Forwarded from Cybred
Когда подключаешься к WiFi где-нибудь в коворкинге и пытаешься просканить хосты, можно ничего не найти из-за их изоляции. Pulse Security рассказали о том, как ее можно обойти.
Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.
Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.
Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.
PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.
Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.
Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.
Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.
PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.
GitHub
GitHub - Pulse-Security/wifi-client-isolation-bypass: Bypass WiFi client isolation on Open and WPA2-PSK networks
Bypass WiFi client isolation on Open and WPA2-PSK networks - Pulse-Security/wifi-client-isolation-bypass
👍6
Forwarded from Cybred
🔥 10/10 React4shell
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Just when I thought the day was over… CVE-2025-55182 shows up 🫠
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
👍3
Forwarded from AD_POHEQUE
React RCE: пруф с нуля, без «заведомо уязвимых серверов»
какой-то ясновидящий в комментах заявил, что poc крутится «на специально дырявом сервере» и вообще «это не по-настоящему».
я пошёл, потратил два часа, собрал всё с чистого react — и вот результат:
rce воспроизводится на react 19.2.0, без патчей и плясок с бубном.
ниже полностью воспроизводимый сценарий.
1) клонируем и фиксируемся на уязвимой версии
2) ставим зависимости и собираем react-server-dom-webpack
уязвимый бандл после сборки:
3) минимальный уязвимый сервер
кладём файл
https://gist.github.com/ghe770mvp/ebd40f33ec4ed080e603fda3ec20734e
4) стартуем уязвимый сервер
видим:
5) стреляем уже готовым эксплойтом
🔫 🤬 🔫
ожидаемый вывод (пример для windows):
это прямой результат
почему это НЕ «заведомо дырявый сервер»
- версия: четкий
- бандл: берём как есть из
- манифест: даём
итог простой:
react rsc rce — это не теоретическая страшилка, а реальный шелл на хосте из POST запроса.
хочешь спорить — сначала повтори шаги, потом уже пиши свое «экспертное» мнение. будет мне уроком тоже :)
👾
какой-то ясновидящий в комментах заявил, что poc крутится «на специально дырявом сервере» и вообще «это не по-настоящему».
я пошёл, потратил два часа, собрал всё с чистого react — и вот результат:
rce воспроизводится на react 19.2.0, без патчей и плясок с бубном.
ниже полностью воспроизводимый сценарий.
1) клонируем и фиксируемся на уязвимой версии
git clone https://github.com/facebook/react.git
cd react
git checkout v19.2.0
2) ставим зависимости и собираем react-server-dom-webpack
yarn install
yarn build react-server-dom-webpack
уязвимый бандл после сборки:
build/oss-stable/react-server-dom-webpack/cjs/react-server-dom-webpack-server.node.development.js
3) минимальный уязвимый сервер
poc-server.jsкладём файл
CVE-2025-55182_vuln_server.js в корень репо react:https://gist.github.com/ghe770mvp/ebd40f33ec4ed080e603fda3ec20734e
4) стартуем уязвимый сервер
в коде я использую упрощённый сервер: напрямую подключаю react-server-dom-webpack, руками собираю serverManifest с нужным гаджетом (vm.runInThisContext) и показываю, что одним HTTP-запросом через decodeAction можно выполнить произвольный код.
это минимальный пример на уровне библиотеки. в реальных фреймворках манифест генерируется автоматически и содержит ваши use server функции, там надо дальше искать реальные гаджеты и смотреть, что именно доступно через manifest.
node --conditions react-server --conditions webpack CVE-2025-55182_vuln_server.js
видим:
vuln server on http://localhost:3002
5) стреляем уже готовым эксплойтом
node exploit-rce-v4.js
ожидаемый вывод (пример для windows):
Test 2: vm.runInThisContext with require
RCE attempt: {"success":true,"result":"<computer_name>\\<user>\r\n"}
это прямой результат
child_process.execSync("whoami"), выполненный через decodeAction из уязвимого бандла 19.2.0.почему это НЕ «заведомо дырявый сервер»
- версия: четкий
git checkout v19.2.0, без правок исходников и без патчей;- бандл: берём как есть из
build/oss-stable/...react-server-dom-webpack-server.node.development.js, собранный yarn build react-server-dom-webpack;- манифест: даём
vm.runInThisContext, и при отсутствии hasOwnProperty-проверки payload через $ACTION_* проламывает код.итог простой:
react rsc rce — это не теоретическая страшилка, а реальный шелл на хосте из POST запроса.
