Добавлю свои 5 копеек: банкоматы стоят на улице или в заведениях. К ним тянется только питание. Соответственно где-то на корпусе прилеплена антенна. Т.е. явно имеется модем. А если есть модем, то скорее всего схема включения такая: Интернет от сотового оператора + VPN. Так что получив доступ к раб.столу вполне возможен сценарий залить чего весёлого через интернет отключив предварительно VPN. Можно в принципе написать какого зловреда ворующего данные карт с целью последующего хищения денег у граждан. Так что ИМХО сама по себе дырка с пятью шифтами уже неприятность, а если добавить абы как настроенное всё остальное, то вырисовывается весьма пугающая картина…
Конечно написано. Конечно мы их проводим в нерабочее время и обязательно предупреждаем о тои, что будем делать то и это и по времени столько. Но как уже писалось выше — взаимодействуем мы со старшим помощником младшего заместители ИО директора по развитию. А звонит нам генеральный директор. Ну есть у них такая привычка — сидеть на своём сайте и в случае чего звонить не своему сотруднику который непосредственно отвечает за развитие сайта, а нашему генеральному. А тот соответственно так-же не всегда в курсе на каком сайте что делается и разговор выглядит так как писалось выше. К сожалению в небольших городах у небольших студий работающих с не самыми крупными клиентами есть вполне себе крупные проблемы создаваемые на пустом месте именно клиентами. Поэтому к вопросам контроля за действиями клиента требования повышенные чтобы хоть на штрафы и скандалы не попадать.
Nagios пасёт весь сервер в целом и не в курсе, что где-то какой-то баннер съехал или кусок текста пропал. Так-то все страницы отдают нормальный код 200. Но для большинства заказчиков нет разницы между кодами 200 и поехал текст или 4XX\5XX. Для них всё просто: выглядит не так как ожидалось = сайт не работает. Причём время у них так-же идёт как то иначе. Например при обновлении движка надо сайт временно перевести в режим обслуживания. Ответственному со стороны заказчика сообщили о времени проведения процедуры, оно забыло сообщить своему руководству. Процедура прошла штатно и потребовала минуты 3. Но под конец этих 3 минут будет звонок и вопли, что уже несколько дней сайт не работает от слова «совсем».
iig: спасибо! Некоторое время назад искал детектор атак, наткнулся на Suricata, но не осилил понять что это и как правильно использовать. Сейчас вдумчиво прочитал пару мануалов и описаний — прикольная вещь. Попробую. А то каждый раз одно и тоже:
— Алло! У нас сайт уже неделю не работает из-за вас!
— Минуту… Вчера работал — сами проверяли и с ним работали.
И в конце выясняется, что клиент зашёл, ничего не делал (а чего заходил?..) и оно само. Но все уже успели свою порцию пинков от руководства получить. Студия маленькая, пинки долетают быстро :-(
WEB-хостинг. Куча клиентов + разработчикам надо ходить под разными аккаунтами (не даю я им под рутом ничего делать ибо нефиг). Соответственно отрубить авторизацию по паролю — не вариант. Просто добавить доступ по ключу — не вижу смысла. Приведённые выше несловарные пароли запоминаю довольно быстро считая необходимой проф.деформацией.
Сделал так: SSH на нестандартном порту + fail2ban. Факты: после смены порта автоматические долбилки отвалились. После установки fail2ban логи стали заметно чище. Профит в том, что теперь анализ логов стал проще. А когда тебе по нескольку раз в день нужно получать ответ на вопрос «кто откуда и зачем заходил?» профит считаю жирным лично для себя.
Астериски в других компаниях\домашний медиа-сервер — порт перенесён, fail2ban, на роутере правила ограничивающие доступ только с определённых IP. Ну глупости это — пытаться с телефона в поездке что-то там поадминить (интернет не стабильный, экран маленький, входящий звонок невовремя). На крайний случай должен быть человек в офисе\дома который ответит на звонок и всё сделает точно как сказано. А если такого человека нет, то в целом не так всё важно, чтобы не потерпеть несколько часов пока вы доберётесь до удобного рабочего места, подключитесь к офисной сети и всё сделаете как белый человек с большим монитором, клавиатурой и чашкой кофе.
