С малых лет всегда интересовало тестирование, особенно в области безопасности, но кстати тестировщиком я так и не стал, но иногда люблю потыкать чужие автоматы и поискать уязвимости.

Помню, когда впервые открывались известные кассовые автоматы приема платежей, при обновлении ПО каким-то образом там вылезло окно браузера и понеслась, что мы там только не делали, думаю об этом многие уже писали и с тех пор к безопасности приложений начали относится более серьезнее.

Не так давно в сетях быстрого питания начали появляться удобные кассовые автоматы
самообслуживания. Безусловно, вещь очень удобная подошел, посмотрел, заказал и ждешь когда твой номерок появится на табло.

Помимо интерактивных касс, появляются интересные схемы развлекательных комплексов с подробным описанием и подробностями о акциях или скидках.

Насколько это безопасно?
Вот и я решил выяснить и начал тестировать и, о чудо, получилось!

Первой жертвой был известный кассовый автомат

image

А вот со вторым автоматом была целая история. Уведев новенький автомат, меня потянуло протестировать и да он тоже сдался…

image

Cтоило мне это хамским отношением от охраны ТРК центра. Объяснением, какой я ужасный человек, который портит имущество частной территории — только объяснить как именно, так и не смогли… Долгими разговорами начальник охраны решил это сравнить с бомбой в Хиросиме и то, что Россия им помогла после бомбы… Правда я опять же не понял, причём тут бомба и помощь России… Потом он попытался сравнить это со взломом — я говорю, что открыть приложение это не взлом, а дыра в безопасности, на что мне пообещали сделать дыру в голове :D

И, наконец, третий кассовый автомат известного бренда быстрого питания.

На этот раз я решил быстро открыть параметры, сфоткать и уйти, дабы опять не нарваться на скандал…

image

На самом деле, установленное ПО сделано на достойном уровне но подвела к монастырю windows 10, а точнее ее жесты и прямые руки Админов которые ставили ПО на терминалы.

Так как это произошло???

Все дело в том что, в windows 10, как я уже писал выше, появились жесты и если провести пальцем слева направо, то откроется панель уведомлений ну а дальше можно перейти куда угодно и открыть что угодно…

image

Открывается полный доступ к терминалу, можно открыть проводник, реестр, cmd и конечно же paint. :)

Вот таким простым способом можно открыть 80% терминалов и сделать с ними что угодно.

При всех тестах ни один терминал не пострадал и кроме paint а больше ничего не открывалось.

Комментарии (237)


  1. advan20092
    24.07.2018 19:18
    +10

    В чем смысл использования винды в подобных терминалах? Они же один фиг веб интерфейс в большинстве случаев отображают? В винде столько возможностей что-то как-то хитро запустить, что использование ее в подобных местах уже можно считать большой дырой безопасности.


    1. Aleksazhko
      24.07.2018 19:30

      Вероятно, зависит от того, кому из аутсорсеров отдали написание и на чём. Если это были дешёвые дотнетчики-третекурсники, то из операционок выбора нет. Или железо для этих терминалов не имеет драйверов под линукс.


      1. AllexIn
        24.07.2018 20:10
        +8

        Ну… Я в свободное от разработки игр время отвлекаюсь тем, что пишу на заказы терминалы.
        И была ситуация, когда заказчик сказал — ладно, хватит винды. Давай портируем на линукс.
        Т.к. терминалы я как правило пишу на Qt — портировать дело не хитрое.
        Через два месяца заказчик сказал — да ну его в жопу. И с тех пор, на билд машине сборка под линукс делается только для теста, чтобы если вдруг заказчик захочет — можно было собрать.
        Но везде используется исключительно винда.
        Причина прост как три копейки — администрирование.
        Как только на линуксе что-то слетает — местный админ охреневает и звонит поставщику терминалов(моему заказчику) и начинает капать на мозги. В то время как переустановить винду и запустить инсталятор проги может и криворучка…

        Это я к чему: совершенно не обязательно, что проблема в прогерах.


        1. rum
          24.07.2018 20:37
          +2

          Скорей даже наоборот, прогеры тут и не при чем, программа то работает.
          Обычно сводится к админу студенту, который поставил зачем-то домашнюю версию ОС на терминал или забыл не подумал включить Lockdown. Очень много возможностей для разворачивания терминалов давно уже есть чуть ли не из коробки, но это же надо маны читать =)


        1. iig
          24.07.2018 21:11
          +4

          'В то время как переустановить винду и запустить инсталятор проги может и криворучка'


          Проще установки windows, пожалуй, только установка линукса.


          1. AllexIn
            24.07.2018 21:16
            +2

            Круто что у вас так.
            У меня в домашней локалке в ведении с десяток компов. Половину я перевел на линукс(OpenSuse, Ubuntu). И у меня впечатление другое.


            1. iig
              24.07.2018 21:27
              +2

              Ну, сама по себе установка линукса (загрузится с флешки и нажимать время от времени кнопку 'дальше' не должна вызвать затруднений. Да и установка одной-единственной программы из пакета тоже.


            1. Sabubu
              25.07.2018 09:17

              Это вы наверно по-старинке вручную устанавливаете. В случае терминала, разработчик поставляет образ ОС и ее надо просто развернуть на жесткий диск, и что Windows, что linux тут установить одинаково просто.


              1. springimport
                25.07.2018 16:03

                В установке нет ничего сложного, кроме разбиения дисков. Что там вообще и как будет разбиваться — не ясно. В винде по крайней мере пишут названия дисков и лишнее сложно удалить.
                Ну и как всегда сложности установки рядом с виндой.


                1. supernapalm
                  25.07.2018 16:33

                  Зачем что-то разбивать и устанавливать рядом с виндой на терминале непонятно, правда.


                  1. springimport
                    25.07.2018 17:08

                    Не про терминал, а обычную установку.


                1. ushliy
                  25.07.2018 19:34

                  Хм, а в линуксе указываются разделы и точки их монтирования. На мой взгляд, это даже логичней, чем абстрактные буквы назначения дисков. У каждого своя правда. Неправ только тот, кто читать ленится, а ручонки тянет


                  1. QuAzI
                    26.07.2018 10:40

                    Правда в том, что люди привыкли и теперь пытаются протолкнуть то, к чему привыкли, наглухо отрицая в некоторых случаях даже здравый смысл, чем лишь усугубляют ситуацию. Люди 15-20 лет, начиная со школы, видят только винды, опыт есть только с виндами и всё вокруг на винды же завязано стало за это время. Если бы не засилье пиратки во всех местах 10-20 лет назад, работали бы все на никсах и в ужасе плевались на попытку предложить им винду, да ещё и за деньги. А заодно и большинство софта разработанного за эти годы было бы либо кроссплатформенным, либо работающим на никсах без проблем. Благо сегодня уже даже MS пытается работать с никсами, выкатил открытый .NET Core, VSCode и грань «только эта ОС» стирается, можно реально жить и работать в любой актуальной ОС и делать 99% задач даже не запариваясь, на какой ОС ты сидишь.


                    1. ushliy
                      26.07.2018 11:30

                      Тоже верно. Я никогда не забуду своего препода из универа, который году так в 2008 боготворил винду, плевался на никсы, обзывая их студенческой поделкой для курсовика. Хотя к тому времени экосистема линукса была уже развита прекрасно. Собсна, из-за этого препода и ему подобных, я решил, что ничему новому в универе меня не научат и спокойно забрал документы


                      1. cr0nk
                        26.07.2018 21:13

                        А может препод все таки прав был?!? Одна из отличительных черт юношеского максимализма это отрицание чужого мнения, и продвижение своего мнения как единственно верного.


                        1. ushliy
                          27.07.2018 01:01

                          Кхм… На тот момент мне уже было года 22, т.е. максимализма уже поубавилось. Да и оголтелым фанатом никсов я не был никогда, прерасно осознавая, что для каждой задачи существует свой инструмент. Здесь неприятие чужого мнения было с преподающей стороны. Тащемта, там до сих пор учат по методичкам 90-х годов, кром 1-2 специальностей


                    1. KostaArnorsky
                      27.07.2018 02:40

                      А еще есть WSL. А вот это утверждение:

                      работали бы все на никсах и в ужасе плевались на попытку предложить им винду

                      — это чисто гипотетически, так могло бы быть, если бы не пиратки, или так бы и было?


              1. Asten
                26.07.2018 09:19

                делаем pxe образ, загружаем его посети на терминал и работаем. никаких установок


            1. SellerOfSmiles
              26.07.2018 21:14

              Потому что есть красивые и распиаренные Линуксы, предназначенные для зарабатывания денег на их сопровождении (OpenSuse, Ubuntu), а есть Линуксы для жизни, предназначенные для сокращения времени развертывания и сопровождения (CentOS, Gento, раньше еще Debian был, но не знаю как он сейчас).


          1. maldalik
            25.07.2018 07:17

            Да конечно, попробовал я тут линукс минт поставить.
            Создал раздел под него. И при установке он заявлеет будут отформатированы разделы scsi чего тот там. Я в охренении, scsi дисков нет, чего он там форматировать собрался — хз. Ладно по размерам вроде совпадает рискнул, в установщике выбрал совместный с существующей виндой вариант. После установки винды нет.(пару часов гугления и удалось сделать 2 варианта)
            Правда сам линукс встал и и даже нашел почти все железо.
            Проблемой оказалось найти внешние диски. Потом как то сами собой в проводнике появились.
            Поигрался и плюнул


            1. nafgne
              25.07.2018 11:02

              Скорее всего, кривые лапки. Ставил минт в параллель с виндой, будучи совсем нубом — всё было ок.


              1. maldalik
                25.07.2018 11:13
                +1

                Если все очень просто причем тут кривые лапки?


                1. MahMahoritos
                  25.07.2018 11:26

                  При том, что кривые лапки могут ровном месте создать проблему


                  1. trdm
                    26.07.2018 01:52

                    Кривые лапки программистов линукса?


                1. imanushin
                  25.07.2018 14:01
                  +1

                  Если все очень просто причем тут кривые лапки?

                  Классика же
                  Если проблема с Windows — виноват Microsoft.
                  Если проблема с Linux — кривые руки и тд.


                1. nafgne
                  25.07.2018 14:07
                  -1

                  При том, что кривые лапки могут на ровном месте создать проблему. Вангую, что у пациента граб запускал минт по умолчанию, и он не знал, какую кнопку нажать для выбора оси.


                  1. iCpu
                    25.07.2018 16:57

                    Но эти же, ровно и точно эти кривые лапки не мешают накатить винду. И каким-то странным образом не мешают её восстанавливать после слёта пары системных файлов или вылета пары сотен бэдов. Может, проблема всё-таки не в лапках?


                    1. nafgne
                      25.07.2018 21:15

                      Честно говоря, я как-то пропустил момент, когда хабр пробил очередное дно и наполнился биллибоями. Вы точно ставили хоть раз хотя бы современную убунту? На 95% оборудования она просто работает, без единой капли красноглазия. На установочном лайв-образе есть тривиально запускаемое средство восстановления, можно просто натравить его на мёртвую систему и получить её обратно в живом виде, с сохранением всех данных и документов. Что не так с вашими лапками, что они не могут нажать далее-далее-далее?


