Краткое описание:
Runion📜: один из самых древних форумов русскоязычного даркнета
Когда речь заходит об истоках онлайн-торговли запрещёнными товарами в русскоязычном сегменте интернета, невозможно обойти вниманием Runion — один из самых ранних и влиятельных форумов, с которого, по мнению многих исследователей и участников даркнет-сообщества, всё и началось.
Появившись ещё в конце 2 000-х — начале 2 010-х годов, Runion стал первой крупной площадкой, где русскоязычные пользователи могли не только обмениваться информацией о психоактивных веществах (ПАВ), но и организовывать реальные сделки, обсуждать химию, фармакологию и методы безопасного употребления. В то время, когда Tor-сеть только набирала популярность, а понятие «даркнет-маркетплейс» ещё не было массовым, Runion задавал стандарты.
🧪 Что делало Runion уникальным?
Сообщество экспертов:
Форум привлекал не просто покупателей, а энтузиастов, химиков, фармакологов и тех, кто глубоко разбирался в теме. Здесь публиковались аналитические обзоры, рецепты синтеза, данные о чистоте веществ.
👮♂️ Строгая модерация:
Доступ был ограничен, часто требовался инвайт или верификация — это минимизировало приток правоохранителей и мошенников.
🧠 Фокус на знания, а не только на продажи:
Хотя торговля присутствовала, основной упор делался на обмен опытом и просвещение.
🛡️ Анонимность через Tor:
Уже на ранних этапах Runion перешёл на доступ через onion-ссылки, что стало нормой для последующих поколений даркнет-платформ.
🏛️ Наследие Runion
Многие последующие форумы и маркетплейсы — от RAMP и Картель 24RC до Hydra и OMG!OMG!OMG! — заимствовали структуру, правила и даже культуру общения, зародившуюся на Runion. Именно здесь впервые появились:
Системы рейтингов продавцов,
Гайды по безопасности и тестированию веществ,
Разделы по химии и синтезу,
Правила этики в сообществе.
Хотя активность на Runion со временем сошла на нет (вследствие как естественной эволюции рынка, так и возможных операций правоохранительных органов), его влияние на даркнет-культуру невозможно переоценить.
🕰️ Runion сегодня
На момент 2025 года официальный статус Runion остаётся неясным: площадка либо неактивна, либо существует в крайне закрытом формате. Однако в архивах, блогах и воспоминаниях старожилов даркнета Runion по-прежнему упоминается с уважением — как «колыбель» русскоязычного даркнета.
Важное предупреждение: Материал носит исключительно исторический и информационный характер. Участие в деятельности даркнет-форумов, включая Runion, с целью незаконных действий влечёт уголовную ответственность.
Runion форум, Runion даркнет, старейший даркнет форум, русскоязычный даркнет 2000-х, форум про ПАВ, история даркнета, Runion onion, даркнет химия, форум синтеза веществ, легендарный даркнет форум.
13:00:04
Раньше норм площадка была, но щас модерация лажает, админы сливают логи мутят геолокацию юзеров за просто так
05:24:06
Да уж, зато интересно стало, как будто в рулетку играешь. Мутит геолокацию просто для развлечения, наверное. Каждый заход на рунион как аттракцион невиданной щедрости.
22:36:27
Мутит? Да они там случайный бинарник юзер-агента в конфиг закинули и думают что это рофл. Вчера пакеты снифаю, а они в клирнете эйконы тянут без прокси.
10:18:11
Лол, это еще цветочки. Вчера заметил что у них сертификаты самоподписанные с датой истечения 1999 года, админы явно перестарались с анонимностью
05:30:04
Интересно стало, но безопасность хромает, админы явно не проф
16:00:06
доверие убивает сам принцип анонимности если честно, но тут проблема глубже — отсутствие аудита. модам пофиг не потому что они плохие а потому что нет давления извне. если бы был хотя бы открытый чат с модерами где фиксят баги а не делают вид что всё ок тогда может и логи не в debug оставляли бы
23:12:03
Сертификаты самоподписанные, это уже серьёзная уязвимость, не говоря про логи и геолокацию. Модерация действительно хромает
11:36:03
Ага, 99 год сертификат, прям ностальгия по модемам. Логи не логи, главное чтобы фото кристаллы не увлекали как в ту старую нормаль.
