Cégünknél a HTTPS kifelé ....

Internet, Közösségi média

mindenhova engedve van.
87% (263 szavazat)
alapból mindenhova tiltott, de vannak whitelist-elt oldalak. Kérni nem lehet a whitelist bővítését.
0% (1 szavazat)
alapból mindenhova tiltott, de lehet kérni kivételt (nem kell indokolni).
0% (1 szavazat)
alapból mindenhova tiltott, de lehet kérni kivételt (indokolni kell).
3% (10 szavazat)
mindenhova tiltott és kész!
0% (1 szavazat)
Egyéb, leírom.
9% (28 szavazat)
Összes szavazat: 304

( sz332 v | 2015. 11. 23., h – 16:29 )

a, mi értelme van a tiltásnak
b, pláne a mobil-internet korában

Meséld már el, hogy oldanád meg ezt a problémát, ha egy user hackerkedni,uszitani, bármi illegálisat akar tenni az interneten?
Számomra tökéletes megoldás, hogy ha már ilyet akar csinálni, akkor azt ne az én rendszeremen csinálja, ne nekem legyen vele utána problémám, hanem a sajátján.

De szivesen meghallgatom a te megoldásod a problémára, ha az enyém szerinted ennyire szar.

Nem Veled van problémám, hanem ezzel a ma oly' divatos gondolkodásmóddal, amit itt a cégnél is látok. Miszerint elég áttolni a problémát valaki másnak az asztalára, és onnantól le van sz*rva. Oka ennek persze az is, hogy egyre több minden ki van szervezve, a külső céget meg pláne nem érdekli a corporate érdek.

Meg aztán ott vannak a baltás megoldások. Egy a céghez közeli útszakaszon, amerre dolgozni járok, sajnos elütöttek egy lányt, aki meg is halt. Mit lép erre a hatóság? Kitettek egy hetvenes táblát. Mit is old ez meg? Semmit. Ugyanúgy száztízzel megy mindenki (miért is ne tenné, tök egyenes útszakasz, kietlen környék). Sebesség-ellenőrzés soha nincs ott, mert még a rendőr is érzi, hogy ez kikúrás a közlekedőkkel. Miért nem lehetett azt mondani, hogy szegény lány elb*szta és nem nézett körül, kilépett féktávolságon belül, vagy hogy az autós 90-nél is jóval többel ment, aztán kész. De nem, megy inkább a csakazértis-megoldás meg a túlkompenzálás. (Na jó, most kicsit elkanyarodtunk az eredeti témától.)

Lehet, hogy nagyon újhullámos vagyok; szerintem minden minden embereket is tartalmazó probléma esetén fontos a pszichológiai háttér és annak megértése.
Pl. ha felelős vagyok a hálózatért, akkor megpróbálom megérteni a különféle emberek viselkedését, motivációit és szükségleteit.
Miért fontos ez? Első sorban azért, hogy ne tekintse ellenségnek az IT-t, illetve magát a céget. Egész másként fog dolgozni, aki partnernek érzi a munkáltatóját.
Ráadásul mivel okafogyottá válik bármiféle trükközés vagy saját net használata, nem fog ellenőrizhetetlen csatornákon tevékenykedni.
Mindenhol vannak persze renitensek, és abban teljesen igazad van, hogy az ő tevékenységüknek elejét kell venni. De fontos, hogy e miatt a többiek ne szopjanak.

Ez egy vélemény. Csinálja mindenki a maga igénye szerint.

Én semmilyen párhuzamot nem találok a törvénysértő dolgok vállalati hálózatról, közvetlenül a törvénysértést elkövető emberre "tolás" és a gázolás miatti sebességkorlátozó tábla között. Szerintem előbbi tökéletesen oldja meg a problémát, oda "tolja" ahol a probléma van, a kérdéses userre. Nem másik userre, nem másik vállalatra, magára a törvénysértő userre. Továbbra sem értem mi a baj ezzel.

De, ha gondolod elmélkedhetsz rajta miért akar uszitani, gyűlölködni, hackerkedni és egyéb illegális dolgokat művelni a user a vállalati hálózatodon. (csak egy gyenge hint: mert megteheti és jó esetben meg is ússza. Hidd el, amikor már ő lesz közvetlenül felelős a tettiért, máris nem fogja csinálni)

"az ő tevékenységüknek elejét kell venni. De fontos, hogy e miatt a többiek ne szopjanak."

Semmi akadálya, hogy a szabályokat egyetlen userre/gépre tedd és a többieket békén hagyd. De ettől még ugyanaz marad az eredeti ténymegállapitás: vállalati hálózaton a korlátozásoknak igenis van értelme. Nemcsak hogy a mobilnet és okostelefon korában van értelme, hanem ott van csak igazán értelme. Mert ebben az esetben tudod pontosan az "elkövetőre" magára tolni a dolgot, vállalja a tetteiért a felelősséget, ne bújjon a vállalat(i hálózat) mögé.

Az értelme az, hogy ahol nincs tiltva, ott a céges hálózatba bárki ki-be járhat, bármiféle ellenőrzés nélkül. Megkockáztatom, hogy egy egyszerű logelemzés során biztosan kiderülne, hogy
sokan használnak, VPN-t, külső proxy-t, TOR-t, Logmein-t és/vagy egyéb hasonló - céges IT biztonság szempontjából katasztrofális - megoldást.

Ahol ilyen laza szabályozás van, ott nincs - és várhatóan soha nem is lesz - olyan hogy IT security.

--
zrubi.hu

"Ahol ilyen laza szabályozás van, ott nincs - és várhatóan soha nem is lesz - olyan hogy IT security."

Ez egy kicsit eros, nem gondolod? Az IT security meg szereny tudasom szerint is egy eleg tag fogalomkor, ami reszben magaban foglalja a szavazas targyat is, de azert ennel joval tobbrol szol. Pl. nalunk megoldhatatlan lenne egy ilyen szures, mert IT support cegkent annyifele weboldallal foglalkozunk, hogy nightmare lenne egy fekete/feher listat karbantartani (raadasul ma mar minden masodik eszkoz admin felulete csak HTTPS-sel erheto el). De ugyanez elmondhato barmelyik nagyobb webfejleszto cegre is.
--
Blog | @hron84
Üzemeltető macik

Ez egy kicsit eros, nem gondolod?

Valóban erős - de ettől még lehet igaz is :)
Nyilván a szűrésnek, és a fenti kijelentésemnek is csak akkor van értelme, ha a klienseid egy "védett hálózatban" vannak. Amennyiben a kliens hálózatot megbízhatatlannak nyilvánítod, és ennek megfelelően kezeled, akkor nicns semmi probléma, és a szűréseknek sincs túl nagy létjogosultsága (biztonsági szempontból)

Azonban onnantól, hogy te azt feltételezed (vagy az a cél), hogy a kliensek egy biztonságos hálózatba kapcsolódnak, onnantól igenis durva szsabályokat kell betartatni.

Disclaimer: I am not speaking on behalf of my employer, this is my personal opinion

--
zrubi.hu

A te terminologiad szerint mi szamit vedett halozatnak?

Hát, lássuk csak:
- bárki bármilyen eszközzel nem kapcsolódhat rá, és csak a saját MAC címével forgalmazhat
- a csatlakoztatott eszközök forgalma logolva van,
- más hálózatokat csak központi átjárón keresztül érhetnek el.
- más hálózatokból a gépeket direktbe nem lehet elérni

Ezen feltételek mellett már lehet arról beszélni, hogy a klienseket valami ellen képesek leszünk megvédeni és/vagy detektálni, ha nem az elvárt módon viselkednek.

bónusz:
- a kapcsolódó eszközökön kizárólag ellenőrzött/engedélyezett szoftverek futhatnak
- az ide csatlakoztatott eszközök alacsonyabb security szintű hálózatba NEM kapcsolódhatnak.
- ideális esetben a hálózatban lévő gépek egymással sem képesek kommunikálni
(Isolated PVLAN)

Szerintem.

