Сдавал в 2005 году. Экзамен был не на компьютере, а письменный, 6 часов. Вопросов сколько, точно не помню, но кажется, что 300.
Правда, доказывать свою квалификацию было несколько проще: достаточно было, чтобы было подтверждение от одного человека (CISSP или руководства компании в которой работаешь)
Я сразу скажу, я не большой специалист по ConTeXt. Чуть-чуть покопался, но не серьезно.
Есть две нетехнические вещи, которые меня в нем настораживают:
скудная документация и отсутствие «комьюнити»;
система развивается только одной компанией, она может в любой момент закрыться.
По поводу библиографии. Насколько я понимаю, считается, что пользователь сам может сделать то, что ему надо (помните, стили писать легко, но вы должны сделать это сами).
Я за ConTeXt не агитирую. Вещь специфическая, со многими недостатками. Просто написал, что есть такое.
Знаю, что есть люди, которые пользуются, которым нравится. Поэтому упомянул, может кому пригодится.
Добавлю свои 5 копеек.
Мне очень понравился reStructuredText.
Идея очень близка к markdown, тоже очень хорошо читается. По сравнению с markdown предоставляет больше возможностей. Из него легко делается latex, odt, html.
P.S. LaTeX есть очень интересная альтернатива ConTeXt. Это тоже набор макросов. Главное отличие: писать стили легко, очень легко, и (но) это надо делать самому. Не очень распространен, поэтому обмен с коллегами затруднен.
Я бы сказал так: штука может быть удобна для внутреннего использования.
Можно еще посмотреть книгу Элхонон Голдберг «Управляющий мозг: Лобные доли, лидерство и цивилизация»
Книга несколько своеобразная, но почитать интересно. Есть информация и об отличиях работы мозга у мужчины и женщины.
Правда у меня при чтении подобной литературы возникает вопрос: это строение мозга определяет социальные роли или исполнение социальных ролей тренирует и формирует мозг?
Однозначного ответа на этот вопрос я пока не нашел.
Я, также, полностью поддержу предыдущие комментарии автора статьи.
На мой взгляд, agile сейчас очень моден, но этот подход предназначен для решения некоторого, ограниченного класса задач, при всем моем к нему уважению и любви. К сожалению, увлекаясь agile, разработчики, зачастую, не обращают внимание на другие методики. Этим они лишают себя возможности выбора инструмента, наилучшим образом подходящего для решения конкретной задачи. Хотя, надо признать, хорошие специалисты при необходимости от agile отходят очень далеко.
Спасибо Вам большое за отзыв. Мне обратная связь с читателями очень полезна, вероятно, я действительно переупростил статью, и мне об этом даже мои друзья сказали.
Тем не менее, в статье написаны далеко не самые очевидные вещи.
Давайте возьмем, например, тестирование. Когда я в другом месте посоветовал делать его, мне сказали: «а Microsoft так не делает». Действительно, если вы посмотрите книгу по SDL (в моем микрообзоре она под номером 15), то там вы не найдете рекомендации тестировать безопасное поведение. Там есть fuzzing, там есть penetration testing. Но тестирования безопасного поведения — нет. И тогда пришлось разбираться, что мы получаем, внедряя эту практику, что теряем.
Так что, как минимум одна практика, которую Вы считаете очевидной, на деле оказывается спорной.
Поверьте, если бы Вам лично пришлось бы заниматься безопасностью, у Вас бы возникли многие вопросы, на часть из которых я постарался дать ответ в этой статье.
А вообще, я тут читал курс и рассказывал, как показываю клиентам стоимость проекта.
Я рисую прямоугольник, одна сторона которого — функциональность программы; другая сторона — ее качество. Безопасность относится к качеству. Стоимость разработки (и, конечно, ее время) будет в площади прямоугольника. А дальше, как скажет заказчик.
Тем не менее, вопросы задают. И цитата из начала статьи: «И, надеюсь, вы убедитесь, что в безопасном программировании нет ничего такого уж необычного.»
На самом деле, для повышения безопасности надо делать очень-очень простые вещи. Надо только их делать.
Когда-то давно я сдавал экзамен на CISSP. Там была тема о методах уничтожения магнитных носителей. Я не знаю почему, но в качестве химического уничтожителя там рекомендовалось использовать йодистоводородную кислоту (hydroiodic acid) в концентрации 55-58%. При этом, правда говорилось о хорошо проветриваемом помещении…
Американские спецслужбы уверяют, что этого делать не умеют. Цитата из «NIST Special Publication 800-88. Guidelines for Media Sanitization»:
2.3 Trends in Data Storage Media
…
Advancing technology has created a situation that has altered previously held best practices
regarding magnetic disk type storage media. Basically the change in track density and the
related changes in the storage medium have created a situation where the acts of clearing and
purging the media have converged. That is, for ATA disk drives manufactured after 2001
(over 15 GB) clearing by overwriting the media once is adequate to protect the media from
both keyboard and laboratory attack.
…
Я тоже не являюсь специалистом в этой области. И тоже не могу дать точного ответа.
Но я видел, как восстанавливают сбитые номера на оружии. В Советском Союзе этим занимался, теперь уже покойный, с сожалению, Лев Борисович Шелякин. Работы эти были открытые, думаю, при большом желании их можно найти.
И это были не теоретические исследования, проводились реальные экспертизы, они потом использовались в суде.
В случае с чтением стертой информации, насколько я понимаю, используется примерно та же идея, что и с восстановлением сбитых номеров. Поэтому, чисто теоретически, думаю, что это вполне возможно.
Но!!!
Стоимость такого восстановления будет настолько высокой, что применять такие методы для доступа к информации обычного человека — это что-то невообразимое.
Поэтому, если вы не храните у себя на компьютере каких-нибудь очень-очень-очень-очень секретных планов, то можете просто затирать вашу порнушку частную информацию путем однократной записи поверх нее любой другой информации.
Сдавал в 2005 году. Экзамен был не на компьютере, а письменный, 6 часов. Вопросов сколько, точно не помню, но кажется, что 300.
Правда, доказывать свою квалификацию было несколько проще: достаточно было, чтобы было подтверждение от одного человека (CISSP или руководства компании в которой работаешь)
Я сразу скажу, я не большой специалист по ConTeXt. Чуть-чуть покопался, но не серьезно.
Есть две нетехнические вещи, которые меня в нем настораживают:
По поводу библиографии. Насколько я понимаю, считается, что пользователь сам может сделать то, что ему надо (помните, стили писать легко, но вы должны сделать это сами).
Я за ConTeXt не агитирую. Вещь специфическая, со многими недостатками. Просто написал, что есть такое.
Знаю, что есть люди, которые пользуются, которым нравится. Поэтому упомянул, может кому пригодится.
Мне очень понравился reStructuredText.
Идея очень близка к markdown, тоже очень хорошо читается. По сравнению с markdown предоставляет больше возможностей. Из него легко делается latex, odt, html.
P.S. LaTeX есть очень интересная альтернатива ConTeXt. Это тоже набор макросов. Главное отличие: писать стили легко, очень легко, и (но) это надо делать самому. Не очень распространен, поэтому обмен с коллегами затруднен.
Я бы сказал так: штука может быть удобна для внутреннего использования.
Книга несколько своеобразная, но почитать интересно. Есть информация и об отличиях работы мозга у мужчины и женщины.
Правда у меня при чтении подобной литературы возникает вопрос: это строение мозга определяет социальные роли или исполнение социальных ролей тренирует и формирует мозг?
Однозначного ответа на этот вопрос я пока не нашел.
Я, также, полностью поддержу предыдущие комментарии автора статьи.
На мой взгляд, agile сейчас очень моден, но этот подход предназначен для решения некоторого, ограниченного класса задач, при всем моем к нему уважению и любви. К сожалению, увлекаясь agile, разработчики, зачастую, не обращают внимание на другие методики. Этим они лишают себя возможности выбора инструмента, наилучшим образом подходящего для решения конкретной задачи. Хотя, надо признать, хорошие специалисты при необходимости от agile отходят очень далеко.
Тем не менее, в статье написаны далеко не самые очевидные вещи.
Давайте возьмем, например, тестирование. Когда я в другом месте посоветовал делать его, мне сказали: «а Microsoft так не делает». Действительно, если вы посмотрите книгу по SDL (в моем микрообзоре она под номером 15), то там вы не найдете рекомендации тестировать безопасное поведение. Там есть fuzzing, там есть penetration testing. Но тестирования безопасного поведения — нет. И тогда пришлось разбираться, что мы получаем, внедряя эту практику, что теряем.
Так что, как минимум одна практика, которую Вы считаете очевидной, на деле оказывается спорной.
Поверьте, если бы Вам лично пришлось бы заниматься безопасностью, у Вас бы возникли многие вопросы, на часть из которых я постарался дать ответ в этой статье.
А вообще, я тут читал курс и рассказывал, как показываю клиентам стоимость проекта.
Я рисую прямоугольник, одна сторона которого — функциональность программы; другая сторона — ее качество. Безопасность относится к качеству. Стоимость разработки (и, конечно, ее время) будет в площади прямоугольника. А дальше, как скажет заказчик.
На самом деле, для повышения безопасности надо делать очень-очень простые вещи. Надо только их делать.
Но я же не говорю: «все должны делать именно так!». Я говорю: «если вам нужна безопасность, делайте так».
А то, что это стоимость повышает, что это увеличивает время разработки…
Скажу даже больше: не всем это надо Но, если надо…
Но я видел, как восстанавливают сбитые номера на оружии. В Советском Союзе этим занимался, теперь уже покойный, с сожалению, Лев Борисович Шелякин. Работы эти были открытые, думаю, при большом желании их можно найти.
И это были не теоретические исследования, проводились реальные экспертизы, они потом использовались в суде.
В случае с чтением стертой информации, насколько я понимаю, используется примерно та же идея, что и с восстановлением сбитых номеров. Поэтому, чисто теоретически, думаю, что это вполне возможно.
Но!!!
Стоимость такого восстановления будет настолько высокой, что применять такие методы для доступа к информации обычного человека — это что-то невообразимое.
Поэтому, если вы не храните у себя на компьютере каких-нибудь очень-очень-очень-очень секретных планов, то можете просто затирать вашу
порнушкучастную информацию путем однократной записи поверх нее любой другой информации.Такое мое ИМХО.
Но!!! Еще одно «но». Технологии развиваются…
Так вот он программировался через «тумблерные регистры» — такую панельку с тумблерами. Тумблер вверх — 1, вниз — 0.
Много там запрограммировать было бы сложно, но прогнать минимальные тесты, это запросто.
Так что первой была программа!
P.S. А выдача у него была лампочками и на телетайп.