Pull to refresh
1
Karma
0
Rating

Информационная безопасность и глупость: необычные примеры

Мм, мне казалось это очевидным. Давайте поясню. Чем больше у вас информации об объекте атаки, тем проще её провести. Например можно повысить уровень доверия для мошеннического звонка - "Алло, здравствуйте Иван Иванович, на вашем счёте столько-то денег, а вы знаете ....".
"Иван Иванович, мы взломали ваш телефон и слили все ваши фотки, а еще записали с камеры телефона разные интересные видео. Чтобы вы не сомневались, баланс вашего телефона 525р. Если вы не переведете нам биткоинов <инструкция>, мы всё это разошлем в ваши контакты и соц.сети".

Можно повысить аккуратность всяких зловредов или зло-подписок, чтобы оставляли пару копеек на счёте, и пользователь замечал, что что-то пошло не так, не сразу после снятия денег, а в конце расчетного периода.

Ну и мало ли что еще придумают, чем больше приватной информации известно, тем больше вариаций можно придумать.

Учет обратной совместимости для самых маленьких

Всему тексту не хватает одной маленькой, но важной детали - описания постановки задачи. Знаете, как учат школьников. Дано, требуется найти, решение. Без этой детали, возникает желание докопаться до каждого пункта предложенного решения.

Информационная безопасность и глупость: необычные примеры

Так же плохи, зачастую никто же не беспокоится о безопасном хранении ответов? Это же не пароль?

Тут просто нужно понимать, что есть проблема "забывания паролей". Нужно как-то уметь их сбрасывать. Для этого нужно как-то валидировать инициатора сброса, когда у нас нет никаких персональных данных, мы должны их эмулировать. Вот тут и были придуманы вопросы. И когда вы используете их правильно, а именно: давая пользователю ввести свой вариант вопроса, храня ответы так же как пароли, безопасно и в виде хеша; ограничивая возможность перебора, N попыток и велком в саппорт; а самое главное - используя этот способ, только когда у вас нет никаких других вариантов установить подлинность владельца аккаунта. Ну или, если это просто еще один "заборчик" для доп.защиты в многоуровневой проверке (например как "кодовое слово" в банках).

Тут нужно понимать, что проблема не столько в методах, сколько в том где и как их реализуют и используют.

Информационная безопасность и глупость: необычные примеры

Я же ссылку оставил, можете сами попробовать. Тут же не "взлом" какой-то формы, а её штатное поведение, как в примере с аутентификацией по адресу электронной почты кто-то подумал, давайте пользователю сообщать, что у него денег на счёте недостаточно для перевода, чтобы он не получал отказ в транзакции после ввода кода из смс. Удобно же? Ну а то, что сервис не требует аутентификации и номер можно вбить любой, мелочи же? =) Да и кому он нужен, ваш баланс, да? =)

Информационная безопасность и глупость: необычные примеры

Уже давно обнаружил и сообщил мегафону о небольшом их сервисе, который позволяет легко проверить баланс любого абонента мегафона по номеру телефона:

https://money.megafon.ru/money-transfers/mobile-to-mobile

Откуда - вводите номер абонента мегафона, Куда - любой другой номер, а дальше в сумме подбираете циферки, пока не перестанет писать "недостаточно средств на счёте".

Мегафон на моё сообщение пожал плечами и забил.

Как избавиться от домашки с помощью кода… и спалиться

И вы тоже не поняли, чуть выше пояснил, надеюсь понятнее.

Как избавиться от домашки с помощью кода… и спалиться

Ну вот, видите, оказывается не только школьник не понимает. Задача школьника - получение знаний, "инструмент" - это не тот скриптик для обхода тестов с дз, а сама платформа с дз, которая дает возможность школьнику получить знания и ему же проверить, насколько успешно он их усвоил (дз). И никому, кроме самого школьника это не нужно. Ровно поэтому тут не нужна какая-то защита для обхода проверки дз, это просто инструмент, который помогает школьнику, а не средство борьбы с ним.

Всё что реально надо было сделать - это объяснить ему эти простые факты и мотивировать его на получение знаний. Да, это может быть непростой задачей, особенно, если ей начать заниматься не с начальных этапов обучения, но и с подростком можно и нужно работать. А эффективность учёбы "из под палки", крайне низкая.

А то, о чём вы пишете "безопасность", "реклама", "фокус на возможностях" - это всё не про то, и не про там. Банковскому приложению нужна защита, системе тестирования школьников (все эти гос.экзамены и пр.) нужна защита, потому что это как раз те точки, где тесты нужны не школьнику, а системе образования (государству, бизнесу). А инструментам обучения не нужна защита от школьника, как скальпелю не нужно быть безопасным - ему нужно просто быть удобным инструментом для хирурга.