--
zrubi.hu

Nem ilyen fekete-fehér, fentről lefelé haladva életből merített példával:

- MAC alapú szűrés gyakorlatilag felesleges, ennél erősebb kell,

- Van egy felhasználói méret, ahol ezt gyakorlatilag képtelenség kifizettetni a megrendelővel.
Szintenként 15 db 48-as portal rendelkező switch-eket felügyelünk, csak itthon 30 ilyen rendezőhelységünk van, ez a szervereink nélkül 21.000 db végpontot jelenti.
Hogyan kívánod ezek forgalmát monitorozni?

- A következő két pontot nem tudom értelmezni, NAT már csak azért is tiltva van, mert a hálózaton folyamatosan futtatunk vulnerability scanner-eket.

"NAT már csak azért is tiltva van, mert a hálózaton folyamatosan futtatunk vulnerability scanner-eket."

Bocs, ide mar nem tud kovetni a network security ismeretem. Elmagyarazod egy tudatlannak, hogy miert gond a NAT vulnerability scanner eseteben? Vannak tippjeim, de felek, hogy boduletes ostobasagok, ezert inkabb szeretnem tudni, te hogy ertetted.
--
Blog | @hron84
Üzemeltető macik

Nem, én voltam pontatlan.
Konkrét esetben adnak C-osztályos tartományokat, csak ezt használhatjuk a belső hálózatra, NAT és tűzfal ezen belül nem megengedett.
Előbbinek talán az egyértelmű felelősségben, utóbbinak pedig a vulnerability scanner-ek miatt van létjogosultsága.

Szia,
Csak egy apróságon akadt meg a szemem: Miért kellene ehhez a kettőhöz NAT?
Lehetséges egy gatewayyel és jól implementált routinggal is megvalósítani ezt a két kitételt, anélkül, hogy címfordításra lenne szükséged ( egyik sem követeli meg azt, hogy a védett hálózat IP-címét elfedjük szerinte... )
Üdv,
LuiseX
Szerk: Legalábbis, gondolom a direktben nem lehet elérni nem azt jelenit, hogy elfedjük a címet, hanem azt, hogy a gatewayen keresztül megy a forgalom mindenképpen...

Az IT security meg szereny tudasom szerint is egy eleg tag fogalomkor, ami reszben magaban foglalja a szavazas targyat is, de azert ennel joval tobbrol szol.

Valóban, tág fogalom, és nagyon sok része van, de csak a leggyenggébb pontja számít igazán.

Disclaimer: I am not speaking on behalf of my employer, this is my personal opinion

--
zrubi.hu

( szs v | 2015. 11. 23., h – 16:45 )

egyéb, leírom
certet hamisítanak és lehallgatnak (mitm), így állandóan nyomni kell a firefoxban a kivétel elfogadását, amiből már elegem van

Nem helyi CA, hanem egy root CA amit trustolsz a kliensen amely root CA utána dinamikusan állitja ki a cert-eket az adott site-ra, amit a user éppen néz. (úgyértve, hogy ez a root CA irja alá a dinamikusan generált cert-eket)
Onnantól a böngésző már nem sir semmit, lazán elhiszi, hogy a távoli szerverrel beszélget, pedig nem.

Firefox-on mondjuk pont nem nagyon lehet (vagy nem tudok róla) központilag CA-t trustoltani, szemben mondjuk az IE-vel ami a gép/user certificate store-ját használja amibe két kattintás group policy-ból központilag betolni egy CA-t.
Elég kényelmes volna, ha rá lehetne venni a firefoxot valami beállitással, hogy a központi certificate store-t használja a sajátja helyett, de tudtommal nem tud ilyet.

"Onnantól a böngésző már nem sir semmit, lazán elhiszi, hogy a távoli szerverrel beszélget, pedig nem"

Bocsánat, nem vagyok advanced ilyen dolgokban. Ez azt jelenti, hogy egy munkahelyi gépen, amikor mondjuk a gmail-t vagy az otbank weboldalát megnyitom https-sel, akkor lehet, hogy a munkahelyem a küldött adatokat gond nélkül kicsomagolja és így pl látja plain text-ben vagy akár ki is logolja a jelszavamat, amit beírok a google-nek vagy az otp-nek?

Ha így van, hogy tudom megállapítani biztosan, hogy ez történik-e vagy a https kapcsolat biztonságos-e?

