Pull to refresh
23
0
Vital Koshalew @VitalKoshalew

Sr. Systems Administrator

Send message
Потом через месяц вам звонят из Oracle, выясняют, можно ли с вас получить прибыль, после чего вам приходит письмо, что с вашей бесплатной instance произошла неожиданная неполадка и восстановить её автоматически не получилось. Вы можете удалить её и создать новую. При попытке создать новую оказывается, что в вашем регионе в данный момент нет свободных instance, извините.
True story.
Для квантового распределения ключа вам нужно два запутанных фотона. И все. Для этого не нужен квантовый компьютер. И оно все равно боится mitm, впрочем, как и любой другой канал связи.

Более того, и запутанные фотоны там нужны только для освоения бюджетов при закупке из единственного источника. Там в prerequisite-ах — наличие параллельного доверенного канала для передачи данных.
Я не могу себе представить никакие модели или анализы на основе именно cardholder data (PAN, Cardholder Name, Expiration Date, Service Code). По hash-ам паролей тоже аналитику делать? Под словом «никому» и имел в виду «никому, включая инженеров и аналитиков».

По большому счёту, вообще любая аналитика внутри CDE — сомнительное удовольствие. Мой совет — автоматически фильтровать, выводить за пределы scope (а ещё лучше никогда не вводить туда) данные, по которым нужна аналитика.
Тут речь скорее была о том, что объемы — они разные для ролей.

Я рискну чрезмерно обобщить, но, по моему мнению, за исключением редчайших случаев, на которые можно хоть комиссию из 10 надзирающих за процессом собирать, никому и никогда не нужна ручная выгрузка значимых для PCI DSS размеров. Там, где машины между собой общаются, там могут быть объёмы. Человеку же нужен единичный доступ. Это — основа защиты данных кредитных карт. Этой функции там вообще не должно было быть.

Я вам больше скажу — в нашей конкретной системе нет полей с картами. Но мы работаем с остальными полями «оттуда». Так нам даже это стоило кучу мороки — доказать тот факт, что мы поля не берем, оказалось мало. Пришлось проделать еще много чего, чтобы мы даже случайно их не взяли. Например, в результате какой-то SQL иньекции.

Ну да, это базовые требования PCI DSS — ограничение доступа ко всей cardholder data, а не только к PAN. Я не знаю деталей вашей системы, но в норме должно быть разделение на разработчиков и Operations, и доступ разработчикам к cardholder data должен быть закрыт «с той стороны».

>никто аж целому Сберу слова ни сказал.
Ну это не факт. Не знаю, кому чего сказали, но нам доступ туда усложнился. То есть, реакция была. Насколько широкая — сказать тут трудно.

Я имел в виду, что заранее на наличие у пользователей функции выгрузки закрыл глаза их аудитор. Весь 7-й раздел PCI DSS о том, что такого не должно быть.

То, что вам доступ «усложнили», показывает лишь то, что до этого было нарушение PCI DSS, а тут их припугнули и они стали что-то где-то выполнять. Есть надежда, что теперь стали относится серьёзно. Удивляет то, что это произошло в 2020+ году. В Северной Америке с большего прогресс был виден уже 5+ лет назад, тоже после громких скандалов. Есть, конечно, и исключения, к сожалению, но, мне хочется надеяться, не размера Сбер-а.
Если у вас аналитик имеет доступ к полям с номерами кредитных карт, у вашего PCI DSS аудитора с вами будет невесёлый разговор. В теории. А на практике, как мы видим, никто аж целому Сберу слова ни сказал.

В остальном согласен, ситуация поражает. Самый очевидный вектор атаки с наградой в «миллионы или даже десятки миллионов рублей» вообще никак не контролируется. Ладно б в IT резервную копию выкрали и расшифровали, а тут простой пользователь может а) выгрузить базу, б) передать её через шлюз, вся суть которого в том, чтобы предотвратить передачу базы!
Фу. Человек (судя по тексту, младше данного компьютера) раздобыл практически уникальный ретрокомпьютер. Вместо того, чтобы посмотреть, как оно было на самом деле, насладиться его работой, музыкой рычащих дисководов, дикими тормозами матрицы в Prine of Persia (я когда-то запускал эту игру на чуть более позднем ноутбуке с Nec V20 или V30), он испортил всё USB-эмулятором и подключением к современному телевизору. Даже загрузочную дискету он готовил в DOSBox (да и screenshot-ы, похоже, тоже). Стоило вообще из DOSBox вылезать?
Вообще-то разработка WSL давно прекращена. Заменена виртуальной машиной с Linux под обманчивым названием WSL2.
Ещё можно вспомнить kOS для KSP. Но лучше сразу запастись несколькими годами лишнего времени.
иллюстрация
image
В Северной Америке банкоматы называют ATM = automatic teller machine. Название происходит от должности — до автоматизации в банках кроме консультантов сидели teller-ы, суть работы которых заключалась в том, чтобы сказать, сколько у вас на счету, принять наличные либо чеки и выдать наличные. Соответственно ATM-ы с самого начала умели делать именно вышеперечисленные операции. Нюанс заключался в том, что в те времена автоматически сканировать и распознать внесённую сумму, а тем более рукописные чеки, не было возможности. Соответственно, ATM имел в своём составе некое подобие почтового ящика, куда помещались принятые наличные или чеки, которые клиент предварительно помещал в конверт. В течении, как правило, 3 рабочих дней конверты обрабатывались вручную банковским работником и сумма вносилась на счёт. Система по сути не менялась вплоть до недавнего времени — ATM-ы с конвертами, наверное, можно встретить и сегодня, а пару лет назад они такие были все (кроме чисто «банкоматов» в небезопасных местах, которые только выдавали наличные). В последние пару лет ATM-ы стали принимать купюры и чеки без конверта, хотя во многих случаях всё равно сумма вводится вручную, если я не ошибаюсь — не пользовался уже несколько лет.
ATM с конвертами
На стене — пачки пустых конвертов. В ATM два отсека — правый для выдачи наличных, левый — для приёма конвертов.
image

На пост-советском пространстве чеки не прижились, а банкноты распознавать значительно проще. Кроме того, просто не было традиции работы с конвертами — можно было начинать с нуля. Это, кстати, характерно для многих отраслей — там, где не было полвека legacy, там сразу сервис был реализован на новом, переосмысленном, уровне. Кроме того, пластиковые карты были «в новинку» и население им не доверяло, снимая в день зарплаты всё со счёта и потом ища, где можно наличными заплатить за те же услуги. Как только стало технически возможно распознавать купюры — сразу появились «банкоматы» и просто платёжные терминалы с приёмом наличных.

Таким образом, ответ на вопрос, где раньше стали принимать наличные в «банкоматах» — в США с 1961 года и по сей день. Где раньше стали распознавать купюры — может быть, и в России.
Я выше написал — устройства различны по своему назначению. К стационарному доку подключен монитор, блок питания, сеть, периферия. К нему приходят с мобильным устройством и быстро подключаются ко всему вышеописанному.

Без казуистики, я возражал против вот этого определения:
+ переходник USB Type-C. Переходник дает возможность подключить телефон к монитору, для того чтобы использовать его в качестве рабочей станции.

Такое определение однозначно описывает совершенно иное устройство, приведённое мной на картинке выше, а не то, что идёт в комплекте с PinePhone.
В 11 как раз стандартизовали Accessability, инвалидам Google отказать не смогла. У меня на 11 всё отлично работает*. Если кому-то так нужна эта функция, что он готов на подвиг использования enthusiast-grade мобильного Linux, то подобрать Android-телефон с заведомо работающей записью будет значительно проще.
*
с другой, правда, программой. Ту, что по ссылке, не пробовал — первое, что нашлось в поиске.
Я правильно понимаю, что на телефоны эти можно поставить диктофон, который будет писать Whatsapp/Skype/Telegram?

Для этого и Linux не нужен, достаточно Android. Linux на телефонах бывает самый разный, от клонов Android на новый лад до адоптаций обычного Linux. Теоретически ничто не должно запрещать перехватывать через Alsa или ещё как, но практическую реализацию нужно искать или делать. Linux на телефонах ещё в младенчестве, до такого ещё руки не дошли, скорее всего.

И еще — на них поставить андроидовский MS Teams и Zoom можно как-то?

Debian-овские можно на Mobian и PureOS, скорее всего. На UBPorts — только запускать в Chromium, но для Teams разницы не должно быть — он же на Electron всё равно. Через эмуляцию Android лучше запускать (если запустится) только то, чего в Linux нет совсем, в том числе через browser.

P.S.
Проверил — под ARM нет .deb-пакетов Zoom и Teams, значит и в Mobian-подобных Linux тоже в browser-ах. Вопрос о поддержке камеры в browser-ах я не изучал в последнее время, раньше не было.
Если б не общий нетехнический уровень статьи, я б не придирался. Но док-станция есть док-станция, просто нет больше необходимости делать их огромными и закреплять устройство в захват, чтобы хрупкий разъём шины не повредить. Это устройство совсем другого назначения/способа использования.
А вот переходник.