                      1. iCpu
                        26.07.2018 04:55

                        Рассказать историю успеха?
                        Год назад накатил себе убунту. К установке претензий нет — всё гладко. Проблемы появились позже — из-за херового оборудования, конечно. У меня сдох моник (полетел БП подсветки), пришлось поставить китайский на замену. А у того была маленькая проблема: он сообщал о поддержке видеорежимов, которые прожевать не мог. Например, о 1600x1200@75 при матрице 1280x1024@60. Как решается проблема на винде? Безопасный VGA режим, выставляется правильное разрешение, дополнительно оно же выставляется в ПО драйвера видеокарты, перезагрузка в нормальный режим, работа.
                        Убунту? А убунту в терминальном режиме мне поставила это же не поддерживаемое разрешение. Или другое, результат то же — синенькое окошко «сверх сферы» на чёрном экране. И что мне делать? Перешёл на офф вики и начал править конфиги вслепую. И что же могло пойти не так? Манул протух. Конфиги переехали, xrandr помогал только в текущей терминальной сессии, и то не до конца, а тут ещё и проприетарные дрова нвидии так и норовили подговнить жизнь. В итоге я ничего путного добиться не смог.
                        Ох, конечно, я мог бы ручками поискать, как исправить эту проблему, почитать другие статьи со смарта, поискать конфиг и тп. Вот только мне деньги не за это платят. В итоге, после суточного обострения моей сексуальной жизни она мне приелась, и всё моё общение с линухом сошло до поднятия виртуальных машин с ним. Нет, были ещё попытки работы, но постоянно самовозникала какая-то мелочь, которая перерастала в часы брожения по манам и статьям. В то время как винда (7) просто стабильно работает уже 3 года (и позволяет бегать по пустошам Морровинда, полям Тамриеля и горам Скайрима, чего уж там).

                        Написал это простыню — и тут понял, что в глазах линуксоида я не особо отличаюсь от яблочника, который готов заплатить больше, лишь бы не думать. Хех.


                        1. DaemonGloom
                          26.07.2018 06:36
                          +2

                          Эм. Запускаете компьютер, вам предлагается выбор ОС. Выбираете «Advanced», «Recovery». Показывается меню из нескольких пунктов. «Run in failsafe graphic mode» — ваш вариант.
                          Попасть в аналогичное меню в windows 8/10 значительно сложнее, если честно — ибо F8 не срабатывает в большинстве случаев.
                          Если хотите более сложный путь — добавляете vga=0x31b к параметрам загрузки и получаете сразу нужное разрешение.


                          1. iCpu
                            26.07.2018 07:35
                            +1

                            Запускаете компьютер, вам предлагается выбор ОС. Выбираете «Advanced», «Recovery». Показывается меню из нескольких пунктов. «Run in failsafe graphic mode» — ваш вариант.
                            «Или другое, результат то же — синенькое окошко «сверх сферы» на чёрном экране.»
                            Я не знаю причины, у меня был лишь результат. Я не собираюсь спорить, помогло бы vga=0x31b или нет, где у меня лежали конфиги xrandr и тп. По факту я не смог решить проблему вовремя несмотря на всё обилие мануалов и утилит. Кривые лапки? Пусть так.

                            Что касается 8/10, перезагружаешься, пару раз дёргаешь Reset при появлении логотипа винды — на третий попадаешь в режим восстановления. Конечно, есть варианты с Shift+F8 и тп, но тут гарантия.


                            1. iig
                              26.07.2018 10:04
                              +1

                              перезагружаешься, пару раз дёргаешь Reset при появлении логотипа винды — на третий попадаешь в режим восстановления.


                              И в бубен нужно с правильным ритмом ударять, это важно. «на третий попадаешь в режим восстановления» — это очевидное решение, да.


                            1. dark_snow
                              27.07.2018 05:46

                              А просто НАХРЕН отключить «типа дофига быструю загрузку» в uefi не судьба?


                        1. Temmokan
                          26.07.2018 08:37

                          Одинаковое одинаковому рознь.

                          У меня вот не было настолько фатальных проблем с Linux, хотя и оборудование ломалось, и всё такое прочее.

                          К тому же, по большому счёту, нет особой разницы в количестве времени, которое тратилось на запинывание (когда из коробки не работает) Windows разныз штаммов, или же Linux разных видов. Те же яйца, вид сбоку.

                          Так что личный опыт обобщать нет смысла — в большинстве случаев, на годном и не слишком старом или новом оборудовании та же Ubuntu действительно «встала и пошла».


                        1. nafgne
                          26.07.2018 09:46
                          +1

                          Подкинуть второй монитор и настроить разрешение китайца через него религия не позволила?


                          1. daggert
                            26.07.2018 10:39
                            -1

                            Мб возможности небыло? Мб человек в деревне, мб у него нет друзей, которые-бы дали, мб еще тонна вариантов. Предложите сразу "сложно было моник не ломать?".


                            1. nafgne
                              26.07.2018 11:03
                              +2

                              Вообще говоря, не ломать мониторы — неплохая стратегия.

                              Давайте ещё предположим, что наш гипотетический человек слепой, однорукий и потерял клавиатуру. Так, на всякий случай, чтобы у него точно не было возможности что-либо исправить, не устанавливая винду.


                              1. daggert
                                26.07.2018 11:41

                                Я очень рад что у вас есть возможность в любое время дня и ночи достать второй монитор, который будет совместим с линуксом, и настроить второй. У меня вот такой возможности нет. У друзей нет мониторов, которые они-б мне дали (ибо ноутбуки или планшеты), а с работы брать — слишком геморрно. Проще быть на винде, где проблемы, ВНЕЗАПНО, нет.


                                1. MahMahoritos
                                  26.07.2018 12:35

                                  Проще быть на винде, где проблемы, ВНЕЗАПНО, нет
                                  Конечно, нет, если глаза плотно зажмурить. Особенно после более подробного рассказа, насколько очевидно и легко в винде перейти в безопасный режим.

                                  Проблемы везде есть и конкретно описанная — тоже. Очевидно, что подходы к решению разные. Так почему же за эталонный и очевидный принимается подход винды, а не линукса? Из-за банального синдрома утенка?


                                1. nafgne
                                  26.07.2018 12:38

                                  Вот щас бы в 2k16 под постом про виндопроблемы говорить, что проблем нет.

                                  Вообще, никто не мешает открыть параметры монитора с ноутбука через X forwarding. Или подключиться с планшета по VNC. Первый случай — sudo apt install openssh-server, второй — sudo apt install x11vnc; x11vnc. Обе команды неоднократно вслепую набирал на системах без мониторов.
                                  Алсо, в дефолт-линуксе настройки дисплея лежат в ~.config/monitors.xml. Не то чтобы я от хорошей жизни это знал, конечно, но исправить разрешение довольно просто и без прямого насилия над xrandr'ом.


                                  1. daggert
                                    26.07.2018 13:03

                                    Вот щас бы в 2k16 под постом про виндопроблемы говорить, что проблем нет.

                                    ПроблемЫ. Одной. Конкретно этой проблемы. Я не отрицаю что у винды своих проблем туева куча.


                                    Вообще, никто не мешает открыть параметры монитора с ноутбука через X forwarding
                                    У меня вот ноутбука нет.

                                    Или подключиться с планшета по VNC.
                                    Неплохое решение, но VNC вот я никогда не юзал. Сейчас набрал это в своей убунте и… не подключается с соседнего компа. Даже после перезагрузки.

                                    Обе команды неоднократно вслепую набирал на системах без мониторов.

                                    Отличный костыль. Сейф мод попроще, не?


                                    1. nafgne
                                      26.07.2018 13:39

                                      А у меня законнектилось, с первого же приложения из плеймакета.

                                      > Даже после перезагрузки
                                      По дефолту x11vnc не работает в фоне, он просто устанавливается. Вторая команда (после ;) стартует сеанс для текущего пользователя (нешифрованный и незапароленный, только для домашней сети, в общем), нужно тыкаться, когда команда выполняется.

                                      > Сейф мод попроще, не?
                                      Без монитора?)
                                      Вообще говоря, нормальная работа глючного монитора в safe mode — это вилами по воде писано. Может, завтра вам попадётся экземпляр, не могущий отображать 800х600.


                                    1. balsoft
                                      26.07.2018 17:53

                                      кхм. Нет, не попроще, начиная с W8. vga=0x31b гораздо проще, чем танцевать с бубном, пытаясь угадать, что же произойдет дальше.


                          1. iCpu
                            26.07.2018 12:37
                            +1

                            Не-а. Нам, далекопосылайцам, мониторы у чужих людей брать нельзя. Только за деньги. Вот и приходится нам мыкаться, пока нам не дадут монитор с конвертиком. А вы, nafgne, вместо того, чтобы языком чесати, сходили бы в даль, в закат, да принесли бы оттудова ASUS ROC да конвертик с 30к сверху.

                            А если серьёзно, подробностей я уже не помню. Помню только, что установленный на этого китайца видеорежим по любому чиху слетал. Не вина Убунты, что китаец «сверх сферы». А меня и не интересовало, чья вина. Мне нужен был работающий ПК — и поднять виртуалку с Убунтой оказалось проще, чем мыкаться в хитросплетениях конфигов.

                            Отдельно отмечу, для особо жизнерадостных, я не говорю, что Линух всех мастей плохой, а винда хорошая. Я говорю, что всё это многообразие утилит и настроек, весь этот зоопарк, он очень плохо сказывается на опыте использования системы. Пользователю не нужны холивары Unity vs GNOME vs KDE. Ему нужно, чтобы всё работало без его участия даже не смотря на все косяки. Винда пока ещё способна предоставить подобный опыт, а линух — пока ещё нет. И вместо того, чтобы умничать уже бесполезными для меня командами и доказывать, что я жопорукая рукожопка (в чём лично у меня сомнений нет) вы бы посмотрели на свою систему глазами обычного пользователя.
                            «Закройте консоль, её у вас нет. Теперь выживайте.»


                            1. SirEdvin
                              26.07.2018 16:21

                              Винда пока ещё способна предоставить подобный опыт

                              Как вам там, в 2007?


                        1. DustCn
                          26.07.2018 13:22

                          И давно в современных дистрах нет никакой возможности убить Х-ы и попасть в консоль?
                          Alt-Ctrl-BackSpace не работает?


                          1. balsoft
                            26.07.2018 17:54

                            Дык он попал бы в тот же самый неподдерживаемый видеорежим.


          1. Newbie2
            25.07.2018 08:37

            Ну вот недавний пример. Установил Минт, не получается выставить разрешение 1920х1080. В списке разрешений монитора идет 1680х1050, а потом сразу 1920х1200. Угадайте, что в этом случае будет делать "переустановщик windows" — ковырять мануалы xrandr, или дергать поставщика?


