На The Verge отличный эксклюзивный #longread про очередную и самую амбициозную попытку Google на поприще мессенджеров: Chat is Google’s next big fix for Android’s messaging mess https://www.theverge.com/2018/4/19/17252486/
Chat - это не приложение, а сервис операторов мобильной связи на основе стандарта Universal Profile for Rich Communication Services, в разработке которого Google играет лидирующую роль. С точки зрения потребителей, это SMS на стероидах с фичами мессенджеров. В контексте приложений Google ставит на Android Messages, поскольку оно предустановлено на большинстве смартфонов с Android.
Цитаты для затравки:
every carrier’s Chat services will be interoperable. But, like SMS, Chat won’t be end-to-end encrypted, and it will follow the same legal intercept standards. In other words: it won’t be as secure as iMessage or Signal.
The two operating system providers that have signed on to the Universal Profile: Google and, interestingly, Microsoft. That doesn’t necessarily mean that you can expect a native Chat app in Windows 10, but it does mean it’s possible.
So expect a couple things to happen on the app front. First, Google will finally make a desktop web interface for texting. At least in the initial version, you’ll authorize it with a QR code, much as you do with WhatsApp. [...] Second, expect the Android Messages app to rapidly acquire more features.
Chat - это не приложение, а сервис операторов мобильной связи на основе стандарта Universal Profile for Rich Communication Services, в разработке которого Google играет лидирующую роль. С точки зрения потребителей, это SMS на стероидах с фичами мессенджеров. В контексте приложений Google ставит на Android Messages, поскольку оно предустановлено на большинстве смартфонов с Android.
Цитаты для затравки:
every carrier’s Chat services will be interoperable. But, like SMS, Chat won’t be end-to-end encrypted, and it will follow the same legal intercept standards. In other words: it won’t be as secure as iMessage or Signal.
The two operating system providers that have signed on to the Universal Profile: Google and, interestingly, Microsoft. That doesn’t necessarily mean that you can expect a native Chat app in Windows 10, but it does mean it’s possible.
So expect a couple things to happen on the app front. First, Google will finally make a desktop web interface for texting. At least in the initial version, you’ll authorize it with a QR code, much as you do with WhatsApp. [...] Second, expect the Android Messages app to rapidly acquire more features.
🔎 Интересный и не длинный #longread про анализ соответствия фотографии хранящимся в ней данным EXIF https://goo.gl/1ETSDT
Журналисту прислали фото исчезнувшего человека. Оно якобы было сделано в цюрихском офисе адвоката не раньше определенной даты (видна газета на столе). Журналист обратился в твиттер за помощью в проверке данных EXIF.
Поскольку EXIF полностью подделывается, однозначно определить аутентичность фото невозможно. Но расхождение в параметрах EXIF тем или иным данным порождает подозрения в манипуляции.
Вы, конечно, сразу подумали про геолокационные координаты - да, они совпадали с адресом офиса. А как насчет проверить, какая в день съемки была погода в том месте и сопоставить с освещением за окном?
Другие тонкие моменты тоже должны как минимум не расходиться с реальностью:
• версия iOS - дате съемки
• количество мегапикселей - модели смартфона
• сочетание ISO, затвора и выдержки - съемке в помещении на этой модели
Бонус - сайт для экспорта EXIF http://exif.regex.info/
✌️
Журналисту прислали фото исчезнувшего человека. Оно якобы было сделано в цюрихском офисе адвоката не раньше определенной даты (видна газета на столе). Журналист обратился в твиттер за помощью в проверке данных EXIF.
Поскольку EXIF полностью подделывается, однозначно определить аутентичность фото невозможно. Но расхождение в параметрах EXIF тем или иным данным порождает подозрения в манипуляции.
Вы, конечно, сразу подумали про геолокационные координаты - да, они совпадали с адресом офиса. А как насчет проверить, какая в день съемки была погода в том месте и сопоставить с освещением за окном?
Другие тонкие моменты тоже должны как минимум не расходиться с реальностью:
• версия iOS - дате съемки
• количество мегапикселей - модели смартфона
• сочетание ISO, затвора и выдержки - съемке в помещении на этой модели
Бонус - сайт для экспорта EXIF http://exif.regex.info/
✌️
bellingcat
Joseph Mifsud: Rush for the EXIF - bellingcat
I write about cybersecurity for The Associated Press, but like other reporters I pitch in on other investigative tracks too. That includes occasional forays into covering the fallout from Russia’s 2016 election interference. On Monday, I published a story…
👍 Отличный #longread про Windows Core OS (WCOS) на Windows Central
https://www.windowscentral.com/windows-core-os
WCOS:
• это универсальная база для будущих Windows
• позволяет Microsoft быстро и эффективно создавать версии Windows для различных типов и форм-факторов устройств
• обладает новой системой обновления - такой же быстрой как в мобильных ОС
• не является заменой классической Windows, по крайней мере в среднесрочной перспективе
https://www.windowscentral.com/windows-core-os
WCOS:
• это универсальная база для будущих Windows
• позволяет Microsoft быстро и эффективно создавать версии Windows для различных типов и форм-факторов устройств
• обладает новой системой обновления - такой же быстрой как в мобильных ОС
• не является заменой классической Windows, по крайней мере в среднесрочной перспективе
Windows Central
What the heck is Windows Core OS? Here's a not-so-brief explainer.
Trying to keep up with Microsoft's internal Windows Core OS (WCOS) project is no easy task. Even we find it difficult to keep up with all the different codenames, plans, and changes being made to Windows with Windows Core OS. So, to try and keep things in…
📑 Отличный #longread о различиях в культуре Microsoft под руководством трех CEO. Автор - James Whittaker, работавший в компании в различное время.
https://medium.com/@docjamesw/speaking-truth-to-power-reflections-on-a-career-at-microsoft-90f80a449e36
Цитаты для затравки:
- The Microsoft of the 90s, with Bill Gates calling the shots, was a technology-forward company, fast-paced, ambitious and unapologetically capitalistic. It was a beast, number one in nearly every genre that mattered, dreaded by its partners, feared by its competitors, and alternately loved and hated by its users.
- under Steve Ballmer ... inattention to anything resembling the imaginative or innovative caused it to hemorrhage talent, flatline its stock, bore its customers and miss (or at least be very late to) the next three technology megatrends — web, cloud, and mobile — on the trot.
- Satya’s expectations have been made clear to everyone. Mandatory training has seen to that. He exhorts Microsoft to be a “learn it all” culture instead of a “know it all” culture.
- It’s worth noting that cultural transformation didn’t happen in places, like Windows, where Nadella simply rearranged the made-men deck chairs. Instead of following his culture-change playbook, he simply swapped Windows’ made-men with Windows Phone’s made-men. The same people unable, over the course of a decade, to craft a winning strategy for mobile were suddenly tasked with crafting a winning strategy for the desktop.
https://medium.com/@docjamesw/speaking-truth-to-power-reflections-on-a-career-at-microsoft-90f80a449e36
Цитаты для затравки:
- The Microsoft of the 90s, with Bill Gates calling the shots, was a technology-forward company, fast-paced, ambitious and unapologetically capitalistic. It was a beast, number one in nearly every genre that mattered, dreaded by its partners, feared by its competitors, and alternately loved and hated by its users.
- under Steve Ballmer ... inattention to anything resembling the imaginative or innovative caused it to hemorrhage talent, flatline its stock, bore its customers and miss (or at least be very late to) the next three technology megatrends — web, cloud, and mobile — on the trot.
- Satya’s expectations have been made clear to everyone. Mandatory training has seen to that. He exhorts Microsoft to be a “learn it all” culture instead of a “know it all” culture.
- It’s worth noting that cultural transformation didn’t happen in places, like Windows, where Nadella simply rearranged the made-men deck chairs. Instead of following his culture-change playbook, he simply swapped Windows’ made-men with Windows Phone’s made-men. The same people unable, over the course of a decade, to craft a winning strategy for mobile were suddenly tasked with crafting a winning strategy for the desktop.
Medium
Speaking Truth to Power: Reflections on My Career at Microsoft
Microsoft engineer James Whittaker on how to fix the company
🤦♂️ Любителям сторонних бесплатных антивирусов на заметку
Avast спалился во второй раз за полтора месяца на продаже данных о посещениях веб-сайтов. В прошлый раз это было дополнение браузера. На сей раз результаты совместного расследования опубликовали Vice и PCMag. Любой из материалов - хороший #longread на тему приватности.
👉 После скандала и выпиливания дополнения из каталогов компания, конечно, не отказалась от сбора этих сведений, потому что им занимались и продолжают это делать ее антивирусы Avast и AVG (в т.ч. на мобильных устройствах).
Подается это под мутным соусом добровольного процесса и полного согласия пользователей. Но даже из заявления компании следует, что людей вводили в заблуждение.
Что в переводе с купюрами:
Непонятно, как много внедрили, но точно получается, что до июля прошлго года не уведомляли нормально или вообще. Да и сейчас при загрузке не написано (надо читать политику конфиденциальности), что данные будут скомбинированы с другой собранной информацией, не исключающей идентификацию пользователя, а также подлежат хранению в течение трех лет и будут проданы на сторону. А деньги там немаленькие, см. расследования 💰
Бесплатные антивирусы преследуют простые цели:
1. Защита устройства.
2. Сбор образцов вредоносного кода.
3. Сбор телеметрии.
4. Реклама своих платных продуктов.
5. Сбор и продажа прочих данных.
Встроенный в #Windows10 защитник Windows попадает только под три первых пункта. Поэтому меня всегда удивляли люди, меняющие его на бесплатный сторонний антивирус, и уж тем более с целью минимизировать сбор телеметрии Microsoft 🤦♂️
Microsoft много чего собирает, но очевидно недостаточно, раз ей приходилось покупать данные у Avast 🙈 Политика конфиденциальности защитника Windows тут.
Avast спалился во второй раз за полтора месяца на продаже данных о посещениях веб-сайтов. В прошлый раз это было дополнение браузера. На сей раз результаты совместного расследования опубликовали Vice и PCMag. Любой из материалов - хороший #longread на тему приватности.
👉 После скандала и выпиливания дополнения из каталогов компания, конечно, не отказалась от сбора этих сведений, потому что им занимались и продолжают это делать ее антивирусы Avast и AVG (в т.ч. на мобильных устройствах).
Подается это под мутным соусом добровольного процесса и полного согласия пользователей. Но даже из заявления компании следует, что людей вводили в заблуждение.
