Днс расшифровка магазин: история создания компании, основные этапы развития

«БИЗНЕС ПО-РУССКИ» — ВСЯ ПРАВДА О КОМПАНИИ DEXP (DNS).

1 сентября 2016

В наше время существует явление, которое негласно получило название «бизнес по-русски». Это когда качество товаров и/или услуг крайне низкое, но при этом бизнес всё-таки существует благодаря низкой конкуренции или иным схемам, уровню хитрости и наглости которых позавидовал бы сам Остап Бендер. Почему «по-русски»? Да потому, что только в этой стране возможна ситуация, в которой фирма-производитель товаров (или поставщик услуг) с качеством «ниже некуда» может выпустить подобный товар на рынок, и при этом не закрыться, или, хотя-бы, не закрыть подразделение, допустившее выпуск такого хлама, с последующим отзывом всех единиц товара из продажи.

Сегодня мы рассмотрим это явление во всей красе на примере товаров, выпускаемых под брендом «Dexp». Предупреждаю сразу — букв много, но история стоит того, чтобы быть прочитанной до конца, поверьте мне на слово — она полна интриг и острых сюжетных поворотов.

Dexp (читается «дэксп») — владивостокская фирма, выпускающая электронику и технику под собственным одноимённым брендом, которую, в последствии, продают в сети магазинов «DNS» по всей России. Это — официальная версия. А теперь более детально…

Dexp — это и есть DNS. Т.е. это их «дочернее» подразделение. Раньше (года примерно до 2012-го, точнее не скажу) DNS тоже занимался выпуском техники под маркой с идентичным названием (DNS), но когда продажи упали вследствии того, что народ «наелся» отвратительным качеством товаров под маркой «DNS», руководство компании стало придумывать, как быть дальше. Решение было простым — ребрендинг. Который никак не повлиял на качество товаров (как было паршивое, так и осталось).

О производстве отдельно — производства, как такового, у DЕХРа нет. Они берут китайские безымянные поделки и продают их под собственной маркой. Собственно, такая же картина наблюдается почти у всего, что сделано «в России». Русского там чуть менее, чем ничего. Разве что логотип, да и тот буржуйскими буквами. В лучшем случае такие «производители» могут заказать китайскому поставщику выполнить заказ по своим техническим требованиям. И, почему-то, подают это как сделанное в России.

Здесь я немного отступлю от основных героев моего повествования и расскажу, что сети магазинов, основная роль которых сводится к перепродаже товаров известных западных брендов, будь то электроника или одежда или что-то иное, никогда (по крайней мере в России) не могут толком наладить собственное производство товаров хотя бы минимально приемлегого качества, как ни пытаются. Это касается не только DNS и их «дочки» DEXP, но и, например, сети магазинов «Спортмастер» с их собственными брендами (коих у сети «Спортмастер» несколько: «Outventure», «Nordway», «Joss», «Demix»): и у первых и у вторых качество товаров просто отвратительное, не говоря уже о проценте брака прямо на витринах.

На этом мы подходим к основной части повествования — количестве брака в товарах марки DEXP, и о том, что побудило меня написать эту статью.

Недавно я решил приобрести смартфон марки DEXP. Причин тому было несколько. Да, до этого я слышал, что у DNS и DEXP есть проблемы с качеством, но я не подозревал о масштабах. Короче говоря — решил рискнуть. Тем более, если что, есть гарантия. Но основная причина не в этом. Основная причина — в технических характеристиках, на которых и основаны все продажи смартфонов марки DEXP.

Выбор пал на смартфон DEXP XL140 FLASH. Дело в том, что это (на момент покупки и написания этой статьи) вообще ЕДИНСТВЕННЫЙ СМАРТФОН «В ПРИРОДЕ» с небольшой диагональю экрана (4 дюйма) и ёмкой батареей (3000 мА). Т.е. конкурентов в своём сегменте у них нет не только по цене, но и нет вообще — я не нашёл ни одного 4-х дюймогого смартфона другой марки с такой же или хотя-бы чуть меньшей по ёмкости батареей. Вот он этот, с позволения сказать, смартфон (кстати, у DEXP есть ещё модель Ixion XL 240 TRIFORCE, внешне выглядит идентично):

На этом и построена львиная доля продаж этого (подозреваю, что и не только этого) смартфона — очень многим людям нужен смартфон с маленьким экраном, который при этом можно заряжать всего один-два раза в неделю. А смартфон с такими характеристиками существует ТОЛЬКО у компании DEXP. Вот люди и покупают, чаще всего не зная, что их ждёт, или просто надеясь (как в моём случае), что у DEXP всё не так плохо, как рассказывают.

В плюс ко всему вышесказанному нужно добавить, что у компании DNS (которая, как уже сказано, и занимается продвижением товаров DEXP) есть отдел, который работает очень хорошо. Это их PR-служба. Надо отдать должное, работают ребята на славу — заказные статьи на таких именитых сайтах, как Хабрахабр, mobilereview, 4pda, и даже видео с обзором от самого Дмитрия «Гоблина» Пучкова. Вот тут жму руку коллегам (сам занимался PR-ом в своё время) из Владивостока — таких пиарщиков надо ещё поискать. Вот правда не брезгуют они и подлыми методами — написанием заказных положительных отзывов о своих товарах и удалением отрицательных (то, что отрицательные отзывы на товары DEXP удаляются с сайта сети DNS — доказаный факт, доказательство вот в этом посте: http://evgens.livejournal.com/263273. html). Только так можно объяснить обилие положительных коментариев и отзывов на сайте магазина DNS, Яндекс-маркете и других интернет магазинов и площадок. Ну не может быть при честной схеме, чтобы положительных коментариев на товар, у которого по самым минимальным подсчётам ТРЕТЬ брака лежит уже на витрине, а ещё сколько то вскрывается в первый месяц использования (о том, откуда эти ужасающие цифры, я напишу ниже).

Я думаю вы уже догадались, что после покупки «счастье» было не долгим — через 5 дней использования у смартфона пропал звук громкоговорящего динамика. Я принёс его в сервис, где мне тут же выдали бумагу на обмен или возврат денег. В тот момент я всё ещё хотел получить «маленький» смарт с большой батарейкой, поэтому обменял его на точно такой же новый.

Второй по счёту DEXP XL140 FLASH не проработал и нескольких часов — перестала работать схема заряда. По простому — смартфон «не видит» зарядное устройство и не заряжается.

На этот раз я отправился в сервисный центр уже с целью вернуть деньги — ибо был уже на сто процентов уверен, что компания DEXP не способна произвести на свет нечто, что проработает больше месяца. На этот раз я специально обратил своё внимание на людей в очереди сервисного центра DNS (а очередь была огромной). В очереди суммарно я наблюдал 16 человек (надо отметить, что когда я ушёл за мной всё ещё росла очередь), из которых только два человека принесли в сервис товары не произведённые на свет компанией DEXP (один сдал в ремонт материнскую плату, а другой забрал из ремонта ноутбук марки ASUS)! 14 из 16 посетителей сервисного центра пришли сдавать технику DEXP! И судя по тому, что большинство приносило полную комплектацию и в упаковке, проработало это всё (там был телевизор, планшет, монитор, смартфоны и пр.) совсем недолго.

На этот раз, почему-то, всё решилось не так быстро, и смартфон у меня изъяли «для проведения контроля качества» на срок до 7-и суток. Хотя что-там нужно проверять, когда сразу видно, что смарт не заряжается, сервисмен мне внятно объяснить не смог. Чтож, воевать в одиночку против системы я не стал. Пришлось немного подождать. Через 5 дней (спасибо, что хоть не через 7) сервисный центр DNS выяснил, что смартфон действительно не видит зарядное устройство, и мне одобрили возврат денег. На этот раз я именно вернул деньги, потому что больше связываться с любой продукцией компании DEXP я не собираюсь и никому не советую.

Но на этом я не закончил. Мой хороший товарищ работает консультантом в одном из магазинов DNS. Я сразу не пошёл за смартфоном к нему только потому, что территориально от меня его магазин расположен дальше всего. Отмечу, что знаю его как исключительно честного человека. Так вот, поведав ему свою историю я услышал: «DEXP — го*но, не бери никогда и ни в коем случае. Когда у меня просят посмотреть что-то от DEXP я так и говорю: «DEXP я вам не продам. Возьмите что-то другое, или ищите другого продавца». К сожалению не все продавцы в магазинах DNS таких высоких моральных качеств.

Но и этим я не удовлетворился я стал искать в интернете информацию о реальном проценте брака в товарах DEXP. Если хорошо поискать, то можно найти невероятное множество историй о качестве (а точнее о его отсутствии) товаров компании DEXP. Вот, например, скриншот куска страницы http://whichbetter. ru/dexp-ocherednoj-rossijskij-shildik/:

И таких статей много. Конечно, можно было бы подумать, что все они написаны «обиженными» покупателями, но на сайте mobile-review в статье «10 смартфонов DEXP с МЕГАбольшими батарейками» в коментариях я нашёл любопытнейший диалог между, как выясняется, руководителем (бывшим) сервиса DNS и Михаилом Фадеевым. Приведу скриншот, а вы не поленитесь — пройдите на источник и прочитайте до конца, там прямо Санта-барбара, в которой сотрудник компании DNS отзывается о её товарах как об одноразовых:

Особую «изюминку» в вышеописаный спор вносит Михаил Фадеев. Дело в том, что я уже пересекался с его личностью в интернете, в блоге у Тимы ntv, в статье про разоблачение компании AdvoCam, которая перепродаёт китайские камеры под соусом «это наша разработка». Тот самый Михаил Фадеев заспамил все коментарии простынёй с одинаковым текстом, смысл которого сводится к «вы ничего не понимаете, это на самом деле наша разработка, блаблабла ну и что, что внешне она полностью идентична китайцу с другим названием». Вот ссылка на эту статью: http://ntv.livejournal.com/423547.html Но на этом Михаил не успокоился. Как выяснилось, Михаил Фадеев — человек крайне неадекватный, и всем, кто как-либо пытался с ним спорить в коментариях, он стал написывать в личку в соц.сетях, скайпы, аськи и даже звонить на мобильные номера, которые нетрудно было найти. Не избежал этой участи и я, и сам Тима ntv, автор разоблачающей статьи. Вследствии чего Фадеев удостоился уже отдельного поста в ЖЖ Тимы, вот ссылка: http://ntv.livejournal.com/423920.html и скриншот для ленивых:

Так вот, тот самый неадекватный Михаил Фадеев, почему-то, защищает «в интернете» компанию Dexp. Видимо, работа у него такая — защищать конторы, продающие китайский ширпотреб убогого качества как собственную разработку:

Крайне рекомендую всем сходить и почитать оригиналы статей по приведённым мной выше ссылкам на мобайл ревью и в ЖЖ Тимы — много интересного узнаете про «сделанное в России» и про личностей, продвигающих эти товары.

Итак, подведём итог: покупать товары под маркой DEXP нельзя ни в коем случае! Во-первых, как мы высянили, брака там минимум треть, так зачем вам такая невыгодная лотерея? Во-вторых, нельзя их покупать ещё потому, что таким образом вы поддерживаете явление, которое уже получило название «бизнес по русски». А такой бизнес, какой ведёт компания DEXP, нужно всячески истреблять. Чтобы выражение «бизнес по-русски» перестало существовать. Чтобы, наконец-то, русский народ перестал «хавать» продукцию низкого качества. Чтобы компнаии, занимающиеся чем-то в России, начали уважать своих клиентов, а не навязывать им то, что в цивилизованных странах вообще не смогло бы существовать.

UPD: Компания DEXP выпускает также чехлы (флипкейсы) для телефонов собственной марки. И что я узнал недавно: чехол, выпущенный компанией DEXP для своих 4-х дюймовых моделей телефонов НЕ ПОДХОДИТ ПО РАЗМЕРУ! Вы только вдумайтесь: чехол DEXP для телефона DEXP не подходит к телефону, к которому выпущен! И при этом совершенно спокойно продаётся, абсолютно без всякого зазрения совести.

