Богатая жизнь вокруг NDP, богатая и развесистая функциональность мультикастов и anycast, богатый функционал по запросу всякого, ну и банальные перенаправления. У меня нет достоверных данных, что среди этого нет векторов атаки для моей системы, либо их не появится в будущем. А раз так, то следует закрыть потенциально опасное. Если в IPv4 закрыть можно решительно всё, IPv6 здесь несколько менее лоялен. Да, может быть местами и перебор, но меня в школе учили мыть руки перед едой и закрывать неиспользуемое firewall-ом. Считаю это средствами банальной гигиены и активно использую.
Да, причём на достаточно широкие диапазоны. А если учесть, что на хостинге link-local не является доверенным не разу, там уже агрессивный интернет, это вызывает дискомфорт. А если учесть, что умеет DHCPv6, то острые приступы паранойи.
И без роскомзапрета некоторые хостеры-лоукостеры работают с этим протоколом странно. Мне на одном хосте пришлось снять IPv6 с DNS-а, поскольку общение с ТП было в стиле «У нас всё работает».
Да и ИМХО IPv6 протокол стрёмный. Если для нормального функционирования IPv4 можно было очень плотно закрыться firewall. То, что следует открывать для IPv6, чтобы оно просто запустилось, вызывает оторопь на гране припадка…
Что-то в последнее время много наездов на RSA и инструментарий с ним связанный. У моего параноика это вызывает как минимум вопросы, как максимум приступы панических атак…
По статье:
О громоздкости ключа: да, ключ RSA больше, но не надо его передавать на каждое сообщение, ключ должен быть получен отдельно от сообщения, по другому каналу, желательно кардинально другому. Иначе это не безопасность а фикция. Да, подписи им сделанные тоже не маленькие, ну так можно не использовать длинный ключ, ограничится на 2 кбита. Для передачи чего-то типа «Привет, Вася, пошли на рыбалку» этого вполне хватит. Всё равно не успеют разгрызть до того, пока не высохнет засоленная рыба, которую на той рыбалке наловили....
Forward secrecy: я очень хочу посмотреть на реализацию его в инструменте не предполагающем прямое создание сессии и обмен «on-line», да так, чтобы сие не породило миллион возможностей по утечке сессионного ключа.
Старые шифры: старое здесь не значит плохое. Если шифры создавались во времена, когда люди уже поняли, что машина будет ускорятся, а не во времена 70-х, то он вполне адекватен времени и в гражданском секторе актуален и будет актуален ещё долго. Если мы говорим о попытке предотвратить утечку данных в масштабе времени и ратуем за всё новое, нам ничего не стоит процедуре передачи данных применить несколько шифров на для каждого из слоёв. Особо страшное скопировать в архив, закрыть его любым любимым инструментом, а результат уже закрыть PGP-шкой. В чём проблема?
Выкатят спецификацию подключения своего оборудования не по статистике собранной с операторов, а с «среднего по больнице», причём в виде нормативного акта. А дальше все сознательные граждане, что сейчас критикуют этот процесс, засядут на работе на неделю безвылазно, чтобы понять, как теперь ЭТО всунуть в сеть.
Мне видится сбор сведений уже чем-то положительным, что возможно пойдёт в качестве исходных данных для вырабатывания нормативки. Можно снова забить, но после этого не нужно возбухать, что у нас законы чужими для хищников написаны. По той филькиной грамоте, что подаётся в среднем ко всяким регуляторам, хорошо хоть ещё так получается.
По вашей логике все, что непонятно вам лично и не может быть непосредственно вами проверено (а это большинство систем в мире), вы считаете небезопасным?
Именно так. Когда мы говорим о безопасности Open Source, мы прежде всего говорим о том, что те кому важна безопасность в этом конкретном месте, прочитают и поймут код, соберут из него ПО и будут использовать. Остальное фикция и очковтирательство. Я не говорю, что лично проверяю всё подряд, но в критических местах НУЖНО понимать, что происходит на большинстве уровней. Да, прозрачность ПО не даёт почти ничего в сфере гражданских систем, поскольку большинство аппаратных платформ для этих систем не предоставляют железа без толстого слоя абстракции, и x86/amd64 тому превосходный пример, однако подкласс понятных (причём кристально понятных) систем и аппаратных платформ должен быть, и на таких и только на таких платформах и ПО, которые абсолютно предсказуемы на всех уровнях абстракции вплоть до состояния всех регистров на всех режимах своей работы, и можно строить системы с высоким уровнем безопасности. И RSA со своим уровнем предсказуемости обязан быть в этом стеке технологий…
В основе RSA лежит настолько простые математические принципы, что их беглое изложение здесь заняло абзац. Все уязвимости алгоритма строятся на слабости выбора параметров. А в основе ECC лежит дикая магия с полями чисел, в которых over-дофига слабостей которые без вдумчивого выкуривания всего поля можно и не найти. RSA понятен и поэтому безопасен. Если в основе механизма безопасности лежит большой непонятный кусок магии, о котором можно судить только по заявлениям некоторых о его безопасности, то система не безопасна ни разу, а мы находимся во власти этих очень умных людей.
