Обновить
0

Пользователь

0,3
Рейтинг
1
Подписчики
Отправить сообщение

запретите все протоколы кроме TLS и проверьте. Я имею ввиду не порты, а именно протоколы. Порты запрещать для этой цели бессмысленно, потому что никто не мешает клиенту посылать plain HTTP в надежде что прокси добавит вот эти самые X-Forwarded-For и при этом использовать tcp/443.

нет, добавлять “X-Forwarded-For” никакой сервер посредине не может, если только ваш клиент не использует незашифрованный HTTP трафик. Добавляйте правила по запрету HTTP, разрешайте только HTTPS (TLS) и всё что сервер сможет увидеть - это незашифрованный SNI.

Есть еще зависмость качества работы модели от самого проекта. Если проект вырос как джунгли, ни разу никто не причесывал, где есть всё в одном большом наборе файлов, и найти что-либо очень сложно человеку, не ожидайте, что модель сработает наилучшим образом. Дизайн проекта, разделение на логические компоненты - всё это приходит с практикой и в хороших руках модель поможет это поддерживать. С AI стало совсем нормально заниматься улучшайзингом - потому что это уже не требует такого большого времени.
Если модель не помогает даже на нахорошо структурированном проекте, выбросите ее, поработайте, например, с Opus, а потом уже ищите то, что вам доступнее, сравнивая с тем, что точно работает.

Докер прекрасно умеет сам всё кешировать.
Для этого нужно - образ операционки для машины с предустановленным образом требуемой операционки в докере. Т.е. вы запускаете instance и там в докере уже есть исходный образ операционки но без вашего бинарника. Далее, когда вы тянете образ с вашим бинарником (из ECR или чего-то подобного) - этот образ построен с этой же операционкой. Это значит что ваш бинарник в отдельном слое и при совпадении слоя операционки, вытягиваться будет только слой с вашим бинарником.
Третье - когда у вас несколько образов, делайте одинаковый команды в начале в одинаковом порядке. Это свормирует одинаковые слои и они не будут повторно вытягиваться.

Просто вы свой образ ложите возможно в одно место и вам хватает

Нет, не одно место. Места как раз региональные/AZ и мельче и у каждой pipeline своя структура.
CICD подразумевает автоматические тесты. А вы запускаете каждый регион через свою pipeline?

Такой мир Оранжевого человека - построенный на кумовстве и ж.лизах.

Есть уже такие модели, которые импортируют знания и т.о. эффективно дообучаются, но это опасный момент. Где гарантия что знания корректны? И где гарантия что они не утекут, точнее, такие знания точно утекут, потому что они уже не изолированы клиентом - они становятся частью модели.
Что касается обучения на вашем замечательном проекте, я тут говорю без сарказма, вы уверены что вы хотите ИИ научить? Как правило - по моему личному опыту - уже последние полгода -- всё равно наоборот, мне самому есть чему поучиться, хотя вроде в программировании последние 35 лет. Я не хочу сказать, что модель меня превосходит во всём или что я хоть каплю лучше вас, нет, но посмотрите на тенденцию - ИИ была никакакая еще год назад. Полгода назад уже была очень хороша, и сейчас - на последних версиях, я всё меньше всматриваюсь в детали. Да, конечно руку держу на пульсе, иначе можно потерять и пульс, но увы, модель обучена прям хорошо и какие бы проекты я ни брал, включая очень, как мне кажется, кастомные - где почти ничего не делалось "как у других" - там она лопастит только в путь. Как они смогла в этом разобраться? И не только разобраться, но и сделать нужные изменения, которые, нет, они сразу не заработали, пришлось положить пару дней на доводку, но если бы я это всё делал сам один - ну точно потратил бы месяц, а так - 3 дня. Если вы не пользуетесь антропиком опусом 4.8, попробуйте, скажите как оно и хотите ли вы продолжать хотеть обучать?

Как думаете, им директор ФБР звонил или президент США и грозил возбудить уголовное дело если они не понизят?

Браузеры вообще не единственное место где CA нужны. Есть, например - существенно более крупные приложения - Операционные Системы. Как насчёт них? Много можете насчитать ОС, которые сделаны не в США? Там, очевидно, будут сертификаты. То же относится и к браузерам. Если есть браузер, разработанный в России, то там, вполне власти могут и, наверное, должны потребовать свой список сертификатов, которым они доверяют. Что будет дальше - догадаться не сложно - в этом браузере, откруда выплят "ненужные" сертификаты, много интересных ресурсов не откроется, но зато откроются такие, которые не будут открываться в западных браузерах. И никакие США или форумы ни слова возражать не будут, потому что всё будет соблюдено.
А требовать от Mozilla или от Google включения сертификатов, которые их же и подставят перед своими законами - навеное бессмысленно, он не станут этого делать.

Это согласованная позиция участников форума, а не козни США, как вы невольно подсказываете. Или я вас не правильно понял?

С т.з. валидности сертификата, размер УЦ не имеет значения. Даже наоборот, выбирая мелкий вы еще и экономите. Если вам нужен сертификат и вы под санкциями США, просто находите УЦ, который не ведет бизнес в США и дело в шляпе - они выдадут вам сертификат, или откажут, но тут страна УЦ и ваша страна не будут связаны этими ограничениями. Поищите УЦ в Швейцарии, например.
То что крупные ведут бизнес в США (и поэтому сертифицировались там) - это не случайность. Большая экономика - и там много клиентов. А много клиентов -- поэтому большая экономика.

Хм, довольно сложно ожидать надежности и хорошей работы системы, если она не прошла тестирование. А по вашей статье получается, что образы сразу из upstream идут в prod. Или я что--то неправильно понял?
Реплицироваться независимо в каждом регионе, да еще из 3p источников - это большой риск.
Допустим какой-то образ содержит ошибки или обратно-несовместимые изменения, которые роняют вашу систему. Каждый регион подтнянул это изменение и у вас получится каскад проблем мирового масштаба. Чтобы такого не было - нужна pipeline. Все регионы должны получать единый, прошедший тестирование набор образов. Этой "репликацией" и должна заниматься pipeline - последовательно - сначала собрать систему, запустить, протестировать и прогнать весь этот комплект, как единый бандл, через все регионы, один за другим, внимательно следя за метриками и alarms на каждом promotion. У нас это считается лучшими практиками. Поэтому какая-то AZ может отвалиться, и это редко, но случается. Какой-то регион тоже может отвалиться, но уже значительно реже.

3.2.2.12.2 Denied Lists and Other Legal Block Lists
Is identified on any government denied list, list of prohibited persons, or other list that prohibits >doing business with such organization or person under the laws of the country of the CA’s jurisdiction(s)

Это означает, что Let's encrypt и другие огранизации, подписывающие сертификаты, должны действовать в соответствии с законом своей страны. Т.е. если Let's encrypt ведет бизнес в США, то они проверяют клиента на соответствие санкциям США. А если в Лабрадоре, то на соответствие санкциям Лабрадора.

Конкретно "находящимся под санкциями страны регистрации УЦ или США." - такого там в требованиях нет. Страна регистрации УЦ есть, а "или США" - нет.

Единственное место где США упоминаются - это в списке допустимых методов проверки - где брать списки. И там прямо сказано - "If the CA has operations in the U.S. " Т.е. если УЦ уже работает в США. И не работающих в США УЦ довольно много.

да, чистой воды AI статья.

Всё норм. Просто программисты-инженеры из кодеров становятся менеджерами своего раба - AI. Работа другая по содержанию, поэтому квалификцации в области кодирования утрачиваются - так же как утрачены квалификации телефонистки-коммутатора. Вся разница лишь в надежности - на том этапе у автоматического коммутатора была надежность намного выше 99%. А у AI она где-то процентов 80, может 70 - по моим ощущениям и по моим задачам. Но уже не 50, как было год назад.

Скачали пакет однажды — он у вас навсегда

Так себе решение. У пакета, допустим, нет ни одного CVE сейчас. А что будет через месяц или два? Если такое рекомендовать, то нужно делать аудит на наличие известных CVE - функция пакетных менеджеров, которую часто просто не используют. Но она тоже требует внешнего соединения, иначе бессмысленна.
Этот новый чудный мир, как я понимаю вашу боль

Разумеется, ИИ не обесценит людей, потому что ему фиолетово. Обесценят своих сотрудников хозяева бизнесов, которым дешевле [назовите свою причину] использовать ИИ.
И я полностью согласен с мыслью, что человек становится ценнее с обретением мощи ИИ -- потому что всех уволят, кроме тех, кто будет управлять ИИ и они, как раз, будут очень ценны.

Они собирают информацию, а Митос, скорее, нужен для защиты их самих от уязвимостей.

И там уже есть 2 новые сущности (новые, если у вас их еще нет) -- обработка в центрах поближе к клиенту и консолидация. Вторая - это просто зеркало всё тех же проблем. Первая - практически не реализуемая без облаков (реализуемая и без, конечно, но дорого). Консолидация, может не правильный термин, наверное правильнее - миграция контекста. Это когда обработка ближе клиенту, но клиент переехал и хочет видеть всё тот же контекст, который теперь для него в старом центре. Это норм, если клиент не напряжный, а если он очень активный и таких много, это уже проблема.

1
23 ...

Информация

В рейтинге
2 891-й
Зарегистрирован
Активность