• Рассчитываем вероятности для статьи «Нечестная игра, или как нас обманывают организаторы розыгрышей»

      Статья с разбором игры известной торговой сети вызвала у нас в Cloud4Y живой интерес. Вот небольшие отрывки, чтобы ввести вас в курс дела:
      Однажды, солнечным весенним утром, почитывая городской форум, я наткнулся на ссылку с простенькой игрой от известной торговой сети. Игра (акция), посвящённая чемпионату мира по футболу, представляла собой незамысловатое поле три на три, заполненное футбольными мячами. Кликая по мячу, мы открывали картинку с тем или иным товаром. При открытии трёх одинаковых картинок участнику гарантировалось бесплатное получение данного товара в одном из магазинов сети. Также под одним из мячей имелось изображение красной карточки, открытие которой означало конец игры.

      Автор статьи принялся расследовать причины своего проигрыша и по результатам расчетов выяснил следующее:
      Быстрый набросок формул на салфетке, и выяснилось, что вероятность выигрыша — 1/4. Для 5 полей пришлось повозиться, но расчётная вероятность получилась также 25%.
      ...
      Запустив скрипт, я получил неожиданный результат — 25% выигрышей. Поиграв с количеством выигрышных элементов и общим количеством полей, я выяснил, что вероятность выигрыша в подобной игре не зависит от количества полей и равна единице, поделенной на количество выигрышных элементов, увеличенных на единицу.
      Нас заинтересовала правильность такого расчета и, заменив салфетку на Excel, мы взялись за дело в поисках математической истины. Читателей, увлекающихся теорией вероятности, приглашаем под кат, дабы проверить правильность наших вычислений.
      Читать дальше →
    • Защита персональных данных 3 миллиардов человек — сходство и различие законодательства в странах БРИКС



        Совет безопасности России на заседании 26 октября 2017 года поручил Минкомсвязи совместно с МИД России до 1 августа 2018 года инициировать в рамках БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) обсуждение вопроса о создании для государств — участников объединения собственной «системы дублирующих корневых серверов доменных имен (DNS), независимой от контроля [международных организаций] ICANN, IANA и VeriSign, и способной обслуживать запросы пользователей перечисленных стран на случай сбоев или целевых воздействий».

        В свете этих событий, нам хотелось бы рассмотреть вопрос о согласованности законодательств стран участниц БРИКС в вопросах защиты данных. Далее речь пойдет о защите персональных данных: на основании каких законов строится защита и каковы основные недостатки.
        Читать дальше →
      • Локализация персональных данных не россиян



          C 1 сентября 2015 года в Российской Федерации начало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

          1 сентября 2017 года Роскомнадзор опубликовал свой отчет о проделанной работе, по соблюдению законодательства, подробнее об этом мы писали в своей статье.

          Ну, это у нас. А как в других странах? Эксперты Роскомнадзора провели свой анализ, на основании которого выложили в сеть свой «Аналитический обзор международного опыта по локализации баз данных, содержащих персональные данные граждан», кто желает ознакомиться с полным текстом документа, найдет его по ссылке.

          Документ довольно обширен и содержит в себе как практику зарубежных стран, так и обзор правоприменения Российской практики. Мы же кратко пройдемся по зарубежным практикам.

          Итак, участвующие в обзоре страны:

          • Австралия
          • Вьетнам
          • Индонезия
          • Индия
          • Казахстан
          • Канада
          • Китай
          • Малайзия
          • Нигерия
          Читать дальше →
        • Как и почему 10 млрд долларов затрат на публичные облака являются неоправданными потерями

          • Перевод
          Провайдеры услуг публичного облака в конце 2017 объявили о своем доходе за 3 квартал. Показатели дохода впечатляют своим размером и скоростью роста. Совокупный доход трёх крупных компаний (Amazon Web Services, Microsoft Azure и Google Cloud Platform) составил 7,5 млрд долларов за третий квартал или 30 млрд долларов США в пересчете на год.

