Pull to refresh
23
0
Vital Koshalew @VitalKoshalew

Sr. Systems Administrator

Send message
Для начала было бы неплохо построить единый Internet на IPv6. На сегодня единой связности нет. Tier 1 оператор Cogent, через которого подключено пол планеты, не хочет бесплатно возить traffic от Google и гиганта 4to6 — Hurricane Electric, а те не хотят платить, потому связности между ними нет вообще. Не то, чтоб на соседнюю улицу ходил traffic через Амстердам, а вообще нет никакой связности. Это — показатель реальной востребованости IPv6.

Hosting-площадки тормозят неимоверно. Так уж и быть, мы вам выделим аж /64, но не отдадим потому, что у вас доку́́ментов нет, вот вам 16 или 32 IPv6 адреса под расписку с записью каждого в панели управления, а то ходють тут!

Провайдер-независимый pool адресов? Вот вам quest на неделю и ежегодная оплата $250/150 за строчку в базе данных. Это к вопросу о
а большинство компаний до сих пор работает с IPv4

А что ж им не работать, если весь смысл IPv6 раскрывается полностью, только если работать с «белыми» адресами внутри сети! И что, менять внутреннюю адресацию при смене/добавлении ISP?

Пока что нехватку IPv4 ощутили лишь крупные интернет-провайдеры

Операторы, в особенности сотовые, выдали пользователям CGNAT-овский 100.0.0.0/8 и живут, не тужат. Зачем вам P2P, вы что — террорист? Пользуйтесь правильными централизованными ресурсами, через их сервера и общайтесь.

Один свет забрезжил — WebRTC и его использование видео-конферецсвязью. Но тут нет видимого пользователю эффекта. То, что сегодня Zoom/Teams не тормозили, потому что WebRTC связался напрямую через IPv6, это никому не понятно.
Первым делом нам нужно создать машинную учетку. Это может прокрутить любой доменный пользователь при условии, что значение свойства ms-DS-MachineAccountQuota в домене AD больше нуля.

Если оно больше нуля (или, скорее, если Default Domain Controllers GPO «Add Computers to Domain» содержит Authenticated Users), значит никакого, даже минимального, системного подхода к безопасности в организации нет. Если бы был, прошли бы хоть раз какой-нибудь CIS Benchmark и таких зияющих дыр бы не было. И сказочке был бы конец, прямо на 0-м шаге.
Моё мнение — все их (ManageEngine) решения — это адская смесь из написанного 20 лет назад на коленке кода, когда про безопасность вообще не задумывались, и современного результата работы программистов за еду, для которых «безопасность» — это добавлять каждый месяц новый неубираемый банер о необходимости срочно внедрить очередной их инновационный замок на калитку посреди чистого поля, хотя никто в здравом уме не должен пользоваться их системой авторизации и аутентификации после уже наверное десятка дыр типа authentication bypass.
Никак и ни с каким, там памяти 512МБ. Уже первая страница YouTube в Chromium, установленном по умолчанию, подвешивает систему. Попытки смотреть слайд-шоу вешают всё намертво.
Жаль, старые образы Linux от RPi W не запускаются на W2 — показывает радужную заставку и на этом всё. Дальше не копал, может и можно как-то починить, но проще взять новый образ и перенести настройки. Не совсем drop-in replacement.
Я не знаком с описываемой вами ситуацией, может быть они ответили «мы вам перезвоним», просто другими словами. Считыватели карт в Канаде, например, где только не установлены. Вообще, я отвечал на ваше безапелляционное заявление, что PCI DSS, якобы «прямо запрещает передачу терминала в руки пользователя». Как видно из моей цитаты — не запрещает. И даже на телегу, которую можно закатить в тёмный угол, и там сделать со считывателем карт что угодно, не запрещает: просто придётся принять меры к предотвращению вышеупомянутого действия, например, обвешать тележку камерами, проверять каждую тележку между пользователями. На месте компаний, я бы взвесил иллюзорное улучшение в виде считывателя на самой тележке, а не где угодно на выходе, и тоже отказал, но не потому, что стандарт плохой, а потому что не всё, что можно сделать, нужно делать.
Можете указать, в каком именно пункте PCI DSS есть такое требование? Обращение с терминалами регулируется §9.9, и, конкретно, §9.9.3. Там речь идёт о том, чтобы не дать подменить или модифицировать устройство — вполне логично и достаточно, на мой взгляд.

