«Такое» (исправление ошибок в софте при совместной работе вендора оборудования и производителя софта, иногда с вовлечением клиента) в проприентарном софте происходит столько, сколько вы на свете не живете, судя по вашему профилю.
Со стороны системы никаких «неявных телодвижений» тут нет — сделано ровно то, о чем систему явным образом попросили (если вы так и не дали себе труд заглянуть в man mount.cifs, ближайшим аналогом, пожалуй, будет создание директории через su и забывание про то, что надо бы на неё потом права правильные выставить). Что творилось в мозгах у дававшего команду — вопрос не ко мне.
Msg 15281, Level 16, State 1, Procedure xp_cmdshell, Line 1
SQL Server blocked access to procedure 'sys.xp_cmdshell' of component 'xp_cmdshell' because this component is turned off as part of the security configuration for this server. A system administrator can enable the use of 'xp_cmdshell' by using sp_configure. For more information about enabling 'xp_cmdshell', see «Surface Area Configuration» in SQL Server Books Online.
Я всё верно понял — если заглянул в man capabilities, настроил и сломал — то сам виноват, а если заглянул в SQL Server Books Online, настроил и сломал — это система виновата?
О. То есть когда оракл на линуксе — виноваты люди. А когда ровно такой же случай (да-да, оно не «само», это надо было специально постараться), но MS SQL на винде — внезапно, винда. В принципе, тут больше добавить нечего. :)
Спасибо за объяснение. :) Но о какой статье по ссылке вы говорите? Я вижу только одну ссылку, ведующую на гиктаймс же. А там автор ссылается на работу, где нет фото людей с телефонами.
Что до пассажиров — вам, например, доводилось ездить в машине, где за рулем — мать, а на заднем сиденье — двое от природы весьма активных детей в возрасте 10-12 лет? Телефон отвлекает сильнее? Ох, я бы не сказал. :)
Если телефон надо физически держать в руке — это, ясное дело, плохо. Но когда речь идет не об этом, а просто об отвлечении внимания, то очевидно, что влияние телефона надо учитывать на фоне других реально имеющихся в жизни факторов, а не в чистом виде, когда есть только телефон и больше ничего.
Допустим, у вас в продакшене не MSSQL на винде, а вовсе даже оракл на линуксе, а добрый разработчик так спроектировал приложение, что из Оракла выполняются системные вызовы с использованием su, и в результате что-то идет не так — кто виноват? Оракл и линукс, да?
Вот буквально вчера в новостях — www.autonews.ru/automarket_news/news/1808156 :D
А вообще безопасность безопасностью, но «исследования» наподобие того, о котором статья, уже где-то близко к грани маразма. Ок, уведомления «отвлекают»… а те же пассажиры в салоне что, сидят молча, аки истуканы? Давайте запретим разговоры в автомобилях в принципе! А окружающий мир в целом от вождения не отвлекает случайно? :)
Чего я действительно не понимаю, так это того, зачем давать какие-то комментарии в области, в которой не разбираетесь. Суть проблемы вы описали неверно. На мой вопрос, с которого началась эта ветка комментариев, ответить тоже не можете или не хотите. Но виновата почему-то винда. :)
P.S. Если коротко, описанная проблема заключается в том, что в контексте безопасности учетной записи А было из-за человеческого раздолбайства сделано сетевое подключение, используя учетную запись Б. Невозможная ситуация в других ОС, да. :D
Это с одной стороны. А с другой — afaik, тот же Chef как раз из такой системы «для внутреннего употребления» и вырос. Рассуждай его автор так же, было бы одной популярной системой управления меньше. :)
«Хотелось бы всё же услышать начальника транспортного цеха» (с). Но вы, если хотите, можете выступить за него и тоже попробовать ответить на мой вопрос. А там, глядишь, увидим, кому будет забавно. :)
> Так вот, народ… давно не устраивает автономка среднестатистического Android-фона.
Да-да. Это отчетливо видно по прилавкам магазинов. Магазины, внезапно, закупаются тем, что ПРОДАЕТСЯ. А продаются тому самому народу отнюдь не Philips Xenium, а как раз «среднестатистические андроид-фоны».
