3-50 Posted June 28, 2021 Share Posted June 28, 2021 (edited) Добавляем роутер, авторизовываем его, добавляем человека в команду, через иконку "открыть веб-интерфейс" этот человек имеет полный доступ к роутеру. Пересекается с темами Доступ к веб-интерфейсу даже, если он запрещёнЧеловек в команде может авторизовывать роутеры Edited June 28, 2021 by 3-50 Quote Link to comment Share on other sites More sharing options...
Julia Rybakova Posted June 29, 2021 Share Posted June 29, 2021 22 часа назад, 3-50 сказал: Добавляем роутер, авторизовываем его, добавляем человека в команду, через иконку "открыть веб-интерфейс" этот человек имеет полный доступ к роутеру. Пересекается с темами Доступ к веб-интерфейсу даже, если он запрещёнЧеловек в команде может авторизовывать роутеры Все верно, если вы расшарили устройство члену команды, ему открыт доступ в вэб-интерфейс устройства. То есть, вы например администратор сети и у вас есть еще администраторы, которые могут администрировать эти же устройства. То есть доступ им также открыт напрямую. Quote Link to comment Share on other sites More sharing options...
3-50 Posted June 29, 2021 Author Share Posted June 29, 2021 (edited) 12 минуты назад, Julia Rybakova сказал: Все верно, если вы расшарили устройство члену команды, ему открыт доступ в вэб-интерфейс устройства. То есть, вы например администратор сети и у вас есть еще администраторы, которые могут администрировать эти же устройства. То есть доступ им также открыт напрямую. 1. Права у человека "Can view", полный администраторский доступ это не "может смотреть", это "может сломать вообще всё к чёртовой матери". 2. Приглашённый не обязательно может быть администратором, это может быть секретарь, которая если видит, что роутер исчез из сети, то значит нужно звонить провайдеру и узнавать в чём дело. 3. Это может быть подчинённый администратора задача, которого мониторить сеть, но не лезть в настройки, поэтому прав у него нет и не должно быть. 4. А если злоумышленник каким-то образом перехватили ссылку (поправьте, если ошибаюсь, но кажется линк приглашения не динамический) или получили доступ к компу приглашённого? Вы этой кнопочкой огромную брешь в безопасности создали. Edited June 29, 2021 by 3-50 Quote Link to comment Share on other sites More sharing options...
realAndrei Posted July 9, 2021 Share Posted July 9, 2021 В 29.06.2021 в 15:42, Julia Rybakova сказал: Все верно, если вы расшарили устройство члену команды, ему открыт доступ в вэб-интерфейс устройства. То есть, вы например администратор сети и у вас есть еще администраторы, которые могут администрировать эти же устройства. То есть доступ им также открыт напрямую. Это в корне неверное поведение! Can view - это только мониторинг без управления. Но кто бы не зашел в RMM, в веб-интерфейс роутера всё равно необходимо авторизовываться. Разрешения автоматически авторизовываться RMM не запрашивал, никому такого права не должно быть предоставлено. Как всегда начинает страдать безопасность... Сначала надо делать безопасно, а потом думать как упростить. А не всё открыть, а потом по сообщениям на форуме прикрывать дыры. Quote Link to comment Share on other sites More sharing options...