UPD2: DNS и DEXP удаляют негативные отзывы на товары марки DEXP с сайта сети магазинов DNS. Доказательство по ссылке: http://evgens.livejournal.com/263273.html

«Эти болваны купят любое де**мо» — вот так к вам относится компания DEXP. Такого позволять нельзя.

16 июля 2022

Большое путешествие из Хабаровска в Грузию

Прошёл уже почти год с момента моего путешествия в Грузию, а я только сейчас закончил статью об этом. Для меня…

Путешествия

Что такое ошибка 502 и как её исправить

9 июля 2021ЛикбезТехнологии

Инструкции для пользователей и для администраторов сайтов.

Поделиться

Что означает ошибка 502

Ошибка 502 Bad Gateway указывает, что сервер, с которым пытался соединиться ваш компьютер или смартфон, получил неверный ответ сервера уровнем выше. Чаще всего это происходит из‑за проблем в работе DNS, прокси или хостинга.

Как пользователю исправить ошибку 502

Идите от простого к сложному — и в какой‑то момент ошибка, возможно, исчезнет.

Проверьте подключение к интернету

Попробуйте зайти на другие страницы или посмотреть, приходят ли сообщения в мессенджерах. Если ничего не доступно, значит, дело не в настройках сайта, а в вашем интернет‑подключении.

Посмотрите, у всех ли отображается ошибка 502

Зайдите на сайт с другого компьютера или смартфона. Если ошибка там не отображается, значит, дело именно в настройках вашего устройства — читайте дальше, как это исправить.

Если другого гаджета под рукой нет, можно воспользоваться онлайн‑сервисами. Они покажут, доступен ли сайт у других пользователей:

• Down for Everyone or Just Me;
• Is It Down Right Now;
• Reg.ru;
• 2IP.

Обновите страницу

Иногда разработчики устанавливают определённый лимит на число запросов к сайту за конкретный промежуток времени — минуту или секунду. Если вы пытаетесь зайти на популярную страницу и видите ошибку 502, то, возможно, слишком много пользователей делают то же самое.

Если причина ошибки заключается именно в этом, поможет простое обновление страницы. Можно нажать на кнопку с круглой стрелкой в браузере или F5 на клавиатуре.

Попробуйте другой браузер

Если видите ошибку 502 только на одном устройстве, возможно, дело в настройках конкретной программы. Откройте сайт в другом браузере: порой это решает проблему.

Отключите плагины и расширения в браузере

Нередко браузерные плагины и расширения, особенно для работы с прокси- и VPN‑сервисами, блокируют доступ к отдельным сайтам, и возникает ошибка 502. Попробуйте отключить их и снова зайти на страницу. Если у вас запущены приложения для прокси или VPN, закройте и их.

Очистите кеш браузера

Возможно, в кеше вашего браузера содержатся неверные данные, из‑за них при попытке открыть сайт возникает ошибка 502. Если очистить кеш, проблема может решиться.

1 / 0

2 / 0

3 / 0

Вот как это сделать в Chrome.

1. В настройках перейдите к разделу «Конфиденциальность и безопасность» и выберите пункт «Очистить историю».
2. Поставьте галочки напротив второго и третьего пунктов: «Файлы cookie и другие данные сайтов», «Изображения и другие файлы, сохранённые в кеше».
3. Затем нажмите «Удалить данные».

Инструкции для остальных браузеров ищите здесь.

Очистите кеш DNS

В Windows 10

• Чтобы вызвать консоль, напишите cmd в окне поиска меню «Пуск».
• В открывшемся окне введите команду ipconfig /flushdns и нажмите Enter.

В Windows 7

• В консоли введите команду ipconfig /flushdns и нажмите Enter.
• Затем там же выполните команды net stop dnscache и net start dnscache, чтобы перезапустить службу DNS‑клиента.

В macOS

• Нажмите на иконку поиска в правом верхнем углу и напишите «Терминал».
• В открывшемся окне терминала введите команду sudo killall -HUP mDNSResponder; sleep 2;.

В Linux

• Запустите терминал сочетанием клавиш Ctrl + Alt + T или из основного меню.
• В открывшемся окне введите команду sudo service network‑manager restart и нажмите Enter. Это точно работает на Ubuntu и иногда на других дистрибутивах. Альтернатива — команды sudo systemd‑resolve —flush‑caches или sudo /etc/init.d/nscd restart.

Возможно, в определённых дистрибутивах потребуется запуск других команд и служб.

Перезагрузите роутер

Зайдите в консоль управления маршрутизатором и найдите соответствующий пункт. Или отключите питание устройства на 10–15 секунд, а затем снова подключите его к электросети.

Измените DNS‑сервер по умолчанию

В настройках роутера укажите адреса публичных DNS‑серверов. Например, можно вписать IPv4 для Google Public DNS: 8.8.8.8 или 8.8.4.4. Или, если ваш сервер поддерживает IPv6, задайте адреса 2001:4860:4860::8888 и/или 2001:4860:4860::8844.

Зайдите позднее

Возможно, с вашей стороны ничего нельзя сделать — особенно если ошибка 502 появляется не только у вас. В такой ситуации единственный выход — попробовать зайти на сайт позже.

Сообщите администратору

Если у вас есть контакты администратора сайта, расскажите ему об ошибке 502. Возможно, он ещё не в курсе проблемы и, соответственно, пока не решает её.

Как администратору исправить ошибку 502

Если ошибка 502 появляется при загрузке вашего сайта, попробуйте выполнить эти действия одно за другим, пока проблема не исчезнет.

Проверьте журнал ошибок

В логах можно найти много полезной и интересной информации. Определите момент, когда впервые появилось сообщение об ошибке 502, и проанализируйте события, которые этому предшествовали. Часто это помогает понять, что произошло и как это исправить.

Отключите или удалите свежие плагины и компоненты

Иногда установка новых компонентов и плагинов на сайт приводит к конфликтам. В результате ресурс не работает, как нужно, а пользователи видят ошибку 502 у себя в браузерах.

Если вы недавно обновляли сайт, попробуйте удалить свежеустановленные компоненты. Действуйте пошагово и после каждого изменения проверяйте, не исчезла ли ошибка.

Попробуйте отключить анти‑DDoS

Часто хостинги предлагают готовые инструменты, которые предупреждают DDoS‑атаки на сайт. Такие решения перенаправляют трафик от посетителей на специальные серверы. Там DDoS‑запросы отделяются от реальных, трафик очищается, оптимизируется и передаётся вашему ресурсу.

Но если в этой цепочке что‑то идёт не так, возникает ошибка 502. Попробуйте временно отключить анти‑DDoS — иногда после этого проблема исчезает.

Увеличьте количество ресурсов

Причиной ошибки 502 может быть нехватка мощностей хостинга, на котором размещается ваш сайт. Особенно это характерно для виртуальных серверов.

Если при работе сайта вы выходите за рамки ограничений тарифного плана, хостинг разрывает соединение. Обычно информацию об этом можно найти в логах. В таком случае нужно арендовать сервер с большим количеством процессоров и оперативной памяти.

Попросите помощи

Поищите решение проблемы в FAQ вашего хостера или на Stack Overflow. Высока вероятность, что вы не первый, кто столкнулся с такой ситуацией, и готовый рецепт уже описан в деталях.

Если же советы из интернета не работают, создайте свою тему на форуме или попросите помощи у более опытных коллег. Возможно, они подскажут что‑то дельное.

Если и это не помогло, возможно, стоит обратиться за консультацией к специалисту — сотруднику вашего хостинга или эксперту по движку вашего сайта. Они проанализируют проблему комплексно, найдут её причину и избавят от ошибки 502.

Читайте также 💿⚙️💻

• Что делать, если тормозит браузер
• Как исправить ошибку CPU Fan Error при загрузке компьютера
• Что делать, если DNS-сервер не отвечает
• Что такое ошибка 500 и как её исправить
• Что означает 404 Not Found и другие ошибки веб-страниц

Настройка Smart TV на телевизорах LG (просмотр IP TV без приставки)

Внимание! Приложение SS IPTV, позволяющее просматривать IP TV на телевизорах LG, гарантированно работает на телевизорах 2012-2013 гг.

Cерии телевизоров, выпущенных в 2013г:

• LN
• LA

Серии телевизоров, выпущенных в 2012г:

• LW
• LM
• PA
• PM
• LS

Серии телевизоров, выпущенных в 2011г.:

• LV

Пример расшифровки: модель телевизора 42LA690V

Это 2013 год выпуска.

Теперь собственно инструкция по настройке:

Настройка проводного подключения к интернету (LAN)

Соедините LAN-порт, расположенный на задней панели телевизора, со свободным портом роутера с помощью сетевого кабеля необходимой длины (кабель не входит в комплект поставки телевизора).

Откройте Smart-меню, нажав на пульте кнопку «Home», и выберите пункт «УСТАНОВКА».

В открывшемся окне перейдите на вкладку «СЕТЬ», пункт «Настройка сети: проводной»

Как правило, в большинстве случаев (если в проводной сети используется широкополосный маршрутизатор) соединение может быть установлено при автоматических настройках по умолчанию – в этом случае выбирайте режим «Автонастройка IP».

Если Вам потребуется указать IP-адрес и адрес сервера DNS вручную, воспользуйтесь режимом «Ручная настройка IP» и введите адреса при помощи кнопок пульта управления. 

Нажмите кнопку «ОК». Телевизор проверит настройки сети и выведет на экран результат подключения.

Настройка беспроводного подключения к интернету (WiFi)\

Посмотрите в Руководстве пользователя, присутствует ли в Вашей модели телевизора встроенный модуль WiFi.

Если в вашей модели он отсутствует, Вы можете подключить телевизор через WiFi-адаптер для USB-порта LG AN-WF100 (приобретается отдельно).

Подключите WiFi адаптер в свободный USB-порт телевизора.

Перед подключением необходимо настроить точку доступа.

Её рекомендуется располагать не ближе чем в одном метре от телевизора, чтобы избежать помех и конфликтов с пультом управления.

Если для Вашего телевизора доступно беспроводное подключение к сети, на экране настроек появится пункт: «Настройка сети: беспроводной».

Выберите его, нажав кнопку ОК на пульте.

В появившемся окне выберите желаемый способ соединения:

• «Настройка из списка точек доступа (AP)» — если Вы знаете название своей домашней WiFi сети и дополнительные параметры.
• «Простая установка (режим WPS-кнопки)» — если Ваш роутер поддерживает режим автоматического подключения Wi-Fi Protected Setup. Это наиболее лёгкий способ установки — просто нажмите WPS-кнопку, выйдете в меню телевизора, нажмите Подключить и выберите автоматическую или ручную настройку IP, как и при проводном подключении.
• «Настройка сети [Ad-hoc]» — если Вы хотите подключить телевизор к домашней беспроводной сети, но без доступа к Интернету. На компьютере в настройках сетевого подключения необходимо ввести IP адрес (192.168.0.1), маску подсети (255.255.255.0) и шлюз по умолчанию (192.168.0.10).
• При выборе этого способа подключения нужно будет ввести идентификатор сети и защитный ключ устройства (информацию о настройках при желании можно изменить с помощью красной кнопки), затем ввести адрес шлюза компьютера в качества IP-адреса телевизора и наоборот — IP-адрес компьютера в качестве шлюза телевизора.

В списке найденных WiFi сетей выберите название Вашей точки доступа или WiFi маршрутизатора.

Если ваша WiFi сеть защищена паролем, введите его при помощи пульта, нажав на красную кнопку «PIN».

Телевизор проверит настройки сети и выведет на экран результат подключения:

Заведение услуги IPTV через личный кабинет или в офисе компании Марк.

Активация услуги IPTV через личный кабинет описана по ссылке http://mark.ru/support/instruction/kak_nastroit_ip_tv_pc_version/.

Дополнительно для просмотра IPTV через приложение SS IPTV переключите тип оборудования в разделе “заведение и оплатат услуг” личного кабинета на Dune HD, нажав на соответствующую кнопку:

Услугу IPTV можно протестировать один раз бесплатно в течение 7 дней, нажав на кнопку “тестирование” в личном кабинете. В тестовом режиме доступно 8 федеральных каналов + 1 канал в HD-качестве. Здесь же можно выбрать тарифный план: базовый или расширенный после тестирования услуги. Также завести услугу IPTV можно на любой точке обслуживания клиентов компании Марк.

