Те-же meltdown и spectre хайповали на весь интернет, а в итоге никто ничего существенного с этих уязвимостей не поимел.
Зато за их устранение мы заплатили снижением производительности. Собственно, та же история как со страхованием - страховой случай может в жизни не произойти, а платить необходимо стабильно по графику (особенно весело, когда страховка является обязательной). Здесь так же, как и в случае со spectre/meltdown, описано так, будто вашим компьютером уже управляют, даже если он не подключен к сети. В то же время (что очевидно не всем) необходимо не только попотеть, чтобы произвести атаку (вход) и получить целевые данные (а не только догадку о них), но и каким-то образом отослать их обратно (выход), причем незаметно (полагаю, сложность атаки делает весь цикл не мгновенным, в отличие от 0day 0click).
П.С. Поэтому меня больше в этой истории волнует то, чем придется заплатить за "устранение" этих уязвимостей. И я больше переживаю из-за более "реальных" уязвимостей, потому как, нет-нет, да какой-нибудь дятел уставший кодер возьми да влепи самый банальный code injection (да-да, ни возраст, ни известность этих уязвимостей никак не сокращает их появление; не говоря о матерых кодописцах {упоминание про старуху и порнуху проруху}, по тем же граблям стабильно гуляют новички, продолжая писать sql_query("select "+GET["stolbec"]+",* from users"); что очень грустно)
Причем из-за того, что так называемый GIF-файл на самом деле им не являлся (был невалидным), Telegram отображал его как черный прямоугольник, что хорошо видно на видео выше, которое было широко распространено в СМИ. Из-за этого утверждение BleepingComputer про то, что хакеры якобы могли сделать файл со встроенной миниатюрой тоже довольно сомнительно.
Из-за того, что gif является контейнером, то возможно сделать файл, который будет и валидной картинкой, и, например, исполняемым файлом одновременно. И то, что отображался прямоугольник, означает, что не очень заморачивались, и только.
Но вот сама возможность исполнять "картинку" вместо того, чтобы просто отобразить (или не отобразить) выглядит как уязвимость именно в компоненте отображения. И блеклист расширений файлов - скорее костыль, чем правильное решение.
"В сложное время живём", что "никому нельзя доверять, порой даже себе". На этом вся ИБ построена, и даже код без тестов полон багов, а уж если что-то может быть слито/украдено/испорчено - только вопрос времени, когда, но будет. Поэтому постоянно проверяем и оцениваем риски.
если вам денег из России не платят то и вопросов к вам нет - вы тупо в этом случае просто не можете особо ничего предложить такого что сейчас могло бы заинтересовать Россию как государство в плане усиления своей власти.
...но даже если Вы денег не получаете, то подоить Вас всё равно можно, и опять же сделать из Вас внешнего врага. То есть, Вы страшный, но пусть народ смотрит, как герои в креслах браво нейтрализуют угрозу. Так что дело не только в деньгах, но и "повесточке", точнее, промывке мозгов.
Да, и касается это не только хостинга, а в целом: если у тебя есть сайт, и на нём зарегистрировался только один россиянин (даже если из всех данных только емайл и даже если только для доступа, ничего при этом не продаётся и не покупается), то всё, ты "ведёшь деятельность на территории РФ", и необходимо открывать представительство, размещать датасет с данными (локализовать), ставить за свой счёт дорогое оборудование для слежки, хранить подробные логи 3 года, мониторить что постят пользователи и за сутки удалять то, что власти могут квалифицировать как запрещённую информацию: о впн, о чиновниках, о лгбт, о событиях в Украине ("дискредитацию" быстро припишут) и т.д.
И тут, во-первых, надо и уследить и угадать, понравится что-то или нет (а также можете не понравиться лично ты), и если заявили, что информация запрещённая, то у тебя нет возможности заявить, что она не такая. Ну т.е. придется сначала удалить, а уж потом судиться, и в большинстве случаев суды не станут заморачиваться (мол, да, чёрный квадрат на белом фоне это кровавый нацизм), ну а уж если повезло решить в свою пользу, то можно будет эту запись восстановить.