хочешь спорить — сначала повтори шаги, потом уже пиши свое «экспертное» мнение. будет мне уроком тоже :)
👾
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👎2
Forwarded from International Studies
2025 National Security Strategy.pdf
500.5 KB
🇺🇸 Стратегия национальной безопасности США 2025
Буквально пару часов назад Белый дом опубликовал новую Стратегию нацбезопасности, которая утверждена Д.Трампом.
Делимся оригиналом.
Позже постараемся сделать обзор.
Международные исследования:
@interstudies
Буквально пару часов назад Белый дом опубликовал новую Стратегию нацбезопасности, которая утверждена Д.Трампом.
Делимся оригиналом.
Позже постараемся сделать обзор.
Международные исследования:
@interstudies
1👍6
Forwarded from Win-Win
Облачный сервис Cloudflare переживает очередной крупномасштабный сбой.
Множество платформ выходят из строя. Пользователи сообщают о проблемах с Perplexity AI, Epic Games Store, а также Zoom, Google Meet и Canva.
Множество платформ выходят из строя. Пользователи сообщают о проблемах с Perplexity AI, Epic Games Store, а также Zoom, Google Meet и Canva.
Forwarded from Tech Talk
Американское агентство нацбезопасности призвало владельцев Android и iPhone отказаться от коммерческих VPN
Используя такие сервисы, вы просто перекладываете риски с интернет-провайдера на поставщика VPN, что зачастую увеличивает поверхность атаки, считает CISA. Многие бесплатные и коммерческие VPN имеют сомнительную политику безопасности и конфиденциальности.
Также рекомендуется отказаться от использования SMS для многофакторной аутентификации, поскольку такие сообщения не шифруются, и если злоумышленник получит доступ к сети оператора связи, он сможет их легко перехватить и прочитать.
Новые рекомендации адресованы в основном гражданам США, подвергающимся высоким рискам, особенно из государственных и военных структур, а также политиков.
Используя такие сервисы, вы просто перекладываете риски с интернет-провайдера на поставщика VPN, что зачастую увеличивает поверхность атаки, считает CISA. Многие бесплатные и коммерческие VPN имеют сомнительную политику безопасности и конфиденциальности.
Также рекомендуется отказаться от использования SMS для многофакторной аутентификации, поскольку такие сообщения не шифруются, и если злоумышленник получит доступ к сети оператора связи, он сможет их легко перехватить и прочитать.
Новые рекомендации адресованы в основном гражданам США, подвергающимся высоким рискам, особенно из государственных и военных структур, а также политиков.
👍6👎1
Forwarded from SecAtor
Некто Gommzystudio на GitHub вывалил общедоступный инструмент, позволяющий отслеживать активность более трех млрд. пользователей WhatsApp и Signal.
Зная лишь номер телефона, злоумышленники теперь могут определить, когда пользователь возвращаются домой, когда активно использует телефон, когда ложится спать или когда находится вне сети.
Кроме того, поддерживается функция скрытого снижения заряда и генерации стороннего трафика.
В основе отслеживания активности пользователей используются фундаментальные особенности работы протоколов обмена сообщениями WhatsApp или Signal - метод злоупотребляет подтверждениями доставки для расчета времени кругового пути (RTT) сигнала.
По всей видимости, любой пользователь способен отправить пинг на целевое устройство, при этом приложение ответит, а время отклика будет сильно варьироваться в зависимости от того, что происходит с телефоном, используется Wi-Fi или мобильные данные.
Впервые эту уязвимость, получившую название Silent Whisper, исследователи из Венского университета имени Гегенхубера и SBA Research раскрыли еще в прошлом году.
В частности, отмечалось, что противник может создавать скрытые сообщения, позволяющие с высокой частотой (до долей секунды) исследовать цель, не вызывая при этом никаких уведомлений со стороны цели и даже в отсутствие текущего разговора.
Результаты исследования gommzystudio трансформировал в работающую утилиту, демонстрирующую, насколько легко отслеживать активность пользователей мессенджеров.
