Pull to refresh
-2
0
Денис Безкоровайный @bezkod

User

Send message

Не очень удачный российский пример приведен:

ПОЧЕМУ МЕГАПЛАН НЕЛЬЗЯ ВЗЛОМАТЬ?

После такого вопроса-утверждения доверия к компании в части ИБ становится только меньше.

Спасибо за то, что поделились опытом.
Что в итоге получилось с кастомизацией UI? Вы пишете, что кастомизация ограничена, а в чем именно возникли сложности?

По поводу альтернатив:
Первая — написание своего собственного сервиса. Вторая — покупка продуктов со схожим функционалом от российских компаний. Но в этом случае потребовались бы серьезные дополнительные затраты на покупку лицензий и учетных записей. 

Можете привести оценки обоих вариантов? Это может быть всем интересно. Также, каковы затраты на само внедрение Keycloak? Насколько получилось дешевле коробочных вариантов от российских вендоров, и дешевле ли?

Нет, это совсем не Instana, но мы вдохновлялись ее интерфейсом.

Приходите к нам - Proto Observability Platform: https://proto.group/proto-observability-platform/
Российское решение, продукт в Реестре, покажем демо и проведем бесплатный пилот.

Если Вам интересно технически верное определение, то тогда Вы, наверное, согласитесь с признанным определением от OWASP. Они используют термин threat ("угроза"):

Scraping is an automated threat.

Также эта угроза относится к типу атак Abuse of functionality:

OWASP Attack Category / Attack IDs:
Abuse of Functionality

https://owasp.org/www-project-automated-threats-to-web-applications/assets/oats/EN/OAT-011_Scraping.html

Решения подобного рода принимают владельцы e-commerce, будь то физический магазин или онлайн-каталог, я не могу ответить за всех e-commerce.

Как указал в начале, я не рассматриваю юридические и этические вопросы, связанные с парсингом данных. Для владельцев e-commerce ресурсов - это именно атака, так как данные о ценах, остатках товаров в магазинах, характеристики товаров - ценная информация и ее использование конкурентами влечет реальные коммерческие убытки для владельцев данных.

Целей мы добиваемся, цель в данном случае - усложнение и замедление атаки, а также цель - сделать атаку настолько сложной, что атакующие переключаются на более простые сайты. Коммерческие данные стоят очень дорого для владельцев e-commerce, поэтому они готовы тратить средства на их защиту.

В данном контексте APM - система класса Application Performance Management. APM - класс систем, использующихся для автоматической инструментации приложений (сбора трейсов, метрик, ошибок и другой информации), контроля их производительности, алертинга и других задач, связанных с управлением производительностью приложений.

Все таки не совсем корректно сравнивать яблоки и апельсины, Sitespeed - это же проверки с ваших собственных узлов.

А End User Monitoring - сбор данных производительности с реальных клиентов, с браузеров посетителей сайтов. Выборка существенно больше, в метриках тоже нет недостатка - все те же Navigation Timing API, User Timings и тд.

Но согласен - у всех разные задачи, ресурсы и подходы к решению тоже разные.

Интересно как раз для тестов. А для мониторинга - почти все это реализовано в промышленных End User Monitoring решениях, которые не требуют написания кода и такой интеграции, нужно лишь добавить снипет JS на страницу, в том числе работает для SPA и отслеживает метрики переходов. Пример продукта Instana: https://habr.com/ru/company/proto/blog/531008/

Проблемы как раз с легаси, а с мониторингом и трейсингом того, что написано и запущено в 2019 как раз все хорошо и из коробки. Автоматический трейсинг в разнородной мирокросервисной среде прекрасно работает. Просто многим выгодно нанимать людей и заставлять их пилить вручную свой велосипед, а не покупать готовое, по разным причинам. Но это вопрос приоритетов и вкуса, с технологической стороны ограничений гораздо меньше.

Существует множество промышленных/ентерпрайз решений по мониторингу, что называется full stack monitoring — от точек входа пользователей, мониторинга мобильных приложений, до уровня приложения и инфраструктуры, APM, автоматический трейсинг, API-тесты, синтетика, бизнес метрики, алертинг. Все в одном флаконе. Да, это стоит денег. Но часто это дешевле чем выделять одного-двух админов допиливать open source и ещё тратить 30% времени всех разработчиков.

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity