В ходе реализации нового проекта заказчик часто задаёт вопрос о том, каким образом защищена внедряемая СУБД. Один из вероятных ответов (неправильный на мой взгляд): «БД находится во внутреннем периметре вычислительной сети и недоступна для злоумышленника». По статистике инсайдеры более опасны, так как у них есть возможность легитимно исследовать уязвимости в предоставленных сервисах.

Предлагаю попробовать самостоятельно настроить уже имеющийся функционал, позволяющий повысить уровень защищённости вашей системы.

Как мы писали ранее, в качестве основной базы для поиска на сайте используется elasticsearch. Поиск в elastic работает очень быстро и из коробки доступно много полезных функций для работы с данными — полнотекстовый поиск, неточный поиск, всевозможные методы агрегации и тд.

И в отличии от классических SQL баз данных или noSQL типа MongoDB здесь очень удобно делать неточный поиск по всему документу. Для этого используется синтаксис Query DSL. Для полнотекстового поиска по всему документу есть несколько поисковых запросов. У себя на сайте мы используем тип query_string. Этот запрос поддерживает Lucene синтаксис, который позволяет и нам и пользователю создавать сложные запросы в google-style. Вот примеры таких запросов:

title:apache AND title:vulnerability
type:centos cvss.score:[8 TO 10]

Можно сделать вот такой простой запрос и все:

{
  "query": {
    "query_string": {
      "query": "exploit wordpress"
    }
  }
}

Но начав впервые использовать query_string, вы столкнетесь с тем, что поиск выдает не то, что вы хотите видеть. Как же добиться от elasticsearch внятного результата поиска?

Анализируя поступающие заявки наших клиентов в службу технической поддержки и обращения к консультантам, мы заметили, что множество наших клиентов сталкиваются с такой проблемой как «автовыход», не понимая, что это и как с ней бороться.

Любой сервер в том числе и виртуальный сервер должен работать в постоянном режиме 24 х 7 х 365. И соответственно пользователь, который запускает программы на выполнение на сервере, рассчитывает, что они будут работать в таком же режиме. Именно на это и рассчитывают наши клиенты. Однако устанавливая на VPS сервер различного рода десктопное программное обеспечение, которое разрабатывалось «умельцами» без мысли, что существуют компьютеры, не имеющие мониторов, отключившись от сервера через какое-то время замечают, что его программа перестала работать должным образом, при том что сервер активен и доступен. Замечают это как правило при следующем подключении к серверу для анализа данных с как подразумевалось работавшего ПО. Проблема, очевидно в том, что данное ПО что-то пытается брать со свойств экрана (разрешение, позиция курсора и т.д.) при том, что ни экрана, ни курсора при отключенном сеансе нет.

Думаю, любой системный администратор, использующий Ansible для управления своим зоопарком серверов задавался вопросом о проверке корректности описания конфигурации своих серверов. Как же не бояться вносить изменения в конфигурации серверов?
В серии статей, посвященных DevOps, мы расскажем об этом.

I. Почему Чехия?

В начале 2015 года компания, в которой я работала инхаусом, решила перевезти часть своих российских разработчиков в Европу. Преследовалось несколько целей: мотивация российских разработчиков, упрощение найма инженеров из Евросоюза, удобство обслуживания зарубежных контрактов. Выбор пал на Чехию, а именно на Прагу. Почему?

Последние несколько лет государство все активнее подталкивает организации к переходу на сдачу налоговой отчетности в электронном виде, которая осуществляется посредством специализированных операторов связи (не бесплатно).

Невольно прослеживается ассоциация с платными дорогами, где обязательно должна присутствовать бесплатная альтернатива платному участку. Так как основное направление моей деятельности — максимальное сокращение расходов организаций на ИТ, то в данной статье я попытаюсь рассмотреть возможность бесплатной сдачи электронной отчетности.

Сразу обозначу область — будет рассматриваться общая ситуация без углубления в операционные системы и прочее ПО, так как это тема других статей, готовящихся к пуликации.

В процессе не очень удачной эксплуатации клавиатуры Logitech K800 у меня сломалось несколько клавиш, причем самые нужные и труднодоставаемые: правый Shift и основной Enter. Можно, конечно, купить новые на ebay, но есть две проблемы:
— цена;
— размеры некоторых клавиш для разных раскладок отличаются. Так, например, основной Enter в русской раскладке имеет иную форму, чем такой же в американской.