Мессенджеры отправляют уведомления о доставке и прочтении всякий раз, когда пользователь получает сообщение или реагирует на него.
Однако для получения этих уведомлений злоумышленникам не нужно отправлять какие-либо реальные сообщения. Вместо этого они могут «реагировать» на несуществующие сообщения.
Как пояснил gommzystudio, трекер отправляет сообщения-реакции на несуществующие идентификаторы сообщений, что не вызывает никаких уведомлений на целевом устройстве.
Приложения отвечают, не проверив, существует ли сообщение/реакция на самом деле, поскольку для подтверждения приема сетевых пакетов на низком уровне автоматически отправляются подтверждения доставки (ACK).
На Reddit gommzystudio рассказал, как ему удавалось рассылать зондирующие запросы с интервалом примерно в 50 мс, а целевой пользователь ничего не видел - ни всплывающих окон, ни уведомлений, ни сообщений, ничего не отображалось в пользовательском интерфейсе.
При этом на устройство начиналась быстрая разрядка батареи, а потребление мобильного трафика значительно возрастало.
При этом жертва не сможет обнаружить ничего из этого, пока физически не подключит девай к компьютеру и не изучит его содержимое.
Реализуя 20 и более пингов в секунду, можно фиксировать поведение пользователя: когда человек, вероятно, находится дома (стабильное время отклика Wi-Fi), когда он, скорее всего, спит (длительные периоды ожидания/отключения), когда он находится вне дома и передвигается (характеристики времени отклика мобильных данных).
В оригинальной статье подробно описаны и другие различные способы, которыми злоумышленники могут реализовать эту уязвимость.
По части батареи исследователи смогли значительно увеличить расход заряда.
Как правило, телефон в режиме ожидания потребляет менее 1% заряда в час. Однако в ходе тестов с WhatsApp iPhone 13 Pro терял 14% в час, iPhone 11 - 18%, а Samsung Galaxy S23 - 15%.
Однако Signal внедрил ограничение скорости получения уведомлений, чего не было в WhatsApp. Поэтому после часа атаки заряд батареи снизился всего на 1%.
Возможная вредоносная активность также расходует трафик, ухудшая удобство использования других ресурсоемкими приложениями, такими как видеозвонки.
Кроме того, уязвимость RTT позволяла также зондировать местоположение пользователя.
Исследователь отдельно предупреждает, что по состоянию на декабрь 2025 года эта уязвимость по-прежнему может быть реализована в WhatsApp и Signal.
Зная лишь номер телефона, злоумышленники теперь могут определить, когда пользователь возвращаются домой, когда активно использует телефон, когда ложится спать или когда находится вне сети.
Кроме того, поддерживается функция скрытого снижения заряда и генерации стороннего трафика.
В основе отслеживания активности пользователей используются фундаментальные особенности работы протоколов обмена сообщениями WhatsApp или Signal - метод злоупотребляет подтверждениями доставки для расчета времени кругового пути (RTT) сигнала.
По всей видимости, любой пользователь способен отправить пинг на целевое устройство, при этом приложение ответит, а время отклика будет сильно варьироваться в зависимости от того, что происходит с телефоном, используется Wi-Fi или мобильные данные.
Впервые эту уязвимость, получившую название Silent Whisper, исследователи из Венского университета имени Гегенхубера и SBA Research раскрыли еще в прошлом году.
В частности, отмечалось, что противник может создавать скрытые сообщения, позволяющие с высокой частотой (до долей секунды) исследовать цель, не вызывая при этом никаких уведомлений со стороны цели и даже в отсутствие текущего разговора.
Результаты исследования gommzystudio трансформировал в работающую утилиту, демонстрирующую, насколько легко отслеживать активность пользователей мессенджеров.
Мессенджеры отправляют уведомления о доставке и прочтении всякий раз, когда пользователь получает сообщение или реагирует на него.
Однако для получения этих уведомлений злоумышленникам не нужно отправлять какие-либо реальные сообщения. Вместо этого они могут «реагировать» на несуществующие сообщения.
Как пояснил gommzystudio, трекер отправляет сообщения-реакции на несуществующие идентификаторы сообщений, что не вызывает никаких уведомлений на целевом устройстве.