И да, пароль на ключ — обязателен т.к. ваш ключ могут просто украсть.
Ralari, простите, но я ничего не понял.
1. С чем борются при помощи планировщика?
2. В какой программе есть такая кнопка и при чём тут она?
3. Моя работа? На японском рынке? Им то нафига поделка студента и как её можно применить если не принимать во внимание примеры работы с API. Хотя это было ценно лет 12 назад, когда был Dial-Up и надо было ещё суметь найти в печатном виде толковую книгу по тогда ещё Delphi 7. А сейчас уже и интернет скоростной и Delphi других версий (а её вообще сейчас кто-то использует?..) и винда как я слышал уже 10 с кучей встроенного функционала для обеспечения безопасности…
Ralari:
1. Ещё какой! Но на 3 курсе экономического ВУЗа к сожалению подготовки маловато по безопасности, API и прочему. Так что прошу простить.
2. Ещё раз: если мы не видим раздела -система заблокирована.Т.е. мы не ждём когда нам дадут раздел, чтобы его проверить. Мы просто спрашиваем «есть раздел с ID=XXX? Нету? Блокировать!» и всё это в течение 1 секунды. При этом когда система заблокирована устройства всёравно подцепляются и через какое-то время система будет знать про появившийся нужный раздел, моя софтина соответственно тоже и только после этого блокироваться система перестанет.
А как можно инициировать операцию записи если у Вас есть только поля для ввода логина и пароля?.. Autorun? Так вроде его нормальные люди отключают…
Louie:
Я ранее писал, что в софтине у меня была кнопка которая выпиливала возможность загрузки в безопасный режим. А что будет если грохнуть sam? Пока флешку не воткнёш, система будет «нажимать» win+L в независимости от того, под каким пользователем Вы хотите зайти. Винт дёрнет — так на это время надо и чтоб свидетелей небыло.
Согласен (и никогда не спорил), что моя поделка не есть какой-то инструмент обеспечения безопасности который стоит рассматривать всерьёз. Я лишь написал, что будучи студентом 3 курса в своё время проявил больше внимания к мелочам способным скомпромитировать мою разработку, чем коммерческая компания которая себе на хлеб зарабатывает разработкой софта для обеспечения безопасности. И этот факт меня очень удивляет и расстраивает.
1. _http://delphi.cjcsoft.net/viewthread.php?tid=44863
Могу ошибаться в терминологии, но я об этом. Эффект ровно тот-же, что при нажатии на win+L Т.е. ничего не закрывается, вставь «ключ», введи свой пароль и продолжай работу
2. А мне зачем уведомления о монтировании?.. Говорю-же задача решалась тупо: есть раздел с нужным ID — ничего не делать. Нету — win+l Т.е. злоумышленнику нужно знать пароль для входа в систему и если он его правильно вводит, то у него есть ~1 секунда, чтобы успеть куда-то зайти и что-то скопировать. С учётом того, что винда неторопливо будет на каком нибудь 3-4 пне отрисовывать рабочий стол секунды 2-3 его без подключенного носителя вышибет раньше чем он в нужную сторону мышью дёрнет.
3. Полностью согласен. Жесть какая-то
1. Не, тут всё веселее. Если софтина не видит «ключевой раздел», то система лочится. Так что никакого чтения\записи пользователь произвести не сможет. Ему доступно только окно для ввода логина\пароля. Изначально софтина не знает на какой там букве что висит. Ей это не интересно. Просто если нужный ключевой раздел доступен — ничего не делаем. Если не доступен (проверка каждую секунду), то блокируем систему штатными функциями.
2. ШТА?!!! 20 лет? Т.е. я не ослеп, Вы не опечатались и я правильно вижу — двадцать лет?! Интересно, им там программисты не нужны?.. Я бы может за хорошую зарплату обратно бы на виндах работать начал. Наверное моего бы уровня знаний\практики им бы хватило…
1. Под NT4 я кажется и не тестил свой проект. Давно дело было. Про NT4 я вспомнил в контексте шифрования данных на дисках. Кажется его там небыло, а значит не важно была там поддержка USB нативная или надо было что-то ставить (в то время вообще все с дискетами ходили и первые ключи у меня были как раз дискеты или музыкальные CD-диски). Факт — средствами API что-то зашифровать я бы не смог.
