Maxim
Например в наших базах данных на проекте нет паролей, юзвери ходят без паролей
Maxim
Имеет отношение к безопасности наличие пароля или доступа?
Artem
Коллеги, все что рассказываете о безопасности это то что проходили аудит и не раз) это не может не радовать, значит ваше предприятие/производство работает и развивается. Но как соотнести к реалиям? Чем вам помогли рекомендации на практике? Помимо валидации пароля на фронте и детального изучения вашего софта аудиторами? Что в реальности для вас эта туманная "безопасность"?
безопасность - это какова вероятность того, что злоумышленник твою систему скомпрментирует и начнет использовать для своих злых умыслом, например чтобы у кого-то увести бабки, кого-то подставить или просто вывести тебя как конкурента из строя. я уверен ты не захотел бы пользоваться системой, в которой ты оставляешь например данные своей кредитки, а завтра ее взламывают и у тебя списывают с кредитки все твое бабло
для разного программного обеспечения предъявляют различные требования по безопастности, в зависимости от степени важности того, чем твое программное обеспечение управляет.
банковские проверверки безопастности нацелены в первую очередь на то, что система не может быть взломана с целью заполучения доступа для управления чьими то средствави и платежные данные пользователей не утекут куда либо.
после аудита тебе либо дают зеленый свет на запуск и использование в массах, либо показывают наглядно, где у тебя дыры по безопастности и как тебя можно взломать и насколько это критично, то есть приведет ли это к утечке персональных данных, неавторизованному доступу к управлению чужими средствами и тд.
после того как проходишь аудит, твой сервер опечатывают, ставится специальное оборудование, которое логируют все на входе и выходе севрера, а в серверной вешают камеры видеонаблюдения для отслеживания всех, кто имел непосредственный доступ к серверу
Snusmumriken
Если запись снаружи не работает, то норм. Это же вуз, тут главное — не дать студентам фиксить свои оценки. И фотки тусичей с лаборантками не хранить.
Pavel
Если запись снаружи не работает, то норм. Это же вуз, тут главное — не дать студентам фиксить свои оценки. И фотки тусичей с лаборантками не хранить.
Вот смотри.
Без https всякие мтс и мегафон и прочие вставляют свою рекламу на сайт
Трафик опять же может перехваиываться и читаться на работе.
Или зловредом
Snusmumriken
Adblock ставится в любом случае, не? Ну плюс это ударит по репутации.
Перехват трафика на работе является проблемой? Что это за трафик такой? Да и от белого списка адресов не спасает.
fgntfg
У меня не стоит adblock
Pavel
Adblock ставится в любом случае, не? Ну плюс это ударит по репутации.
Перехват трафика на работе является проблемой? Что это за трафик такой? Да и от белого списка адресов не спасает.
Так это уже происходит. И на репутацию чхать им
Адблок не является благом имхо. Это скорее вредная для интернета сущность. И тема для холивара.
Ну а на работе - я предполагаю наличие тайны переписки.
Pavel
Атака Men in the middle известная. И опасность от неё большая. К примеру сбор паролей
Snusmumriken
Я уже это всё описал, а потом удалил. впадлу.
Maxim
безопасность - это какова вероятность того, что злоумышленник твою систему скомпрментирует и начнет использовать для своих злых умыслом, например чтобы у кого-то увести бабки, кого-то подставить или просто вывести тебя как конкурента из строя. я уверен ты не захотел бы пользоваться системой, в которой ты оставляешь например данные своей кредитки, а завтра ее взламывают и у тебя списывают с кредитки все твое бабло
для разного программного обеспечения предъявляют различные требования по безопастности, в зависимости от степени важности того, чем твое программное обеспечение управляет.
банковские проверверки безопастности нацелены в первую очередь на то, что система не может быть взломана с целью заполучения доступа для управления чьими то средствави и платежные данные пользователей не утекут куда либо.
после аудита тебе либо дают зеленый свет на запуск и использование в массах, либо показывают наглядно, где у тебя дыры по безопастности и как тебя можно взломать и насколько это критично, то есть приведет ли это к утечке персональных данных, неавторизованному доступу к управлению чужими средствами и тд.