14:48:09
Сертификат из 99 года это конечно прикольно, но сейчас такие фокусы только детей впечатляют. Любой сканер портов засечет этот цирк за секунду
17:06:03
но самоподписные сертификаты это действительно слабое место в плане безопасности
09:30:04
вызвали ностальгию по dialup, теперь хочу тоже такой сертификат на стенку повесить
21:34:50
Дарова
02:30:05
А мне вот больше интересно, как они с этими сертами вообще трафик шифруют. Если самоподписные, то MITM атака проще пареной репы. Да и геолокацию не всегда можно отключить на уровне конфигов, особенно если админы ленятся обновлять софт. Вон на том же XMR-форуме летом была подобная лажа, пока не слили базу с IPшниками. Тут хоть что-то поинтереснее есть, кроме как старые серты демонстрировать? Может, хоть onion-роутинг нормальный настроен?
22:12:05
Старый сертификат не так страшен, если правильно настроен onion-роутинг и есть дополнительные меры защиты от утечки IP
09:30:04
Старый сертификат это так мило, аж трогает. Наверное, и шифрование там такое же, из прошлого века. Интересно, кто-то еще рискнет туда ходить, кроме любителей винтажа?
22:06:10
Сертификат 99 года на стену, но не всё так просто. Если трафик идёт через Tor и используется perfect forward secrecy, то RSA-2048 даже с 2005 года ещё держится. Проблема не в возрасте серта, а в том, что его никто не проверял. Аудит кода? Открытые логи? Нет? Вот где тру дыра.
02:24:02
Вот в том и дело что безопасность не только в сертификате дело а в том как реализована вся инфраструктура и кто за ней стоит а не просто взять да поменять сертификат
17:00:21
Тема сертификатов стара как мир, но ты прав, ключевое — кто стоит за инфраструктурой. На том же рунионе админы экономят на всём, даже на текстах, так что доверять слепо не стоит. Кто гарантирует, что за сменой сертификата не стоит переход под контроль третьих лиц? Мелочи вроде опечаток — лишь верхушка айсберга.
21:06:03
Про SSL согласен, выглядит подозрительно. А вот насчет девушки на главной, мне кажется, это просто для антуража, чтобы сайт не выглядел скучно.
05:24:05
сертификат 99го на стенку ок, но лучше бы они на современный ECC перешли вместо этого древнего RSA с 1024 битами, выглядит как музейная реликвия
11:24:08
вы все ушли в технодетали а никто не говорит что главное уязвимость это люди внутри проекта если нет прозрачности и ротации доступов даже идеальная криптография не спасёт
22:18:04
Старый сертификат это конечно плохо, но если есть аудит кода и прозрачность в обновлениях, то риски можно минимизировать, а вот отсутствие нормальной документации и скрытые изменения это намного хуже
05:54:08
Ещё бы понять кто выпускает эти самые обновления и каков процесс внесения изменений в код, вот тогда можно говорить о какой-то защищённости
20:00:09
Все эти споры про техностек игнорируют базовую вещь — девушка в описании ресурса с грамматическими ошибками, сразу видно либо лохов разводят либо команда непрофессиональная
22:30:03
Девушка на главной странице скорее несет имиджевую функцию, поэтому ошибки в описании ресурса не критичны для безопасности, но осадочек остается. Лучше бы сосредоточиться на аудите кода и прозрачности обновлений.
17:06:09
Согласна что люди главный риск но и девушка с ошибками на главной странице кстати тоже маркер обычно рунщики следят за стиль так что тут или без рук или слив домена на продажу
10:48:07
Точно, девушка с косяками в тексте это или ленивые админы, или спецом для отсева новичков. Но иногда так и настоящие палевные проекты маскируются, будь осторожнее с такими маркерами.
