Кстати, господа, а как вы решаете недостаток ноды в виде исходников «как есть» на серверах? Выкладываете в прод обфусцированную версию?

Кстати, господа, а как вы решаете недостаток ноды в виде исходников «как есть» на серверах? Выкладываете в прод обфусцированную версию?

а зачем на своих же серверах скрывать исходники?

http://images-cdn.9gag.com/photo/aKB7Bz1_700b.jpg

Кстати, господа, а как вы решаете недостаток ноды в виде исходников «как есть» на серверах? Выкладываете в прод обфусцированную версию?

Эм. А почему это недостаток?

а зачем на своих же серверах скрывать исходники?

Эх. Ответ «генеральный-параноик» устроит? :(

Кстати, господа, а как вы решаете недостаток ноды в виде исходников «как есть» на серверах? Выкладываете в прод обфусцированную версию?

контейнеры во все поля

я слышал что есть способы прям байткод дампить и запускать потом приложение из него

Эх. Ответ «генеральный-параноик» устроит? :(

Эм. Если злоумышленник получит доступ к вашему серверу, будет одинаково плохо что в случае с исходниками что в случае с бинарниками.

Ваши исходники не такая большая ценность.

База клиентов важнее.

Согласен, поэтому надо шифровать поля

Ну, если вы не поисковый движок с исходниками алгоритма ранжирования.

Но там и бинарники разберут, не волнуйтесь =).

Мы, например, работаем на B2B для аптек, есть ряд наработок, которые реальное ноу-хау.

В случае с тем же дотнетом, например, я знаю, как можно если не защититься, то сильно усложнить задачу недоброжелателю.

ноу хау сам код или идеи?

Если это кому-то действительно нужно и ценно, то бинарники тоже разберут.

ну типа нигде по хорошему не решается эта задача

Код — ядро системы это сложная генетика.

так что лучше озаботиться защитой сервера

если вам как конкурентам захотят насолить, я думаю первое что придет в голову не украсть и сделать как у вас или лучше, а обрушить вашу сеть

А с нодой ничего, кроме обфусцирования перед деплоем, в голову не приходит. Ну и положить части системы в разные докеровские контейнеры.

это проще

Да, или капитально поднасрать с вашей стороны клиентам.

Да вообще, маловероятно что конкуренты вряд ли будут нанимать кого-то чтобы вас взломали.

Скорее снимут ботнет у какой-нибудь холы и будут ддосить.

Если вломали там жи база лежит.

Если вломали там жи база лежит.

Я и говорю — база важнее исходников.

В общем есть смысл не обфрусцировать а заворачивать в какой нибудь контейнер (не докер, а абстрактный) из которого будут торчать публичные api

Думаю тут мало кто этим занимался, хороший вопрос для hacker news

если есть финансовая возможность - лучше заказать аудит сети

на моей прошлой работе заказывали, нашлы дыры, все рассказали. Что нужно пропатчить как потенциальные дыры. Как добрались до базы.

Не всегда поможет. Взломать можно даже атомную станцию, как показала практика

вопрос в стоимости

если Вы не пентагон и не крупный банк много на ваш взлом тратить не будут

Естественно, я думаю что задавая такой вопрос в серъез, этот этап должен быть пройден

если Вы не пентагон и не крупный банк много на ваш взлом тратить не будут

Не стоит так рассуждать. С Пентагонам будет понятно какие силы будут затрачены на поиск, поэтому многие не рискуют

А банки обносят чуть ли не каждый день, они просто молчат про это

Ой, да ладно. С банками как в анекдоте про армию.

я к тому что если качественный аудит будет проведен и дыры закрыты, то на взлом придется потратится уже больше. Разве нет? Киддисы не пройдут. И я считаю что лучше сделать аудит, чем не сделать и потом пострадать. Убытки будут больше

Никто не отрицает

я к тому что если качественный аудит будет проведен и дыры закрыты, то на взлом придется потратится уже больше. Разве нет? Киддисы не пройдут. И я считаю что лучше сделать аудит, чем не сделать и потом пострадать. Убытки будут больше

Аудит безусловно стоит делать. Но проблема в том, что во-первых это надо делать постоянно, во-вторых результаты аудита часто кладут под сукно «ой у нас много текущих задач»

Но аудиторы могут не знать про все 0day

Аудит безусловно стоит делать. Но проблема в том, что во-первых это надо делать постоянно, во-вторых результаты аудита часто кладут под сукно «ой у нас много текущих задач»

Вон оракл большой пример, который и судом еще грозит все кто нашел уязвимости у них и им об этом сказал

Нет, я про официально заказанные и оплаченные аудиты.

Вот про аудит задумка хорошая, спасибо за совет, парни. Поговорю с генеральным, может, хоть чуток сниму ее тревогу :)

Вот про аудит задумка хорошая, спасибо за совет, парни. Поговорю с генеральным, может, хоть чуток сниму ее тревогу :)

Главное то полотно замечаний рекомендаций, которое он вам даст, реально учтите.

=)

*замечаний и рекомендаций

кто знает, вызываю бинарник из make - не работает, вызываю напрямую - работает

что может быть?

chmod +x ./make

или я глупости говорю

да не

что то странное, воспроизводится только на CI

make не меняет рабочую директорию/юзера?

нет

Что значит "не работает"

Не запускается?

Некорректно работает

выходит с ошибкой

какая ошибка?

А что делает и что за ошибка?

что за бинарник?

ERROR: S client not available

Из той же директории запускаешь?

ну вопрос глобально - что такого make делает для запуска процессов, что может повлиять

Ничего

Мэйк вообще ничего не делает

Он только со строками работает

Запускает комманды в шелле

И всё

ну вот дочерние процессы он как-то не так запускает, как шелл

Из текущего шелла запускает

ну тогда вообще магия

CWD та же?

Покажи правило

flow: $(flow) check --no-flowlib

что то странное, воспроизводится только на CI

Может на CI окружение инвалидное

ну оно то конечно инвалидное, но не из под мейка работает

Может он под мейк особые настройки делает

Запусти под strace

Хз

понять бы еще его выжачу

выдачу

вообще странно - бинарник запускается и делает какую то часть работы, но падает в середине

Не молча падает ж?

Стрейс сисколлы с аргументами трейсит

Вызовы*

посмотрел в исзодниках код ошибки, вроде out of shared memory

А сколько всего памяти?

61837044 kB

MemTotal

вопрос даже не в этом - с shared memory бывают проблемы во всяких контейнерах

вопрос - причем здесь make?

Контейнеры вроде как не разделяют память