Я не об этом. rm -rf / в духе свежих котиков будет достаточно ;)
Я вот о чем — автор не стесняясь пишет:
Эта проверка концепции использует функцию release_agent из cgroup.
Либо я отстал от жизни, либо «проверка концепции» в данном контексте — бездумная калька с английского «proof of concept» (в оригинале — PoC). Я проверил — оно конечно есть как термин, но какой-то уж очень редкий. Скрипт был бы более уместным тут.
Ну тут уже вопрос со стороны пользователя — а с какого перепуга право собственности на устройство перестало подразумевать право делать с ним что угодно (возможно — с потерей гарантии, конечно, ибо гарантия — набор обязательств вендора, которые в общем случае невозможно выполнить, если разрешить пользователю делать что угодно)?
Это, конечно, вряд ли удастся продавить — все лоббисты интеллектуальной собственности встанут горой, но если по уму и подумать — именно государство (Евросоюз?) должно в такой ситуации вставать на сторону пользователей и вводить четкие правила для компаний, отвечая на вопрос о том, что можно, а что — нельзя. И да, vendor-lock-in — зло, с ним нужно бороться.
Я в свое время для похожей задачи (стоимость подключения к интернету от географии абонента) делал heatmap с динамически перестраивающимся цветом — paste.pics/806e865012d0e94d7caf18888d413628 — пробовали что-то подобное?
Ну ни никто, ладно вам. Mongodb говорит про 15000 коммерческих клиентов. А тут всего ~4000 дыр. В самом худшем случае только каждый четвертый «админ» не доделывает. Реально — меньше ;)
Аналогия с деньгами некорректна — деньги материальны и копирование их, например, преследуется по закону (что правильно). Информация может быть скопирована без уничтожения оригинала и без уведомления владельца, что важно.
Соответственно, если банк информацию о состояниях счетов клиентов разместил мелом на дорожке в парке, то предъявлять журналисту, который это сфоткал и использовал в газете для обличения банка, так же бессмысленно, как и клиенту, который попросил дворника это-вот-все подмести уже.
Дама, надевшая мини-юбку вправе предъявлять насильнику, но не вправе предъявлять случайному прохожему, имевшему неосторожность увидеть ее коленки. Как и не вправе предъявлять водителю трамвая, имевшему неосторожность перекрыть обзор на ее коленки широкой публике своим транспортным средством.
Ну в 9 случаях из 10-ти, если не больше, если у вас открыт порт, про который вы не понимаете, нафига он открыт и чем — у вас проблемы, так что пароли проверять даже не особо нужно.
Ну не совсем так. Публичное API — это по сути два-три десятка кнопок, висящих на входной двери, на одной из которых написано — удалить все нафиг. При этом все кнопки имеют одинаковый по сути приоритет. Кусты примерно одинаковые и не шибко далекие — мне сейчас, правда, лень проверять, но весьма вероятно что вы имеете что-то в духе локально развернутой копии docs.mongodb.com/manual/introduction
которая явно написана с идеей в голове, что документацию читает человек, имеющий легитимный доступ к железу. Но идея в голове-то есть, а в тексте ее нету. И никаких варнингов на docs.mongodb.com/manual/reference/command/delete/index.html тоже не просматривается. Вероятность, что «админ» выставивший это-вот-все в интернет, пропишет баннер на всех страницах, явно говорящий «property of xyz corporation, all unauthorized access to a.b.c.d is prohibited» — не ноль конечно (и я соглашусь, что если он таки есть — воля владельца явно высказана). А если нет — инстанс вполне можно считать публично установленной в парке скамейкой, на которой можно заниматься всем, что не запрещено явно уголовным кодексом. Или куском асфальта, на котором дети конечно могут разместить свои рисунки мелом, но дворник, который их потом подметет или другой ребенок, решивший что вот-этот-вот кусочек ему мешает — неподсудны.
Висит веб-сервис с единственным человекочитаемым текстом — документацией на API. Чем не доказательство права?
Ну и мне интересно, как именно люди, не прикрывающие пятую точку фаерволом будут искать чувака, пришедшего из впн-ки в левой юрисдикции. Особенно если он еще пару слоев перед входом в ту впн-ку подложил и впн-ку какой-нибудь криптой проплатил.
Так сервер никто и не отчуждает, правда?
Тут аналогия с дверным звонком — звонок есть, АПИ публичен, нажать на кнопку может любой желающий. Если вы на дверной звонок прикрутите rm -rf / и будете предъявлять гостям за неправомерный доступ — как вы будете выглядеть?
IP-адреса, кстати, не являются предметом вещного права, строго говоря. Поэтому, когда вы поднимаете IP-соединение с 8.8.8.8 вы в общем случае не можете автоматически утверждать, что общаетесь в Google DNS, а не с лабой у вашего провайдера. И если вы общаетесь по протоколу, не подразумевающему подтверждение подлинности, вы вообще говоря не имеете оснований считать, что таки общаетесь с кем-то настоящим.
А вы уверены, что к торчащему на невнятном ip-адресе ендпоинту прикручены terms and conditions? И даже если и прикручены, доказать что были прикручены на момент «атаки» — отдельная задача.