          10 миллиардов долларов в расходах на облака являются потерями


          Аналитики RightScale задались вопросом, сколько доходов облачных провайдеров приходится на арендаторов, которые не понимают, как они могли бы предотвратить напрасные потери в совокупных затратах на облачные вычисления. Ранее в отчете «RightScale 2017 State of the Cloud Report» было отмечено, что пользователи облачных вычислений считают, что излишние затраты достигают 30 процентов от расходов на облако. На самом деле, вероятно, что эта цифра даже выше.

          Читать дальше →
        • Нас опять посчитают: Национальная биометрическая платформа и «сквозной идентификатор»



            Национальная биометрическая платформа


            Примерно год назад Министерство связи и массовых коммуникаций РФ утвердило верхнеуровневый план реализации проекта по созданию Национальной биометрической платформы, в рамках которой основные технические работы должен был выполнить «Ростелеком».

            В то же время была принята концепция НБП, и спустя некоторое время должны были начаться технологические испытания и выбор решений по биометрическим технологиям. Так же в задаче ставилась разработка механизма регистрации биометрических образцов и контроля качества решений для НБП, а так же запуск системы в опытную эксплуатацию, в том числе, с помощью кредитных организаций которые могли подключиться к системе и начать ее тестирование.
            Читать дальше →
          • Основные аспекты правомерности обработки персональных данных в трудовых отношениях



              Подавляющее большинство из нас состоит в трудовых отношениях и оставляет свои персональные данные работодателям для ведения кадрового учета. Работодатель, в свою очередь собирает такие данные и ведет их обработку. Казалось бы, стандартная ситуация. Но, в связке с ФЗ-152 «О персональных данных», все становится не так очевидно.

              Какие основания для правомерной обработки есть у работодателей?

              Трудовые отношения у нас регулируются Трудовым кодексом РФ, основываясь на его требованиях и рассмотрим различные аспекты отношений работодателя с работниками и/или соискателями.
              Читать дальше →
            • Комиксы Даниэля Стори (часть 3)

              • Перевод
              Привет, Хабр! Сегодня мы хотим порадовать всех свежей подборкой юмористических IT-комиксов от Даниэля Стори (Daniel Stori). По ссылкам можно посмотреть первую и вторую части. Желаем приятного просмотра.

              Баги от Intel

              Читать дальше →
            • Больше, чем государство: внешний долг США

                Эта статья имеет целью продолжить дискуссию начатую статьей «Больше, чем государство: Британская Ост-индская торговая компания» и является личным мнением автора.

                Viva Las Vegas




                Для многих очевидно, что игра с казино убыточна. Исходя из установленных там правил и имея небольшое представление о теории вероятности, становится понятно, что при достаточно большом количестве попыток среднее значение выигрыша будет близко к математическому ожиданию выигрыша. Перевес казино в европейской рулетке (с одним «зеро») составляет 1 — 36/37 = 2,7%, что для игрока означает потерю в среднем 2,7% от ставки.

                Помимо рассуждений о положительном или отрицательном математическом ожидании следует понимать, что разные правила игры будут характеризоваться различной дисперсией. На практике получается, что при ограниченном количестве испытаний игрок может быстро проиграться или получить крупный выигрыш. Однако, в первом случае продолжить играть «за свои» не получится, а во втором азарт или жадность может привести к быстрой потере выигрыша. Такие жизненные уроки быстро дают понимание, что «дорога в счастливую жизнь проходит мимо казино».

                Дело не только в казино. Институциональный анализ развития экономических систем позволяет нам увидеть правила игры, которые создаются и изменяются людьми.
                Читать дальше →
              • SecaaS как вид облачных услуг и другие стандарты проекта ГОСТ «Защита информации при использовании облачных технологий»



                  В предыдущей статье «Всё по ГОСТу. Защита информации при использовании технологий виртуализации», мы упомянули про разработанный проект ГОСТ «Защита информации при использовании облачных технологий». Несмотря на то, что он уже не первый год лежит без утверждения, мы можем ориентироваться на него, как на источник информации о направлении деятельности регуляторов в сфере облачных технологий. Так же проект ценен систематизированным списком терминов, угроз и мер защиты облачных сервисов.