Users have always had the ability to opt out of sharing data with Jumpshot. As of July 2019, we had already begun implementing an explicit opt-in choice for all new downloads of our AV (antivirus), and we are now also prompting our existing free users to make an explicit choice, a process which will be completed in February 2020
Что в переводе с купюрами:
Пользователи всегда могли отказаться от передачи данных... [...] С июля 2019 года мы начали внедрять явный выбор для всех новых загрузок антивирусов [...] Теперь мы показываем уже установившим бесплатные продукты предложение сделать явный выбор.
Непонятно, как много внедрили, но точно получается, что до июля прошлго года не уведомляли нормально или вообще. Да и сейчас при загрузке не написано (надо читать политику конфиденциальности), что данные будут скомбинированы с другой собранной информацией, не исключающей идентификацию пользователя, а также подлежат хранению в течение трех лет и будут проданы на сторону. А деньги там немаленькие, см. расследования 💰
Бесплатные антивирусы преследуют простые цели:
1. Защита устройства.
2. Сбор образцов вредоносного кода.
3. Сбор телеметрии.
4. Реклама своих платных продуктов.
5. Сбор и продажа прочих данных.
Встроенный в #Windows10 защитник Windows попадает только под три первых пункта. Поэтому меня всегда удивляли люди, меняющие его на бесплатный сторонний антивирус, и уж тем более с целью минимизировать сбор телеметрии Microsoft 🤦♂️
Microsoft много чего собирает, но очевидно недостаточно, раз ей приходилось покупать данные у Avast 🙈 Политика конфиденциальности защитника Windows тут.
🤦♂️ Как уничтожить компанию стоимостью $400 млн одной установкой ПО
Сегодня у меня для вас отличный #longread на тему важности построения процессов развертывания ПО. Рассказу 5 лет, но он вполне актуальный - я гарантирую это :)
История про компанию, которая на тот момент была крупнейшим трейдером на рынке американских ценных бумаг с объемом торгов свыше $21 млрд в день.
Цитаты для затравки:
The update to SMARS was intended to replace old, unused code referred to as “Power Peg” – functionality that Knight hadn’t used in 8-years.
Between July 27, 2012 and July 31, 2012 Knight manually deployed the new software to a limited number of servers per day – eight (8) servers in all.
During the deployment of the new code, however, one of Knight’s technicians did not copy the new code to one of the eight SMARS computer servers. Knight did not have a second technician review this deployment and no one at Knight realized that the Power Peg code had not been removed from the eighth server, nor the new RLP code added. Knight had no written procedures that required such a review.
Вы не поверите, что произошло дальше! ©
Сегодня у меня для вас отличный #longread на тему важности построения процессов развертывания ПО. Рассказу 5 лет, но он вполне актуальный - я гарантирую это :)
История про компанию, которая на тот момент была крупнейшим трейдером на рынке американских ценных бумаг с объемом торгов свыше $21 млрд в день.
Цитаты для затравки:
The update to SMARS was intended to replace old, unused code referred to as “Power Peg” – functionality that Knight hadn’t used in 8-years.
Between July 27, 2012 and July 31, 2012 Knight manually deployed the new software to a limited number of servers per day – eight (8) servers in all.
During the deployment of the new code, however, one of Knight’s technicians did not copy the new code to one of the eight SMARS computer servers. Knight did not have a second technician review this deployment and no one at Knight realized that the Power Peg code had not been removed from the eighth server, nor the new RLP code added. Knight had no written procedures that required such a review.
Вы не поверите, что произошло дальше! ©
Doug Seven
Knightmare: A DevOps Cautionary Tale
In the first 45-minutes the market was open the faulty software deployment sent millions of child orders into the market resulting in 4 million transactions against 154 stocks for more than 397 mil…
🔒 Риски и ограничения двухфакторной аутентификации
Я давно и последовательно рекомендую #2FA в блоге и канале. В статьях я главные грабли расставлял, конечно, но тут мне попался хороший #longread, который методично раскладывает их по полочкам: Before You Turn On Two-Factor Authentication…
Цитаты для затравки (про риски):
You may be unable to recovery your second factor if your security key, or the phone with your authenticator app, is lost, stolen, or broken.
... timely access to some services can itself be important to user safety. For example, you may no longer remember the phone numbers of the close friends and family members you would want to contact in a time of crisis.
Researchers have already shown that ... users required to employ a second factor (a fingerprint in their study) chose weaker PINs (numeric passwords) than those who were not.
Attackers might steal your security key when you are in a public place
If you plug an attacker’s lookalike device into your computer and allow it to install a driver, it can take control of your computer
Я давно и последовательно рекомендую #2FA в блоге и канале. В статьях я главные грабли расставлял, конечно, но тут мне попался хороший #longread, который методично раскладывает их по полочкам: Before You Turn On Two-Factor Authentication…
Цитаты для затравки (про риски):
You may be unable to recovery your second factor if your security key, or the phone with your authenticator app, is lost, stolen, or broken.
... timely access to some services can itself be important to user safety. For example, you may no longer remember the phone numbers of the close friends and family members you would want to contact in a time of crisis.
Researchers have already shown that ... users required to employ a second factor (a fingerprint in their study) chose weaker PINs (numeric passwords) than those who were not.
