• Как я проработала 3 месяца в Я.Маркете и уволилась
    +2

    Тут вопрос не в «бороться». Тут проблема для компании, как понять, что перед ней — адекватный специалист. Я видел людей с 10 годами опыта, которые в своей области не могли примерно ничего. Собеседование нужно, чтобы таких не нанимать. Остальное всё равно придётся выяснять во время испытательного срока.

  • Нам всем нужен хелпдеск
    +1
    Например, при регистрации пользователя в интернет-магазине сразу создавать для него логин и пароль в саппорте, такой же как в личном кабинете магазина.

    Вы про OpenID Connect ничего нее слышали, что ли?

  • Нам всем нужен хелпдеск
    –2

    Нет никакой "прогерской традиции". Есть общепринятый способ с одноразовыми короткоживущими ссылками и есть небезопасные поделия криворуких погромистов. Для последних написан FAQ.

  • Чем проще задача, тем чаще я ошибаюсь
    0

    Его любят не за то, что там багов меньше, а за то, что можно заглянуть в исходники и понять сущность этих багов, а ещё — можно попытаться исправить.

  • Huawei переходит в «боевой режим», чтобы выжить
    +3

    В США есть смертная казнь за финансовые махинации и нарушение санкций?

  • Huawei переходит в «боевой режим», чтобы выжить
    +2

    Так санкции вводят в том числе для того, чтобы прекратить воровство технологий.

  • Huawei переходит в «боевой режим», чтобы выжить
    +2
    Вот с такими элитами можно двигать страну вперёд. Респект чуваку.

    Это же просто политический трёп. Его дочь выпустили под залог 10M USD, она сдала загранпаспорта, ходит с браслетом по Ванкуверу (разрешённая зона 100 квадратных миль вокруг двух её домов). Готов поспорить, что её условия пребывания лучше, чем 99% населения Китая, о которых так заботится её папаша.

  • Huawei переходит в «боевой режим», чтобы выжить
    0

    Куда они будут продавать? Внутри Китая, в Россию, Иран и несколько стран Африки?


    Воровство Хуавея было устроено по двум принципам: первый, сотрудничество с компанией, в результате которого они получали доступ к технологиям и последующее копирование и второй, когда этнический китаец работал в какой-нибудь западной компании, потом увольнялся и переходил в Хуавей. Первый способ работать перестанет, а там, вероятно, и компании несколько раз подумают, нанимать ли китайцев на работу (назовут только это не дискриминацией, а контролем рисков).


    Немного сложнее или сильно сложнее — узнаем, если санкции действительно введут.

  • Huawei переходит в «боевой режим», чтобы выжить
    +1

    Нет, потому, что если Хуавей будет под санкциями, ему придётся выстроить всю цепочку, и я сомневаюсь, что они это смогут легко сделать. Китай большой, но мир за пределами Китая больше.

  • Huawei переходит в «боевой режим», чтобы выжить
    +3

    Хуавей рос за счёт воровства технологий (пример про t-mobile: https://www.engadget.com/2019/01/30/huawei-t-mobile-emails-espionage-tappy-robot-steal-2012/, пример про Cisco: https://blogs.cisco.com/news/cisco-suggests-huawei-release-court-report-on-intellectual-property-misuse). Если воровство технологий прекратить, непонятно, за счёт чего Хуавей выживет и станет сильнее.

  • Программа-вымогатель Sodinokibi: детальное изучение
    0
    Можно контрольные суммы файлов или ссылку на вирустотал?

    Извините за задержку, вот: https://www.virustotal.com/gui/file/0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d/detection

  • Программа-вымогатель Sodinokibi: детальное изучение
    0

    Тоже верно. Ну, может, тогда Иран. Надо бы плотнее покопать.

  • Программа-вымогатель Sodinokibi: детальное изучение
    0

    SUBLANG — это про язык, а не про Асю локаль (https://docs.microsoft.com/en-us/windows/win32/intl/language-identifier-constants-and-strings).


    тандем программиста из постсоветского пространства и Ирана :).