И, как понимаете, это дело небыстрое, а игра дорогая и сложная, и повторяться может каждый день (один пост защитили, а пока защищали, нашлось ещё 1000). Так что, проще превентивно не пускать к себе российские ip, ну либо просто забить и пусть себе блокируют, а вести деятельность где угодно кроме этой страны.
Печально, конечно, но нет у нас Всемирной Паутины больше, всё больше веб начинает походить на интранет-сети, всё более слабо связанные между собой.
Российская недоигровая индустрия. И дело не в том, что Россия (и без того принято ругать абсолютно всё, что в стране производится - не собираюсь повторять много раз сказанное), а в том, что мотивация берется не из интереса (чтобы интересно было и делать и играть), а из заказа "сверху", мол, сделайте патриотичную игру на политически-значимую сегодня тему. Соответственно, результат никому не интересен, игра для галочки "есть" ("ставь птису!"), отсюда и качество поделки.
Ну и, соответственно, немаловажный вопрос профпригодность качество исполнителей и руководства; т.е. если студия и ранее ухитрилась делать качественные игры, то есть вероятность, что игра будет неплоха. Если же нанимаются студенты за еду и формошлепы, то хороший совет сделать просто визуальную новеллу на существующем простом движке. Это я к тому, что у таких студий, как, например, Bethesda, хоть и были провалы, но в целом, игры неплохие. А вот новеллы (интересные, однако) вполне делают даже энтузиасты в одно лицо и бесплатно (на простых движках типа RenPy или SugarCube, тут такие двиги как Unity/Unreal - стрельба из пушки по воробьям).
И результат - вот, пожалуйста, "морской бой" при хорошем бюджете.
Как британские чинуши предлагают держать связь с ребенком пока родитель на работе например?
А каждому ребёнку по rfid метке, чтобы родитель знал, где ребенок и чем занимается и бил током. А потом, Вы знаете, как работает "защита детей" - не только детям такое счастье... Все сценарии "как получить больше власти и больше денег" давно отлажены, просто лягушке поднимают температуру медленно и в нужное время.
Ну и всегда остаётся вариант "наше дело позаботиться о детях, проблемы связанные с этим это уже ваша печаль".
П.С. а чтобы совсем было хорошо, эти рфиды транслировать в облако, откуда каждый родитель может посмотреть своего ребенка и ещё кто надо тоже, это же так удобно!
Что за полумеры? Блокировать сразу за всё пересылаемое подозрительное. ТикТок так давно делает и не моргает: случайно вылетевшая реклама это "организация азартных игр", палец могут принять за сигарету, да что уж там, почти любое сообщение, порой даже "привет", удаляется с причиной "нарушение правил соглашения" и т.д. и т.п. Пользователи жалуются, но обжалования редко проходят, обычно бывает что-то типа "нет, мы вас правильно заблокировали и не волнует".
Так отчего бы другим платформам не последовать примеру и не "делать интернет чище", удаляя всё хотя бы напоминающее что-то нехорошее?
С моей точки зрения, это возмутительно, (и мне всё равно кто чем занимается), но когда банят ни за что... Скажете, не станут заморачиваться? А между прочим, немало и пуритан, которые хуже sjw с их "вы неправильно живёте, немедленно перестаньте!" (есть животных, крепко выражаться и т.д.), даже если этого никто не видит или окружающим наплевать.
И даже тут на Хабре есть такие личности, которые страдают припадками "правильно блокируют!"...
“Запретить” и “заблокировать”, чтобы обезопасить детей. “Заглушить”, чтобы спасти жизнь подростку.
Интернет уже давно блокируют, в порно тоже недавно угрозу заметили... Что следующее? Неотключаемые и непереключаемые телекраны с трансляцией в мозг и сны?
