Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2017-12-02 19:44:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Dedalus - Dedalus
Entry tags:fascism, internet, ljr, putin

Сертификат истёк 12.11.2014 15:46
Какое-то странное явление
http://lj.rossia.org/community/ljr_bugs/105296.html
выгядит, как подмена сертификата, причем массовая
у нас сертификат let's encrypt, есличо, и он истекает
12/19/17.

Такое вообще бывает? Я думал, подмена сертификата
дело непростое и очень редко применяется.

Здесь тоже жалуются:
http://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721
(на то же самое явление). Прошу объяснить, кто знает.
Спасибо

Привет



(Читать комментарии) - (Добавить комментарий)


[info]ketmar
2017-12-03 02:46 (ссылка)
>вкрации поясню почему.
потому что состоит полностью из криворуких долбоёбов, сверху донизу, да.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 05:01 (ссылка)
других к проектам такой важности и не допустят, макака должна быть в состоянии запилить код по подробной спецификации, но недостаточно умна, чтобы впилить бэкдор для себя

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 05:21 (ссылка)
угу. поэтому имеем эпические проёбы перед стартом, уровня первоклашки с приветмиром. но я, конечно, абсолютно верю, что те же самые люди, которые сделали такой проёб, свидетельствующий о полной профнепригодости, больше никогда‐никогда подобного не допустят. подумаешь, один раз не пидарас ведь, всегда security так работало.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 05:47 (ссылка)
А что они там сделали ? Генерили серты своей кривой наколеночной реализацией SSL, или просто пароли на фронт серваки придумывала жена сисодмина, и пару сбрутили и редиректнули десяток юзеров на гоатсе ?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 06:25 (ссылка)
мне лень опять это всё искать. как минимум — проёбывали мыла клиентов (тупая макака не ту кнопочку в гуе клацнула в рассылке, лол), и были детские проблемы с автоапдейтером сертификатов. ещё что‐то, кажется, точно не помню: мне, в общем, неинтересно, чем там выпускники пту для даунов занимаются.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 06:48 (ссылка)
если серьёзно.

инфо сесурити практики в больших организациях всегда исходят из того факта, что люди ошибаются, а также подвержены коррупции, а ещё легко выдают любую информацию при применении довольно простых методов физического воздействия. и вылизываются хорошо, покрывая пространство возможностей наотличненько.

потому большие компании серьёзно ломают редко, а если ломают серьёзно, это потому что у архитектора-дизайнера политик безопасности в голове (и, как следствие на бумаге и в документации) картинка всего многообразия обмена конфиденциальной инфой внутри организации не сложилась. А такое бывает только при выполнении одного из следующих 2х условий: организация либо растёт настолько быстро и динамично, что потоки обмена информацией просто не успевают покрываться нужными практиками безопасности; ну либо вышеозначенный архитектор-дизайнер долбоёб (на практике в больших организациях такое бывает только в постсовке правда, и то уже начинают отвыкать). Но большие организации быстро и динамично не растут.

А вот стартапы всякие, особенно на публичном фандинге вроде let's encrypt, архитекторов-дизайнеров безопасников выделенных не имеют, поэтому инфо сесурити занимаются челы по совмещению с основной специализацией на проекте; а ещё сраные стартапщики в сраном сан франциско много работают (зачастую глупо и впустую), и бывает выгорают так, что падают в обморок прямо на клавиатуру в сраных душных офисах; а ещё многие стартапщики действительно заканчивают пту для даунов, или, например, попадают на проект потому, что хорошо умеют верстать, а потом в долине начинается хайп "full stack engineer", и версталы начинают работать над бэкендом авторизации... вполне естественно, что в таких условиях продукты сраных стартапов будут содержать ошибки и уязвимости.