Регистрация в магазине LG Apps и скачивание приложения SS IPTV

Изначально для дальнейшей работы по активации списка каналов Вам нужно набрать в браузере компьютера строку: http://vod.izhcom.net/dune/playlist_ID_Pin.m3u,

где ID и Pin — реквизиты, полученные при оформлении договора. Вводите внимательно без ошибок, обратите внимание на подчеркивание _.

После можно запускать приложение на самом телевизоре. Для этого зайдите в магазин LG Apps TV через интерфейс LG Smart TV и зарегистрируйтесь: необходимо создать ID и пароль, указать свои данные (ФИО, эл.почту), нажать ОК.

Далее в разделе LG Smart World выберите приложение SS IPTV. Затем нажмите в появившемся окне кнопку “скачать”. 

 После закачки запустите приложение, нажав соответствующую кнопку “запустить”.

В открывшемся приложении выберите раздел “провайдер”

В столбце “страна” выберите Russian Federation, в столбце “город” — Ижевск, в столбце “провайдер” — Ижком ТВ, далее нажмите на галочку в правом верхнем углу

В открывшемся списке каналов выберите необходимый, нажмите на иконку, соответствующую ему, дождитесь, когда начнется воспроизведение канала.

Если у вас включен тестовый пакет IPTV, будет отображаться полный список каналов расширенного пакета, но работать будут только каналы из указанного перечня:

• первый канал
• россия-1
• россия-2
• нтв
• пятый канал
• россия-к
• россия-24
• карусель
• общественное телевидение России
• тв центр
• спорт 1 HD

Служба расшифровки паролей | Документация AdmPwd.E

Служба расшифровки паролей (PDS) играет следующие ключевые роли:

• Обработка запросов на получение и сброс пароля от пользователей
• Управление паролями для управляемых учетных записей домена
• Обслуживание пар ключей для шифрования/дешифрования паролей при сохранении в AD
• Принудительное проведение аудита
• Проверка лицензии
• Централизованная отчетность о клиентской активности

PDS предназначен для работы в нескольких доменах и лесах AD. Это означает, что домен/лес AD может быть покрыт экземпляром PDS, работающим в другом домене/лесу AD, при условии соблюдения следующих предварительных условий:

• Существует по крайней мере одностороннее отношение доверия между лесом, в котором установлен PDS (лес PDS), и другим лесом, так что разрешения могут быть предоставлены участникам безопасности из леса PDS в другом лесу.
  • Или альтернативные учетные данные хранятся в конфигурации PDS для использования при проверке подлинности в удаленном лесу.
    В таком случае доверительные отношения не требуются, если альтернативные учетные данные разрешаются удаленным лесом
• Разрешения на чтение пароля, сброс пароля и для самого PDS предоставляются с использованием объектов, разрешаемых из домена/леса PDS, таких как глобальные группы из леса PDS
  • Или — в случае ненадежного леса, подключенного через альтернативные учетные данные — сопоставление SID настроено
• PDS разрешено выполнять аутентифицированные операции LDAP с контроллерами домена другого домена/леса
• Любой домен AD, в котором пользователи службы PDS имеют учетные записи пользователей, имеет записи SRV для PDS, созданные в его зоне DNS, указывающие на экземпляры серверов PDS, чтобы клиентские инструменты могли найти экземпляр PDS.
  • Или объект групповой политики « PDS для использования » настроен и применяется к машинам, на которых запущены инструменты администрирования

Управление паролями учетных записей пользователей домена

Одной из задач, для которых предназначен PDS, является безопасное управление паролями доменных учетных записей. Эта функция чрезвычайно полезна для управления вторичными учетными записями, которые используются для администрирования приложений и обычно не используются для входа на рабочую станцию. PDS помогает защитить пароль следующим образом:

• Регулярно изменяет пароль управляемой учетной записи (аккаунтов) на случайное значение и сохраняет пароль в зашифрованном виде с помощью управляемой учетной записи (в атрибуте AD ms-MCS-AdmPwd )
• Позволяет установить контроль доступа, чтобы только соответствующие пользователи имели право читать пароль
• PDS предоставляет пароль для учетной записи управляемого домена по требованию правомочным лицам
• , в то же время PDS записывает контрольный журнал, поэтому всегда известно, кто и когда прочитал пароль учетной записи управляемого домена

Это означает, что пользователям таких вторичных учетных записей не нужно запоминать свои пароли, заботиться о смене паролей и т. д. Это значительно повышает безопасность паролей паролей, потому что пароль надежно хранится в AD и доступен при необходимости, а пользователи не испытывают искушение хранить его в своих личных хранилищах, в своих устройствах, которые оставляют с собой организацию.

AdmPwd.E Integration SDK упрощает включение автоматического извлечения пароля для управляемых учетных записей домена в другие инструменты, такие как RDP-менеджеры и инструменты RunAs, поэтому подходящим пользователям даже не нужно знать пароль, когда им нужно его использовать, и не необходимо иметь дело со сложностью пароля, который обычно требуется для учетных записей этого типа.

PDS регистрирует все действия в специальном журнале Windows: журналы приложений и служб — GreyCorbel-AdmPwd.E-PDS/Operational.
Спецификация ведения журнала для PDS представлена ​​в специальном разделе

Реализация

PDS реализован как служба Win32 с именем «AdmPwd.E PDS» и отображаемым именем « AdmPwd. E Password Decryption Service ».
Исполняемый файл службы и все связанные файлы устанавливаются в %ProgramFiles%\AdmPwd\PDS и по умолчанию устанавливаются для запуска под учетной записью NETWORK SERVICE.

Конфигурация службы управляется конфигурационным файлом AdmPwd.PDS.exe.config, расположенным в папке установки службы.

Хранилище ключей для ключей шифрования/дешифрования

По умолчанию PDS хранит ключи дешифрования в виде отдельных файлов (по 1 файлу на пару ключей) в подпапке CryptoKeyStorage.
Программа установки устанавливает ACL для этой подпапки так, чтобы только СИСТЕМА, Администраторы и СЕТЕВАЯ СЛУЖБА имели к ней доступ.
Хранилище ключей на основе файловой системы является опцией по умолчанию, доступной в настройках PDS. Файловая система поддерживает локальное хранилище ключей и общее хранилище файлов — по умолчанию используется локальное хранилище.
PDS также поддерживает расширяемость, позволяющую реализовать собственное хранилище ключей. В настоящее время доступны следующие варианты хранения ключей:

• Хранилище ключей файловой системы : хранит ключи в файловой системе (по умолчанию в папке CryptoKeyStorage в папке установки PDS). Это хранилище ключей всегда устанавливается вместе с PDS.
• Хранилище ключей Azure KeyVault : хранит ключи в Azure KeyVault как секреты. Загружает ключи из KeyVault при запуске службы PDS.
  Примечание . Реализация этого хранилища ключей доступна как решение с открытым исходным кодом на GitHub 9.0006
• Хранилище ключей HSM : Этот тип хранилища ключей доступен с любым HSM, поддерживаемым Cryptomathic Crypto Service Gateway (CSG)
  Примечание : Этот тип хранилища ключей подлежит отдельному лицензированию

Обнаружение PDS

Средства управления не требуют специальной настройки для доступа к экземпляру PDS. PDS автоматически обнаруживается логикой, реализованной в Integration SDK, который поставляется с решением, и используется всеми клиентскими инструментами, которые поставляются с решением. Integration SDK поддерживает следующие способы обнаружения экземпляра PDS:

• Записи DNS SRV : Служба PDS регистрирует и поддерживает запись DNS SRV, которая используется клиентами службы для поиска действующего экземпляра службы.
• Политика реестра PDSList : Значение реестра, которое может содержать или несколько имен (и TCP-портов), которые должны использовать клиенты управления

Примечание : когда используются оба механизма, значение реестра имеет приоритет над записями SRV. Примечание : Дополнительные сведения об автообнаружении PDS см. в разделе Обнаружение PDS 9.0003

Программа установки PDS регистрирует файл PDS.Messages.dll в качестве сообщения о событии и файла ресурсов для средства просмотра событий. PDS записывает данные в 2 канала:

• Операционный канал : Вся информация о деятельности, лицензировании и аудите
• Отчеты об активности клиентов : События, пересылаемые управляемыми машинами

Примечание : Дополнительные сведения о регистрации PDS см. в разделах Ведение журнала PDS и Централизованная отчетность PDS

инструментов защиты конфиденциальности iOS: зашифрованный DNS, частный ретранслятор iOS 15, прокси, VPN и TOR

Защита конфиденциальности в Интернете становится все более важной. Поскольку интернет-провайдеры продают данные об использовании своих клиентов направо и налево, а различные приложения, почта и веб-трекеры вносят свой вклад в пул «анонимных» данных, деанонимизация становится возможной благодаря анализу больших данных. Это было ясно продемонстрировано недавним событием, отмеченным увольнением католического священника после того, как «анонимные» данные выявили предполагаемое использование Grindr.

«Хотя это может быть первый случай, когда онлайн-активность публичного лица раскрывается с помощью совокупных данных, «к сожалению, это происходит очень часто» для широкой публики», — сказал Ars Андрес Арриета, директор по разработке конфиденциальности потребителей в Electronic Frontier Foundation. . «Есть компании, которые извлекают выгоду из поиска реального человека за рекламными идентификаторами». Кроме того, деанонимизировать данные, как это сделал The Pillar, очень просто. По словам Арриеты, все, что вам нужно сделать, чтобы купить данные, — это притвориться компанией. Он добавил, что для просеивания данных не требуется специальных технических навыков».

Apple попыталась защитить местоположение своих пользователей, введя приблизительное местоположение в iOS 14. Одно только это изменение делает анализ совокупных данных от пользователей iPhone более сложным, но не невозможным. В этой публикации мы сравниваем инструменты для защиты конфиденциальности в Интернете при использовании устройств Apple iOS и настольных компьютеров, делая действия в Интернете недоступными для посредника.

Зачем кому-то шифровать свои DNS-запросы? Причина очень похожа на шифрование HTTPS-трафика. «Когда люди выходят в Интернет через ваше приложение, их конфиденциальность имеет первостепенное значение», — говорится в докладе Apple на конференции WWDC 2020. «Когда ваше приложение обращается к веб-сайту, система задает вопрос, DNS-запрос, чтобы превратить это имя в набор адресов. Как правило, вопрос отправляется на DNS-сервер, настроенный в вашей локальной сети. Итак, при чем здесь конфиденциальность? Одна из проблем заключается в том, что вопросы и ответы DNS обычно отправляются по незашифрованному транспортному протоколу UDP. Это означает, что другие устройства в сети могут не только видеть, какие имена вы ищете, но и даже мешать ответам. Другая проблема конфиденциальности заключается в том, что вы можете не доверять преобразователю DNS в своей локальной сети. Если вы присоединились к общедоступной сети Wi-Fi, ваше использование Интернета может быть отслежено или заблокировано».

«Итак, как зашифрованный DNS улучшает эту ситуацию? Проще говоря, зашифрованный DNS использует шифрование для защиты ваших вопросов и ответов DNS. И если вы не доверяете сети, в которой находитесь, это также может включать отправку ваших вопросов на DNS-сервер, которому вы доверяете». (стенограмма WWDC 2020)

В Windows использовать безопасный DNS-сервер легко, если вы используете Microsoft Edge. Для iOS вам нужно будет установить приложение или создать профиль для использования зашифрованного DNS; подробнее об этом позже.

Какую безопасную службу DNS выбрать?

Существует несколько безопасных служб DNS. Наиболее часто используемые из них — Cloudflare, Google, OpenDNS, NextDNS и AdGuard.

Cloudflare открыла свои DNS-серверы для публики в 2018 году. Компания утверждает, что ее уникальная технология WARP обеспечивает более высокую степень защиты по сравнению с другими поставщиками услуг DNS. Нет политики ведения журналов, и компания заявляет, что не будет делиться данными с рекламодателями. Ссылка на Политику конфиденциальности (прокрутите вниз до раздела «Пользователи общедоступного преобразователя DNS»).

Google Public DNS предлагает разрешение DNS через TCP-соединения с шифрованием TLS. Известно, что Google охотится за данными своих клиентов и управляет одной из крупнейших рекламных сетей. Данные собираются в соответствии с Политикой конфиденциальности компании. Доверять ли Google свои DNS-запросы, решать вам.

OpenDNS — общедоступная служба DNS. В 2015 году ее приобрела Cisco. OpenDNS имеет противоречивую политику конфиденциальности, позволяющую компании хранить журналы DNS-запросов в течение 2 рабочих дней, если у пользователя нет учетной записи в компании. Пользователи с учетными записями могут при желании выбрать другой параметр хранения или отказаться от ведения журнала. Обратите внимание, что название «OpenDNS» относится к концепции DNS, согласно которой запросы принимаются из любого источника. Это не связано с программным обеспечением с открытым исходным кодом.

NextDNS объявляет политику нулевого ведения журнала, которая по умолчанию активна для всех пользователей. Пользователи могут создать дополнительную учетную запись, и в этом случае NextDNS хранит журналы за 3 месяца с возможностью полного отключения ведения журнала.

AdGuard — относительный новичок, рекламирующий строгую политику нулевого ведения журналов для своих DNS-сервисов. Помимо разрешения интернет-адресов, служба AdGuard DNS может автоматически фильтровать рекламу, вредоносные веб-сайты, отслеживание и фишинг.

LibreDNS

Это общедоступная зашифрованная служба DNS, управляемая LibreOps, организацией, которая вносит свой вклад в другие бесплатные технологии с открытым исходным кодом, которые люди могут использовать для сохранения секретности своего DNS-трафика, а также для обхода цензуры. Компания не ведет журналы, уточняя, что журналы отключены для их DNS-демона. Кроме того, компания утверждает, что использует локальный преобразователь для DNS-запросов и OpenNIC в качестве уровня 1.

Использование зашифрованного DNS в iOS 14 и новее

Начиная с iOS 14 Apple изначально поддерживает зашифрованный DNS. Однако, если вы попытаетесь выполнить поиск в приложении «Настройки», вы нигде не найдете упоминания об этом. Поддержка зашифрованного DNS есть, а настройки нет. Чтобы фактически использовать другой (защищенный) DNS-сервер, вам придется загрузить стороннее приложение или установить сторонний профиль конфигурации.

В App Store есть несколько приложений, предлагающих зашифрованные службы DNS, такие как Cloudflare, AdGuard и ‎NextDNS. Если вы предпочитаете установить профиль конфигурации для конкретной зашифрованной службы DNS без использования приложения, вы можете создать собственный профиль NextDNS для своего устройства или загрузить готовый, предварительно подписанный, с помощью paulmillr/encrypted-dns:

• OpenDNS
• Облачная вспышка
• Quad9
• Гугл

Также стоит прочитать статью Пола Миллера об iOS 14, Big Sur и DNS через HTTPS/TLS.

Использование зашифрованного DNS в Windows 10

На сегодняшний день в Windows 10 нет общесистемной настройки, позволяющей использовать зашифрованные службы DNS. Однако вы можете включить шифрование DNS в Microsoft Edge, выбрав соответствующую службу или введя пользовательскую в разделе «Конфиденциальность, поиск и службы» > «Безопасность» (или просто введя «DNS» в поле поиска «Настройки»):

Вопрос доверия

Какой уровень защиты обеспечивает общедоступная защищенная служба DNS по сравнению с использованием DNS-серверов вашего интернет-провайдера по умолчанию? «Если ваш интернет-провайдер больше не разрешает DNS-адреса, значит, это должен делать кто-то другой? Сегодня это, вероятно, cloudflare с общедоступным DNS 1. 1.1.1 или google (8.8.8.8). Таким образом, вместо того, чтобы позволить вашему интернет-провайдеру контролировать ваш DNS-трафик, Cloudflare или Google сделают это. Конечно, они могут продавать собранные данные или использовать их для создания досье на кого-то», — говорит Пол Миллер. Действительно, хотя ваш интернет-провайдер не сможет четко видеть, какие веб-сайты вы посещаете, общедоступная служба DNS по вашему выбору сможет это сделать. Тогда выбор такой службы становится исключительно вопросом доверия.

Ключевые точки:

• Ваш интернет-провайдер или любой другой посредник не будет знать, какие веб-сайты (доменные имена) вы посещаете
• Однако IP-адреса по-прежнему будут доступны.
• Поставщик услуг DNS увидит ваши запросы; прочитайте их политику конфиденциальности и сделайте правильный выбор
• Владельцы веб-сайтов и трекеры увидят ваш реальный IP-адрес (и, возможно, смогут определить ваше местоположение с помощью обратного поиска)
• DNS-запросов зашифрованы; реальный трафик не (если не HTTPS)
• В iOS запросы DNS, исходящие от Safari и всех других приложений, шифруются
• В Windows шифруются только DNS-запросы Microsoft Edge (для других приложений требуются отдельные настройки; незашифрованный сторонний DNS можно настроить через сетевые настройки)

iOS 15 Скрыть IP-адрес

Сокрытие своего IP-адреса в Safari является частью интеллектуальной системы предотвращения отслеживания Apple.

Начиная с iOS 15, пользователи смогут скрывать свои IP-адреса от трекеров и веб-сайтов с помощью новой функции Safari, ориентированной на конфиденциальность. Эту функцию не следует путать с другой новой функцией конфиденциальности Apple, которая называется Private Relay. Функция «Скрыть IP-адрес» будет доступна для всех пользователей iOS 15, а Private Relay является частью парной подписки iCloud+.

Новая функция добавляет в настройки Safari опцию «Скрыть IP-адрес» с выбором «Только трекеры» и «Трекеры и веб-сайты», эффективно позволяя скрыть ваш реальный IP-адрес от онлайн-трекеров, которые загружаются вместе с веб-сайтами. Суть этой функции заключается в ограничении доступа к данным о вашем реальном местонахождении, которые можно отследить с помощью базы данных IP-геолокации.

Поскольку iOS 15 все еще находится в стадии бета-тестирования, мало что известно об этой функции.

Ключевые точки:

• Бесплатный сервис доступен всем пользователям Safari в iOS 15
• Шифрование трафика: неизвестно
• Шифрование DNS: неизвестно (но маловероятно)
• Как правило, эта функция обеспечивает ограниченную защиту конфиденциальности только в Safari

Частный ретранслятор iOS 15

По словам Apple, «Private Relay — это новая служба конфиденциальности в Интернете, встроенная прямо в iCloud, позволяющая пользователям подключаться и просматривать веб-страницы более безопасным и конфиденциальным способом. При просмотре в Safari Private Relay обеспечивает шифрование всего трафика, исходящего с устройства пользователя, поэтому никто между пользователем и посещаемым веб-сайтом не может получить к нему доступ и прочитать его, даже Apple или сетевой провайдер пользователя. Затем все запросы пользователя отправляются через два отдельных интернет-ретранслятора. Первый назначает пользователю анонимный IP-адрес, который соответствует его региону, но не его фактическому местонахождению. Второй расшифровывает веб-адрес, который они хотят посетить, и перенаправляет их к месту назначения. Такое разделение информации защищает конфиденциальность пользователя, потому что ни один объект не может идентифицировать пользователя и сайты, которые он посещает».

Что такое Apple Private Relay и чем она отличается от службы VPN? Это то, что мы знаем на данный момент. Что такое Apple Private Relay и чем он хуже VPN? | TechRadar (обновлено комментариями от различных провайдеров VPN). Согласно этому, Apple Private Relay выглядит намного ближе к Tor, чем к VPN. «Tor также использует систему, в которой ваши соединения маршрутизируются через несколько ретрансляторов. Но в то время как Apple останавливается на двух, Tor по умолчанию использует три, и их может быть намного больше. Все они также управляются добровольцами, что значительно снижает вероятность того, что кто-то один сможет отследить, что вы делаете, и мы видели аргументы в пользу того, что это делает Tor более безопасным, чем Private Relay», — говорит Майк Уильямс из TechRadar.

Ключевые точки:

• Apple Private Relay доступен как часть платной подписки iCloud
• Ограничено до 50 ГБ трафика в месяц с базовой подпиской
• Защищает действия в Safari и приложениях с незащищенными соединениями (HTTP, а не HTTPS), пропуская зашифрованный трафик через два обруча
• Нет шифрования трафика на уровне устройства
• IP-адрес в географической близости, используемый по умолчанию; пользователи могут выбрать более широкий регион
• Шифрует как DNS-запросы, так и трафик
• Apple не опубликовала никаких подробностей о том, кто управляет сетью Private Relay (ранние намеки указывают на Cloudflare, Fastly и Akami)
• Кто бы ни были эти провайдеры, они не увидят, кто что посещает (два перехода, полная анонимность)
• Функция не будет работать там, где она больше всего нужна: Apple подтвердила, что эта функция не будет работать в Китае, Беларуси, Колумбии, Египте, Казахстане, Саудовской Аравии, Южной Африке, Туркменистане, Уганде и на Филиппинах.

Дополнительная информация: Нет, частный ретранслятор Apple не является VPN — CNET, объяснение частного ретранслятора iCloud+: не называйте это VPN | Макворлд.

Использование частной ретрансляции

После выхода iOS 15 платные подписчики iCloud смогут активировать новую услугу, включив Private Relay в настройках iCloud.

Браузер Tor

Tor обеспечивает полностью зашифрованную и полностью конфиденциальную работу в Интернете, если вы решите использовать конкретное приложение веб-браузера. Протокол Onion направляет зашифрованный трафик через три независимых перехода, что делает (теоретически) невозможным перехват трафика, даже если один из узлов скомпрометирован. В реальной жизни защита Tor не так непроницаема, как утверждает теория, но ее более чем достаточно для простой цели предотвращения атаки против вас с анализом больших данных.

Для большинства платформ, кроме iOS, браузер Tor использует модифицированную версию Firefox. По умолчанию браузер работает в режиме инкогнито/приватном, что означает, что после закрытия браузера на устройстве не сохраняется история и файлы cookie.

В стране iOS все по-другому. В Могу ли я запустить Tor Browser на устройстве iOS? Разработчики рекомендуют приложение для iOS под названием Onion Browser, которое имеет открытый исходный код, использует маршрутизацию Tor и разработано кем-то, кто тесно сотрудничает с проектом Tor. Однако, по словам разработчиков, Apple требует, чтобы браузеры на iOS использовали что-то под названием Webkit, что не позволяет Onion Browser иметь те же средства защиты конфиденциальности, что и Tor Browser.

Стоит ли использовать браузер Tor? С одной стороны, это полный излишек для простой цели предотвращения отслеживания. С другой стороны, вы будете привязаны к конкретному приложению для просмотра веб-страниц с отсутствующей облачной синхронизацией и лишены многих удобных функций, которые можно ожидать от современного веб-браузера. Вероятно, иногда это нормально, но постоянное использование Tor с единственной целью предотвращения отслеживания было бы огромным излишеством и серьезным неудобством.

Ключевые точки:

• Защита только в определенном приложении для просмотра (браузер Tor на настольных компьютерах, браузер Onion в iOS)
• Ваш интернет-провайдер или любой другой посредник не будет знать, какие веб-сайты вы посещаете, включая их IP-адреса
• Владельцы веб-сайтов и трекеры не увидят ваш настоящий IP-адрес
• И DNS-запросы, и трафик зашифрованы (даже обычный HTTP)
• Меньшая защита (но все же серьезные неудобства) в iOS из-за Webkit

Прокси

Идея использования прокси заключается в ретрансляции трафика через промежуточный (прокси) сервер. Это скроет ваш реальный IP-адрес (и местоположение, связанное с этим IP-адресом) от веб-сайтов и трекеров. Однако большинство прокси-серверов не шифруют трафик, что делает вашу связь уязвимой для глубокой проверки пакетов. Обратите внимание, что в зависимости от типа прокси-серверы могут быть не полностью прозрачными и могут потребовать дополнительной настройки в некоторых приложениях.