А так — API задокументирован, а API не написано, что вызывать метод нельзя, правда? Если API — это все, что есть — значит можно и делать что угодно.
Ну, понятно что если будет значимое и обоснованное сопротивление, то можно и в другой юрисдикции проект раскрутить, специально для тех разработчиков, кто не хочет или не может делать что-то в духе s/backlist/blocklist/. Другое дело, что смысла большого в имеющейся реальности как-то активно сопротивляться этой движухе нет (ну, у вас же есть автотесты, правда?). Ну то есть вот вообще не ясно почему бы и не сделать везде замену. Могут конечно быть исключения (например — какой-нибудь adbloсk на мобилках, которых подтягивает откуда-то xml-ки и ожидает внутри чего-то вполне конкретного), но тут и лишнего хайпа/позитивного pr-а словить не грех и юзеров обновиться заставить — профит.
Ну вам же сказали — дайте вилку. Если у вас достаточно экспертизы и опыта, вы можете дать вилку, в которую заказчик попадет с вероятностью, скажем, 80%. Это и напишите, уже снимет вагон вопросов.
Степень надуманности этого для российского ИТ нужно наверное у российских женщин-программистов выяснять. Но вообще не понятно, почему переводная статья вообще должна иметь отношение к российскому ИТ;)
Сразу хочется заметить, что на картиночке с PCIe картой представлена карта с куллером, что выводит на новый уровень аргумент о тишине и отсутствии движущихся частей;)
Почта mail.ru по крайней мере года 4 назад знатно глючила, когда в нее пытались перетянуть IMAP-папки с уровнем вложенности больше двух. И в личном общении инженеры сетовали, что это настолько древний перл под капотом, что его все боятся трогать. Интересно, они это починили?
rm -rf /в духе свежих котиков будет достаточно ;)Я вот о чем — автор не стесняясь пишет:
Либо я отстал от жизни, либо «проверка концепции» в данном контексте — бездумная калька с английского «proof of concept» (в оригинале — PoC). Я проверил — оно конечно есть как термин, но какой-то уж очень редкий. Скрипт был бы более уместным тут.
Это, конечно, вряд ли удастся продавить — все лоббисты интеллектуальной собственности встанут горой, но если по уму и подумать — именно государство (Евросоюз?) должно в такой ситуации вставать на сторону пользователей и вводить четкие правила для компаний, отвечая на вопрос о том, что можно, а что — нельзя. И да, vendor-lock-in — зло, с ним нужно бороться.
Соответственно, если банк информацию о состояниях счетов клиентов разместил мелом на дорожке в парке, то предъявлять журналисту, который это сфоткал и использовал в газете для обличения банка, так же бессмысленно, как и клиенту, который попросил дворника это-вот-все подмести уже.
Дама, надевшая мини-юбку вправе предъявлять насильнику, но не вправе предъявлять случайному прохожему, имевшему неосторожность увидеть ее коленки. Как и не вправе предъявлять водителю трамвая, имевшему неосторожность перекрыть обзор на ее коленки широкой публике своим транспортным средством.
которая явно написана с идеей в голове, что документацию читает человек, имеющий легитимный доступ к железу. Но идея в голове-то есть, а в тексте ее нету. И никаких варнингов на docs.mongodb.com/manual/reference/command/delete/index.html тоже не просматривается. Вероятность, что «админ» выставивший это-вот-все в интернет, пропишет баннер на всех страницах, явно говорящий «property of xyz corporation, all unauthorized access to a.b.c.d is prohibited» — не ноль конечно (и я соглашусь, что если он таки есть — воля владельца явно высказана). А если нет — инстанс вполне можно считать публично установленной в парке скамейкой, на которой можно заниматься всем, что не запрещено явно уголовным кодексом. Или куском асфальта, на котором дети конечно могут разместить свои рисунки мелом, но дворник, который их потом подметет или другой ребенок, решивший что вот-этот-вот кусочек ему мешает — неподсудны.
Ну и мне интересно, как именно люди, не прикрывающие пятую точку фаерволом будут искать чувака, пришедшего из впн-ки в левой юрисдикции. Особенно если он еще пару слоев перед входом в ту впн-ку подложил и впн-ку какой-нибудь криптой проплатил.
Тут аналогия с дверным звонком — звонок есть, АПИ публичен, нажать на кнопку может любой желающий. Если вы на дверной звонок прикрутите
rm -rf /и будете предъявлять гостям за неправомерный доступ — как вы будете выглядеть?А так — API задокументирован, а API не написано, что вызывать метод нельзя, правда? Если API — это все, что есть — значит можно и делать что угодно.
s/backlist/blocklist/. Другое дело, что смысла большого в имеющейся реальности как-то активно сопротивляться этой движухе нет (ну, у вас же есть автотесты, правда?). Ну то есть вот вообще не ясно почему бы и не сделать везде замену. Могут конечно быть исключения (например — какой-нибудь adbloсk на мобилках, которых подтягивает откуда-то xml-ки и ожидает внутри чего-то вполне конкретного), но тут и лишнего хайпа/позитивного pr-а словить не грех и юзеров обновиться заставить — профит.