после того как проходишь аудит, твой сервер опечатывают, ставится специальное оборудование, которое логируют все на входе и выходе севрера, а в серверной вешают камеры видеонаблюдения для отслеживания всех, кто имел непосредственный доступ к серверу
Очень подробное описание, коллега! Вся безопасность вертится вокруг персональных данных от ФИО до номера карты и её cvv, на остальное в принципе всем "по барабану" )
Artem
>> банковские проверверки безопастности нацелены в первую очередь на то, что система не может быть взломана с целью заполучения доступа для управления чьими то средствави и платежные данные пользователей не утекут куда либо
помоему я тут четко указал "система не может быть взломана с целью заполучения доступа для управления"
Artem
если систему просто выведут из строя, банку пофиг, это уже не его голованая боль будет, что система перестала работать по причине какого-нить ddos
Snusmumriken
(то есть, чистая ОС поставлена на замурованный в пустом свинцовом бункере комп, питающийся от электрогенератора, без доступа к сети)
Artem
(то есть, чистая ОС поставлена на замурованный в пустом свинцовом бункере комп, питающийся от электрогенератора, без доступа к сети)
и чтобы бункер был глубоко под поверхностью другой планеты
Saphire
...а теперь давайте все дружно посмеемся и тупо вспомним, что так ну никто честно делать ведь не будет
Pavel
Очень подробное описание, коллега! Вся безопасность вертится вокруг персональных данных от ФИО до номера карты и её cvv, на остальное в принципе всем "по барабану" )
по закону о забвении и закону яровой - кажется что нет
Pavel
(то есть, чистая ОС поставлена на замурованный в пустом свинцовом бункере комп, питающийся от электрогенератора, без доступа к сети)
кстати - знавал я в свое время конторы у которых была отдельная комната с отдельным компом исключительно для работы с банк-клиентом…
Pavel
причем к инету не подключенная вообще.
работала по dialup
Snusmumriken
И это хорошо. Особенно если отпаяны все USB кроме одного, для ключа авторизации.
Pavel
И это хорошо. Особенно если отпаяны все USB кроме одного, для ключа авторизации.
так и было. а usb наоборот «впаян»
Pavel
смена ключа - смена платки pci для usb.
Snusmumriken
Ну это имхо слишком сложно, а вот отсутствие внешних выводов и присобаченная на проводах внутреннего входа usb (который обычно идёт наружу) — норм.
Ну, типа если хакер попадётся — всё равно всё вскроет, а тут защита от дурака.
Pavel
Ну это имхо слишком сложно, а вот отсутствие внешних выводов и присобаченная на проводах внутреннего входа usb (который обычно идёт наружу) — норм.
Ну, типа если хакер попадётся — всё равно всё вскроет, а тут защита от дурака.
есть шанс что злой бух воткнет туда свою флешку с котиками
Snusmumriken
Ему для этого придётся раскручивать комп.
Snusmumriken
Anonymous
Товарисчи. Как правильно вынести переменные ,для создания компонентов в отдельный файл , если инициализация идет в текущем фале ? https://pastebin.com/nzfENyZd
Anonymous
грубо говоря, все конструкции вида local Position = Component(function(e, x, y) ... я хочу вынести в отдельный файл
Super
Ребята, у меня вопрос - допустим я воспользовался блоком body_filter_by_lua_block { тут что-то фильтруется } и я хочу сохранить данный контент в мемкеш после этого - как это правильно сделать? не хочется изобретать велосипед
Super
т.е. я не хочу каждый раз даже из кеша выполнять содержимое body_filter_by_lua_block, а хочу закешировать уже обработанный результат и выдавать его в следующий раз из access_by_lua_block и там уже завершать обработку.
Snusmumriken
Ребята, у меня вопрос - допустим я воспользовался блоком body_filter_by_lua_block { тут что-то фильтруется } и я хочу сохранить данный контент в мемкеш после этого - как это правильно сделать? не хочется изобретать велосипед
Помнится, оно не фильтрует что-то а добавляет/изменяет заголовок/тело ответа уже в самом конце
https://github.com/openresty/lua-nginx-module#header_filter_by_lua
На самом деле довольно странная директива, в оригинальном нгинксе её нет, и у неё довольно узкая область применения.
