Αναζήτηση:

Θα μπορουσε να μοιραστει καποιος τα admin στοιχεια για το HG8145v5 μαζι μου; Ειμαι NOVA.

Εδω δεν μπορουμε να φτιαξουμε μοντερνες ταυτοτητες και κυκλοφορουμε με τις χαρτινες ακομα, θα φτιαξουμε και τσιπακια; Να βαλουμε προτεραιοτητες.

Μηπως θελουν να το βαλουν οσο πιο κοντα στο floorbox λογω οικονομιας υλικων; Γιατι εμενα το χωλ μου ειναι μολις μπαινεις αρα κοντα στο floorbox.

Και ομως οχι, το floorbox ηταν κυριολεκτικα μια ευθεια απο το παλιο πριζακι, εκει που μπηκε εν τελει δηλαδη. Ο αλλος ηθελε να κανει κυκλο, να το περασει πανω απο την πορτα του διαμερισματος μαλλον για να αποφυγει καλωδια και να το βαλει στο σαλονι οπου δεν υπαρχει ευκολος τροπος να περασω το ethernet για μεσα μετα. Ειλικρινα απλα δεν ηθελε να κανει τη δουλεια.

Αυτο με το wifi μου το ειπαν και μενα εμεις στη βαζουμε
την οπτικη εκει που ηταν το παλιο πριζακι τηλεφωνου και απο εκει και περα εσυ θα περνεις με wifi. Φυσικα επεμεινα οτι το θελω εκει που το θελω εγω επειδη δε συνδεω τιποτα με wifi εκτος του κινητου και ολα τα εχω με καλωδιο. Δεχτηκαν εκαναν καλη δουλεια και ολα καλα...

Μα το αστειο ειναι οτι κι εγω, εκει που ειναι το παλιο πριζακι ηθελα να το βαλει, εκεινος δεν ηθελε :P

Τελος παντων, ηρθαν σημερα, μπηκε η ινα
242862

Σιγουρα ηταν τεχνικος ;; Υποτιθεται ολα ηταν κλειστα, αφου ηταν αργια.

Εχεις δικιο, πρεπει να ηταν Πεμπτη 27/10. Δικο μου λαθος. Αλλα ναι ηταν απο τη Wind, ειχαν παρει και τηλεφωνο να ενημερωσουν. Τωρα αν ηταν τεχνικος η οχι ειναι αλλη συζητηση.

Γενικα ο ενας ριχνει το μπαλακι στον αλλον για τις καθυστερησεις και αυτο που καταλαβα ειναι οτι αν δεν τους τρεξεις δεν κανεις δουλεια...
Εγω εκανα 4 μηνες για να συνδεθω συνολικα και 2 μηνες απο τοτε που τελειωσε καθετη εγκατασταση...

Δες την υπογραφη μου για καταλαβεις...

Ο,τι για εμας φαινεται πολυ απλο, για εκεινους ειναι ολοκληρη γραφειοκρατια και ποσο μαλλον στην περιπτωση σου που αντι να πας ΟΤΕ που εχει το δικτυο, πας σε αλλον...

Κι εγω Ιουνιο εκανα αιτηση στη Wind και ακομα να συνδεθω, με τηλεφωνο καθε βδομαδα σκεψου. Ηρθε ενας να με συνδεσει την Παρασκευη 28/10, τεχνικο δεν τον λες, κοιμισμενος ηταν. Σορρυ αλλα ο ανθρωπος ειπε να μου περασει την οπτικη στο σαλονι και να παιζω με wifi, γελανε και οι πετρες. Τελικα θα ερθει αυριο "εξειδικευμενο συνεργειο" να με συνδεσει. 5 μηνες για συνδεση.

χαχα η αληθεια ειναι οτι το εχω αναφερει ξανα αλλες 2-3 φορες απλα τωρα το βλεπω με συχνοτητα καθε 2λεπτα.. εχει γεμισει ολο το log... και αυτο ειναι το περιεργο... δεν χαλιεμαι για κατι.. γνωριζω οτι μπορει να ειναι bots απλα μου κανει αρκετη εντυπωση και γιαυτο ρωταω μηπως και το βλεπει και καποιος αλλος απο το πρωι μεχρι τωρα που συμβαινει αυτο...!

ειναι αλλο να βλεπεις 2-3 και αλλο να γεμιζει ολοκληρο log... και σημασια να μην θελω να δωσο σε κατι τετοιο δεν γινεται :lol:

Τσαμπα αγχωνεσαι. Εξαλλου δεν χακαρανε Vodafone GR αλλα Vodafone γενικα και μαλιστα παιζει να μην τους χακαρανε καν. Βασει του telegram τους 235797 οποτε ειναι πιθανο απλα να αγορασανε/κλεψανε credentials για τα github repos. Επισης δεν εχουν γινει leak ακομα, αρα δεν ειναι ευρεως διαθεσιμα σε ολους για να κανουν exploit καποια ευπαθεια στα routerακια της Vodafone ας πουμε.