В ресторанах и прочих не-стационарных местах вроде уличных ярмарок мобильные терминалы дают в руки, никакой проблемы в этом я не вижу при умеренном уровне преступности. Если уровень преступности высокий и терминалы крадут, тогда да — надо принимать меры, на цепь их крепить и т.д. Сам стандарт выдвигает лишь требование, как конкретно противодействовать краже — решает бизнес.

9.9 Protect devices that capture payment card data via direct physical interaction with the card from tampering and substitution.
9.9.3 Provide training for personnel to be aware of attempted tampering or replacement of devices. Training
should include the following:
• Verify the identity of any third-party persons claiming to be repair or maintenance personnel, prior to granting them access to modify or troubleshoot devices.
• Do not install, replace, or return devices without verification.
• Be aware of suspicious behavior around devices (for example, attempts by unknown persons to
unplug or open devices).
• Report suspicious behavior and indications of device tampering or substitution to appropriate
personnel (for example, to a manager or security officer).
После Therac-25 как раз в индустрии медицинского оборудования AFAIK произошёл перелом и всё стали проверять 25 раз и, к сожалению, цены взлетели до небес, потому что построить коммунизм в отдельно взятом городе развивать безопасный подход в одном микросегменте рынка — дорого.

Остальной рынок ПО и оборудования всё ещё ждёт своего Therac-25. Думалось, кража кредитных историй всех жителей континента или отсутствие бензина на Восточном побережье или глобальные перебои с поставкой мяса что-то изменят. Пока что всё успешно списывают на force majeure.

Ну и сам инцидент с Therac-25 — он ведь не про информационную безопасность, а только про надёжность. Водители ритма с дистанционным управлением, которое может перехватить кто угодно, всё ещё на рынке, а вот журналиста, который про это кричал, уже нет с нами.
Это, на мой взгляд, вопрос исключительно рыночного спроса. На разработку ПО, сервисов, оборудования затрачиваются миллиарды $. Ни копейки из них не идёт целенаправленно на информационную безопасность, потому что спроса нет. И так покупают, а затраты на ИнфоБез, порой, могут кратно увеличить стоимость разработки, но это в самом худшем случае и если надо всё переделывать; если «вплетать» ИнфоБез с самого начала разработки, то всё достаточно умеренно. На сегодняшний день нет никакого стимула у руководства тратить хоть копейку на безопасность.

Исключение — работа с кредитными картами. Стали Visa и MasterCard заставлять банки следовать разумному и выполнимому стандарту PCI DSS и за десяток лет, с воем и причитаниями, но худо-бедно «вплели» все безопасность в работу с кредитными картами и оказалось, что ничего невозможного в этом нет. Я не говорю, что всё стало идеально и нет организаций, которые обманули аудиторов или уровень аудитора был такой, что никаких нарушений в упор не заметили. Всё может быть. Но мне абсолютно очевидно, что за 10 лет отрасль преобразилась в плане защиты данных кредитных карт.

Если появится массовый спрос на безопасность работы с другими типами данных, я уверен, возможно распространить разумные практики на всю индустрию разработки. Исключения будут, тивари местами останутся, но будет и альтернатива, которой сейчас нет.

И про Культ Карго и бывших милиционеров я уже писал, это не то. Нельзя нанять специалиста, даже не фальшивого, а настоящего, и ожидать, что безопасность придёт. Безопасность стоит денег и времени. Программы должны проектироваться и писаться по-другому, а не в конце кто-то будет приходить и «мешать работать». Это стоит денег, на это почти никто пока не идёт, хотя разговоры и симуляция уже начались.
Потому что были как неуловимый Джо, а как понадобилось, так не смотря на все файерволлы, дырочку всегда найдут.