            1. iig
              25.07.2018 09:13

              Ну, если поставщик не удосужился проверить, работает ли его изделие на типовом оборудовании… И не отразил это в инструкции… И у них в штате тоже никто не умеет man xrandr… Да, одни проблемы с этим линуксом.


              1. roscomtheend
                25.07.2018 10:39

                Типовое оборудование зачастую найдено на помойке, вариант хуже — на разных помойках.


                И не отразил это в инструкции…

                которую не читают установщики. Шах и мат.


              1. Newbie2
                25.07.2018 11:07

                Поставщик не удосужился… Поставщик удосужился продать, а дальше уж сами.


            1. Sabubu
              25.07.2018 09:22

              Поставщик должен поставлять образ ОС (а не программу), где все настроено как надо. И донастраивать ничего не потребуется. В винде ведь тоже могут внешние устройства не работать или что-то еще.


              1. Newbie2
                25.07.2018 09:49
                +1

                Вы говорите как должно быть, а я вам говорю как есть по факту.


            1. vlivyur
              25.07.2018 12:59

              Проблема в том, что в терминалах скорее всего одинаковое железо и в образе под него уже должны быть все необходимые дрова (и отсутствуют лишние). А так-то у меня дома дрова невидии ставят системный шрифт размером в пару пикселей.


              1. Conscience
                25.07.2018 15:12

                Как раз нет, железо может быть разное. Сегодня какие-то компоненты есть, а завтра их нет, потому собирают из того что есть.


                1. vlivyur
                  25.07.2018 15:37

                  Подождите, одному заказчику в рамках одной поставки будет полный винегрет?


                  1. Conscience
                    25.07.2018 15:54

                    Необязательно будет, но вполне возможно.


                  1. daggert
                    25.07.2018 20:04

                    Лично мы обслуживаем винегрет т.к. закупки даже через три месяца — железо другое бывает. От мониторов до весов, от касс до сканеров. Последние терминалы для магазина взяли — нет com. Пришлось изворачиваться, как осьминог в бутылке.


          1. AlexanderMarginal
            26.07.2018 21:15

            Проще переустановки windows только переустановка Mac OS…


        1. Mako_357
          24.07.2018 22:07
          +1

          А разве нельзя сделать установку линя со всем фаршем в один клик?


          1. AllexIn
            24.07.2018 22:09
            +2

            Честно говоря я не знаю деталей, поэтому не буду врать пытаясь угадать что их там не устроило.
            Знаю только, что через несколько недель клиенты начали активно задалбывать, что прекратилось сразу после возврата на винду.


            1. iig
              24.07.2018 23:32

              Грамотно написанная инструкция, пожалуй, решила бы большинство вопросов.


              1. AllexIn
                25.07.2018 10:06

                Повторюсь — я не в курсе как там было организовано администрирование. Поэтому врать не буду.
                Я лишь про то — что программисты тут вообще не при чем. Под что хочешь, под то и напишут.


                1. iig
                  25.07.2018 11:26

                  "я лично пришиваю пуговицы. К пуговицам претензии есть? — Нет! Пришиты насмерть, не оторвёшь!"


                  Тут такое дело… уязвимости в терминале — это чья ответственность? Ничья. Программисты они хорошие и программы у них без багов, установщики они убогие и ничего не умеют, хозяин он экономный и железо на помойке нашел.


                  1. AllexIn
                    25.07.2018 11:51

                    Именно так! Я только пришиваю пуговицы, как там работает остальное — мне конечно важно и интересно, но не моя зона ответственности.

                    Про уязвимости, давайте я вместо ответа расскажу небольшую историю:
                    Преждчем чем начинать очередную работу над новым терминалом — я расписываю диаграмму взаимодействия пользователя с терминалом.
                    Бывают ситуации, когда терминал должен прекратить операции и дождаться специалиста. Например — купюра съедена, но зажевана.
                    То есть пользователь деньги уже потратил, но на счет они не внесены.
                    С точки зрения ПО — Undefined behaviour, т.к. мы не знаем что там за купюра, купюра ли там вообще и не смог ли пользователь её обратно забрать, например.
                    Без оператора тут не разобраться. Он должен вынуть купюру, вернуть пользователю. Ну и вот в таком духе ситуаций набирается десятка два. Все они по максимуму отражены были в диаграмме взаимодействия.

                    А в результате, заказчик вырезал половину таких ситуаций. Аргументируя тем, что пофиг на то, что ПО не может корректно разрулить ситуацию. Зато «стабильность» с точки зрения владельцев терминалов выше.
                    Ну и кто виноват, что терминал условно может сожрать ваши деньги и не подавится? Я как разработчик? Да, я это реализовал в коде, но архитектура утверждена не мной.


                  1. Hardcoin
                    25.07.2018 12:18

                    Вообще-то есть продукт-овнер. И если ему оказалось проще перейти обратно на Винду — ну значит так. Пришивальщик пуговиц не должен за свой счёт в свое свободное время ездить и обучать трехкопеечных студентов xrandr-у или чему-то ещё. Если оплатят — другой вопрос.


                    1. iig
                      25.07.2018 13:29

                      Тут возникает другой вопрос, кому и зачем понадобилось инициировать переезд с уже работающей схемы на другую. Раз терминалы под linux были выпущены — значит, средства на разработку и внедрение уже были выделены, не за свой же счет программисты пришивали эту пуговицу. Думаю, что обслуживанием терминалов занимается не студент-третьекурсник из строительного лицея, а местный филиал «ООО Вектор Рога и копыта», и никакого финансового интереса в этих изменениях у них нет.


              1. Wesha
                25.07.2018 17:45

                Грамотно написанная инструкция, пожалуй, решила бы большинство вопросов.
                программисты — не читатели.


                1. AlexSky
                  25.07.2018 18:24

                  А эникейщики — не программисты.


                  1. vesper-bot
                    26.07.2018 15:14

                    А эникейщики — не программисты.

                    Но тоже не читатели.


          1. BigBeaver
            24.07.2018 22:23

            Можно даже не устанавливать — собрать просто образ аналогичный живым дискам, но со всем нужным софтом, либами и тд, и все. К железу оно будет инвариантно с точностью до архитектуры.



          1. ISVLabs
            25.07.2018 08:23

            можно. но кто за это заплатит?

            я в зелёной юности (1989 год) для лаборантов сделал комплект дискет для переустановки Искры-1030 в лаборатории. написано было прямо в BAT'файле. из ручных действий надо было только создать один раздел в FDISK (да и то можно было средствами debug сделать, компы-то все одинаковые), всё остальное делалось на автомате, только дискеты по приглашениям меняй. ставилось всё системное, Фортран, редакторы (Лексикон и МультиЭдит), ТурбоПаскаль и что-то по СУБД, уже не помню. всего 13 дискет по 720кб, сейчас бы так оптимально писали… :)


        1. Kwisatz
          25.07.2018 03:41
          +1

          Жаждю подробностей. Что же такое на линухе «слетает»? Почему у меня сервера и рабочие станции работают так долго, что я пароль забываю, а у всех вокруг что-то постоянно «слетает» и требует «администрирования»?

          ЗЫ мне реально интересно. Очень много слышу про сложность «поддержки» но не могу понять.


          1. Temmokan
            25.07.2018 06:38
            +1

            Полагаю, вопрос чисто организационный.

            Аналогично, могу подтвердить, что если бы не очевидная необходимость ставить обновления безопасности, многие Linux-машины у меня работали бы годами без перезагрузок и проблем с софтом.


            1. bopoh13
              25.07.2018 12:06

              На буке G770 три года стояла Убунта 12 (загрузчик умер — переустановить не удалось). Поставил серверную Убунту 14, добавил GUI — через пол года отвалились дрова на фай-фай (переустановил). Т.е. систем без проблем с софтом я не видел. Посоветуйте ОСь!


              1. Gutt
                25.07.2018 12:28

                Если вдруг на ровном месте со странной ошибкой не отрабатывает grub-install и ни с того ни с сего (то есть не после очередного обновления) перестаёт работать модуль Wi-Fi, то вернее проблемы не с ОС, а с железом.


                1. iig
                  25.07.2018 13:41

                  Из своего опыта: ставлю свежую Ubuntu на новый Lenovo — произвольно зависает тачпанель, не коннектится WiFi… Наехал на продавца, поменял. На другом экземпляре все то же. Оказалось, этот баг уже известен, и исправлен, но в релизе исправлений нет. Обновил ядро — все работает стабильно.
                  Вариантов конфигураций железа в ноутах очень много, и вариант установить что-то не то всегда есть.


          1. MahMahoritos
            25.07.2018 06:42

            Очень много слышу про сложность «поддержки» но не могу понять
            Вся «сложность» заключается в банальной невозможности взять первого попавшегося студента, который знает, где у винды Панель управления. Всё. С такими «спецами» даже поддержка WinXP будет проблемой — они же банально испугаются, увидев её, точно так же, как пугаются Убунты с GUI, не говоря уж про CLI


            1. imotorin
              25.07.2018 09:26
              +1

              никто ж не берёт первого попавшегося автослесаря чинить БелАЗ, на котором зарабатывают деньги…
              или берут?


              1. roscomtheend
                25.07.2018 10:50
                +1

                БелАЗ — нет, а вот водителем автобуса берут почти первого попавшегося, не говоря про такси. И БелАЗ — это серьёзно, а енти ваши конпутеры — любой студент справится, "вонуменяплемянниквтригоданапланшетефигачит", а потом выходит что не просто и нужны деньги, а там жаба.


              1. Hardcoin
                25.07.2018 12:23

                Если БелАЗ сломают — чинить реально дорого. А переустановить Винду, если предыдущий студент накосячит, не дорого, можно рискнуть сэкономить.


            1. Areek
              25.07.2018 12:03

              Суть (часть сути) в том, что по Винде маны проще курить. Линуксовые страшны, как смертный грех с командной строкой, каковая вин-админу нужна крайне редко. Это ж куча команд и непонятно, какая что делает. Куча каких-то дефисов и буковок.


              1. AllexIn
                25.07.2018 12:46
                +3

                Куча команд — не то чтобы проблема.
                Проблема — это конфиги, которые меняются от версии к версии как по содержимому, так и по фактическому существованию, названию и расположению.
                Я сужу как пользователь, а не админ.
                Я примерно раз в 4 лет меняю мажорную версию Линукса.
                Каждый раз я пишу инструкцию по настройке. Потому что ОСь слетает по разным причинам, и чтобы быстро восстановить окружение — использую эти самописные маны.
                Так вот, каждые 4 года я их почти полностью переписываю. Потому что то что я делал 4 года назад — в текущей версии делается совсем по другому.
                То есть надо реально этим жить, каждые день заниматься, чтобы знать как всё грамотно настроить.
                И маны это тоже проблема. Потому что инструкий, мануалов и туториалов становится всё больше, но старые никуда не деваются. И вот ты закапываешься в инструкцию, не понимаешь что не так — а «не так » её актуальность. Потому что будучи написаннной пару лет назад она уже полностью протухла. Ну или как минимум не применима для конкретно вашей версии дистрибутива.
                Я уверен, для профи админа это не проблема. Но где они, эти профи админы?