Attackers might steal your security key when you are in a public place
If you plug an attacker’s lookalike device into your computer and allow it to install a driver, it can take control of your computer
www.outsidethebox.ms
А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
Вы когда-нибудь выполняли вход по коду из SMS? А с помощью приложения, генерирующего код? Сегодня я расскажу о том, в чем разница между этими способами, и почему важно защищать аккаунты Интернет-сервисов и мессенджеров двухфакторной или двухэтапной аутентификацией.
🔎 Сегодня у меня для вас не очень длинный #longread об истории поиска в Windows
https://devblogs.microsoft.com/windows-search-platform/the-evolution-of-windows-search/
Рассказ фокусируется, в основном, на истории индекса и его настроек. Например, в Windows 8 впервые стали по умолчанию индексировать
Это первый пост из четырех запланированных в серии. Блог платформы поиска совсем новый, и за дальнейшими его публикациями вы можете следить в канале @msftblogs 👍
https://devblogs.microsoft.com/windows-search-platform/the-evolution-of-windows-search/
Рассказ фокусируется, в основном, на истории индекса и его настроек. Например, в Windows 8 впервые стали по умолчанию индексировать
содержимое документов в профиле.Это первый пост из четырех запланированных в серии. Блог платформы поиска совсем новый, и за дальнейшими его публикациями вы можете следить в канале @msftblogs 👍
🔓 Как root-права и альтернативные прошивки делают ваш android смартфон уязвимым
https://habr.com/ru/post/541190/
Отличный #longread на Хабре! Процесс загрузки Android в контексте безопасности описан очень подробно простыми и понятными словами, что редкость, а уж на русском языке - вдвойне.
В моем смартфоне какое-то время был разблокирован загрузчик. На прошивку не приходили обновления, я снял блок для смены, а обратно не заблокировал из-за лени.
Вскорости понадобилось установить на смартфон Office 365 клиента, т.е. корпоративный профиль. В процессе я получил отлуп из-за несоответствия политикам безопасности. Конкретно на загрузчик ошибка не указывала, но догадаться было несложно. Так и победил лень ✌️
А у вас заблокирован загрузчик?
👌 - Да
😎 - Нет
🤷♂️ - Не знаю / моего варианта нет
https://habr.com/ru/post/541190/
Отличный #longread на Хабре! Процесс загрузки Android в контексте безопасности описан очень подробно простыми и понятными словами, что редкость, а уж на русском языке - вдвойне.
В моем смартфоне какое-то время был разблокирован загрузчик. На прошивку не приходили обновления, я снял блок для смены, а обратно не заблокировал из-за лени.
Вскорости понадобилось установить на смартфон Office 365 клиента, т.е. корпоративный профиль. В процессе я получил отлуп из-за несоответствия политикам безопасности. Конкретно на загрузчик ошибка не указывала, но догадаться было несложно. Так и победил лень ✌️
А у вас заблокирован загрузчик?
👌 - Да
😎 - Нет
🤷♂️ - Не знаю / моего варианта нет
💡 NFT: что на самом деле приобрел за $69 млн покупатель картины художника Beeple
Если только вы не прожили под камнем последние пару месяцев, то не раз видели аббревиатуру NFT, Non-Fungible Token. Возможно, вы читали объяснения разной степени точности. Я тоже, и мне больше всего понравился #longread Deconstructing that $69 million NFT
Автор простым языком с помощью наглядных примеров объясняет:
🔹 смысл слова fungible (взаимозаменяемый)
🔹 можно ли скачать картину и как
🔹 как именно картину продавали на аукционе
🔹 что на самом деле получает покупатель
🔹 что покупатель теперь может сделать с приобретением (спойлер: возможность передать кому-либо
✌️
Если только вы не прожили под камнем последние пару месяцев, то не раз видели аббревиатуру NFT, Non-Fungible Token. Возможно, вы читали объяснения разной степени точности. Я тоже, и мне больше всего понравился #longread Deconstructing that $69 million NFT
Автор простым языком с помощью наглядных примеров объясняет:
🔹 смысл слова fungible (взаимозаменяемый)
🔹 можно ли скачать картину и как
🔹 как именно картину продавали на аукционе
🔹 что на самом деле получает покупатель
🔹 что покупатель теперь может сделать с приобретением (спойлер: возможность передать кому-либо
MakersTokenV2 #40913 ;)✌️
🔓 Экономика темной стороны
В контексте хака Colonial Pipeline подкину вам #longread с интересными аспектами экономики DarkSide от Kim Zetter, автора книги про Stuxnet
https://zetter.substack.com/p/anatomy-of-one-of-the-first-darkside
Это история взлома другой компании, заплатившей выкуп в $2 млн. Несколько тезисов для затравки:
🔹 DarkSide - ransomware-as-a-service (RaaS), т.е. взлом их инструментами может осуществить кто угодно. Но не совсем, потому что группировка весьма избирательна - например, не желает общаться с англоязычными товарищами.
🔹 Реклама сервиса началась спустя несколько месяцев после успешного вымогательства у некой холдинговой компании. Своего рода бета-тестирование.
🔹 "Тестировали", конечно, не только на этом холдинге, известна как минимум еще одна компания, но та отказалась платить. А холдинг заплатил, несмотря на наличие бэкапов. Они посчитали, что восстанавливать дольше и дороже для бизнеса, чем заплатить (причем сильно выше среднего по рынку), тем более что имелась страховка от ransomware.
🔹 Компания получила инструменты для расшифровки файлов, но не на всех системах они сработали. Вымогатели ковырялись в проблеме вместе с привлеченными холдингом специалистами, и в итоге все получилось.