Τι θα πει διερευνα;

Αν ελεγε διαψευδει, οκ. Διερευνα σημαινει οτι δεν ξερει καν αν οι ισχυρισμοι ειναι αληθεις...

Συνηθως ετσι γινεται. Εφοσον τα δεδομενα δεν εχουν βγει ακομα για να ελεγξει αν οντως ειναι πραγματικα, πρεπει να κανει τρελο ελεγχο για να δει εσωτερικα οτι οντως υπηρξε εισχωρηση στο δικτυο τους και υποκλοπη δεδομενων.

Απο το κανενας δεν το εχει ανοιχτο, πηγαμε στο πολλα ανοιχτα, κατι ειναι και αυτο, κανουμε προοδο :p

Εγω δεν ειπα ποτε οτι δεν το εχει κανενας ανοιχτο. Εγω ειπα τα σοβαρα site εννοωντας μεγαλους οργανισμους που ενδιαφερονται για την ασφαλεια της υποδομης τους.

Τι εγινε, αλλαζεις τους κανονες τωρα; Γιατι ξαφνικα μιλαμε για web servers μονο; Επισης, που ειδες το root access; Κανενας νοημων admin δεν εχει root access απευθειας, ολοι απαιτουν να συνδεθεις ως απλος χρηστης πρωτα.

Αυτο μην το λες. Ειναι πολλα τα ανοιχτα SSH με root εκει εξω.

NASA, για παραδειγμα.

- - - Updated - - -

Αν δεν με πιστευεις, δες το και μονος σου. Οχι μονο ανοιχτο, αλλα το διαφημιζει σε public-facing pages.

Ωραια, μισο λεπτο γιατι υπαρχει μια παρανοηση. Δεν μιλαμε για υπηρεσιες που χρησιμοποιουνται για ειδικους σκοπους, (πχ. για εκπαιδευτικους λογους, συγκεκριμενα υπολογιστικα συστηματα/εξοπλισμο) που υπαρχει πολυ ειδικη και περιορισμενη προσβαση συγκεκριμενου σκοπου. Μιλαμε για SSH σε web server για λογους διαχειρισης του ιδιου του server με root προσβαση. Η NASA στο συγκεκριμενο προγραμμα που εστειλες δινει προσβαση σε πολυ συγκεκριμενα προσωπα και ο λογαριασμος φτιαχνεται εξ ολοκληρου απο τη NASA και το access που δινει ειναι περιορισμενο. Τη στιγμη που παρατηρηθει κατι εκτος scope, μπορουν να κλειδωσουν καθε προσβαση του account στο λεπτο. Επισης αυτα τα συστηματα ειναι φτιαγμενα για να τρεχουν simulations για το κλιμα, δεν εχουν κρισιμες πληροφοριες της NASA.

Δεν υπαρχει καποιος ιδιαιτερος λογος ενας κακοβουλος χρηστης να επιτεθει σε αυτο το SSH, ακομα και αν παρει προσβαση δεν θα κερδισει κατι.

Τι λετε ωρε κλεφτοπουλα; Το SSH ειναι απαραιτητη λειτουργια, σοβαροτατες εταιρειες το εχουν προσβασιμο σε ολο τον κοσμο στην πορτα 22. Αν ειναι δυνατον να διαβαζουμε σε τεχνολογικο site αποψεις οτι η μονη ασφαλεια ειναι η σπηλια.

Ενα παραδειγμα μιας σοβαροτατης εταιρειας που το εχει προσβασιμο;

Προφανως και το VPN θα ειναι ανοιχτο στο internet, αυτη ειναι η δουλεια του αλλωστε, αλλα το VPN εχει καλυτερη διαχειριση στην αυθεντικοποιηση απ' οτι το SSH. Οπως και να εχει η βελτιστη πρακτικη ασφαλειας ειναι αυτες οι υπηρεσιες να μην ειναι ανοιχτες προς το διαδικτυο σε καμια πορτα. Το να ανοιξουμε SSH στην πορτα 3389 πχ δεν κανει την υπηρεσια πιο ασφαλη επειδη ο αλλος θα ψαξει SSH στην 22, θα σκαναρει common ports και θα βρει το SSH να τρεχει στην 3389.

Τετοιου ειδους υπηρεσιες καταχραζονται καθημερινα διοτι δεν χρησιμοποιουνται σωστες πρακτικες ασφαλειας εναντιον brute force και με αδυναμα passwords χωρις certificates. Γι αυτο το λογο τραβανε και τα βλεμματα οταν εμφανιζονται ανοιχτες.