                1. dimm_ddr
                  25.07.2018 13:35
                  -3

                  Вместо писания манов продуктивнее будет разобраться с созданием уже настроенного образа. Это заметно дольше первый раз, чуть-чуть дольше при следующем мажорном обновлении, зато переустановка делается условно в один клик и не требует никаких мануалов.


                  1. AllexIn
                    25.07.2018 13:37
                    +1

                    Дома? Серьезно? Я больше времени буду тратить на то чтобы образ переделать каждый раз когда набор софта и версии меняются.


                    1. dimm_ddr
                      25.07.2018 14:42

                      Ну то есть тратить время на составление подробного мануала и установку с нуля всех программ это нормально, а тратить время на создание образа и потом доустановку того чего там нет — это ужас. Ну ок, ваше дело в общем-то.


                      1. AllexIn
                        25.07.2018 14:46

                        Мануал имеет смысл лично для меня. Мне понадобится тот же образ собрать — мануал вот бери и собирай.
                        Ну и образо м в любом случае будет не актуальным очень быстро, не учитывающим изменившиеся особенности. В то время как мануал описывает отдельные пункты и елси они не актуальны — можно просто пропустить. Выглядит в виде заметок примерно так:

                        SSH
                        sudo apt-get install openssh-server
                        стартует автоматически

                        Putty может гнать при подключении. Это не проблема сервера, его трогать не надо. Можно попробовать другий клиент, или, например, виндовую версию Putty на клиенте

                        Отключение сплэшскрина
                        в файле /etc/default/grub
                        комментируем строку
                        GRUB_CMDLINE_LINUX_DEFAULT=«quiet splash»
                        так
                        #GRUB_CMDLINE_LINUX_DEFAULT=«quiet splash»
                        потом
                        sudo update-grub
                        Отключение скринсейвера
                        Preferences > Power Manager->Display->Handle display power management->Uncheck
                        Preferences > Power Manager->Automatically lock the session->Never
                        Выключение на кнопку питания
                        Preferences > Power Manager->When power button is pressed->Shutdown

                        Настройка дисков
                        Ставим ntfs-config
                        запускаем из под sudo(на сервере, не по ssh)
                        Жмем ОК. По идее он сам всё делает, ничего дополнительно делать не надо.
                        Если в консоли матерится на скрипт — смотрим куда матерится и через sudo nano правим. Распространенная проблема — передача в лог числа, вместо строки. Можно просто закомментить этот кусок кода с помощью символа #


          1. nidalee
            26.07.2018 09:00

            Кстати — сервер у той же Ubuntu просто замечательный. Потому что без GUI.
            А мое общение с десктопным линуском закончилось лет 6 назад, когда я пытался его на ноутбук с двумя видеокартами вкорячить. Я уже, право, не вспомню, в чем было дело — но после переагрузки ноутбука тот показывал только черный экран — нужно было переустанавливать драйвер Nvidia и что-то там еще делать с программой, ответственной за рабочий стол, из безопасного режима. Месяц таких развлечений — и надоело.
            Не понимаю людей, которые ставят на десктоп линукс (без необходимости) так же как и не понимаю людей, у которых серверы на Windows с GUI (опять же, без необходимости). Но кому как нравится на самом деле.


            1. AllexIn
              26.07.2018 09:37

              У меня десктопный линукс везде и сервер с GUI. :(


              1. nidalee
                26.07.2018 10:11

                Главное, чтобы вам нравилось ;)
                А зачем он вам на сервере?


                1. AllexIn
                  26.07.2018 10:14

                  Удобно бывает. Не сказать чтобы часто, но бывает.


                  1. nidalee
                    26.07.2018 10:17

                    Ну, возможно. Хотя я все равно считаю GUI на сервере несколько бесполезной тратой ресурсов (признаюсь — понятия не имею, сколько ресурсов ему нужно)


                    1. AllexIn
                      26.07.2018 10:18

                      НУ как. Если это сервер промышленный, один из многих, то эти условные 5% — это суммарно миллионы нефти.
                      Но дома, это пять рублей в год, так что пофиг.


            1. DaemonGloom
              26.07.2018 10:58
              -1

              Такие ноутбуки, кстати, и с windows часто требуют танцев с бубном. При обновлениях отпадают драйвера, перестают работать hdmi/vga, перестаёт переключаться и т.д.

              Проблема серверов с Windows и GUI имеет простое объяснение — не всегда можно нормально установить необходимое ПО без полноценной графики. При этом сама Windows всегда запускает графический стек (нет только консольного варианта без окошек и прочего мусора) — не настолько большой выигрыш получается, чтобы потенциальные проблемы стоили того. Есть, конечно, nano server — но у него крайне отвратительные методы лицензирования. Да и сам microsoft его «бросил», как и многие другие технологии.


            1. Kwisatz
              26.07.2018 15:02

              Про виндовый сервак это верно подмечено, я иногда успеваю зайти и все сделать раньше чем диспетчер сервера откроется.

              Я ставлю убунту на декстоп. Более того моя домашная винда тоже готовится к замене на убунту, потому что больше нету сил терпеть ее закидоны.


            1. MTyrz
              26.07.2018 22:56

              уже, право, не вспомню, в чем было дело
              В версии ядра, можете не вспоминать.

              Была та же проблема, причем сразу с несколькими ноутами. Покупал-то не я, а вот пингвина громоздить пришлось уже мне: под ним какая-то перловая биоинформатика работала, очень было людям надо. Чуть позже вышла седьмая версия BioLinux, там нужное ядро было уже из коробки, кстати вместе со всей перловкой. Проблема рассосалась.


        1. denisromanenko
          25.07.2018 08:21

          Автоматизированный «preseed» скрипт, который сам все настроит решили не делать?
          В любом случае поставщик терминалов не очень хитрый, потому что мог бы ещё продать удаленную поддержку по подписке.

          А там вообще халява — залогинился по SSH и работаешь.
          И в результате уверен.


          1. SargeT
            26.07.2018 06:38

            Дык к десятке же уж пару лет можно по ssh, а там cmd, powershell. Ну и rdp никто не отменял, если ты студент, умеющий только в GUI.


        1. Nalivai
          25.07.2018 17:44

          А сделать образ системы и накатывать его из защищенного раздела — невозможная задача? И что для них такого сложного в переустановке коммерческого дистрибутива линукса?


          1. AllexIn
            25.07.2018 17:45

            Сколько раз я должен написать: «Не знаю в чём конкретно у них была проблема с линуксом»?


      1. SemaIVVV
        24.07.2018 21:38
        -1

        Именно так. Основная часть терминалов, которые закупаются, не имеют вообще дров ни под что, кроме виндовс.


      1. AbstractGaze
        25.07.2018 06:01

        Для этих целей есть и windows, Embedded называется. Собирается только необходимый фунцкионал — именно собирается, а не урезается существующий.


        1. smilyfox
          25.07.2018 11:23

          И как же его легально заполучить?


          1. devpreview
            25.07.2018 11:49

            Мммм… Купить?


            1. smilyfox
              25.07.2018 14:12

              Да ладно? Я бы не спрашивпл если бы всё было так просто.


              1. devpreview
                25.07.2018 14:21

                Ниже уже писали про Кварту. Я, например, у них и закупался — не было никаких трудностей.


          1. HerrDirektor
            25.07.2018 12:12

            Скачать с сайта производителя. WinEm бесплатен для терминалов.
            И кстати да, развернутый образ XP с поддержкой сети можно утоптать мегабайт в 60-70.


            1. AbstractGaze
              25.07.2018 12:44

              Разве бесплатен? Мы покупали лицензию. Лицензия прописывается в каждый образ при сборке. Лицензия дешевле чем home версия (была во всяком случае лет 5 назад). Дешевле видимо потому что embedded нельзя использовать как рабочие места пользователей.


              1. HerrDirektor
                25.07.2018 13:43

                Да, вы правы, сейчас уточнил в конторе, где когда-то работал в этой области. Оказывается тоже покупали лицензию, но как-то очень дешево.
                Приношу извинения за неверную информацию.


          1. AbstractGaze
            25.07.2018 12:46

            www.quarta-embedded.ru/we/channel

            Раньше в России это был единственный поставщик, сейчас не знаю.


            1. smilyfox
              25.07.2018 14:16

              Кварта как была так и осталась. Цены только по запросу. И им вообще неинтересно связываться с малым бизнесом. По крайней мере так было два года назад.


              1. AllexIn
                25.07.2018 14:29

                Примерно два года назад без каких-либо проблем покупал у них 10 лицензий на PosReady 2009


      1. KostaArnorsky
        25.07.2018 16:00
        +1

        Это от чего это? Как много вы можете назвать популярных ОС, на которых .NET не запускается?


        1. vlivyur
          25.07.2018 16:05
          -1

          Все, что не Windows?


          1. KostaArnorsky
            25.07.2018 19:28

            1. vlivyur
              26.07.2018 13:59

              Конечно буду. Что там на Linux уже WinForms появились или хотя бы WPF? Или .NET ужали до размеров ASP.NET и тем хвалятся?


              1. KostaArnorsky
                27.07.2018 02:36

                Т.е. с тем, что .NET прекрасно работает на Linux вы не спорите, вам определенных пакетов не хватает. А можете пояснить, как вы представляете WinForms на Linux?


        1. Aleksazhko
          25.07.2018 17:56

          Я знаю много ПО, которое ни на чём, кроме винды, не запускается :(
          Включая небольшие веб-приложения, где, казалось бы, сам Б-г велел.


          1. KostaArnorsky
            25.07.2018 19:29
            +1

            Допустим, но при чем здесь .NET?


    1. ValdikSS
      24.07.2018 22:17
      +4

      В винде столько возможностей что-то как-то хитро запустить, что использование ее в подобных местах уже можно считать большой дырой безопасности.
      И столько же возможностей все заблокировать, но никто не читает документацию.

      docs.microsoft.com/en-us/windows-hardware/customize/enterprise/enterprise-custom-portal
      docs.microsoft.com/en-us/windows-hardware/customize/enterprise/keyboardfilter


      1. andreishe
        24.07.2018 23:35
        +1

        В винде, как минимум с восьмёрки есть kiosk mode, специально для таких случаев, но никто не читает документацию, да.


      1. bopoh13
        25.07.2018 12:15

        В доках к семёрке текста было, как у Толстого в романе «Война и Мир». Не только 1С-ники страдают ;)


      1. Karpion
        25.07.2018 17:37

        Видите ли, всю дорогу Билл Гейтс (а сейчас — его наследники) выставлял главным преимуществом Windows как раз то, что у неё интуитивно понятный интерфейс, поэтому не надо читать документацию. Отсюда, кстати, и тот факт, что средний уровень Windows-админов намного ниже, чем уровень Unix-админов: для входа в мир Unix надо иметь некий минимальный уровень; а админы ниже этого уровня все на Windows.

        Отсюда же — значительно большее количество Windows-админов и значительно более низкая их средняя/начальная цена.

