Речь не о складе и кладовщике. Речь о том, что бумага не должна использоваться для принятия решений, если есть электронная система. Но удобных электронных систем на рынке пока нет, а если и есть, то позволить такую себе может только Газпром. Под удобной я подразумеваю такую, с которой не хотелось бы пользоваться распечатками.
В системе изначально указано 3,6 кг. Злоумышленник делает точно такую же распечатку в ворде, но сдвинув запятую в выгодную для себя сторону, т.е. 36 кг. Потому что кладовщик не может таскать с собой компьютер когда ищет товар на полках.
С бумагой всем проще, вам не нужно держать номера документов в голове, а кладовщику не нужно пачкать клавиатуру грязными руками и мыть руки руки перед каждой выдачей.
А списание всегда происходит по электронной системе, особенно при наличии штрих-кода. Не перепечатывать же каждый раз принесённую бумагу в систему, а без этого автоматическая сверка не возможно.
Про ручную сверку всех документов я вообще молчу. Наверняка у вас бывали ситуации, когда в коде находили опечатку в один символ после долгих поисков ошибки, и это при том что вы знали что есть какая-то ошибка и вам помогал искать компьютер.
А что это даст? Ходить между полками склада приходится с бумагой (по ней гвоздей — 36,5 кг), не компьютер же с собой таскать. А считывание штрих-кода вычтет из системы 3,65 кг.
Единственный способ избежать подобной проблемы, доверять можно только тем документам, которые распечатал сам. Но это не всегда удобно. К примеру, мне нужно забрать со склада 20 планок оперативной памяти. Я прихожу на склад, и вспоминаю, что не помню номера документа. Откуда считывать штрих-код? Документа у меня с собой нет! Значит в следующий раз я распечатаю документ сам. Теперь кладовщик должен распечатать свой экземпляр, точно такой же как у меня, потому что доверять можно только тем документам, которые распечатал сам. Первое время после обучения он скорее всего может и будет так делать, а потом расслабится и будет пользоваться моим экземпляром. Вот тут то я и подменю 20 планок на 120 на бумаге. И заметить это будет очень сложно, особенно если выдать нужно не одно наименование, а 100. И не какое автоматическое занесение в форму тут не поможет.
При следующей ревизии найдут недостачу в 100 планок, повесят их на кладовщика, и он начнёт печатать свой экземпляр. Всё будет хорошо, до тех пор пока он снова не расслабится или на его место не придёт новый кладовщик.
В идеале при работе с электронными документами не должно быть обычной бумаги, только электронная, которой удобно пользоваться, которую удобно с собой носить и в которой каждый самостоятельно открывает электронный документ, тогда такому носителю можно будет доверять. Но существующие модели имеют цену iphone, а интеграции с существующими системами документооборота не имеют.
Вот там-то и 33 кг гвоздей всплывут в виде некорректной подписи при проверке.
Как, если для принятия решения используется бумажный документ?
Хочется увидеть это волшебное решение. Желательно на примере того же кладовщика с грязными которому нужно выдать сто наименований товара.
Мне это тоже стало понятно, после того как fpir разъяснил. Но почему это простое объяснение не в статье, а в комментариях? Стоило дать пояснения к переводу, раз не хочется искажать оригинал.
если жертва поймет, что его система скомпрометирована, и изменит регистрационные данные для подключения к удаленному рабочему столу, то все, что потребуется сделать хакеру, — это нажать клавишу SHIFT пять раз
Я один не понял, где и как хакер нажмёт SHIFT, если его уже отключили от RDP?
Принесли бумажку, сверили с файликом все нормально.
Практически не возможно сверить документ из 10000 знаков в котором умышлено переставлена одна запятая, учитывая что таких документов много и о подлоге не предупреждают заранее.
А потом сиди и думай, куда делись 33 кг гвоздей.
Это работает до тех пор пока не влияет на принятие решений.
К примеру, у кладовщика руки часто оказываются то в ржавчине, то в мазуте. Поэтому он просит распечатать и принести ему документ.
По «заверенной» накладной он выдаёт 100 наименований товара, в том числе 36,5 килограмм гвоздей. В конце рабочего дня он отмывает руки и нажимает кнопку «выдано». В электронной системе списывается 3,65 килограмм гвоздей. Расхождение в количестве будет замечено при следующей ревизии, но будет ли замечен подлог — большой вопрос, так как для этого нужно будет сверить все бумажные документы с их электронными аналогами. Вручную!
Поэтому хэш-сумма на бумажном документе бесполезна, она не выполняет ту работу, которую делает в документе электронном. Штрих-код эффективен, только если каждое рабочее место оборудовано сканером штрих-кода. А со сверкой бумажной и электронной версий легко справляется старый, добрый номер документа.
Люди работают с бумажными документами. Во многих случаях это быстрее и проще. Штрих-код бывает полезен, чтобы найти бумажный документ в электронной системе с помощью того же смартфона. Но главная причина конечно психологическая, всегда можно определить по штрихкоду, что документ подписан. Это удобно, когда распечатываешь документ для себя.
