У меня другая информация. Вот что пишет налоговая служба. Критерий — является ли (с точки зрения иностранного государства) организация, выпустившая карту или открывшая для вас счет, банком. Есть иностранные платежные системы, которые выпускают виртуальные карты Visa или MasterCard, но не являющиеся банками. Такие виртуальные карты декларировать не нужно.
Бухгалтер нужен. В моем случае, это стало очевидно после одного необоснованного наезда со стороны налоговой (потеряли страховой взнос). Так бы пришлось самому собирать документы и стоять в очереди.
Бескомпромиссное утверждение основано на том, что необоснованные вызовы system(), posix_spawn(), execve() и подобных API не пройдут ревью кода безопасниками. Каждый вызов cp — это необходимость думать, а не передадут ли в качестве одного из аргументов что-то, что cp посчитает не файлом или каталогом, а опцией. И еще, в достаточно высокоуровневых языках есть готовые функции-утилиты для рекурсивного копирования каталогов. Python: shutil.copytree().
Да, странно! Без сравнения с другими решениями, не будет оснований называть статью «Что не так с Copy-on-Write под Linux». Будет что-то вроде «Что не так с Copy-on-Write вообще, на примере реализации в Linux».
1. Акцент почему-то только на cp, тогда как всякие менеджеры виртуальных машин (тот же VirtualBox или libvirt), файловые менеджеры с GUI, а также сетевые хранилища типа NextCloud не используют cp. Еще стоило бы посмотреть на ситуацию с точки зрения разработчика — да, на Си сделать reflink легко, а на другом языке?
2. Акцент сделан на Linux и ни слова не сказано про macOS, где copy on write тоже есть.
Если доступна двухсторонняя передача данных, то варианты есть. По алгоритму Diffie-Hellmann, например, можно сгенерировать секретный симметричный ключ для защиты канала, и уже им шифровать пароль.
Хорошо, перефразирую. Генерация и использование выглядящих сильными, но слабых по факту ключей шифрования (как в свое время было в забагованном OpenSSL из Debian) не противоречат privacy policy. А должны бы.
Внимательно прочитал особенности. Среди задекларированных особенностей НЕТ безопасных сессионных ключей или какой там у них эквивалент в WireGuard. Т.е. они могут, в теории, при согласовании ключа выбирать свой random предсказуемым образом, способствуя тем самым перехвату траффика, и все еще оставаться в рамках своей декларации и проходить аудит на соответствие ей.
Проводите периодические тестирования на проникновение — они помогут вам найти тонкие места, которые вы могли пропустить на стадии разработки или при переходе с тестовых сред на боевые.
А еще лучше проводить периодический аудит кода и инфраструктуры. Т.е. давать аудиторам возможность работы методом белого, а не черного, ящика. И дешевле, и результативнее.
Оно точно приведет к снижению насилия в отчетах. Все случаи насилия будут попросту скрываться, как случаи дифтерии в СССР.
1. Акцент почему-то только на cp, тогда как всякие менеджеры виртуальных машин (тот же VirtualBox или libvirt), файловые менеджеры с GUI, а также сетевые хранилища типа NextCloud не используют cp. Еще стоило бы посмотреть на ситуацию с точки зрения разработчика — да, на Си сделать reflink легко, а на другом языке?
2. Акцент сделан на Linux и ни слова не сказано про macOS, где copy on write тоже есть.
Внимательно прочитал особенности. Среди задекларированных особенностей НЕТ безопасных сессионных ключей или какой там у них эквивалент в WireGuard. Т.е. они могут, в теории, при согласовании ключа выбирать свой random предсказуемым образом, способствуя тем самым перехвату траффика, и все еще оставаться в рамках своей декларации и проходить аудит на соответствие ей.
Откуда такие сведения?
А еще лучше проводить периодический аудит кода и инфраструктуры. Т.е. давать аудиторам возможность работы методом белого, а не черного, ящика. И дешевле, и результативнее.