        А дальше надо спросить:
        Не является ли опасным для бизнеса брать админа низкой квалификации?
        Да, найти Windows-админа можно легко — на рынке масса предложений. Да, инимальный Windows-админ обойдётся очень дёшево. А вот совокупную стоимость эксплуатации такого админа, куда входит и цена его косяков — мало кто считает.

        Но как только Вы хотите, чтобы админ был квалифицированным и читал доки — так сразу выясняется, что и предложение на рынке Windows-админов не такое уж большое, и цена не такая уж дешёвая. Да ещё и лицензии на Windows покупать надо.

        PS: Впрочем, даже чтение док не спасает: прилетит новое обновление и добавит новую функциональность, которая откроет новые уязвимости.
        Или ещё проще: новое обновление заново включит те возможности, которые Вы отключили ради безопасности. Потому что в Редмонде лучше знают, как оно должно работать — и нефиг тут отключать те функции, ради которых так много трудилась целая толпа индусов. И вообще, давно пор понимать, что хозяином компьютера является не тот, кто его купил, а тот, кто произвёл железо и операционку. Ибо нефиг тут.


    1. gdt
      25.07.2018 05:30

      Для информационных терминалов и правда разницы нет, а как только вы захотите, чтобы ваш терминал делал что-то полезное — принимал/выдавал деньги, печатал чеки, выполнял функции фискального регистратора — быстро столкнётесь с практически полным отсутствием драйверов под Linux.


      1. Vespertilio
        25.07.2018 08:01

        У одного знакомого владельца сети терминалов пополнения счета на всё — все терминалы под линукс, генту и убунта. С дровами вроде бы проблем особых нет.


        1. gdt
          25.07.2018 09:14
          +2

          Я, конечно, немного слукавил — большинство такого оборудования можно подключить и через COM-интерфейс без всяких драйверов, со всеми сопутствующими "удобствами".


        1. Lirein
          25.07.2018 13:12

          Большинство существующих фискальников и прочая мишура от Штриха и Атолла работают. Для купюроприемников, тачскринов и сканеров ШК — проблем нет и не было. Сложнее с пин-падами, считывателями RFID/Proximity карт, и т.д. Зачастую есть спецификация и дрова написать можно, но это геморрой ещё тот — разбирать протокол по мануалу и писать драйвер, чтобы потом ещё интегрировать его с софтом. Иногда стоимость порта выходит дороже эксплуатации на винде.


      1. MTyrz
        26.07.2018 04:49

        Одна аптечная сеть вполне себе работала некоторое время назад (сейчас просто не знаю) на десятой Убунте, и все торговое оборудование тоже работало без проблем. И ФРы, и дисплеи покупателя, и штрих-коды сканировались.


    1. AndrewRo
      25.07.2018 09:51

      То есть плясать с бубном, чтобы подцепить внешнее оборудование к своему софту проще, чем выключить тачевые жесты?


      Некоторое время работал в терминальном бизнесе, видел кучу разных терминалов, из них на линуксе ни одного. Потому что зачем?


      Сейчас разрабатыватываю и поддерживаю небольшую сеть терминалов, выбрали Win 7 Embedded. Проблемы с тачевым вводом отловили ещё на этапе тестирования и благополучно отключили всё, что нужно. Выбор именно десятки — для меня загадка.


    1. Daar
      25.07.2018 10:28

      Мы часть этих киосков обслуживаем, но в тех.плане. И могу сказать что винда в основном из-за железа, в основном фискальники, не у всех моделей есть стабильные драйвера под линукс и с последними требованиями 54ФЗ, ну и само ПО, в основном у них стоит RKeeper, а это Delphi писаное ПО, с всеми вытекающими за ней последствиями.


    1. kaleman
      26.07.2018 21:15

      Винда проще и дешевле в обслуживании. Сам когда-то писал ПО для подобных терминалов, для использования в городских библиотеках. Но там еще была WinXP.


  1. ElectroGuard
    24.07.2018 19:36
    -9

    Какое-то время работал в компьютерных клубах. И была в них одна чудная дыра: достаточно открыть окно открытия файлов, и система фактически полностью открыта. Какие бы оболочки ни были в клубе, что бы ни было, но как только хоть в чем-то можно открыть окно открытия файла — всё :) Закончилось тем, что у себя я пропатчил дллку с этим диалогом и его открыть нельзя было никак за его отсутствием. Другие системы, закрытые сплешами, обычно 'отдавались' минут за 10. Хинт: если файлов не видно по причине 'неудобного' фильтра, или вообще никаких не видно, наберите *.* в стоке названия файлов. И вуаля :) Недавно один онлайн-сервис 'открыл' подобным образом. Можно было что-то весёлое на принтере напечатать, но не стал :) Винда, увы, одна сплошная дыра. Как была, так и есть.


    1. AllexIn
      24.07.2018 20:11
      +10

      До самого конца комментария не мог понять, почему вам минусуют — занятная же история.
      А в конце да, тоже минус поставил.
      Винда не дырявая. Проблема всегда в низкоквалифицированных админах, которые научились запускать инсталляторы и решили что могут работать админами.


      1. ElectroGuard
        24.07.2018 21:28

        К минусам я отношусь философски :) Они мне безразличны. Будет неудобно писать — создам еще акк. Минусующие написали бы лучше хоть две строки возражений, было бы лучше.


        1. AllexIn
          24.07.2018 22:11
          +7

          Минусы вам безразличны, потому что аккаунт вам ничего не стоит. Вы не вкладывали никаких сил в развитие сообщества и можете благополучно игнорировать его мнение. Это определенно сильный довод против доступа на комментирование для «пустых» аккаунтов.
          О каких возражениях может быть речь, е сли вы не написали никаких фактов, а просто вбросили холиварное мнение, да еще не имеющее отношение к теме.


          1. BigBeaver
            24.07.2018 22:24

            Это определенно сильный довод против доступа на комментирование для «пустых» аккаунтов.
            Вовсе нет — правда лишние аккаунты быстро сольются, а оставшиеся так или иначе будут полезны.


          1. ElectroGuard
            24.07.2018 22:26
            +2

            Мнение общества мне не безразлично, но я хочу, могу и буду высказывать своё, даже если оно будет противоположно мнению общества. Пусть минисуют, я этого не боюсь.
            У меня есть своё мнение, основанное на 20 ти летнем опыте общения с различными версиями операционки. Я его высказал.
            Можно закрыть пустые аккаунты, дело хабра :) Я найду себе еще аудиторию потрещать, форумов тьма.


            1. AllexIn
              24.07.2018 22:32

              В рамках хабра пустое мнение без фактов всегда считалось моветоном… Ну как всегда… Раньше считалось.


          1. ElectroGuard
            24.07.2018 23:03
            -1

            К слову говоря, в том же телеграмме отличное сообщество, много интересных людей, не нужно никаких статей, что бы рассказать о своём опыте, видеоподкасты, тусовки, рекомендую. Не всем нравится писать статьи. А в форме живого общения я пишу много и постоянно. Никакой кармы, каждый может высказать то, что имеет не боясь быть охаянным. Каналов море, на любой вкус. Очень удобно, на самом деле. Ищите по своим интересам :)


            1. 0xd34df00d
              25.07.2018 04:05
              +1

              Телефон нужен, а у меня его нет.


              1. TheShock
                25.07.2018 05:40

                И как живется без телефона в этом странном мире?


                1. 0xd34df00d
                  25.07.2018 06:52

                  Да вполне неплохо. Как в телефоне SIM-модуль несколько лет назад сдох, так я и заметил, что не очень-то он и нужен.


              1. ElectroGuard
                25.07.2018 08:35

                Не обязателен, телеграмм отлично работает на компьютере. Там чаще и сам сижу.


                1. SargeT
                  26.07.2018 06:47
                  +3

                  А зарегистрироваться в нём без телефона и плясок как?


                  1. Merzavets
                    26.07.2018 13:02

                    Указать любой городской, способный принимать вызовы, например, в регистратуре ближайшей поликлиники (а кто-то говорил, что можно указать даже номер таксофона), подождать звонка и попросить продиктовать цифры. Затем, не откладывая, включить 2FA. Вероятность того, что кто-то решит увести аккаунт или попробует действовать по этому же алгоритму в той же поликлинике — невысокая, но лучше предохраниться.


                    Правда, я не очень верю, что у человека совсем нет телефона. И человек лукавит, говоря, что "телефон не очень-то и нужен". Либо цифровое монашество его устраивает — но такие люди не являются авторами на Хабре.


                    1. SargeT
                      26.07.2018 13:26

                      В поликлинику? Без вайфая? Со стационарником?

                      и плясок
                      Это не то что пляски, это какая-то экстремальная цирковая воздушная акробатика.
                      цифровое монашество его устраивает
                      а вот это вполне вероятно
                      но такие люди не являются авторами на Хабре.
                      а вот это вовсе необязательно. Я вот телефоном ради одного человека пользуюсь, крайне пожилого родственника. Я тут RC, не автор, но сотовая связь как-то не очень и нужна.


              1. JC_IIB
                25.07.2018 11:01

                Чисто из интереса — как окружающие реагируют, тот же работодатель, например? На работе конторский не выдали?


          1. bkar
            25.07.2018 09:15

            Минусы вам безразличны, потому что аккаунт вам ничего не стоит.

            > Говорили добропорядочные горожане, выгнав взашей глупого мальчика, грубо тыкавшего в голопопую бодипозитивную дефилирующую августейшую персону своим пальцем.


          1. anprs
            25.07.2018 11:51

            Высказать непопулярную точку зрения не равно «игнорировать мнение сообщества». Почему вы считаете что высказывание мнения отличного от мнения сообщества — моветон?


            1. AllexIn
              25.07.2018 11:53

              Давайте я поправлю ваш вопрос, а то он задан не полно:
              «Почему вы считаете, что высказывание мнения отличного от мнения сообщества без указания фактов в его пользу — моветон?»
              Я считаю так, потому что такое мнение ведет к холивару не неся при этом никакой смысловой нагрузки.


              1. ElectroGuard
                25.07.2018 12:37
                -1

                Писать статью на каждый комментарий? И бояться, что не дай Бог, карму сольют. Я, правда, совершенно без задней мысли написал то, что думаю. И буду дальше писать, чем над комментариями трястись, смешно. На другом аккаунте, если что, не вопрос :)
                А лучше — приглашаю в телеграмм :) Там всё живо и просто, не нужно за каждый комментарий думать полдня, бред же.


                1. AllexIn
                  25.07.2018 12:47
                  +2

                  Создание дублирующих аккаунтов прямо запрещено в правилах ресурса.
                  Ну это так, к сведению.
                  А ваше личное мнение ценности никакой не имеет, потому что всем плевать что вы там думаете.
                  Всем интересны факты, которые привели вас к той или иной мысли.


                  1. PashaNedved
                    26.07.2018 09:34

                    А ваше личное мнение ценности никакой не имеет, потому что всем плевать что вы там думаете.
                    Всем интересны факты, которые привели вас к той или иной мысли.

                    Всем интересно в первую очередь содержание, а факты — это одно из средств манипуляции мнением читателя. На хабре не мало статей, где никаких фактов автор не преподносит (не редко вижу такие статьи на тему HR, собеседования) и тем не менее получает плюсики в карму. Вот так просто, достаточно обычного совпадения мнения автора с мнением читателя.

                    Описанное выше носит локальный характер, не учитывает всю ветку комментариев и является ответом на процитированное.

                    А если учитывать всю ветку комментариев, то… Извините конечно, но где факты, подтверждающие написанное вами?


                    1. AllexIn
                      26.07.2018 09:38

                      Наша песня хороша — начинай сначала.
                      Всё что вы написали уже было в комментариях, в том числе и обсуждение фактов.


                    1. sav1812
                      26.07.2018 09:58
                      -1

                      Всем интересно в первую очередь содержание

                      Наверняка не всем, но таки да, лично я в первую очередь смотрю, что пишет человек, и только потом оцениваю то, что многие здесь именуют «фактами». :)
                      а факты — это одно из средств манипуляции мнением читателя

                      Не факты, нет.
                      То, что называют «фактами».
                      А если учитывать всю ветку комментариев, то… Извините конечно, но где факты, подтверждающие написанное вами?

                      Ну, Вы же понимаете… ;) :)
                      Нет их. Ни фактов, ни даже «фактов» ­— ничего нет, кроме голословных заявлений. И это вполне так себе нормально для «здесь». :)


                      1. PashaNedved
                        26.07.2018 10:31

                        Причисляя факты к средствам манипуляции мнением, я имел ввиду то, что авторы могут делать обоснованные выводы (или не очень. Не суть...) и выдавать их за истину. Так можно взять любой факт, сделать субъективный вывод из этого факта и на основе вывода строить логическую цепочку выводов, каждый из которых будет подтверждать предыдущие, при этом игнорируя все прочие (неугодные) факты.


                        1. sav1812
                          27.07.2018 02:40

                          Тогда уж давайте признаем, что говорить надо о языке: то ещё «средство манипуляции мнением»! Куда там до него фактам… ;) :))

                          «Язык дан человеку для того, чтобы скрывать свои мысли» ©


                        1. KostaArnorsky
                          27.07.2018 02:59

                          Вот только если есть исходные данные и цепочка рассуждений, всегда можно сказать/подумать — а вот тут ошибка/я с вами не согласен. Или даже свою теорию построить. А когда есть только вывод, неизвестный вам ранее — остается только верить или не верить. И ценность такой информации, на мой взгляд, невелика.


              1. sav1812
                25.07.2018 17:19

                «Почему вы считаете, что высказывание мнения отличного от мнения сообщества без указания фактов в его пользу — моветон?»
                Я считаю так, потому что такое мнение ведет к холивару не неся при этом никакой смысловой нагрузки.

                Вы совершенно правы! И у меня даже есть типичный пример такого бездоказательного мнения:
                Винда не дырявая. Проблема всегда в низкоквалифицированных админах

                Автор Вам, я думаю, знаком. :)


                1. AllexIn
                  25.07.2018 17:23

                  Какой был вброс, такой и ответ.
                  Винда дырявая.
                  Нет, проблема в админах.

                  Причем, заметьте, не просто «нет не дырявая», а с указанием на истинную проблему. А фактами, например, выступает обсуждаемая нами статья, где перечисляются проблемы не винды, а криворуких админов не настроивших винду.


                  1. sav1812
                    26.07.2018 01:39

                    Демагогия. :)

                    Ваша «истинная проблема» — всего лишь одна из многих, и далеко не самая серьёзная.
                    Одним из характерных примеров, показывающих степень «недырявости», могу привести Kido. Имел счастье лет 5-10 тому назад, когда ещё работал в одной крупной компании.
                    Пример не самый свежий, но и более новых достаточно. «Высококвалифицированные админы» должны их знать. :)

                    Так что Ваше утверждение «Винда не дырявая» не соответствует действительности. Любая ОС не идеальна, но защищаемая Вами — это отдельная «песня»… :))


          1. Newbie2
            25.07.2018 15:32

            Именно поэтому любой, кто вложил силы в развитие сообщества, боится высказывать свое мнение. Не то ляпнул и самоотхабрился. Эдакий самототалитаризм.


      1. ElectroGuard
        24.07.2018 21:36
        -3

        Пояснение. Я отлично отношусь к Windows. Просто важно понимать то, что Windows — одна большая дыра. И принимать меры.
        К Линуксу отношусь нейтрально.


        1. nidalee
          26.07.2018 09:26
          +1

          Держите нас в курсе.


        1. vyacheslavdenisoff
          26.07.2018 21:17

          Вы сильно заблуждаетесь. Windows из коробки сделан таким, чтобы пользователь не страдал страдал по минимуму от разных политик и ограничений.
          До какой степени закручивать гайки, каждый решает сам. Если вы хотите получить защищенную систему, максимально лишенную уязвимостей, то потеряете в юзабилити. В какой пропорции балансировать между юзабилити и защищенностью — это уже личное дело каждого. Кто-то предпочитает не думать об этом (или просто не знает о существовании таких инструментов, потому что это ж надо думать, гуглить и читать) и слепо тыкать пальцем в продукт со возгласами «ха-ха, дырявое».


      1. sav1812
        25.07.2018 16:05

        Винда не дырявая.

        Лучшая шутка за сегодня. :)

        А обновления безопасности выпускаются, видимо, чтобы программистов MS не увольнять, а работой занять…


        1. AllexIn
          25.07.2018 16:07

          Хм. У меня на линуксе прилетают важные обновления безопасности ну уж каждую неделю как минимум.
          Это что, делает линукс дырявым?


          1. Nalivai
            25.07.2018 17:58

            Ну, технически говоря, раз дырки затыкают, значит до этого они были. Так-то все «дырявое», идеала не бывает


            1. AllexIn
              26.07.2018 08:14
              +1

              Поэтому абсолютами никто не оперирует. И под «дырявая» попадают только ситуации, когда разработчикам плевать на дыры и они плодятся быстрее чем латаются. С Виндой это очевидно не так.


    1. f66
      24.07.2018 22:18
      +2

      Настраивал импортную оболочку под нужды одного крупного компьютерного клуба. На десятке описанная вами проблема легко решается настройкой прав доступа. Окошко открытия файла присутствует, но позволяет взаимодействовать только с папками из белого списка (загрузки, рабочий стол). На винде вообще можно настроить права так же гладко, как и на лине, только сам процесс оказывается настолько нудным и долгим, что нетерпеливый админ забьёт ещё до середины.


      1. ElectroGuard
        24.07.2018 22:32

        Вот это и проблема — нормально настроить долго и непросто.


      1. skystart
        26.07.2018 21:17

        процесс оказывается настолько нудным и долгим

        Не админил винду очень давно. Но ведь в ней были и скорее всего, есть консольные утилиты установки прав… И никто не мешает в скрипте их использовать.


    1. thepits
      26.07.2018 21:17

      Когда я в последних классах школы админил компьютерный клуб у нас похожая проблема была, только напрямую открыть проводник нельзя было. Там дырка была чуть хитрее. В какой-то из игр в каком-то из меню была ссылка на сайт разработчика и если кликнуть на неё, открывался IE, из которого уже можно было путём введения что-то типа C:\ получить доступ к файлам.
      Я тогда включил в качестве дефолтного браузера то ли батник какой-то, то ли что-то безобидное вроде калькулятора(сейчас уже не помню).


  1. povargek
    24.07.2018 19:41
    +1

    Такую же тему проворачивали в 2009 годах с КИВИ-терминалами оплаты. Причем не какие-то хакеры, а обычные школьники


    1. stalinets
      25.07.2018 12:16

      Да вот на IT Happens есть такие истории:

      Доводилось как-то «вскрывать» ради любопытства систему охраны по просьбе знакомого охранника. Да и молодой был, хотелось силы проверить.

      Приводов нет, диспетчер задач действительно заблокирован. На весь экран — охранная программа. Программное отключение USB-порта? В моём случае просто был выключен автостарт. Возможности вызвать «Пуск» не было. Так как стояла «хрюшка», альт-табнуться на пустое окно, как в «семёрке», не удавалось. Выключать компьютер запрещалось, а если что — загрузка с других устройств запрещена.

      И всё равно «защита» пала. Охранник ещё полгода смотрел фильмы, а обслужка, зная это, чесала репу и ничего понять не могла. Потом, сдавшись, у меня и узнали.

      Собственно, решение: «Справка > О программе». В конце текста — ссылка на сайт разработчика. Кликаем — открывается IE. В строку «D:» — а вот уже и флешка появилась.

      Разработчики, будьте скромнее!


      Всё как у классиков: ночь, улица, фонарь, аптека. Захожу забросить денег на телефон. Над платёжным терминалом повис молодой человек и играет в «косынку». Простояв в ступоре несколько секунд, я подошел поближе. Парень, заметив меня, свернул игру. На экране показалось окно работающего антивирусника.

      — Терминал не работает.
      — И надолго ли?
      — Надолго, — безапелляционно заявил парень.

      Разворачиваюсь и иду домой, решив закинуть денег с утра.

      Утро, улица, фонарь, аптека. Картина всё та же: у терминала знакомый мне парень продолжает раскладывать карты. Заметив меня, он говорит, что терминал работает, сворачивает игру и отходит в сторону.

      Кладу денег на телефон, собираюсь возвращаться домой. Парень как ни в чём не бывало подходит к терминалу, обратно разворачивает «косынку» и продолжает играть. Немая сцена: я смотрю на него, он на меня. Через двадцать секунд парень сокрушённо сознаётся:

      — Заигрался!

      С мыслью о том, что я чего-то не понимаю в этой жизни, разворачиваюсь и ухожу домой.


      Думаю, многие юзают терминалы для оплаты мобильных, инета, пополнения электронных кошельков. Так какого хрена разработчики совсем не задумываются о безопасности ПО?

      Не далее как в эту субботу, культурно отдыхая с пивком под неспешную беседу, захотелось приобщиться к прекрасному — посмотреть кино, желательно новинку. Идти домой за ноутом? Не комильфо… В магазине по соседству я нашёл платёжный терминал. За минуту снял оболочку (читай: открыл рабочий стол винды), запустил экранную клавиатуру, нашёл в Гугле сайт с онлайн-фильмами и под пиво вместе с продавщицей посмотрел одну из новинок. Конечно, звук отсутствовал, но мы нашли вариант с субтитрами.

      Админы не отреагировали на резкий скачок потребляемого трафика, не ограничили скорость заранее, не отключили вызов контекстного меню, не поставили по умолчанию учётку с ограниченными правами.

      Техник приехал только на следующий день. Стоял с задумчивым видом, глядя на разобранный терминал. Я засёк время: полтора литра пива и почти два часа он не мог разобраться в проблеме. Хотел подойти и попросить вывести аудиовыход на панель, чтоб в следующий раз подключить нормальные колонки, но решил не выкобениваться.

      Если потребуется работа, вывешу свое резюме на всех терминалах, которые смогу найти. Если не посадят, буду работать над их информационной безопасностью.