Правильно в комментариях пишут - необходимо образование. Но, естественно, образованный и мыслящий человек - опасен. Надо его оглупить, запугать внешними врагами и одурманить примитивными удовольствиями; а до кучи - привить чувство собственной неполноценности, чтобы за упомянутые удовольствия он в ногах ползал у "благодетелей".
Ах да, чуть не забыла - и ещё создать противоречивую картину "вот у нас было плохо, но мы сделали хорошо, надо продолжать!", чтобы сначала сбить с толку, а потом "подсказать" товарищу "верную дорогу".
И обязательно никакой самостоятельности - не сам человек должен выбирать, что для него хорошо и что плохо, а вот вседержитель взял и всё делал, вы только молитесь на него (и, естественно, несогласие караемо).
Спасибо, отличный пример того, что не стоит ради одной функции подключать целую стороннюю библиотеку.
А иногда фича превращается в баг: (к сожалению не могу вспомнить где) некие гении реализовали интерпретацию входящих аргументов (точнее, парсинг параметров запроса). С одной стороны удобно и круто, но быстро нарисовалась и другая сторона: уязвимость выполнения исполняемого кода с любыми некрасивыми целями.
Вы противоречите себе и не понимаете этого. И, не стоит ставить телегу перед лошадью - эмоции это сперва реакция на события, низшего уровня. Но да, дальше возможна цепная реакция.
А вот интересно, можно где-то почитать о том, что было бы, если бы константы были бы другие? Что было бы, если, как пишите:
Тщательные расчёты показали, что если бы какие-то из этих констант отличались в большую или меньшую сторону от фактических значений всего в 10 раз (на один порядок), это привело бы к весьма значительным отличиям в развитии и строении Вселенной. Например, к коллапсу всей материи в чёрные дыры или, наоборот, к невозможности формирования галактик или звёзд, или даже к невозможности существования материи как таковой.
К тому же, данное "нововведение" сильнее бьёт по физическим лицам, которые научились заказывать из Китая, а не покупать у местных втридорого, и вовсе не стимулирует отечественных производителей (даже теоретическое повышение спроса не мотивация для появления).
А вот АКИТ те "отечественные производители", которые занимаются переклейкой шильдиков задорого, будут довольны, и возможно, сменят ценник с х3 на х5, и всё.
Эх, как всегда, всё работает на "куда вы денетесь"
Зато за их устранение мы заплатили снижением производительности. Собственно, та же история как со страхованием - страховой случай может в жизни не произойти, а платить необходимо стабильно по графику (особенно весело, когда страховка является обязательной). Здесь так же, как и в случае со spectre/meltdown, описано так, будто вашим компьютером уже управляют, даже если он не подключен к сети. В то же время (что очевидно не всем) необходимо не только попотеть, чтобы произвести атаку (вход) и получить целевые данные (а не только догадку о них), но и каким-то образом отослать их обратно (выход), причем незаметно (полагаю, сложность атаки делает весь цикл не мгновенным, в отличие от 0day 0click).
П.С. Поэтому меня больше в этой истории волнует то, чем придется заплатить за "устранение" этих уязвимостей. И я больше переживаю из-за более "реальных" уязвимостей, потому как, нет-нет, да какой-нибудь
дятелуставший кодер возьми да влепи самый банальный code injection (да-да, ни возраст, ни известность этих уязвимостей никак не сокращает их появление; не говоря о матерых кодописцах {упоминание про старуху ипорнухупроруху}, по тем же граблям стабильно гуляют новички, продолжая писать sql_query("select "+GET["stolbec"]+",* from users"); что очень грустно)Из-за того, что gif является контейнером, то возможно сделать файл, который будет и валидной картинкой, и, например, исполняемым файлом одновременно. И то, что отображался прямоугольник, означает, что не очень заморачивались, и только.
Но вот сама возможность исполнять "картинку" вместо того, чтобы просто отобразить (или не отобразить) выглядит как уязвимость именно в компоненте отображения. И блеклист расширений файлов - скорее костыль, чем правильное решение.
