Наща проблема в том что мы стали считать слово «банальность» синонимом «глупость» хотя на самом деле это совсем наоборот. Повторение банальностей под разными углами зрания и разными «соусами» если хотите приносит очень много пользы. Естественно это мое личное снание и никому ничего доказывать я на собираюсь.
Хотел ответить развернуто снова. Но затем перечитал последний абзац. Может мне показалось но
«Кстати, мы очень заинтересованы в таких тестерах как Вы.»
думал это комплимент. Типа я дотошный в хорошем смысле слова и вам нужна профессиональная помощь.
«Вам было бы интересно взглянуть на весь проект и дать свои комментарии?»
хотел ответить «да». Но затем вчитался:
«Воспользоваться теми функциями, которые могут быть вам интересны.»
Опять какая то реклама каких то гипотетических но весьма полезных и очень полезных не только мне, но видимо ВСЕМ «функций».
«Еще раз напомним, мы на стадии бета-тестирования, поэтому это очень актуально для нас. Вот проект»
на секунду показалось, что вам таки нужен совет и мое мнение. Но пройдя по ссылке которая ведет на ваш сайт, а не на какой не проект, понял что вы супер маркетологи. Хабра минус, Хабра плюс — вам без разницы! Ссылочная масса растет, ключевые слова на месте. SEO работает, а все остальное по боку! Молодцы!
Спасибо за ответ. Но он все еще недостаточно «технический» :-) Перечитайте мой вопрос снова и найдите конкретный ответ на каждый, заданный мной изначально вопрос. Я не смог найти ответ практически ни на один из заданных. Кроме подтверждения того что переезд был с одного из необлачных хостеров на AWS. Но далее — туман… никаких попугаев «до» и «после». Изначально: 2 vCPU, 4096mb RAM, 60gb SSD, 3GB/s bandwidth. Памяти маловато почти для любой задачи. Соединение в сеть — возможно не испрользовалось и на 10% а возможно на 100% — опять нет конкретики. После переезда — упало до 10%? или до 90%? а CPU? В целом статья читается как ракламный проспект и возможно для не специалистов вполне «звучит». Предоставленные разъяснения тоже носят хоть и более технический и «архитектурный» характер все же не дает ответа на то как и почему AWS «улучшить производительность сайта в 8 раз». А скорее просто говорит: обращайтесь к нам и будет вам счастье!
Не хабровский какой-то пост получился. Никакой конкретики.
Какие сервисы крутятся на серверах (почта, базы данных, Java, PHP, nodeJS, это вообще Web или кокой-то REST)?
Сколько и каких серверов использовалось до и после?
В каких попугаях мерили нагрузку до и после? CPU — весьма неоднозначный показатель особенно если было 100%?
Почему если бюджет вырос вдвое нельзя было добавить пару серверов в изначальную конфигурацию?
Какая она была изначально? Другой не облачный хостер? Или серверная комната? Канал в сеть какой был?
Почти ни один технический аспект не освещен, не удивительно, что народ минусует.
Даже если поменять заголовок на: «Как мы переехали на AWS» и то ничего не понятно. Что уж говорить про «улучшить производительность сайта в 8 раз»
Я понимаю ваше негодование. Но для меня как читателя это не «полное вранье».
Контрольное число давно уже не используется
Ваш ответ говорит о том что уязвимость имела место. Автор текста не претендует на то что все что описано действительно на сегодняшний день. Насколько я понимаю информация в основном полутора-двух летней давности. Поскольку суд закончился к осени прошлого года. Я был бы вам признателен, если бы вы ответили на вопросы которые я задал для гипотетического опроса читателей выше в своем коментарии. А пока я не увидел никакого «полного вранья», уж вы меня извините.
Извините мое недоверие, но вы разработчик или менеджер? «В системе используются криптостойкие алгоритмы» похоже на лозунг, но не на четкое опровержение.
Читая фрагмент статьи про который вы говорите я вижу что автор не отрицает наличие какого-то шифрования, но обращает внимание на:
К сожалению для компании Микротех, контрольное число, действующее в каждый конкретный день, очень легко вычислить, получив в руки бывший в употреблении билетик.
Мы согласны с тем, что это несколько снижает эффективность действий гипотетического злоумышленника – бегать туда-сюда от турникетов к принтеру и обратно уныло. Но это не может считаться существенной защитой, так как она разваливается, стоит каким-нибудь энтузиастам наладить информирование окружающих об этом секретном контрольном числе. Можно, например, поднять секретный телеграмм-канал или сайтик.
Думаю всем было бы очень интересно узнать вашу точку зения. «Полное вранье» это очень не убедительно. Насколько я могу судить то названия организаций узазаны вполне верно, раз вы пытаетесь тут защитить «честь мундира». И это вызывает уже некоторое уважение. Попробуйте либо откомментировать более развернуто указав на то что по-вашему мнению в статье описано некорректно, в особенности те моменты где «полное вранье». Думаю огромная часть аудитории сможет отделить зерна от плевел. Или что было бы вообще замечательно, напишите статью ответ на хабре, мне кажется, это очень даже приветстуется. Я лично был бы очень рад посмотреть на эту историю с другой стороны и составить мнение о том существуют ли белые хакеры и готово ли к их появлению общество и бизнес.
Совершенно другая история. Правда наверное где-то посередине.
