да, это вероятный сценарий, хотя как я упомянул в моём случае у меня больше подозрение на то что я легкомысленно достаточно очевидно пароль скомбинировал считая что 2FA в любом случае спасёт (вот ВТБ вообще вместо паролей на 4-значные коды перешёл, странные люди)
UPD: написал в форму (не могу дописать это в предыдущий комментарий), подождём.
Форма прямо сказать как будто подглюкивает немножко, и не с первой попытки все удалось - но номер обращения есть и обработка видимо будет поступать уведомлениями на портале.
не предусмотрена процедура записи в лог удачных, неудачных входов по двухфакторке(по паролю в СМС сообщениях).
удачные-то как видим пишутся :)
жаловаться надо не в Минцифры, а во ФСТЭК
звучит угрожающе, но спасибо за информацию. моя-то цель не нажаловаться - но если бы была возможность бедолагам-разработчикам написать про забытый кейс наверное было бы хорошо :) не думаю что они это со зла... хотя квалификация "специалистов ИБ" в разных компаниях меня конечно в последние годы слегка озадачивает.
там 6-значный код, если (как я подозреваю) это автоматическая перебиралка паролей и кодов, то сделав жалкий миллион попыток в течение м.б. часа (на разные аккаунты с разных IP) что-нибудь выловить да удастся. отдельный вопрос откуда берутся "попадания" в пароли (не исключаю что в моем случае он был недостаточно хитроумным)
т.е. смысл в том что атакуют не конкретно меня а ищут произвольный аккаунт в который удастся зайти
не стоит давать оценки, просто исходя из увиденного.
а почему вы думаете что я "просто исходя из увиденного"? я уже год на проекте и знаю ребят кто это безобразие писал, знаю как они пишут, но не упоминаю сколько ещё странных косяков, иногда критичных, в их проекте поправлял :)
Николай, спасибо за статью, дело хорошее! И спасибо что обратили внимание на курс - поделюсь им со своими учениками с удовольствием :)
Однако хотелось бы пожелать меньше злоупотреблять схемами в виде скриншотов из CRUMB. Сам по себе инструмент замечательный - но для демонстрации схем... трудно деликатно выразиться на этот счет, но это очень непрофессионально и нечитабельно. К тому же как сами отмечаете - по изображению компонента необязательно понятно какого он типа и где у него какие выводы.
Осмелился бы порекомендовать онлайн-симулятор Falstad - можно прямо в текст статьи вставлять ссылку которая открывается как готовая демонстрация, попробуйте:
Странно что Яндекс так долго шёл к осознанию что "что-то не так". Год назад пока я собеседовался в яндекс и с любопытством проходил однообразные "лайв-кодинг" секции (меня это забавляет, я особо не стрессую независимо от результата) - я успел получить 3 оффера в другие компании и когда уже не первая рекрутёрша которой меня "передали" сказала что их что-то не устраивает, надо пройти ещё какие-то этапы, я сказал что мне уж неактуально тратить их время.
Меньше чем через полгода опять лезет какая-то их, вероятно, фрилансер-рекрутёр в телеграм. Я спрашиваю "а чем в прошлый раз всё закончилось - у вас отмечено? Н-н-нет, говорит, только написано что проходили собеседования... Договорились что отметят жирными буквами, чтобы мне больше не писали.
И на днях очередная "здравствуйте бла-бла, хотите расскажу про возможности в яндекс". Уже блокирую их на автомате. Просто чтобы их собственные нервы поберечь :)
Просто сломано всё и на верхних уровнях рекрутинга и на нижних. Правда справедливости ради - похожая проблема очень часта у крупных контор при разрастании. С одной стороны кажется важным унифицировать процесс - с другой при этом настолько теряется прозрачность, что в проекте могут месяцами не понимать почему им никак не найдут сотрудника.
Про выставление правильных KPI в случае успеха, по возможности, напишите потом - думаю, будет поучительно - может удастся и наших управленцев на основе Вашего опыта к чему-то подвигнуть :)
Кстати, насчет ВВП я не уверен. Если бы проект делался на иностранцев, то это в любом случае был бы приток финансирования в страну. А если это разработка на внутренний рынок, притом, не дошедшая пока до "продакшена", то можно рассматривать как вообще частное дело самой компании финансируемой из её же собственных свободных финансов (тут я подробностей не знаю). Скорее всего в учете ВВП это не учитывается. Хотя зарплату-то работники получают.
типа исправил. А потом еще статью написать про это!
наверное тут я не очень чётко пояснил поэтому вы не поняли - "минимальное" исправление сделано только в релизной ветке, которую уже нельзя сильно менять
а выпиливать всю эту порнографию - это я параллельно начал но работа довольно муторная (нужно заодно проверять "соседние" параметры, откуда они берутся, нет ли с ними такой же истории) - в общем, займёт еще какое-то время.
