Спасибо за ссылку.
Почитал — действительно уязвимость была критическая:
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction.
То есть злоумышленнику нужно было знать только адрес сервера, не нужен был ни пользователь, ни пароль.
Уязвимости — они везде. И в почте, и в браузере, и в мессенжерах. Но мы продолжаем этим всем пользоваться.
Вопрос в том, какой риск позволителен в каждом случае и можно-ли что-то сделать, чтобы уменьшить этот риск.
Статья написано рекрутером. Стоит помнить, что больше всего контрофферы не нравятся именно рекрутерам, и написание такой статьи без упоминания этого — очевидный конфликт интересов.
Обычно, рекрутерам платят не за работу, а за результат (за устроенного человека). И вот рекрутер искал, интервировал, организовывал… И тут в конце — кандитат получает контроффер. Что думает в этот момент рекрутер?:
Я столько провозился с этим кандидатом, а он теперь включает заднюю! Если кандидат примет контроффер, то мне не заплатят!
И даже если контроффер объективно лучше для кандидата, — рекрутер будет повторять мантру: контроффер — это плохо. Конечно плохо — для рекрутера.
Какой-то жиденький пост, на статью не тянет…
На вступление только.
Из личного опыта: Как система для хранения и поиска по логам, ELK — хорошее решение.
Но вот сколько я видел дэшбордов — народ изголяется, но толку от них мало. Вот у вас в статье 2 примера: симпатичные картинки, но польза от таких дэшбордов близка к нулю.
Не совсем по теме статьи, но каждый раз когда я читаю
В нашем Банке чат-боты уже берут на себя часть работы операторов
То сразу хочется не иметь с таким банком / сервисом / фирмой…
Те, кто пилят такие «фичи» может и думают, что это типа круто, но каждый раз когда приходится иметь дело с «умным ботом», то уже через 20 секунд хочется сделать «что-то нехорошее» такому умнику.
Ну конечно, именно для этого и нанимают аутсорсеров:
— чтобы самим устанавливать ПО, разработанное независимым производителем.
— чтобы самим собирать с принтеров счётчики по SNMP.
— и т.д.
А так да — аутсорсеры снимут головную боль и все заботы связанные с печатью
поддерживает несколько типов аутентификации: СМС, с помощью ваучеров и через Facebook. С одной стороны, аутентификация по звонку является обязательной процедурой по законодательству
Я не из России.
Означает ли вышенаписанное требование, что для того чтобы пользоваться бесплатным WiFi человеку нужно чтобы у него уже была сотовая связь для аутентификации?
То есть получается так:
— Есть сотовая связь? Значит будет бесплатный WiFi
— Нет сотовой связи? Значит не будет и бесплатного WiFi
Если у меня уже есть сотовая связь, то зачем мне WiFi?
люди, которые готовы предоставить абсолютно бесплатно свои дисковые и сетевые мощности, чтобы вы могли скачать какой-то конкретный файл. Что же будет, если на эту технологию наложить удобную монетизацию через токены GRAM
www.cisecurity.org/advisory/a-vulnerability-in-google-chrome-could-allow-for-arbitrary-code-execution_2019-086
В таком случае это не очень хорошая блокировка: злоумышленник таким образом блокирует доступ на сервер реальному пользователю.
Почитал — действительно уязвимость была критическая:
То есть злоумышленнику нужно было знать только адрес сервера, не нужен был ни пользователь, ни пароль.
А вот примеры того, как из браузера код получал админские привилегии — есть.
Вопрос в том, какой риск позволителен в каждом случае и можно-ли что-то сделать, чтобы уменьшить этот риск.
Обычно, рекрутерам платят не за работу, а за результат (за устроенного человека). И вот рекрутер искал, интервировал, организовывал… И тут в конце — кандитат получает контроффер. Что думает в этот момент рекрутер?:
Я столько провозился с этим кандидатом, а он теперь включает заднюю! Если кандидат примет контроффер, то мне не заплатят!
И даже если контроффер объективно лучше для кандидата, — рекрутер будет повторять мантру: контроффер — это плохо. Конечно плохо — для рекрутера.
Тут практически всё об администрировании…
На вступление только.
Из личного опыта: Как система для хранения и поиска по логам, ELK — хорошее решение.
Но вот сколько я видел дэшбордов — народ изголяется, но толку от них мало. Вот у вас в статье 2 примера: симпатичные картинки, но польза от таких дэшбордов близка к нулю.
То сразу хочется не иметь с таким банком / сервисом / фирмой…
Те, кто пилят такие «фичи» может и думают, что это типа круто, но каждый раз когда приходится иметь дело с «умным ботом», то уже через 20 секунд хочется сделать «что-то нехорошее» такому умнику.
— чтобы самим устанавливать ПО, разработанное независимым производителем.
— чтобы самим собирать с принтеров счётчики по SNMP.
— и т.д.
А так да — аутсорсеры снимут головную боль и все заботы связанные с печатью
Кстати, да — редактор у них действительно неплохой.
Вы только про «один логин для операторов» не светитесь, потому что это вроде как нарушение лицензии
От обычной wiki-системы отличается тем, что
— есть группы
— у каждой страницы есть комментарии
И тем не менее уже в нескольких компаниях её ставят и платят за неё деньги. За что именно ценят Confluence?
У вас в статье про self-hosted очень мало сказано
Я не из России.
Означает ли вышенаписанное требование, что для того чтобы пользоваться бесплатным WiFi человеку нужно чтобы у него уже была сотовая связь для аутентификации?
То есть получается так:
— Есть сотовая связь? Значит будет бесплатный WiFi
— Нет сотовой связи? Значит не будет и бесплатного WiFi
Если у меня уже есть сотовая связь, то зачем мне WiFi?
Поставили себе этого бота.
А он — матерится… o_o
Я — новичок, с KVM дел никогда не имел. Есть опыт только с Hyper-V или ESXi.
Будет StorJ