      Прочитал историю о неисправном терминале оплаты и вспомнил один из своих походов за хлебушком.

      Особенность моего терминала в том, что услуга по оплате мобильника не облагается комиссией, а оболочка написана на Delphi. Аппарат, к слову, стоит в центральном почтовом отделении. Однажды подхожу к железному ящику, по ошибке выбираю оператора чужого региона и жму на кнопку «Отмена». Выскакивает любимое для дельфовых программ окно: «Access violation at address xxxxxx», единственная кнопка «OK». После нажатия на кнопку появился рабочий стол со стандартной «Безмятежностью». Едва моя рука потянулась к «Пуску», из недр заведения по отправке писем и прочей корреспонденции на первой космической скорости вылетела тётка, с дикими матами выдернула многострадальный аппарат из розетки и воткнула обратно. Перезагрузившийся терминал опять радовал глаз знакомой оболочкой.

      За мобильник я всё-таки заплатил.


      Ну и подобных историй там много)


  1. Blast_Furnace
    24.07.2018 19:51
    +7

    1. rum
      24.07.2018 20:41
      +2

      Т.е. кто-то просто не смог в гугл, <irony.> да, смиритесь, такие люди существуют </irony.>


      1. ValdikSS
        24.07.2018 22:26
        +3

        В защиту администраторов можно сказать, что хоть у Microsoft есть множество качественных инструкций, найти их бывает очень непросто. Часть на docs.microsoft.com, часть на каких-то поддоменах, все в разных местах, называется по-разному, на docs поиск нифига нормально не работает, полного каталога статей нет.


        1. naviastro
          25.07.2018 11:46

          Угу, со связностью документации бывает очень плохо. Если ещё не в теме по какой-то технологии, то можно много времени убить даже на относительно простые действия.

          Относительно антивандального GUI — всё очень упирается в саму заинтересованность сторон сделать его, благо это не сложно (что сейчас, что пару десятков лет назад). Полагаю, приоритеты — другие))


        1. vlivyur
          25.07.2018 13:10

          А другая часть ссылается в никуда, потому что пережили несколько переездов с подобного на подобное с полной потерей информации.


  1. divanus
    24.07.2018 21:57
    -3

    Так, надо завтра зайти в тошниловку проверить :))))


  1. Verovir
    24.07.2018 22:29
    +5

    Завтра на всех терминалах страны — «Привет, админ» :-)


    1. postgres
      25.07.2018 10:52

      Надеюсь на них стоит не пиратская винда, а то будет куда все печальнее..


  1. namikiri
    25.07.2018 00:13
    +3

    Давно таким промышляю интереса ради и забавы для, никакого злого умысла. И, таки да, все терминалы на Windows — от того самого Сбера с WinXP на борту до Бургер Кинга с десяточкой. И везде одна и та же проблема — софт можно свернуть. Ну или достать настроечные элементы интерфейса.

    Кстати, альтернативное решение для простых веб-интерфейсов на Linux называется Porteus Kiosk. В этой штуке даже при всём желании свернуть ничего не получится: там некуда сворачивать, DM состоит из одного единственного браузера, загружается полностью в оперативную память и живёт себе спокойно. Заливается на флешку, флешка прячется внутрь корпуса и терминалу не страшны ни резкие отключения света, ни попытки его перенастроить — все конфиги в режиме read-only.
    У Портеуса есть удобный инструмент калибровки тачскрина, драйверы для чековых принтеров, серверы VNC и SSH для удалённого управления Для того же, например, БК — идеальный вариант, как мне кажется.

    Это я к тому, что не везде стоит использовать самый «понятный» вариант — стоит совсем немного покопаться и можно найти гораздо удобное и стабильное решение без излишних функций.


    1. slonpts
      25.07.2018 03:41
      +1

      Как выше уже писали — проблема в админах.

      В крупных сетях низкие зарплаты, зачастую скотское отношение со стороны начальства и большая текучка по этим причинам. У админов те же проблемы, хотя все и не так плохо, как у кассиров и грузчиков. Так что админят там часто самоучки, а квалифицированных никто нанимать не будет — бизнес-модель такого не приемлет.


  1. WeltRogg
    25.07.2018 04:32

    «что открыть приложение это не взлом» еще скажи сесть в незапертую чужую машину не преступление, могут и угон приписать и хулиганство, есть очень тонкие грани дозволенного и если человек их не видит, то его могут считать социопатом и поступать и общаться соответствующие.


    1. 9660
      25.07.2018 05:57

      сесть в незапертую чужую машину не преступление, могут и угон приписать и хулиганство

      Нет и нет.
      Только если сами будете мычать и подписывать все что подсунут.


      1. GDragon
        25.07.2018 06:57

        Я даже дополню, что уехать на чужой машине — само по себе «мягкая» статья, «угон без цели хищения»


    1. Hardcoin
      25.07.2018 12:31

      могут и угон приписать

      Не могут. Разве что в результате добровольного признания.


  1. denis-19
    25.07.2018 05:07

    Пентест поверхностный.
    По факту персонал админу (который там и не появляется, а удаленно делает все) может и не сказать, а перезагрузят киоск и все (только диру головная боль из-за неработающего киоска и очереди).

    Интересно:
    Запустить браузер, проверить коннект на их сайт и куда нить пострашнее.
    Скачать извне программу и запустить (да хоть калькулятор расширенный).
    Проверить под какой учеткой был вход выполен в ОС.


    1. x86corez
      25.07.2018 10:09

      Удваиваю, было бы ещё интересно посмотреть начинку (список в диспетчере устройств), процессор, память, видюха, диагностика DirectX, и прочие internals.



  1. gdt
    25.07.2018 05:15

    Раньше работал в компании, специализирующейся как раз на терминалах. Все кому надо знают о таких уязвимостях, уважающие себя производители отключают такие возможности. У нас это входило в чек-лист ОТК. Если всё и правда настолько плохо — попробуйте long touch, будете приятно удивлены.


  1. kengur8
    25.07.2018 10:03

    Даже есть мануал как это делать docs.microsoft.com/en-us/windows/configuration/lock-down-windows-10-to-specific-apps


  1. DarkDemon
    25.07.2018 10:26

    Так то эти системы конечно из пушки по воробьи. Неделю назад развернул на raspberry pi 3 — debian lite, openbox, автозагрузку окна браузера на qt + pyside 5 строк, ну и монитор на 27". Там просто некуда выходить. Если даже закрыть окно браузера без кнопок, система перезагрузится.


  1. Bedal
    25.07.2018 11:04

    Массово комментируют «как хорошо работать в линуксе». Но дело в том, что заказчику не нужно работать в линуксе. И в винде — не нужно. Ему нужно, чтобы устройство работало. И, желательно, занедорого, без найма спецперсонала и т.п. И на умных советчиком им плевать — потому что после них всё равно остаются дыры, просто другие.
    Баги и дыры будут всё равно. Ну вот, нашлась эта глупая дырка. И — что? Мало ли ущерба у магазинов/кафе и проч? Да полно статей ущерба. Как только ущерб от этого дойдёт до заметного предела — позакрываются дыры.


    1. Marsikus
      25.07.2018 12:23

      занедорого, без найма спецперсонала

      В таком случае ни линукс ни виндовс не поможет :)


  1. ZurgInq
    25.07.2018 11:37

    С некоторым успехом можно взять маркер и нарисовать любую надпись прямо экране. Выйдет проще и быстрее, чем мучиться с жестами и поиском дыр в интерфейсе.


  1. ivan053
    25.07.2018 12:06

    Приветствую, земляк! Да, охрана в 'Вивалэнд' это что-то! По работе надо было занести небольшую коробку (совсем небольшую — терминал оплаты пластиковыми картами), так меня там чуть не арестовали! Тоже про частную собственность пели и что надо согласовывать не только вынос, но и внос!


    1. JC_IIB
      25.07.2018 12:19

      надо согласовывать не только вынос, но и внос!


      Вообще, это корректная политика охраны — вдруг вы им что-нибудь вредное для жизни принесете в ТЦ?


      1. Gutt
        25.07.2018 12:45

        Конечно! А ещё они не должны допускать продажи твёрдых стеклянных, керамических, металлических, деревянных и пластиковых предметов в своём торговом центре, равно как и тканей — это же вошедший в ТЦ может их вредным для жизни способом применить. Ну или хотя бы заставлять всех входящих сдавать охране брючные ремни, пояса и шнурки — вдруг задушить кого-нибудь попытаются?


        1. JC_IIB
          25.07.2018 12:51

          А, ну то есть по-Вашему, пусть кто угодно в ТЦ заносит что-нибудь такое, что может мгновенно испортить жизнь двум-трем сотням людей?

          Не несите чушь. Охрана именно для этого там и есть, чтобы обеспечивать безопасность объекта. Тем более, если что-то вносится в явно служебные, не предназначенные для общего доступа, помещения.


          1. Arty_Fact
            25.07.2018 17:21

            А, ну то есть по-Вашему, пусть кто угодно в ТЦ заносит что-нибудь такое, что может мгновенно испортить жизнь двум-трем сотням людей?

            Пусть заносит. Я ради этого не готов торчать в очереди перед рамками металлодетекторов и подвергаться процедуре досмотра. Во многих крупных ТЦ имеются всякие Ленты, Океи и прочие, в которых можно купить огромную массу всего, что может испортить жизнь двум-трем сотням людей. Одни баллоны с жидким газом и жидкость для розжига чего стоит. Какая разница, человек зайдет с бомбой, или соберет бомбу в ТЦ?


          1. Gutt
            25.07.2018 21:13

            Да, разумеется, пусть заносит. Открою страшную тайну — туда даже с оружием можно, просто у охраны синдром вахтёра и они незаконно пытаются это запретить. Нужно понимать, что пугаться коробочки и игнорировать другие угрозы есть просто имитация бурной деятельности. И экономический вред в масштабах страны гораздо больше, чем от иногда взрывающихся бомб. Вред просто двойной: это не предотвращает терроризм и одновременно затрудняет жизнь не-террористам.


            1. JC_IIB
              25.07.2018 22:12

              у охраны синдром вахтёра


              У охраны или у начальства, которое раздает соответствующие указания?

              Нужно понимать, что пугаться коробочки и игнорировать другие угрозы есть просто имитация бурной деятельности.


              Кому именно нужно и почему именно нужно?

              И экономический вред в масштабах страны


              Вы эксперт в экономике, что так быстро смогли оценить вред, да еще в масштабах страны?

              Скажу так — меня абсолютно не беспокоит рамка на входе в ТЦ, более того, я рад ей — это хоть какая-то безопасность. Что же до разрешения «на внос» — это абсолютно стандартная практика, так как в обязанности СБ входит знать, что у них там в ТЦ стоит и зачем, вот они и узнаЮт. Более того, я уверен, что если бы вы сами были владельцем мало-мальски серьезного объекта с пропускной системой (а в «недра» ТЦ просто так не попасть) вы бы тоже таковое разрешение ввели в обиход. Говорю, как человек, проработавший далеко не один год на объекте с очень ограниченным доступом, по сравнению с которым ТЦ — детский сад.
              Обычным покупателям разрешение на внос вещей, понятно, не нужно — они не проникают в служебные помещения (если все сделано по уму), и они все свое уносят с собой обратно, ну, пожалуй, кроме мусора, который можно кинуть в урну ТЦ.