RSA похоронить не смогут, по крайней мере нужно не дать. Пусть всё работает на этих ваших ECC, но я должен иметь возможность закрыть нечто ценное тем, чему полностью доверяю.
ИМХО здесь борьба с двойным кешированием в page cache и связанными с этим спецэффектами. Если на машине только PG и ничего более, то (ИМХО опять таки) можно задрать этот параметр. По сути, я лично оставил немного системе и остальное поделил между work_mem и shared на железной машине выделенной под БД. Work_mem при этом брался средне-прикидошно по количеству подключений и размеру параметра… Проблем не вылезло, но и нагрузка там средненькая.
За них напишут родственники, причём с лишком… А вообще лазерная коррекция, ИМХО, достаточно автоматизированная операция, чтобы критический уровень кривизны рук хирурга, несовместимый с удовлетворительным (хотя бы) результатом её завершения, был виден невооружённым глазом неподготовленного человека… :-D
Вот не знаю. Возможно с моим астигматизмом в 3,5, возможно потому что зрение было — 4-я стока в очках, возможно помому что я делал в Клинике Фёдорова, но на второй день и ещё неделю спустя смотреть в комп откровенно не хотелось, так как глаза начинали быстро «сохнуть», и всё достаточно сильно «плыло» (по первому явно из-за вмешательства в оболочку глаза, второе явно из-за особенностей тех глубин, с которых поднимали моё зрение). Более того, в бумажках на операцию было сказано, глаза не перенапрягать, ибо им нужно восстановить нормальную работу. Да и вообще на курсе того, что буквально заливалось в глаза (3-и препарата строго 4-е раза в день), вообще делать ничего не хотелось. Как вы с таким за компом сидели, я откровенно не понимаю, а главное нафига, чтобы словить осложнения?..
Но вот совсем недавно узнал, что у меня тот самый синдром сухого глаза (в клинике, где делал коррекцию, мне про него не сказали).
Можно нескромную просьбу, описать постоперационные ощущения. Я первые 2-е недели увлажняйки капал не по часам, а по ощущениям, в глазах ощущения песка появлялись уже в районе 2-х часов после каплей. Спустя месяц смог перейти на пару раз в день. окончательно слезть с регулярного использования увлажняек, поучилось только месяца через 4-ре. Без них жизнь была болью… Неужели это моя особенность?..
Всякие вещи с низким контрастом, например, дорожные указатели ночью, мог прочитать только с относительно близкого расстояния. Думал, что так и должно быть, потому что понятия не имел, как видят те, у кого изначально нормальное зрение
=)))) У меня первая реакция на пост операционное зрение — расплывались предметы на расстоянии нескольких сантиметров от глаз, до этого прекрасно всё видел (близорукость она такая), пришлось попытать врача… По предметам: первые 2-а дня плыло много чего, потом чёткость зрения повысилась. Относился к этому вполне естественно, поскольку во-первых офигевала сетчатка, она столько света почти с рождения не видела, во-вторых лазерная коррекция это повреждение, пусть и управляемое (запах палёных волос на втором этапе операции врезался в память), поэтому оптические спецэффекты просто обязаны быть до восстановления однородности роговицы.
После фемто-ласик на второй день не получится пользоваться компом. Я через неделю только в сторону телевизора стал смотреть, но сразу отворачиваться. Плывёт всё пару дней, а в ночь вообще полгода спецэффекты. Но в целом, даже с списком ужасов, которые выдают врачи (от «нельзя болеть простудой пару месяцев» до синдром сухого глаза, что кстати будет существенным месяца 4 минимум) максимально автоматизированный фемто, где от врача нужно лишь успокоить пациента, правильно оценить его готовность к операции и внести корректные данные в прибор, всё таки менее жуткая вещь.