P.S. Когда пост уже был запланирован к публикации, появились новости о том, что Colonial Pipeline заплатила выкуп $5 млн.
✌️
В контексте хака Colonial Pipeline подкину вам #longread с интересными аспектами экономики DarkSide от Kim Zetter, автора книги про Stuxnet
https://zetter.substack.com/p/anatomy-of-one-of-the-first-darkside
Это история взлома другой компании, заплатившей выкуп в $2 млн. Несколько тезисов для затравки:
🔹 DarkSide - ransomware-as-a-service (RaaS), т.е. взлом их инструментами может осуществить кто угодно. Но не совсем, потому что группировка весьма избирательна - например, не желает общаться с англоязычными товарищами.
🔹 Реклама сервиса началась спустя несколько месяцев после успешного вымогательства у некой холдинговой компании. Своего рода бета-тестирование.
🔹 "Тестировали", конечно, не только на этом холдинге, известна как минимум еще одна компания, но та отказалась платить. А холдинг заплатил, несмотря на наличие бэкапов. Они посчитали, что восстанавливать дольше и дороже для бизнеса, чем заплатить (причем сильно выше среднего по рынку), тем более что имелась страховка от ransomware.
🔹 Компания получила инструменты для расшифровки файлов, но не на всех системах они сработали. Вымогатели ковырялись в проблеме вместе с привлеченными холдингом специалистами, и в итоге все получилось.
P.S. Когда пост уже был запланирован к публикации, появились новости о том, что Colonial Pipeline заплатила выкуп $5 млн.
✌️
🔓 Attacking Active Directory: 0 to 0.9
Технический #longread, в котором AD рассматривается с точки зрения атакующего. Документ впечатляет не только длиной, но и методичным подходом к изложению - от основ AD до механизмов и средств атаки. Не обойдется и без #PowerShell.
➡️ https://zer1t0.gitlab.io/posts/attacking_ad/
Возьмите на заметку, если в ваши задачи входит обеспечение безопасности Active Directory. Как говорится, на Microsoft надейся, да сам не плошай 👌
Технический #longread, в котором AD рассматривается с точки зрения атакующего. Документ впечатляет не только длиной, но и методичным подходом к изложению - от основ AD до механизмов и средств атаки. Не обойдется и без #PowerShell.
➡️ https://zer1t0.gitlab.io/posts/attacking_ad/
Возьмите на заметку, если в ваши задачи входит обеспечение безопасности Active Directory. Как говорится, на Microsoft надейся, да сам не плошай 👌
🔓 Применение Process Monitor для поиска уязвимостей с повышением привилегий
Сегодня у меня для вас относительно несложный и даже не слишком длинный #longread, просто в нем много картинок.
https://vuls.cert.org/confluence/display/Wiki/Finding+Privilege+Escalation+Vulnerabilities+in+Windows+using+Process+Monitor
Автор - Will Dormann, аналитик уязвимостей в CERT/CC. Отмечу, что одна из его защитных рекомендаций - не устанавливать программы за пределы Program Files. Это я разбирал в блоге. И что характерно, в обоих статьях фигурирует ПО Microsoft 🙈
#sysinternals
Сегодня у меня для вас относительно несложный и даже не слишком длинный #longread, просто в нем много картинок.
https://vuls.cert.org/confluence/display/Wiki/Finding+Privilege+Escalation+Vulnerabilities+in+Windows+using+Process+Monitor
Автор - Will Dormann, аналитик уязвимостей в CERT/CC. Отмечу, что одна из его защитных рекомендаций - не устанавливать программы за пределы Program Files. Это я разбирал в блоге. И что характерно, в обоих статьях фигурирует ПО Microsoft 🙈
#sysinternals
😎 У Bloomberg вышел занимательный #longread о простом украинском парне, который устроился тестировщиком в Microsoft и украл подарочных карт XBOX на $10 миллионов. Это не новость, а разбор инцидента уже после вынесения приговора.
XBOX - в данном случае просто маркетинговый брэнд, а картами (точнее - кодами с них) можно расплачиваться в магазине Microsoft за любые товары.
Покупки с тестовых аккаунтов магазин не высылал, конечно. Но тестировщик заметил, что коды генерировались рабочие! Тут-то ему карта и пошла ©
➡️ https://www.bloomberg.com/features/2021-microsoft-xbox-gift-card-fraud/
XBOX - в данном случае просто маркетинговый брэнд, а картами (точнее - кодами с них) можно расплачиваться в магазине Microsoft за любые товары.
Покупки с тестовых аккаунтов магазин не высылал, конечно. Но тестировщик заметил, что коды генерировались рабочие! Тут-то ему карта и пошла ©
➡️ https://www.bloomberg.com/features/2021-microsoft-xbox-gift-card-fraud/
Bloomberg.com
Robbing the Xbox Vault: Inside a $10 Million Gift Card Fraud
A junior Microsoft engineer figured out a nearly perfect Bitcoin generation scheme in the ultimate virtual currency cheat.
🔓 Сегодня у меня для вас #longread - эссе Бена Томпсона "Apple's mistake"
https://stratechery.com/2021/apples-mistake/
Вторую неделю мою ленту Твиттера бомбит от решения Apple сканировать медиафайлы на мобильных устройствах на предмет сексуального насилия над детьми (пока только в США) и сообщать властям о нарушениях. Компания обосновывает свои действия необходимостью защиты детей от насилия (FAQ в PDF).