"В сложное время живём", что "никому нельзя доверять, порой даже себе". На этом вся ИБ построена, и даже код без тестов полон багов, а уж если что-то может быть слито/украдено/испорчено - только вопрос времени, когда, но будет. Поэтому постоянно проверяем и оцениваем риски.
...и сайты по талонам и сквозь бюрократию.
Причина, как всегда, желание держать Вас под каблуком и периодически подаивать.
...но даже если Вы денег не получаете, то подоить Вас всё равно можно, и опять же сделать из Вас внешнего врага. То есть, Вы страшный, но пусть народ смотрит, как герои в креслах браво нейтрализуют угрозу. Так что дело не только в деньгах, но и "повесточке", точнее, промывке мозгов.
Наверное, аналогичное действительно не только для хостингов.
Но с другой стороны, можно покласть на все эти требования, пусть блокируют.
Особенно, что выполнение этих требований может не понравиться местному (не российскому) правительству; усидеть на двух стульях, увы, не получится.
Да, и касается это не только хостинга, а в целом: если у тебя есть сайт, и на нём зарегистрировался только один россиянин (даже если из всех данных только емайл и даже если только для доступа, ничего при этом не продаётся и не покупается), то всё, ты "ведёшь деятельность на территории РФ", и необходимо открывать представительство, размещать датасет с данными (локализовать), ставить за свой счёт дорогое оборудование для слежки, хранить подробные логи 3 года, мониторить что постят пользователи и за сутки удалять то, что власти могут квалифицировать как запрещённую информацию: о впн, о чиновниках, о лгбт, о событиях в Украине ("дискредитацию" быстро припишут) и т.д.
И тут, во-первых, надо и уследить и угадать, понравится что-то или нет (а также можете не понравиться лично ты), и если заявили, что информация запрещённая, то у тебя нет возможности заявить, что она не такая. Ну т.е. придется сначала удалить, а уж потом судиться, и в большинстве случаев суды не станут заморачиваться (мол, да, чёрный квадрат на белом фоне это кровавый нацизм), ну а уж если повезло решить в свою пользу, то можно будет эту запись восстановить.
И, как понимаете, это дело небыстрое, а игра дорогая и сложная, и повторяться может каждый день (один пост защитили, а пока защищали, нашлось ещё 1000). Так что, проще превентивно не пускать к себе российские ip, ну либо просто забить и пусть себе блокируют, а вести деятельность где угодно кроме этой страны.
Печально, конечно, но нет у нас Всемирной Паутины больше, всё больше веб начинает походить на интранет-сети, всё более слабо связанные между собой.
Российская недоигровая индустрия. И дело не в том, что Россия (и без того принято ругать абсолютно всё, что в стране производится - не собираюсь повторять много раз сказанное), а в том, что мотивация берется не из интереса (чтобы интересно было и делать и играть), а из заказа "сверху", мол, сделайте патриотичную игру на политически-значимую сегодня тему. Соответственно, результат никому не интересен, игра для галочки "есть" ("ставь птису!"), отсюда и качество поделки.
Ну и, соответственно, немаловажный вопрос
профпригодностькачество исполнителей и руководства; т.е. если студия и ранее ухитрилась делать качественные игры, то есть вероятность, что игра будет неплоха. Если же нанимаются студенты за еду и формошлепы, то хороший совет сделать просто визуальную новеллу на существующем простом движке. Это я к тому, что у таких студий, как, например, Bethesda, хоть и были провалы, но в целом, игры неплохие. А вот новеллы (интересные, однако) вполне делают даже энтузиасты в одно лицо и бесплатно (на простых движках типа RenPy или SugarCube, тут такие двиги как Unity/Unreal - стрельба из пушки по воробьям).И результат - вот, пожалуйста, "морской бой" при хорошем бюджете.
По-моему, ошейнику он будет только рад, а нужен пояс целомудрия)
Да, палец тоже запатентуют, придётся в экраны тыкать чем-то другим)
А каждому ребёнку по rfid метке, чтобы родитель знал, где ребенок и чем занимается
и бил током. А потом, Вы знаете, как работает "защита детей" - не только детям такое счастье... Все сценарии "как получить больше власти и больше денег" давно отлажены, просто лягушке поднимают температуру медленно и в нужное время.Ну и всегда остаётся вариант "наше дело позаботиться о детях, проблемы связанные с этим это уже ваша печаль".