Угу, даже 4. Один в процессор, второй в ОС, третьего сбоку шурупами прикрутили, и ещё один на каналах связи. Причём майоры российских спецслужб только последняя пара из упомянутых. :-)))))
А вообще, товарищ майор не самое страшное, что за нами всеми следит, так что можно начинать привыкать…
От идиотов может спасти только тотальный геноцид идиотов на поколение выше, а также безжалостные телесные наказания. Но вот пример: обработка множества запросов того же API, со своим состоянием и асинхронно. Разложить эти запросы с их состоянием по массивам, чётко следить за применением нужных вызовов методов к нужным элементам этих массивов прям голова нужна. На объёкте всё сильно проще.
З.Ы. про процедурный код с идемпотентными процедурами и без глобальных переменных: «Гладко было на бумаге, да забыли про овраги...»(с). Хороша теория, прекрасны подходы, да вот не всякая задача ложится в чистую и незамутнённую теорию и подходы, а вовремя остановиться и сказать, что вот тут нужно применить другой подход и иные инструменты, нужна не только большая голова но и серьёзный дан в разработке. А написать дрянь можно на всех языках, и процедурщину рефакторить тоже удовольствие спорное. Запутанную процедурщину рефакторить вообще талант Шерлока Холмса нужен.
Главное в ООП — снижение количество элементов, которыми необходимо оперерировать для создания чего-то. Так в процедурном программировании мы имеем множество процедур и множество переменных разной степени глобальности. Всё это составляет элементы, с которыми необходимо считаться и держать их в голове (как минимум, чтобы не переопределить важную глобальную переменную). Это грузит мозг, и не даёт ему достаточно ресурсов, чтобы как-то оперировать всем этим богатством для достижения цели. Поэтому введены объекты как нечто, что полностью хранит своё состояние и предоставляет понятные методы для оперирования им. Тем самым из тучи методов и переменных мы имеем один объект, которым мозг оперирует как одной единицей. Именно поэтому можно на ООП писать весь тот софт. Не нужно иметь большую голову, способную разложить 100500 переменных и процедур, и при этом сохранить возможность описывать через них объекты, которыми оперирует приложение, да ещё и понимать как это всё нужно задействовать, чтобы данное состояние приобрело необходимый вид. Для такого уровня контроля необходима серьёзная подготовка либо талант. ООП даёт возможность менее прокаченному в базовых навыках специалисту писать приложения с множеством программных объектов. Всё остальное лишь вытекающие из этого плюсы. Полиморфизм ничуть не важнее инкапсуляции и наследования, всё это стороны одной медали.
Как показывает практика, основа порядочности — наличие способа однозначно выделить нарушителя. Если мне прилетит за какое-то деяние, я постараюсь его избежать, в отличии от иной ситуации, когда будет безразлично и чашу весов в пользу правонарушения может качнуть что-либо или кто-либо. Уже после, возможно, народ будет более трепетно относится к чужому в своём распоряжении.
А вообще, да, если продавать то, ценность чего сильно падает от операции копирования, как то разъяснение тренера на курсах, персональное вбивание в голову и прочее, то подобного ужаса (надеюсь, что то адище которое дано в примере, это не реальная работа системы, так как с такой хренью посреди экрана смотреть ничего невозможно) можно не делать.
Компилятор — программа переводящая нечто написанное на неком языке в форму пригодную для исполнения на неком устройстве.
— Машина работает с маш. кодами операций и аргументами в виде ячеек памяти и регистров.
— Асемблер даёт имена маш. кодам и регистрам, делая их человекочитаемыми и наворачивает немного синтаксического сахара по оформлению операций. Но всё это приводимо к маш. кодам практически 1:1
— С и иные системные языки — реализуют некоторые базовые конструкции алгоритмизации в своём синтаксисе, а также организуют среду программирования, состоящую из процедур и методов их написания. Что-то из данных процедур можно написать на асемблере и, используя соглашение о вызове процедур, внести её в среду программирования.
И так далее. То есть язык более высокого уровня добавляет некоторое количество абстракций над языком более низкого, которые в основном представляют из себя просто часто повторяемые конструкции нижележащего языка приятно оформленные в некоторый синтаксис. Когда компилятор языка пишется на самом компилируемом языке возникает ощущение, что языка в этом месте быть и не должно. Возможно нужно спуститься ниже и переписать язык более низкого уровня. Компилятор может частично быть написан на своём языке, но ядро компилятора должно быть написано на языке, в который данный компилятор программу и перегоняет… По другому смысла в компиляторе не видно.