ℹ️ Все изображения и видео в облаках ведущих компаний давно подлежат аналогичному сканированию. Другими словами, выкладывать детское порно в Google Drive - все равно что явиться с повинной. Когда-то пионером в этой сфере была Microsoft, которая даже бесплатно предлагала свою технологию другим ИТ-гигантам.
👉 Важность защиты детей под сомнение не ставится. Специалистов и адвокатов приватности бомбит от решения Apple сканировать файлы на устройстве.
Бен Томпсон, пожалуй, лучше всех сформулировал претензию. Два абзаца в моем вольном переводе:
... вместо добавления сканирования CSAM в iCloud Photos в облаке, которым компания владеет и управляет, Apple компрометирует телефоны, которыми владеем и управляем мы с вами, при этом игнорируя наши интересы. Да, можно выключить iCloud Photos, тем самым блокируя сканирование, но речь о политическом решении компании - возможность проникнуть в телефоны пользователей теперь существует, и пользователи не могут это предотвратить.
... Мое устройство должно быть моей собственностью, со всеми ожиданиями владения и вытекающей из этого конфиденциальности. Облачные сервисы, между тем, являются собственностью их владельцев, со всеми ожиданиями общественной ответственности и законопослушности. Крайне разочаровывает, что Apple настолько залипла на своем видении приватности, что предала точку опоры пользовательского контроля: уверенность в том, что ваше устройство действительно принадлежит вам.
===
Велик соблазн отмахнуться от происходящего простым "ой, да ладно, понятно же что у Apple есть доступ ко всему на моем телефоне". Доступ-то есть, но здесь речь про то, как именно он эксплуатируется ✌️
https://stratechery.com/2021/apples-mistake/
Вторую неделю мою ленту Твиттера бомбит от решения Apple сканировать медиафайлы на мобильных устройствах на предмет сексуального насилия над детьми (пока только в США) и сообщать властям о нарушениях. Компания обосновывает свои действия необходимостью защиты детей от насилия (FAQ в PDF).
ℹ️ Все изображения и видео в облаках ведущих компаний давно подлежат аналогичному сканированию. Другими словами, выкладывать детское порно в Google Drive - все равно что явиться с повинной. Когда-то пионером в этой сфере была Microsoft, которая даже бесплатно предлагала свою технологию другим ИТ-гигантам.
👉 Важность защиты детей под сомнение не ставится. Специалистов и адвокатов приватности бомбит от решения Apple сканировать файлы на устройстве.
Бен Томпсон, пожалуй, лучше всех сформулировал претензию. Два абзаца в моем вольном переводе:
... вместо добавления сканирования CSAM в iCloud Photos в облаке, которым компания владеет и управляет, Apple компрометирует телефоны, которыми владеем и управляем мы с вами, при этом игнорируя наши интересы. Да, можно выключить iCloud Photos, тем самым блокируя сканирование, но речь о политическом решении компании - возможность проникнуть в телефоны пользователей теперь существует, и пользователи не могут это предотвратить.
... Мое устройство должно быть моей собственностью, со всеми ожиданиями владения и вытекающей из этого конфиденциальности. Облачные сервисы, между тем, являются собственностью их владельцев, со всеми ожиданиями общественной ответственности и законопослушности. Крайне разочаровывает, что Apple настолько залипла на своем видении приватности, что предала точку опоры пользовательского контроля: уверенность в том, что ваше устройство действительно принадлежит вам.
===
Велик соблазн отмахнуться от происходящего простым "ой, да ладно, понятно же что у Apple есть доступ ко всему на моем телефоне". Доступ-то есть, но здесь речь про то, как именно он эксплуатируется ✌️
🌐 Почему Edge при запуске от имени администратора предлагает запуститься в обычном режиме для оптимальной производительности
Сегодня у меня для вас небольшой, но познавательный #longread за авторством Eric Lawerence, создателя Fiddler, поработавшего над браузерами в Microsoft, Google и снова Microsoft.
➡️ https://textslashplain.com/2021/01/07/sandboxing-vs-elevated-browsing-as-administrator/
Спойлер: производительность браузера одинаковая вне зависимости от того, с какими правами его запустили. Но поведение браузеров на Chromium любопытное.
ℹ️ При запуске от админа процессы браузера, обработчика ошибок и вспомогательные процессы запускаются с высоким уровнем целостности. Однако процессы рендеринга загнаны в песочницу и получают уровень целостности Untrusted, т.е. без доверия.
Безусловно, это повышает уровень безопасности, но есть еще и функциональные баги других компонентов. Например, баг AppLocker, из-за которого при запуске от админа падают все процессы рендеринга.
👉 Поэтому Edge при запуске с полными правами автоматически и незаметно понижает их до обычных.
Это поведение можно отключить параметром
Сегодня у меня для вас небольшой, но познавательный #longread за авторством Eric Lawerence, создателя Fiddler, поработавшего над браузерами в Microsoft, Google и снова Microsoft.
➡️ https://textslashplain.com/2021/01/07/sandboxing-vs-elevated-browsing-as-administrator/
Спойлер: производительность браузера одинаковая вне зависимости от того, с какими правами его запустили. Но поведение браузеров на Chromium любопытное.
ℹ️ При запуске от админа процессы браузера, обработчика ошибок и вспомогательные процессы запускаются с высоким уровнем целостности. Однако процессы рендеринга загнаны в песочницу и получают уровень целостности Untrusted, т.е. без доверия.
Безусловно, это повышает уровень безопасности, но есть еще и функциональные баги других компонентов. Например, баг AppLocker, из-за которого при запуске от админа падают все процессы рендеринга.
👉 Поэтому Edge при запуске с полными правами автоматически и незаметно понижает их до обычных.
Это поведение можно отключить параметром
--do-not-de-elevate, и вот тогда появляется сообщение как на картинке 👌
⬇️ Улучшения в накопительных обновлениях Windows 11
Сегодня у меня для вас тройной #longread!
🔹 Windows Updates using forward and reverse differentials
Это - white paper трехлетней давности про улучшения в #Windows10 1809+. Я так и не закинул документ сюда, потому что он настолько технический, что в двух словах не расскажешь. Надо читать целиком. Зато теперь самое время - ведь есть еще два примерно таких же :)
🔹 Windows 11 cumulative update improvements: an overview
Этот обзорный пост в блоге IT Pro относительно простой. Из него вы узнаете, что размер обновлений сократился на 40% благодаря скачиванию только измененных файлов. Чем актуальнее система, тем меньше качать.
Кроме того, в #Windows11 накопительные обновления перевели на платформу UUP. Пять лет назад она дебютировала в инсайдерских сборках, а в стабильных - в Windows 10 1703.
Теперь в MSU-файле поставляется агент обновления UUP, который оркестрирует установку объединенного пакета CU+SSU. Логика агента формируется на сервере, поэтому Microsoft получает больше возможностей для управления процессом обновления. Технология призвана снизить вероятность серьезных поломок ОС.
🔹 How Microsoft reduced Windows 11 update size by 40%
Небольшой, но сложный технически текст про технологию Reverse Update Data Generation. За счет нее уменьшили размер обновлений.
На хабре есть "перевод" этой статьи, но с купюрами и отсебятиной автора. Читайте в оригинале ✌️
Сегодня у меня для вас тройной #longread!
🔹 Windows Updates using forward and reverse differentials
Это - white paper трехлетней давности про улучшения в #Windows10 1809+. Я так и не закинул документ сюда, потому что он настолько технический, что в двух словах не расскажешь. Надо читать целиком. Зато теперь самое время - ведь есть еще два примерно таких же :)
🔹 Windows 11 cumulative update improvements: an overview
Этот обзорный пост в блоге IT Pro относительно простой. Из него вы узнаете, что размер обновлений сократился на 40% благодаря скачиванию только измененных файлов. Чем актуальнее система, тем меньше качать.
Кроме того, в #Windows11 накопительные обновления перевели на платформу UUP. Пять лет назад она дебютировала в инсайдерских сборках, а в стабильных - в Windows 10 1703.
Теперь в MSU-файле поставляется агент обновления UUP, который оркестрирует установку объединенного пакета CU+SSU. Логика агента формируется на сервере, поэтому Microsoft получает больше возможностей для управления процессом обновления. Технология призвана снизить вероятность серьезных поломок ОС.
🔹 How Microsoft reduced Windows 11 update size by 40%
Небольшой, но сложный технически текст про технологию Reverse Update Data Generation. За счет нее уменьшили размер обновлений.
На хабре есть "перевод" этой статьи, но с купюрами и отсебятиной автора. Читайте в оригинале ✌️
🌐 Заговор против IE6
Отличный #longread: A Conspiracy To Kill IE6. История о том, как веб-разработчики YouTube, тогда еще недавно купленной Google, успешно провернули операцию по сталкиванию IE6 в пропасть небытия.
Я читал это пару лет назад. А на днях товарищ dartraiden закинул в чат свежий перевод, опубликованный на Хабре https://habr.com/ru/post/594839/
Приятного чтения ✌️
Отличный #longread: A Conspiracy To Kill IE6. История о том, как веб-разработчики YouTube, тогда еще недавно купленной Google, успешно провернули операцию по сталкиванию IE6 в пропасть небытия.
Я читал это пару лет назад. А на днях товарищ dartraiden закинул в чат свежий перевод, опубликованный на Хабре https://habr.com/ru/post/594839/
Приятного чтения ✌️
❌ О блокировке макросов в Office
Если вы следите за новостями инфобеза, то должны были видеть новость о том, что теперь в Office макросы будут блокироваться по умолчанию. Начнут в апреле с Office 365 в канале Preview, затем в стабильных каналах, а потом доберутся и до Office 2021 → 2013.
Обычно, на этом подробности заканчиваются, поэтому рекомендую исходный пост в блоге IT Pro. Я же подкину немного контекста и истории вопроса.
Вообще, макросы и сейчас не запускаются по умолчанию. Однако они не блокируются всерьез. Единственный сдерживающий фактор - желтая плашка с кнопкой включения опасного содержимого. Кстати, а вы знали, что сама плашка тоже кликабельна? 😎
Теперь все будет серьезно! Изменение касается файлов из зон Internet и Restricted Sites. Контролируется это с помощью альтернативных потоков данных NTFS. Новая красная плашка пошлет пользователей читать онлайн-справку о том, как разблокировать документ с макросом. Поскольку пользователи не способны читать справку, макрос не запустится 💪 Кстати, #классика блога↑ появилась благодаря читателю, который не осилил семь слов инструкции по разблокировке скрипта рядом со ссылкой на его скачивание.