И, если уж на то пошло, сравните ваш девайс с флагманами упомянутой линейки Philips Xenium. Возможно, чему-то удивитесь.
Может быть проблемы с NTLM? Это странно. Гораздо чаще проблемы встречаются с Kerberos. Как проверить авторизацию используя NTLM и Kerberos? Для NTLM используем короткое имя или IP-адрес, а для Kerberos — FQDN.
Нет. По короткому имени в домене точно так же по умолчанию используется Kerberos, что вы, собственно, и увидели в дальнейшем при трассировке. NTLM используется при обращении по IP.
То есть вы установили, что поведение бэкапов разное при обращении по разным именам, но способ аутентификации тут ни при чем.
KDC_ERR_PREAUTH_REQUIRED означает, что учетные данные неверны.
Не означает. Это вообще не ошибка, а стандартное поведение по умолчанию (требование выполнить пре-аутентификацию Kerberos).
А в списке выводов не вижу «не дизайнить приложения идиотским способом, подразумевающим запоминание (хотя бы и временное) чьих-то учетных данных в контексте безопасности служебных учеток». :)
P.S. MS Message analyzer (наследник MS Network Monitor) позволяет подключаться к удаленной машине.
> «объективный факт» является «фактом Шредингера» до вынесения решения суда
Послушайте, я не знаю, как там в стране эльфов, но у нас в реальном мире человек получает тяжкие телесные, несовместимые с жизнью, именно в момент нанесения удара топором по башке, а не тогда, когда судья приговор выносит. Про свои «факты Шредингера» можете попытаться его родственникам рассказать. И наркоманы у нас жрут проданные им наркотики, не дожидаясь, пока суд решит, что они им были проданы. Если вы попросту отрицаете реальность, я не могут воспринимать вас иначе как тролля, уж извините.
А вот так — не влияет. Вы понимаете, что такое причинно-следственные связи? Преступление на момент всех этих разговоров с судьей уже либо совершено, либо нет. Это — понятно? То, что объективный факт торговли наркотиками (или отсутствия таковой) никак не зависит от того, что о нем думают третьи лица (включая судью), и от того, нарушаются или нет права подозреваемых в процессе — понятно? Надеюсь, да.
Зато есть очевидное влияние в обратную сторону. Дело рассматривается несколько лет — ну и как вы думаете, за это время у судьи, знакомого со всеми материалами и ходом расследования, уже сложилось какое-то мнение или нет? Или вы искренне полагаете, что судья при рассмотрении многолетнего дела принимает решение исключительно в процессе паузы в заседании для вынесения приговора? :D
И, что касается отсылки к ЕСПЧ — он как раз прекрасно разделяет факты доказанности совершения преступления и нарушения прав человека в процессе.
> Потому что там много эпизодов, опий есть только в нескольких. Плюс я не нагуглил информацию по опию (много это или мало).
Разок-другой торганул — не считается? :D Гуглите дальше, потому что у меня по ссылкам с первой же страницы (где можно почерпнуть сведения о концентрации алкалоидов и медицинских суточных дозах) картина выходит совершенно ясная.
Msg 15281, Level 16, State 1, Procedure xp_cmdshell, Line 1
SQL Server blocked access to procedure 'sys.xp_cmdshell' of component 'xp_cmdshell' because this component is turned off as part of the security configuration for this server. A system administrator can enable the use of 'xp_cmdshell' by using sp_configure. For more information about enabling 'xp_cmdshell', see «Surface Area Configuration» in SQL Server Books Online.
Я всё верно понял — если заглянул в man capabilities, настроил и сломал — то сам виноват, а если заглянул в SQL Server Books Online, настроил и сломал — это система виновата?
Что до пассажиров — вам, например, доводилось ездить в машине, где за рулем — мать, а на заднем сиденье — двое от природы весьма активных детей в возрасте 10-12 лет? Телефон отвлекает сильнее? Ох, я бы не сказал. :)
Если телефон надо физически держать в руке — это, ясное дело, плохо. Но когда речь идет не об этом, а просто об отвлечении внимания, то очевидно, что влияние телефона надо учитывать на фоне других реально имеющихся в жизни факторов, а не в чистом виде, когда есть только телефон и больше ничего.
Будете дальше клоунаду устраивать?
А вообще безопасность безопасностью, но «исследования» наподобие того, о котором статья, уже где-то близко к грани маразма. Ок, уведомления «отвлекают»… а те же пассажиры в салоне что, сидят молча, аки истуканы? Давайте запретим разговоры в автомобилях в принципе! А окружающий мир в целом от вождения не отвлекает случайно? :)
P.S. Если коротко, описанная проблема заключается в том, что в контексте безопасности учетной записи А было из-за человеческого раздолбайства сделано сетевое подключение, используя учетную запись Б. Невозможная ситуация в других ОС, да. :D
Вероятно, главный вход не обязан являться «эвакуационным выходом».
Да-да. Это отчетливо видно по прилавкам магазинов. Магазины, внезапно, закупаются тем, что ПРОДАЕТСЯ. А продаются тому самому народу отнюдь не Philips Xenium, а как раз «среднестатистические андроид-фоны».
И, если уж на то пошло, сравните ваш девайс с флагманами упомянутой линейки Philips Xenium. Возможно, чему-то удивитесь.
Не расскажете поподробнее, какими такими системами, и каких именно логов в них нет применительно к данному конкретному случаю?
Нет. По короткому имени в домене точно так же по умолчанию используется Kerberos, что вы, собственно, и увидели в дальнейшем при трассировке. NTLM используется при обращении по IP.
То есть вы установили, что поведение бэкапов разное при обращении по разным именам, но способ аутентификации тут ни при чем.
Не означает. Это вообще не ошибка, а стандартное поведение по умолчанию (требование выполнить пре-аутентификацию Kerberos).
А в списке выводов не вижу «не дизайнить приложения идиотским способом, подразумевающим запоминание (хотя бы и временное) чьих-то учетных данных в контексте безопасности служебных учеток». :)
P.S. MS Message analyzer (наследник MS Network Monitor) позволяет подключаться к удаленной машине.
Самые сильные вроде как возрастают же (антиэкранирование цветового заряда).
Послушайте, я не знаю, как там в стране эльфов, но у нас в реальном мире человек получает тяжкие телесные, несовместимые с жизнью, именно в момент нанесения удара топором по башке, а не тогда, когда судья приговор выносит. Про свои «факты Шредингера» можете попытаться его родственникам рассказать. И наркоманы у нас жрут проданные им наркотики, не дожидаясь, пока суд решит, что они им были проданы. Если вы попросту отрицаете реальность, я не могут воспринимать вас иначе как тролля, уж извините.
А вот так — не влияет. Вы понимаете, что такое причинно-следственные связи? Преступление на момент всех этих разговоров с судьей уже либо совершено, либо нет. Это — понятно? То, что объективный факт торговли наркотиками (или отсутствия таковой) никак не зависит от того, что о нем думают третьи лица (включая судью), и от того, нарушаются или нет права подозреваемых в процессе — понятно? Надеюсь, да.
Зато есть очевидное влияние в обратную сторону. Дело рассматривается несколько лет — ну и как вы думаете, за это время у судьи, знакомого со всеми материалами и ходом расследования, уже сложилось какое-то мнение или нет? Или вы искренне полагаете, что судья при рассмотрении многолетнего дела принимает решение исключительно в процессе паузы в заседании для вынесения приговора? :D
И, что касается отсылки к ЕСПЧ — он как раз прекрасно разделяет факты доказанности совершения преступления и нарушения прав человека в процессе.
> Потому что там много эпизодов, опий есть только в нескольких. Плюс я не нагуглил информацию по опию (много это или мало).
Разок-другой торганул — не считается? :D Гуглите дальше, потому что у меня по ссылкам с первой же страницы (где можно почерпнуть сведения о концентрации алкалоидов и медицинских суточных дозах) картина выходит совершенно ясная.
Дальше — тривиальные следствия из определений, на уровне силлогизмов.
Дело не в процессуальных тонкостях, а в том, что настрой судьи никак не влияет на основной вопрос — торговала семья наркотиками или нет.
> По материалам РИА Новости по результатам исследования, в 4,8 кг сотрудники усмотрели 8,7 грамма маковой соломы.
Вы почему-то выпустили из цитаты ключевую часть:
"… 8,7 грамма маковой соломы и 24,2 грамма опия."