Приложения отвечают, не проверив, существует ли сообщение/реакция на самом деле, поскольку для подтверждения приема сетевых пакетов на низком уровне автоматически отправляются подтверждения доставки (ACK).
На Reddit gommzystudio рассказал, как ему удавалось рассылать зондирующие запросы с интервалом примерно в 50 мс, а целевой пользователь ничего не видел - ни всплывающих окон, ни уведомлений, ни сообщений, ничего не отображалось в пользовательском интерфейсе.
При этом на устройство начиналась быстрая разрядка батареи, а потребление мобильного трафика значительно возрастало.
При этом жертва не сможет обнаружить ничего из этого, пока физически не подключит девай к компьютеру и не изучит его содержимое.
Реализуя 20 и более пингов в секунду, можно фиксировать поведение пользователя: когда человек, вероятно, находится дома (стабильное время отклика Wi-Fi), когда он, скорее всего, спит (длительные периоды ожидания/отключения), когда он находится вне дома и передвигается (характеристики времени отклика мобильных данных).
В оригинальной статье подробно описаны и другие различные способы, которыми злоумышленники могут реализовать эту уязвимость.
По части батареи исследователи смогли значительно увеличить расход заряда.
Как правило, телефон в режиме ожидания потребляет менее 1% заряда в час. Однако в ходе тестов с WhatsApp iPhone 13 Pro терял 14% в час, iPhone 11 - 18%, а Samsung Galaxy S23 - 15%.
Однако Signal внедрил ограничение скорости получения уведомлений, чего не было в WhatsApp. Поэтому после часа атаки заряд батареи снизился всего на 1%.
Возможная вредоносная активность также расходует трафик, ухудшая удобство использования других ресурсоемкими приложениями, такими как видеозвонки.
Кроме того, уязвимость RTT позволяла также зондировать местоположение пользователя.
Исследователь отдельно предупреждает, что по состоянию на декабрь 2025 года эта уязвимость по-прежнему может быть реализована в WhatsApp и Signal.
GitHub
GitHub - gommzystudio/device-activity-tracker: A phone number can reveal whether a device is active, in standby or offline (and…
A phone number can reveal whether a device is active, in standby or offline (and more). This PoC demonstrates how delivery receipts + RTT timing leak sensitive device-activity patterns. (WhatsApp /...
👍3❤1
Forwarded from Too Many Apples
В этом году решил сделать отчет о проделанной работе и поделиться им с общественностью. Этот отчет рассказывает о результатах работы нашей ИБ команды за этот год. И в РФ и в мире так делают редко - сказываются особенности области, подход security through obscurity, да и просто не готовность и не способность открыто рассказывать о реальных результатах работы.
Мы считаем иначе. Открытое обсуждение и обмен лучшими практиками ускоряет развитие инфобеза, оздоровляет индустрию, меняет отношение не-ибшников к нашей работе в лучшую сторону.
Выношу огромную благодарность всей команде за работу. Особая благодарность Илье за сведение и оформление отчета.
Вашему вниманию отчет, мы постарались чтобы он был в своем роде руководством к действию, отвечал на вопрос "а как можно решить ту или иную задачу, выстроить тот или иной процесс". Буду признателен комментариям и мнениям, что понравилось, а что - нет, вопросам и критике.
Мы считаем иначе. Открытое обсуждение и обмен лучшими практиками ускоряет развитие инфобеза, оздоровляет индустрию, меняет отношение не-ибшников к нашей работе в лучшую сторону.
Выношу огромную благодарность всей команде за работу. Особая благодарность Илье за сведение и оформление отчета.
Вашему вниманию отчет, мы постарались чтобы он был в своем роде руководством к действию, отвечал на вопрос "а как можно решить ту или иную задачу, выстроить тот или иной процесс". Буду признателен комментариям и мнениям, что понравилось, а что - нет, вопросам и критике.
👍2
Forwarded from AD_POHEQUE
интернет отрубили, vpn задушили, ngfw дышит в затылок — а у тебя свой маленький «биврёст» на LoRa.
meshtastic как канал связи. при желании докручивается до ExpressLRS/ Crossfire, умельцы есть.
это ровно то, чего нет в корпоративных методичках: альтернативный, медленный, но живучий канал управления.
