Как стать автором
Обновить
42.7
Карма
0
Рейтинг
Константин Грибов @grossws

Разработчик

  • Подписчики 15
  • Подписки 17

В поисках gRPC-шлюза

Расскажите пожалуйста чем не хватило envoy и где были с ним затыки. У меня было ощущение что у них одна из фич была трансляция grpc over http/1.1 в нормальный grpc (которая grpc-web) и, соответственно, в качестве более простого grpc gateway должно тем более работать. Но так как сам не пробовал -- интересно что там.

Бомба Log4j и кризис опенсорса

Вы хоть в открытых источниках почитайте как устроена Apache Software Foundation (если что Apache Group закончилась больше 20 лет назад, в районе 1999). ASF не платит и никогда не платила за разработку. За сервера, внешние сервисы, опсам из infra, юристам, за регистрацию торговых марок - платит. Хотя часть тоже со скидками (например, юридическая фирма может донатить определенное количество часов работы их сотрудников, всё что сверх - идёт из бюджета Apache). В общем всё спонсорство идёт на обеспечение работы организации и инфраструктуры для разработки.

Другой момент что большинство коммиттеров где-то работает, но зачастую не получает деньги от условных IBM за работу над конкретным проектом. Особенно инфраструктурным и не хайповым.

FPV полеты — это не только квадрокоптеры

Если говорить про современные пульты типа футабы и спектрума, хрен знает сколько лет уже ипользующие различные варианты spread spectrum/frequency hopping (DSM2/DSMX, FASST и подобные), то называть их аналоговыми довольно странно. Это таки нормальный цифровой simplex поверх диапазона 2.4 GHz с шириной в 80 MHz IIRC. На аналоговых пультах пятиметрового диапазона уже почти никто не живёт, если говорить про авиамодели.

Собеседования джунов — вся жесть вопроса

Как при найме водителей

Вакансия: водитель.

Требования: профессиональные навыки в управлении легковыми и грузовыми
автомобилями, троллейбусами, трамваями, поездами метрополитена и
фуникулера, экскаваторами и бульдозерами, спецмашинами на гусеничном
ходу, боевыми машинами пехоты и современными легкими/средними танками,
находящимисяна вооружении стран СНГ и НАТО.

Навыки раллийного и экстремального вождения обязательны. Опыт управления
болидами «Формулы-1» — приветствуется. Знания и опыт ремонта поршневых и
роторных двигателей, автоматических и ручных трансмиссий, систем
зажигания, антиблокировочных систем, навигационных систем и
автомобильных аудиосистем ведущих поизводителей — обязательны. Опыт
проведения кузовных и окрасочных работ — приветствуется. Претенденты
должны иметь сертификаты Mercedes, BMW, а также справки об участии в
крупных международных ралли не более чем двухлетней давности.

Зарплата: испытательный срок 1-3 месяца, зарплата по результатам собеседования.

(с) когда-то с хабра, но оригинальный permalink оказался не очень persistent

Взлом Госуслуг: утечка исходного кода

Нормальная практика для желающих отдохнуть от всей этой мирской суеты по 272, 274 и 274.1 списка экстремальных развлечений рф лет 5-10

Взлом Госуслуг: утечка исходного кода

Даже древние шареды (лет 15-20 назад, так на минуточку) обычно webroot из которого сервится статика и какие-нибудь php-файлики делали субдиректорией. Вариант с webroot в домашней директории - это хороший признак дилетантского самопала (на vps в том числе).

В том числе на хабре было приличное количество заплюсованных статей про "деплой" через git push с запуском, например, ноды прямо из дефолтного git worktree. Каких результатов кроме слива репозитория тут можно ожидать?

WYSIWYG-редактор Хабра — худшее из того, что я видел

Минус must-not-be-named за нежелание слушать и вникать, а также за нытьё. Ну вот узнали, легче стало?

Log4Shell/Leak4J — чрезвычайно опасная уязвимость в log4j2

А потом вы натыкаетесь на проект где какой-то добрый человек сделал shade+relocate для org.apache.logging..

Log4Shell/Leak4J — чрезвычайно опасная уязвимость в log4j2

Кроме того, чтобы оно «сработало», это должен быть атакующий внутри.