И вообще это языковое безумие заставляет всё чаще вспоминать историю о Вавилонской башне если честно…
«И всё-таки она вертится»(с). Отношение есть множество картежей. Привёденная ссылка на определение это подтверждает. Приведённый пример — просто занятная штука для вопроса на сообразительность и глубину понимания процесса. Обычно в отношениях в БД не хранится хлам навалом, и отношение имеет первичный ключ, по которому происходит объединение. Попробуйте определить первичный ключ и провести свои опыты, вы удивитесь, но СУБД не даст завести два одинаковых значения для первичного ключа.
Да полностью согласен, что нужно СУБД довести до состояния строго учителя математики, который лупит по рукам железной линейкой за каждый шаг в неверном направлении, но люд нынче пошёл нежный, и он сразу взвопит, что его унижают, лишают свободы, а после этого развернёт знамёна и уйдёт на монгу… Нет ну правда, СУБД имеют дело именно с множествами, просто в случае плохо организованной базы, СУБД не может различить одну единицу от другой, поскольку она не в курсе, что делают одинаковые данные в разных записях одной таблицы. Она милостиво делает по этому безобразию декартово произведение и выдаёт это пользователю, в надежде, что тот сможет достучаться до печени DBA, с целью приведение схемы в божеский вид. Уважаемого автора устроило бы падение базы с дампом памяти по типу деления на ноль?
В том то и дело, что трактовать произведение автора слишком разнообразно нельзя, особенно если ознакомится с критикой. Поэтому во многом повторялись и мысли критика и цитаты из оригинального произведения, которые разбавлялись собственными мыслями о теме произведения и изложении её автором. И этих собственных мыслей было не подавляющее количество, а пару десятков процентов в лучшем случае. Остальное бралось из внешних источников для составления чего-то завершённого. Здесь также содраны куски, но вот было ли это просто работой составленной из копипасты или иным изложением, понять без погружения в тему нереально. И бросаться подобным в качестве характеристики на человека странно. При этом я не сомневаюсь, что работа к данному лицу отношения не имеет, поскольку странно ожидать каких-то научных работ от верхушки властной пирамиды. Царём горы умные не становятся, ум здесь уходит в хитрость и подлость, но в любом случае смысла данного аргумента я в корне не понял. Это то, что я попытался донести в своём комментарии.
А та часть, по которой npcap можно бесплатно поставить только на 5 машин, а дальше за деньги, как-то комментируется сообществом? С 6-ю машинами как жить с wireshark?
Требование положительного числа означает, что старший бит нельзя устанавливать. Если он установлен, то его нельзя использовать напрямую как последовательный номер сертификата.
Популярная PKI-система EJBCA, которую используют многие УЦ, по умолчанию генерирует 64-битные числа и для номеров сертификатов просто обнуляет старший бит.
С этого места по подробнее, так мы используем этот несчастный старший 64 бит или нет? Если не используем в чём суть проблемы, пространство серийников всё равно будут 63-х битными…
Да и ИМХО IPv6 протокол стрёмный. Если для нормального функционирования IPv4 можно было очень плотно закрыться firewall. То, что следует открывать для IPv6, чтобы оно просто запустилось, вызывает оторопь на гране припадка…
По статье:
Мне видится сбор сведений уже чем-то положительным, что возможно пойдёт в качестве исходных данных для вырабатывания нормативки. Можно снова забить, но после этого не нужно возбухать, что у нас законы чужими для хищников написаны. По той филькиной грамоте, что подаётся в среднем ко всяким регуляторам, хорошо хоть ещё так получается.
Именно так. Когда мы говорим о безопасности Open Source, мы прежде всего говорим о том, что те кому важна безопасность в этом конкретном месте, прочитают и поймут код, соберут из него ПО и будут использовать. Остальное фикция и очковтирательство. Я не говорю, что лично проверяю всё подряд, но в критических местах НУЖНО понимать, что происходит на большинстве уровней. Да, прозрачность ПО не даёт почти ничего в сфере гражданских систем, поскольку большинство аппаратных платформ для этих систем не предоставляют железа без толстого слоя абстракции, и x86/amd64 тому превосходный пример, однако подкласс понятных (причём кристально понятных) систем и аппаратных платформ должен быть, и на таких и только на таких платформах и ПО, которые абсолютно предсказуемы на всех уровнях абстракции вплоть до состояния всех регистров на всех режимах своей работы, и можно строить системы с высоким уровнем безопасности. И RSA со своим уровнем предсказуемости обязан быть в этом стеке технологий…
RSA похоронить не смогут, по крайней мере нужно не дать. Пусть всё работает на этих ваших ECC, но я должен иметь возможность закрыть нечто ценное тем, чему полностью доверяю.