Ключевые точки:

• Защита в поддерживаемых приложениях
• Ваш интернет-провайдер или любой другой посредник не сможет легко узнать, какие веб-сайты вы посещаете, включая их IP-адреса
• …если не используется глубокая проверка пакетов
• Владельцы веб-сайтов и трекеры не увидят ваш настоящий IP-адрес
• Трафик туннелируется, но не шифруется
• Меньшая защита по сравнению с VPN, но такой же фактор неудобства

VPN

Служба VPN создает безопасный зашифрованный туннель для маршрутизации всего вашего трафика с вашего устройства в конечную точку. Никто не может видеть, что течет по туннелю; даже не ваш провайдер. Служба VPN шифрует все: ваши DNS-запросы, посещаемые вами сайты и их IP-адреса, фактический трафик (даже обычный HTTP) независимо от протокола. Ваш интернет-провайдер увидит одно зашифрованное соединение между вашим устройством и одним удаленным сервером; он не сможет увидеть ни один из ваших запросов, кроме измерения объема данных, прошедших через туннель. Службы VPN часто используются для защиты личной информации, безопасного доступа к рабочим местам или локальным сетям в вашем доме, шифрования вашего интернет-соединения и обеспечения конфиденциальности ваших действий в Интернете.

Звучит слишком хорошо, чтобы быть правдой? VPN — это палка о двух концах. В то время как служба VPN защищает ваш поток данных от посторонних глаз, в свою очередь, сам поставщик услуг VPN получает полный доступ к вашей онлайн-активности (естественно, за исключением HTTPS и другого зашифрованного трафика). По этой причине выбор надежного VPN-сервиса крайне важен, если вы хотите защитить свою конфиденциальность, а не просто подарить кому-то свою полную историю просмотров.

Мы не собираемся рассматривать или рекомендовать какую-либо конкретную службу VPN. Проведите исследование и выбирайте с умом. Несколько известных провайдеров VPN: ExpressVPN, NordVPN, PureVPN, Surfshark, CyberGhost, Private Internet Access, Tunnelbear; существуют десятки других поставщиков услуг VPN разного качества. Если вы предпочитаете громкие имена, вы можете начать с прочтения нескольких статей:

• Лучший VPN-сервис 2021 года | Путеводитель Тома (tomsguide.com)
• Лучший VPN-сервис 2021 года | ТехРадар
• Лучший VPN-сервис 2021 года | Лучшие виртуальные частные сети (security.org)
• 10 лучших VPN без логов 2021 | Найдите проверенные VPN с нулевым журналом (proprivacy.com)

Если вам нужен менее известный (но помните о предостережениях!), проверьте это:

• 5 лучших VPN, о которых вы никогда не слышали на 2021 год (скрытые жемчужины!) (vpnmentor.com)

Также обратите внимание, что некоторые известные приложения от известных компаний (например, AdGuard VPN или Speedtest от Ookla) предоставляют ограниченные бесплатные услуги VPN, предлагая платные подписки через iTunes.

Технически общедоступные VPN-сервисы в iOS обычно предоставляются через специальные приложения, созданные соответствующими поставщиками. Если вы знаете, что делаете, вы можете использовать OpenVPN Connect в App Store, чтобы настроить подключение к серверу OpenVPN, установить профиль VPN через настройки iOS или вручную настроить службу VPN через приложение «Настройки».

Ключевые точки:

• Шифрование трафика на уровне устройства: шифрует и ретранслирует весь трафик через безопасный туннель
• Непроницаемый снаружи
• Нет полной анонимности: поставщик услуг VPN может видеть ваши действия в Интернете (но не будет иметь доступа к HTTPS и другим зашифрованным типам трафика)
• Требуется комплексная проверка при выборе провайдера VPN
• Большинство провайдеров VPN требуют подписки
• Доступны ограниченные бесплатные предложения; некоторые из них происходят из авторитетных источников
• С учетом ограничений (количество устройств и месячный трафик)
• Службы VPN могут предлагать услуги в более широком диапазоне регионов
• И DNS-запросы, и трафик зашифрованы
• VPN могут работать или не работать в некоторых странах (например, в Китае)

Выбор правильного поставщика услуг VPN, вероятно, является наиболее важным.

Сделать:

• Проявите должную осмотрительность.
• Читать отзывы.
• Прочитать актуальные политики.
• Подойдите к услугам, предлагающим партнерские программы, со скептицизмом и тщательностью.

Избегать:

• Использование «бесплатных VPN» приложений из App Store от неизвестных разработчиков. Если они не могут зарабатывать деньги, продавая подписку, они получат прибыль, продавая ваши данные.
• Покупка «пожизненной» подписки на любой сервис. Многие были проданы в первые дни; немногие все еще вокруг сегодня.
• Подписка на что-либо без прочтения соответствующих политик.

Заключение

Какой метод или комбинацию методов выбрать, чтобы защитить себя от прослушивания интернет-провайдером вашего трафика на вашем устройстве iOS? Если вы используете надежный VPN-сервис, продолжайте его использовать: VPN достаточно для защиты от всех известных методов отслеживания. Если не VPN, Apple Private Relay кажется хорошим вариантом, и на базовом уровне он дешевле, чем большинство VPN сопоставимого качества. Если вы не используете ни одну из служб, рассмотрите возможность настройки зашифрованного DNS от надежного поставщика с одобренной вами политикой конфиденциальности. Включение защиты «Скрыть IP-адрес» для «Только трекеры» в iOS 15 не повредит, но я бы с осторожностью использовал ее для «Трекеров и веб-сайтов» из-за проблем со скоростью соединения.

Использование прокси-сервера в наши дни является сомнительным выбором из-за того же фактора неудобства, что и VPN, которая предлагает значительно более высокий уровень защиты. Tor лучше использовать в некоторых случаях, а не в качестве основного веб-браузера из-за серьезных неудобств и отсутствия облачной синхронизации.

Имейте в виду: если вы решите использовать прокси, зашифрованный DNS или службу VPN, вы доверяете свои данные третьей стороне. Технически поставщик услуг VPN может узнать о ваших привычках в Интернете; сторонняя служба DNS будет знать, какие домены вы разрешаете. Apple Private Relay и Tor являются исключениями из-за нескольких независимых прыжков, используемых для анонимизации ваших действий.

Apple, зашифрованный DNS, скрытие IP-адреса, iOS, конфиденциальность, Private Relay, прокси, tor, vpn

В чем разница между DNS через TLS и DNS через HTTPS?

Хотя это звучит как одно и то же, есть одно существенное отличие, которое вызывает жаркие споры.

DNS через TLS (DoT) и DNS через HTTPS (DoH) звучат так, как будто это взаимозаменяемые термины для одного и того же. И на самом деле они выполняют одно и то же — шифруют DNS-запросы, — но есть одно большое отличие: порт, который они используют.

И хотя для чего-то, что звучит так просто, может показаться глупым создание двух полностью разделенных лагерей с глубоко укоренившимися представлениями о том, что лучше, ставки высоки. Одна сторона более социально сознательна, более ориентирована на пользователя, их основной интерес — неприкосновенность частной жизни и права человека. С другой стороны, есть более прагматичная группа, в которую входит даже один из архитекторов DNS, доказывающий, что сетевые администраторы должны иметь возможность видеть и анализировать активность DNS.

Здесь многое предстоит раскрыть, но стоит углубиться в детали, чтобы лучше понять разницу между DNS через TLS и DNS через HTTPS и почему это важное обсуждение.

Итак, без лишних слов, давайте разберемся…

Что такое DNS? Зачем ему TLS или HTTPS?

DNS означает систему доменных имен. Лучшее сравнение, а также самое клише — это сравнение с телефонной книгой. Когда большинство людей просматривают веб-страницы, они не вводят фактический IP-адрес — они вводят унифицированный указатель ресурсов (URL). DNS-сервер берет этот URL-адрес и находит IP-адрес, который он разрешает.

Например, когда вы хотите посетить магазин SSL, вы вводите thesslstore.com, DNS-сервер возьмет этот URL-адрес и найдет связанный с ним IP-адрес, в нашем случае это 107.23.230.173. Но просить людей запомнить это было бы бессмысленно, отсюда и вездесущность URL (которую Google пытается убить).

Если вам когда-нибудь понадобится узнать IP-адрес посещаемого веб-сайта, это легко сделать как на Windows, так и на Mac. Пользователям Windows просто нужно ввести «cmd» в строку поиска и открыть командную строку, а затем ввести:

 tracert anydomain.com 

Для пользователей Apple это немного проще и немного элегантнее. В строке поиска вашего Mac введите «Сетевая утилита» и нажмите, чтобы открыть ее. Затем перейдите на вкладку Traceroute и введите имя домена в поле трассировки. Легкий.

Исторически DNS-запросы выполнялись с использованием протоколов UDP или TCP, то есть они отправлялись в виде открытого текста.

И, как мы обсудим, это может быть проблемой.

Зачем нужно шифровать DNS-запросы?

Если вы живете в США, Великобритании или Австралии, как и большинство наших читателей, легко принять как должное права и свободы, которыми мы пользуемся. По большому счету, наши проблемы с конфиденциальностью довольно тривиальны. На прошлой неделе я узнал, что я был одним из тех 50 миллионов или около того счастливчиков, чьи данные Facebook были скомпрометированы.

И хотя это в высшей степени раздражает, мы бы насмешливо назвали это проблемой первого мира. Хотя есть несколько ужасающих исключений, худшее, что может случиться с большинством из нас, — это кража личных данных. И это не шутка, но и не угроза вашей жизни или свободе. Кроме детского порно и нюхательного табака, нет ничего, к чему вы не могли бы получить доступ в США, Великобритании и большей части западного мира.

Это не может быть менее верно для других частей мира. В Китае общеизвестно ограниченный доступ к Интернету (для которого Google в настоящее время разрабатывает подпольную поисковую систему с цензурой).

Россия, Северная Корея, Иран, Саудовская Аравия — и это лишь некоторые из крупных стран — входят в число десятков стран, которые ограничивают использование Интернета для своих граждан.

По данным Freedom House, менее четверти пользователей Интернета в мире проживают в странах, где доступ в Интернет обозначен как бесплатный. Это бесплатно с точки зрения прав и свобод, а не цены. 36% процентов интернет-пользователей живут в стране, где интернет полностью ограничен, а еще 28% живут в стране, где интернет ограничен частично.

Черт возьми, пару недель назад вся страна Эфиопия отключила доступ к Интернету, чтобы попытаться подавить то, что в то время выглядело как потенциальный военный переворот.

И когда ваша интернет-история может привести к внесудебному задержанию, причинению вреда или даже убийству, возможность запутать эти DNS-запросы может быть вопросом жизни или смерти. Это может показаться преувеличением, но не требуется много исследований, чтобы выяснить, что может случиться с обычными людьми, которых называют диссидентами на основании их использования Интернета.

Вот почему для некоторых сторон, участвующих в этих дебатах, это вопрос прав человека, который может вызвать сильные эмоции.

Никто не спорит, что DNS-запросы не должны шифроваться, спор идет о том, как лучше это сделать.

Итак, в чем разница между DNS через TLS и DNS через HTTPS?

Хотя оба эти стандарта шифруют DNS-запросы, между DNS через TLS и DNS через HTTPS есть некоторые важные различия. IETF определил DNS через HTTPS как RFC 8484, а DNS через TLS — как RFC 7858 и RFC 8310.

DNS через TLS использует TCP в качестве основного протокола подключения и уровни шифрования и аутентификации TLS. DNS через HTTPS использует HTTPS и HTTP/2 для установления соединения.

Это важное различие, поскольку оно влияет на используемый порт. DNS через TLS имеет собственный порт, порт 853. DNS через HTTPS использует порт 443, который является стандартным портом для трафика HTTPS.

Хотя наличие выделенного порта звучит так, как будто это преимущество, в некоторых случаях на самом деле все наоборот. В то время как запросы DNS через HTTPS могут скрываться в остальной части зашифрованного трафика, все запросы DNS через TLS используют отдельный порт, где любой на сетевом уровне может легко их увидеть и даже заблокировать.

Конечно, сам запрос — его содержимое или ответ — зашифрован. Таким образом, вы не будете знать, что запрашивается, но они будут знать, что вы используете DNS поверх TLS. И это как минимум вызовет подозрения. Это как взять пятое место в США. Это просто создает впечатление, что вам есть что скрывать, а во многих странах такое мнение о вас не очень хорошее.