Сложно отвечать на такие глобальные тезисы, но как минимум многие нашумевшие взломы и downtime-ы как раз показали, что причиной были Тивари. Или даже, я бы сказал, первопричиной было то, что stakeholders не волновала безопасность, а руководство волновала только финансовая отчётность. И не в последнюю очередь именно менталитет «дырочку всегда найдут», «Альтернативы просто нету» приводит к отсутствию запроса на информационную безопасность. Все технические возможности делать в достаточной степени безопасные системы есть. Нет рыночного спроса.

я про линукс и не только в сотовых.

Сам Linux — не панацея, телефоны, заблокированные Тивари, формально, работали на ядре Linux. Я подозреваю, Amazon Ring — тоже.

мой опыт общения с ними показывает что Тивари это интеллектуал по сравнению со средним ИнфоБезом.

Вы про отставных советских милиционеров и ГБ-шников, которые во славу Культа Карго ставят портить жизнь людям? Я сомневаюсь, что они вообще имеют отношение к науке об Информационной Безопасности, про которую я упоминал.
Стоймость прокладки отдельной инфраструктуры для передачи данных настолько высока (даже низкоскоростной), что кроме как единичные объекты её позволить не могут.

Жили как-то всю жизнь с локальными сетями с, как минимум, контролем доступа в Internet, и ничего, не разорялись. С сотовыми телефонами сложней — тут вся инфраструктура защиты должна быть внутри телефона, а для этого нужны другие телефоны.

Плюс универсальная, бесплатная и свободная ОС.

Это Google Android+GMS+все blob-ы от производителей телефонов, частью которых и были творения команды Тивари или вы про только делающий первые шаги на этом рынке Linux?

Даже создать более менее независимую сеть для передачи в радио диапазоне, это очень трудное и не очень надёжное занятие.

ИнфоБез достаточно давно изобрели. Air gap — просто один из многих инструментов. То, что он был всюду раньше по умолчанию и на нём одном всё висело, не означает, что другие инструменты (поверх существующей инфраструктуры) не могли бы его заменить, если бы круглые сутки из каждого утюга не гремело «Альтернативы просто нету, надо это принять».
Вы готовы поручиться, что в телефоне от условного Samsung на другом конце провода не будет Тивари? В умных дверях от Amazon, например, были и им ничего за это, насколько я знаю, не было.
Продолжайте покупать телефоны, в которых с низкоуровневыми правами системы работает приложение, написанное нелегалом Шантну Тивари и его коллегами за еду и удалённо управляемое ими же без всякого контроля.

Да, и электронные замки и прочий «умный дом» от Skykharkov в комментариях выше.

И нет, я не имею в виду какую-то или какие-то конкретные фирмы.

P.S.
Поясню свою мысль — традиционно, на протяжении десятилетий, к программным и аппаратным продуктам был достаточно взвешенный (может быть и не намеренно, просто так сложилось) подход: все системы были, по сути, air-gapped, а возможность их поломки учитывалась в оценке рисков (даже если пользователь и не производил её формально). То есть какого бы низкого качества не была разработка — ну «сломается», бывает.

Этот подход в последние годы перенесли не задумываясь (десятки лет же всё нормально было!) на подключённые к Internet устройства. И в эти же устройства, с другой стороны, люди вкладывают всю свою жизнь и всю свою информацию.
Там у TB4 внутри стандартный DisplayPort 1.4, который умеет 120Гц:
DP 1.4… Examples of increased display resolution with the new standard include 8Kp60Hz HDR deep color and 4Kp120Hz HDR deep color.
адаптировать Андроид под эту платформу

Зачем вам ещё один Android-телефон на не самом лучшем железе? У любого китайского производителя можете купить тысячу похожих моделей с Android.

сам линукс под андроидные телефоны

Они и так все на (старых и состоящих в самых важных частях из закрытых blob-ов) ядрах Linux, а толку?
Копирайтер-переводчик, как обычно, всё перепутал.
Сравнение технических характеристик старого PinePhone и нового PinePhone Pro

Это не «старый» и «новый», это две параллельные модели — они расширили линейку.

Связь Wi-Fi ac Wi-Fi b/g/n

Важнейшее отличие: у младшей модели — только 2.4ГГц, то есть, практически, нет WiFi в условиях современных зданий с сотнями 2.4ГГц точек доступа.

но стал значительно удобнее и стабильнее в использовании как настоящий телефон

Ну откуда это взято? Он вообще ещё не работает — программистам первую партию только рассылать собрались.

Одно из самых больших улучшений — чипсет RK3399S, специально разработанный для PinePhone Pro. Он позволяет принимать звонки и SMS-сообщения в режиме ожидания, что сохраняет время автономной работы.

По-отдельности части предложения и переведены вроде-бы правильно, а вмести получилась чепуха. Новый SoC с более мощным процессором, действительно — самое большое изменение. И его, действительно, доработали с учётом Pinephone Pro — ограничили нагрев и отточили режим сна, без которого ни один chipset в телефоне нельзя использовать. Но не в режиме сна улучшение, он есть во всех chipset-ах, используемых в телефонах, включая младший PinePhone.

Из других улучшений — нативный видеовыход через USB-C.

Он есть и в PinePhone. Ранние партии имели аппаратную проблему (которую можно было даже исправить, перепаяв пару микроскопических деталек), во всех телефонах с материнской платой 1.2a видеовыход работает.

На форумах говорят, что телефон по-прежнему можно рекомендовать только разработчикам и энтузиастам, но ни в коем случае не широкой публике, потому что в нём катастрофически не хватает нужного софта и он не отличается стабильной работой, особенно в режиме телефона.

Уважаемый журналист, не подходите больше близко к учёным, а то ведь мало ли что опять случится. Об этом говорят не «на форумах», а сами авторы в анонсе, который вы «переводите». Никто «на форумах» его пока ещё в руках не держал, только команда разработчиков.
Я поражаюсь, до какой степени нужно наплевательски относится к своим читателям, чтобы ради добавления скандальной нотки в перевод сослаться на комментарий "It is frustrating to me that despite the blunt verbiage about it being a beta device for software and hardware developers, people even here are griping about it being not ready for everyday use." и, не моргнув глазом, написать ровно наоборот — телефон якобы стабильный, но на самом деле...
Я могу ошибаться, но насколько я знаю, никаких единых планов даже подземных коммуникаций в городах Северной Америки нет, что уж говорить про шахту глубиной 400 метров где-то в сельской местности. Когда надо в городе произвести экскаваторные работы, подаётся заявка в единую службу (чаще всего по номеру 811) и эта служба сообщает всем владельцам коммуникаций в районе, что вы собираетесь копать. Никто вам при этом никаких карт не передаёт, а просто от каждой фирмы приезжает геодезист и баллончиком краски прямо на траве и тротуарах рисует, где проходит их линия.
Я, собственно, не про RuVDS писал, а в целом. Грамотно настроенная переподписка — нормальное решение, позволяющее снижать стоимость предложения для конечного пользователя. При желании, нет проблемы выделять тем виртуальным машинам, которые требуют 100% CPU, все необходимые ресурсы. В частных облаках так и происходит.

Вопрос отключения пользователей за нарушение политики fair use — вообще не технический, а чисто финансово-маркетинговый, с переподпиской в общем случае не связанный.

С недобросовестной рекламой я в Северной Америке редко сталкиваюсь. В Канаде за отсутствие сноски об ограничениях на первой странице уголовная ответственность предусмотрена.
Я не совсем понимаю, почему предложение на высококонкурентном рынке должно быть ограничено только неким подмножеством услуг, которые вам импонируют. Если поставщик нарушает контракт, то в соответствии с контрактом можно с ним и разбираться.

VPS и есть выделенный сервер, это же не шаред хостинг.

Если вы заплатили по контракту с такой формулировкой, то да. Если нет — то нет.

Железо не всем и не всегда нужно.

Ну так и 100% CPU не всем и не всегда нужно.

Я, например, арендую под некую функцию VPS за $7/год без гарантий. Мне не нужно под эту функцию более дорогое предложение со 100% гарантией CPU.

Information

Rating
Does not participate
Location
Канада
Registered
Activity