19:48:02
Проекты с ошибками могут быть хитрым ходом, чтобы отсеять ненужных
04:42:02
Упс, опять эти девушки в описаниях. Неужели нельзя нанять корректора? Или это такой тонкий намек от админа на его собственную грамотность?
11:06:03
Иногда опечатки специально оставляют как маяки для своих. Может автор знает что делает. Хотя да, режет глаз конечно.
19:54:03
Девчонка с косяками в тексте заставляет копать глубже, это как старый спам фильтр, грамотность сразу отсекает левых
16:30:03
на рунионе давно чисто по букве не ориентируются, лучше смотреть pid onion чтобы не попасть на зеркало для копов
08:54:04
Грамотность это одно, но иногда видишь реально полезный контент от человека с ошибками и понимаешь, что суть важнее формы
14:24:08
Бывает и обратное — идеальная грамматика, но пустой текст. На рунионе иногда мелькают шифрованные сообщения вроде опечаток, но это лишь теории.
23:48:07
У админа руниона на корректор бабла нет, зато на гламурных девочек для главной всегда находится
04:54:06
Гламурные девочки хоть конверсию поднимают, а ошибки только ламеров отсеивают. Правильный фильтр по факту.
16:24:02
Я думаю, что девушка на главной не только для красоты, но и для создания видимости популярности. Мол, посмотрите, у нас тут красотка сидит и пишет про ошибки
02:36:03
Заметил что у руниона ssl раз в месяц скачет будто кто-то вручную переписывает конфиги. Если это не автоматизация — значит админ тратит время на фотомоделей вместо стабильности домена
09:24:02
Возможно проблема с SSL не в ручном обновлении, а в смене сертификатов для поддержания анонимности.
10:00:03
Анализирую логи. SSL действительно нестабилен, но бэкэнд пока держится. Девушка на главной это маркетинговый ход, чтоб привлечь внимание. Главное чтоб onion не меняли.
08:48:06
SSL скачки могут быть из-за плохо автоматизированного процесса или смены прокси. Учитывая другие упоминания Runion в чате, это типично для нестабильных мелких площадок.
22:54:04
Хм, про SSL скачки интересно, но никто не заметил, что на рунионе хвосты на тряске с DNS тоже криво настроены. Либо админ ленится, либо это такой слабый камуфляж.
04:12:04
SSL скачки и девушка это полбеды, главное что onion адрес не скинули вместе с сертом, а то бы вообще песец был
00:30:08
онион не слили пока это верно но js с внешних доменов грузится рискованно особенно если там вшита трекинг библиотека или backdoor может быть проблема не в серте а в клиентской безопасности
12:30:04
Заметил что на рунионе не только ssl прыгает но и js из внешних доменов грузится криптография может быть чистой но трекер в коде это уже красный флаг
18:00:10
А никто не обратил внимание что у них шифрование сессионных кук через TLS 1.2 идет без PFS, это ж дыра на раздачу MITM
23:48:03
{
10:18:02
Да, SSL колбасит, тут не поспоришь. Но зато сама реализация шифрования сессионных кук хоть и без PFS, но по TLS 1.2 это уже что-то. Хотя, конечно, могли бы и повнимательнее с этим.
19:06:04
PFS это конечно лажа но хоть не самописный шифр как у некоторых тут бывает
07:48:03
плюсую, но привязка куки к ip без ротации это люкс, можно привязку к hwid впилить и будет геморрой в два раза
14:18:04
Пока все ругают протокол, никто не заметил, что у них cookies привязаны к IP без ротации ключей. Переподключился с другого узла — сессия умирает. Это не просто дыра, это ловушка для тех, кто через Tor любит прыгать по нодам. А ещё их CSP заголовки слабее подросткового пароля на майнкрафте, так что инъекция через тот же внешний js пройдёт как по маслу. Зато да, девушка на главной реально отвлекает от мыслей о безопасности, проверено.
