. (tévedés joga fenntartva!)
Ha ez valóban így van, akkor én úgy gondolom, a SB csak a kernel betöltéséig bír jelentőséggel, utána már a kernelre bízzák, hogy mit csinál, így _talán_ nem akkora veszteség a kikapcsolása.

De ez csak a saját, hiányos ismereteimre alapozott elképzelés.
Mi a valóság?
Google nem nagyon segített.

Inkább magyarázatot, mint segítséget kérnék: a laptopom logjában fedeztem fel, hogy a csomagszűrőn külső címről érkező TCP csomagok akadnak fenn.
Kb. ilyesmi:

jan 20 22:38:48 lat kernel: [UFW BLOCK] IN=wlp1s0 OUT= MAC=gépem:routeré SRC=172.217.18.78 DST=gépem címe LEN=1470 TOS=0x00 PREC=0x00 TTL=56 ID=57 PROTO=TCP SPT=443 DPT=45904 WINDOW=170 RES=0x00 ACK URGP=0

Többnyire ACK és RST flaggel jönnek.
Ez normális így?
A routerem korábban is csinált érdekes dolgokat, de úgy vettem észre, ilyen üzenetek csak a legújabb fw telepítése óta jönnek (tévedés joga fenntartva, nem őrizgettem a régebbi logokat)

ui: előre is bocs, a következő pár napban még szándékomban áll pár hasonló súlyú kérdést feltenni. :)

Pár napja Zsugabubussal dumáltunk arról, hogy lehet-e a Spectre ellen védekezni a nagyfelbontású timerek tiltásával.

Akkor abban maradtunk, hogy érdekesen nézne ki, ha ezeket en-bloc kivennénk a rendszerből, de nekem azóta is az forog a fejemben, hogy ha nem is egyszerűen kivenni, de pl. globálisan tiltani és privilegizált user által processzenként engedélyezni, azt nem lehetne?

A programok többségének nincs rájuk szüksége, tehát szerintem globálisan lehetne tiltani és amelyiknek meg igen, ott a megfelelő jogosultságok birtokában folyamatszinten engedélyezni.

Vélemények? Lehet jó? Totál szamárság? Működhetne, de...?

Blogok, infosec-es híroldalak, RSS, tévéhíradó, indexhu, éles rendszereim leállásai, stb.
(Ezt ugye lehetett volna szavazásként is, de sokkal több értelme van konkrét csatornákról beszélni, mint tudni, hogy a hupperek negyede mondjuk olvas blogot.)