У меня сломались крепления клавиш к ножничному механизму — оснастке (т.е. такие зацепы на прозрачной части клавиши). Но обнаружилось, что в ремонте можно схитрить и обойтись малой кровью.

С тех пор как в 2007 году мы создали биржу копирайтинга Textbroker.ru, в сети появилось с десяток бирж, мало отличающихся друг от друга. Их всех и сейчас объединяет не меняющийся годами функционал и алгоритм работы.

Тогда, в начале пути, для открытия биржи было достаточно нанять внештатного программиста, который мог легко обеспечить работу всего механизма.

Всем привет!

Меня зовут Женя Заремба. Пару месяцев назад я написал статью о продвижении видео на YouTube. Тогда я получил множество вопросов и в результате решил написать расширенный гайд по аналитике видео.

В этом материале мы поговорим о YouTube Analytics, преимуществах интеграции с Google Analytics, а также о дополнительных данных, которые можно получить, правильно настроив Google Tag Manager.

Существует несколько популярных securty дистрибутивов, содержащих большинство популярных утилит и приложений для проведения тестирования на проникновение. Обычно они основаны на существующих Linux-дистрибутивах и представляют из себя их переработанные версии. В этой статье будут представлены наиболее известные из них.

Хотел бы написать небольшую заметку о том как настроить репликацию OpenLDAP между несколькими серверами. Итак…

Дано:
1. Организация с филиалами. В главном офисе и в каждом филиале есть сервер LDAP который хранит у себя логины/пароли пользователей.

Задача:
Сделать так, что бы между главныи офисом и филиалами было «единое пространство имен», то есть что бы каждый LDAP сервер «знал» о логинах/паролях всех остальных филиалов и главного офиса.

Решение:
1. Установку Linux, OpenLDAP, настройку OpenVPN (главный офис и филиалы связаны через OpenVPN) описывать не буду. Будем считать что у вас это уже установлено и настроено.
2. У нас есть три сервера. Главный 192.168.1.1, и два филиала 192.168.1.2 и 192.168.1.3 соответственно. Все они связаны друг с другом через OpenVPN.

2. Теперь настройка OpenLDAP. В главном офисе (192.168.1.1) в LDAP заносятся все логины/пароли который нужны.

Начну с самого начала — пару лет назад я увлекся гоночными симуляторами. Конечно, случайно — просто захотелось попробовать F1 2012. Попробовал. На клавиатуре показалось полной ерундой, и я решил, что даже недорогой руль позволит раскрыться этому симулятору передо мной во всем блеске. На поверку это оказался ни разу не симулятор и даже более, но речь не о том. Итак, погуглив и покурив много-много форумов на эту тему, было принято решение купить с рук старенький, но добротный Logitech Momo. На Авито удалось найти несколько вариантов, и первый же из них оказался удачным — почти новенький, пылившийся в углу, за 1500 рублей — просто мечта!



Так прошло пару месяцев, про F1 2012 давно забыл, сначала увлекся Assetto Corsa, но потом подсел (и до сих пор плотно сижу) на iRacing. И все было хорошо, осваивался, наращивал, так сказать, скилл, но переходу с более простых и медленных на быстрые и сложные авто мешал как раз руль — конструкция все же устаревшая, угол 240 градусов… В итоге на собственный День рождения подарил себе по совету друзей прекрасную вещь — Logitech G27. Было это еще до последних финкризисов, плюс попал на акцию крупного продавца техники, в итоге купил всего за 8000 рублей. Логитек Момо, кстати, не пропал и был куплен за те же деньги все через тот же Авито бравым 56-летним пенсионером из близлежащих сел, который планировал разнообразить пенсию поездками за мандаринами в Euro Truck Simulator.

«Собачья площадка» — это блуждающая вечеринка «Собаки Павловой». Зовем в гости коллег и профи из смежных областей, задаем тему для обсуждения — и обмениваемся знаниями и мнениями в формате мозгового штурма (то есть по возможности без критики).

Тусовка бесплатная, но за вход взимается интеллектуальный взнос: нужно сосредоточиться и описать, чем вы можете быть интересны другим гостям «Собачьей площадки». Формат пользы от раза к разу меняется: иногда важен опыт, иногда знакомства, иногда профессия. В этот раз были важны идеи.

Электронная подпись: страшно удобно или удобно, но страшно?



Надоело подписывать документы в бумажном виде? Вроде уже давно электронная подпись введена, а все равно страшно. С бумагой как-то надежнее. Или нет?

По запросам клиентов на подготовку правовой документации для сайтов мы видим сумятицу в представлении, какие документы необходимы и достаточны для интернет-площадки с определенным функционалом.

При первом контакте клиенты называют пользовательское соглашение или оферту, вкладывая в данные термины разное содержание. На выходе после обсуждения с заказчиком особенностей его интернет-проекта мы получаем целый пакет документов, который наряду с пользовательским соглашением может включать публичную оферту или правила оказания услуг (TOS), лицензионный договор и политику конфиденциальности (Privacy Policy).

Мы выделяем несколько правовых схем взаимодействия владельца сервиса с пользователями с учетом функционала различных интернет-проектов. На основе классификации рекомендуется использовать отдельные пакеты документов для основных групп интернет-сервисов.

Какие группы сайтов принято выделять и пакеты документации использовать смотрите под катом.

У многих компаний заметная часть продаж идёт через телефон: клиенты звонят с сайта, с рекламных объявлений, с оффлайн-каналов. Отследить, откуда пришел посетитель при онлайн-заказе, давно не проблема. Но в случае с продажей по телефону мы не видим, какая реклама привела его. Эту задачу решает коллтрекинг.

Хочу обратить ваше внимание на важную, на мой взгляд, проблему, которой пренебрегают даже самые крупные и инновационные компании мира. Проблема заключается в отсутствии у большинства доменов SPF-записи, которая защищает домен от его несанкционированного использования в электронной почте.
SPF (Sender Policy Framework) представляет из себя текстовую запись в TXT-записи DNS домена. Запись содержит информацию о списке серверов, которые имеют право отправлять письма от имени этого домена и механизм обработки писем, отправленных от других серверов.
Например, SPF-запись «example.com. TXT «v=spf1 +a +mx -all»» говорит о том, что отправлять письма от имени домена «example.com» могут сервера, указанные в A и MX-записях этого домена, а письма, отправленные от других серверов должны быть удалены (Fail).

CEO думают о многих вещах, но одна из самых важных – это их время. Управляют ли они компанией из Fortune 500, или стартапом, у них есть много проблем — а в глобальной экономике важна каждая секунда.

Когда я впервые занялся стартапом, я писал огромные письма членам своей команды. Всё это закончилось длинными цепочками из ответов, которые отнимали огромное количество времени у всех. Я научился отфильтровывать лишнее и концентрироваться на ключевых моментах, которые я хотел донести.

TL;DR: Будьте кратким

Тратить время на чтение цепочек писем – непродуктивно. Тратить время на телефоне – ещё менее продуктивно. У меня-то за плечами всего несколько лет управления компанией, но в сумме у моих директоров и председателя более 30 лет опыта работы CEO или исполнительными директорами. Общение с ними научило меня менять стиль письма и делать его компактным – иногда низводить до писем из одного слова.

Вот вам пример того, как в письмах бывает слишком много «воды»:

Информационная безопасность — мое хобби. К сожалению, пока не могу сказать об этом большего. Я не зарабатываю этим на хлеб, нет, я просто исследую то, что мне попадается.

Летней ночью 2015 года, где-то в 4 утра, я как обычно думал о жизни. Внезапно на меня упала мысль: «В реальном мире, где нет биткойнов, никто не отслеживает деньги, все отслеживают только суммы переданных денег». Эта мысль натолкнула меня на очень многое, но в первую очередь — на бонусную программу Билайн.

Как снизить стоимость ваших услуг без потери качества? Уверены, с таким вопросом клиенты обращаются не только к юристам. Ответ лежит на поверхности: необходима стандартизация процессов и предлагаемой документации, создание на их базе удобных продуктов.

За 7 лет работы на рынке юридических услуг для ИТ-компаний у нас накопились решения, откатанные на множестве похожих проектов. Мы взяли их за основу и разработали различные модели или пакеты документации, не требующие существенных затрат на кастомизацию.

В результате был создан Магазин готовых решений, который предлагается вашему вниманию.

В чем выгода от использования комплексных продуктов для клиентов и юристов смотрите под катом.