На приложенном вами скриншоте видно, что после включения набора правил WAF процент FAILED-запросов (некорректно обработанных) увеличился с 1,21% до 45,49%. Для объективной оценки эффективности правил безопасности WAF данный показатель должен стремиться к 0. Процент запросов, корректно обработанных WAF (PASSED), составил 0,15%, а доля атак с использованием методов обхода (BYPASSED) — 54,36%.
Таким образом, более половины запросов обошли правила, а почти половина была обработана некорректно. Невероятная антиреклама продукта, спасибо за статью!
Анализ защищенности более подходит к сравнению с медицинским чек-апом: поверхностное периодическое тестирование основных функций «организма», состояние которых может свидетельствовать о наличии каких-либо отклонений.
В тестировании на проникновение зачастую стоит задача «взломайте нас» - там не идут вширь, а углубляются при первой возможности. По словам Омара Ганиева, компании заинтересованы найти наибольшее количество мисконфигураций и потенциальных векторов атак, поэтому они обращаются именно за услугой анализа защищенности.
Если есть желание - ежедневное самообучение и дисциплина - и всё получится.
Команда разрабов приложение "Самокат" годами пилят: оно лагает и крашится все время моего использования (с 2023) что на Android, что на iOS. Может тоже "детские мечты" реализуют =)
Даже если отменить сторонние куки, трекинг пользователей не прекращается
Самое забавное - наблюдать, как "Корпорация зла" отслеживает действия пользователей для персонализации контента и рекламы, на чём, разумеется, зарабатывает огромные деньги, продавая информацию рекламодателям, и одновременно борется с отслеживанием, внедряя в Google Chrome новые функции приватности.
Особый интерес представляло поведение системы при работе с Битрикс24 — популярной CRM-системой, весьма требовательной к ресурсам (и тут «весьма» еще мягко сказано).
Для Bitrix, безусловно, конфигурации 2/2 слишком мало, придется заниматься оптимизацией и харденингом всего и вся. А вот для VPN-сервера или веб-ресурса без бэкенда - за глаза.
Настолько модный, что большинство веб-ресурсов ПЫХтят на уровне Web 2.0, несмотря на то, что концепция Web 3.0 была выдвинута еще в 2007 году и большая часть ее идей остается лишь идеями.
Мечтать, как говорится, не вредно. В ближайшем будущем (5-10 лет), в лучшем случае, видится переход качественных веб-приложений на SPA, использование WebAssembly + WebGPU + Canvas, и, действительно, перенос большей части логики на клиентскую сторону. В качестве аутентификации будут использоваться Passkeys вместо паролей и пользователей будет сопровождать AI-ассистент, внедренный в веб-браузер, чтобы они не забывали как нажимать на кнопки.
Ну, а дефолтные веб-сайты продолжат ПЫХтеть в своем привычном стеке.
То, что раньше занимало недели, теперь можно собрать за один день. Это значит, что любая команда может наклепать прототипы и инструменты, не дожидаясь инженеров.
"Тяп-ляп" подход к "тяп-ляп" результату приводит. Порог входа в написание кода снизился, а желание получить качественный результат у работодателей только растет, судя по требованиям в вакансиях.
Учитывая тот факт, что в западной терминологии устоялись термины "Production environment" (Prod) и "Development environment" (Dev), которые, в том числе, используются авторитетными источниками (Microsoft Azure Documentation, IBM Cloud Docs и др.) в книге было бы корректней использовать именно их (или их прямые переводы - "продуктивная среда", "среда разработки").
В качестве блокирующего правила можно выставить blackhole в /config/action.d/route.conf, чтобы после срабатывания правила не нагружать сеть и ресурсы машины.
На приложенном вами скриншоте видно, что после включения набора правил WAF процент FAILED-запросов (некорректно обработанных) увеличился с 1,21% до 45,49%. Для объективной оценки эффективности правил безопасности WAF данный показатель должен стремиться к 0. Процент запросов, корректно обработанных WAF (PASSED), составил 0,15%, а доля атак с использованием методов обхода (BYPASSED) — 54,36%.