П.С. а чтобы совсем было хорошо, эти рфиды транслировать в облако, откуда каждый родитель может посмотреть своего ребенка
и ещё кто надо тоже, это же так удобно!Что за полумеры? Блокировать сразу за всё пересылаемое подозрительное. ТикТок так давно делает и не моргает: случайно вылетевшая реклама это "организация азартных игр", палец могут принять за сигарету, да что уж там, почти любое сообщение, порой даже "привет", удаляется с причиной "нарушение правил соглашения" и т.д. и т.п. Пользователи жалуются, но обжалования редко проходят, обычно бывает что-то типа "нет, мы вас правильно заблокировали и не волнует".Так отчего бы другим платформам не последовать примеру и не "делать интернет чище", удаляя всё хотя бы напоминающее что-то нехорошее?
С моей точки зрения, это возмутительно, (и мне всё равно кто чем занимается), но когда банят ни за что... Скажете, не станут заморачиваться? А между прочим, немало и пуритан, которые хуже sjw с их "вы неправильно живёте, немедленно перестаньте!" (есть животных, крепко выражаться и т.д.), даже если этого никто не видит или окружающим наплевать.
И даже тут на Хабре есть такие личности, которые страдают припадками "правильно блокируют!"...
Интернет уже давно блокируют, в порно тоже недавно угрозу заметили... Что следующее? Неотключаемые и непереключаемые телекраны с трансляцией в мозг и сны?
Правильно в комментариях пишут - необходимо образование. Но, естественно, образованный и мыслящий человек - опасен. Надо его оглупить, запугать внешними врагами и одурманить примитивными удовольствиями; а до кучи - привить чувство собственной неполноценности, чтобы за упомянутые удовольствия он в ногах ползал у "благодетелей".
Ах да, чуть не забыла - и ещё создать противоречивую картину "вот у нас было плохо, но мы сделали хорошо, надо продолжать!", чтобы сначала сбить с толку, а потом "подсказать" товарищу "верную дорогу".
И обязательно никакой самостоятельности - не сам человек должен выбирать, что для него хорошо и что плохо, а вот вседержитель взял и всё делал, вы только молитесь на него (и, естественно, несогласие караемо).
Спасибо, отличный пример того, что не стоит ради одной функции подключать целую стороннюю библиотеку.
А иногда фича превращается в баг: (к сожалению не могу вспомнить где) некие гении реализовали интерпретацию входящих аргументов (точнее, парсинг параметров запроса). С одной стороны удобно и круто, но быстро нарисовалась и другая сторона: уязвимость выполнения исполняемого кода с любыми некрасивыми целями.
Т.е. не всегда больше - значит лучше.
Вы противоречите себе и не понимаете этого. И, не стоит ставить телегу перед лошадью - эмоции это сперва реакция на события, низшего уровня. Но да, дальше возможна цепная реакция.
И даже в профессии программистов случаются такие штуки, как многомерные OLAP кубы, в которых 3 измерения - это мало.
А вот интересно, можно где-то почитать о том, что было бы, если бы константы были бы другие? Что было бы, если, как пишите:
Было бы интересно подробнее об этом. Спасибо.
К тому же, данное "нововведение" сильнее бьёт по физическим лицам, которые научились заказывать из Китая, а не покупать у местных втридорого, и вовсе не стимулирует отечественных производителей (даже теоретическое повышение спроса не мотивация для появления).
А вот
АКИТте "отечественные производители", которые занимаются переклейкой шильдиков задорого, будут довольны, и возможно, сменят ценник с х3 на х5, и всё.Эх, как всегда, всё работает на "куда вы денетесь"...дипфейки, мошенничество.
Впрочем, первое эволюционирует, второе же тысячами лет не меняется.