И я вполне понимаю школьника, он ребёнок, его "заставляют". Но не понимаю вас.

Как избавиться от домашки с помощью кода… и спалиться

Проблема в том, что школьник так и не понял в чём у него проблема и очень печально, что ему это так и не объяснили. Эксплойты и т.п. - это все забавно, но ломать собственный же инструмент всё же не самая лучшая идея. А создавать "антивандальный" инструмент - контрпродуктивно.

Бесплатные сетевые IP-сканеры

Мы ознакомились с нумерованным списком ряда программ, отсортированных как придется и прочитали их описание как попало. Почему мы это сделали - неизвестно. Зачем - непонятно. Зато есть статья. Или это доклад семиклассника по информатике?

Тёплые мягкие навыки

Ну, это общая теория, понятно, что в частных случаях, особенно если имеет место быть маленькая компания, чаще будут вылезать разные человеческие тараканы. Но для принятия решение по сути не так важно, что и по какой причине случается, сколько способность противостоять психологическому давлению и адекватно оценивать предложение. Потому что собеседование - это такой далекий аналог "конфетно-букетного" периода, и если вы чувствуете, что УЖЕ что-то идёт не так, то самое время отказываться от такого предложения.

Да, идеально было бы каждому иметь психолого, который возвращал бы вас в объективную реальность, но увы, обратится к психологу для многих психологически сложно (в нашем обществе это не принято), да и материальный аспект для многих играет не последнюю роль. Поэтому учитесь справляться. Это можно делать и самим, ну или с поддержкой хороших друзей и хороших близких людей.

Тёплые мягкие навыки

Тут не очень простая ситуация, вообще уметь связно и точно выражать, а еще лучше, доносить свои мысли до окружающих - весьма неплохое умение, которым неплохо бы обзавестись. С другой стороны всё это форсирование "софт", "аджайл" и прочих модных слов - это попытка бизнеса сэкономить. Потому что у бизнеса свои задачи и цели, а у инженера - свои. У инженера - созидание, у бизнеса - прибыль. Но при этом в текущих реалиях одно с другим тесно взаимосвязано, для инженерных задач нужны деньги, и это то, что обеспечивает бизнес.

И тут очень тонкий момент в том, что хотя деньги сейчас и правят миром, но по сути своей - вторичны. Когда-то, когда человек понял, что не может делать всё сам и пришла идея разделения труда, их придумали как инструмент для оценки, сравнения и обмена совершенной работой.

Это, как сейчас бы назвали "proof of work", подтверждения сделанного. Но увы, деньги не крипта, а сама оценка работы дело непростое и люди быстро поняли, что не обязательно работать, достаточно тем или иным способом получить этот эквивалент, ну или работать, но как-то завысить оценку проделанной работы. И собственно именно этим и занимается бизнес.

Прошу прощения за такие лекции, и скорее всего вы это всё и так понимаете, но на всякий случай вкратце напоминаю, чтобы была понятна моя подводка.

Бизнес ориентирован на прибыль, создания чего-то для него - просто инструмент, а вот вы для себя решите, на что ориентированы вы и где для вас эта черта и этот компромисс между созиданием и деньгами. Это ваш договор с бизнесом, и бизнес, как и вы, хочет лучшие для себя условия. И психологическое давление, в том числе через различные статьи, всякие корп.культуры - это инструмент, позволяющий получить бизнесу лучшие условия. Осознайте это и поймите, что ваша работа сейчас крайне востребована, и карты на вашей стороне и это не значит, что вы можете творить что хотите, но можете найти разумный для себя компромисс.

И тут мы приходим к тому, для чего вам нужны ваши софт-скиллы =) Вы сумеете противостоять давлению на вас, и через те же средства коммуникации и умения выражать свои мысли, вы и победите работодателя, который требует от вас софт-скиллы =) Ну и кто кому яму роет, а? =)

Тёплые мягкие навыки

Я бы сказал так, у грамотного специалиста сейчас нет необходимости "воспитывать" нанимателя. А свои ошибки наниматель поймёт лучше, когда к нему перестанут обращаться специалисты и останутся одни шарлатаны с 2-ух недельных курсов. И вот тогда уже перед нанимателем возникнет вопрос, что же ему нужно сделать, чтобы специалист пришел к нему на вакансию и возможно в этот момент ему эта статья и поможет =)

А для вас это уже прошлое - вы приняли верное решение, не пойдя на не устраивающие вас условия. Сделали хорошее дело, написав статью и объяснив свою позицию. Пора про это забыть и ехать дальше.

Да, а опрос кривой, я не понял, что же именно вы хотели спросить, а из текста следует слишком много вариантов, поэтому воздержался.