Úgy, hogy megnézed az oldal tanúsítványát, különös tekintettel a kiállítóra. Minden böngésző lehetőséget ad a tanúsítvány megnézésére, és ott a tanúsítványláncot is végig lehet követni. Általában a céges 'fake' root CA esetén a nevébgől is kiderül, hogy nem az eredeti root CA.

Egyébként cégfüggő a dolog, de jellemzően ahol van ilyen megoldás, ott pl. a pénzügyi és egyéb, erősen privacy oldalak kivétellistán vannak, azokat nem bontják fel (aztán vagy engedik, vagy nem).

> Ez azt jelenti, hogy [...] a munkahelyem a küldött adatokat gond nélkül kicsomagolja és így pl látja plain text-ben vagy akár ki is logolja a jelszavamat

- Igen, ezt jelenti. Hamisít egy cert-öt, amit aláír egy saját root cert-tel, ami trusted a gépeden.
Víruskeresők is telepítenek ilyet, hogy tudják analizálni a forgalmadat.

Info:
http://www.wilderssecurity.com/threads/rcc-check-your-systems-trusted-r…
Az itt hivatkozott programmal meg tudod nézni a trusted cert-öket (http://trax.x10.mx/apps.html).

> Ha így van, hogy tudom megállapítani biztosan, hogy ez történik-e vagy a https kapcsolat biztonságos-e?

- Megnézed a certificate fingerprintjét a böngésződben (az alábbi linken le van írva melyikben hogyan), és összehasonlítod egy megbízható hely, pl. a
https://www.grc.com/fingerprints.htm
által lekérdezettel. Ha egyeznek a fingerprintek, akkor nem spoofolják.

Azt még meg kell jegyezni, hogy az EV cert-öket nem lehet (észrevétlenül) spoofolni (parasztosan mondva ezek azok, ahol a címsorban zölddel megjelenik a tulajdonos azonosítója a lakat mellett - lásd pl. https://otpbank.hu).
A rendes browsereknek ugyanis van egy beépített listájuk azokról a CA-kről, akik aláírhatnak EV-t.
(Persze Internet Explorer esetében ez nem igaz, de hát aki olyat használ, az meg is érdemli.)
Spoofolt EV cert esetén a kapcsolat továbbra is biztonságosnak látszik, de eltűnik a kis zöld státusza.
Röviden: ami zöld, az nem spoofolt (kivéve IE-ben).

a) céges gépet a céges IT telepíti image-ből, amiben már benne van a céges CA cert.
b) ha saját eszközt hozol be (vagy magad újratelepítetted a gépedet, vagy mondjuk Linuxot tettél rá dualbootban), amikor a céges hálózathoz akarsz csatlakozni, akkor van egy howto, aminek az egyik lépése valami belső weblapról CA cert letöltése, amivel utána már lehet a rendes hálózathoz csatlakozni.

Így szokták. De az EV cert-eket általában nem spoofolják. Gáz is lenne mondjuk egy otpbank.hu-s kapcsolat kibontása.

Egyébként ha jóban vagy valamelyik IT-ssel, ad neked olyan wifi jelszót, ami elkerüli a proxyt. Ezen persze a LAN és az intranet nem elérhető, de hát ugye routing tábla...

( zrubi v | 2015. 11. 23., h – 20:54 )

Nálunk a céges policy azt sem engedi, hogy erről nyilatkozzak.

--
zrubi.hu

( Ago | 2015. 11. 23., h – 20:59 )

SSL proxy, https kibont, sima http vizsgál, visszacsomagol és mehet a kliens felé. Tűzfal CA-ja Trusted root CA a klienseken.