2. Трудное было время… Дельфи-7 — это было всё, что нам доступно. Интернет дома — даилап, в универе по записи и ничего нельзя качать в больших объемах. Было 2 книжки. «Полное руководство по Delphi7» (болльшой такой томик) и «Что умеют Хакеры — Delphi». Я тогда помню привык к интернету без картинок. Да и сейчас предпочитаю ресурсы с минимумом графики в оформлении. Коллег в WEB-студии иногда пугаю Линуксовым Lynx.
3. Почему? Я просто опрашивал все разделы доступные системе и если не находил ни одного у которого ID-->MD5=MD5 из базы, делал Lock. Содержимое раздела меня не волновало. Потом уже добавил проверку не SCSI-ли этот раздел потому, что тогда были эмуляторы CD-Rom которые всегда были именно SCSI-дисками. Так что либо пользователь сначала подключал носитель (вставлял CD-диск), а потом загружалась система и вводился пароль либо пользователь вводил пароль и тут-же всё лочилось. Пользователь таки подключал носитель и когда софтина его разглядит, тогда и перестанет лочить систему сразу после ввода пароля. Тупо? Не то слово! Но работало и я чему-то научился плюс защитился на отлично и диплом был не про стандартное «Система автоматизации ресторана\фитнес-клуба», а всётаки немного в сторону API и защиты информации (единственный диплом на эту тему за много лет как потом выяснилось).
Руководитель у меня увидел поделку сохранившуюся с 3 курса, обрадовался и сказал «О! А теперь вот к этому напиши текст и подготовь презентацию. И сделай что нибудь с интерфейсом, а то он не красивый».
Там вообще всё было выполнено в виде 2 EXE-файлов и 1 DB. Так что понятно, что это не есть защита тем более от админа. Просто будучи студентом 3 курса с минимумом знаний я написал софтину которая предусматривала какие-то очевидные мне тогда сценарии обхода. Прошло 11 лет. Некая фирма выпускает софтину которая продаётся за деньги и она не учитывает элементарные пути обхода. Воистину маркетинг творит чудеса.
P.S.
Ralari, если вдруг (ну мало ли?..) есть желание — напишите, я постараюсь найти исходники и пришлю. Готов спорить — с них будете смеяться дольше чем с любого анекдота :-)
Вот читаю статью и вспоминаю свой диплом (начало нулевых). На дельфях написал службу которая тихонько смотрела какие подключены разделы и спрашивала у них ID. Потом его преобразовывала в MD5 и сравнивала хеш с базой. Запускалось всё это счастье с правами системы, рестартовало «если что» и вообще маскировалось под svhost (или как там правильно?..). Отдельно был «конфигуратор» который умел добавлять к базе ключи если был подключен «мастер»-ключ (при подключенном можно было приостанавливать выполнение и конфигурить список ключей). При выдирании флэшки-ключа просто лочили систему. При установке тупо сносили ветку реестра (вернее копировали себекуда-то в базу, чтобы если что — вернуть) чтобы в safe-mode нельзя было загрузиться. Защитился на отлично. Шифрования в те времена не помню (тогда были NT4 и только Win2000\XP появлялись). После форматирования ID меняется и таким образом можно ключи хоть каждый час менять. Отключить устройства или определённые типы устройств на сколько помню -не проблема и для этого не надо каких-то драйверов или мозголомного кода. Всё вполне делается средствами API или ковырянием реестра. Так что покупать за много денег какую-то софтину (тем более на столько дырявую) по меньшей мере странно. Наверное у компании производящей данный продукт ну очень хорошие продажники и маркетолухи :-)
С учетом того, на сколько сейчас много WiFi точек и они друг другу откровенно мешают работать применил дома и на работе очень простой метод: все устройства подключаются по проводам кроме маленького списка мобильных устройств. МАСи устройств в белом листе, остальным — нельзя. Но главное — понижена мощность радиомодуля WiFi (благо микротики умеют) и гвоздями прибит 14 канал. Это решило для меня сразу несколько проблем
1. На улице нашу сеть не видно. Да и в соседнем офисе тоже не очень
2. Подключаются только те, кому это нужно или директор :-)
3. Моя точка никому не мешает и вообще теряется на фоне остальных у которых передатчики работают на полную.