    Непонятно, почему тогда нет SUBLANG_BASHKIR_RUSSIA или подобного. В общем, есть пространство для спекуляций. :)

  • Программа-вымогатель Sodinokibi: детальное изучение
    0

    Для меня загадка, почему список такой и как в списке с названием "bro" могут оказаться одновременно, скажем, Армения и Азербайджан.


    Учитывая, что авторы выделяют Татарстан, думаю, они не жители стран бывшего СССР. При этом, Румыния стоит на первом месте, а Молдавии в списке нет. Учитывая, что в Румынии, кажется, сильны юнинонистские настроения, я не исключаю, что авторы находятся в Румынии.


    Разумееется, это может быть и попыткой навести исследователей на ложный след.

  • Ретроспектива: как истощались адреса IPv4
    +1

    На хостинге как правило выдают не меньше /64 каждому абоненту.

  • Ретроспектива: как истощались адреса IPv4
    0

    Я купил симку МТС и там был включен сразу. Возможно, старым пользователям нужно вручную включать, а новым уже включено.

  • Reuters: «Яндекс» подвергался атакам западных спецслужб
    0

    Regin не используется киберпреступниками.

  • «Яндекс» заявил о решении проблемы с ключами шифрования для ФСБ, а Павел Дуров зовет разработчиков компании к себе
    0
    Я правильно понимаю, что один ключ используется и для Почты, и для Диска, и для Денег...?

    Нет.

  • Юрий Бушмелев «Карта граблей на поле сбора и доставки логов» — расшифровка доклада
    0

    вы точно прочитали, что я написал?


    я не говорю про приложение как конкретный инстанс, т.к. очевидно, что их должно быть столько, сколько обеспечат обработку необходимой нагрузки

    попробуйте ответить для себя на вопрос, во сколько раз больше должно быть инстансов, если они блокируемые по сравнению с неблокируемыми? Для примера возьмите 10 контейнеров на хост и 500, скажем, хостов. поток логов, скажем, 20 — 30kmps.

  • Юрий Бушмелев «Карта граблей на поле сбора и доставки логов» — расшифровка доклада
    0

    Я же написал, что у докера была (возможно, есть) проблема с вычиткой stdout при большом потоке. Вкупе с тем, что в линуксе запись в stdout является блокируемой, это приводило к тому, что соседние контейнеры на том же хосте блокировались при попытке записать что-то в stdout.

  • Юрий Бушмелев «Карта граблей на поле сбора и доставки логов» — расшифровка доклада
    0

    Не иметь в контейнере диска, куда что-то можно записать — принципиальная позиция, контейнеры не должны хранить стейта. Чтобы это понять и принять, требуется определённый опыт эксплуатации, так что нормально, если вы с этим не согласитесь. Кроме того, RAM диск — это расход памяти, причём довольно тупой. Там и так было достаточно проблем с переполнением диска, так что мы активно думали про использование rotatelogs из комплекта apache httpd или multilog из djb daemontools. Увеличивать эти проблемы записью в (малеенький) RAM диск мы не хотели.


    dockerd тогда (возможно, и containerd сейчас) тормозил при чтении stdout контейнеризованного процесса и это торможение приводило к блокировке соседних контейнеров на этом же хосте. Запись в stdout блокируема в linux, а авторам twelve factor app, надеюсь, ещё придётся ответить за свой неграмотный манифест, который продолжает калечить людей и проекты.

  • Учёные определили недостатки интерфейса Windows Update, который частично рассчитан на «тупых пользователей»
    0

    В Windows 10 Professional всё настраивается. Если вы работаете профессионально, возможно, вам стоит купить соответствующую версию.


    Или на MacOS перейти.

  • Учёные определили недостатки интерфейса Windows Update, который частично рассчитан на «тупых пользователей»
    0

    В эпоху Vista был MS08-067, а Conficker — прямое следствие того, что тогда винда "работала без обновлений". А до этого были Sasser, SQL Slammer и Code Red. Мне довелось респондить на некоторые и я могу только приветствовать, что в home edition обновления устанавливаются быстро.

  • Не VPN-ом единым. Шпаргалка о том, как обезопасить себя и свои данные
    +2

    В отсутствие дополнительной информации сложно дать однозначный ответ, но из общих соображений наилучшим вариантом будет Signal:


    • это open source мессенджер (в отличие от Whatsapp, Telegram, Threema),
    • он использует e2e криптографию всегда (в отличие от Telegram),
    • он использует криптографические протоколы, считающиеся надёжными (в отличие от Telegram),
    • он сохраняет минимальный набор данных (в отличие от Whatsapp, Telegram).

    Основной недостаток Signal — привязка к номеру телефона (в отличие от Threema).

  • Введение в криптографию и шифрование, часть вторая. Лекция в Яндексе
    0

    Я перенес статью на https://2hourscrypto.info/ и потихоньку её правлю. Там есть иллюстрации.


    Некоторые вещи изменились: DES совсем перестал быть актуальным, RSA сильно потерял в значимости, вообще ассиметричное крипто стало в основном работать над эллиптическими кривыми, а не над конечными полями. Также, появились application-specific хеши и KDF, например, Argon2. Я постараюсь обновить текст на сайте, чтобы он больше отвечал текущим реалиям.

  • Hello world! Or Habr in English, v1.0
    +1

    Sincerely yours,
    the Stogov family.

  • Опасное приглашение, или Как работает боевая нагрузка к фишинговому письму
    +1

    Если зловредный код разместить текстом, высока вероятность, что эту страницу антивирусы разметят, как зловредную.

  • 10 смертных грехов спикера
    +2

    Проблема в том, что вы пиарите себя, а не стремитесь распространять информацию. Вот тут это ярко видно:


    Я стараюсь следить, чтобы видео и тексты не утекали слишком широко, пока сезон не закончится.

    И пока целью выступлений будет самопиар, разумеется, автор считает нормальным препятствовать распространению информации. Если бы целью было научить людей, этого искусственного ограничения бы не было. И лучше даже не начинайте о том, что происходит "после окончания сезона".


    Аналогия с театром — фальшивая. В театр люди идут за игрой актёров, а не за новыми знаниями.

  • 10 смертных грехов спикера
    +1

    ZN (и PHD) — редкие исключения, когда слайды на английском могут иметь смысл. На, простите, региональном митапе по фронтенду это чаще всего совершенно неуместно.

  • 10 смертных грехов спикера
    +2

    Совершенно по-идиотски выглядит, когда на слайде тезисы написаны на английском, а докладчик говорит на русском. Нет вообще никакого резона так делать.


    Во-вторых, языкового рассинхрона у ЦА конференций быть не должно

    Не должно, а он есть.


    В-третьих, для тех, кто идёт на какое-то отдельное выступление по тематике, в которой нет никаких познаний в рамках конференции своего же профиля (в котором в целом познания есть), на котором спикер говорит на русском, а слайды показывает на английском — это будет даже удобнее, потому что лечге понять сабж и в то же время копнуть глубже в будущем, законспектировав баззворды с доски.

    Слайды — это иллюстративное средство, позволяющее лучше донести свою мысль. Если доклад и иллюстрации к докладу оказываются на разных языках, это точно не облегчает процесс донесения своих мыслей.


    Тем более, что английский у заметной доли докладчиков такой, что на их слайды невозможно без слёз смотреть.

  • 22 порт SSH переносить или нет
    0
    OpenVPN открыта в интернет на одном-двух хостах, ssh — на всех.

    Нет, если используются джамп-хосты.


    OpenVPN нативно поддерживает полное шифрование трафика (когда атакующий без симметричного ключа не сможет даже идентифицировать сервис), ssh — нет.

    И это помогает чему? IPSec (IKE, точнее), скажем, так не умеет. И что?


    Если несложные организационные меры позволяют отсечь часть рисков (автоматизированные сканы ssh на уязвимости, атака на внутренние системы из интернета, обязательность наличия инсайдера для атаки) — то почему нет?

    Я вам уже порекомендовал почитать статьи из цикла BeyondCorp. Вот ссылка: https://cloud.google.com/beyondcorp/#researchPapers — я не хочу пересказывать всё, что там написано про мотивацию технологию. Но если коротко, когда у вас в организации работают тысячи человек, при современном уровне защищённости клиентских операционных систем и уровнем мобильности сотрудников, необходимым бизнесу, периметр настолько размыт, что полагаться на него может быть опасной иллюзией. Поэтому разумно рассуждать, что клиентская сеть — это тоже самое, что интернет. Но мне кажется, вы не хотите слышать этот тезис и упорно продолжаете говорить про "внутренние системы" и "наличие инсайдера".


    Я повторю свой тезис: в организации ssh вполне может быть доступен снаружи (в форме джамп-хоста или джамп-хостов) и это с точки зрения защищённости не хуже VPN, а с точки зрения удобства — намного лучше. Проверено собственным опытом в организации с тысячами сотрудников и тысячами серверов. Чтобы уменьшить exposure джамп-хоста, я написал небольшую утилитку: https://github.com/ivladdalvi/forsh

  • 22 порт SSH переносить или нет
    0
    Так вот, в приличных организациях ssh вообще не должен быть доступен из интернета — только через сетевой интерфейс локальной сети и впн.

    Rant: очевидно, Google — неприличная организация. :) Я думаю, вам полезно будет почитать их статьи из цикла BeyondCorp, много интересного для себя откроете.


    Если серьезно, то во-первых, большие организации давно осознали, что периметра не существует, а во-вторых с точки зрения качества аутентификации и криптографической защиты ssh принципиально не отличается, скажем, от OpenVPN.

  • 22 порт SSH переносить или нет
    +5
    Давайте разберем

    Я подумал, что да, неплохо бы разобрать некоторые тезисы этой статьи.


    авторизация по ключам остались два относительно безопасных ssh-ключа это RSA-4096 и ED25519

    На https://www.keylength.com/ есть сравнения рекомендаций относительно выбора длины ключей. Например, NIST в публикации 800-57 части 1 говорит, что ключи RSA длиной 2048 бит являются приемлемыми и примерно квивалентными по стойкости 112 битному симметричному шифрованию (которое тоже считается приемлемым). Стандарт BSI от 2018 года говорит, что до 2022 года RSA с размером ключа до 2048 бит безопасен. Другие стандарты (например, рекомендации NSA IAD) предлагают использовать RSA с длиной ключа 3072 бита. В среднем, консенсус состоит в том, что их применение безопасно до 2030 года. Итого, тезис про RSA4096 неверен.


    нужно учитывать наличие в Интернете некоторых сомнений по поводу надежности ED25519

    Я внимательно погуглил и не нашёл каких-то особенных беспокойств относительно безопасности конкретно Ed25519, отличающиеся от общих соображений по генерации подписи на ECDSA. Мне кажется, это экстраординарное по силе утверждение требует экстраординарных доказательств, на не предложения погуглить. Итого, тезис про Ed25519 выглядит, как FUD.


    Кроме ключей рекомендована, достаточно длинная кодовая фраза для Ваших ключей из случайных символов в разном регистре и цифр, как минимум.

    "Кодовая фраза" не участвует в процессе аутентификации, а используется только для генерации локального ключа шифрования. Не важно, есть в ней буквы разного регистра и символы, важно, чтобы пространство ключей было достаточно большим, больше ~100 бит. Итого, рекомендация про ключевую фразу бесполезна в лучшем случае.


    давайте кратко посмотрим, что происходят, если Ваш хост атакуется целенаправленно.

    Если ваш хост атакуется целенаправленно, перенос ssh на случайный порт просто даёт +16 бит энтропии. 16 бит энтропии — это меньше, чем 3 символа пароля, если тот сгенерирован случайно, log(26+26+10)(216)≈2,69.


    Для взлома используются ботнеты с тысячами адресов и сканирование в простом случае идет, чтобы обходить установки по умолчанию Fail2ban с сотен и тысяч адресов, при серьезном сканировании с учетом настроек системы защиты жертвы.

    Поскольку речь идёт о +16 битах, сканирование с "сотен и тысяч адресов" позволит тривиально найти нестандартный порт в случае целенаправленной атаки, о которой вы говорите. Итого, нестандартный порт не добавляет значимой защиты при целенаправленных атаках.


    обзор BestPractic по обеспечению безопасности SSH

    Во-первых, Best practice. Не потому, что я граммар-наци, а потому, что глаз царапает. Во-вторых, эти рекомендации составлены непонятно кем и непонятно с какой целью. Такая аппеляция к случайной статье в интернете вообще смысла не имеет.


    Резюмируя, а активе смены порта на нестандартный:


    • защита, соответствующая примерно +3 символам в пароле;
    • меньше логов от нецелевых сканирований интернета;

    В пассиве:


    • увеличенная административная нагрузка, если вы администрируете больше 5 хостов (надо где-то хранить знание про нестандартный порт, например, поддерживать ssh_config), особенно для больших команд;
    • ложная иллюзия безопасности;
    • необходимость гармонизации с другими элементами конфигурации (например, с файрволом), не обязательно находящимися под управлением тех же людей (см. снова первый пунк в пассиве) или той же системы управления конфигурациями (например, речь о сетевом файрволе, а не о iptables);

    Рекомендация: выключить парольную аутентификацию, использовать только аутентификацию по ключам, настроить ротацию логов. Если очень хочется — использовать схемы с SPA (но надо тщательно взвесить достоинства и недостатки).

  • Прекратите нанимать «эффективных менеджеров». Они не только бесполезны, но и вредны
    0

    В РСБУ вообще нет понятия EBITDA. Её можно построить в терминах МСФО, хотя и там она не является показателем, обязательным к раскрытию. Поэтому сарказм у вас вышел так себе.

  • Мы сделали памятку для китайцев, которые к вам приехали
    –1
    Здесь ситуация обратная — от меня требуется действие, общественная польза от которого заметно меньше, чем тот труд, который я в это действие вкладываю.

    Польза в том, что идущий позади вас не разобьет себе лицо или не повредит руку. Но я уже понял, что вам сложно это понять. Вы же сами написали, что ногами двери открываете.


    И таки да, срать в карму — видимо, признак очень высокой культуры.

    Нет, это сигнал вам, что вы, видимо, ведёте себя, как мудак. Судя по всему, сигнал дошёл.

  • Мы сделали памятку для китайцев, которые к вам приехали
    –1

    Вам сложно придержать дверь для идущего за вами человека? Кажется, вот в этом и состоит разница культур.

  • Работаем в консоли быстро и эффективно
    0

    в zsh можно ограничивать размер PS1 (см. man zshmisc про %<string<). Например, у меня это сделано так: %25<..<%~.


    Вот весь PS1, кстати:


    PS1='%(?..[%{^[[31m%}%B%?%{^[[0m%}%b])%(#.%{^[[1;31m%}.%{^[[32m%})%n%{^[[0m%}@%m %B%25<..<%~%b %h%# '
  • Работаем в консоли быстро и эффективно
    0
    Пусть лучше shell prompt сообщит, если команда завершилась неуспешно.

    У меня это место оформлено несколько иначе: если код возврата ненулевой, zsh выведет его в приглашение, иначе ничего выводить не будет. Достигается вот так: %(?..[%{^[[31m%}%B%?%{^[[0m%}%b]), выглядит сложно, но если убрать Esc-последовательности, станет понятнее: %(?..[%?]).

  • Регистратор REG.RU лишил партнёра доступа к 70 тысячам доменов и забрал их обслуживание себе
    0

    можно, конечно.

  • Самая сложная программа
    +6
    Только разработчики Stuxnet сделали свою работу один раз, а в НАСА такие вещи делаются десятки (сотни?) раз в год…

    Справедливости ради, мы точно не знаем, сколько раз в АНБ делали такую работу. Мы знаем, что, как минимум, Stuxnet и платформа Flame/Duqu были обнаружены. Мы не знаем, сколько обнаружено не было.