По словам защитника, дело обстояло так: вначале Путин скачал программу в интернете и доработал ее, воспользовавшись старой платой турникета, приобретенной им в интернете, после чего троица сделала врезку в кабель компьютерной сети турникетов на станции «Москва-3», чтобы сравнить свои данные с оригинальной версией. Эксперты не нашли в них расхождений.
Врезка в кабель, это уже не «из открытых источников» :-)
Хочется ответить тем кто высказывается в том смысле что:
поскольку производитель и система изначально знают и учитывают возможность использования каких-то багов в системе и наличие зайцев, то «тролить» их своими исследованиями безопасности как бы неправильно. А публиковать уязвимости и отчеты аморально и возможно даже подсудно.
Я наверное даже на 99% согласился бы с такой позицией, особенно с учетом сегодняшней реальности в судебной системе и мнения «большинства».
Но мне кажется что акцент в статье надо делать (и автор пытался это донести) не на техническом и моральном аспекте этой истории. А на конкретной ситуации и поведении некоей абстрактной (или очень конкретной) компании в нашей индустрии.
Я бы поставил на голосование два вопроса:
Что должна была сделать компания получившая информацию об уязвимостях?
а. Обратиться в полицию
б. Сказать спасибо и начать работу над ошибками
в. Проигнорировать
Что должны были сделать исследователи:
а. Не начинать исследование (хакеры это зло! :-))
б. Ипользовать уязвимости себе на благо
в. Сообщить производителю системы обо уязвимостях
При таком опросе стало бы ясно что автор абсолютно прав защищая талантливых ребят, способных принести пользу обществу. А руководство компании неправы? поскольку первое что они должны были сделать (по моему мнению) это сказать спасибо. Может и не стоило закрывать уязвимости (из-за заоложенных изначально и известных рисков как я отметил в начале). Но и подавать на исследователей в суд — контрпродуктивно, поскольку это не приносит никакой пользы ни одной из заинтересованных сторон: компания не получает никакой прибыли, зайцы продолжают использовать уязвимости, общество оплачивает дырявые системы, сисему «правосудия» и содержание талантливых и ответственных граждан в тюрьмах или по следствием (портя им репутацию в глазах общества на долгие годы), ИТ сообщество получает однозначный сигнал сто белым хакерам не рады в этой стране.
Какие сервисы крутятся на серверах (почта, базы данных, Java, PHP, nodeJS, это вообще Web или кокой-то REST)?
Сколько и каких серверов использовалось до и после?
В каких попугаях мерили нагрузку до и после? CPU — весьма неоднозначный показатель особенно если было 100%?
Почему если бюджет вырос вдвое нельзя было добавить пару серверов в изначальную конфигурацию?
Какая она была изначально? Другой не облачный хостер? Или серверная комната? Канал в сеть какой был?
Почти ни один технический аспект не освещен, не удивительно, что народ минусует.
Даже если поменять заголовок на: «Как мы переехали на AWS» и то ничего не понятно. Что уж говорить про «улучшить производительность сайта в 8 раз»
Ваш ответ говорит о том что уязвимость имела место. Автор текста не претендует на то что все что описано действительно на сегодняшний день. Насколько я понимаю информация в основном полутора-двух летней давности. Поскольку суд закончился к осени прошлого года. Я был бы вам признателен, если бы вы ответили на вопросы которые я задал для гипотетического опроса читателей выше в своем коментарии. А пока я не увидел никакого «полного вранья», уж вы меня извините.
Читая фрагмент статьи про который вы говорите я вижу что автор не отрицает наличие какого-то шифрования, но обращает внимание на:
Врезка в кабель, это уже не «из открытых источников» :-)
поскольку производитель и система изначально знают и учитывают возможность использования каких-то багов в системе и наличие зайцев, то «тролить» их своими исследованиями безопасности как бы неправильно. А публиковать уязвимости и отчеты аморально и возможно даже подсудно.
Я наверное даже на 99% согласился бы с такой позицией, особенно с учетом сегодняшней реальности в судебной системе и мнения «большинства».
Но мне кажется что акцент в статье надо делать (и автор пытался это донести) не на техническом и моральном аспекте этой истории. А на конкретной ситуации и поведении некоей абстрактной (или очень конкретной) компании в нашей индустрии.
Я бы поставил на голосование два вопроса:
Что должна была сделать компания получившая информацию об уязвимостях?
а. Обратиться в полицию
б. Сказать спасибо и начать работу над ошибками
в. Проигнорировать
Что должны были сделать исследователи:
а. Не начинать исследование (хакеры это зло! :-))
б. Ипользовать уязвимости себе на благо
в. Сообщить производителю системы обо уязвимостях
При таком опросе стало бы ясно что автор абсолютно прав защищая талантливых ребят, способных принести пользу обществу. А руководство компании неправы? поскольку первое что они должны были сделать (по моему мнению) это сказать спасибо. Может и не стоило закрывать уязвимости (из-за заоложенных изначально и известных рисков как я отметил в начале). Но и подавать на исследователей в суд — контрпродуктивно, поскольку это не приносит никакой пользы ни одной из заинтересованных сторон: компания не получает никакой прибыли, зайцы продолжают использовать уязвимости, общество оплачивает дырявые системы, сисему «правосудия» и содержание талантливых и ответственных граждан в тюрьмах или по следствием (портя им репутацию в глазах общества на долгие годы), ИТ сообщество получает однозначный сигнал сто белым хакерам не рады в этой стране.