Unihertz Titan Pocket (поменьше). Второй я рассматриваю к покупке в этом году.

В целом вполне рабочий вариант, но имейте в виду, что производитель не смог найти нормальный экран и потому сверху и, особенно, снизу оставил пустые чёрные полосы почти с палец шириной (да и по бокам, по нынешним временам, слишком много), а для ввода всё равно всплывает полоска наэкранного контекстного меню клавиатуры, так что полезного пространства экрана остаётся очень мало. С другой стороны, BlackBerry Classic практически те же параметры имела, кроме толщины и веса. Ну и пальцем по клавиатуре можно только scroll-ить, перемещать курсор как на BlackBerry нельзя, что, мне кажется, очень неправильно — scroll-ить можно и пальцем по экрану, а наэкранное меню перемещения курсора занимает вообще ⅔ экрана. Попасть же пальцем в нужное место текста на таком экране практически нереально, так что редактировать текст или строку в консоли очень сложно.
Astro Slide
… О модели пару раз говорили на Хабре, но обзора его пока что нет. Немудрено — в продажу девайс не поступил, хотя это вот-вот должно произойти.

Когда это останавливало ваших копирайтеров? Вон PinePhone Pro же «обозрели».

… Еще есть два дисплея — один большой, внутренний, и второй — поменьше, для получения уведомлений и базового управления телефоном в закрытом виде.

Копирайтер поленился/ась даже посмотреть ролик-презентацию?

Ну а еще смартфон (вернее, коммуникатор) совместим с большинством дистрибутивов Linux.

Да что вы говорите! Жаль, что их разработчики об этом не знают. Для своих двух предыдущих моделей Planet выпустила что-то Linux-подобное не то что с blob-ами, с Android внутри Linux-а, но птичку в графу поставили. Для Gemini PDA всё совсем заброшено, для Cosmo Communicator в апреле вышла четвёртая alpha-версия с много чем неработающим. Один-два энтузиаста смогли скомпилировать и запустить UBPorts, вот собственно и всё. Ни фирма не развивает, ни comunity не образовалось, к сожалению. Если кто и использует, то с Android. Может с третьей моделью повезёт?

F(x)tec Pro1-X
Соответственно, у него, как и у предыдущего «собрата», два главных достоинства — клавиатура и поддержка Linux.

С поддержкой Linux там всё тоже условно. Поддерживается UBPorts поверх Android HAL, то есть стандартные Linux-программы и в целом Linux-окружение запустить нельзя, а работает это всё поверх несвободного ПО. От LineageOS, честно говоря, отличие только в меньшей стабильности и сравнительном отсутствии программ.

Librem 5
В качестве операционной системы разработчики использовали Debian.

Ну да, взяли Debian и всего-то дописали, наверное, половину всего кода, который позволяет использовать Linux на мобильных телефонах. Получилась, конечно, свободная PureOS Linux, но разве копирайтеру это интересно?

PinePhone
вторая 3GB ОЗУ + 32GB eMMC + переходник USB Type-C

Это как далеко надо быть от технологий, чтобы USB-док «переходником» назвать?

PinePhone Pro
… В новой версии телефона используется матрица Sony IMX258.

Copy-paste из кривого предыдущего псевдо-обзора. Нужно же чем-то заполнить, ну вот сенсора модель укажем. Принципиальное отличие, что в Pinephone нет по существу WiFi (только 2.4Ghz, который в современном городе практически мёртв), а в PinePhone Pro есть 5Ghz — это ещё предыдущий Selectel-овский копирайтер не заметил.

Ну и «маленький» нюанс — на PinePhone (Pro), как и на Librem 5 — настоящий Linux без blob-ов на CPU (на Librem 5 чуть сложнее с этим — там отдельное ядро m4 под несвободное ПО выделено, оно не изолировано аппаратно).

Ну и если уже говорить о клавиатурах, то для PinePhone и PinePhone Pro они как раз вышли и продаются. Так что PinePhone (Pro) превращается в раскладной коммуникатор.
Этот код — интеграция с MS антивирусом, которой до прихода Satya Nadella в Exchange не было. Так что это под его чутким руководством. Это не единичный случай, а массовое явление во всём ПО Microsoft последних лет. У меня сложилось полное впечатление, что при Ballmer-е задача стояла «сделать качественно», а что при Gates-е, что при Nadella — «сделать как-нибудь», со всеми вытекающими последствиями.
Ну так кого без аутентификации авторизовать-то?

Например, спросить у пользлователя пароль. Ваш кэп.

Или я не понимаю вас, или вы не понимаете, что такое аутентификация и авторизация.

