Уже больше двух лет мы развиваем Deckhouse Stronghold — решение для безопасного управления жизненным циклом секретов
ну анекдот же, ребята!
Дано: "Для безопасного управления жизненным циклом секретов", вы храните секреты для приложений в СервисеСекретов. Вопрос: А где вы храните секреты для самого СервисаСекретов?
не трудитесь с ответом ;) если вам обязательно нужен СервисСекретов для приложений, то вам обязательно нужен СервисСекретов2 для СервисаСекретов1...
Действительно, когда у вас есть контейнеры или функции их легко почти мгновенно масштабировать и нет большой разницы, на какой именно машине это делать.
спасибо, повеселили!
для начала, встряхнем Основы:
“Вы не влипнете в недостаток ресурсов“ -- блестящая фраза! Деньги тоже ресурс, и вы обязательно влипнете.
Почему? Они все время "забывают" вам сказать, какой сервер стоит масштабировать... И какой точно нет!
Ага, значит гуглим какой сервер масштабировать и... Вот поэтому была написана эта статья.
упрощая детали, шифрование - это использование алгоритма. и только у НЕКОТОРЫХ алгоритмов есть ЕЩЕ ключ! в этом случае (неявно) предполагается, что алгоритм уже известен аналитику и осталось "только" угадать ключ.
так вот.
в случае тысячи школьников алгоритм уже НЕ известен! т.к. изменение любого бита зашифрованного блока сразу же портит весь блок. и все, что идет за ним.
вы не будете бегать за тысячей школьников => зашифрованный текст перестал АВТОМАТИЧЕСКИ взламываться...
Пусть расцветают сто цветов: Пришел конец былой работе криптоаналитиков! Ни больше ни меньше.
"Никогда не пишите свою собственную криптографию" -- говорили они. Но сейчас любой школьник с удовольствием перетасует байты зашифрованного файла -- и вот вам "новый алгоритм"!
Помните, что абсолютно все современные операционные системы, доступные обывателю, являются шпионами. Их главная обязанность -- фильтровать доступную информацию и автоматически отправлять кому следует.
Сервис секретов предназначен для хранения настроек к вашим приложениям
Дано. Для "повышения безопасности", вы храните в СервисеСекретов "настройки" для приложений. Вопрос: Где вы храните "настройки" для самого СервисаСекретов?
Дано. Для "повышения безопасности", вы храните в ПровайдереСекретов Секреты для доступа к Серверам. Вопрос: Где вы храните Секреты для доступа к самому ПровайдеруСекретов?
как видно из текста статьи:
секрет в конфиге для доступа к PostgreSQL - аяяй плохо!
но секрет в конфиге для доступа к Vault - вах хорошо!
Указание полей секции [goconfig.vault] и [goconfig.vault.auth] это только один из способов сконфигурировать и авторизовать vault клиент.
я открою вам Страшную Тайну: безопасно хранить пароли для доступа к Vault1 можно только в Vault2. а к нему тоже надо пароли...
а что если зашифровать pdf файл при помощи программы Adobe (естественно на Windows)
а что, если не маяться дурью и сразу зашифровать свой файл надежной программой? яко же все официально одобренные государством шифровальщики имеют дупло. любым государством.
и как я уже много раз говорил, не стесняйтесь после шифрования пройтись по результату своей собственной наивной программой (те самые 200 каких-либо бит в начале файла). вы тем самым поможете Злым человекам стать немного Добрее ;))
Если испортить сигнатуру и заголовок, файл просто станет битым а не зашифрованным
сама придумала, сама обиделась (ц)
предлагают портить архив, как я понял
все правильно: 200 каких-либо бит в начале файла это точно не про сигнатуру/заголовок.
давайте считать. 200 случайных бит из первых 2 килобайт -- это количество сочетаний из 16384 по 200, т.е. число длиной 1553 бит.
ЗЫ вот оно, если кому интересно: 286715497377337969456718566826470800871545520293648640265073545851517442492693749525743325638798920207261982863393365444146701283677790515523667586165523769602613563345107770244572299918389216661375453055560354541101036184115567363782838332220861759150282498345187348942794119446760776949610004021035498677690032843199801505923121942412848468040915240004575965179857652263693027493450537909189034067155127659911518040191198589448349341369203053868490634940970119116800
Дорогой друг! Для удовольствия и личной безопасности прямо сейчас сядь и напиши простую программу, инвертирующую 200 каких-либо бит в начале файла. Ведь любой бит в первом блоке зашифрованного файла мгновенно испортит весь файл! Но только никому не сообщай подробности.
На эту работу нас подвигло желание узнать, почему в программной инженерии некоторые люди на порядок, а то и два, продуктивнее большинства людей. Если бы так было у каменщиков, то строительная индустрия очень заинтересовалась бы причиной. Проблема, конечно, в том, что о каменщике за работой можно снять фильм, а затем его действия проанализировать. Но невозможно увидеть, что делают великие программисты, да и они сами не смогли бы объяснить разницу, хотя большинство из них и захотело бы это сделать...
и еще:
Совершенно иная картина вырисовывается при более детальном изучении изменчивости мозга. Неприятности начинаются с поверхности полушарий. Они обладают рисунком борозд и извилин, более уникальным, чем отпечатки пальцев. Чудесный дизайн поверхности мозга остаётся недооценённым, хотя мог бы использоваться для идентификации граждан. Персональная красота борозд и извилин представляет собой не только эстетическую сторону индивидуальности мозга. Внутри него скрыты невероятные качественные и количественные особенности строения. Максимальные доказанные на аутопсийном материале индивидуальные различия полей и подполей коры полушарий составляют 4131% , а подкорковых структур -- 369%. Более того, подполя лобной и теменной долей могут присутствовать у одного человека и отсутствовать у другого. Эти различия по неврологическим критериям намного превышают известную видовую изменчивость...
в общем и целом, можно утверждать, что:
Все мы разделены Природой на два подмножества: понимальщики и запоминальщики.
Ни понимальщики, ни запоминальщики даже не догадываются о существовании друг друга!
— Сёма, вы таки знаете, если бы я был королём, то жил бы лучше чем король. — Это почему? — А я бы ещё немножечко шил на дому.
вы таки помните, что немножечко шифровать самому?
гут. и еще один маленький шаг:
Дорогой друг! Для удовольствия и личной безопасности прямо сейчас сядь и напиши простую программу, инвертирующую 200 каких-либо бит в начале файла. Ведь любой бит в первом блоке зашифрованного файла мгновенно испортит весь файл! Но только никому не сообщай подробности.
ну анекдот же, ребята!
Дано: "Для безопасного управления жизненным циклом секретов", вы храните секреты для приложений в СервисеСекретов.
Вопрос: А где вы храните секреты для самого СервисаСекретов?
не трудитесь с ответом ;) если вам обязательно нужен СервисСекретов для приложений, то вам обязательно нужен СервисСекретов2 для СервисаСекретов1...
клиенты ваши платят за кашу из топора.
Уже множество лет программировать лезут животные. С появлением ChatGPT, программировать лезут растения.
к сожалению, вы и близко не представляете НАСКОЛЬКО все плохо!
"80% more" - вдумайтесь!!
спасибо, повеселили!
для начала, встряхнем Основы:
и немного добавим про Функции:
без понимания Сути, вы бесконечно кормите всю эту саранчу...
вы не поняли сути.
упрощая детали, шифрование - это использование алгоритма. и только у НЕКОТОРЫХ алгоритмов есть ЕЩЕ ключ! в этом случае (неявно) предполагается, что алгоритм уже известен аналитику и осталось "только" угадать ключ.
так вот.
в случае тысячи школьников алгоритм уже НЕ известен! т.к. изменение любого бита зашифрованного блока сразу же портит весь блок. и все, что идет за ним.
вы не будете бегать за тысячей школьников => зашифрованный текст перестал АВТОМАТИЧЕСКИ взламываться...
https://ders.by/crypt/derscrypt2/derscrypt2.html
https://ders.by/crypt/derscrypt2/derscrypt2.html
Богатыми становятся только те, "кто надо" (кто по крови принадлежит к Хозяевам Жизни)
а если кто-то не тот вдруг получил много денег - это деньги ничейные. и первый "кто надо" их заберет.
и снова каша из топора...
Дано. Для "повышения безопасности", вы храните в СервисеСекретов "настройки" для приложений.
Вопрос: Где вы храните "настройки" для самого СервисаСекретов?
заходи и бери, что хочешь??
о! любимая тема не тонет)
как видно из текста статьи:
секрет в конфиге для доступа к PostgreSQL - аяяй плохо!
но секрет в конфиге для доступа к Vault - вах хорошо!
я открою вам Страшную Тайну:
безопасно хранить пароли для доступа к Vault1 можно только в Vault2. а к нему тоже надо пароли...
а что, если не маяться дурью и сразу зашифровать свой файл надежной программой? яко же все официально одобренные государством шифровальщики имеют дупло. любым государством.
и как я уже много раз говорил, не стесняйтесь после шифрования пройтись по результату своей собственной наивной программой (те самые 200 каких-либо бит в начале файла). вы тем самым поможете Злым человекам стать немного Добрее ;))
э.. кащениты??
сама придумала, сама обиделась (ц)
все правильно: 200 каких-либо бит в начале файла это точно не про сигнатуру/заголовок.
давайте считать. 200 случайных бит из первых 2 килобайт -- это количество сочетаний из 16384 по 200, т.е. число длиной 1553 бит.
ЗЫ вот оно, если кому интересно: 286715497377337969456718566826470800871545520293648640265073545851517442492693749525743325638798920207261982863393365444146701283677790515523667586165523769602613563345107770244572299918389216661375453055560354541101036184115567363782838332220861759150282498345187348942794119446760776949610004021035498677690032843199801505923121942412848468040915240004575965179857652263693027493450537909189034067155127659911518040191198589448349341369203053868490634940970119116800
https://ders.by/crypt/derscrypt2/derscrypt2.html
defer гораздо коварнее, чем принятно думать:
Как врожденные недостатки Go незаметно фальсифицируют Выборы https://www.linkedin.com/pulse/how-gos-inherent-flaws-can-insensibly-distort-results-derevyago-x7r8f
- Ты должен работать до ночи!
- Ну, гони тогда деньги прямо сейчас. Я верну тебе, как заплатят.
https://habr.com/ru/posts/898900/
и еще:
в общем и целом, можно утверждать, что:
Все мы разделены Природой на два подмножества: понимальщики и запоминальщики.
Ни понимальщики, ни запоминальщики даже не догадываются о существовании друг друга!
https://ders.by/pp/ps/index.html
увы, но цирк давно уехал:
The reality is that CAP is nearly irrelevant for almost all engineers building cloud-style distributed systems, and applications on the cloud... https://brooker.co.za/blog/2024/07/25/cap-again.html
вы таки помните, что немножечко шифровать самому?
гут. и еще один маленький шаг:
https://ders.by/crypt/derscrypt2/derscrypt2.html