• Безвозвратная потеря EC2 инстанса, EBS томов и всех снэпшотов
    0
    Есть Amazon S3 и Amazon Glacier, но опять же хранить все в одной корзине…
  • Нужны ли на самом деле старт-апы крупным корпорациям
    +3
    «старт-апер», «старт-ап», «старт-аперам» — зачем вы так пишите?
  • NGINX изнутри: рожден для производительности и масштабирования
    0
    а почему бы вам не попробовать связку nginx->node.js->websocket? возможно, вам подойдет это решение…
  • Как мы делали облачную систему автоматизации ресторанного бизнеса
    0
    Подскажите пожалуйста как вы находили первых клиентов? Были ли это пассивные продажи (звонки с рекламы) или активные? Как находили рестораны, которые готовы с вам работать?
  • Как мы делали облачную систему автоматизации ресторанного бизнеса
    0
    Да никак не шарить, у нас с вами разные задачи. Могу предположить, что ваш сервис нацелен на небольшие рестораны. Сейчас ресторанный бизнес использует оборудование, которое стоит сотни тысяч рублей, цена только одного сервера для iiko далеко не 10К рублей. Плюс в серьезном ресторане всегда найдется оборудование, которое нужно подключить — свет, видеонаблюдение, локальное архивирование данных. Наша система — это система автоматизации вообщем предприятий, рестораны — только один из наших модулей. Возможно, что скоро выпустим продукт на растерзание публики. Точных сроков пока нет…
  • Как мы делали облачную систему автоматизации ресторанного бизнеса
    +7
    День добрый, мы одни из тех самых конкурентов, но пока находимся в стадии разработки. Систему вашу видели и за вами следим. Так ли нужна одноранговая пиринговая сеть — большой вопрос, все равно у вас есть центральный сервер в виде коробки — а без нее не обойтись, так как нужно подключать оборудование. Понравился дизайн вашего мобильного приложения, красивый, но создается ощущение, что он написан html — не очень просто разобраться с первого раза, элементы не нативные.
    А так молодцы, удачи, надеемся, что Вас обойдем.
  • Запуск услуги «Виртуальное приватное облако»
    0
    Правильно ли я понимаю, что скоро настанет час X, когда услугу Облачный сервер полностью прикроют, и уже сейчас пора думать о переезде?
  • Сколько тратят корпорации на продвижение своих облачных продуктов?
    +7
    1) Вы так нигде и не ответили на свой же вопрос: «Сколько тратят на продвижение?»
    2) На чем основаны ваши утверждения, что у Amazon Web Services «все хорошо и с точки зрения затрат, и с точки зрения получаемого дохода», потому что они > 0?
    3) «за последние 10 лет стоимость услуг AWS снизилась в 48 раз», так стоимость ли снизилась услуг или цена?
    Вы уж если перепечатываете отчетность компаний, то делайте это со смыслом…
  • Почему вас все равно взломают
    +2
    Пожалуйста, не приписывайте мне, что я утверждал, что антивирус может спасти от взлома. Речь шла о минимальном уровне защиты обычного пользователя windows. Поверьте, на небе звезд столько, что хватит и не на это)
  • Почему вас все равно взломают
    0
    Вирус — это не только одноразовые программы для увода данных кредитных карт. Из публичных источников информации известно, что небольшой процент вирусов пишутся и разрабатываются группами, интересы которых давно совпадают с интересами отдельных государств. Наверное, это не тема для обсуждения на хабре, но те кто связаны с ИБ, возможно, частично согласились, а может и нет, с моими посылами. В таком случае ценные данные — это не только документы в директории /home/user, и вирус может внедряться и существовать годами. Документы могут и не храниться под рутом, но доступ к ним, с помощью дополнительных механизмов защиты, может быть разрешен только определенным программам. Согласен, что немного перегрузил текст утрированными примерами.
  • Почему вас все равно взломают
    +1
    Сожалею, что у вас сложились подобные стереотипы. Я работал на ОС Windows, потом несколько лет разрабатывал ПО под Ubuntu, и считаю, что у меня нет каких-либо фанатичных заблуждений по поводу безопасности той или иной ОС. Недостатки безопасности ОС Windows — это не тема моей статьи, я пытаюсь донести до читателей, что не стоит фанатично утверждать, что проблемы с безопасностью есть только в ОС Windows. Что и под Linux будут появляться и уже появляются вредоносные программы, что если об этом не задумываться, слепо стоять на своих убеждениях, то могут быть и финансовые потери.

    Художественный же стиль изложения помогает объяснять сложные вещи простыми словами. Боб и Алиса известные персонажи в области ИБ, обычно они передают информацию и злоумышленниками не являются, но вот это так важно зацепляться за это? Суть статьи же не в этом.

    И вот опять, «отдельный ноутбук с OpenBSD» — говорите Вы. Почему OpenBSD, а не какая-либо другая ОС? В процессе ее эксплуатации не было обнаружено ни одной уязвимости, которая позволяет выполнять код в kernel mode?

    В ядро лезть смысл есть всегда — обнаружить вредоносный код, который засел у вас в ПК будет очень сложно. Курить бамбук можно конечно долго, но вирусы уже давно не пишут группами по 2-3 человека.

    Что значит бракованный процессор? Возможность обойти запрет на запись в закрытых на это страницах — это документированная возможность всех процессоров x86 и это известно всем. Это и не баг, так должно быть, этим я показал, что нужно осторожно вести аргументацию в области ИБ, иногда вещи в которых вы уверены, оборачиваются наизнанку.

    А вы уверены, что технология ASLR хоть как-то затрудняет выполнение shell-кода в ядре? Я конечно могут ошибаться, но ASLR разве не затрудняет реализацию уязвимости только в user mode? Разве не так? Да и не про ядро Linux или Windows тема, при чему тут ядро.
  • CTB-Locker. Мы решили платить
    0
    Ок, представьте вы хотите разработать вредоносное ПО, что никому не рекомендую.
    Вы хотите написать ПО для заражения пользователей Linux, например, Ubuntu.
    1) Вы идете на соответствующую биржу и покупаете готовую уязвимость нулевого дня. Нулевого дня — значит у нее нет ни номера и о ней знает всего несколько людей и не исправлять ее могут еще несколько лет. Вот только недавно открытые уязвимости в Google Chrome: CVE-2015-1233 или CVE-2014-3177, CVE-2014-3176, CVE-2013-6658 — как видно из описания в свое время позволяло в актуальных на тот момент версиях Google Chrome удаленно выполнять код. Как не важно, суть не в этом.
    2) Смотрим описание, и видим, что работают большинство из них не только под Windows, но и под: Linux и Mac OS.
    3) Для тех кто не верит: bugs.launchpad.net/bugs/cve/2014-3176 — вот информация об ошибке в chromium-browser (Ubuntu)
    4) Составляет скрипт, который в зависимости от версии ОС выполняет разный shell-код
    5) Случайным образом он попадает на ваш любимый сайт (и это иногда сайты с посещаемость тысячи человек в день)
    6) Далее вы заходите на сайт в Ubuntu из Google Chrome и в контексте процесса chrome выполняется небольшой код (возможно браузер потом упадет, но будет уже поздно, может и не упадет, зависит от реализации)
    7) Да, код который выполнился ограничен в своих правах и собственно мало чего сможет сделать, значит идем дальше
    8) Какие проблемы? CVE-2014-9322, CVE-2014-3153, в Linux Kernel до версии 3.17, 3.14 позволяют выполнить код в ядре. Можно даже с примерами найти…
    9) Выполняем код в ядре, в процессоре x86 есть регистр cr0, там есть 16-ый бит, если установить его в ноль, то вы сможете в ядре перезаписывать данные в страницах, которые закрыты на запись. Сбрасываем его в ноль, перехватываем API и записываем тело вируса на диск.
    10) Это позволяет: автоматически грузить вирус при загрузке ОС, перехватить вызовы ОС, скрыть процесс от кого-либо менеджера задач, скрыть файл от поиска на диске (вирус будет загружаться, но он не будет виден)
    11) Если есть лишние деньги или знания, то можно попытаться пойти глубже и перепрошить диск и т.д.
    Вот только в ОС Windows с XP x64 на этапе 9, во время модификации данных в памяти, произойдет принудительная перезагрузка системы с синим экраном, а в Linux — прокатит.
  • CTB-Locker. Мы решили платить
    +1
    Пожалуйста, не пытайтесь вот так уверено высказываться на тему запуска вредоносного ПО, в которой вы похоже ничего не понимаете. Чтобы дойти до пункта 9 «И я взломан», надо как минимум знать ассемблер, про переполнение стека, про дыры в ядре, знать хотя бы о кольцах защиты. Вы знаете чем ring 3 отличается от ring 0? Сможете объяснить как в последнем ядре linux перехватить API или, например, как сделать процесс полностью невидимым? Если нет, то просто верьте тому чему вам говорят, взломать вас можно просто так: 1) зашли на сайт ....… 2) и вы взломаны. И не важно какой ОС вы пользуетесь!
  • CTB-Locker. Мы решили платить
    +2
    А «секурная» ОС это та в которой любое GUI приложение (даже браузер) может перехватить пароль пользователя root, который вводится в любом другом приложении, например, в консоли, и заполучив его, использовать для дальнейшего повышения привилегий? Или вы считаете, что если в Chrome обнаруживается уязвимость, то она работает только на «несекурной из коробки ОС»? Или вы перед посещением каждого сайта (антивирус же у вас явно не стоит), анализируете вручную его код и все ресурсы, которые он подпихивает браузеру?
