А кто должен объяснять бизнесу аспекты, связанные с безопасностью?
В банках этим занимаются совсем другое подразделение зачастую, рисковики, так как риск перехвата SMS нереален либо не посчитать
Логин и пароль у меня в голове или в защищенном хранилище
Статистически средний возраст населения страны высокий, а таких как вы продвинутых из них очень маленький процент. Не мерьте всех на себя.
значит пенсионер пользуется интернет-банком с компьютера
Ну да и что, заставить такого пользователя еще и TOTP установить безопасно, куда?, или купить ФКН проще и дешевле? Затем банку же управлять ключевой системой или проверки генерации TOTP
А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
которые не могут кодить без смайликов и тибетского языка
Я не зря привел пример с символом доктора. Он у нас используется на сайте. То есть это не как часть кода или комментария в коде, а как то, что должны видеть конечные пользователи.
обработка SBOM, состоящего из 199 компонентов с графом зависимостей, заняла 12,54 сек. против 9,02 сек. у старого метода. Поэтому мы рекомендуем оставить эту настройку выключенной.
Не понял, почему?
По моему опыту те разработчики, что возмущаются по поводу медленных DevSecOps проверок в PR, часто еще не дождались завершения рецензии реальным коллегой (ами), не устранили выявленные ими проблемы, либо не устранили проблемы других сборок (QA и т.п.).
Согласовано, но! Как можно было такое произнести в слух:
Первый приоритет — это создание собственной низкоорбитальной спутниковой группировки для обеспечения быстрого и дешёвого доступа в Интернет на территории всей страны в любой точке. Эта группировка должна по показателям не уступать ведущим международным проектам, таким как Starlink.
Не стоит опускаться до уровня Рогозина
Почему это приоритет номер один? Смешно, они же даже не начнут на него выделять ресурсы как на проект номер один.
условиях учебной атаки распознавать действия нарушителей и отличать "оригинальное" от "поддельного"
Если в компании половина если не большая часть из учений технически блокируется (скачивание исполняемых файлов, запуск исполняемых файлов из папки Загрузки, подмена отправителя в письме,…), может стоит обучать пользовать чему-то другому?
Ну понятно, что текущий функционал не заточен на не ИТ-пользователей, что плохо, английский язык, нет всяких политик генерации паролей, что можно было бы навязывать пользователям. Но часть наших ИТ-пользователей пользуются, это лучше чем хранить пароли у себя на ПК пусть и в KeePass.
Ну в ЦФТ как помню в спецов по антифроду брали вообще без вышки, там главное было склад ума и часто знание какого-то национального языка СНГ. Причем образование могло быть не профильным.
Что мешать ему взять ноут с TOTP или ФКН?? ????????
В банках этим занимаются совсем другое подразделение зачастую, рисковики, так как риск перехвата SMS нереален либо не посчитать
Статистически средний возраст населения страны высокий, а таких как вы продвинутых из них очень маленький процент. Не мерьте всех на себя.
Ну да и что, заставить такого пользователя еще и TOTP установить безопасно, куда?, или купить ФКН проще и дешевле? Затем банку же управлять ключевой системой или проверки генерации TOTP
А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
Безопасность поймешь, когда выпишешь каждый пункт того же ГОСТа в табличку вида
Пункт | требование | как выполняется/митигируется | комментарий |
Каждая запись имеет категорию, вы можете только смотреть на malware и игнорировать к примеру political_slogans или ip_block
Добавлен в toxic-repos.
Много вы так заработаете ?
Это умение, а не отдельное мероприятие, но судя по историям, пьянки были
Пояснительная бригада?
Я не зря привел пример с символом доктора. Он у нас используется на сайте. То есть это не как часть кода или комментария в коде, а как то, что должны видеть конечные пользователи.
Не понял, почему?
По моему опыту те разработчики, что возмущаются по поводу медленных DevSecOps проверок в PR, часто еще не дождались завершения рецензии реальным коллегой (ами), не устранили выявленные ими проблемы, либо не устранили проблемы других сборок (QA и т.п.).
Согласовано, но! Как можно было такое произнести в слух:
Не стоит опускаться до уровня Рогозина
Почему это приоритет номер один? Смешно, они же даже не начнут на него выделять ресурсы как на проект номер один.
Если в компании половина если не большая часть из учений технически блокируется (скачивание исполняемых файлов, запуск исполняемых файлов из папки Загрузки, подмена отправителя в письме,…), может стоит обучать пользовать чему-то другому?
А в винде можно сделать запрет выставления для lnk ярлыков?
То есть в любой нормальной компании имеется запрет на получение исполняемых файлов и вы его с этим сталкиваете? Потом заявляете, что он сам виноват?
Ну понятно, что текущий функционал не заточен на не ИТ-пользователей, что плохо, английский язык, нет всяких политик генерации паролей, что можно было бы навязывать пользователям. Но часть наших ИТ-пользователей пользуются, это лучше чем хранить пароли у себя на ПК пусть и в KeePass.
Кто не умеет - не пишет, зато на диване сидит и смотрит с высока
Ну в ЦФТ как помню в спецов по антифроду брали вообще без вышки, там главное было склад ума и часто знание какого-то национального языка СНГ. Причем образование могло быть не профильным.
Вопрос, а какой набор персданных требует вайлдберриз из гос услуг, весь набор с постоянным доступом как делают все или что-то конкретное?
Независимый аудит от компании из своего же скоупа?