да просто тут надо чат переименовать в "Коля против"

из контейнера выбраться гораздо проще, чем на хостовую систему из виртуалки

Каким образом?

да просто тут надо чат переименовать в "Коля против"

ну ты просто не в курсе, что контейнер не обеспечивает 100% изоляцию никак

это будут хаки на уровни хака cgroups

Каким образом?

мне за тебя гуглить? могу даже подсказать фразу - "docker exploits"

это будут хаки на уровни хака cgroups

хаха, нет

ну а ка, ну вот расскажи?

я же не разибраюсь

cgroups - это просто разделение ресурсов, оно ничего больше тебе не обещает

приведи пример експлойта докер контейнера

просто, вот так, чисто теоритически, шелы?

приведи пример експлойта докер контейнера

https://github.com/docker/docker/issues/12317

понимаешь, в чем суть

I managed to map a volume then create a directory in it on my host os. I then ssh'd into the docker image and cd'd into that directory. - после этого можно не читать, потому как запускать ссх в докер контейнере во-первых противоречит идеи докера (держите отдельный контейнер на 1 апликуху, не надо поднимать там ссх и заходить по ссх и ставить кучу г)

в софте баги гораздо более вероятны, чем в хардваре, коим является аппаратная виртуализация

I managed to map a volume then create a directory in it on my host os. I then ssh'd into the docker image and cd'd into that directory. - после этого можно не читать, потому как запускать ссх в докер контейнере во-первых противоречит идеи докера (держите отдельный контейнер на 1 апликуху, не надо поднимать там ссх и заходить по ссх и ставить кучу г)

но ты же понимаешь, что это пиздец, да?

в общем, docker и security - понятия несовместимые

I managed to map a volume then create a directory in it on my host os. I then ssh'd into the docker image and cd'd into that directory. - после этого можно не читать, потому как запускать ссх в докер контейнере во-первых противоречит идеи докера (держите отдельный контейнер на 1 апликуху, не надо поднимать там ссх и заходить по ссх и ставить кучу г)

ага, расскажи хакерам, что там противоречит идее докера

ну а причём тут хакеры?

ну, ты мне сказал, что взломщик извне попадает в контейнер и больше ничего не может

я тебе объяснил, что это не так и что в докере плохо все с секурностью

что тебя смущает опять?

в общем, docker и security - понятия несовместимые

так можно на любую 0day уязвимость %XXX указать и сказать, что %XXX и secirity - понятия несовместимые :)

то, что 1 аппликуха - 1контейнер

так можно на любую 0day уязвимость %XXX указать и сказать, что %XXX и secirity - понятия несовместимые :)

ну так она не одна же :)

Доброго вечера

он дырявый, как решето

и контейнер с драгоценной джангой не предусматривает поднятый sshd

расскажите, как в docstring показать, что парамерт может быть какого-то типа и ещё None

ну, ты мне сказал, что взломщик извне попадает в контейнер и больше ничего не может

ну вуломы, да доступ есть, так у тебя и в любой другой технологии софтварной виртуалиации или контейнеризации также будет: папку расшарил внутрь ну и очевдно что изнутри можно будет менять контент

-2016-5195) - Docker

CVE от 16 года

расскажите, как в docstring показать, что парамерт может быть какого-то типа и ещё None

насколько я знаю, там нет стандарта на этот счет, можешь написать, как нравится

Аппаратных багов не меньше чем софтовых

ну вуломы, да доступ есть, так у тебя и в любой другой технологии софтварной виртуалиации или контейнеризации также будет: папку расшарил внутрь ну и очевдно что изнутри можно будет менять контент

кстати, необязательно

я тебе объяснил, что это не так и что в докере плохо все с секурностью

ты шапкозакидательством занимаешься, ничего конкретного ты не сказал, а то что скинул как пример ну так блин, хороши примеры когда изначально инструмент юзают не для того для чего он предназначался

есть вариант пересобирать контейнер для каждого изменения

ты шапкозакидательством занимаешься, ничего конкретного ты не сказал, а то что скинул как пример ну так блин, хороши примеры когда изначально инструмент юзают не для того для чего он предназначался

есть инструмент и в нем есть дыра. Что там "предназначалость" для чего - это уже вопрос другой

насколько я знаю, там нет стандарта на этот счет, можешь написать, как нравится

да писать-то могу. Могу даже и не писать :) Просто pycharm удобненько подсказывает ожидаемый тип, если всё задокументировано и ругается, когда пытаешься подставить не то, что ожидается.

да писать-то могу. Могу даже и не писать :) Просто pycharm удобненько подсказывает ожидаемый тип, если всё задокументировано и ругается, когда пытаешься подставить не то, что ожидается.

если третий питон - используй аннотации :)

второй

есть инструмент и в нем есть дыра. Что там "предназначалость" для чего - это уже вопрос другой

бррр, так дыры везде есть и в опенссл хардблиды и в том, что ты пропагандируешь тоже есть опять шапками закидываешь

ты шапкозакидательством занимаешься, ничего конкретного ты не сказал, а то что скинул как пример ну так блин, хороши примеры когда изначально инструмент юзают не для того для чего он предназначался

https://vulners.com/search?query=docker

я и подумал. Частый же кейс, когда в параметре ожидается, например, dict, но по-умолчанию он(параметр) None

бррр, так дыры везде есть и в опенссл хардблиды и в том, что ты пропагандируешь тоже есть опять шапками закидываешь

ну и вот, мне хватит дыр в моей системе и без докера

спору нет, аппаратная виртуализация круче софтверной, но и говорить о том, что докер дырявый как решето это слишком, банально его юзают очень много крупных компаний где явно не дураки работают и не олени в безопастности так что был бы он таким хреновым, как ты говоришь, то юзали бы его в цать раз меньше

я и подумал. Частый же кейс, когда в параметре ожидается, например, dict, но по-умолчанию он(параметр) None

вроде как можно писать так: :type a: list or tuple

наверное, в твоем случае :type a: list or NoneType

спору нет, аппаратная виртуализация круче софтверной, но и говорить о том, что докер дырявый как решето это слишком, банально его юзают очень много крупных компаний где явно не дураки работают и не олени в безопастности так что был бы он таким хреновым, как ты говоришь, то юзали бы его в цать раз меньше

его юзают, потому что хайп вокруг него, и никогда в жизни ни один нормальный админ не поставит два критичных сервиса с приватными данными на один сервер в докер-контейнерах

потому я и говорю - он в текущем своем виде, скорее, создает проблемы, чем решает

и у меня есть аргументы. Но это лишь мое мнение, может, кто-то считает, что секурити не нужно и эти все проблемы высосаны из пальца

что ж, флаг в руки

его юзают, потому что хайп вокруг него, и никогда в жизни ни один нормальный админ не поставит два критичных сервиса с приватными данными на один сервер в докер-контейнерах

хайп уже давно прошёл, то было года два назад, чейчас это просто норм штука, которой удобно пользоваться и с безопастностью там тоже нормально всё

хайп уже давно прошёл, то было года два назад, чейчас это просто норм штука, которой удобно пользоваться и с безопастностью там тоже нормально всё

счастливо жить в неведении

хайп уже давно прошёл, то было года два назад, чейчас это просто норм штука, которой удобно пользоваться и с безопастностью там тоже нормально всё

Пруфы

Нет безопасного продукта априори, ни софта ни железа

Нет безопасного продукта априори, ни софта ни железа

все так

Пруфы

какие тебе ещё пруфы? а где шаф-шаф?

какие тебе ещё пруфы? а где шаф-шаф?

ну, я две ссылки минимум привел, а ты вообще ни одной

какие тебе ещё пруфы? а где шаф-шаф?

Я тут чтобы закидать тебя хуями

какие тебе ещё пруфы? а где шаф-шаф?

Нефиг тогда говорить что докер безопасен

счастливо жить в неведении

причём тут неведние, ты просто капец как ретроградно рассуждаешь, вот тебе говорят: люди юзают, очень много людей юзают, крутые конторы юзают, крутые спецы юзают, а ты такой: да и пускай, они все идиоты, потому что докер - решето безопастности

причём тут неведние, ты просто капец как ретроградно рассуждаешь, вот тебе говорят: люди юзают, очень много людей юзают, крутые конторы юзают, крутые спецы юзают, а ты такой: да и пускай, они все идиоты, потому что докер - решето безопастности

каким образом то, что кто-то что-то юзает, определяет качество продукта?

причём тут неведние, ты просто капец как ретроградно рассуждаешь, вот тебе говорят: люди юзают, очень много людей юзают, крутые конторы юзают, крутые спецы юзают, а ты такой: да и пускай, они все идиоты, потому что докер - решето безопастности

А ты думаешь как хипстер, что хайповая вещь дерьмом быть не может

айфоны вон тоже покупают, винду используют на серверах, 1c, на php пишут

ERROR: S client not available

миллионы мух не могут ошибаться

Я тут чтобы закидать тебя хуями

ааа, ну тогда лови спецом для тебя: http://natribu.org/

посоны, давайте нормально аргументировать

ааа, ну тогда лови спецом для тебя: http://natribu.org/

Мне то зачем? У меня свой есть

а не на личности переходить

@Kate_TechHunt вакансии подвезли?)

пока вот читал увидел только про уязвимости, но это все же баг

каким образом то, что кто-то что-то юзает, определяет качество продукта?

таким, что чем массовей продукт, то тем быстрее его будут пытаться ламать и находить в нём уязвимости, ты ж за безопстность, как тебе такой аргумент?

таким, что чем массовей продукт, то тем быстрее его будут пытаться ламать и находить в нём уязвимости, ты ж за безопстность, как тебе такой аргумент?

херовый аргумент

@fahreeve Есть одна в Германии)

посмотри на опенстек, например

как раз напротив

1с тоже вроде как лидер индустрии в рф, дыра на дыре

как раз напротив

кокрастыке

посмотри на опенстек, например

а чего на него смотреть то? ты же сам писал выше что он дермище?

А юзают

а чего на него смотреть то? ты же сам писал выше что он дермище?

да, но его тоже тыщи людей юзают

и чо?

и ничо, что ты слышал где-то что кучу поломали опенстака и тачки порутали прочее ?

а вот во время использования докера какие могут быть проблемы? Допустим я решил хостинг запилить, даю пользователю возможность создать контейнер, но с определенными ограничениями по цпу, оперативе и дисковой квоте(это вроде на уровне ос делается). В этом случае где дыра? Я не доебаться, а просто ради интереса уточняю

у докера много хайпа и много детских болезней, когда будут серьезные секьюрити репорты о неудачных попытках вырваться из контейнера - тогда и поговорим

Маркетинг! Лол, в мирантисе походу все крепко не любят опенстек)

у докера много хайпа и много детских болезней, когда будут серьезные секьюрити репорты о неудачных попытках вырваться из контейнера - тогда и поговорим

ок, не вопрос

и ничо, что ты слышал где-то что кучу поломали опенстака и тачки порутали прочее ?

в опенстеке нет безопасности в принципе, вся безопасность приватного облака ложится на плечи админа

иногда он выруливает, иногда нет

Маркетинг! Лол, в мирантисе походу все крепко не любят опенстек)

а за что его любить? :)

ну так и что?

опять же у тебя аргумент что на плечи админа, и что?

а за что его любить? :)

Зоито

ну так и что?

что что? твой аргумент невалидный, докер говно

развлекайся