    И неожиданно окажется, что для заражения не обязательно, цитата: «тыкать всякую херотень в интернетиках из почты». Вирусов под Linux пишут мало так как это не совсем рентабельно, но если вам нравится себя этим успокаивать, то пожалуйста, иногда взлом осуществляют целенаправленно…
  • Эволюция веб-инжектов, часть 1
    0
    И зачем вы про jQuery написали, могут неправильно понять…
  • Как улучшить монетизацию игр при помощи CDN
    –1
    Не знаю поймут и согласятся ли со мной другие участники хабра, немного критики в сторону вашей компании, смотрите, я клиент вашего хостинга (Selectel), я уже с вами несколько лет, размещаю небольшие по размеру проекты, за эти несколько лет я перечислил вам 41000 рублей за услуги облачного хостинга, поэтому я считаю, что достаточно знаком с вашим сервисом.
    Сейчас мне нужно где-то разместить проект — это SaaS, автоматизация бизнеса, он должен быть: доступен 24 часа и 7 дней в неделю, все данные должны ежедневно резервироваться, даже если упадет связь в одном датацентре, то клиент должен видеть хотя бы статическую страницу с ошибкой.
    Какие у меня есть варианты: 1) разместить проект у вас на физический серверах 2) разместить его у вас в облаке 3) разместит его в облаке Amazon.
    Первый вариант я считаю неудобным в использовании.
    Второй вариант, плюсы: цены в рублях и все, пошли минусы: 1) когда в ВК были сбои, то ваше облако висло, а сервера были недоступны, их нельзя было даже перезагрузить! 2) периодически падает связь с серверами, у вас принято в 3 часа ночи до 5 часов проводить тех работы, в это время в некоторых частях планеты день, 02.10.2014 в течение нескольких суток не работала панель управления серверами 3) почему нельзя создать образ веб-сервера и запустить 10 копий вирт. машин? да в VPC будет такая функция, но будет ли это выглядеть так же качественно как в Amazon? Смогу ли я запустить одну виртуальную машину в ДЦ на цветочной и две виртуальные машины в ДЦ Дубровка?
    Хорошо, у вас будет в VPC, наверное, наконец-то функция создания снапшотов диска, а смогу ли я делать резервную копию диска, с помощью ваших инструментов так, чтобы копии хранились в разных ДЦ и будет ли у меня уверенность, что в один день мои данные не навернуться? Amazon Glacier внушает больше доверия.
    Идем дальше,
    Amazon: двухфакторная аутентификация — у вас все еще логин/пароль.
    Amazon: привязка банковской карты и автоматическое списание денег — у вас необходимо вручную пополнять баланс
    Amazon: разделение серверов на изолированные группы: Ирландия (Дублин), Германия (Франкфурт), у вас, если падает облако, то оно падает полностью, у вас 5 ДЦ и все в одном городе, почему вы не хотите открыть ДЦ, например, в Германии и выйти на зарубежные рынки.
    и так далее… нет возможности создания пользователей с разграничением доступа и т.д.
    P.S. жаль, что приходится пользоваться услугами зарубежных компаний, у вас есть все, чтобы переплюнуть по качеству и функционалу конкурентов, но вот на текущий момент — ваш сервис местами хорош, но он недоделанный. В нем нет того, что предоставляют другие провайдеры из коробки. Качество и надежность — вот что нужно дорабатывать, страшно, реально страшно размещать чего-либо в вашем новом VPC. Нужно делать резервные копии, но в Amazon я могу передать данные в ДЦ соседней страны — и все в пределах услуг одной компании, а куда у вас делать резервные копии, которые вы настойчиво намекаете делать? в ваше же облако? так это не повысит надежность. копировать гигабайты к себе на ПК?! копировать данные на сервера другого провайдера? куда? не удобно это. Большое спасибо за внимание, прекрасно понимаю, что зря сотрясаю воздух и никакого второго отечественного Amazon-а и Rackspace в ближайшее время мы не увидим… жаль
  • Без купюр. Первый месяц кэшбэк-сервиса в России
    0
    Вы говорите, что один из самых действительных каналов привлечения это СМИ и Хабр. Меня вот чего интересует. В течение нескольких месяцев планирую запустить сервис, систему управления предприятием. Рынок B2B, куда бы вы посоветовали вкладывать средства для продвижения? Публикация в СМИ стоит (особенно бизнес тематики) от 40-50К за публикацию, на сколько это оправдано и выгодно. Безусловно, для каждого проекта свои показатели, но интересно обсудить эту тему.
    И еще, ваш проект явно связан с достаточно серьезной нагрузкой на сервера, нагрузка у вас из-за публикаций в СМИ неравномерная, используете ли вы облачные хостинги для быстрого масштабирования.
  • Тест Тьюринга на основе реальных поисковых запросов в Яндексе
    +3
    <item found="60">пельменемет</item>
    

    Оказывается и такое есть…
    Смысл в обезличивании таких запросов, если по их содержимому можно и так получить: адреса, email, телефоны и многое другое.