никакого tcp/ip, никакого dpi, никакого «давайте добавим сигнатуру в next gen firewall» — трафик ушёл в эфир и прошёл мимо их игрушек.
решат бороться с такой закладкой через РЭБ расположенный в офисе или цеху, то лягут:
• bluetooth-наушники любимых сеньоров
• «умные» кондиционеры
• половина датчиков и прочего iot-шлака
• АСУТП, ПЛК
всё, что дышит тем же диапазоном. чтобы выжечь один аккуратный mesh-канал, придётся устроить реальный саботаж своими же руками так и не получив желаемого.
для red team это ещё один слой выживания:
оставил физическую закладку с meshtastic → поднял аварийный c2-канал вне ip → даже если основной доступ лёг, у тебя остаётся тихий запасной маршрут. в рамках упражнений и учений — актуальная модель угроз.
дальше в игру заходят люди, которые вчера гоняли fpv под помехами, а сегодня вернулись «на гражданку». для них «обойти периметр завода и найти слепую зону» — это тривиальная задача на вечер.
и внезапно выясняется, что для закладки не нужен ни «социальный инженер», ни экскурсия в офис. достаточно в сценарии учений:
— приехать на каршеринге,
— пройтись вдоль периметра,
— проверить эфир обычными bluetooth-наушниками: если музыка не рвётся — радиообстановка более-менее чистая.
дальше включается беспилотная школа. лёгкий борт с камерой и нормальной антенной спокойно перелетает забор и оставляет внутри то, что раньше просили заносить «под видом флешки»:
маленький модуль с lora/meshtastic, wi-fi, чем угодно ещё. хоть на подоконник, хоть через открытую форточку и там уже на шкаф.
есть поддержка изнутри — вообще праздник: воткнулся в шнурок по классике, и привет, out-of-band для тех же учений.
важное здесь не «как так сделать», а что модель угроз большинства контор этого просто не видит. у них до сих пор всё крутится вокруг:
— периметр → ngfw → прокси
— офис → домен → soc
а над забором уже спокойно летает другая эпоха, где инженер по беспилотникам в паре с red team даёт такой out-of-band, который никакой «стажёр кладовщик» не обеспечит.
если вы отвечаете за защиту и всё ещё мыслите только ip-сетями и турникетами — вы динозавр и не видите целый класс каналов связи.
репозиторий для изучения:
https://github.com/benjaminchodroff/meshtastic_c2
👾
meshtastic как канал связи. при желании докручивается до ExpressLRS/ Crossfire, умельцы есть.
это ровно то, чего нет в корпоративных методичках: альтернативный, медленный, но живучий канал управления.
никакого tcp/ip, никакого dpi, никакого «давайте добавим сигнатуру в next gen firewall» — трафик ушёл в эфир и прошёл мимо их игрушек.
решат бороться с такой закладкой через РЭБ расположенный в офисе или цеху, то лягут:
• bluetooth-наушники любимых сеньоров
• «умные» кондиционеры
• половина датчиков и прочего iot-шлака
• АСУТП, ПЛК
всё, что дышит тем же диапазоном. чтобы выжечь один аккуратный mesh-канал, придётся устроить реальный саботаж своими же руками так и не получив желаемого.
для red team это ещё один слой выживания:
оставил физическую закладку с meshtastic → поднял аварийный c2-канал вне ip → даже если основной доступ лёг, у тебя остаётся тихий запасной маршрут. в рамках упражнений и учений — актуальная модель угроз.
дальше в игру заходят люди, которые вчера гоняли fpv под помехами, а сегодня вернулись «на гражданку». для них «обойти периметр завода и найти слепую зону» — это тривиальная задача на вечер.
и внезапно выясняется, что для закладки не нужен ни «социальный инженер», ни экскурсия в офис. достаточно в сценарии учений:
— приехать на каршеринге,
— пройтись вдоль периметра,
— проверить эфир обычными bluetooth-наушниками: если музыка не рвётся — радиообстановка более-менее чистая.
дальше включается беспилотная школа. лёгкий борт с камерой и нормальной антенной спокойно перелетает забор и оставляет внутри то, что раньше просили заносить «под видом флешки»:
маленький модуль с lora/meshtastic, wi-fi, чем угодно ещё. хоть на подоконник, хоть через открытую форточку и там уже на шкаф.