⌛️ По сути Microsoft вернулась к поведению Office... 2000 - 2003! Тогда максимум открывалась справка, где объяснялось, как открыть документ с включенными макросами. Will Dorman поделился в Твиттере своим отличным историческим экскурсом по UX запуска макросов в разных версиях Office. A Steven Sinofski рассказал о знаменитых вирусах WM/Concept.A, Melissa и ILOVEYOU со своей колокольни руководителя Office в те годы. Осторожно, очень #longread ✌️
Если вы следите за новостями инфобеза, то должны были видеть новость о том, что теперь в Office макросы будут блокироваться по умолчанию. Начнут в апреле с Office 365 в канале Preview, затем в стабильных каналах, а потом доберутся и до Office 2021 → 2013.
Обычно, на этом подробности заканчиваются, поэтому рекомендую исходный пост в блоге IT Pro. Я же подкину немного контекста и истории вопроса.
Вообще, макросы и сейчас не запускаются по умолчанию. Однако они не блокируются всерьез. Единственный сдерживающий фактор - желтая плашка с кнопкой включения опасного содержимого. Кстати, а вы знали, что сама плашка тоже кликабельна? 😎
Теперь все будет серьезно! Изменение касается файлов из зон Internet и Restricted Sites. Контролируется это с помощью альтернативных потоков данных NTFS. Новая красная плашка пошлет пользователей читать онлайн-справку о том, как разблокировать документ с макросом. Поскольку пользователи не способны читать справку, макрос не запустится 💪 Кстати, #классика блога↑ появилась благодаря читателю, который не осилил семь слов инструкции по разблокировке скрипта рядом со ссылкой на его скачивание.
⌛️ По сути Microsoft вернулась к поведению Office... 2000 - 2003! Тогда максимум открывалась справка, где объяснялось, как открыть документ с включенными макросами. Will Dorman поделился в Твиттере своим отличным историческим экскурсом по UX запуска макросов в разных версиях Office. A Steven Sinofski рассказал о знаменитых вирусах WM/Concept.A, Melissa и ILOVEYOU со своей колокольни руководителя Office в те годы. Осторожно, очень #longread ✌️
🔒 Windows Hello Cloud Trust в Windows 11 и Windows 10 21H2
Просматривая описание предварительного обновления KB5010415 неделю назад, я с изумлением обнаружил серьезную новую фичу. Где-то посередине одного из сложенных списков исправлений. Новостей об этом не было нигде 🤷♂️
Если локальная беспарольная аутентификация с использованием Azure AD для вас не пустой звук, предлагаю занимательный #longread!
👉 Новая технология отныне назначается любимой женой, в смысле рекомендуется вместо доверия на основе ключей. Для затравки тезисы из документации, опубликованной буквально вчера.
Доверие на основе облака в Windows Hello for Business (WHfB) опирается на Azure Active Directory (AAD) Kerberos. Технология призвана избавиться от основных болячек модели развертывания с доверием на основе ключей.
🔹 WHfB Cloud Trust упрощает развертывание, поскольку не требует внедрения PKI или изменения его текущей инфраструктуры.
🔹 Доверие на основе облака не требует синхронизации публичных ключей между AAD и локальным контроллером домена для пользователей, осуществляющих доступ к локальным ресурсам. Поэтому пользователи готовы аутентифицироваться сразу по окончании подготовки (provisioning).
🔹 Развертывание WHfB Cloud Trust позволяет внедрить беспарольные ключи безопасности с минимум усилий.
ℹ️ Сведения из первых рук:
• Статья Hybrid Cloud Trust Deployment (Preview) в документации Microsoft
• Серия твитов разработчика фичи, скопированная в блог. Он доступно объясняет, но надо владеть языком и темой.
Просматривая описание предварительного обновления KB5010415 неделю назад, я с изумлением обнаружил серьезную новую фичу. Где-то посередине одного из сложенных списков исправлений. Новостей об этом не было нигде 🤷♂️
Если локальная беспарольная аутентификация с использованием Azure AD для вас не пустой звук, предлагаю занимательный #longread!
👉 Новая технология отныне назначается любимой женой, в смысле рекомендуется вместо доверия на основе ключей. Для затравки тезисы из документации, опубликованной буквально вчера.
Доверие на основе облака в Windows Hello for Business (WHfB) опирается на Azure Active Directory (AAD) Kerberos. Технология призвана избавиться от основных болячек модели развертывания с доверием на основе ключей.
🔹 WHfB Cloud Trust упрощает развертывание, поскольку не требует внедрения PKI или изменения его текущей инфраструктуры.
🔹 Доверие на основе облака не требует синхронизации публичных ключей между AAD и локальным контроллером домена для пользователей, осуществляющих доступ к локальным ресурсам. Поэтому пользователи готовы аутентифицироваться сразу по окончании подготовки (provisioning).
🔹 Развертывание WHfB Cloud Trust позволяет внедрить беспарольные ключи безопасности с минимум усилий.
ℹ️ Сведения из первых рук:
• Статья Hybrid Cloud Trust Deployment (Preview) в документации Microsoft
• Серия твитов разработчика фичи, скопированная в блог. Он доступно объясняет, но надо владеть языком и темой.