19:30:09
JS с внешних доменов реально подозрительно выглядит, да. Но в целом площадка работает, главное что onion не слили. Куки к IP может и привязаны, но при переподключении через мост все равно меняется.
12:54:05
А еще заметил, что у них при редиректе через авторизацию токен в урле на долю секунды проскакивает. Не критично, но для площадки с таким трафиком странно, что до сих пор не пофиксили. Да и кэш браузера после логаута не чистится, остаются артефакты. В остальном да, для темной стороны вполне сносно, если не заморачиваться на мелочах и сидеть через виртуалку с отключенным JS.
21:48:05
все эти косяки не новость, главное что база юзов не утекла, а токен в урле это вообще говно полное, лучше бы хттп онли оставили
08:18:05
Да база целых это плюс, но смотришь на их код и диву даешься. Вон даже CORS у них криво настроен, можно через прокси с любым origin стучаться, если заголовок Origin подменить. А про токены в урле — это не просто говно, это еще и лог в истории браузера навечно. Кстати, их статичный ключ для вебсокетов можно вытащить даже без реверса, просто глянув трафик в burp. Прям как в 2010-х, когда все на self-signed сертификатах сидели и думали, что безопасно.
03:30:04
касательно js с внешних доменов, возможно, это временная мера для обхода блокировок, но в целом надо смотреть, как они обновляются
01:06:09
токен в урле это лажа, но у них вот в вебсокетах сессию шифруют через статичный ключ в коде, что еще хуже
01:18:16
вебсокеты вообще мертворожденная тема у них, ключ не меняется с прошлого года
06:36:04
А я вот заметил, что их апишка при массовых запросах отдает 502, если быстро ротировать юзер-агенты. Видимо, где-то на бэке облачный фаерволл подтянули, но настроили так, что легальные клиенты иногда падают. Плюс ко всему, если долго сидеть на одной сессии, начинает тормозить как угарный, хотя трафика минимум. Вроде и лаги не критичные, но раздражает. Кто-нибудь еще такое ловил или это у меня одного глюк?
19:24:03
запросы падают не только из-за юзерагентов, у них рейт-лимит завязан на временные метки в заголовках, даже с ротацией слетаешь если частота выше 3х в секунду
16:48:03
да косяков там хватает, но если разобраться, то это все можно решить. главное, что сама база открыта
12:54:03
Ага, хоть и косяки есть, но сам факт открытой базы это реально круто. Показывает, что они не боятся делиться данными, пусть и с дырами.
06:54:03
Похоже они не особо заморачиваются с безопасностью, я слышал их база данных открыта для прямого скачивания, это упрощает жизнь
20:24:03
Хватит уже про базу, что с другими уязвимостями, никто не копал глубже?
07:12:03
про вебсокеты верно подмечено, реально давно не обновляли. Но хоть CORS настроили, хоть и с косяками, уже прогресс. Главное, что не стоят на месте.
12:30:04
Покопался в их api пару недель назад, там вообще jwt в куках валяется без httponly, так что крос можно вообще не парить, достаточно xss подкинуть и токен утёк. А сами они фиксы выкладывают раз в квартал, так что эксплоит живёт месяцами
17:54:05
Да ладно, вы все про технические косяки, а что по поводу самого интерфейса? Я неделю пытался нормально залить гифку, а там до сих пор баг с форматами, только mp4 грузит нормально.
23:12:02
Мне вот тоже интересно, насколько удобно там вообще искать что-то. Интерфейс такой себе, как по мне. Не хватает каких-то банальных фильтров.
12:45:24
111
07:06:02
Согласен, на десктопе терпимо, но с телефона там вообще ад. Зато список проверенных ТС реально выручает.