Меня совершенно не убеждают фантазии о том, как страшно необходимо везде и всюду пользователю вводить пароль только при входе в систему или даже авторизоваться всюду строго по железному ключу. Большинство сценариев работы совершенно не требуют подобного мазохизма и покупки особенно дорогих решений.

Я не совсем понимаю, о каких фантазиях идёт речь. По ссылке в моём первом сообщении достаточно подробно расписано, какие проблемы безопасности создаёт реализация так называемой "LDAP-аутентификации". Проще говоря, ваш доменный пароль легко и непринуждённо утекает при использовании таких систем, а поскольку корпоративной системой общения должны пользоваться и пользователи с привилегированным доступом, то под угрозу встают уже не просто данные, доступные, например, рядовому оператору, но и вся корпоративная IT-система включая все данные. То есть внедрение такой системы — это, как минимум, создание backdoor-а для hacker-ов, но не только (см. ниже).

Что до альтернативных факторов аутентификации, то они нужны по той причине, что пароли не работают. Пароли — это табличка на двери «не входить», чтобы случайно кто-то не вошёл. Пользователи en masse не в состоянии следовать правилам безопасного использования паролей, все специалисты это понимают, потому и продвигают другие факторы в дополнение или на замену паролю. Если пользователю можно вводить пароль в browser-е при входе в систему общения, завтра он введёт его в browser-е при заходе на fishing-овый сайт.

Но главное — использование системы с "LDAP-аутентификацией" означает невозможность для всех её пользователей эффективно использовать никакие другие факторы аутентификации, не только в этой системе, а, по существу, вообще нигде: если однофакторный доступ по паролю разрешён, то использовать другие факторы нет особого смысла — атакующий просто использует украденный пароль.

Я уверен, нескольких миллионов бы хватило

Некоторые менеджеры уверены, что если взять 9 женщин…
К сожалению, всё не так просто.

Хороший ответ. (нет)
В своё время IBM вложила какую-то смешную по корпоративным масштабам сумму, что-то вроде десятка-другого миллионов в доработку Linux и посадила нескольких своих ведущих программистов ядра Unix «допилить» ядро Linux. И в считанные годы из игрушки для энтузиастов Linux превратился в ведущую серверную ОС, на которой с тех пор строится большая часть серверных корпоративных систем.
P.S.
Чат там есть, но довольно примитивный. К слову, Jitsi часто используется как сервис видеозвонков к другим открытым решениям, которые уже сами по себе с чатом (Element, RocketChat).

Оба упомянутых вами продукта при условии использования авторизации/аутентификации из открытых и свободных превращаются в закрытую Enterprise версию с ценником, превышающим Teams.
Я как бы говорил только об авторизации. LDAP многих интересует с точки зрения авторизации в проприетарщиневинде.

Ну так кого без аутентификации авторизовать-то? В том и дело, что к вашей системе применимы все вопросы, которые задаются по ссылке в моём предыдущем сообщении. Пароль доменный вы в Jitsi вводите, а, по-хорошему, не должны.

Насколько там всё это работает я не изучал, у нас настроили только чтобы организатор должен был авторизоваться (а человек с улицы не мог создать комнату).

Как я понимаю, больше ничего Jitsi без «клея» и не умеет вообще.

Достаточно странно требовать от бесплатного (и, замечу, довольно качественного при этом) продукта функционала, превышающего дорогие коммерческие продукты от крупных транснациональных компаний.

Тут статья о попиле освоении миллионов евро, прикрываясь тем же Jitsi и водружая на знамя открытость его кода. Таких проектов, особенно в сфере образования, немало. Бюджеты порой многомиллионные, а в итоге университеты и школы всего мира либо «продают» детей Microsoft и Google, либо мучаются с поделками энтузиастов. Я уверен, нескольких миллионов бы хватило, чтобы вывести продукты с открытым исходным кодом в сфере образования (Moodle, Jitsi/BBB, чат-сервера) на очень приличный уровень. На скрепки ведущие учебные заведения и государственные системы образования тратят несоизмеримо больше.
ВВВ, хоть и построен на веб-технологиях, но при попытке переключить устройство ввода отказывается переключаться на новое пока не перезагрузишь страницу. Сами понимаете, что значит «перезагрузить страницу браузера» в веб-коныеренции, не говоря уже о том, что это неочевидно совершенно.

Не уверен, что поможет, но попробуйте (если в Windows 10) правой кнопкой нажать на значке звука->Open Sound Settings->(в самом низу) App Volume Device Preferences и изменить настройки для браузера. По идее, должно сработать без перезагрузки страницы.

Information

Rating
Does not participate
Location
Канада
Registered
Activity