Речь о том, чтобы с помощью телефона прослушивать окружающие звуки скрытно от пользователя телефона.
ну, напрямую нет. Только через какие-то CVE/RCE. И то не факт, что сработает - так как телефоны явно индицируют фото и аудио запись, то есть может быть и на уровне железа придется что-то делать.
кажется основной вывод - мы в заднице, потому что любой УЦ может из под полы по требованиям siloviki выпустить сертификат для любого домена. Таким образом, требуются дополнительные меры (привлечение DNSSEC или ограничение скоупа выпускаемых конкретным УЦ доменов)... да и то - все равно похоже на битву меча и щита или проблему курицы и яйца (чтобы доверие установить - нужно что-то на локальном компе, что будет постоянно обновляться)...
тогда получается, надо брать настройки от "кубернетесовского" cnpg постгреса и инжектировать в standalone, а дальше обсуждать влияние именно от k8s стека. Кстати, его можно легко нивелировать - через правильное использование csi (local path provisioner?), host network (чтобы не было задержки cni) etc.
В теории Вы абсолютно правы. Технически же появляется дьявол в деталях. Инстансы под кластера кубера и ВМ - разные (привет, таймвеб).
Конфигурация ОС под ВМ и под кубер разная (привет яндекс)
и прочая пачка влажных историй из эксплуатации.
Чтобы провести чистый эксперимент - надо брать условный VM в хетцнере с бубунтой, ставить туда постгрес как пакет операционной системы. Далее брать в том же хетцнере такую же VM (можно взять ТУ ЖЕ самую после полного формата диска), катить на нее воркера кубеадм кластера (возьмем еще одну виртуалку) и тогда уже и сравнивать. Не забыть еще про диски - что есть разница между локальным диском системы и ebs снаружи (в хетцнере не так, как в яндексе, так как производительность диска не меняется в зависимости от размера диска). Короче, говорить просто в вакууме, что кубер медленнее - это вроде бы с одной стороны результат, а с другой - ну, он бессмысленен.
у вас не может быть ноды вообще с одним подом Postgres - нужны логи, метрики т.д. - всегда будет что-то служебное
валидно! Но тогда с тем же успехом можно констатировать, что это все на ноде с постгрес требует специфичной настройки, чтобы не ломать производительность pg. А самое главное - чтобы не заезжали другие, левые, пользовательские поды.
Другими словами, когда я запущу в изолированном сетевом контуре ванильный кластер k8s, для корректной работы сетевого адресного пространства кластера мне загодя надо будет положить этот образ контейнера, откуда он будет подтянут? Так?
очевидно - да. И именно про это пишут в официальной документации. Не говоря уже о том, что если у Вас self hosted control plane - придется еще положить образа для всех компонентов control plane + вероятно kube-proxy. Так что - да, Вы абсолютно правы.
В чём проблема? Под случайно, либо намерено убили, k8s его поднял, все живы и довольны с новым адресом.
есть разница между под убили и все контейнеры пода перестартовали конечное количество раз. Понимаете, мы с Вами на разных уровнях вообще. Если хотите получить детальное знание о работе k8s - либо копать самому, или при помощи доступных образовательных материалов (крутая вещь, например, лабы https://labs.iximiuz.com/tutorials ), либо welcome в мой телеграм, консультации платные.
Дальше честно нет ни желание, ни времени тут продолжать.
Я поржал. Сравнение в молоко. Tls ? Ну, камон, базу без тлс запускать в 2025. А еще, дорогой товарищ, ты поотключал какие либо сервисы на узле кластера, чтобы не было истории с шумными соседями ? Тюнинг планировщика линукс ? Нет ? А ничего, что даже настройки линукса на контейнерной машине и на стендэлоун виртуалке у облачных провайдеров отличаются? А чего тогда вообще с managed db не сравнить ? Ну, чтобы база в кубере натурально проиграла ? Потому что у облака явно в их managed db сервисах есть очень крутые оптимизации… не знаю, выводы так себе, прям…
А кто даст провайдерузакрытый ключ к сертификату Минцифры?
а он и не нужен! Если Минцифры условно вступают в сговор с Ростелеком - первые могут заишьюить Sub-CA для ростелека и результат для потребителя будет ТОЧНО такой же.
Я так понимаю точка зрения параноика говорит, что из всех хранилищ - не выйдет. Национальный браузер попросят оставить. И всем скажут - вот пользуйтесь им, остальные испорчены и не дают работать с российской зоной.
все хранилища обновить - это СЛИШКОМ много работы. Посмотрите - сколько тех же андроид телефонов на руках, к которым обновлений уже никогда не будет?! Или вспомните - какая катастрофа была, когда TZ поменяли в РФ. Слава Богу отыграли, но прям было болезненно. И, конечно, далеко не все будут постоянно подгружать обновленные ca-certificates бандлы и timezone ....
Национальный корневой сертификат делать с Name Constraint на *.ru
ну, здрасьте, а чего не на международные домены вроде .com/.net? Или habr.com не российский ресурс, например? Принадлежность же ресурса определяется не только TLD... Ну, и не забудьте еще про .рф (пуникод) и домены вроде .su - что с ними делать?
Речь о том, что ключи УЦ есть у ФСБ (весьма вероятно)
И при желании они могут скрафтить сертификаты (или делать это на лету) для любого компа, который имеет установленный корень от минцифры. Пользователь даже не заметит подмены, к сожалению. Так как вся инфраструктура DNS и CA в целом косячная и не рассчитана на противоборство государству.