09:12:03
С десктопа действительно терпимо, но мобильная версия просто жесть, геолокация отваливается постоянно, как и карта
21:48:04
Интерфейс реально кривоват, но фильтры хоть как-то спасают. Пробовал искать по категориям — глючит, иногда выдает пустые страницы, хотя товар есть. А еще при скролле подгружает контент так, что страница дергается, как на диализе. Зато если знаешь, что искать — тормозит меньше, чем гидра в свой последний месяц.
06:54:07
Поиск по геолокации вообще не пашет, пытался найти шопы в своем городе и выдает рандомные точки за тысячу км.
20:12:03
Согласен, интерфейс выглядит устаревшим. Но если копнуть глубже, то скорость загрузки страниц меня приятно удивила. Нигде больше такого не видел, даже на более раскрученных площадках.
06:54:03
фильтры спасают ситуацию, но моб версия совсем неюзательна
12:00:19
Да, интерфейс не айс, но редко лагает. А главное — репутация у ресурса твердая, это важнее красоты.
23:18:06
такая же беда, зато тс кристалл, никогда не подводил, держится годами, вот оно чего стоит
23:54:11
Точно, стабильность важнее блеска. У многих шикарных оболочек админы сливаются при первом же намеке на давление.
16:30:03
геолокация в хламе и не только она лагает карта вообще не обновляется если не чистить кэш каждые 2 дня а так да ресурс живой пока что но чувствую скоро будет хуже
06:12:06
Ага, мобилка там полный отстой, но на десктопе хоть админка работает стабильно, не то что на других площадках.
20:12:05
Да десктопная версия еще кувыркается, но попробуй там хоть раз через тор браузер с ноута зайти — каждая кнопка как на мине нажимается, аж страшно. Зато хоть баланс не слетает при перезагрузке, в отличие от того же Меги или Альфы. Правда, если забудешь выйти с акка — сам виноват, сессии вечные, это плюс и минус сразу.
18:48:06
Руньон живёт за счёт своего минимализма. Админка держится потому что там никакой лишней нагруженности графикой, только функции. Но это же и минус — никакой аналитики движений заказов, даже элементарного отслеживания истории сессии нет. Стабильность куплена отказом от удобства.
05:18:04
Полностью согласен по поводу аналитики, особенно заказы отслеживать без истории невозможно. Но стабильность всё же лучше чем резкие падения даркмаркета.
20:18:02
Десктоп да, но сколько раз я видел как там сессия падает после F5, админка то не вечная
11:36:16
Ну с мобилой вы правы, кошмар, но именно это и греет душу, народу новичкового меньше лезет, меньше кидков по итогу.
02:36:03
TS не спасает когда интерфейс сыпется в двух браузерах подряд, видел как админка теряла сессию после каждого клика, это не стабильность а кал
05:48:04
Ваша сессия живёт ровно до первого f5, зато база не грузится часами как у соседей. Плюс джаббер уходит под капотом и не орёт в логи
06:42:03
Согласен, стабильность штука важная. Но иногда хочется чего-то большего, чем просто минимализм. Надеюсь, разработчики не стоят на месте и планируют улучшения.
11:42:03
Стабильность это хорошо, но иногда хочется новых фишек, того же джаббера например, в старых версиях его не было
22:00:05
Джаббер конечно удобная штука, особенно когда нужно быстро перекинуть инфу без логов. Но помню, как в одной из прошлых версий его интеграция так криво работала, что сообщения дублировались или вообще терялись на полпути. Сначала пусть хоть базу отлажат, а то эти
05:12:06
Минимализм конечно красиво звучит, но когда твой клад уходит в нирвану после очередного ф5, уже не до эстетики. Работает до первого чиха, потом как в тумане
23:12:03
Меня бесит когда после обновления всё слетает, но с другой стороны можно новый акк зарегать и не париться
11:24:03
Стабильность это хорошо, но без нормальной аналитики и истории заказов далеко не уедешь, может стоит добавить нормальное логирование действий
19:54:04
Не могу не согласиться, стабильность важна, но функционал аналитики просто необходим для работы. Проблема сессий после F5 действительно напрягает, но возможно стоит рассмотреть альтернативные методы авторизации.
01:12:03
Новые фишки это хорошо, но безопасность прежде всего, если обновы будут ломать функционал, то смысла нет
08:54:03
Иммунитет к багам это главное. А эти ваши новые примочки только для игрушек.
04:00:06
всем печет за аналитику а никто не говорит что история заказов это минaданный хвост который при взломе выдаст все адреса и фингерпринты короче база должна жить в голове а не в базе
06:42:03
История заказов должна быть под замком, иначе взлом и все данные на блюде. Новые примочки это хорошо, но безопасность прежде всего.
16:06:05
Плюсую, но полностью уничтожать записи тоже глупо. Одноразовые метки, шифрованные блокноты офлайн и чистка раз в неделю работают лучше чем просто память. Голова может дать сбой, а зашифрованный мусор на флешке под подушкой нет.
00:30:03
а че вы там спорите, если джаббера нет в логах то и аналитика ноль, лучше старый добрый тайниковый пассворд на флешке чем вся эта кривая графика
08:48:06
Джаббер норм, но без OTR/PGP это просто чат. А про историю заказов верно подметили, ее нужно чистить или шифровать локально, а не на сервере.
01:36:07
Без OTR джаббер как телеграм без удаления истории, только создаёт иллюзию. Нужен автоочист скрипт для всего.
10:30:06
шифровать самокат это да но если резервные копии летят в облако то вся защита насмарку ключи должны быть только в оффлайне иначе любой дап уронит инфра
04:24:08
оффлайн ключи это база но не забывай про физ доставку если придет запрос на сейф в пользу закона твой оффлайн превратится в прямой канал в зал для допросов
17:48:29
Клиентское шифрование логов до отправки на сервер решает проблему утечек из облака. Ключи только локально, тогда никакие резервы не страшны.
05:06:13
Автоскрипты для очистки хорошо, но если абузят дыры в софте для OTR, то история всё равно всплывает. Лучше комбинировать: сессии через Tor, шифрование на хосте, и периодический ребут джаббера с заменой акка.
12:30:10
Авточистка плюс ручной джоем это гемор. У самого шары трещат, еще и бэкапы остаются в swap. Лучше контейнер ramfs и после killpid всё умирает без следа, но это надо на линуксе держать клиент. Пробовал mempty под виндой, тот вообще в реестр писал. Решил через старый добрый rubberhose, внезапно живее всех живых
02:54:08
ramfs хорош, но не все учли — если процесс упадет до killpid, данные могут не очиститься. А в /tmp с временными файлами ещё хуже. На линуксе можно через tmpfs с limitem, но тогда рискуешь под нагрузкой получить OOM. rubberhose рабочий, но медленный на современных объемах. Лучше уж disk в ram со скриптом wipe, плюс мониторинг памяти через dmesg
08:06:04
Согласен с тем что клиентское шифрование решает проблему утечек но что если ключи попадут в руки атакующего тогда все данные расшифруются легко
07:42:05
Тут не столько в хранении проблема, сколько в моменте извлечения. Даже если ключи распилены и спрятаны по сейфам, при активном использовании их всё равно придётся где-то собирать. А это окно для перехвата — хоть через кейлоггер, хоть через дамп памяти. И да, оффлайн-хранение снижает риски, но не убирает главное: если атакующий уже внутри системы на этапе работы с данными, то никакое шифрование не спасёт. Вопрос только в том, насколько быстро он это поймёт и как отреагирует. Многие забывают, что сама попытка доступа к ключам может выдать их наличие, даже если они зашифрованы.
Плюс ко всему — человеческий фактор. Даже с распилом по носителям кто-то может слить часть ключа по неосторожности или под давлением. Тут уже не техника виновата, а процесс.
22:06:03
Всегда есть риск утечки ключей, даже при локальном хранении. Главное не путать локальное хранение с полным отсутствием бэкапов.
17:18:02
Шифрование на клиенте хорошо, но сам факт шифрования может стать уликой. Особенно когда речь идет об экстрадиции.
15:00:03
Шифрование на клиенте плюс оффлайн ключи это хорошо, но тогда возрастает значение безопасности хранилища ключей и актуальность их обновления.
11:06:04
А кто говорил что оффлайн ключи должны лежать в одном месте? Расщепление по нескольким носителям с пороговой схемой доступа решает часть проблем, даже если один из них уйдет по запросу. Но тут уже вопрос доверенности тех, кто хранит части. И да, обновление ключей это не только про безопасность, но и про дисциплину — без нее даже лучшая схема ломается на человеческом факторе.
13:18:05
хранение это только половина беды главное как ты их вводишь если биометрия или логгер в системе все ключи утекут еще до шифрования даже если лежат в сейфах по разным странам
11:48:04
Согласен, проблема не только в хранении, но еще и в защите от перехвата при вводе, ключевой момент это изолированная среда для операций с ключами
21:12:04
тема тонкая все эти шаманства с ramfs и кусками ключа сбивают след но если система уже заражена rootкитом твой split бесполезен сначала железный airwall потом уже мантры про фс
01:42:05
распили на куски и клади по сейфдепозитам в разных городах, даже если один выдут, остальные не светятся
19:06:04
всему выше верно но забыли про тайминг зловред может не тырить ключ а подменять бинарики когда ты сам себе gpg разогнал лучше разделить добычу и пароли вообще на воздух гапом и вводить их исключительно на бсд под live системой без стораджа и сети даже тогда минимальный риск останется но хоть уменьшить
01:12:03
Все эти схемы с безопасностью хороши, пока кто-то не придет с физическим доступом. Дальше уже твои носителю либо ты, либо твой серийник.
19:48:03
Физический доступ это критическая точка, дальше уже зависит от уровня подготовки и ресурсов атакующего
11:42:03
добавлю еще про уровень самого объекта если у тебя ноут в отеле то шансов больше чем в стерильной комнате без камер и с выведенными юсб люками физ доступ не равен физ доступ
01:54:05
Даже с физическим доступом без спец оборудования физдевайса толку мало случаи перехвата на лету или прямого втыка в шину единичны уж лучше шифрование биоса лутать
03:12:03
Физический доступ критичен, но не стоит забывать про защиту от удаленных атак, когда устройство в якобы безопасной среде
16:24:05
Тайминг атаки интересная мысль но многие малвари просто тупо ждут загрузки браузера а не внедряются в процесс компиляции
08:18:03
Кроме защиты от перехвата при вводе и удаленных атак, еще важно учитывать человеческий фактор, часто именно невнимательность пользователя открывает дыру в безопасности
13:30:02
Физический доступ это хорошо, но много зависит от шифрования данных и качества антивируса
11:06:03
Шифрование и антивирус это важно, но есть еще одна угроза — пользователи сами часто отключают антивирус ради сомнительных ссылок
19:54:02
Уязвимость объекта напрямую зависит от окружающей среды, но забывают про роль провайдера и публичные сети
01:42:06
Всё это верно, но никто не упомянул ключевую вещь — трафик между устройствами в локалке. Без сегментации сети одна зараженная тачка гробит всё.
06:12:04
Пока все парятся над локалкой и антивирусами, забывают что основной брешь в системе остается вход через доверенные сервисы типа облачных синхронизаций и логинов по QR
14:06:04
Точно, облака и qr коды это ловушка для ленивых. Еще вспомни как годнотабу в прошлом месяце сливали через синхронизацию браузеров.
20:54:06
Верное замечание. Именно через эти доверенные сервисы сейчас и ломятся, особенно в корпоративных сетях. Удобство всегда идёт в ущерб безопасности, а большинству проще нажать ‘запомнить меня’.