Αυτο το Log του sshd, θα το δεις σε οποια πορτα και να τον εχεις, που αναγκαστικα θα το εχεις σε καποια και καποια στιγμη με το Port scan που γινεται κατα 100δες θα την βρουνε.

Μην μου πεις πως κανενα σοβαρο site δεν εχει ανοιχτο ssh γενικα

Κανενα site που εχει το security κατα νου δεν πρεπει να εχει SSH, οπως και διαφορες αλλες υπηρεσιες, προσβασιμες απο το internet. Ειναι ο πρωτος κανονας της ασφαλειας. Οταν εχεις εναν web server αφηνεις ανοιχτο μονο τις web υπηρεσιες(HTTP/HTTPS). Για να εχεις ασφαλη προσβαση σε server απομακρυσμενα για λογους διαχειρισης, χρησιμοποιεις πιο ασφαλεις μεθοδους για να συνδεθεις, οπως πχ καποιο VPN απο το οποιο θα μπορεις να κανεις SSH η οτιδηποτε πανω στο server.

Αν εχεις σε ενα server 1.000 τετοια unique ip να προσπαθουν να κανουν ssh ποσα incident θα μετρουσες ?
Στο δικο μου server εχω 1.000 τεταοια την ημερα. To cosmote.gr που ειναι το #50 site στην Ελλαδα, ποσα θα εχει ?

Κανενα γιατι το cosmote.gr, οπως και καθε σοβαρο website, δεν εχει ανοιχτη πορτα 22.

Εχεις Insider info ?
Αυτο το entry στο auth.log πως θα το χαρακτηριζες ? Μουφα ?

sshd: Invalid user xxxxxx from xxx.xx.xxx.xxx port 46570

Οι περισσοτερες "επιθεσεις" που γινονται καθημερινα ειναι port scan απο διαφορους, ειτε κακοβουλους ειτε οργανισμους(Shodan κλπ), για να δουν τι πορτες ειναι ανοιχτες. Αυτο δεν θεωρειται επιθεση sorry. Τωρα αν εσυ εχεις αφησει ανοιχτη στο δικτυο καποια πορτα και βαρανε αβερτα brute force, μαλλον πρεπει να κλεισεις την πορτα :P
Ελπιζω παντως οτι η COSMOTE δεν εχει ανοιχτο SSH η αλλες σημαντικες και αχρειαστες πορτες στο ιντερνετ.

Ακομα και αν πεις οτι πιανουν ολες τις επιθεσεις που περνανε πανω απο το δικτυο τους, χωρις να εχουν στοχο την ιδια την εταιρεια(που δεν εχει κανενα νοημα), και παλι το νουμερο ειναι εξωπραγματικο. Αν ελεγε 5000 θα ηταν πιο πιστευτω αν και παλι ειναι τεραστιο νουμερο.

Αυτες τις 500 χιλιαδες επιθεσεις εχω απορια πως τις υπολογιζουν.

Εχουν ενα συστημα που δημιουργει alerts αναλογα με την επιθεση. Μουφα metric αφου τα περισσοτερα θα ειναι False Positive, απλα για να πουν οτι δεχονται πολλες επιθεσεις.

Ρε παιδια, για να καταλαβω.
Αντε και σου κλεψουν τους κωδικους.

Το επιβεβαιωτικο sms αν δεν εχουν το κινητο σου,
πως θα το υποκλεψουν;

Γενικα το SMS δεν ειναι το πιο ασφαλες μεσω που υπαρχει, το αντιθετο μαλιστα. Μην ξεχνας οτι πολλες εφαρμογες διαβαζουν αυτοματα τον κωδικο που σου στελνουν σαν SMS μεσω Google services. Δεν ειναι δυσκολο λοιπον μια κακοβουλη εφαρμογη να διαβαζει τα SMS σου.

Δηλαδη, εγω που δινω καθε φορα εγω ο ιδιος, τους κωδικους μου, στην εφαρμογη της winbank στο κινητο, πως κινδυνευω απο αυτο, αν πουμε οτι κατα λαθος εγκατασταθηκε στο κινητο μου;

Το malware ειναι keylogger, που σημαινει οτι καταγραφει αυτα που γραφεις στην εφαρμογη (username, email, κωδικο κλπ). Επισης καταγραφει οτι φαινεται στην οθονη. Εν ολιγοις, στελνει το username και το password σου σε ανθρωπους που θελουν προσβαση στο ebanking σου.

δεν καταλαβαινω γιατι να επιλεξει καποιος μια αλλη εφαρμογη 2FA εκτος απο της microsoft η της Google

Εγω προσωπικα χρησιμοποιω αυτο σε συνδυασμο με KeepassXC/KeepassDX για TOTP.