Но для этой цели подходит абсолютно любой код (числовой или штриховой) и желательно, чтобы в нём НЕ был «зашит ЭЦП», т.к. теоретически при большом документообороте возможны коллизии.
В любом случае, вы правы, рассматривать такой код как инструмент защиты нельзя. Можно долго сверять бумажный вариант с электронным и не заметить, что в сумме появился лишний нолик, которого в электронном варианте не было.
Я сделал липовый сайт (abibas.ru или adidas.pro) по продаже товаров не программистам. На весь липовый товар я леплю свой QR, по которому весь товар валиден, потому что проверяется на моём же официальном сайте.
PROFIT.
Хорошо, что в статью внесли необходимые изменения, но думаю не будет лишним объяснить почему было важно рассказать о Ревит с самого начала.
Я подписан на хаб CAD/CAM, потому что меня интересует Open Source решения в этой области, а ещё проектирование радио-схем, а ещё на предприятии имеются закупленные SolidWorks, NanoCAD, Компас и в ближайшее время не планируется ни чего другого покупать, поэтому другие варианты даже не рассматриваются. Но при этом, я не имею ни какого отношения к архитектуре.
Число хабов на которые я подписан больше полусотни. Поэтому увидев заголовок «MVC и что-то там» я в последнюю очередь смотрю на хаб, так как тема MVC мне интересна. А расположение в хабе «CAD/CAM» ни как не поможет мне от потери времени, которое я потрачу на то чтобы понять, что Ревит ни как не пересекается ни с одной областей которые мне интересны, в отличии от абзаца, которое теперь есть в начале статьи.
[sarcasm on]
Как хорошо, что хоть кто-то рассказал, что такое MVC. Ведь этого же никто не знает!
Совсем другое дело Revit, про него знают абсолютно все, ведь это же как фотошоп или ворд.
Если, не дай бог, упомянуть что это такое и зачем это нужно и тем более до ката, то это всё равно, что сообщить о невежестве и дремучести читателя через громкоговоритель переполненного стадиона.
[sarcasm off]
Ну не ужели так трудно добавить пару слов до ката о том, что такое ревит. Сэкономьте десяток минут читателю, чтобы он мог сразу знать, что в этой статье для него нет ни чего интересного.
А вообще, mvc здесь притянут за уши, хотя бы потому, что контроллер недоступен. В этом смысле ревит не отличается от любой админки cms. Хватило бы инструкции: «если нажимать сюда и сюда, то получится то-то»
Мне кажется, что какой-нибудь онлайн-сервис проверяющий проекты по ссылке на github, был бы не плохой альтернативой для тех, чей проект хобби.
Естественно с ограничениями. Например, лимит на количество кода в проекте, символические $5 (или $1) за проверку, не чаще двух проверок в месяц.
Так отсекаем большие проекты, лишние мусорные запросы на проверку, которые могут положить онлайн сервис, и делаем себе рекламу, выдавая плашку о хорошем качестве кода для README при второй проверке.
Это только в качестве примера, который я придумал (но не продумывал) за 2 минуты. Правильный вариант может быть совсем иным.
YouTube не включает видео на фоновой вкладке специально, чтобы такие как я могли прокликать десяток ссылок на видеоролики средней кнопкой мыши без риска, что все видео начнут проигрываться одновременно. Ролик запускается лишь после открытия его вкладки.
В системе изначально указано 3,6 кг. Злоумышленник делает точно такую же распечатку в ворде, но сдвинув запятую в выгодную для себя сторону, т.е. 36 кг. Потому что кладовщик не может таскать с собой компьютер когда ищет товар на полках.
С бумагой всем проще, вам не нужно держать номера документов в голове, а кладовщику не нужно пачкать клавиатуру грязными руками и мыть руки руки перед каждой выдачей.
А списание всегда происходит по электронной системе, особенно при наличии штрих-кода. Не перепечатывать же каждый раз принесённую бумагу в систему, а без этого автоматическая сверка не возможно.
Про ручную сверку всех документов я вообще молчу. Наверняка у вас бывали ситуации, когда в коде находили опечатку в один символ после долгих поисков ошибки, и это при том что вы знали что есть какая-то ошибка и вам помогал искать компьютер.
Единственный способ избежать подобной проблемы, доверять можно только тем документам, которые распечатал сам. Но это не всегда удобно. К примеру, мне нужно забрать со склада 20 планок оперативной памяти. Я прихожу на склад, и вспоминаю, что не помню номера документа. Откуда считывать штрих-код? Документа у меня с собой нет! Значит в следующий раз я распечатаю документ сам. Теперь кладовщик должен распечатать свой экземпляр, точно такой же как у меня, потому что доверять можно только тем документам, которые распечатал сам. Первое время после обучения он скорее всего может и будет так делать, а потом расслабится и будет пользоваться моим экземпляром. Вот тут то я и подменю 20 планок на 120 на бумаге. И заметить это будет очень сложно, особенно если выдать нужно не одно наименование, а 100. И не какое автоматическое занесение в форму тут не поможет.