Evgeny Korytov Posted July 12, 2021 Share Posted July 12, 2021 On 6/29/2021 at 3:54 PM, 3-50 said: Права у человека "Can view", полный администраторский доступ это не "может смотреть", это "может сломать вообще всё к чёртовой матери". On 7/9/2021 at 6:48 PM, realAndrei said: Это в корне неверное поведение! Can view - это только мониторинг без управления. Был неточный текст, поправили. На текущий момент RMM сделал с шерингом на полный доступ. Ваше право им не пользоваться On 6/29/2021 at 3:54 PM, 3-50 said: Приглашённый не обязательно может быть администратором, это может быть секретарь, которая если видит, что роутер исчез из сети, то значит нужно звонить провайдеру и узнавать в чём дело. On 6/29/2021 at 3:54 PM, 3-50 said: Это может быть подчинённый администратора задача, которого мониторить сеть, но не лезть в настройки, поэтому прав у него нет и не должно быть. Уровни доступа в работе On 6/29/2021 at 3:54 PM, 3-50 said: А если злоумышленник каким-то образом перехватили ссылку (поправьте, если ошибаюсь, но кажется линк приглашения не динамический) или получили доступ к компу приглашённого? Да, на текущий момент ссылка пока статичная. Но человеческий фактор никто не отменял и мы не можем ограничить доступ в компьютеру приглашенного. А если человек получить доступ к железке? А если в линию кто-то сможет врезаться? А если пароль поставить admin/admin? On 6/29/2021 at 3:54 PM, 3-50 said: Вы этой кнопочкой огромную брешь в безопасности создали. On 7/9/2021 at 6:48 PM, realAndrei said: Но кто бы не зашел в RMM, в веб-интерфейс роутера всё равно необходимо авторизовываться. Разрешения автоматически авторизовываться RMM не запрашивал, никому такого права не должно быть предоставлено. Это не брешь в безопасности. Мы исходим из того, что администраторы, люди умные и не будут давать кому попало доступ, тем более через открытые каналы. С таким же успехом можно сказать, вы создали брешь, сделав возможным добавлять сети в RMM. А если от вашего Keenetic Account кто-нибудь получит доступ? В целом, свои предложения можете высказывать в ветке с предложениями, возможно нужно внедрить на уровне RMM дополнительный этап валидации инвайта – пароль, который можно послать по другому каналу связи с приглашаемым и еще одноразовую ссылку (но ее опять могу перехватить). К почте, телеграму и вообще к телефону приглашаемого может иметь доступ злоумышленник и вы никак об этом не узнаете. А если у человека включены уведомления на телефоне? Или телефон без пароля? Нету блокировки спустя 15 секунд бездействия? В целом, коллеги, вопросов больше чем ответов и в наших руках сделать удобный и максимально безопасный сервис вместе. Не забывайте, что сейчас бета версия сервиса Quote Link to comment Share on other sites More sharing options...
Evgeny Korytov Posted July 13, 2021 Share Posted July 13, 2021 Еще добавлю, для большего контроля безопасности, мы добавили уведомления в Телеграм о новых юзерах в вашей команде и поэтому если вы переживаете про перехват постоянной ссылки на инвайт людей, то телеграм уведомление вам поможет быстро среагировать на внештатную ситуацию и в будущем перегенерировать ссылку и удалить участника команды 1 Quote Link to comment Share on other sites More sharing options...
realAndrei Posted July 14, 2021 Share Posted July 14, 2021 В 13.07.2021 в 17:31, Evgeny Korytov сказал: Еще добавлю, для большего контроля безопасности, мы добавили уведомления в Телеграм о новых юзерах в вашей команде и поэтому если вы переживаете про перехват постоянной ссылки на инвайт людей, то телеграм уведомление вам поможет быстро среагировать на внештатную ситуацию и в будущем перегенерировать ссылку и удалить участника команды Нет, ситуация совсем другая. Есть "главный" админ, который настраивает роутеры и отвечает за них. А есть "местные" админы, которые должны видеть все роутеры с разных локаций, получать уведомления, что нет сети, мониторить нагрузку и т.д., решать проблемы с каналом, но не менять настройки роутеров. Получается сейчас либо всё делает один человек, либо все имеют доступ и концов не найдешь. Банально, имея доступ к веб-интерфейсу, админ может создать пользователя и никакого уведомления нигде не будет... Потом он уволится, а доступы к роутерам у него остались, о которых никто и не знал. И не утверждайте, что это не брешь в безопасности, что в команду добавляются сотрудники осознанно. Да, но потом они увольняются. Средств мониторинга за деятельностью сотрудников нет, информирования о добавлении пользователей в роутерах тоже нет. Quote Link to comment Share on other sites More sharing options...