Таким образом, более половины запросов обошли правила, а почти половина была обработана некорректно. Невероятная антиреклама продукта, спасибо за статью!
Анализ защищенности более подходит к сравнению с медицинским чек-апом: поверхностное периодическое тестирование основных функций «организма», состояние которых может свидетельствовать о наличии каких-либо отклонений.
В тестировании на проникновение зачастую стоит задача «взломайте нас» - там не идут вширь, а углубляются при первой возможности. По словам Омара Ганиева, компании заинтересованы найти наибольшее количество мисконфигураций и потенциальных векторов атак, поэтому они обращаются именно за услугой анализа защищенности.
Если есть желание - ежедневное самообучение и дисциплина - и всё получится.
Команда разрабов приложение "Самокат" годами пилят: оно лагает и крашится все время моего использования (с 2023) что на Android, что на iOS. Может тоже "детские мечты" реализуют =)
А где шутки, что учить сначала нужно английский -_-
It’s time. MaxTime
1% из 1% уникальных существ Вселенной - словом, редкий покемон.
Самое забавное - наблюдать, как "Корпорация зла" отслеживает действия пользователей для персонализации контента и рекламы, на чём, разумеется, зарабатывает огромные деньги, продавая информацию рекламодателям, и одновременно борется с отслеживанием, внедряя в Google Chrome новые функции приватности.
А эти рекордные атаки они сейчас с нами в этой комнате?
Для Bitrix, безусловно, конфигурации 2/2 слишком мало, придется заниматься оптимизацией и харденингом всего и вся.
А вот для VPN-сервера или веб-ресурса без бэкенда - за глаза.
Настолько модный, что большинство веб-ресурсов ПЫХтят на уровне Web 2.0, несмотря на то, что концепция Web 3.0 была выдвинута еще в 2007 году и большая часть ее идей остается лишь идеями.
Мечтать, как говорится, не вредно. В ближайшем будущем (5-10 лет), в лучшем случае, видится переход качественных веб-приложений на SPA, использование WebAssembly + WebGPU + Canvas, и, действительно, перенос большей части логики на клиентскую сторону. В качестве аутентификации будут использоваться Passkeys вместо паролей и пользователей будет сопровождать AI-ассистент, внедренный в веб-браузер, чтобы они не забывали как нажимать на кнопки.
Ну, а дефолтные веб-сайты продолжат ПЫХтеть в своем привычном стеке.
"Тяп-ляп" подход к "тяп-ляп" результату приводит. Порог входа в написание кода снизился, а желание получить качественный результат у работодателей только растет, судя по требованиям в вакансиях.
С Bitrix даже LLM связываться отказалась
Учитывая тот факт, что в западной терминологии устоялись термины "Production environment" (Prod) и "Development environment" (Dev), которые, в том числе, используются авторитетными источниками (Microsoft Azure Documentation, IBM Cloud Docs и др.) в книге было бы корректней использовать именно их (или их прямые переводы - "продуктивная среда", "среда разработки").
С ядром 6.3.2 не сработало. Нужно использовать make bindeb-pkg.
Ставить альфа версию дистра - ну, такое... Я собирал драйверы с Github. Один из них работал нестабильно, а второй сыпал ошибками в логи.
Ставить альфа версию дистра, серьезно? Users shouldn't be using packages from here, because they can be dangerous and harmful even for the most experienced people.
Это необходимо учитывать, начиная с самого начала комментария?
Забавно))) Вы, видимо, кроме браузера ничем и не пользуетесь.
Эмммм, где вы видите нестабильное ядро? У релизов Debian идет лаг в две версии с ядром, вот и прикручиваем.
В качестве блокирующего правила можно выставить blackhole в /config/action.d/route.conf, чтобы после срабатывания правила не нагружать сеть и ресурсы машины.
Сколько раз нужно отчаяться, чтобы перейти на Debian с KDE?