          1. Merzavets
            26.07.2018 13:40

            Ну, правильно же написали выше: нужно ещё и все продажи в ТЦ запретить, ибо практически любой предмет можно использовать в качестве оружия. Особенно товары, продающиеся

            в строительных магазинах

    1. frsamara Автор
      25.07.2018 20:11

      Да слышал об этом, друг работал в фудкорте так его тоже скрутили за то что он забыл код доступа и понес продукты на точку :D там неадекватные охранники


  1. Germanjon
    25.07.2018 12:06

    У нас проблема решается установкой милиционера версии 1.0 около каждого такого терминала/киоска


    1. zerg59
      25.07.2018 13:38

      Средняя зарплата сотрудника полиции 35 000 рублей/месяц. Может быть админа нормального нанять проще и дешевле? Один нормальный админ может несколько киосков обслуживать. Хотя в РФ… оно конечно можно и оплачиваемого из бюджет (бесплатного) полиционера а поставить. При правильных связях это может обойтись и дешевле, согласен.


  1. AlexVBOG
    25.07.2018 12:06

    А ведь они еще с сетью соединены. Марка кардридера известна, открываем браузер и грузим что нужно. Да и доиграться не сложно. Тут конечно не скандал как с бургером, но может затронуть многие компании.


    1. JediPhilosopher
      26.07.2018 00:27

      Знание марки кардридера вам не сильно поможет. Ридер выдает уже зашифрованные одноразовым сессионным ключом данные, которые затем шлются на сервер процессинга. Приложение в терминале само не может получить доступ к данным карт, вам еще нужно знать ключи, зашитые в ридер. И перепрошить его без ключей вы тоже не сможете. Ридеры и пин-клавиатуры — это не примитивная периферия а-ля клавиатура обычная, а по сути компьютер-в-компьютере, с хардкорным хардверным шифрованием и защитой от физического взлома.


  1. PhoenixSerafim
    25.07.2018 12:06

    Было дело, ездил в какой-то институт давно, и там было это табло с сайтом института, которое мы с другом хакнули при помощи экранной клавиатуры и кнопкой win.


  1. Exchan-ge
    25.07.2018 12:07
    +1

    и если провести пальцем слева направо


    а не справа налево?


  1. Arxitektor
    25.07.2018 13:14

    А почему не используют в терминале что-то типа тонкого клиента или нулевого?
    И транслировать на него нужное приложение?
    Дорого и нужен хороший канал в интернет?
    Там каждый Терминал полноценный ПК? С сервером и терминальными сессиями на каждый из терминалов работать не будет?


    1. AllexIn
      25.07.2018 13:40

      Такой тонкий клиент называется «браузер» и очень многие именно так и делают.


  1. somatiq
    25.07.2018 13:52

    Надо было в браузере открыть сайт McDonalds, например.


  1. amarao
    25.07.2018 14:37

    Охранник плохо знал УК. При всех благих намерениях, доступ к функциям, к которым вам не планировали давать доступ — это «Неправомерный доступ к компьютерной информации» со всеми вытекающими. Особенно, если видно, что вы знали, что делали (а не нажали кнопку случайно). Если не понятно почему и как — представьте, что вы видите у меня на входной двери в дом щель для почты, и понимаете, что вы можете через эту щель открыть дверь. Вы открываете дверь и оставляете на whiteboard'е надпись «привет, человек».

    Вопрос: этично ли так делать?

    А если человек оставил открытым окно?


    1. iig
      25.07.2018 16:16

      доступ к функциям, к которым вам не планировали давать доступ — это «Неправомерный доступ к компьютерной информации»


      Если в терминале есть приложение для рисования — очевидно же, что разработчики его оставили там именно затем, чтобы дать доступ прохожему Васе Пупкину немного порисовать.


      1. amarao
        25.07.2018 16:40

        Если у меня в доме есть деньги, то очевидно, что я их там оставил, чтобы потом этими деньгами можно было платить. А вот с точки зрения УК важным является то, что я их оставил себе, а не вам. Потому что это у меня дома и я разумно ожидаю, что вы их брать у меня из дома без моего разрешения не будете.

        То же касается и программы на чужом компьютере.


        1. iig
          25.07.2018 17:20

          А вот с точки зрения УК важным является то, что я их оставил себе, а не вам.


          Если вы храните деньги в дупле старого дуба на опушке леса… Вы (и УК) точно уверены, что оставили их именно себе, а не прохожему, или для птиц как материал для гнезда? ;)
          Компьютер находится в общественном месте. Компьютер чужой, да, но его никто не присваивает. Им управляют путем тыканья пальцем в дисплей? Ок, я как раз этим занимаюсь. Вы считаете, что я неправильно тыкаю? Ок, становитесь в очередь, я закончу, и можете тыкать правильно.


          1. amarao
            25.07.2018 18:41

            Если я оставлю свой телефон в публичном месте, то его присвоение будет кражей. Если я оставлю свой телефон в публичном месте, а вы в него потыкаете так, что с моего счёта в банке исчезнет сколько-то денег, то это будет одновременно и кражей, и неправомерным доступом к компьютерной информации. Не смотря на то, что телефон предназначен для того, чтобы в него тыкали пальцем и находится в публичном месте.


            1. iig
              25.07.2018 18:49

              Напомнило древнюю схему развода мошенничества с преднамеренным оставлением кошелька в публичном месте и последующем предьявлением имущественных претензий к неосмотрительно поднявшему его гражданину. УК не одобряет такие действия.


    1. carrier
      25.07.2018 17:34

      Вы путаете теплое с мягким, ваш дом не общественное место, а вы(владелец вайтборда) — частное лицо. Скорее в вашем кафе вы поставили в углу вайтборд для того, чтобы дети посетителей могли на нем рисовать, но внезапно пришел пьяный бомж (лицо, в котором ваше кафе не заинтересовано), написал на нем слово «х@й» и с криками «я нашел уязвимость» убежал.


  1. a3bundes
    25.07.2018 16:37

    Забавно
    А я вот в банкомате одного банка этой весной мог поиграть в косынку, но не умею к сожалению =) А ещё там очень хреновый сенсор на экране, рисовать трудно

    image


    1. namikiri
      25.07.2018 17:00
      +2

      Хммм, интересно, какой же там банк… Как же сложно… Нет, никак не могу понять, что там за банк.


      1. a3bundes
        25.07.2018 17:21

        #securityfirst


    1. dolgacheff
      26.07.2018 16:23

      Скорее всего там нет сенсора, может поэтому рисовать очень трудно?


    1. dark_snow
      27.07.2018 05:51

      как запустил??? я уже даже подзабросил попытки после того, как у нас на «клавиатурных» терминалах даже залипание клавиш отключили, а про панель задач и прочее вообще молчу)


  1. devlind
    25.07.2018 16:50

    Этих проблем хватало и на старых автоматах со старой виндой — я ещё в 2007 так же «взломал» автомат в торговом центре зайдя через «Помощь» на жесткий диск — потом хоть папку Windows удаляй, никто ничего не заметит — проблема вскроется только после перезагрузки терминала. Ещё в одном из забугорных музеев зашел в браузер почитать новости. Так что дело тут далеко не в появлении «жестов», а в кривом софте, который не тестят.


  1. NIKOSV
    26.07.2018 01:38

    Вот поэтому на блокчейне нужно делать! Это децентрализовано, безопасно и невозможно взломать! А я говорил что он еще децентрализованный? (с) типичный блокчейн максималист на реддите который понятие не имеет как оно работает технически

    (сарказм если что)


  1. antonkaster
    26.07.2018 10:09
    +2

    Благодарю за статью. О данных проблемах надо говорить вслух.
    Сам непосредственно связан с данной темой. Изнутри могу рассказать пару моментов.
    Те, кто считают, что переход на linux решит большинство проблем правы только отчасти. Есть моменты, которые не принимают во внимание в таком подходе. Приведу часть из них.
    Техническую поддержку необходимо переобучать. При чем речь идет о сотнях людей в компании. Linux системы подразумевают другое сопутствующее ПО, всех причастных необходимо обучить им пользоваться. Сюда включаем обновление всех сопутствующих инструкций.
    Профильное ПО может существовать только для windows, переписывать разработчик не собирается, а эмуляторы не подходят по объективным причинам. В тех же терминалах самообслуживания фустфуда совсем не только веб-интерфейс крутится.
    Может не быть драйверов на специфическое оборудование, например на фискальные регистраторы.
    Правильная настройка linux системы вовсе не проще чем правильная настройка windows. Плохо настроенный linux ничуть не лучше плохо настроенной windows.
    Все это реальные проблемы с которыми сталкиваешься при попытке перейти на linux. Есть еще приличное количество мелких проблем. Выяснено на практике, благо есть опыт.
    Да и рассматривать одни только терминалы неверно. В том же фастфуде терминал самообслуживания — это только часть сложного программно-аппаратного комплекса, и рассматривать надо всю систему целиком.
    В целом, современная windows 10 предоставляет достаточно инструментов для создания безопасного терминала. Дело, как всегда, в людях, которые игнорируют проблемы.
    Так, что спасибо автору за пинок в правильном направлении.


  1. Fragster
    26.07.2018 11:32
    +2

    В вин10 есть же встроенный kiosk mode. Или он не работает? docs.microsoft.com/en-us/windows/configuration/setup-kiosk-digital-signage


  1. hippoage
    26.07.2018 12:52

    Как по мне это просто хулиганство (не юрист, бытовой термин), а не «тест», т.к. этого никто не заказывал. Вы нарушили работу киосков — кто-то из клиентов не сможет воспользоваться сломанными вами киосками. Непонятно чем гордиться. Тем более зачем это же повторять на других киосках.


    1. sav1812
      26.07.2018 14:55

      Это совершенно обычное использование. Никакого хулиганства, просто пользователь вот так понимает работу на этом устройстве. :)
      А правильно спроектированная система должна уметь корректно и правильно обрабатывать любые мыслимые и немыслимые управляющие воздействия, какими бы странными они не казались. А если не умеет — ­это проблема разработчиков и «эксплуататоров» системы, но никак не пользователя.


  1. marenkov
    26.07.2018 17:44

    Почему создателям терминалов не приходит в голову мысль о том, что что в Windows, что в Linux, в качестве рабочего стола можно запускать что угодно (хоть Word). Почему бы не запускать приложение терминала в качестве рабочего стола?
    Сам я только баловался подобным, возможно существуют какие-то минусы такого подхода, если кто знает — пишите.


  1. Aevarandi
    26.07.2018 21:19

    А в чем опасность? Ну вышли в винду, работники быстро заметили и заново оболочку запустили. Или можно в макдональсе бесплатно бургеры заказывать? Так наверное с воровством персонала гораздо больше проблем, чем дыры в терминале.