Мне как-то на этапе собеседования с будущим начальником, отказывали за отсутствие профилей в соц.сетях. Собеседование на сис.админа проходил (HPE, HUS VM, *nix).
Я был бы рад обзору, какой штат для каких групп людей подходит. Семейным, холостым, климат, экономическая составляющая, инфраструктура, законы с нюансами и т.д
Интересно, есть ли какие либо требования к заявителю о краже данных?
Анализ логов независимой стороной или же отчеты СКУД систем или еще что-нибудь, что прямо или косвенно указывало бы на именно атаку и именно «хакерскую»?
Если нет таковых, скоро (или уже?) прикрываться будут перед аудитом или например пытаясь сбить цену акций, что якобы взломали нас, украли, утечка, алярм!
А дальше глядишь пронесет :)
Я никогда до этого особого внимания Xored'у не уделял, пару раз мельком что то пролетало. И возможно ошибаюсь насчет того, что урон будет большой.
А то что чувак смог основать компанию, согласен, жилка может быть есть предпринимательская. Поживем увидим :)
Например потеря доверия, как соискателей, так и партнеров. Некое клеймо. Может срыва покровов и не было на уровне Новосибирска и Академгородка, но на уровне СНГ и рунета — произошло.
Взять конкретно меня, я ведь уже не подам резюме в Xored и не отвечу на приглашение пройти собеседование.
У публичных людей с большой ответственностью нет права на подобную ошибку. Такое себе можно позволить только в пубертатном возрасте, и то без пары фингалов не уйдешь. Мне кажется после такого общественного резонанса, многое поменяется в жизни г-на Платова.
Есть еще вариант реализации, поместить access токен в sessionStorage и сделать срок жизни покроче. А refresh токен в localStorage, в этом случае, каждый раз логин/пароль вбивать не придется, и секьюрность присутствует.
Я бы не назвал это преимуществом, скорее отличием.
sessionStorage — хранилище, который живет только в оперативной памяти. Как только завершается работа вкладки/браузера, удаляется все содержимое.
localStorage — хранилище, который пишется на HDD, и актуален даже после закрытия браузера или перезагрузки устройства.
Тут мы видим то самое отличие sessionStorage перед localStorage — токен необходимо получать заново, если закрыл вкладку. На мой взгляд, это добавляет секьюрности, но создает дополнительные телодвижения для юзера.
Наверное многое зависит от применимости, оправданности или необходимости технологии в конкретной ситуации.
В случае с корпоративными системами, пару лет назад делал вещи просто LDAP с последующим сохранением сессии в куках и с SSL сертификатом от локального ЦС, внутри компании. И на тот момент посчитал достаточным секьюрность, и дальнейшее усугубление уже лишним в корпоративной среде.
Хотя среда среде рознь, может и есть компании где этого мало для отдела ИБ.
Надеюсь просто неудачный ракурс :)
Анализ логов независимой стороной или же отчеты СКУД систем или еще что-нибудь, что прямо или косвенно указывало бы на именно атаку и именно «хакерскую»?
Если нет таковых, скоро (или уже?) прикрываться будут перед аудитом или например пытаясь сбить цену акций, что якобы взломали нас, украли, утечка, алярм!
А дальше глядишь пронесет :)
Честно говоря, перечитал все из за этого предложения :)
А то что чувак смог основать компанию, согласен, жилка может быть есть предпринимательская. Поживем увидим :)
Взять конкретно меня, я ведь уже не подам резюме в Xored и не отвечу на приглашение пройти собеседование.
А сейчас уже с учетом всего, что он успел наворотить на сайте, в блоге, в фб — сомнения не остаются.
sessionStorage — хранилище, который живет только в оперативной памяти. Как только завершается работа вкладки/браузера, удаляется все содержимое.
localStorage — хранилище, который пишется на HDD, и актуален даже после закрытия браузера или перезагрузки устройства.
Тут мы видим то самое отличие sessionStorage перед localStorage — токен необходимо получать заново, если закрыл вкладку. На мой взгляд, это добавляет секьюрности, но создает дополнительные телодвижения для юзера.
В случае с корпоративными системами, пару лет назад делал вещи просто LDAP с последующим сохранением сессии в куках и с SSL сертификатом от локального ЦС, внутри компании. И на тот момент посчитал достаточным секьюрность, и дальнейшее усугубление уже лишним в корпоративной среде.
Хотя среда среде рознь, может и есть компании где этого мало для отдела ИБ.