                  Начнем по порядку, как указано в проекте, ГОСТ устанавливает требования по защите информации, обрабатываемой с использованием облачных технологий. Поэтому предлагаю перейти к терминам и разобраться, что понимается в проекте под облачными технологиями и прочими терминами, встречающимися в данном документе. Заранее стоит отметить, что некоторые стандарты этого документа весьма спорные и временами противоречат сложившейся бизнес-практике.
                  Читать дальше →
                • White Paper о ФЗ №152 — книга, на которую можно ссылаться в вопросах обработки персональных данных

                  • Tutorial


                  Введение


                  Данный документ является руководством, описывающим действия организаций, которые необходимо предпринять ответственным лицам для соответствия законодательству, регулирующему отношения, связанные с обработкой персональных данных.

                  При подготовке были использованы факты и логические заключения, сделанные на основе действующих нормативных правовых актов Российской Федерации, формирующих «границы» правового поля, в которых необходимо находится при совершении любых операций со сведениями о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющих прямо или косвенно идентифицировать его личность.
                  Читать дальше →
                • Всё по ГОСТу. Защита информации при использовании технологий виртуализации


                    01.06.2017 был введен в действие ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». Как-то так вышло, что обзор данного ГОСТ во множестве нововведений законодательства затерялся и сейчас хотелось бы восполнить данный пробел.

                    Данный ГОСТ был разработан Федеральным автономным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФАУ «ГНИИИ ПТЗИ ФСТЭК России») и внесен техническим комитетом по стандартизации «Защита информации» (ТК 362).
                    Читать дальше →
                  • В Департамент информационных технологий, связи и защиты информации города N требуется…

                    • Tutorial

                    Сфера государственного IT нередко становится предметом для шуток и критики. Однако нельзя отрицать, что за последние годы работа по развитию информационного общества и в частности работа по повышению доступности государственных электронных услуг принесла результаты.

                    В РФ созданы следующие элементы системы электронного правительства:

                    2008 г. – сеть многофункциональных центров предоставления услуг (МФЦ);
                    2009 г. – единый портал предоставления государственных и муниципальных услуг (ЕПГУ), региональных порталов и порталов муниципалитетов (ЕПГУ), связанных с системой межведомственного электронного взаимодействия (СМЭВ);
                    2011 г. – система открытого правительства;
                    2013 г. – интегрированное правительство (МФЦ + ЕПГУ + СМЭВ).

                    Государственные органы заинтересованы в высококвалифицированных кадрах, снижении рисков и затрат, объединении усилий с частным сектором в предоставлении услуг. Возможно, вы IT-специалист, задумывающийся о работе в Департаменте информационных технологий своего города, или сотрудник IT-компании с частной формой собственности, которая хотела бы оказывать свои услуги государственным организациям. Что нужно знать и к чему быть готовым для такой работы?

                    Мы, со своей стороны, предлагаем облачную инфраструктуру для размещения в них государственных информационных систем и имеем опыт реализации таких проектов.

                    Наиболее актуальным для государственных заказчиков является вопрос соответствия требованиям законодательства. Целью этой статьи является повышение осведомленности специалистов в вопросах работы в сфере государственного IT. Эта статья посвящена одному из основных нормативных правовых актов в сфере обеспечения безопасности информации в Государственных и Муниципальных Информационных Системах — 17-ому приказу ФСТЭК.
                    Читать дальше →
                    • +5
                    • 12,1k
                    • 6
                  • О моделировании угроз



                      Вопрос обеспечения информационной безопасности Государственных Информационных Систем не только не теряет актуальности, но с развитием концепции электронного правительства и увеличением количества электронных услуг, становится более значимым. Так, около месяца назад большой резонанс на Хабрахабре вызвала статья «И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках».

                      Используя терминологию проекта документа «Методика определения угроз безопасности информации в ИС», эту ситуацию потенциально можно описать следующим образом:
                      Читать дальше →
                    • Что я хотел бы знать до того, как стал техническим директором

                      • Перевод


                      Последние четыре года я был техническим директором в SketchDeck, и теперь, когда я ухожу и вручаю бразды правления команде, я хотел бы подумать о полученном опыте и том, что я хотел бы знать с самого начала, когда стал CTO.

                      Это был бурный период, наполненный замечательным опытом. Создание стартапа — это перевернутая версия традиционного трудоустройства: изначально вы понятия не имеете, выживет ли компания, а если работа когда-нибудь превратится в полную занятость, то по мере роста бизнеса вы продолжите втягиваться в новые различные виды деятельности. Вполне закономерно, что в конечном итоге вы будете делать работу, которую вы никогда не делали раньше. Обязанности будут накапливаться быстрее, чем вы сможете узнать, как исполнять их надлежащим образом.
                      Читать дальше →
                      • +19
                      • 15,3k
                      • 4
                    • Тёмная сторона serverless-архитектуры или сложности оценки реальных затрат на бессерверные вычисления

                      • Перевод
                      Disclaimer: Эта статья основана в том числе на личном мнении Амирама Шачара (Amiram Shachar, CEO of Spotinst). Компания автора предлагает конкурирующий продукт под названием Spotinst Functions.

                      Перевод выполнен облачным провайдером Cloud4Y. Мы предлагаем программно-конфигурируемые дата-центры (vDC) на базе кластерных решений VMware vSphere с управлением посредством портала самообслуживания VMware vCloud Director.
                      По мнению многих специалистов, бессерверные вычисления являются следующим шагом в эволюции архитектуры вычислительных систем. Причины для совершения этого «прыжка» ясны:

                      • Вы экономите время: больше не нужно планировать и думать о том, как объём ресурсов для работы приложения будет расти или уменьшаться. Вам не только не придётся заниматься внедрением после развертывания, но также вы сможете потратить больше времени на дальнейшие инновации, экономя его на работе с инфраструктурой.
                      • Вы можете сэкономить деньги: в serverless-мире, где вы платите за триггер, вам не нужно писать on/off-скрипты, планировать резервирование или прогнозировать всплески. Вы просто платите за то, что используете.

                      Serverless — следующий шаг

                      Как переход от on-premises к облаку, переход к serverless в некоторой мере неизбежен. Однако, сделав этот ход, вы можете неожиданно получить счёт на большую, чем ожидаете сумму.

                      Затраты на бессерверные вычисления больше, чем pay-per-trigger

                      Читать дальше →
                    • Ловкость рук и никакого мошенничества: практические советы по ускоренному обучению дизайну для разработчиков

                      • Перевод
                      Улучшаем дизайн проекта с помощью тактически грамотных действий, а не таланта.

                      Нравится вам это или нет, каждый веб-разработчик неизбежно сталкивался с ситуациями, когда ему необходимо принять решение, касающееся визуального дизайна.

                      Возможно, в компании, в которой вы работаете, нет штатного дизайнера, и вам необходимо реализовать интерфейс для нового функционала. Или, может быть, вы решили подработать на побочном проекте, и хотели бы, чтобы он выглядел лучше, чем «ещё один bootstrap-сайт».

                      Легко опустить руки и сказать: «Я никогда не смогу сделать это должным образом, я не художник!», Но, оказывается, есть уйма ловких приёмов, которые вы сможете использовать, чтобы поднять свою работу на другой уровень, не имея опыта в графическом дизайне.

                      Под катом семь простых идей, которые вы сможете использовать для улучшения своих проектов.