вообще по возможности пытайтесь избежать бытия стартапщиком или пересечений с таковыми. вот математики много лучше и приличнее: имеют много денег, связи в калабрийской мафии, ходят в дорогих костюмах, дают интервью lenta.ru. а стартапщику подойдёт и конура в общаге в чёрном квартале сан-хосе, которую он будет делить с тремя такими же, коротая вечера за просмотром techcrunch, вместо званых ужинов, премий и встреч с уважаемыми людьми.
потом ещё удивляются, почему у них данные воруют, ага.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 07:05 (ссылка)
>и вылизываются хорошо, покрывая пространство возможностей наотличненько.
это было бы так, если бы инфосекурити действительно заведовали профессионалы, в работу которых никто не вмешивается. а на деле — как показывала куча исследований — простейшая подброшеная на стоянку флэшка мгновенно суётся в технику. а техника у какого‐нибудь босса средней руки всенепременно подключена к корпоративной сети, и засовывание флэшек с автостартом не заблокировано, потому что среднебоссу очень напряжны все эти «меры безопасности». поэтому он ультимативно потребовал сделать как ему хорошо, а не как безопасно.

«большие конторы» не ебёт только очень ленивый. а если большую контору выебали, и это заметили — то большая контора постарается этот факт максимально умолчать, так что Широкая Общественность может и не узнать, что кого‐то raped.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:26 (ссылка)
https://cloud.google.com/security/security-design/resources/google_infrastructure_whitepaper_fa.pdf вот эту штуку ты наверняка читал же (изложение маркетинговый булшит конечно но за ним скрываются тысячи реальных внутренних практик)
у реально технологичных ребят у всех подобно организовано.
чувак который вставляет флэшку он просто пришелец из 20го века, ретроград, ну вроде Путина.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 07:32 (ссылка)
так, поржать. это, на минуточку, ребята, специализирующиеся на security были.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:56 (ссылка)
> For example, unlike Gamma Group, their customer support site needed a client certificate to connect. What they had was their main website (a Joomla blog in which Joomscan[2] didn't find anything serious), a mail server, a couple routers, two VPN appliances, and a spam filtering appliance.
Чёто как то забавно, хакеры-хуякеры, роутеры торчат прямо в сеть. Ну понятно, что за журналистами другие шпионить и не будут. Руткиты писать и в сетях шаманить это кстати два разных навыка, может их руткиты писать в пту для даунов научили, а ipsec настраивать через гейт в облаке не научили.
Но их тоже там 40 человек всего, типичные стартаперы же, только итальянские, эти могут и с калабрийской мафией связи особо тесные иметь, математикам носы хоть в чём-то утрут.

(Ответить) (Уровень выше)


[info]perfect_kiss
2017-12-03 05:53 (ссылка)
В EFF кстати исторически кодеры криворукие, это потому что там не умняша Столлман рулил, а всякие гуманитарии типо укурка Джона Перри Барлоу; наверняка совершивший проёб сисодмин/кодер был из EFF, отвисал под грибами вместо того чтобы маны читать.
Но в плане чистоты идеологии конечно EFF на уровне Столлмана и пропаганда у них прикольная, и логотип клёвый:


(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 06:26 (ссылка)
вот людям сильно легче будет от того, что ебанашка не злонамеренная, а Идеологически Чистая.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 06:53 (ссылка)
Но ведь ебанашки будут всегда, всегда будут как ломать умышленно, так и сливать по тупости, пока есть сети для обмена информацией, разделяемые кучей разных людей и организаций, эта хуйня не исчезнет.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 07:07 (ссылка)
именно поэтому централизованые системы с «довереными узлами» никогда и не будут работать.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:58 (ссылка)
всё "работает" и всем норм, а ты тссс! не хочешь в эквадорское посольство часом погостить ?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 08:00 (ссылка)
а мне давно всё можно, Там знают, что я диванный экстремист, сам ничего делать не буду, и никто меня не слушает. удобно.

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2017-12-03 10:56 (ссылка)
Поебитесь вы уже

(Ответить) (Уровень выше)


(Читать комментарии) -