Пример использования DNS через TLS

Пол Викси — один из разработчиков DNS. И учитывая тему, его мнение имеет значительный вес. На выходных он ответил Нику Салливану, главе криптоотдела Cloudflare, на объявление в Твиттере о RFC 8484 (DNS через HTTPS), выразив свое несогласие:0003

RFC 8484 — это кластерная утка для интернет-безопасности. Извините, что дождь на вашем параде. Заключенные захватили приют.

Лично я в отделе уток неравнодушен к Крякве, но, во всяком случае, оппозиция Викси делается не столько с точки зрения добросовестного правозащитника, сколько с точки зрения опытного ветерана службы безопасности. Те же самые недостатки прав человека, возможность идентифицировать запросы DoT — также благо для безопасности.

Это мало чем отличается от проверки HTTPS. На первый взгляд, идея прерывания HTTPS-соединения звучит как плохая идея, и, безусловно, есть сегмент сообщества информационной безопасности, который уделяет особое внимание безопасности и утверждает, что такая практика ослабляет шифрование. Но есть также администраторы корпоративных сетей и сотрудники службы безопасности, которые не хотят отказываться от возможности проверять свой трафик. Потеря этой видимости является частью того, что привело к взлому Equifax. Злоумышленники любят прятаться в зашифрованном трафике, что подтверждается недавними атаками Magecart.

DNS через TLS имеет больше нюансов, что полезно с точки зрения работоспособности сети. С другой стороны, DNS через HTTPS…

DoH — это превосходный обход корпоративных и других частных сетей. Но DNS является частью уровня управления, и сетевые операторы должны иметь возможность отслеживать и фильтровать его. Используйте DoT, а не DoH», — написала Викси в Твиттере.

Викси утверждает, что DNS поверх HTTPS удаляет ключевой отличительный признак, помогающий в проверке трафика. Это также усложняет блокировку других веб-сайтов, потому что вместо того, чтобы просто отключать DNS-запросы, поступающие через определенный порт, вы должны блокировать весь HTTPS-трафик, что может привести к всевозможным головным болям.

Это хорошо с точки зрения прав человека и плохо с точки зрения сетевой безопасности.

Какой стандарт лучше: DNS через HTTPS или DNS через TLS?

Вот что пытаются решить все эти дебаты! У обеих сторон есть законные аргументы. Что бесполезно, так это нападки ad hominem, которые отвлекают от достойного разговора.

Учитывая тот факт, что это проблема прав человека, эмоции неизбежно вспыхнут, но важно помнить, что сторона, выступающая за DNS вместо TLS, которая предпочитает подход к сетевой безопасности, но потенциально вызывает некоторые проблемы с конфиденциальностью, не придерживайтесь этой позиции, потому что они холодны или им не хватает сочувствия, они просто смотрят на это с другой точки зрения.

Иногда лучшее с качественной точки зрения и лучшее с точки зрения прав человека или даже с точки зрения морали не совпадают. Для многих в лагере DNS через TLS это не имеет ничего общего с реальными проблемами конфиденциальности, а связано с тем фактом, что они считают DNS через HTTPS более низким стандартом, чем DNS через TLS.

Речь идет не о том, чтобы работать из уважения к социальной совести, а о разработке стандарта, который является наиболее эффективным.

Никто не борется с конфиденциальностью, даже если не все борются за одно и то же.

Мы будем сообщать вам об этом по мере развития событий.

Как всегда, оставляйте любые комментарии или вопросы ниже…

Правильный способ хранения секретов с помощью хранилища параметров

другие учетные данные в AWS Secrets Manager. Чтобы узнать больше, см. документацию.

—

Этот гостевой пост был написан Эваном Джонсоном, сотрудником службы безопасности Segment.

Способ, которым компании управляют секретами приложений, имеет решающее значение. Даже сегодня самые известные охранные компании могут страдать от утечек из-за неправильной практики управления секретами. Иметь доступ к Интернету — это все равно, что оставлять ключи от дома под ковриком, по которому ежедневно ходят миллионы людей. Даже если секреты трудно найти, это игра в прятки, которую вы в конечном итоге проиграете.

В Segment мы централизованно и безопасно управляем своими секретами с помощью хранилища параметров Amazon EC2 Systems Manager, большого количества кода Terraform и камеры. Хранилище параметров — отличный инструмент для управления секретами. Если вы выполняете рабочие нагрузки на AWS, стоит серьезно подумать об использовании хранилища параметров в качестве управляемого хранилища секретов. В этом посте есть вся информация, необходимая для запуска Parameter Store в рабочей среде.

Идентификатор службы

В компании Segment запущены сотни сервисов, которые взаимодействуют друг с другом, API AWS и API сторонних производителей. Службы, которые мы запускаем, имеют разные потребности и должны иметь доступ только к тем системам, которые строго необходимы. Это называется «принцип наименьших привилегий».

Например, наш основной веб-сервер никогда не должен иметь доступ к журналам аудита безопасности для нашей инфраструктуры. Без присвоения контейнерам и службам идентификатора невозможно защитить и ограничить доступ к секретам с помощью политик управления доступом. Наши сервисы идентифицируют себя с помощью ролей IAM. Из документов AWS — « Роль IAM… — это удостоверение AWS с политиками разрешений, которые определяют, что удостоверение может и что не может делать в AWS ».

Например, наши роли IAM для экземпляров имеют доступ только для записи к корзине Amazon S3 для добавления журналов аудита, но запрещают удаление и чтение этих журналов.

Как контейнеры безопасно получают свою роль?

Требование для использования Amazon ECS заключается в том, что все контейнеры должны запускать агент контейнера Amazon ECS (ecs-agent). Агент работает как контейнер, который координирует и предоставляет API, с которым могут взаимодействовать другие контейнеры. Агент — это центральная нервная система того, как контейнеры получают учетные данные роли IAM.

Важной частью агента является то, что он запускает HTTP API, который ДОЛЖЕН быть доступен для других контейнеров, работающих в кластере. Чтобы сделать этот API доступным, на хост-экземпляре устанавливается правило iptables. Это правило iptables перенаправляет трафик, предназначенный для магического IP-адреса, в контейнер ecs-agent.

 iptables -t физ \
-А ВЫХОД \
-д 169.254.170.2\
-p TCP \
-м TCP \
--дпорт 80 \
-j ПЕРЕНАПРАВЛЕНИЕ \
--к портам 51679 

Прежде чем агент запустит контейнер, он сначала получает учетные данные для роли задачи контейнера из службы учетных данных AWS. Затем агент устанавливает идентификатор ключа учетных данных, UUID, в качестве переменной среды AWS_CONTAINER_CREDENTIALS_RELATIVE_URI внутри контейнера при его запуске.

 $ env
...
AWS_CONTAINER_CREDENTIALS_RELATIVE_URI=/v2/учетные данные/53875b56-621a-4b07-8ab6-02ea315b5693
... 

Используя этот относительный URI и UUID, контейнеры получают учетные данные AWS от агента по HTTP. Один контейнер не может получить доступ к учетным данным аутентификации, чтобы выдать себя за другой контейнер, потому что UUID достаточно сложно угадать.

 $ curl 169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI | jq.
{
  "RoleArn": "arn:aws:iam::111111111111:роль/тест-сервис",
  "AccessKeyId": "ASIAIYLSOW5USUQCZAAQ",
  "SecretAccessKey": "УДАЛЕНО",
  "Токен": "УДАЛЕНО",
  "Срок действия": "2017-08-10T02:01:43Z"
} 

Дополнительные сведения о безопасности

Будучи активными пользователями Amazon ECS, мы обнаружили проблемы безопасности, связанные с ролями задач ECS. Важно понимать, что любой контейнер, который может получить доступ к службе метаданных Amazon EC2 от имени своего хоста, может стать любой другой ролью задачи в системе. Это может позволить контейнерам обходить политики контроля доступа и получать доступ к неавторизованным системам.

Контейнер может получить доступ к службе метаданных двумя способами: через хост-сеть и через Docker Bridge. Когда контейнер запускается с параметром —network=’host’, он всегда может подключиться к службе метаданных EC2, используя сеть своего хоста. Установка для переменной ECS_ENABLE_TASK_IAM_ROLE_NETWORK_HOST значения false в файле конфигурации ecs-agent предотвращает запуск контейнеров с этим разрешением.

Кроме того, важно заблокировать доступ к IP-адресу службы метаданных через мост Docker с помощью iptables. В документации по роли задачи IAM рекомендуется запрещать доступ к службе метаданных EC2 с помощью этого конкретного правила.

 $ iptables --insert FORWARD 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP 

При построении системы безопасности всегда важно помнить о принципе наименьших привилегий. Установка для ECS_DISABLE_PRIVILEGED значения true в файле конфигурации ecs-agent хоста может предотвратить запуск привилегированных контейнеров Docker и вызвать другие более тонкие проблемы безопасности.

Хранилище параметров

Parameter Store — это сервис AWS, в котором хранятся строки. Он может хранить как секретные данные, так и несекретные данные. Секреты, хранящиеся в хранилище параметров, представляют собой защищенные строки, зашифрованные с помощью специального ключа AWS KMS.

Под капотом службы, которая запрашивает защищенные строки из хранилища параметров, за кулисами происходит множество вещей.

1. Агент контейнера ECS запрашивает временные учетные данные хост-экземпляра.
2. Агент постоянно создает временные учетные данные для каждой роли задачи ECS, работающей в ECS, с помощью недокументированной службы под названием ACS.
3. Когда агент запускает каждую задачу, он устанавливает секретный UUID в среде контейнера.
4. Когда задаче требуются учетные данные роли задачи, она запрашивает их у API ecs-agent и аутентифицируется с помощью секретного UUID.
5. Задача ECS запрашивает свои секреты из хранилища параметров, используя учетные данные роли задачи.
6. Хранилище параметров прозрачно расшифровывает эти защищенные строки, прежде чем вернуть их задаче ECS.

Использование ролей с хранилищем параметров особенно удобно, поскольку не требует поддержки дополнительных токенов аутентификации. Это создало бы дополнительную головную боль и дополнительные секреты для управления!

Политики хранилища параметров IAM

Для каждой роли, которая обращается к хранилищу параметров, требуется разрешение ssm:GetParameters. «SSM» расшифровывается как «Simple System Manager», предыдущее название Systems Manager, и именно так AWS обозначает операции хранилища параметров.

Разрешение ssm:GetParameters — это политика, используемая для обеспечения контроля доступа и защиты секретов одной службы от другой. Сегмент предоставляет всем службам роль IAM, которая предоставляет доступ к секретам, соответствующим формату {{service_name}}/*. Хранилище параметров изначально поддерживает иерархии, поэтому это разрешение предоставляет каждой службе собственный каталог секретов.

 {
  "Сид": "",
  «Эффект»: «Разрешить»,
  "Действие": "ssm:Получить параметры",
  "Ресурс": [
    "arn:aws:ssm:*:*:parameter/{{service_name}}/*",
  ]
}, 

Помимо политик управления доступом, Segment использует выделенный ключ AWS KMS для шифрования защищенных строк в хранилище параметров. Каждой роли IAM предоставляется небольшой набор разрешений KMS для расшифровки секретов, которые они хранят в хранилище параметров.

 {
  "Сид": "",
  «Эффект»: «Разрешить»,
  "Действие": [
     "кмс:Ключи списка",
     "кмс:список псевдонимов",
     "км:Описать*",
     "кмс:Расшифровать"
  ],
  "Ресурс": "parameter_store_key"
} 

Автоматизация идентификации службы и политик

имеет небольшой модуль Terraform, который абстрагируется от создания уникальной роли IAM, балансировщиков нагрузки, записей DNS, автоматического масштабирования и предупреждений CloudWatch. Ниже я покажу, как наш балансировщик нагрузки nginx определяется с помощью нашего сервисного модуля.