А потом еще статью написать про это!
Статью-то подобную написать дело нехитрое и много времени не заняло - собственно я её как "заметку" охарактеризовал выше, просто в "пост" не лезет. Написана же она с чёткой прикладной целью - не только "привлечь внимание общественности" (не думаю что многие схватятся за голову и начнут писать код более прилично) - но и тыкать ею в нос собственным менеджерам. Терпеть не могу объяснят одно и то же по сто раз. И в этом смысле ваш возмущённый комментарий очень в тему, спасибо :)
В целом вы абсолютно правы - перерасход ресурсов огромный. По своему скромному опыту я оцениваю что данный проект 2-3 человека могли бы написать максимум за полгода - на деле ваяет дюжина-другая специалистов - и тянется это не первый год. Тут ещё эффект вавилонской башни присутствует - одни "архитектуру" придумывают, другие требования пишут, третьи их реализуют, четвертые проверяют... Но наверное этот момент как-нибудь отдельно стоит осветить.
Как ни странно, в требованиях вакансий на хедхантере я часто читаю что хотят знание принципов DRY и SOLID например - но по KISS почти не встречается. Можно оптимистично думать что "это подразумевается" или пессимистично что "никто не хочет Simple" :(
если бы это был какой-то более волатильный параметр чем путь к файлам сертификатов :)
а так, среди параметров, вычитываемых подобным образом (я упоминал выше что это не первый найдёныш, но первый приведший к багу) оказалось например и имя компании. ну да, вдруг в следующем релизе имя компании станет динамичным :)
и плюс, как опять же упомянуто, вычитывание на старте происходит и на старте же запись - так что закладки на то чтобы этот параметр менялся в рантайме нет...
Но и это ... Очередь записи/чтения у Вас пока что кривая осталась :)
Ох, не сыпьте соль на рану... Для релиза-то я быстро пропатчу, а над мастером предстоит много и нудно думать :) эта "очередность" это конечно бомба замедленного действия - а там рядом и другие параметры вычитываются, разбираюсь какой откуда берется...
да, это вероятный сценарий, хотя как я упомянул в моём случае у меня больше подозрение на то что я легкомысленно достаточно очевидно пароль скомбинировал считая что 2FA в любом случае спасёт (вот ВТБ вообще вместо паролей на 4-значные коды перешёл, странные люди)
UPD: написал в форму (не могу дописать это в предыдущий комментарий), подождём.
Форма прямо сказать как будто подглюкивает немножко, и не с первой попытки все удалось - но номер обращения есть и обработка видимо будет поступать уведомлениями на портале.
спасибо за подробности
удачные-то как видим пишутся :)
звучит угрожающе, но спасибо за информацию. моя-то цель не нажаловаться - но если бы была возможность бедолагам-разработчикам написать про забытый кейс наверное было бы хорошо :) не думаю что они это со зла... хотя квалификация "специалистов ИБ" в разных компаниях меня конечно в последние годы слегка озадачивает.
там 6-значный код, если (как я подозреваю) это автоматическая перебиралка паролей и кодов, то сделав жалкий миллион попыток в течение м.б. часа (на разные аккаунты с разных IP) что-нибудь выловить да удастся. отдельный вопрос откуда берутся "попадания" в пароли (не исключаю что в моем случае он был недостаточно хитроумным)
т.е. смысл в том что атакуют не конкретно меня а ищут произвольный аккаунт в который удастся зайти
спасибо за наводку, попробуем!
хорошо-хорошо, почему бы вам не написать статью о том что чем кода больше тем лучше, ведь никогда не знаешь что может случиться :)
а почему вы думаете что я "просто исходя из увиденного"? я уже год на проекте и знаю ребят кто это безобразие писал, знаю как они пишут, но не упоминаю сколько ещё странных косяков, иногда критичных, в их проекте поправлял :)
так что у меня достаточно оснований
Николай, спасибо за статью, дело хорошее! И спасибо что обратили внимание на курс - поделюсь им со своими учениками с удовольствием :)
Однако хотелось бы пожелать меньше злоупотреблять схемами в виде скриншотов из CRUMB. Сам по себе инструмент замечательный - но для демонстрации схем... трудно деликатно выразиться на этот счет, но это очень непрофессионально и нечитабельно. К тому же как сами отмечаете - по изображению компонента необязательно понятно какого он типа и где у него какие выводы.
Осмелился бы порекомендовать онлайн-симулятор Falstad - можно прямо в текст статьи вставлять ссылку которая открывается как готовая демонстрация, попробуйте:
схема с выходным каскадом на двух мосфетах (выключатель можно кликать)
Странно что Яндекс так долго шёл к осознанию что "что-то не так". Год назад пока я собеседовался в яндекс и с любопытством проходил однообразные "лайв-кодинг" секции (меня это забавляет, я особо не стрессую независимо от результата) - я успел получить 3 оффера в другие компании и когда уже не первая рекрутёрша которой меня "передали" сказала что их что-то не устраивает, надо пройти ещё какие-то этапы, я сказал что мне уж неактуально тратить их время.
Меньше чем через полгода опять лезет какая-то их, вероятно, фрилансер-рекрутёр в телеграм. Я спрашиваю "а чем в прошлый раз всё закончилось - у вас отмечено? Н-н-нет, говорит, только написано что проходили собеседования... Договорились что отметят жирными буквами, чтобы мне больше не писали.
И на днях очередная "здравствуйте бла-бла, хотите расскажу про возможности в яндекс". Уже блокирую их на автомате. Просто чтобы их собственные нервы поберечь :)
Просто сломано всё и на верхних уровнях рекрутинга и на нижних. Правда справедливости ради - похожая проблема очень часта у крупных контор при разрастании. С одной стороны кажется важным унифицировать процесс - с другой при этом настолько теряется прозрачность, что в проекте могут месяцами не понимать почему им никак не найдут сотрудника.
хех, золотые слова же :)
Про выставление правильных KPI в случае успеха, по возможности, напишите потом - думаю, будет поучительно - может удастся и наших управленцев на основе Вашего опыта к чему-то подвигнуть :)
не серчайте, но было бы интереснее узнать что вы хорошего навайбкодили за эти 2 года
Кстати, насчет ВВП я не уверен. Если бы проект делался на иностранцев, то это в любом случае был бы приток финансирования в страну. А если это разработка на внутренний рынок, притом, не дошедшая пока до "продакшена", то можно рассматривать как вообще частное дело самой компании финансируемой из её же собственных свободных финансов (тут я подробностей не знаю). Скорее всего в учете ВВП это не учитывается. Хотя зарплату-то работники получают.
наверное тут я не очень чётко пояснил поэтому вы не поняли - "минимальное" исправление сделано только в релизной ветке, которую уже нельзя сильно менять
а выпиливать всю эту порнографию - это я параллельно начал но работа довольно муторная (нужно заодно проверять "соседние" параметры, откуда они берутся, нет ли с ними такой же истории) - в общем, займёт еще какое-то время.
Статью-то подобную написать дело нехитрое и много времени не заняло - собственно я её как "заметку" охарактеризовал выше, просто в "пост" не лезет. Написана же она с чёткой прикладной целью - не только "привлечь внимание общественности" (не думаю что многие схватятся за голову и начнут писать код более прилично) - но и тыкать ею в нос собственным менеджерам. Терпеть не могу объяснят одно и то же по сто раз. И в этом смысле ваш возмущённый комментарий очень в тему, спасибо :)
В целом вы абсолютно правы - перерасход ресурсов огромный. По своему скромному опыту я оцениваю что данный проект 2-3 человека могли бы написать максимум за полгода - на деле ваяет дюжина-другая специалистов - и тянется это не первый год. Тут ещё эффект вавилонской башни присутствует - одни "архитектуру" придумывают, другие требования пишут, третьи их реализуют, четвертые проверяют... Но наверное этот момент как-нибудь отдельно стоит осветить.
всё же спортивный программизьм редко опирается на архитектурно-зависимые оптимизации :)
Очень любопытно, но не очень понятно - а чем результаты соревнования на Эльбрусе должны отличаться или не отличаться от соревнований на Amd64?
Может тогда уж забабахать соревнования вроде HugiCompo :)
Поясните для тех кто в танке - что из этого входит в "школьные предметы"?
хех, кто-то с утра кофий пьёт, а кто-то просыпается чтобы кормить небольшую банду котов - ну и лоточки убирать :) спасибо за отклик в любом случае!
Как ни странно, в требованиях вакансий на хедхантере я часто читаю что хотят знание принципов DRY и SOLID например - но по KISS почти не встречается. Можно оптимистично думать что "это подразумевается" или пессимистично что "никто не хочет Simple" :(
если бы это был какой-то более волатильный параметр чем путь к файлам сертификатов :)
а так, среди параметров, вычитываемых подобным образом (я упоминал выше что это не первый найдёныш, но первый приведший к багу) оказалось например и имя компании. ну да, вдруг в следующем релизе имя компании станет динамичным :)
и плюс, как опять же упомянуто, вычитывание на старте происходит и на старте же запись - так что закладки на то чтобы этот параметр менялся в рантайме нет...
Ох, не сыпьте соль на рану... Для релиза-то я быстро пропатчу, а над мастером предстоит много и нудно думать :) эта "очередность" это конечно бомба замедленного действия - а там рядом и другие параметры вычитываются, разбираюсь какой откуда берется...