3-50 Posted July 14, 2021 Author Share Posted July 14, 2021 (edited) @realAndrei, сделают со временем: Разработка уровней доступа в процессе и не возможность перейти бесшовно в админку тоже в процессе, после этого такая возможность будет. Edited July 14, 2021 by 3-50 Quote Link to comment Share on other sites More sharing options...
realAndrei Posted July 15, 2021 Share Posted July 15, 2021 15 часов назад, 3-50 сказал: @realAndrei, сделают со временем: Разработка уровней доступа в процессе и не возможность перейти бесшовно в админку тоже в процессе, после этого такая возможность будет. Понятно что сделают что-то... Вопрос в том, чтобы были учтены все сценарии использования. Ранее я писал предложение, кратко - сделать группы роутеров (или даже сетей) и группы пользователей, и настраивать доступ использую их. Ведь мало того, что нужно read-only для каких-то пользователей (групп пользователей), так еще и чтобы видели не все роутеры (сети). Quote Link to comment Share on other sites More sharing options...
Julia Rybakova Posted July 19, 2021 Share Posted July 19, 2021 В 15.07.2021 в 11:58, realAndrei сказал: Понятно что сделают что-то... Вопрос в том, чтобы были учтены все сценарии использования. Ранее я писал предложение, кратко - сделать группы роутеров (или даже сетей) и группы пользователей, и настраивать доступ использую их. Ведь мало того, что нужно read-only для каких-то пользователей (групп пользователей), так еще и чтобы видели не все роутеры (сети). Действительно, мы прорабатываем разные сценарии, которые возможны для случаев 1/2...х команд, сетей и членов команды, так же как и уровни доступа. Если вы опубликовали в разделе Развитие это предложение - то мы дополнительно смотрим кол-во проголосовавших. Мы понимаем, что это может быть удобно и ценно для вас. Quote Link to comment Share on other sites More sharing options...
realAndrei Posted July 19, 2021 Share Posted July 19, 2021 7 часов назад, Julia Rybakova сказал: Действительно, мы прорабатываем разные сценарии, которые возможны для случаев 1/2...х команд, сетей и членов команды, так же как и уровни доступа. Если вы опубликовали в разделе Развитие это предложение - то мы дополнительно смотрим кол-во проголосовавших. Мы понимаем, что это может быть удобно и ценно для вас. Если вы в развитие переносите ошибку сохранения количества отображаемых записей, то это о многом говорит... Добавить целую строку кода сохранения параметра - это же развитие-развитие, даже сроки назвать не можете. Вы точно делаете что-то из пожеланий пользователей? Пока ни на одно предложение нет сроков, на многие нет даже ответов... Вот встречный вопрос вам - вы прорабатываете-прорабатываете, а когда выложите ваши варианты для обсуждения? Толку от вашей проработки, если делать будете из предложений? Или наоборот, толку от предложений, если делать будете то, что сами придумаете? Quote Link to comment Share on other sites More sharing options...
Julia Rybakova Posted July 20, 2021 Share Posted July 20, 2021 12 часа назад, realAndrei сказал: Если вы в развитие переносите ошибку сохранения количества отображаемых записей, то это о многом говорит... Добавить целую строку кода сохранения параметра - это же развитие-развитие, даже сроки назвать не можете. Вы точно делаете что-то из пожеланий пользователей? Пока ни на одно предложение нет сроков, на многие нет даже ответов... Вот встречный вопрос вам - вы прорабатываете-прорабатываете, а когда выложите ваши варианты для обсуждения? Толку от вашей проработки, если делать будете из предложений? Или наоборот, толку от предложений, если делать будете то, что сами придумаете? Мы не планируем переносить ошибки. Мы смотрим и учитываем пожелания пользователей. Наша команда работает над развитием сервиса и над баг фиксингом, которые находят. Это требует время. Спасибо за понимание. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.