ИМХО пока WiFi будет уступать проводам по скорости и стабильности и в добавок точки будут мешать друг-другу надо стараться всетаки класть провода.
Искренне Ваш Старовер :-)
Так помимо фреймов есть вариант отрендерить страницу полностью у себ яна сервере (прикинувшись клиентом) и отдать ее пользователю. Костыль конечно и и скорость будет не большая, но так это пока не стало массово востребовано. За пару-тройку месяцев ИМХО хороший разработчик сделает.
Хотя это уже из пушки по воробьям.
Есть JS-ные варианты сайт в сайт встроить. Да на крайняк думаю можно заморочиться и у себя же поднять VPN и честно блокировать по списку от роскома сайты, а магазины так и будут работать. Мы же не блокировку обходим, а прикидываемся для иностранных магазинов иностранными-же гражданами. Вроде тут никаких нарушений и все предельно прозрачно.
В контексте конкретной бизнес-модели описанной в статье:
Есть сайты магазинов которые никто не блокирует (на сколько мне известно) и которые сами определяя откуда зашел пользователь применяют некую логику ценообразования. Пользователям из России такой подход не удобен (цены для них поднимают). Пользователи из России хотят низких цен и потому ходят через американский VPN, чтобы выглядеть как американцы. Тут пока все понятно.
Что уважаемым господам написавшим статью мешает подтягивать страницы магазина на свой сайт через какой-нибудь iframe? Магазины изначально не заблокированы, никакого VPN вы не поднимаете. Все вполне законно и пользователи покупают по адекватным ценам то, что хотели.
Или я что-то таки упускаю или не понимаю?..
Говорят выборы скоро будут… Не знаю кто как, а я посмотрю перед походом на избирательный пункт кто менее всех интернет регулировать пытается и голосовать за него(их) буду.
А по поводу блокировок и списков и вот этого всего тут на хабре статья была про то, как ребята новый протокол сделали со встроенным шифрованием. Аккурат в начале ленты комментарий был про «повысится грамотность, найдут варианты обхода». Вот оно! Не успели еще ничего заблокировать, а варианты вернуть (пока еще не совсем) отнятое уже придуманы :-)
Да, видимо не понял сути реализации блокчейна. Каюсь. Собственно я и комментарий написал в надежде на пояснения. Спасибо, теперь стало понятнее. Тем не менее, думается мне, что решение описанных в статье проблем надо искать в том, чтобы как-то уйти от централизации которая появляется при использовании центров сертификации. Да и DNS в том виде как он есть сейчас тоже заменить бы. А то блокируют тут всякое по чем зря…
Как объяснял «на пальцах» один уважаемый (мною) человек суть сертификатов: «В какой-то момент ушлые парни решили, что надо сделать бизнес на том, что поручаться за надежность того или иного ресурса и брать с хозяина ресурса плату». А кто сказал, что этим поручителям изначально можно верить? Историю с WoSIgn все помнят?
В комментариях к статье несколько раз мелькало слово «блокчейн», но почему-то было сказано, что это медленно. ИМХО если развить тему, то можно сделать так, чтобы было быстро. Например просим инфу о домене по некоторым правилам у соседей. Правила типа «Спрашивать не более чем у N узлов И не менее M должны быть не в моей подсети (рандом)». Т.е. я могу удостовериться, что работаю с правильным узлом по защищенному соединению и поручились за это 3 пользовательских машины 2 из которых в соседнем кабинете, а 1 непойми где на планете. Иными словами я получил 3 подтверждения 2 из которых менее чем за 1ms, и 1 за 3-7ms
В таком случае «злоумышленнику» придется скомпрометировать всю мою подсеть и какое-то одно рандомное устройство из нескольких миллиардов.
