это не сам конкретно сайт, а взятый как попало alpine в сборочном контейнере без понимания, ведь он меньше по размеру /s, там glibc заменен на альтернативный аллокатор musl.
тема аллокаторов сама жирная и обширная в лынукс, но как обычно в нем выбирать приходится из сортов говна - glibc разжирает долгоиграющие бинарники в памяти, у jemaloc есть рандомные краши и дропнута поддержка, musl вот такой +часть функций glibc не имплеменчена.
вот вобще ничего не значит. зачем это в статье? я читал эти требования и там больше про методологию. куча ос от винХП до разных линуксов тоже имеет EAL4 и никто не пишет сенсации "сегодня обнаружена CVSS 10, RCE"
а что с ним? валидно имплементированный DNS сервер/клиент обязан следовать стандарту - когда TTL=0 не кешировать вердикт. просто 0 надо выставлять чуть раньше, а не когда вот уже завалилось
скажите сколько АПЛ выпущено в РФ в 2024 году? а сколько продано? и да, например, у даймлер групп продажи 2024 ~= 2.3 млн единиц. а в германии 3 производителя авто, ну так если што.
Просто не запускайте лишних, ненужных вам, неизвестных и непонятных сервисов
тут скорей рекомендация для default deny outgoing, но автор это не понял, просто скопипастил из интернетов.
default deny на выход сделан для того, чтоб из вашей машины при компрометации безправного сервиса (например nginx, xray итд) не превратили в ботнет с рассылкой спама и DDOS атак куда ни попадя.
и, конечно же, это не харденинг самого хоста, это минимизация ущерба при состоявшемся взломе.
все операции выполняются через лицензионный и сертифицированный модуль CryptoPro CSP
а вот это очень тоненький лед. предположим выхлопы официальных утилит платных и ваших будут отличатся. не в вашу пользу.
Таким образом, требования по сертификации от ФСБ/ФСТЭК относятся к криптографическому ядру, а не к надстройкам, использующим его по прямому назначению и в штатном режиме. Это типовой сценарий использования, прямо описанный в документации
Опыт создания подобного решения наглядно демонстрирует, что глубокое понимание принципов работы криптографических систем, в сочетании с гибким использованием современных средств разработки, позволяет создавать мощные и востребованные продукты.
не демонстрирует. есть ряд вопросов:
1) есть ли у вас лицензия от ФСБ на крипту?
2) в статье ни слова о ФСТЭК-сертификации решения, никто в здравом уме себе это не поставит, потому что в случае проблем выебут как сидорову козу. причем не вас, а потребителя. и да, я вас огорчу - для сертификации вам понадобится статанализ самого "интерпретатора" дотнет. для одного человека это годы работы, причем не абы каким статанализатором, а рекомендованным ФСТЭК, тоже платным, не будем упоминать всуе его имя.
3) и вы сами это признаете "Хотя с юридической точки зрения такая визуализация сама по себе не придаёт подписи силы без соответствующего файла контейнера или откреплённой подписи "
да сфигали, только харкор - только все руками делать с 0.
а если серьезно, то вполне кажется на их технологической базе можно сделать огнестрел. до ТТ конечно далеко и качество сильно плавать будет, но в целом можно. патроны вполне себе отливают у них, недавно был ролик
нам увы еще и i386 надо.
увы, не знаю. будем ресерч делать, на альтернативные с jemalloc
это не сам конкретно сайт, а взятый как попало alpine в сборочном контейнере без понимания, ведь он меньше по размеру /s, там glibc заменен на альтернативный аллокатор musl.
тема аллокаторов сама жирная и обширная в лынукс, но как обычно в нем выбирать приходится из сортов говна - glibc разжирает долгоиграющие бинарники в памяти, у jemaloc есть рандомные краши и дропнута поддержка, musl вот такой +часть функций glibc не имплеменчена.
да там сразу вой начинается - а вот, это не только ваз, это еще все поставщики, да там весь город кормится.
хотя конечно давно пора это багодельню закрывать.
это как? если чистый убыток, то кажется и рентабельность должна быть в минусе?
бгг. если што в 25м году ossl3 проигрывает в производительности 1х прилично. и да, есть платная подписка на 1х с баго-секуритификсом.
и да - типичная проблема опенсорса не доделав до конца или даже до старого функционала без регресса новую версию закапывать старую. масса примеров.
вот вобще ничего не значит. зачем это в статье? я читал эти требования и там больше про методологию. куча ос от винХП до разных линуксов тоже имеет EAL4 и никто не пишет сенсации "сегодня обнаружена CVSS 10, RCE"
а что с ним? валидно имплементированный DNS сервер/клиент обязан следовать стандарту - когда TTL=0 не кешировать вердикт. просто 0 надо выставлять чуть раньше, а не когда вот уже завалилось
кажется приоритет у фичи должен отвечать на этот вопрос
с TTL=0 - мгновенно
скажите сколько АПЛ выпущено в РФ в 2024 году? а сколько продано?
и да, например, у даймлер групп продажи 2024 ~= 2.3 млн единиц. а в германии 3 производителя авто, ну так если што.
тогда тем более сам бог велел. заодно и парк старого железа обновлять с переходом и закупом win11 не надо
а это и другие полезные советы вы прочтете в телеграм-канале авторатут скорей рекомендация для default deny outgoing, но автор это не понял, просто скопипастил из интернетов.
default deny на выход сделан для того, чтоб из вашей машины при компрометации безправного сервиса (например nginx, xray итд) не превратили в ботнет с рассылкой спама и DDOS атак куда ни попадя.
и, конечно же, это не харденинг самого хоста, это минимизация ущерба при состоявшемся взломе.
это версия на зарубежный рынок и для тех кому сертификация не нужна, серт VA на редос сделан. ну и стндэлон никто не отменял - ставьте куда хотите.
он в 2010 уже и был комбайном, алло
я не особый фанат, до такого не докапывал :)
а вот это очень тоненький лед. предположим выхлопы официальных утилит платных и ваших будут отличатся. не в вашу пользу.
к сожалению по классике по вашей ссылке https://www.cryptopro.ru/products/net на доку https://cpdn.cryptopro.ru/default.asp?url=content/cpnet/html/08bcd27a-1f1c-4494-a996-37d88776309e.htm возвращает 404, возможно необходима авторизация какая-то.
есть более другая ссылка?
PS и да, ваше комментарии прям отдают чат-гопотой.
не демонстрирует. есть ряд вопросов:
1) есть ли у вас лицензия от ФСБ на крипту?
2) в статье ни слова о ФСТЭК-сертификации решения, никто в здравом уме себе это не поставит, потому что в случае проблем выебут как сидорову козу. причем не вас, а потребителя. и да, я вас огорчу - для сертификации вам понадобится статанализ самого "интерпретатора" дотнет. для одного человека это годы работы, причем не абы каким статанализатором, а рекомендованным ФСТЭК, тоже платным, не будем упоминать всуе его имя.
3) и вы сами это признаете "Хотя с юридической точки зрения такая визуализация сама по себе не придаёт подписи силы без соответствующего файла контейнера или откреплённой подписи "
4) краем глаза пробежался по соседней упоминаемой статье, про php, https://habr.com/ru/articles/924478/. если в дотнет у вас такие же решения
вам кранты - сертификацию и впринципе безопасные методы разработки вы никогда не сдадите
да сфигали, только харкор - только все руками делать с 0.
а если серьезно, то вполне кажется на их технологической базе можно сделать огнестрел. до ТТ конечно далеко и качество сильно плавать будет, но в целом можно. патроны вполне себе отливают у них, недавно был ролик