При следующей ревизии найдут недостачу в 100 планок, повесят их на кладовщика, и он начнёт печатать свой экземпляр. Всё будет хорошо, до тех пор пока он снова не расслабится или на его место не придёт новый кладовщик.
В идеале при работе с электронными документами не должно быть обычной бумаги, только электронная, которой удобно пользоваться, которую удобно с собой носить и в которой каждый самостоятельно открывает электронный документ, тогда такому носителю можно будет доверять. Но существующие модели имеют цену iphone, а интеграции с существующими системами документооборота не имеют.
Как, если для принятия решения используется бумажный документ?
Хочется увидеть это волшебное решение. Желательно на примере того же кладовщика с грязными которому нужно выдать сто наименований товара.
Я один не понял, где и как хакер нажмёт SHIFT, если его уже отключили от RDP?
Практически не возможно сверить документ из 10000 знаков в котором умышлено переставлена одна запятая, учитывая что таких документов много и о подлоге не предупреждают заранее.
А потом сиди и думай, куда делись 33 кг гвоздей.
К примеру, у кладовщика руки часто оказываются то в ржавчине, то в мазуте. Поэтому он просит распечатать и принести ему документ.
По «заверенной» накладной он выдаёт 100 наименований товара, в том числе 36,5 килограмм гвоздей. В конце рабочего дня он отмывает руки и нажимает кнопку «выдано». В электронной системе списывается 3,65 килограмм гвоздей. Расхождение в количестве будет замечено при следующей ревизии, но будет ли замечен подлог — большой вопрос, так как для этого нужно будет сверить все бумажные документы с их электронными аналогами. Вручную!
Поэтому хэш-сумма на бумажном документе бесполезна, она не выполняет ту работу, которую делает в документе электронном. Штрих-код эффективен, только если каждое рабочее место оборудовано сканером штрих-кода. А со сверкой бумажной и электронной версий легко справляется старый, добрый номер документа.
Но для этой цели подходит абсолютно любой код (числовой или штриховой) и желательно, чтобы в нём НЕ был «зашит ЭЦП», т.к. теоретически при большом документообороте возможны коллизии.
В любом случае, вы правы, рассматривать такой код как инструмент защиты нельзя. Можно долго сверять бумажный вариант с электронным и не заметить, что в сумме появился лишний нолик, которого в электронном варианте не было.
PROFIT.
Я подписан на хаб CAD/CAM, потому что меня интересует Open Source решения в этой области, а ещё проектирование радио-схем, а ещё на предприятии имеются закупленные SolidWorks, NanoCAD, Компас и в ближайшее время не планируется ни чего другого покупать, поэтому другие варианты даже не рассматриваются. Но при этом, я не имею ни какого отношения к архитектуре.
Число хабов на которые я подписан больше полусотни. Поэтому увидев заголовок «MVC и что-то там» я в последнюю очередь смотрю на хаб, так как тема MVC мне интересна. А расположение в хабе «CAD/CAM» ни как не поможет мне от потери времени, которое я потрачу на то чтобы понять, что Ревит ни как не пересекается ни с одной областей которые мне интересны, в отличии от абзаца, которое теперь есть в начале статьи.
Как хорошо, что хоть кто-то рассказал, что такое MVC. Ведь этого же никто не знает!
Совсем другое дело Revit, про него знают абсолютно все, ведь это же как фотошоп или ворд.
Если, не дай бог, упомянуть что это такое и зачем это нужно и тем более до ката, то это всё равно, что сообщить о невежестве и дремучести читателя через громкоговоритель переполненного стадиона.
[sarcasm off]
Ну не ужели так трудно добавить пару слов до ката о том, что такое ревит. Сэкономьте десяток минут читателю, чтобы он мог сразу знать, что в этой статье для него нет ни чего интересного.
А вообще, mvc здесь притянут за уши, хотя бы потому, что контроллер недоступен. В этом смысле ревит не отличается от любой админки cms. Хватило бы инструкции: «если нажимать сюда и сюда, то получится то-то»
А если серьёзно, когда встречаешь слово «отличный» в каждом предложении, то оно начинает восприниматься как словесный шум.
Естественно с ограничениями. Например, лимит на количество кода в проекте, символические $5 (или $1) за проверку, не чаще двух проверок в месяц.
Так отсекаем большие проекты, лишние мусорные запросы на проверку, которые могут положить онлайн сервис, и делаем себе рекламу, выдавая плашку о хорошем качестве кода для README при второй проверке.
Это только в качестве примера, который я придумал (но не продумывал) за 2 минуты. Правильный вариант может быть совсем иным.
Веб 2.0, Bootstrap и, конечно же, JQuery.