Можно нескромную просьбу, описать постоперационные ощущения. Я первые 2-е недели увлажняйки капал не по часам, а по ощущениям, в глазах ощущения песка появлялись уже в районе 2-х часов после каплей. Спустя месяц смог перейти на пару раз в день. окончательно слезть с регулярного использования увлажняек, поучилось только месяца через 4-ре. Без них жизнь была болью… Неужели это моя особенность?..
=)))) У меня первая реакция на пост операционное зрение — расплывались предметы на расстоянии нескольких сантиметров от глаз, до этого прекрасно всё видел (близорукость она такая), пришлось попытать врача… По предметам: первые 2-а дня плыло много чего, потом чёткость зрения повысилась. Относился к этому вполне естественно, поскольку во-первых офигевала сетчатка, она столько света почти с рождения не видела, во-вторых лазерная коррекция это повреждение, пусть и управляемое (запах палёных волос на втором этапе операции врезался в память), поэтому оптические спецэффекты просто обязаны быть до восстановления однородности роговицы.
А вообще, товарищ майор не самое страшное, что за нами всеми следит, так что можно начинать привыкать…
З.Ы. про процедурный код с идемпотентными процедурами и без глобальных переменных: «Гладко было на бумаге, да забыли про овраги...»(с). Хороша теория, прекрасны подходы, да вот не всякая задача ложится в чистую и незамутнённую теорию и подходы, а вовремя остановиться и сказать, что вот тут нужно применить другой подход и иные инструменты, нужна не только большая голова но и серьёзный дан в разработке. А написать дрянь можно на всех языках, и процедурщину рефакторить тоже удовольствие спорное. Запутанную процедурщину рефакторить вообще талант Шерлока Холмса нужен.
А вообще, да, если продавать то, ценность чего сильно падает от операции копирования, как то разъяснение тренера на курсах, персональное вбивание в голову и прочее, то подобного ужаса (надеюсь, что то адище которое дано в примере, это не реальная работа системы, так как с такой хренью посреди экрана смотреть ничего невозможно) можно не делать.
— Машина работает с маш. кодами операций и аргументами в виде ячеек памяти и регистров.
— Асемблер даёт имена маш. кодам и регистрам, делая их человекочитаемыми и наворачивает немного синтаксического сахара по оформлению операций. Но всё это приводимо к маш. кодам практически 1:1
— С и иные системные языки — реализуют некоторые базовые конструкции алгоритмизации в своём синтаксисе, а также организуют среду программирования, состоящую из процедур и методов их написания. Что-то из данных процедур можно написать на асемблере и, используя соглашение о вызове процедур, внести её в среду программирования.
И так далее. То есть язык более высокого уровня добавляет некоторое количество абстракций над языком более низкого, которые в основном представляют из себя просто часто повторяемые конструкции нижележащего языка приятно оформленные в некоторый синтаксис. Когда компилятор языка пишется на самом компилируемом языке возникает ощущение, что языка в этом месте быть и не должно. Возможно нужно спуститься ниже и переписать язык более низкого уровня. Компилятор может частично быть написан на своём языке, но ядро компилятора должно быть написано на языке, в который данный компилятор программу и перегоняет… По другому смысла в компиляторе не видно.
И вообще это языковое безумие заставляет всё чаще вспоминать историю о Вавилонской башне если честно…
Да полностью согласен, что нужно СУБД довести до состояния строго учителя математики, который лупит по рукам железной линейкой за каждый шаг в неверном направлении, но люд нынче пошёл нежный, и он сразу взвопит, что его унижают, лишают свободы, а после этого развернёт знамёна и уйдёт на монгу… Нет ну правда, СУБД имеют дело именно с множествами, просто в случае плохо организованной базы, СУБД не может различить одну единицу от другой, поскольку она не в курсе, что делают одинаковые данные в разных записях одной таблицы. Она милостиво делает по этому безобразию декартово произведение и выдаёт это пользователю, в надежде, что тот сможет достучаться до печени DBA, с целью приведение схемы в божеский вид. Уважаемого автора устроило бы падение базы с дампом памяти по типу деления на ноль?
С этого места по подробнее, так мы используем этот несчастный старший 64 бит или нет? Если не используем в чём суть проблемы, пространство серийников всё равно будут 63-х битными…