есть поддержка изнутри — вообще праздник: воткнулся в шнурок по классике, и привет, out-of-band для тех же учений.
важное здесь не «как так сделать», а что модель угроз большинства контор этого просто не видит. у них до сих пор всё крутится вокруг:
— периметр → ngfw → прокси
— офис → домен → soc
а над забором уже спокойно летает другая эпоха, где инженер по беспилотникам в паре с red team даёт такой out-of-band, который никакой «стажёр кладовщик» не обеспечит.
если вы отвечаете за защиту и всё ещё мыслите только ip-сетями и турникетами — вы динозавр и не видите целый класс каналов связи.
репозиторий для изучения:
https://github.com/benjaminchodroff/meshtastic_c2
👾
👍11❤1
Ребёнок с телефоном/планшетом, а настройки «потом сделаю»?
Сохраните этот чек‑лист и пройдитесь по нему сегодня. 15 минут — и устройство станет заметно безопаснее.
————————
1. Устройство
1. Включите родительский контроль - Family Link (Android) или «Экранное время»/«Ограничения» (iOS).
2. Разрешите установку новых приложений только с вашего одобрения.
3. Подключите семейный DNS‑фильтр (например, семейный режим Яндекс DNS).
4. Задайте лимит времени на использование устройства. Границы лучше бесконечных «ещё пять минут».
5. Отключите лишние уведомления от приложений.
6. Заблокируйте встроенные покупки или поставьте отдельный пароль.
————————
2. Игры (Roblox и другие)
7. Включите PIN‑код аккаунта ребёнка.
8. Подключите двухфакторную аутентификацию (2FA).
9. Настройте чат: «выкл.» или «только друзья».
10. В друзьях оставьте только реальных знакомых.
11. Отключите тренды и рекомендации.
12. Составьте «разрешённый список» игр.
————————
3. Видео (YouTube и др.)
13. Для младших школьников — только YouTube Kids.
14. Включите ограниченный режим на роутере, а не только на устройстве.
15. Составьте «разрешённый список» каналов.
16. Регулярно просматривайте историю поиска и просмотров.
17. Отключите автопроигрывание следующего видео.
————————
Технологии — лишь часть защиты.
Вторая половина — ваши правила и разговор с ребёнком о том, что в интернете допустимо, а что нет.
————————
Сохраните этот чек‑лист и пройдитесь по нему сегодня. 15 минут — и устройство станет заметно безопаснее.
————————
1. Устройство
1. Включите родительский контроль - Family Link (Android) или «Экранное время»/«Ограничения» (iOS).
2. Разрешите установку новых приложений только с вашего одобрения.
3. Подключите семейный DNS‑фильтр (например, семейный режим Яндекс DNS).
4. Задайте лимит времени на использование устройства. Границы лучше бесконечных «ещё пять минут».
5. Отключите лишние уведомления от приложений.
6. Заблокируйте встроенные покупки или поставьте отдельный пароль.
————————
2. Игры (Roblox и другие)
7. Включите PIN‑код аккаунта ребёнка.
8. Подключите двухфакторную аутентификацию (2FA).
9. Настройте чат: «выкл.» или «только друзья».
10. В друзьях оставьте только реальных знакомых.
11. Отключите тренды и рекомендации.
12. Составьте «разрешённый список» игр.
————————
3. Видео (YouTube и др.)
13. Для младших школьников — только YouTube Kids.
14. Включите ограниченный режим на роутере, а не только на устройстве.
15. Составьте «разрешённый список» каналов.
16. Регулярно просматривайте историю поиска и просмотров.
17. Отключите автопроигрывание следующего видео.
————————
Технологии — лишь часть защиты.
Вторая половина — ваши правила и разговор с ребёнком о том, что в интернете допустимо, а что нет.
————————
👍11👎4
🚨 В популярной платформе автоматизации рабочих процессов n8n выявлена критическая уязвимость, позволяющая авторизованным пользователям с правами редактирования рабочих процессов выполнять команды операционной системы на хосте.
Уязвимость, зарегистрированная как CVE-2025-68668, имеет оценку CVSS 9,9.
Уязвимость, зарегистрированная как CVE-2025-68668, имеет оценку CVSS 9,9.
👍5