Как сделать — при вызове access_by_lua — смотреть в кеш, есть ли там что, если есть — выдавать, если нет — идти дальше. А в filter_by_lua — что-то генерить и пихать в кеш. Но в целом, эти фазы не для этого: access для фильтрации по айпишнику, фаерволинга и всякого такого.
Super
в filter_by_lua можно вместо страницы что угодно выдать, хоть "Hello World", но вопрос как после этого это значение положить в кеш. там доступен только ngx.shared.dict, а он ограничен
Super
допустим я в body_filter_by_lua могу переменную в нгинкс записать ngx.var.response_body = "Hello World"
Super
после него еще есть блок log_by_lua, но и там нельзя к мемкешу обратиться
Snusmumriken
Дык ты вроде можешь в бд запихнуть, например.
А как ты выдашь что-то вместо страницы, там же недоступен ngx.say? Или я чот путаю?
Super
ngx.arg[1] = "Hello World"
Snusmumriken
А
Super
ну я проверяю что есть конец страницы eof = true
Super
и если да, то могу выдать что угодно
Super
вот вопрос как же выцепить этот результат и положить в нормальный кеш, а не в шаред
Snusmumriken
Энивей, я не очень понял зачем ты вообще используешь эту директиву вместо, например, content_by_lua : )
Выцепить — не local body = ngx.arg[1]?
Super
я использую ее вместе с proxy_pass
Super
у меня есть страницы и я их на проксирующих серверах хочу иногда менять
Snusmumriken
Жуть какая. Полностью опиши свой кейс, пожалуйста.
Что ты делаешь и зачем.
Super
у меня есть наборы страниц, которые я беру как есть и заменяю там какие-то блоки в зависимости от ситуации налету
Super
ну например я обнаружил имя трейдмарка запрещенное, из-за которого могут быть проблемы, я его вырезать должен
Super
т.е. есть сервер с бд. который выдает данные быстро и есть кешировщики такие, они проксируют с него контент и кешат
Snusmumriken
Ничоси
Super
аналог клаудфлары, но для себя
Super
т.к. клаудфлара не хранит нормально кеш
Lucky
js+lua https://metaparser.syscall.ru/
Super
да у меня уже написан весь софт
Lucky
Super
надо только закешить результат обработки, а не до обработки
Snusmumriken
Так, как у нас можно получить отправляемое клиенты body в filter_by_lua?
Как ты его сейчас пихаешь в shared dict?
Super
я его собираю по чанкам
Super
получаю переменную с полным боди
Super
затем я могу ее спокойно положить в шаред - доступ к нему из body_filter_by_lua есть
Snusmumriken
Вот.
Теперь ты берёшь и пихаешь его в mem-db типа redis : )
Super
да, именно это я и хочу
Super
Subrequest API functions (e.g., ngx.location.capture and ngx.location.capture_multi)
Cosocket API functions (e.g., ngx.socket.tcp and ngx.req.socket).
Super
но вот это мешает
Super
к редису не подсоединиться оттуда
Super
я уж думал отдельный сервис написать, который будет мониторить шаред и перекладывать в нормальный кеш - но это какой-то ужасный костыль
Super
хочется красивое решение
Snusmumriken
Хм, оче плохо.
Чем тебе мешает ограниченность shared dict, кстати?
Super
ну я же не могу его сделать на 15 гб скажем
Snusmumriken
Можешь, вроде, лишь бы оперативки хватило.
Время от времени чисть старьё.
Super
я сейчас поставлю новый сервер и попробую, может в новом нгинкс будет хорошо. но я вроде пробовал - плохо нгинкс работал при таком количестве шареда
Super
я 50мб ставлю
Super
а шаред эвакуируется сам?
Super
мемкеш чем хорош - я пишу и не думаю, что и когда удалять, он сам удаляет менее популярные
Snusmumriken
Так, я ща подумаю, нет ли там ещё похожих фаз
Snusmumriken
Super
ага, как раз об этой картинке вспомнил
Super
ну вот проблема что и log_by_lua тоже урезанный
Snusmumriken
Ну понятное дело.
Super
там тоже только шаред есть
Super
вообще я смотрю шаред-то развивается, может со временем и не нужно будет уже редис и т.д.