 модуль "nginx" {
  источник = "../модули/сервис"
  имя = "nginx"
  изображение = "сегмент/nginx"
  product_area = "основная безопасность"
  Health_check_path = "/ проверка здоровья"
  среда = "${var.environment}"
} 

Под капотом роль задачи, назначенная каждой службе, имеет все политики IAM, которые мы ранее перечислили, ограничивая доступ к хранилищу параметров значением в поле имени. Настройка не требуется.

Кроме того, у разработчиков есть возможность переопределить, к каким секретам имеет доступ их служба, предоставив «секретную метку». Эта секретная метка заменяет имя их службы в их политике IAM. Если бы NGINX потребовались те же секреты, что и экземпляру HAProxy, эти две службы могли бы совместно использовать учетные данные, используя одну и ту же метку секрета.

  модуль "nginx" {
  источник = "../модули/сервис"
  имя = "nginx"
  изображение = "сегмент/nginx"
  product_area = "основная безопасность"
  Health_check_path = "/ проверка здоровья"
  среда = "${var. environment}"
  
  # Делитесь секретами с балансировщиками нагрузки
    secret_label = "балансировщики нагрузки" 
} 
         
 Хранилище параметров в производстве 
 
        
 Все сотрудники сегмента проходят аутентификацию в AWS с помощью aws-хранилища, которое может безопасно хранить учетные данные AWS в цепочке ключей macOS или в зашифрованном файле для пользователей Linux. Сегмент имеет несколько аккаунтов AWS. Инженеры могут взаимодействовать с каждой учетной записью с помощью aws-vault и выполнять команды локально, используя свои учетные данные AWS, заполненные в их среде.  
  
        
 $ разработка исполняемого файла aws-vault -- aws s3 ls s3://segmentio-bucket 
 Использование камеры с хранилищем параметров 
 Chamber — это инструмент командной строки, созданный Segment, чтобы позволить разработчикам и коду согласованно взаимодействовать с хранилищем параметров. Позволяя разработчикам использовать те же инструменты, которые работают в рабочей среде, мы уменьшаем количество различий между кодом, работающим в процессе разработки, промежуточным и рабочим кодом.
 Chamber работает с aws-vault и имеет всего несколько ключевых подкоманд:
 exec — команда после загрузки секретов в среду.
 история — изменений секрета в хранилище параметров.
 Список
 — имена всех секретов в пути к службам.
 запись — секрет в Хранилище Параметров.
 Chamber использует встроенные в хранилище параметров механизмы поиска и истории для реализации подкоманд списка и истории. Все строки, хранящиеся в хранилище параметров, автоматически версионируются. Подкоманда, используемая для извлечения секретов из хранилища параметров, называется exec. Когда разработчики используют подкоманду exec, они используют ее с aws-vault.
  $ aws-vault exec development -- Chamber exec loadbalancers -- nginx 
 В предыдущей команде Chamber выполняется с учетными данными и разрешениями сотрудника в учетной записи разработки и извлекает секреты, связанные с loadbalancers, из Parameter Хранить. После того, как камера заполнит среду, она запустит сервер NGINX.
 Ходовая камера в производстве 
 Chamber упакован внутри наших контейнеров Docker в виде бинарного файла и является точкой входа контейнера. Камера передает сигналы программе, которую она выполняет, чтобы позволить программе корректно их обрабатывать.
 Вот пример того, что потребовалось для подготовки нашего главного веб-сайта.
 -ENTRYPOINT ["узел", "сервер/boot.js"]
+ENTRYPOINT ["camber", "exec", "app", "--", "node", "server/boot.js"] 
 Контейнеры Non-Docker также могут использовать камеру для заполнения среды перед созданием файлов конфигурации из шаблонов, запуском демонов и т. д.
 Аудит 
 Все обращения к хранилищу параметров регистрируются с помощью AWS CloudTrail. Это делает ведение полного контрольного журнала для всех параметров простым и недорогим. Это также упрощает создание настраиваемых предупреждений и журналов аудита.
 ...
"eventTime": "2017-08-02T18:54:06Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "Получить параметры",
"awsRegion": "США-запад-2",
"исходный IP-адрес": "127.0.0.1",
"userAgent": "aws-sdk-go/1.8.1 (go1.8.3; linux; amd64)",
"параметры запроса": {
    "withDecryption": правда,
    "имена": [
      "test-service.secretname"
    ]
},
"элементы ответа": ноль,
"requestID": "88888888-4444-4444-4444-121212121212",
"eventID": "88888888-4444-4444-4444-121212121212",
"Только для чтения": правда,
... 
 CloudTrail позволяет точно определить, какие секреты используются, и может сделать возможным обнаружение неиспользуемых секретов или несанкционированный доступ к секретам.
 AWS бесплатно регистрирует все обращения к хранилищу параметров как событие управления CloudTrail. Большинство решений для управления информацией и событиями безопасности (SIEM) можно настроить для просмотра и чтения данных из S3.
 Резюме 
 Используя хранилище параметров и IAM, компания Segment смогла создать небольшой инструмент, который обеспечивает все наиболее важные свойства в системе управления секретами.
 Защитите хранящиеся секреты с помощью надежного шифрования.
 Применить строгие политики контроля доступа.
 Создание журналов аудита аутентификации и истории доступа.
 Отличный опыт разработчика.
 Управление секретами очень сложно сделать правильно. Многие продукты были созданы для управления секретами, но ни один из них не подходит для сценариев использования, необходимых для сегмента, лучше, чем Parameter Store.
 Об авторе 
 Эван Джонсон работает охранником в сегменте. Сегмент — это инфраструктура для данных клиентов. Компании используют Segment API, чтобы разблокировать более 200 инструментов для каждой команды в своей организации. С помощью Segment разработчики могут отказаться от утомительных и дорогостоящих одноразовых интеграций данных, включив свои любимые приложения прямо с панели инструментов Segment.
  AWS не несет ответственности за содержание или точность этой публикации. Содержание и мнения в этом блоге принадлежат исключительно стороннему автору. 
 Бить тревогу по поводу DoH: повышение конфиденциальности приводит к слепым пятнам 
 В веб-браузерах повсюду происходят серьезные изменения,
и это коренным образом изменит то, как работает мониторинг сети. DNS через
HTTPS или  DoH,  шифрует DNS-трафик, чтобы сделать его невидимым для третьих лиц.
Наблюдатели в сети. Он уже доступен всего за
почти во всех основных браузерах — и включена или скоро будет включена по умолчанию во многих
браузеры, в том числе доминирующие Google Chrome и Firefox.
 Но за безопасность приходится платить 
 Хотя этот шаг является победой защитников конфиденциальности,
за счет менеджеров по безопасности корпоративных сетей, для которых DNS-трафик является
ценный сигнал и механизм для обнаружения вредоносных программ и обеспечения безопасности
наука о данных. Предприятия должны начать внимательно следить за своей сетью
план мониторинга, чтобы выяснить, как поддерживать текущий уровень сети
видимость и подумайте о том, какое место расшифровка занимает в их дорожной карте.
 Почему DoH и почему сейчас? 
 Толчок для DoH является частью «зашифровать
все», целью которого является обеспечение конфиденциальности пользователей. Особенно,
DoH направлен на предотвращение слежки со стороны национальных государств и интернет-провайдеров; последний
особенно расстроены этим шагом, который большинство сторонников конфиденциальности
вероятно, рассматривают как доказательство того, что технология делает свою работу. Как провайдеры отслеживают пользователей
Информация DNS для сбора данных и даже внедрения рекламы в их браузеры была одной из
основные стимулы для DoH. Однако
 DoH вызывает споры по ряду причин. Павел
Викси, один из первых разработчиков DNS, решительно
возражал, говоря, что «DNS является частью плоскости управления, а сеть
операторы должны иметь возможность отслеживать и фильтровать его». (Викси поддерживает соперника
технология, DNS через TLS.)
 DoH может создать ложное ощущение безопасности, особенно когда
дело доходит до государственной слежки: DoS скрывает DNS-запросы, но не IP
адресов, а национальные государства могли по-прежнему следить за инакомыслящими, изучая IP-адреса. адреса, которые они посещают, и сравнение их с базой данных известных диссидентских сайтов.
 Приватность или уловка для обнесенного стеной сада? 
 Когда браузер использует DoH, он попытается найти
DNS-серверы, совместимые с DoH, для разрешения интернет-адресов. Если
Интернет-провайдер пользователя предоставляет такие серверы, тогда они просто полагаются на своего интернет-провайдера для DNS
как обычно; однако, поскольку многие интернет-провайдеры не поддерживают DoH, браузер
будет искать другие серверы, которые будут. Chrome, как и ожидалось, подключится к
серверы Google. Это порождает опасения по поводу «обнесенных стеной садов».
в котором пользователи браузера Google направляют свой сетевой трафик на сайт Google
DNS-серверы (где, несмотря на шифрование, трафик можно было проанализировать на наличие
преимущества рекламного бизнеса Google).
 Тем не менее, при запуске Google Chrome и Mozilla
перейти на DoH по умолчанию, предприятиям придется бороться с
последствия шага, который был в основном построен для защиты частной жизни отдельных
потребители.
 Проблемы на предприятии 
 С точки зрения конечного пользователя конфиденциальность и безопасность
может показаться двумя сторонами одной медали. Но сетевые администраторы знают, что эти два
могут конфликтовать: полностью приватное общение на практике очень затруднительно
обезопасить. Если вы дома, вы чувствуете себя в полной безопасности, зная, что никто не может шпионить
на какие веб-сайты вы заходите; а на работе команда, которая защищает ИТ
инфраструктура, которую вы используете, должна видеть, где люди выходят в интернет, чтобы
обнаруживать угрозы и реагировать на них.
 Двустороннее обнаружение угроз будет страдать 
 Существует несколько основных методов обнаружения угроз, которые
полагаться на видимость сети, которую можно получить только с незашифрованным DNS:
 Сетевые администраторы могут заносить в черный список известные плохие веб-сайты
и запретить их посещение пользователями
 Сетевые администраторы могут обнаруживать злоумышленников
попытка злоупотребления самим DNS — посредством связи с бэкдором, установленным на
взломанная система, например
 Но оба метода недоступны для DNS-трафика, который вы не можете расшифровать. По мере того, как пользовательские браузеры переходят на DoH, вы обнаружите, что вам становится все труднее отслеживать трафик в собственной сети. Просмотр конечных пользователей будет приватным, но ваша инфраструктура будет более уязвима для атак.
 Например, ZD Net сообщает, что «иранская хакерская группа, известная как Oilrig, стала первым широко известным злоумышленником, использующим протокол DNS-over-HTTPS (DoH) в своих атаках».
 И что «Нефтяная установка, скорее всего, использует DoH в качестве канала эксфильтрации, чтобы избежать обнаружения или отслеживания ее действий при перемещении украденных данных. Это связано с тем, что протокол DoH в настоящее время является идеальным каналом эксфильтрации по двум основным причинам. Во-первых, это новый протокол, который не все продукты безопасности способны отслеживать. Во-вторых, по умолчанию он зашифрован, а DNS — в открытом виде».
 Верно, что браузеры, поддерживающие DoH, не   предписывают это,
а в теории   можно было просто перевернуть
отключить, чтобы DNS-трафик вашей сети оставался незашифрованным. Но в  практика , это сложный менеджмент
проблема: Chrome, безусловно, самый популярный браузер, переходит на реализацию
DoH по умолчанию, и очень немногие магазины используют корпоративное управление браузера.
Особенности.
 На большом предприятии задача ручного переключения этого
настройка на сотнях или тысячах компьютеров конечных пользователей может быть сложной задачей, поскольку
очень реальная возможность того, что некоторые системы будут упущены. В дополнение к компьютерам
в инфраструктуре есть и другие устройства, которые необходимо учитывать, такие как
мобильные, планшетные и IoT-устройства; не всегда практично или возможно
изменить конфигурацию на таких конечных точках.
 Получите видимость даже в зашифрованном DNS 
 Чтобы обеспечить видимость трафика DNS, вы
нужно решение для расшифровки, которое работает на DoH. Вы можете или не можете использовать
расшифровки сегодня, но растущая распространенность трафика DoH будет означать, что
без этой возможности вы будете в темноте.
 Gigamon GigaSMART  ®  SSL/TLS Decryption, который является частью Gigamon Visibility and Analytics Fabric™, может выполнять эту роль. Большая часть дискуссий о влиянии шифрования на конфиденциальность по сравнению с безопасностью, которые мы рассмотрели здесь, могут вызвать у вас ощущение дежа вю, поскольку аналогичные дебаты возникли с появлением версии 1.3 протокола TLS. Расшифровка Gigamon SSL/TLS помогла администраторам решить эту проблему; и независимо от того, используете ли вы его для этой цели, он также может помочь с DoH.
 Рисунки 1 и 2 — это скриншоты из Wireshark, которые
продемонстрируйте видимость, которую Gigamon обеспечивает в зашифрованном DNS-трафике. В
На рисунке 1 мы видим, что пакет 142 содержит DNS-запрос («что такое
IP-адрес для www.google.com?). Обратите внимание на «DoH» в протоколе
столбец; это информация, которую Gigamon Visibility and Analytics
Ткань расшифровала для нас.
 Рисунок 1. Расшифрованный DNS-запрос.
 На рис. 2 ниже показан аналогично расшифрованный HTTP-ответ в пакете 145.
 Рисунок 2. Расшифрованный ответ DNS.
 Каждому предприятию необходимо провести серьезный разговор о мониторинге сети и о влиянии DoH на его состояние безопасности. Несмотря на сейсмический сдвиг, который представляет собой вездесущий DoH, очень немногие организации столкнулись с ним, и, похоже, он не находится в поле зрения многих сетевых администраторов.
 Присоединяйтесь к обсуждению в сообществе Gigamon 
 Мы начали специальную дискуссию в сообществе Gigamon о ситуации с DoH. Пожалуйста, посмотрите и поделитесь своими мыслями.
  Избранные веб-семинары  
 Узнайте от наших экспертов о последних тенденциях и передовых методах оптимизации видимости и анализа вашей сети.
 Стандарт только для HTTPS. Введение в HTTPS 
 Ниже приведены некоторые часто задаваемые вопросы и ответы о HTTPS.
 Для подробного ознакомления (техническое образование не требуется) ознакомьтесь с презентацией Университета DigitalGov,  «Введение в HTTPS»  , чтобы узнать, что такое HTTPS и как он защищает веб-службы и пользователей.
 Что делает HTTPS?
 Какую информацию защищает HTTPS?
 Какую информацию защищает HTTPS , а не ?
 Какое отношение HTTPS имеет к HTTP/2?
 Как переход на HTTPS влияет на поисковую оптимизацию (SEO)?
 Как сайт HTTPS может продолжать отправлять информацию о реферере на связанные сайты HTTP?
 Насколько сложно атаковать соединение HTTPS?
 Почему сегодня доменные имена не шифруются через HTTPS?
 Почему DNSSEC недостаточно хорош?
 Как HTTPS защищает от спуфинга DNS?
 Что делает HTTPS? 
 При правильной настройке соединение HTTPS гарантирует три вещи:
  Конфиденциальность.  Соединение посетителя зашифровано, что скрывает URL-адреса, файлы cookie и другие конфиденциальные метаданные.
  Подлинность.  Посетитель общается с «настоящим» веб-сайтом, а не с подражателем или через посредника.
  Целостность.  Данные, передаваемые между посетителем и веб-сайтом, не были подделаны или изменены.
 Простое HTTP-соединение можно легко отслеживать, изменять и олицетворять.
 Какую информацию защищает HTTPS? 
 HTTPS шифрует почти всю информацию, передаваемую между клиентом и веб-службой.
 Например, незашифрованный HTTP-запрос   раскрывает не только тело запроса, но и полный URL-адрес, строку запроса и различные заголовки HTTP о клиенте и запросе:
 Зашифрованный запрос HTTPS   защищает большинство вещей:
 Это одинаково для всех методов HTTP (GET, POST, PUT и т. д.). URL-адрес и параметры строки запроса зашифрованы, как и тела POST.
 Какую информацию защищает HTTPS 
, а не ?
 Хотя HTTPS шифрует весь HTTP-запрос и ответ, разрешение DNS и настройка подключения могут раскрывать другую информацию, например полный домен или поддомен и исходный IP-адрес, как показано выше.
 Кроме того, злоумышленники могут анализировать зашифрованный HTTPS-трафик на наличие информации о «побочном канале». Это может включать время, проведенное на сайте, или относительный размер пользовательского ввода.
 Какое отношение HTTPS имеет к HTTP/2? 
 HTTP/2 (завершено в 2015 г.) — это обратно совместимое обновление для HTTP/1.1 (завершено в 1999 г.), оптимизированное для современной сети.
 HTTP/2 включает в себя множество функций, которые могут значительно повысить производительность веб-сайта и появились благодаря достижениям, которые Google продемонстрировал с помощью SPDY в 2009 году..
 Хотя HTTP/2 не требует использования шифрования в своей формальной спецификации, все основные браузеры, в которых реализован HTTP/2, реализуют только поддержку зашифрованных соединений, и ни один из основных браузеров не работает над поддержкой HTTP/2 для незашифрованных соединений. .
 Это означает, что на практике  основные преимущества HTTP/2 в производительности в первую очередь требуют использования HTTPS. 
 Для получения дополнительной информации:
 Часто задаваемые вопросы рабочей группы HTTP/2
 RFC 7540, финальная спецификация
 Состояние реализации HTTP/2, Марк Ноттингем (председатель рабочей группы)
 Как переход на HTTPS влияет на поисковую оптимизацию (SEO)? 
 В целом, переход на HTTPS улучшает SEO и аналитику веб-сайта.
 По состоянию на август 2014 года Google использует HTTPS в качестве сигнала ранжирования, что может повысить рейтинг поиска.
 Переход на HTTPS улучшит аналитику веб-трафика, направляемого с веб-сайтов HTTPS, поскольку информация о реферере не передается с веб-сайтов HTTPS на веб-сайты HTTP.
 Чтобы сделать миграцию как можно более гладкой и избежать проблем с поисковой оптимизацией:
 Используйте правильное перенаправление  301  для перенаправления пользователей с  http://  на  https://  .  Не используйте перенаправление 302  , так как это может негативно повлиять на ранжирование в поиске.
 Используйте элемент канонической ссылки ( ), чтобы сообщить поисковым системам, что «канонический» URL-адрес веб-сайта использует  https://  .
 Как сайт HTTPS может продолжать отправлять информацию о реферере на связанные сайты HTTP? 
 По умолчанию, когда пользователь находится на веб-сайте HTTPS и щелкает ссылку на веб-сайт HTTP, браузеры не будут отправлять заголовок  Referer  на веб-сайт HTTP. Это определено в спецификации HTTP 1.1 и предназначено для предотвращения раскрытия URL-адресов HTTPS, которые в противном случае оставались бы защищенными гарантиями HTTPS.
 Однако это означает, что если веб-сайт перейдет на HTTPS, любые HTTP-сайты, на которые он ссылается, перестанут получать данные о реферере с веб-сайта HTTPS. Это может быть сдерживающим фактором для перехода на HTTPS, поскольку он лишает связанные HTTP-сайты аналитических данных и означает, что веб-сайт HTTPS не получит «кредит» за перенаправление трафика на связанные веб-сайты.
 Владельцы веб-сайтов, которые хотят продолжать отправлять информацию об исходящих ссылках на связанные HTTP-сайты, могут использовать  Политику ссылок , чтобы переопределить поведение браузера по умолчанию, сохранив при этом конфиденциальность URL-адресов HTTPS.
 Для этого веб-сайты  должны использовать  политику  происхождения при пересечении происхождения . Это позволит поддерживающим браузерам отправлять  только источник  в качестве заголовка  Referer . Эта ограниченная реферальная информация применяется, даже если оба сайта используют HTTPS.
 Например, если пользователь находится на  https://agency.gov/help/aids.html  и щелкает ссылку на  https://moreinformation.com  , то если  origin-when-cross-origin , браузер отправит HTTP-запрос на  https://moreinformation.com  с заголовком  Referer   https://agency.gov  .
 Самый простой способ установить эту политику — включить тег   в тело веб-сайта HTTPS:
 