отчасти - да, но все равно же полезно. Выходят же до сих пор работы про сравнение производительности docker vs kvm vs bare metal vs что еще
ну, напрямую нет. Только через какие-то CVE/RCE. И то не факт, что сработает - так как телефоны явно индицируют фото и аудио запись, то есть может быть и на уровне железа придется что-то делать.
оно и было, похоже. Очень ждем "работу над ошибками" или "домашку"
кажется основной вывод - мы в заднице, потому что любой УЦ может из под полы по требованиям siloviki выпустить сертификат для любого домена. Таким образом, требуются дополнительные меры (привлечение DNSSEC или ограничение скоупа выпускаемых конкретным УЦ доменов)... да и то - все равно похоже на битву меча и щита или проблему курицы и яйца (чтобы доверие установить - нужно что-то на локальном компе, что будет постоянно обновляться)...
как минимум перехват СМС через SS7 делается на изи. Материалы на хабре были.
это слишком сложные лабиринты мысли. Блохчейна только не хватает
его вредно "НЕ ШИФРОВАТЬ". Вообще никому не должно быть дело до того, что я там на википедии смотрю.
тогда получается, надо брать настройки от "кубернетесовского" cnpg постгреса и инжектировать в standalone, а дальше обсуждать влияние именно от k8s стека. Кстати, его можно легко нивелировать - через правильное использование csi (local path provisioner?), host network (чтобы не было задержки cni) etc.
Привет, Сергей!
В теории Вы абсолютно правы. Технически же появляется дьявол в деталях. Инстансы под кластера кубера и ВМ - разные (привет, таймвеб).
Конфигурация ОС под ВМ и под кубер разная (привет яндекс)
и прочая пачка влажных историй из эксплуатации.
Чтобы провести чистый эксперимент - надо брать условный VM в хетцнере с бубунтой, ставить туда постгрес как пакет операционной системы. Далее брать в том же хетцнере такую же VM (можно взять ТУ ЖЕ самую после полного формата диска), катить на нее воркера кубеадм кластера (возьмем еще одну виртуалку) и тогда уже и сравнивать. Не забыть еще про диски - что есть разница между локальным диском системы и ebs снаружи (в хетцнере не так, как в яндексе, так как производительность диска не меняется в зависимости от размера диска). Короче, говорить просто в вакууме, что кубер медленнее - это вроде бы с одной стороны результат, а с другой - ну, он бессмысленен.
numa? cpu pinning? guaranteed qos class?
валидно! Но тогда с тем же успехом можно констатировать, что это все на ноде с постгрес требует специфичной настройки, чтобы не ломать производительность pg. А самое главное - чтобы не заезжали другие, левые, пользовательские поды.
очевидно - да. И именно про это пишут в официальной документации. Не говоря уже о том, что если у Вас self hosted control plane - придется еще положить образа для всех компонентов control plane + вероятно kube-proxy. Так что - да, Вы абсолютно правы.
есть разница между под убили и все контейнеры пода перестартовали конечное количество раз. Понимаете, мы с Вами на разных уровнях вообще. Если хотите получить детальное знание о работе k8s - либо копать самому, или при помощи доступных образовательных материалов (крутая вещь, например, лабы https://labs.iximiuz.com/tutorials ), либо welcome в мой телеграм, консультации платные.
Дальше честно нет ни желание, ни времени тут продолжать.
Ну, и zolando писать… ну, полный стыд. Скриншоты для истории оставил. Вот и весь уровень статьи.
Я поржал. Сравнение в молоко. Tls ? Ну, камон, базу без тлс запускать в 2025. А еще, дорогой товарищ, ты поотключал какие либо сервисы на узле кластера, чтобы не было истории с шумными соседями ? Тюнинг планировщика линукс ? Нет ? А ничего, что даже настройки линукса на контейнерной машине и на стендэлоун виртуалке у облачных провайдеров отличаются? А чего тогда вообще с managed db не сравнить ? Ну, чтобы база в кубере натурально проиграла ? Потому что у облака явно в их managed db сервисах есть очень крутые оптимизации… не знаю, выводы так себе, прям…
а он и не нужен! Если Минцифры условно вступают в сговор с Ростелеком - первые могут заишьюить Sub-CA для ростелека и результат для потребителя будет ТОЧНО такой же.
все хранилища обновить - это СЛИШКОМ много работы. Посмотрите - сколько тех же андроид телефонов на руках, к которым обновлений уже никогда не будет?! Или вспомните - какая катастрофа была, когда TZ поменяли в РФ. Слава Богу отыграли, но прям было болезненно. И, конечно, далеко не все будут постоянно подгружать обновленные ca-certificates бандлы и timezone ....
чтобы продавать никому не нужные сертификаты за много денег? А потом пришел гугл и все сломал со своим LE?
идеально! И чтобы это были пользовательские списки, а не распространяемые откуда-то из ЦЕНТРА
ну, здрасьте, а чего не на международные домены вроде .com/.net? Или habr.com не российский ресурс, например? Принадлежность же ресурса определяется не только TLD... Ну, и не забудьте еще про .рф (пуникод) и домены вроде .su - что с ними делать?
Речь о том, что ключи УЦ есть у ФСБ (весьма вероятно)
И при желании они могут скрафтить сертификаты (или делать это на лету) для любого компа, который имеет установленный корень от минцифры. Пользователь даже не заметит подмены, к сожалению. Так как вся инфраструктура DNS и CA в целом косячная и не рассчитана на противоборство государству.