Строго говоря, нет. Вполне достаточно чтобы логирующиеся данные смогли просочиться. См. https://habr.com/ru/company/bizone/blog/595473/comments/#comment_23821537

Как пример in the wild: web server access log -> ELK/EFK + ошибка (несовпадение типа поля, слишком большое поле или ещё что-нибудь) и вы получили rce где-то в глубине своей инфраструктуры.

Помощь в борьбе с Log4Shell: сделали сканер для Log4j

Это почти прямой вариант и про него большинство у кого есть Elastic/Apache Solr были уже в курсе. И патчить параметры запуска могли начать исходя из того они предоставляют web-интерфейс и очевидно что плохим запросом можно дотянуться (если, конечно, query logging включен). А просачивание через non-java системы куда-нибудь в более-менее закрытый контур (но без серьёзной фильтрации исходящих соединений) куда менее ожидаемо.

Помощь в борьбе с Log4Shell: сделали сканер для Log4j

Ещё один момент который многие игнорируют акцентируя внимание на веб-приложениях: уязвимости могут быть подвержены любые приложения, которые при логгировании используют внешние данные.

Например, какая-нибудь аггрегация логов, ваш dwh, streaming pipeline, batch processing, etl-системы, fraud detection и т.д. и т.п.

Строчка с нужными паттерном из условного user-agent попала в текстовый лог nginx, уехала в какой-нибудь clickhouse, а через сутки сработала в какой-нибудь считалке статистики браузеров, которая в лог выводила браузеры на которых наблюдается больше всего ошибок. И ура, rce сработало сильно далеко и совсем не в веб-приложении.

Ректальное программирование: основы для практикующих 1С-программистов

AR-подход тоже этим грешит

«Интернет в огне»: критическая уязвимость Log4Shell терроризирует онлайн-сервисы

Есть OpenSearch + их же Dashboard (прямая замена elasticsearch/kibana, но я их пока не пробовал). Мы пока решили не дергаться, т.к. риск не очень высокий, но, надо понимать, IANAL. С большой вероятностью если вы используете elk/efk внутри организации и не даёте клиентам его как сервис - вы не особо рискуете (или просто Джо Неуловимый для elastic co).

Logstash не факт что нужно менять даже с учётом сказанного выше, не помню его лицензию, честно говоря. Но он не user-facing и под anti-SaaS меры попадать не должен был даже если он сейчас под elastic license v2.

Если хочется ещё альтернатив, то можно подумать про fluentd/fluentbit вместо logstash/xbeat

«Интернет в огне»: критическая уязвимость Log4Shell терроризирует онлайн-сервисы

В современном мире использовать elastic - это уже риск, учитывая их текущую лицензию и "мамой клянусь, будем больно бить только Амазон и облачных провайдеров, вас требование на раскрытие всего кода точно не затронет".

HashiCorp Boundary — путь в облачную open-source безопасность

поставщиками идентификаторов

Это IdP (Identity Providers) чтоли? Мой мозг немного сломался от такого перевода

Gradle в сравнении с Maven: Производительность, совместимость, сборка и многое другое

Лет на 10 (edit: на самом деле на 5, но всё равно)

Легковесная криптография интернета вещей

интегрируемость обмениваемой информации

Видимо имелась ввиду целостность, но надмозг google translate оказался сильней.

Обзор аутентификации на основе токенов

Блин, ожидал сравнение развлечений типа kerberos/oauth/oauth2/oidc, подходов в u2f/webauthn или хотя бы рассуждения про transparent/opaque токены, а увидел стандартное унылое кг/ам.

Почему авторы таких статей даже не осиливают прочитать определения identification, authentication & authorization перед тем как смешивать в одну кучу все три куска?

Микросервисы: проблемы, которые мы не замечаем

Часть народа держит контракты вместе с сервисами и сиблинг проекты для сгенерированных клиентов. Ну а дальше более-менее стандартная боль dependency management. Но это просто альтернативный вариант боли ,)

Возможности Java — от Java 8 до Java 17

Diamond operator в 8 уже был. Зачем вы переводите тонны низкокачественных и крайне похожих статей. Я понимаю что когда-то индусам платили за количество строк и есть куча блогов, унаследованных эту "традицию", но вы же не такой "индус"? Или вам платят за количество мусора на хабре?

Информация

В рейтинге
4,173-й
Откуда
Москва, Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность