Есть еще 2-3 крайне интересных отчета, с чтением памяти, выходом из Docker, локальным повышением привелегий. Как только все исправим - постараемся опубликовать.
Тратится достаточно много времени на разбор отчетов по уязвимостям. Иногда они написаны сухо, иногда подробно. Но в таком формате читать отчет как минимум приятно, хотя первоначальный отчет был написан не так.
С SALT.php - при упаковке приложения в docker - угадать пути, как мне кажется не так уж и сложно.
то есть Вы бы все равно посоветовали вложится в более правильный бизнес субаренды, а не скажем положить деньги в банк под 20% в РФ, купить акции, купить крипту, положить депозит в лирах ?
При этом - важный фактор, который есть в статье - 10 млн это все деньги которые есть у человека и в этом случае степень личного риска многократно возрастает.
При средней окупаемости бизнеса в сделках о продаже 5+ лет, тут говорится о 2 годах и безпроблемности - ну такое. Статья похожа на "хулиганы развели пенсионара на 50 млн рублей, лучше бы пенсионер ответил на письмо негерийского принца..."
3.2. Порядок регистрации 3.2.1. Регистрация доменного имени осуществляется на основании заявки пользователя при условии выполнения пользователем требований настоящих Правил и договора. Перед подачей заявки на регистрацию доменного имени пользователь обязан ознакомиться с настоящими Правилами.
повторюсь еще раз, Вы прочитали этот документ ? там есть все ответы на Ваши вопросы.
пс. простите не выдержал и переадресовал ваш вопрос ChartGPT =)
Кординационный центр доменных имен России (КЦ) не продает готовые доменные имена и не придумывает их самостоятельно. КЦ является организацией, которая занимается регистрацией и управлением национальных доменных зон верхнего уровня России, таких как .ru, .рф, .su и других.
Регистраторы доменных имен покупают у КЦ право регистрации доменных имен в соответствующих доменных зонах, которые придумывают и регистрируют клиенты регистраторов. Клиенты могут выбирать любое свободное доменное имя в соответствующей зоне и зарегистрировать его через регистратора. Кроме того, регистраторы также предоставляют услуги по продлению и управлению доменными именами.
Таким образом, КЦ не продает готовые доменные имена, а регистраторы предоставляют услуги регистрации доменных имен, придуманных клиентами.
ну то есть гений, написавший файловую систему используемую в гугл и приложивший руку ко многим продуктам, работающий в компании 20+ лет - эквивалентен 12 не самых лучших программистов (понятно что это не джун, но у не гении, эквивалент 250к можно и в России было получать) ? Рекомендую прочитать статьи по системе мотивации в Google.
То есть самый дорогой программист google получает 250000 в месяц до вычета налогов ? Или где то 150к в месяц после вычета налогов. Не то что бы это были маленькие деньги - но мне кажется это не уровень "сеньера вице призидента" в условном подразделении Google. Полагаю там есть еще опционы.
Себестоимость в плане затрат которые необходимо оплатить КЦ была 149 рублей при НДС 18 процентов.
Возьмем наши цены, предположим есть 100000 доменов, при этом максимальная цена продления 289 рублей (прибыль будет 130 рублей) итого получим — получается 1083000 рублей в месяц. На таком объеме точно понадобится юрист для обработки заявок, информационная поддержка она же ресепшен (по регламентам 24х7), минимальная техническая поддержка она же программисты для работы с софтом, как минимум 4 DNS сервера ну и до COVID я бы сказал, что нужен офис. Добавим зарплате налоги, налоги на прибыль и получим 200-500к прибыли.
Конечно все это в теории можно делать и самому, но возникает вопрос а как набрать 100000 доменов, для России это достаточно большое число и что делать когда домено 10000? =)
Да часть лидеров рынка умудряются продавать продление доменов по 1200 рублей и в этом плане они конечно очень круты =)
Это не конец истории, а промежуточный итог. По факту сейчас мы полностью доказали, что у нас не было нарушений и все публичный обвинения наших коллег были ложью.
Все происходит очень медленно, думаю через полгода будут долее интересные документы.
Я бы обратил внимание на количество реально используемых доменов. Большая часть сокращения это так называемые киберсквотеры, доменные инвесторы. Из-за дешевизны доменов в национальных зонах данные виды заработка были достаточно популярны.
Я уже написал постом ниже — второй разработчик обошелся компании в 2400000 рублей минимум, Вы уверены что это было оптимальное расходование средств?
Любой бизнес это стратегия — как при ограниченных ресурсах достигать максимальных результатов. Переписывание проекта — это ставка на долгосрочный результат, может быть лучше было бы решать коротко срочные задачи?
Не совсем согласен, можно было бы сэкономить на ЗП одного из программистов даже при ЗП в 60к (хотя думаю что выше) — это затраты минимум 100к в месяц для фирмы. Второй программист работал насколько я понимаю 2 года — следовательно можно было сэкономить 2 400 000 рублей, деньги не очень большие — но все же.
То есть если предположить, что исход был бы такой же — самореализация автора как клевого программиста переписавшего всё в идеальный не кому не нужный код обошлась фирме которая и так загибается в 2400000 рублей.
Я правильно понял — вместо того что бы делать фичи, которые могли быть жизненно необходимы в проекте, два разработчика в течении года тайком от руководства переписывало проект?
Я наверное выскажу очевидные вещи — всем пользователям все равно на чем написан проект, как он работает внутри, используется ли там perl образца 2001 года или новомодный фреймворк. Главное что бы сервис быстро, интуитивно и удобно выполнял задачи пользователей.
Тут встает такой вопрос — а пробовали ли Вы донести до руководства, что перенос картинок из БД ускорит загрузку сайта, тем самым повысив удобство пользователей? И например можно потратить неделю и переписать только эту часть, не трогая другие костыли.
Есть еще 2-3 крайне интересных отчета, с чтением памяти, выходом из Docker, локальным повышением привелегий. Как только все исправим - постараемся опубликовать.
Тратится достаточно много времени на разбор отчетов по уязвимостям. Иногда они написаны сухо, иногда подробно. Но в таком формате читать отчет как минимум приятно, хотя первоначальный отчет был написан не так.
С SALT.php - при упаковке приложения в docker - угадать пути, как мне кажется не так уж и сложно.
Я косвенно отвечу на вопросы:
Прямо в таком виде, как в отчёте, — нет.
В случае, если есть уязвимости в сторонних продуктах, мы всегда отправляем баг-репорты.
Хантер который это нашел https://bugbounty.bi.zone/profile/hunter/hackactivity
то есть Вы бы все равно посоветовали вложится в более правильный бизнес субаренды, а не скажем положить деньги в банк под 20% в РФ, купить акции, купить крипту, положить депозит в лирах ?
При этом - важный фактор, который есть в статье - 10 млн это все деньги которые есть у человека и в этом случае степень личного риска многократно возрастает.
При средней окупаемости бизнеса в сделках о продаже 5+ лет, тут говорится о 2 годах и безпроблемности - ну такое. Статья похожа на "хулиганы развели пенсионара на 50 млн рублей, лучше бы пенсионер ответил на письмо негерийского принца..."
https://cctld.ru/files/pdf/docs/rules_ru-rf.pdf
3.2. Порядок регистрации
3.2.1. Регистрация доменного имени осуществляется на основании заявки
пользователя при условии выполнения пользователем требований настоящих Правил
и договора.
Перед подачей заявки на регистрацию доменного имени пользователь обязан
ознакомиться с настоящими Правилами.
повторюсь еще раз, Вы прочитали этот документ ? там есть все ответы на Ваши вопросы.
пс. простите не выдержал и переадресовал ваш вопрос ChartGPT =)
Кординационный центр доменных имен России (КЦ) не продает готовые доменные имена и не придумывает их самостоятельно. КЦ является организацией, которая занимается регистрацией и управлением национальных доменных зон верхнего уровня России, таких как .ru, .рф, .su и других.
Регистраторы доменных имен покупают у КЦ право регистрации доменных имен в соответствующих доменных зонах, которые придумывают и регистрируют клиенты регистраторов. Клиенты могут выбирать любое свободное доменное имя в соответствующей зоне и зарегистрировать его через регистратора. Кроме того, регистраторы также предоставляют услуги по продлению и управлению доменными именами.
Таким образом, КЦ не продает готовые доменные имена, а регистраторы предоставляют услуги регистрации доменных имен, придуманных клиентами.
Ну как минимум одно из условий для того что бы стать регистратором - физический офис с ресепшен куда могут приходить пользователи =)
Вот тут можно найти всю документацию https://cctld.ru/ как стать регистратором. В том числе о доступных именах по регистрации.
Это в год. Сейчас таких пакетов на сколько я знаю уже нет. И себестоимость выросла.
Это почти тоже самое - только конечно в меньших масштабах, что скинутся с друзьями на своего сотового оператора.
Не совсем так, я имел в виду, что в РФ есть (были) программисты, которые получают эквивалент 250к долларов в год и таких явно было больше 12...
Именно программистов с ЗП больше 2 млн рублей в месяц я лично не знаю.
ну то есть гений, написавший файловую систему используемую в гугл и приложивший руку ко многим продуктам, работающий в компании 20+ лет - эквивалентен 12 не самых лучших программистов (понятно что это не джун, но у не гении, эквивалент 250к можно и в России было получать) ? Рекомендую прочитать статьи по системе мотивации в Google.
То есть самый дорогой программист google получает 250000 в месяц до вычета налогов ? Или где то 150к в месяц после вычета налогов. Не то что бы это были маленькие деньги - но мне кажется это не уровень "сеньера вице призидента" в условном подразделении Google. Полагаю там есть еще опционы.
Себестоимость в плане затрат которые необходимо оплатить КЦ была 149 рублей при НДС 18 процентов.
Возьмем наши цены, предположим есть 100000 доменов, при этом максимальная цена продления 289 рублей (прибыль будет 130 рублей) итого получим — получается 1083000 рублей в месяц. На таком объеме точно понадобится юрист для обработки заявок, информационная поддержка она же ресепшен (по регламентам 24х7), минимальная техническая поддержка она же программисты для работы с софтом, как минимум 4 DNS сервера ну и до COVID я бы сказал, что нужен офис. Добавим зарплате налоги, налоги на прибыль и получим 200-500к прибыли.
Конечно все это в теории можно делать и самому, но возникает вопрос а как набрать 100000 доменов, для России это достаточно большое число и что делать когда домено 10000? =)
Да часть лидеров рынка умудряются продавать продление доменов по 1200 рублей и в этом плане они конечно очень круты =)
Все происходит очень медленно, думаю через полгода будут долее интересные документы.
Любой бизнес это стратегия — как при ограниченных ресурсах достигать максимальных результатов. Переписывание проекта — это ставка на долгосрочный результат, может быть лучше было бы решать коротко срочные задачи?
То есть если предположить, что исход был бы такой же — самореализация автора как клевого программиста переписавшего всё в идеальный не кому не нужный код обошлась фирме которая и так загибается в 2400000 рублей.
Я наверное выскажу очевидные вещи — всем пользователям все равно на чем написан проект, как он работает внутри, используется ли там perl образца 2001 года или новомодный фреймворк. Главное что бы сервис быстро, интуитивно и удобно выполнял задачи пользователей.
Тут встает такой вопрос — а пробовали ли Вы донести до руководства, что перенос картинок из БД ускорит загрузку сайта, тем самым повысив удобство пользователей? И например можно потратить неделю и переписать только эту часть, не трогая другие костыли.