    <item found="461935">рублевское шоссе 36 корп ...</item>
    <item found="171091">+380(50)657....</item>
    <item found="35014">458.162.-.1-</item>
    <item found="191493">e-mail: archi...@mail.ru</item>
    <item found="48">gau-...@mail.ru</item> (email одного ген. директора)
    <item found="69">dagteolog@mail.ru</item>
    <item found="1061916">алекс.. ив... ,курск ... лет</item>
    <item found="210129">Татьяна, 41 год, М... (название поселка)</item>
    <item found="5822147">+7 932 421 .. ..</item>
    

    Часто встречаются email адрес людей, телефоны (частные).
  • Comment from a drafted post.
  • Делаем универсальный ключ для домофона
    +2
    На официальном сайт Росреестра есть публичная кадастровая карта, maps.rosreestr.ru/PortalOnline/ — по ней можно определить придомовую территорию. В соответствии со статьей 36 ЖК РФ, пункт 5, «земельный участок, на котором расположен многоквартирный дом, может быть обременен правом ограниченного пользования другими лицами». Если это незаконная постройка, то есть статья 222 ГК РФ, пункт 2, «самовольная постройка подлежит сносу осуществившим ее лицом либо за его счет...». Как бы кощунственно это не звучало, но даже если площадка установлена ТСЖ, но не на своей территории, то и ее могут разобрать.
  • За что ITшнику любить некоторых маркетологов или руководство по маркетингу для IТ-стартапа
    +1
    Почему-то во многих руководствах по продвижению стартапов сводят к следующему (график в это статье How Do We Get Customers это подтверждает): SEO-оптимизация, контент-маркетинг, бесплатное продвижение… черт, да если бы все было бы так просто. Я не говорю, что не нужно читать статьи по маркетингу, но если у вас именно бизнес — нужно идти и продавать — воронки продаж, холодные/горячие звонки, встречаться с клиентами, не питчить, а презентовать свой продукт или услугу. Конечно все зависит от бизнеса, и большая ошибка сводить все к успеху 37signals или другой компании. Маркетинговый план, развитие любого бизнеса — это искусство, в котором не последнюю роль играют люди, которые составляют бизнес и оставляют в нем свой уникальный отпечаток. Невозможно в точности повторить успех другой компании, как невозможно войти в одну реку дважды — это всегда будут разные пути и разная история. Так же как невозможно написать 10 ошибок/10 успехов стартапера. Один скажет — разрабатывать продукт нужно для конкретного пользователя, перед разработкой нужно опросить потенциальных клиентов, а другой ответит — если бы я спросил людей, чего они хотят, они бы попросили более быструю лошадь. И каждый будет прав. Просто бизнес у них разный. Другие люди, другое время, разные продукты, другая история. Но за статью спасибо)
  • Немного воскресной инфографики #2
    +4
    За 24 часа в Моем Мире происходит 800 000 добавлений в друзья
    Вопрос в том какой процент из этих добавлений не отправляются спам-роботами, а именно, какой процент являются добавлениями в друзья, когда люди действительно знают друг друга. Если ежемесячная аудитория моего мира около 30 млн человек, то с такими темпами все бы передобавляли бы друг друга в друзья за считанные дни… Возможно, я ошибаюсь, и в этой социальной сети добавление в друзья является своим родом подпиской на какие-то сообщения другого пользователя, и ничем не обязывает, возможно, социальная сеть в момент сбора статистики испытывала бурный рост, но я более склонен к варианту, что в статистике закралась ошибка)
  • Как инвестировать в стартапы: теория пестиков и тычинок
    +2
    Признаюсь, после прочтения побежал регистрировать проект, но прочитав комментарии и посмотреть проект поближе — передумал, скажу почему — идея хорошая, но не покидает ощущение, что это сайт очередной forex-брокера-кухни. О том, что авторы искали вдохновение именно этой области говорит как логотип «японские свечи», как регистрация компании на кальмаровых островах, так и лозунги: «Все еще кусаете локти? А если бы Вы вложили в Facebook...».
    После этого я задумался, стоит ли мне с моим проектом вовлекаться в такие авантюры. Я бы на месте основателей проекта в первую очередь уделил внимание повышению доверия со стороны клиентов и инвесторов. А так идея хороша, главное реализация =)