                      1. Для создания иерархии используем цвет и вес вместо размера



                      Читать дальше →
                    • Кладбища стартапов полны провидцев без опыта и знаний

                      • Перевод
                      Часто, когда я посещаю конференции или нетворкинг-ивенты, я удивляюсь, как много людей работают на периферии технической индустрии. Гуру социальных сетей, SEO «ниндзя», блоггеры и тому подобные. Это тусовка промоутеров технического сообщества.

                      «Проруби свой путь к успеху», «познакомься с нужными людьми», «станьте суперзвездой бизнеса». Они нашли свою «серебряную пулю». Они могут похвастаться пассивным доходом от веб-бизнеса, всё время путешествуя по миру, в то время как остальные смертные рабствуют на своих рабочих местах по 9 часов 5 дней в неделю.


                      В мире, где мы ищем серебряные пули, эти люди, похоже, собрали арсенал из них. Более того, они нашли аудиторию, которая готова массово покупать их «серебряные пули».
                      Читать дальше →
                      • +16
                      • 10,3k
                      • 4
                    • Заставьте меня думать

                      • Перевод

                      Дизайн сложности


                      До недавнего времени вещи, которые мы используем повседневно, получали форму исходя из их технологической основы. Конструктивный дизайн телефона сводился в основном к созданию корпуса вокруг машины. Задача дизайнеров заключалась в том, чтобы технология стала выглядеть красивее.

                      Инженеры определяли интерфейсы этих вещей. Их главной задачей был функционал машины, а не простота её использования. Пользователи должны были выяснить методом проб и ошибок, как всё это работает.



                      С открытием каждого технологического новшества наши предметы обихода становились всё более оснащёнными и значительно более сложными. Дизайнеры и инженеры попросту обременяли пользователей подобным увеличением сложности. Мне всё еще снятся кошмары о попытках получить билет на поезд с помощью старого торгового автомата BART в Сан-Франциско.



                      От сложного к простоте

                      Читать дальше →
                    • HTTP-коды в комиксах ко Дню Святого Валентина

                      • Перевод
                      День Святого Валентина уже завтра. Для некоторых это время романтических надежд, время, чтобы спросить «даму сердца» и получить ответ. Это может быть просто «да», грустное «нет» или загадочное «Я не думала о нас, как о паре, но, может быть, завтра мы сможем поужинать вместе?»

                      Это, хотя и косвенно, приводит нас к кодам статуса HTTP (Hypertext Transfer Protocol). Когда URL-адрес вводится в браузере, запрос отправляется на сервер. Как и в нашем сценарии, браузер ожидает ответа. Эти ответы поступают в виде HTTP-кода, который представляет собой трехзначное число, которое сопоставляется с определенным смыслом.

                      Вот несколько вероятных сценариев в виде комиксов ко Дню Святого Валентина.

                      200s: Успех


                      Коды 200-го класса обычно означают, что все в порядке. Запрос был получен, понят, и на сервере не было ошибок. Например, этот URL-адрес вернет код 200 OK — успешный запрос.

                      Идеальное завершение для пар «браузер + сервер» и «разработчик + его проект»
                      Читать дальше →
                    • 29% вебсайтов уязвимы для DOS-атаки даже одной машиной (CVE-2018-6389)

                      • Перевод


                      Важно отметить, что использование этой уязвимости является незаконным, если только у вас нет разрешения владельца веб-сайта.

                      В платформе WordPress CMS была обнаружена простая, но очень серьезная уязвимость, связанная с атаками типа «отказ в обслуживании» (DoS) на уровне приложений, которая позволяет любому пользователю приводить в нерабочее состояние большинство веб-сайтов WordPress даже с помощью одной машины. Происходит это без необходимости задействовать огромное количество компьютеров для переполнения полосы пропускания, как это требуют DDoS-атаки, но с достижением того же результата.

                      Поскольку WordPress Foundation отказали в исправлении проблемы, уязвимость (CVE-2018-6389) остается без патча и затрагивает почти все версии WordPress, выпущенные за последние девять лет, включая последнюю стабильную (WordPress версия 4.9.2).
                      Читать дальше →

                    Самое читаемое