Ez tök jó, ilyet mi is csinálunk, de őszítőén ha egy keylogger miatt elviszik az ügyfél számlájáról a zsé-t, akkor mit mondasz majd? (mielőtt, más mondja, mi is csinálunk ilyet ... a hálózati forgalom szűrés miatt, de ez sajnos később nehezen védhető!)

ui: ahogy a bank vizsgálódni kezd és előkerül az <én_bankom_tld> domain helyett a Te tanúsítványod volt használatban, akkor elég hamar vert helyzetben vagy ha nincs róla papírod, hogy ez így frankó volt és mindenki tudta előre, hogy ez lesz ... akkor esélyed sem lesz megvédeni az igazadat, mert MiTM proxyt csináltál - a felhasználóid tudta nélkül - ahogy a támadok is ...

a felhasználóid tudta nélkül

ez a lenyeg: nem irattad ala a juzerekkel, hogy te ilyet csinalsz, es hogy megertettek, hogy annak mi a kovetkezmenye pl. netbankolasnal. Igy nem is kell biztonsagi incidens, tuti buko, ha kiderul a turpissag. Mert hogy ebben az esetben nem halozati forgalom szuresrol van szo, hanem turpissagrol.

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Transzparens proxy eseteben nem tudja, h el van teritve, raadasul ha a CN jo, akkor elhiszi, hogy jo helyre konnektal. Altalaban a bongeszok nem tudjak, hogy melyik oldalnak kinek kell lennie a cert issuernek, CN-t es issuer-t neznek, ha az stimmel, akkor go on.
--
Blog | @hron84
Üzemeltető macik

( lilo v | 2015. 11. 23., h – 22:20 )

Ügyfél függő:
- van ahol mindet szabad
- van ahol ssl white list van
- van ahol white list van (mindenre nem csak ssl-re)
- van ahol blacklist van (sslre vagy sima http-ére és/vagy)
- van ahol nincs default route és nincs beállítva proxy a védett gépeken (így talán nehezebben találnak ki a netre :))
- van ahol nincs net a védett zónában
- és van ami "nincs" :)

( hnsz2002 v | 2015. 11. 24., k – 09:10 )

Véleményem szerint manapság már semmi értelme a policynek és a tiltásnak. Pl. ott a mobilnet, vagy egyszerűen felkapcsolódik egy wifire, akár az adott cég free wifijére, ahol ugyanúgy ki van engedve.
Ha meg trükkös, akkor HTTP-n tunnelezi, vagy áthúz rajta egy vpn-t, vagy akár icmp-n.
--
The Community ENTerprise Operating System

( hzsolt94 v | 2015. 11. 24., k – 09:12 )

Mindenhova engedve van, de a proxy mindent logol (mitim)

( Caro | 2015. 11. 24., k – 18:58 )

Magánvéleményem szerint nagyon rossz gyakorlat a https törése. Security szempontjából hogyan indokolható? Mi az, amit kliens oldali védelemmel nem lehet szűrni? Mert eddig csak ezt az egy legitim érvet hallottam a használatára.
Ha admin lennék, és nem akarnám hogy kérdéses oldalakat nézzenek a userek, akkor IP whitelistet csinálnék, minden más tiltott lenne. De én ennek kevés értelmét látom.

Mi az, amit kliens oldali védelemmel nem lehet szűrni?

A kifelé irányuló adatokat. Az olyan zero-day exploitokat, amelyre a kliensoldalon nincs minta a víruskeresőben, de heurisztikus algoritmusokkal (amelynek viszont az erőforrásigénye vagy a licencköltsége túl magas ahhoz, hogy minden kliensen ott legyen) kiszűrhetőek. Ha olyan szűréseket akarsz megoldani, hogy mondjuk gmail olvasás mehet, írás nem (4G tűzfalak képesek ilyenre). És még lehetne sorolni.

20 éve szkeptikus vagyok az ilyen víruskereső heurisztikus algoritmusokkal kapcsolatban (meg az egész AV iparággal), de ha megkérdezik, hogy melyik lehetne hatékonyabb: az adott hoszton működő megoldás, vagy egy közbenső hálózati tűzfalon, akkor egyértelműen az előbbire voksolnék... Utóbbi már csak a hálózati csomagokat látja legtöbb esetben, előbbi meg a teljes futó környezetet, az indított programokkal és azok memória címterével. Ha valamit, akkor a zero-day exploitokat a hoszton van nagyobb esély megfogni, nem egy tűzfalon.

Ennek ellenére mindegyik nehéz feladatnak ígérkezik és nem a víruskeresők rá a jó válasz.

hogy mondjuk ugy tudom hogy titkositva kapcsolodok, nyugodtan megadom a jelszavaimat es egyeb szemelyes adataimat a titkositott kapcsolaton keresztul, mikozben te azt uzemszeruen lehallgatod, olyan modon, hogy hamisitott certificateket epitesz a bongeszobe, hogy el legyen fedve elottem a teny, hogy kompromittaltad az altalam titkositottnak hitt csatornat?
hat, ehhez nem kell jogasznak lenni...

nem kell jogásznak lenni, és én is úgy gondolom, hogy ez így van, nem is vontam kétségbe. csupán a dolog egzakt jogi hátterére lennék kíváncsi.

alias killall='echo "Wenn ist das Nunstück git und Slotermeyer? Ja. Beiherhund das Oder die Flipperwaldt gersput." | espeak -vde' #That's not funny.

mondom, nem vagyok jogász, de én ezen a vonalon indulnék el:
- magántitok jogosulatlan megsértése
http://cegvezetokklubja.hu/2009/03/6-az-adatvedelem-buntetojogi-vonatko…
- személyiségi jogok megsértése
- levéltitok megsértése
- csalás bűntette előkészülete, csalás Btk definíciója lásd alább; arra gondolok, hogy ha később a titkosított csatorna feltöréséből eredendően kár származik, akkor bizony megvalósul az alábbi definíció szerinti csalás, hisz tévedésbe ejtette és tartotta a felhasználót abbéli hitében, hogy titkosítottan kommunikál. Mindehhez relative bonyolult MitM támadást valósított meg, üzemszerűen, foglalkozás körében elkövetve (minősített esetek).
"Btk. 373. § Csalás
373. § (1) Aki jogtalan haszonszerzés végett mást tévedésbe ejt, vagy tévedésben tart, és ezzel kárt okoz, csalást követ el."
- jogosulatlan titkos információszerzés
"A Btk. 227/A § alatt megjelölt "jogosulatlan titkos információgyűjtés" elnevezésű bűncselekmény bűntetési tétele azonban mind a lehallgatást végző személyre illetőleg a lehallgatás elrendelőjére nézve is 5 év szabadságvesztés lehet."

szerintem ezek közül egyik sem feltétlenül áll fenn abban az esetben, ha mitm lecserélsz minden certet, a kibontott csomagokat pedig válogatás nélkül tárolod, és nem nézed meg a tartalmukat. de lehet, hogy tévedek.

amúgy ezt vajon mennyire lehet bebiztosítani azzal, hogy bejelentkezéskor az arcodba tolnak egy üzenetet, miszerint a tevékenységedet monitorozhatják?

alias killall='echo "Wenn ist das Nunstück git und Slotermeyer? Ja. Beiherhund das Oder die Flipperwaldt gersput." | espeak -vde' #That's not funny.

"szerintem ezek közül egyik sem feltétlenül áll fenn abban az esetben, ha mitm lecserélsz minden certet, a kibontott csomagokat pedig válogatás nélkül tárolod, és nem nézed meg a tartalmukat. de lehet, hogy tévedek."

határeset. az "előkészülete" viszont biztos, hogy megvalósul...

"amúgy ezt vajon mennyire lehet bebiztosítani azzal, hogy bejelentkezéskor az arcodba tolnak egy üzenetet, miszerint a tevékenységedet monitorozhatják?"

szerintem nem nagyon, ez nem amerika. :)

Nem vitatkozni szeretnék, hanem informálódni. :-)

Adsz nekem egy linket arra a bizonyos ombudsmani állásfoglalásra? Valszeg kb. ki is lennék vele segítve. Köszi!

alias killall='echo "Wenn ist das Nunstück git und Slotermeyer? Ja. Beiherhund das Oder die Flipperwaldt gersput." | espeak -vde' #That's not funny.

Szerintem cert hamisításra ez se ad engedélyt, most nem arról van szó, hogy monitorozod a forgalmat. Itt titkosított csatornákba middle man-ként bele mész. Ha ez legális is (mert ez se biztos), az 100%, hogy nagyon nem etikus, ha tiltani akarod tiltsd le, de más certjét nem hamisítjuk.