Дарк мода: тёмный режим не лучше для зрения, но может быть читабельным

Опять тёплое с мягким путают. Наговорю кучу банальных и очевидных вещей, но судя по очередной статье, они до сих пор не укладываются в некоторых головах.

Ни белая, ни тёмная тема не является панацеей! Каждая нужна в зависимости от конкретных обстоятельство использования. Как уже многие заметили, текущие экраны по сути являются лампами причем с достаточно жёстким светом. И это хорошо работает если уровень освещенности вокруг примерно такой же или выше. В такой ситуации тёмная тема скорее всего будет неуместна, не только чтение, но и считывание элементов будет затруднено, потому что зрачок уже настроен на яркое освещение (сужен) и улавливает минимум лучей. Но что происходит, если уровень освещения вокруг падает? Зрение подстраивается под превалирующий фактор и если вы не уткнулись лицом в монитор, чтобы не видеть действительность, то зрачок расширится, чтобы ловить больше лучей. И вот тут яркий "прожектор" монитора даст о себе знать. Увы, если вы не фанаты хайлюксов (высокого уровня освещенности) и не устроили у себя хирургический кабинет на дому, то жалкие 40-60-100 ватт лампочки даже близко не дадут той же интенсивности света, что даёт текущий экран, подсвеченный мощными светодиодами. И вот тут тёмная тема спасает, снижая световую нагрузку и уменьшая контраст между окружающей действительностью и экраном.

Ну а дальше банальность, есть офисные работники, которые действуют только при ярком свете дня. А есть "теневые", которые часто сидят в полутьме и по ночам. И конечно же темы у них должны быть разными.

Как стать тестировщиком ПО, ответы на часто задаваемые вопросы

Все большие задачи решаются делением на мелкие с последующей приоритезацией. Добавление тестирования в уже существующий монолит можно начать с анализа текущих обращение (сначала самых острых, и по убывающей) и покрытия тестами кейсов по ним (как уже исправленным, так и неисправленным). Это создаст основу, которая даст моментальный положительный эффект. Параллельно заниматься тестированием новых доработок (изменением функционала). Для них будут понятны требования, ну и постепенно расширять покрытие на весь функционал. Подобный подход даст быстрый результат, уберёт самый неприятный эффект (повторные ошибки в уже исправленных местах) и позволит создать/актуализировать документацию для наиболее приоритетного функционала.

Беспилотники — уже часть нашей жизни. Вы это заметили? Часть 2

Проще придумать приемные точки для доставки в домах, раз уж доставка так важна. Причем тут есть варианты как на этапе проектировки домов, так и дооборудования существующих проектов. Уже давно всем стало понятно, что самый лучший вариант доставки - это когда не требуется коммуникации с доставщиком. То есть груз приехал максимально близко к дому, а ты забрал его тогда, когда это удобно тебе.

Про дроны вообще на мой взгляд мертвая тема, в сколь угодно больших количествах они создадут больше проблем, чем решат их. Да и энергетически это ОЧЕНЬ не выгодно, вечная война с гравитацией. Так что их максимум - узконишевые решения.

Заградотряд

Вы путаете настоящих мужчин, с теми, кто пытаются ими выглядеть, чтобы подняться по социальной лестнице. То о чем вы говорите - это люди которые просто следуют тренду, и хочу заметить, тренд сейчас совсем другой. "Не выпил - не мужик" - это не от настоящих мужчин, у настоящих сначала дело, а потом, может быть, скупое, но ёмкое слово. Они делают то что считают правильным для себя и для мира. Не путайте их с быдлом или гопниками, настоящий мужик - это не право через силу. Настоящие мужчина - это ум, любознательность, умелость, твёрдость и надёжность.

Заградотряд

Настоящие мужчина должен, только по отношению к тем, кого он защищает. И под эту защиту редко попадают другие мужчины, потому что если они настоящие, то они и сами должны, а если не настоящие, то зачем вообще не свете живут? Так что не надо.

Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»

Я достаточно давно менял симку, но тогда понадобился аж физический визит в офис банка, чтобы разлочить телефонные функции

Простая система, с помощью которой я остаюсь на связи с сотнями людей

У интроверта обычно сложности не с запоминанием когда и с кем связаться, а в связаться. А тут решается проблема экстраверта с плохой памятью.

Да кому я нужен! Ещё раз доходчиво про защиту персональных данных

За всю мою практику, ни один из простых (но не словарных) паролей, не подобрали. Зато сколько сложных паролей было скомпрометировано утечками и взломами точек использования.

Статья выглядит откровенно дилетантской с набором банальностей и минимум полезностей. Мойте руки перед едой.

Information

Rating
Does not participate
Registered
Activity