Опять-же что касается скорости: скорость каналов связи растет, количество каналов тоже. Объективно сейчас нет проблем со скоростью доставки информации. Скорее теперь уже компьютеры «на местах» не успевают обрабатывать полученное т.к. не все ежегодно апгрейдятся.
Очень было интересно, что будет с моей машинкой на которой Zram настроен. А ничего! Ну притормозил малость (переключение между вкладками FF было медленнее чем обычно и скролл подтупливал), но в течение 1 минуты прогрузилась страница с сюрпризом и тормоза закончились. Никаких ошибок и прочего. 8 гигов памяти и обычный хард (не SSD). Тема интересная, сам как держатель небольшого хостинга на 1,5 сотни сайтов подумываю об активной защите ибо не все сайты реально обновить (я имею в виду обновление CMS) да и дырки в том, что товарищи программисты выкатывают тоже встречаются. Но пока ничего толкового не придумал. Буду очень признателен за советы :-)
Мои 5 копеек:
1. Nagios установлен на Raspbery Pi, а на любом рабочем месте закреплена вкладка с «Service status». Так-же прикручено информирование через SMS (тут-же на хабре статей по теме куча)
2. Периодически меряем скорость выполнения некоторых задач и сравниваем с эталоном. Задачи периодические, так что мы просто «за одно» знаем не начал ли тормозить наш сервер там, где не должен.
3. Периодически смотрим в error.log'и Nginx и Apache. Если размер >0, ищем что и где поломалось и устраняем. Как правило проблемы на стороне криво написанных PHP. Их тоже чиним. Хотим, чтоб размер error.log'ов был =0
4. Бэкапы, быкапы бэкапов и бэкапы бэкапов бэкапов.
4.1. Средствами самих CMS'ок + отдельным скриптом в отдельный каталог (чтоб быстрый доступ был к свежим бэкам) и все это по rsync валится в офис.на отдельное хранилище.
В итоге мы видим потенциальную проблему еще до того, как она стала реальной и принимаем меры. Либо меняем арендованный сервер, либо на выходные в ночь просим поддержку ДЦ поменять диски либо что-то где-то тюним под изменившийся характер нагрузки. Так что траблшутинг мы слава Ктулху оставили в прошлом уже много лет назад.
Аптайма всем побольше и седых волос поменьше.
Вы меня не так поняли. Я ни в коем случае никого не оправдываю. Просто в моем мировосприятии в последние пару лет формируется картинка из следующих фактов:
1. В больших объемах выпускаются фильмы (и очень хорошо рекламируются) в которых показан бред про космонавтику, отмороженность и мерзотность Русских в различных ситуациях (сволочи выиграли ВОВ, уроды встречают первых инопланетян, придурки выживают в постапокалипсис);
2. На одном крупном видеохостинге Русские «блогеры» публикуют «научные» факты свидетельствующие о том, что в космос никто и никогда не летал, а все, что мы видели по ТВ или слышали по радио — постановка для отмывания бабла на космической программе в космических-же масштабах;
3. Стали появляться «доказательства» того, что земля плоская
4. Посмотрел статистику и понял, что сейчас нормальной математики, физики, химии, информатики и литературы в школах становится меньше. Хочешь, чтобы твой ребенок получил не меньше знаний и подготовки чем ты? Нанимай репититора. Иначе будет твое чадо отлично разбираться в тонкостях церковных служб и знать, как почти правильно посчитать сдачу в магазине.
Мужики (и дамы, если читают), мне реально страшно… Что делать то?
P.S.
Есть идея для Е. Баженова:
Пусть снимает свои обзоры так-же как делает это сейчас, потом на краудфандинге собирает деньги и выпускает обзоры в кинотеатрах (а потом и на ютубе). Честное слово, я бы брал билеты на его обзоры даже если бы они стоили в 2 раза дороже чем билет на фильм который он обозревает! Вот реально умеет человек мысль донести и эмоции передать!
— Алло! У нас сайт уже неделю не работает из-за вас!
— Минуту… Вчера работал — сами проверяли и с ним работали.
И в конце выясняется, что клиент зашёл, ничего не делал (а чего заходил?..) и оно само. Но все уже успели свою порцию пинков от руководства получить. Студия маленькая, пинки долетают быстро :-(
Сделал так: SSH на нестандартном порту + fail2ban. Факты: после смены порта автоматические долбилки отвалились. После установки fail2ban логи стали заметно чище. Профит в том, что теперь анализ логов стал проще. А когда тебе по нескольку раз в день нужно получать ответ на вопрос «кто откуда и зачем заходил?» профит считаю жирным лично для себя.
Астериски в других компаниях\домашний медиа-сервер — порт перенесён, fail2ban, на роутере правила ограничивающие доступ только с определённых IP. Ну глупости это — пытаться с телефона в поездке что-то там поадминить (интернет не стабильный, экран маленький, входящий звонок невовремя). На крайний случай должен быть человек в офисе\дома который ответит на звонок и всё сделает точно как сказано. А если такого человека нет, то в целом не так всё важно, чтобы не потерпеть несколько часов пока вы доберётесь до удобного рабочего места, подключитесь к офисной сети и всё сделаете как белый человек с большим монитором, клавиатурой и чашкой кофе.
И да, пароль на ключ — обязателен т.к. ваш ключ могут просто украсть.
1. С чем борются при помощи планировщика?
2. В какой программе есть такая кнопка и при чём тут она?
3. Моя работа? На японском рынке? Им то нафига поделка студента и как её можно применить если не принимать во внимание примеры работы с API. Хотя это было ценно лет 12 назад, когда был Dial-Up и надо было ещё суметь найти в печатном виде толковую книгу по тогда ещё Delphi 7. А сейчас уже и интернет скоростной и Delphi других версий (а её вообще сейчас кто-то использует?..) и винда как я слышал уже 10 с кучей встроенного функционала для обеспечения безопасности…
1. Ещё какой! Но на 3 курсе экономического ВУЗа к сожалению подготовки маловато по безопасности, API и прочему. Так что прошу простить.
2. Ещё раз: если мы не видим раздела -система заблокирована.Т.е. мы не ждём когда нам дадут раздел, чтобы его проверить. Мы просто спрашиваем «есть раздел с ID=XXX? Нету? Блокировать!» и всё это в течение 1 секунды. При этом когда система заблокирована устройства всёравно подцепляются и через какое-то время система будет знать про появившийся нужный раздел, моя софтина соответственно тоже и только после этого блокироваться система перестанет.
А как можно инициировать операцию записи если у Вас есть только поля для ввода логина и пароля?.. Autorun? Так вроде его нормальные люди отключают…
Louie:
Я ранее писал, что в софтине у меня была кнопка которая выпиливала возможность загрузки в безопасный режим. А что будет если грохнуть sam? Пока флешку не воткнёш, система будет «нажимать» win+L в независимости от того, под каким пользователем Вы хотите зайти. Винт дёрнет — так на это время надо и чтоб свидетелей небыло.
Согласен (и никогда не спорил), что моя поделка не есть какой-то инструмент обеспечения безопасности который стоит рассматривать всерьёз. Я лишь написал, что будучи студентом 3 курса в своё время проявил больше внимания к мелочам способным скомпромитировать мою разработку, чем коммерческая компания которая себе на хлеб зарабатывает разработкой софта для обеспечения безопасности. И этот факт меня очень удивляет и расстраивает.
Могу ошибаться в терминологии, но я об этом. Эффект ровно тот-же, что при нажатии на win+L Т.е. ничего не закрывается, вставь «ключ», введи свой пароль и продолжай работу
2. А мне зачем уведомления о монтировании?.. Говорю-же задача решалась тупо: есть раздел с нужным ID — ничего не делать. Нету — win+l Т.е. злоумышленнику нужно знать пароль для входа в систему и если он его правильно вводит, то у него есть ~1 секунда, чтобы успеть куда-то зайти и что-то скопировать. С учётом того, что винда неторопливо будет на каком нибудь 3-4 пне отрисовывать рабочий стол секунды 2-3 его без подключенного носителя вышибет раньше чем он в нужную сторону мышью дёрнет.