 
 HTTP-заголовок  Referrer-Policy  также может использоваться в качестве альтернативного механизма доставки, но он не получил широкой поддержки в веб-браузерах (по состоянию на конец 2016 г.).
 Веб-сайты  не должны использовать  политику  unsafe-url , так как это приведет к тому, что URL-адреса HTTPS будут отображаться в сети через HTTP-соединение, что нарушает одну из важных гарантий конфиденциальности и безопасности HTTPS.
 Насколько сложно атаковать соединение HTTPS? 
 Атаки на HTTPS-соединения обычно делятся на 3 категории:
 Компрометация качества HTTPS-соединения посредством криптоанализа или других недостатков протокола.
 Компрометация клиентского компьютера, например, путем установки вредоносного корневого сертификата в хранилище доверенных сертификатов системы или браузера.
 Получение «мошеннического» сертификата, которому доверяют основные браузеры, как правило, путем манипулирования или компрометации центра сертификации.
 Все это возможно, но для большинства злоумышленников это очень сложно и требует значительных затрат. Важно отметить, что все они представляют собой целевые атаки  , и их невозможно выполнить против любого пользователя, подключающегося к какому-либо веб-сайту.
 Напротив, обычные HTTP-соединения могут быть легко перехвачены и изменены любым участником сетевого соединения, поэтому атаки могут выполняться в больших масштабах и с низкими затратами.
 В первую очередь для поддержки  Индикация имени сервера  (SNI), расширение TLS, которое позволяет обслуживать несколько имен хостов через HTTPS с одного IP-адреса.
 Расширение SNI было представлено в 2003 году, чтобы упростить и удешевить развертывание HTTPS, но это означает, что имя хоста отправляется браузерами на серверы «в открытом виде», чтобы получающий IP-адрес знал, какой сертификат предоставить клиент.
 Когда сам домен или субдомен раскрывает конфиденциальную информацию (например, «contraception.foo.gov» или «suicide-help.foo.gov»), это может раскрыть эту информацию пассивным перехватчикам.
 С точки зрения конфиденциальности сети, сегодня DNS также «сливает» имена хостов в открытом виде по сети (даже при использовании DNSSEC). В сообществе сетевых стандартов продолжаются усилия по шифрованию как имени хоста SNI, так и поиска DNS, но по состоянию на конец 2015 года ничего не было развернуто для поддержки этих целей.
 Сегодня большинство клиентов поддерживают SNI, и владельцам сайтов рекомендуется оценить целесообразность поддержки SNI, чтобы сэкономить деньги и ресурсы. Однако независимо от того, требуется ли поддержка SNI для доступа к конкретному веб-сайту или нет, владелец веб-сайта должен учитывать, что их имена хостов не зашифрованы через HTTPS, и учитывать это при предоставлении доменов и субдоменов.
 Почему DNSSEC недостаточно хорош? 
 DNSSEC пытается гарантировать, что доменные имена разрешаются для корректных IP-адресов.
 Однако разрешение DNS — это лишь один из аспектов безопасного обмена данными в Интернете. DNSSEC не обеспечивает полной защиты домена:
 После завершения разрешения DNS DNSSEC не обеспечивает конфиденциальность или целостность связи между клиентом и IP-адресом назначения.
 Ни один из основных веб-браузеров не информирует пользователя о сбое проверки DNSSEC, что ограничивает ее надежность и применимость.
 HTTPS гарантирует конфиденциальность и целостность связи между клиентом и сервером, а веб-браузеры имеют строгие и развивающиеся политики обеспечения соблюдения HTTPS.
 Как HTTPS защищает от спуфинга DNS? 
 На практике HTTPS может защитить связь с доменом даже при отсутствии поддержки DNSSEC.
 Действительный сертификат HTTPS показывает, что сервер продемонстрировал владение доменом доверенному центру сертификации во время выдачи сертификата.
 Чтобы гарантировать, что злоумышленник не сможет использовать спуфинг DNS для перенаправления пользователя на обычное соединение  http:// , где трафик может быть перехвачен, веб-сайты могут использовать HTTP Strict Transport Security (HSTS), чтобы дать браузерам указание требовать HTTPS-соединение для их владения во все времена.