Szia,
Bocsáss meg, hogy belekötök,de ilyen esetekben nem hamisítanak certet. Mindössze az történik, hogy te lekéred a proxyiról a https://kicsicsibe.com-ot, ő meg kiszolgálja a https://kicsicsibe.com-ot, csak épp a saját certjével.
Kicsit méginkább a háttérbe nézve, hogy te kapcsolódsz https-el a proxyhoz , az veszi a kéréseidet, és új kapcsolatot nyit a cél weboldallal, nem pedig tunnelezi a kapcsolatod.
Sehol nem történik itt hamisítás, még azt is megnézheted, hogy a kicsicsibe.com helyett az enpicicegem.com certje virít ott. És, általában nem is tagadják azok a cégek, akik ezt teszik.
Üdv,
LuiseX

lehet, hogy a dolog másik oldala érdekel... mármint az, hogy mit tudok tenni, ha huncutkodnak a certekkel a munkahelyemen? természetesen csak teoreretikusan.

alias killall='echo "Wenn ist das Nunstück git und Slotermeyer? Ja. Beiherhund das Oder die Flipperwaldt gersput." | espeak -vde' #That's not funny.

+1
Volt szerencsém látni ilyet kétszer is. Mindkét tagot a dac vezérelte és bíróságra ment.
Vesztes helyzetből indulsz, mert okokat és tanúkat mindig lehet találni, színházat könnyen lehet csinálni. Ellenségei is mindenkinek vannak, akik ilyenkor jól jönnek asszisztálni.
Fölösleges ez a magas röptű jogi fejtegetés amit itt néhányan csinálnak. A munkavállaló és munkáltató közötti viszony még mindig első sorban bizalmi alapú. Ha ez a bizalom bármelyik oldalról meginog, jobb búcsút inteni egymásnak. Tudjátok, hogy van ez, nincs értelme kifordítani.

Céges policy tekintetében szerintem jó, ha van egy alapszabály, mert a hülyéket meg kell védeni önmaguktól. Olyan embernek magam sem adnék admin jogot meg p2p enabled kapcsolatot, aki egy ismeretlen ímélben minden linkre rákattint, mert azt úgy kell. Az értelmesebbjét viszont kár szivatni azzal, hogy ugyanúgy gyerekként kezeled. (A legértelmesebbjének meg úgyis van admin joga a saját gépén 5 perccel az átvétel után.)

Nem szeretem, amikor nagyon erőltetik ezt a mindenki egyenlő maszlagot. Eleve mindenkinek más az esze, belátása, normái. Pl. ha globál engedélyezed a p2p-t, biztos volna, aki SMS-paid seed szervert üzemeltetne a céges hálón; míg a másik oldalról nézve simán lehet, hogy egy kollégának pont torrentről a leggyorsabb valamit lehúzni a munkájához. Ha letiltom a youtube-ot, igaz, hogy megakadályozom, hogy a függők macskás videók nézegetésével töltsék el a napot, viszont esetleg meggátolok kollégákat, hogy howto-kat vagy tutorialokat keressenek.

Nincs globális igazság. Minden esetet egyedileg jó elbírálni, az illető kollégát ismerve. Persze ez munka és fáradság, de hát emberek vagyunk, és együtt dolgozunk.

( pozsy v | 2015. 11. 26., cs – 13:47 )

El tudná valaki mondani, hogy ennek mi értelme van?

Szerintem is butaság, amikor letiltják mondjuk a gmailt meg pár commonly used dolgot a corporate hálón.
Másfelől viszont szükség van a hálózat védelmére. Sokszor odabent egységsugarú userek kattintgatnak mindenféle linkekre a spamekben, phishing oldalakra tévednek, malware-t szopnak ben. Ha Te felelsz a hálózatért és a gépekért, bizony mindent meg akarsz tenni, hogy ezeket elkerüld.
A két dolgot sokan összemossák - illetve a legtöbb user csak annyit vesz észre, hogy bizonyos oldalak nem mennek.

( toshi_sanyoshi | 2015. 11. 27., p – 10:40 )

Nem fizetnek és így nem lehet új tanúsítvány. Sok eszük van, de pénzük az kevés.