Τον αριθμο της καμπινας πως τον βρισκουμε;

Στο κουτακι της Wind δεν υπαρχει καποιο νουμερο. Υπαρχει καποιος σχετικος χαρτης;

Εγω εχω αυτο, δεν ξερω αν υπαρχει πιο ανανεωμενο καπου.

2022/Q2... αντε να δουμε...

Καιρος ηταν

Ααααα, αυτο εννοειτε. Εεε, ναι, φτωχικα μας εχουν εμας εδω... :rofl:

Τι να πουμε κι εμεις...

ναι υστερα απο αρκετο τεστιν απο οσο φαινεται ολα δουλευουν εκτος απο το app της συγκεκριμενης τραπεζα απο την οποια δεν ερχεται το sms ταυτοποιησης... τωρα το μονο που απομενει ειναι να παω να αγορασω 2ο κινητο η και να μιλησω με vodafone...

Αν δεν παιζει το app της συγκεκριμενης τραπεζας στο κινητο, θα σου προτεινα να επικοινωνησεις με την τραπεζα.

Επειδη ηδη σκαβουν Κεντρο, Κολωνο, Πετραλωνα κτλ που ειναι ολα στον δημο της Αθηνας δεν μπορω να φανταστω οτι δεν εδιναν αδεια και για Κυψελη.. :cool:

Ασε που ο δημος μας τρεχει τωρα γενικο προγραμμα για ασφαλτοστωσεις παντου..
και φανταζομαι θα ηθελε πολυ να ειχε ξεμπερδεψει ηδη η Wind! :cool:

Νομιζω οτι τον καθυστερει η Wind!

Μερικες φορες δουλευουν σχεδον μαζι οι εργολαβοι..
Μπροστα η Wind και απο πισω ριχνει ασφαλτο ο δημος! :cool:

Θα σου ελεγα κατι για το δημο μας αλλα δεν ειναι της παρουσης... Μην ξεχναμε οτι πριν 15 μερες εγινε εξαγορα της Wind απο την UG οποτε παιζει να ασχολουνται με τη συγχωνευση με τη NOVA για κανα μηνα.

Και καταιδρωμενη να προσθεσω. Η μεση ταχυτητα 29Mbps που λεει ειναι 2μιση φορες πιο γρηγορη απο τη δικη μου συνδεση και ειμαι στο κεντρο της Αθηνας...

Azure η AWS ? :p

Google :p

Αντι-ανταγωνιστικη συμπεριφορα η Google; αντε καλε, πεφτω απο το cloud.

Καλησπερα,

Κατοχος Poco f2 Pro. Το εγραψα και στο thread της POCO αλλα δεν βλεπω κινητικοτητα.

Σε επικοινωνια με τη Vodafone χθες για ενα προβλημα ταχυτητας στο κινητο, η τεχνικος της Vodafone μου ανεφερε οτι η συσκευη δεν ειναι πιστοποιημενη για 5G και θα πρεπει να γινει update απο τον κατασκευαστη σε συνεργασια με τη Vodafone. Οντως, παρολο που εχει ενδειξη 5G, στο speed test που κανω φαινεται οντως 4G+ LTE-A δικτυο. Σε test με μια δευτερη Cosmote καρτα που εχω, δεν εχει ενδειξη 5G αλλα η ταχητητα ειναι 3πλασια απο της Vodafone.

Εχει συναντησει κανεις κατι παρομοιο; Εχει δοκιμασει κανεις 5G Vodafone με Poco F2 Pro να μου πει αν εχει παρομοια εμπειρια; Μου ειπε παπατζες απο τη Vodafone; Αν δεν μου ειπε, μπορω να κανω εγω κατι με τη Xiaomi/Poco για να το δουν;

και να ριξετε φυλαδια ολοι θα θελουν οπως αλλωστε ειναι λογικοτατο να μαθουν ΠοΤΕ θα εχει διαθεσιμοτητα και αυτη ειναι αγνωστη.
Εγω θα ελεγα να πατε οπου θελετε και οταν θα εχει ιναλαν βαζετε τοτε, αν ειστε με συμβολαιο περιμενετε να ληξει.
Καπως ετσι ειχα κανει και εγω, αλλα τελικα δεν ηρθε οταν εληξε το συμβολαιο μου με novα, τελικα εμεινα αοριστου χρονου (κατοπιν συμφωνιας μαζι τους) και μετα απο 3 χρονια με ιναλαν αφου ειδα οτι ειμαι 100% ευχαριστημενος χωρις προβληματα τοτε διεκοψα εντελως την pstn δλδ προσφατα.

Ουτως η αλλως δεν υπαρχει αλλη επιλογη. Η ελπιδα ηταν να ερθει η Inalan πριν βαλει η Wind οπτικες ινες στην περιοχη, το οποιο φυσικα πηρε μερικα χρονια παραπανω απ' οτι ηταν αρχικα σχεδιασμενο. Αυτη τη στιγμη ειμαστε ολη η περιοχη 24αρα και στο οποιος ερθει πρωτος, με εξαιρεση τους τυχερους που εχουν ηδη Inalan.

Εχει ενεργοποιηθει ο νεος κανονισμος; θυμαμαι οτι ηταν προς ψηφιση αλλα δεν γνωριζω κατι αλλο...
(δεν το εχω ψαξει ιδιαιτερα βεβαια)

Το θεμα ειναι οτι δεν εχω ιδεα που ειναι οι κεντρικοι κορμοι της Inalan για να υπολογισω αποστασεις απο μενα...
Το τελευταιο κουτι της παντως ειναι ~80μ απο μενα.

Ωστοσο μαλλον οι 3 που ειμαστε απο την ιδια πολυκατοικια και αλλοι 2 στον ιδιο πεζοδρομο, δεν ικανοποιουν τις προυποθεσεις της εταιρειας για συνδεση γιατι μαλλον και οι 5 μαζι δεν "καλυπτουμε" ισως το κοστος εργασιας/συνδεσης η ειναι πολυ μπελαλιδικο να ερθουν στον πεζοδρομο που μενουμε.

Για Wind βλεπω να πηγαινω σε 1 χρονο μιας και ακομα εδω δεν μας εχει αναλαβει ακομα (αναμεσα απο Πατησιων/Αχαρνων)

Τι να κανουμε; να μοιρασουμε κανα φυλλαδιο στις πολυκατοικιες μπας και κανει αιτηση και κανενας αλλος; Οι περισσοτεροι θεωρω οτι δεν ενδιαφερονται μεχρι να ειναι διαθεσιμο.

Καλησπερα,

Κατοχος Poco f2 Pro.

Σε επικοινωνια με τη Vodafone σημερα για ενα προβλημα ταχυτητας στο κινητο, η τεχνικος της Vodafone μου ανεφερε οτι η συσκευη δεν ειναι πιστοποιημενη για 5G και θα πρεπει να γινει update απο τον κατασκευαστη σε συνεργασια με τη Vodafone. Οντως, παρολο που εχει ενδειξη 5G, στο speed test που κανω φαινεται οντως 4G+ LTE δικτυο. Σε test με μια δευτερη Cosmote καρτα που εχει, δεν εχει ενδειξη 5G αλλα η ταχητητα ειναι 3πλασια απο της Vodafone.

Εχει συναντησει κανεις κατι παρομοιο; Εχει δοκιμασει κανεις 5G Vodafone με Poco F2 Pro να μου πει αν εχει παρομοια εμπειρια; Μου ειπε παπατζες απο τη Vodafone; Αν δεν μου ειπε, μπορω να κανω εγω κατι με τη Xiaomi/Poco για να το δουν;

Πρωτα REDengine και τωρα Frostbite. Μια χαρα. Μενει της Square-Enix και της Blizzard και θα εχουμε πληρες ρεπερτοριο.

Αν ηταν απο τον gov.gr δεν θα μπορουσε να ειναι πλαστη, δυστυχως ομως γινονται κανονικα δεχτες οι χειρογραφες

Ναι δεν εννοω οτι ηταν απο το gov.gr, αλλα αν καποιος εχει προσβαση σε μια απο το gov.gr ειναι πιο ευκολο να φτιαξει μια χειρογραφη ακριβως οπως θελει.

Εχει συμβει τουλαχιστον μια φορα (sim swapping) και πηραν απο κυρια σεβαστο ποσο μεσω ebanking και οπως το θυμαμαι περιειχε παρουσια σε καταστημα με πλαστη ταυτοτητα με τα στοιχεια της κυριας και εκδοση νεας ΣΙΜ (ειχαν τα στοιχεια της και κατασκευασαν πλαστη ταυτοτητα). Εκ'τοτε αλλαξε η διαδικασια αλλαγης επανεκδοσης sim και σε παιρνουν επιπλεον ενα τηλεφωνο σε 2ο αριθμο σου κανοντας σου διαφορες ερωτησεις (ΑΦΜ, ημ γεννησης, ποτε εβαλες τελευταια φορα καρτα κατι τετοια) που ομως αν εχει κλεψει στοιχεια ταυτοτητα μαλλον μπορουν να τα εχουν και αυτα. Ισως η εμπιστοσυνη ειναι οτι ο 2ος αριθμος που σε καλουν ειναι δικο σου απο παλια. Αν δεν ειναι δεν ξερω τι διαδικασια ακολουθειται.

Να και αλλη μια περιπτωση (η ειναι η ιδια?)

Με πλαστη εξουσιοδοτηση ε; και μετα σου λενε οτι το gov.gr ειναι ασφαλες οπως ειναι μερικοι.

Για να φτασει ο Ν. Παπαδοπουλος, ως υπαλληλος του δημου Καλαματας, να χρειαστει να επαληθευσει καποιο εγγραφο, σημαινει πως χρειαζεται να επιβεβαιωσει κατι και ενδεχομενως να προωθησει καποιο υποθεση. Αρα λοιπον, σωστα το χρεωνεται και μπορει να εντοπιστει ανα πασα στιγμη πως ο Ν. Παπαδοπουλος ειναι μερος της αλυσιδας καποιας αποφασης.

Πειτε μου που κανω λαθος....

Συμφωνω. Επισης ο Ν. Παπαδοπουλος δεν χρειαζεται να χρησιμοποιει το δικο του προσωπικο λογαριασμο αλλα να εχει ειδικο, υπηρεσιακο λογαριασμο, χρεωμενο στο ονομα του, για να μην ψαχνομαστε κι εμεις ποιος στο καλο ειναι αυτος ο Παπαδοπουλος και που βρηκε το εγγραφο μας. Με αυτο τον τροπο ο Ν. Παπαδοπουλος δεν χρεωνεται τη διαδικασια σαν φυσικο προσωπο αλλα ως υπαλληλος του Δημου και εχει την καταλληλη προσβαση για να το κανει, προσβαση που δεν θα επρεπε να εχει σαν Ν. Παπαδοπουλος φυσικο προσωπο.

Φανταζομαι ειναι επιλογη που αν θελεις την επιλεγεις.
Εγω χρησιμοποιω keepassxc.
Δεν εχω δει τετοια επιλογη.

Υπαρχει. Αν πας Database -> Database Reports που κανει το health check για το ποσο καλα ειναι τα password και αν τα χρησιμοποιεις σε πολλους λογαριασμους, θα δεις οτι κατω απο το health check υπαρχει η επιλογη HIBP (Have I Been Pwned), το οποιο φυσικα σου δινει αναλογο warning για το τι προκειται να κανει και αν θες να συνεχισεις.

Φυσικα οπως ειπα, ο τροπος που λειτουργει το API του HIBP ειναι αρκετα ασφαλεις αφου το μονο που αποστελλεται στο site ειναι οι 5 πρωτοι χαρακτηρες του SHA1 hash του καθε password και το site επιστρεφει μια λιστα απο SHA1 hashes(χωρις τους πρωτους 5 χαρακτηρες) τα οποια και τσεκαρει τοπικα το KeepassXC για να δει υπαρχει το hash του δικου μας password μεσα. Με αντιστοιχο τροπο λειτουργει και το website οπου αν για παραδειγμα βαλουμε τον κωδικο "password" και ανοιξουμε την κονσολα του browser για να δουμε τα network requests που κανει θα παρατηρησουμε το εξης request:

GET https://api.pwnedpasswords.com/range/5BAA6

Να σημειωθει οτι το hash του κωδικου "password" ειναι 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 και οπως βλεπουμε στο request υπαρχουν οι πρωτοι 5 χαρακτηρες. Η απαντηση αυτου του request περιεχει μια μεγαλη λιστα απο hashes οπως φαινεται παρακατω:

227899

Οπου μπορουμε να δουμε οτι το hash του "password"(5BAA6 1E4C9B93F3F0682250B6CF8331B7EE68FD8) εχει εμφανιστει φορες 3861493.

Προφανως κανενας δεν ειναι αναγκασμενος να χρησιμοποιησει το site η να το εμπιστευτει, εγω απλα παραθετω τα στοιχεια. Οπως ανεφερα και σε προηγουμενο post ειναι καλο να μη βαζουμε το password μας εκει που δεν πρεπει, ειδικα εφοσον δεν ξερουμε πως θα χρησιμοποιηθει.

Εξηγησε λιγο γιατι γενικα ειναι;
Ας πουμε οτι εχω κανει εγγραφη με το Χ email και τον Υ κωδικο στο adslgr. Βαζω λοιπον για ελεγχο τον Υ κωδικο στο hibp για να ελεγξω αν εχει διαρρευσει.
Με ποιον τροπο θα γινει γνωστο οτι χρησιμοποιειται στο adslgr αν δεν εχει χρησιμοποιηθει σε αλλη ιστοσελιδα (με το ιδιο email) η δεν εχει pwned το adslgrq

Διοτι σε καμια περιπτωση δεν θελεις να feedareis ισχυον password σε ενα site το οποιο δεν ξερεις πως θα το αξιοποιησει(π.χ. να το προσθεσει σε dictionary για μελλοντικες επιθεσεις). Σε αυτη την περιπτωση ειναι ασφαλες γιατι ξερουμε πως λειτουργει το site αλλα, επειδη ο απλος χρηστης δεν εχει ιδεα για το πως λειτουργει η το γιατι ειναι ασφαλεις ο τροπος η για το αν και πως θα μπορουσε να χρησιμοποιηθει το password του κακοβουλα, και επειδη αυτος ο ιδιος απλος χρηστης πιθανοτατα εχει το ιδιο password παντου, ακομα και με πολλα e-mail, η προτροπη ειναι παντα οτι την υπογραφη και το password προσεχουμε που τα βαζουμε ακομα και αν δεν εχει αλλα χαρακτηριστικα μαζι οπως e-mail/username.

Ακρως επικινδυνο κατι τετοιο.

Γενικα ειναι αλλα εξηγησα πιο πανω το πως λειτουργει ακριβως το συγκεκριμενο site και οποιος δεν θελει δεν βαζει το password στη σελιδα και το ψαχνει μεσω του API η απο τα downloadable hashes.

Αντι λοιπον να κλαιμε πανω οχι τοσο υπαρκτα προβληματα, θα επρεπε ενδεχομενως να δουμε λιγο προχωρημενες προτασεις: αντι να εκτυπωνω ψηφιακα εγγραφα και να κυκλοφορω με αυτα, να κυκλοφορω μονο με τον 22ψηφιο κωδικο. Θες πιστοποιητικο γεννησης; Βγαλε τον κωδικο, πηγαινε με αυτον στην υπηρεσια, δωσε αυτον, εφυγες.

Το προβλημα ειναι υπαρκτο, δεν μπορουμε να περιμενουμε να μας επηρεασει για να αντιδρασουμε, το θεμα ειναι να μην μας επηρεασει.

Οσων αφορα τα υπολοιπα που ειπες, το να μπει προσβαση στα εγγραφα μονο μετα απο authentication και ενας ελεγχος του ποιος εχει προσβαση σε αυτο το εγγραφο, δεν θα αυξησει καθολου τη γραφειοκρατεια και τη δυσκολια, θα παραμεινουν ακριβως τα ιδια, θα πηγαινεις με τον κωδικο σου και η υπηρεσια θα εχει ειδικη προσβαση αλλα κανενας αλλος τυχαιος δεν θα εχει.

Το προβλημα ειναι οτι ΒΑΡΙΟΥΝΤΑΙ να το φτιαξουν γιατι το συστημα τους αυτη τη στιγμη ειναι φτιαγμενο με το σκεπτικο οτι ΟΠΟΙΟΣΔΗΠΟΤΕ εχει προσβαση σε αυτα τα εγγραφα αρκει να εχει τον καταλληλο κωδικο, που ειναι απο τη φυση του μη ασφαλες. Τωρα εμεις τους λεμε να μην εχει προσβαση οποιοσδηποτε αλλα να δημιουργηθουν δικαιωματα και ειδικοι λογαριασμοι με αντιστοιχα δικαιωματα, που θα δοθουν στις δημοσιες υπηρεσιες για να εχουν την προσβαση που πρεπει στα εγγραφα, και να μην εχει οποιος τυχαρπαστος δικαιωμα να βλεπει τα δικα μου ευαισθητα δεδομενα με το δικο του λογαριασμο.

Ειναι πολυ καλο σαιτ για ενημερωση και για να ξερεις τι σου γινεται... αλλα... να πω την αληθεια παντα τα εβλεπα με μια μικρη καψυποψια. Θεωρητικα, και επειδη σου ζηταει το password σου για να το ψαξει στη ΒΔ του, αυτοι θα μπορουσαν με αυτον τον τροπο να φτιαξουν τo ultimate dictionary για attacks...:p

Κι εγω ειχα αυτη την καχυποψια αλλα αν ψαξεις το API του και δεις πως λειτουργει, θα δεις οτι δεν στελνει το password στο server παρα μονο τα τελευταια 5 ψηφια του SHA-1 hash και μετα συγκρινει με τα αποτελεσματα τοπικα. Μπορεις να κανεις τον ελεγχο μονος σου αν εχεις ιδεα απο API calls και hashes.
https://haveibeenpwned.com/API/v3#PwnedPasswords

Επισης στην ιδια σελιδα που ελεγχεις το password, αν πας κατω κατω εχει να κατεβασεις τα hashes για να ψαξεις μονος.

Χρονια τωρα ετσι δουλευει το editing σε κοινα εγγραφα στο google docs αλλα τι ξερει και η google...


Η Google δινει και αλλες επιλογες ασφαλειας, δεν σου δινει χυμα ενα link και οποιος θελει βλεπει. Επισης να μη συγκρινουμε το επεξεργασιμο, φτιαγμενο απο χρηστη εγγραφο με μη-επεξεργασιμο, σοβαρο εγγραφο δημοσιου φορεα που περιεχει ευαισθητα προσωπικα δεδομενα. Αν μη τι αλλο πιο πολυ φερνει σε pastebin παρα σε google docs.

Μαλλον ειναι :p, για να μην καταλαβαινετε πως αυτο που περιγραφετε αντιστοιχει με το να πεις:

Το email μου δεν ειναι ασφαλες, απο τη στιγμη που οποιοσδηποτε μπορει να πληκτρολογησει τυχαια εναν κωδικο και να ανοιξει τον λογαριασμο μου.

Για την ακριβεια, ειναι πιο αληθες το να πεις οτι τυχαια μπορει να πληκτρολογησει καποιος τον κωδικο σου στο email σου, παρα να πληκτρολογησει ενα base64 hash ενος 128bit αριθμου που προκυπτει ο 22 χαρακτηρων κωδικος του εγγραφου.

Στις υπηρεσιες e-mail υπαρχει προστασια κατα του Brute Force του password, στο gov.gr τι υπαρχει; θα με κανει timeout μετα τα 5 λαθος hash; οπως ειπα ηδη πιο πανω το brute force δεν γινεται με το χερι ουτως η αλλως.

Επισης αν καποιος αποκτησει προσβαση στο e-mail μου(ισως και στα SMS) μπορει να δει τους κωδικους των εγγραφων αλλα δεν χρειαζεται το account μου για να τα δει.

Δεν καταλαβαινω που ακριβως κολλατε ολοι, απο τη στιγμη που οποιοσδηποτε μπορει να πληκτρολογησει τυχαια εναν κωδικο και να ανοιξει εγγραφο με ευαισθητα προσωπικα δεδομενα, εχουμε τρυπα ασφαλειας και ιδιωτικοτητας. Δεν ειναι πυρηνικη φυσικη. Δεν μιλαμε για ενα φυσικο εγγραφο που υπαρχει μονο σε 1 κοπια (στα χερια σου και στην εκαστοτε δημοσια υπηρεσια) και μπορεις να την προστατευσεις. Μιλαμε για το γεγονος οτι οποιοσδηποτε δυνητικα εχει προσβαση σε ολα τα εγγραφα ολων των πολιτων.

Πρεπει να ξερεις τον κωδικο εγγραφου, χωρις αυτον πως θα το δεις;

Το να βρω τον κωδικο του εγγραφου ειναι πιο ευκολο απο το να βρω τα credentials για να κανω login με ξενο λογαριασμο.

Οχι. Δοκιμασα της γυναικας μου οπως εγραψα και δεν γινεται. Πρεπει να κανει login αυτος που εκδωσε το εγγραφο.

Δηλαδη απο το δικο σου account δεν μπορεις να δεις το προσωπικο εγγραφο της συζυγου με τον κωδικο του εγγραφου που εχει. Θετικο αυτο.

ΝΕΟΤΕΡΑ:
Επιβεβαιωνω οτι για Υπευθυνη Δηλωση η Πιστοποιητικο εμβολιασμου (της γυναικας μου που τον εχει ολοκληρωσει), γινεται ΧΩΡΙΣ ΚΩΔΙΚΟΥΣ.

Αντιθετως για εγραφα Ποινικου μητρωου η Οικογενειακης καταστασης η Πιστοποιητικο γεννησης, ηθελε οπωσδηποτε τους κωδικους του ατομου που το εκδωσε.

Το θεμα δεν ειναι απλα να θελει login η οχι. Το θεμα ειναι, εσυ κανεις login κανονικα με το δικο σου λογαριασμο, μπορεις να δεις εγγραφα αλλων ατομων; αν μπορεις εχουμε προβλημα.

Μπορεις πχ να κανεις login με το δικο σου λογαριασμο και να δεις αν βλεπεις εγγραφα(πχ Πιστοποιητικο γεννησης) καποιου συγγενη σου;

Τι εννοεις; Να αρχισουν να δοκιμαζουν 22ψηφιους αριθμους εγγραφων;

Ναι γιατι οχι; Δεν θα το κανουν με το χερι ουτως η αλλως, με script γινεται η δουλεια. Ειδικα αν υπαρχει καποιο pattern που ακολουθειται για τους αριθμους εγγραφων γινεται ακομα πιο ευκολο.

O μοναδικος κωδικος, οπως και τα αλλα προσωπικα στοιχεια της δηλωσης, ειναι γνωστα μονο στον ιδιοκτητη-αποστολεα της δηλωσης και στον παραληπτη, οι οποιοι εχουν και την ευθυνη διασφαλισης τους


Δηλαδη δεν φταιει ο μηχανισμος που ειναι ολα χυμα στο ιντερνετ, οι χρηστες φταινε που δεν σταματανε τους "hacker" απο το να κανουν ενα απλο enumeration στο site και να κατεβασουν ολα τα δημοσια εγγραφα...

Ξυλο μονο μεχρι να μαθουν.