3. Полностью согласен. Жесть какая-то
2. ШТА?!!! 20 лет? Т.е. я не ослеп, Вы не опечатались и я правильно вижу — двадцать лет?! Интересно, им там программисты не нужны?.. Я бы может за хорошую зарплату обратно бы на виндах работать начал. Наверное моего бы уровня знаний\практики им бы хватило…
2. Трудное было время… Дельфи-7 — это было всё, что нам доступно. Интернет дома — даилап, в универе по записи и ничего нельзя качать в больших объемах. Было 2 книжки. «Полное руководство по Delphi7» (болльшой такой томик) и «Что умеют Хакеры — Delphi». Я тогда помню привык к интернету без картинок. Да и сейчас предпочитаю ресурсы с минимумом графики в оформлении. Коллег в WEB-студии иногда пугаю Линуксовым Lynx.
3. Почему? Я просто опрашивал все разделы доступные системе и если не находил ни одного у которого ID-->MD5=MD5 из базы, делал Lock. Содержимое раздела меня не волновало. Потом уже добавил проверку не SCSI-ли этот раздел потому, что тогда были эмуляторы CD-Rom которые всегда были именно SCSI-дисками. Так что либо пользователь сначала подключал носитель (вставлял CD-диск), а потом загружалась система и вводился пароль либо пользователь вводил пароль и тут-же всё лочилось. Пользователь таки подключал носитель и когда софтина его разглядит, тогда и перестанет лочить систему сразу после ввода пароля. Тупо? Не то слово! Но работало и я чему-то научился плюс защитился на отлично и диплом был не про стандартное «Система автоматизации ресторана\фитнес-клуба», а всётаки немного в сторону API и защиты информации (единственный диплом на эту тему за много лет как потом выяснилось).
Руководитель у меня увидел поделку сохранившуюся с 3 курса, обрадовался и сказал «О! А теперь вот к этому напиши текст и подготовь презентацию. И сделай что нибудь с интерфейсом, а то он не красивый».
Там вообще всё было выполнено в виде 2 EXE-файлов и 1 DB. Так что понятно, что это не есть защита тем более от админа. Просто будучи студентом 3 курса с минимумом знаний я написал софтину которая предусматривала какие-то очевидные мне тогда сценарии обхода. Прошло 11 лет. Некая фирма выпускает софтину которая продаётся за деньги и она не учитывает элементарные пути обхода. Воистину маркетинг творит чудеса.
P.S.
Ralari, если вдруг (ну мало ли?..) есть желание — напишите, я постараюсь найти исходники и пришлю. Готов спорить — с них будете смеяться дольше чем с любого анекдота :-)
1. На улице нашу сеть не видно. Да и в соседнем офисе тоже не очень
2. Подключаются только те, кому это нужно или директор :-)
3. Моя точка никому не мешает и вообще теряется на фоне остальных у которых передатчики работают на полную.
ИМХО пока WiFi будет уступать проводам по скорости и стабильности и в добавок точки будут мешать друг-другу надо стараться всетаки класть провода.
Искренне Ваш Старовер :-)
Хотя это уже из пушки по воробьям.
Есть JS-ные варианты сайт в сайт встроить. Да на крайняк думаю можно заморочиться и у себя же поднять VPN и честно блокировать по списку от роскома сайты, а магазины так и будут работать. Мы же не блокировку обходим, а прикидываемся для иностранных магазинов иностранными-же гражданами. Вроде тут никаких нарушений и все предельно прозрачно.
Есть сайты магазинов которые никто не блокирует (на сколько мне известно) и которые сами определяя откуда зашел пользователь применяют некую логику ценообразования. Пользователям из России такой подход не удобен (цены для них поднимают). Пользователи из России хотят низких цен и потому ходят через американский VPN, чтобы выглядеть как американцы. Тут пока все понятно.
Что уважаемым господам написавшим статью мешает подтягивать страницы магазина на свой сайт через какой-нибудь iframe? Магазины изначально не заблокированы, никакого VPN вы не поднимаете. Все вполне законно и пользователи покупают по адекватным ценам то, что хотели.
Или я что-то таки упускаю или не понимаю?..
А по поводу блокировок и списков и вот этого всего тут на хабре статья была про то, как ребята новый протокол сделали со встроенным шифрованием. Аккурат в начале ленты комментарий был про «повысится грамотность, найдут варианты обхода». Вот оно! Не успели еще ничего заблокировать, а варианты вернуть (пока еще не совсем) отнятое уже придуманы :-)
Как объяснял «на пальцах» один уважаемый (мною) человек суть сертификатов: «В какой-то момент ушлые парни решили, что надо сделать бизнес на том, что поручаться за надежность того или иного ресурса и брать с хозяина ресурса плату». А кто сказал, что этим поручителям изначально можно верить? Историю с WoSIgn все помнят?
В таком случае «злоумышленнику» придется скомпрометировать всю мою подсеть и какое-то одно рандомное устройство из нескольких миллиардов.
Опять-же что касается скорости: скорость каналов связи растет, количество каналов тоже. Объективно сейчас нет проблем со скоростью доставки информации. Скорее теперь уже компьютеры «на местах» не успевают обрабатывать полученное т.к. не все ежегодно апгрейдятся.
1. Nagios установлен на Raspbery Pi, а на любом рабочем месте закреплена вкладка с «Service status». Так-же прикручено информирование через SMS (тут-же на хабре статей по теме куча)
2. Периодически меряем скорость выполнения некоторых задач и сравниваем с эталоном. Задачи периодические, так что мы просто «за одно» знаем не начал ли тормозить наш сервер там, где не должен.
3. Периодически смотрим в error.log'и Nginx и Apache. Если размер >0, ищем что и где поломалось и устраняем. Как правило проблемы на стороне криво написанных PHP. Их тоже чиним. Хотим, чтоб размер error.log'ов был =0
4. Бэкапы, быкапы бэкапов и бэкапы бэкапов бэкапов.
4.1. Средствами самих CMS'ок + отдельным скриптом в отдельный каталог (чтоб быстрый доступ был к свежим бэкам) и все это по rsync валится в офис.на отдельное хранилище.
В итоге мы видим потенциальную проблему еще до того, как она стала реальной и принимаем меры. Либо меняем арендованный сервер, либо на выходные в ночь просим поддержку ДЦ поменять диски либо что-то где-то тюним под изменившийся характер нагрузки. Так что траблшутинг мы слава Ктулху оставили в прошлом уже много лет назад.
Аптайма всем побольше и седых волос поменьше.
1. В больших объемах выпускаются фильмы (и очень хорошо рекламируются) в которых показан бред про космонавтику, отмороженность и мерзотность Русских в различных ситуациях (сволочи выиграли ВОВ, уроды встречают первых инопланетян, придурки выживают в постапокалипсис);
2. На одном крупном видеохостинге Русские «блогеры» публикуют «научные» факты свидетельствующие о том, что в космос никто и никогда не летал, а все, что мы видели по ТВ или слышали по радио — постановка для отмывания бабла на космической программе в космических-же масштабах;
3. Стали появляться «доказательства» того, что земля плоская
4. Посмотрел статистику и понял, что сейчас нормальной математики, физики, химии, информатики и литературы в школах становится меньше. Хочешь, чтобы твой ребенок получил не меньше знаний и подготовки чем ты? Нанимай репититора. Иначе будет твое чадо отлично разбираться в тонкостях церковных служб и знать, как почти правильно посчитать сдачу в магазине.
Мужики (и дамы, если читают), мне реально страшно… Что делать то?
P.S.
Есть идея для Е. Баженова:
Пусть снимает свои обзоры так-же как делает это сейчас, потом на краудфандинге собирает деньги и выпускает обзоры в кинотеатрах (а потом и на ютубе). Честное слово, я бы брал билеты на его обзоры даже если бы они стоили в 2 раза дороже чем билет на фильм который он обозревает! Вот реально умеет человек мысль донести и эмоции передать!