Информационный портал по безопасности » Материалы за 18.05.2017 » Страница 3

 

Микросегментация сетей в примерах: как эта хитро закрученная штука реагирует на разные атаки

Автор: admin от 18-05-2017, 11:05, посмотрело: 540

Микросегментация сетей в примерах: как эта хитро закрученная штука реагирует на разные атаки

Раньше, когда нужно было что-то разграничить (например, сервера с обработкой платежей и терминалы юзеров офиса), просто строили две независимых сети с мостом-файерволом в середине. Это просто, надёжно, но дорого и не всегда удобно.

Позже появились другие виды сегментации, в частности, по правам на основе карты транзакций. Параллельно развивались ролевые схемы, где машине, человеку или сервису назначаются свои конкретные права. Следующий логический виток — микросегментация в виртуальных инфраструктурах, когда DMZ ставится вокруг каждой машины.

В России пока есть единичные внедрения подобных защитных построений, но скоро их точно будет больше. А потом мы, возможно, не будем даже понимать, как можно было жить без такого. Давайте рассмотрим сценарии атак на такую сеть и как она на это реагирует.

Категория: Системное администрирование / Информационная безопасность / Сетевые технологии

 

Гейзенбаг 2017 Piter: Call for Testing

Автор: admin от 18-05-2017, 10:40, посмотрело: 351

Гейзенбаг 2017 Piter: Call for TestingСтарший инструктор Дуайт Т. Барнс (Half-Life) о конференции по тестированию Гейзенбаг 2017 Piter: «… Как твоё имя, солдат? Представляешь, твоё имя каким-то мистическим образом попало наверх списка продвинутой тренировки! И я попрошу тебя… а ну тащи своё тело вниз на тренировочную зону и отрапортуй полковнику Шарпу!… До Гейзенбаг 2017 Piter осталось три недели — все взводы уже оформили бейджики и вовсю полируют штиблеты. А тебя-то где носит? На конференции будут все: спецы по автоматическому и нагрузочному тестированию, тимлиды, разработчики. 17 докладов в 3 треках за один день — это тебе не мышку щелкать. Ветераны доложат о новых боевых приемах практического и хардкорного тестирования на реальных проектах.»

Давайте посмотрим, что будет ждать вас на месте.
Гейзенбаг 2017 Piter: Call for Testing

Учитывая мнения участников Гейзенбаг 2016 Moscow, мы поддали жару и увеличили количество технически сложных, глубоких и необычных докладов. Для вашего удобства мы прикрутили к каждому докладу индикацию хардкорности, чтобы вы точно знали, где раздают РПГ, а где — мастер-класс по бою монтировкой. Для тех, кому до Питера не добраться, мы делаем онлайн-трансляцию с возможностью задавать «вопросы из зала» во время докладов и смотреть интервью со спикерами в перерывах между сессиями.

Итак, обзор докладов с группировкой по тематике:

Категория: Программирование / Веб-разработка

 

Ruby on Rails соглашение. Часть II

Автор: admin от 18-05-2017, 09:45, посмотрело: 264

Ruby on Rails соглашение. Часть II

Соглашение над конфигурацией


Один из ранних девизов Rails звучал так: «Ты не красивая и уникальная снежинка». Девиз гласил, что отказываясь от индивидуальности можно обойти решение тривиальных проблем и добиться более быстрого прогресса в областях, которые действительно значимы.

Кого волнует, в каком формате описываются ваши первичные ключи в базе данных? Действительно ли это важно, если речь идет о «id», «postId», «posts_id» или «pid»? Достойно ли это решение постоянного обсуждения? Нет.

Категория: Программирование / Веб-разработка

 

Добавление to_string упрощает разработку и дебаг кода на Elixir'е

Автор: admin от 18-05-2017, 09:20, посмотрело: 307

Проверим на примере: пишем сервис с аэропортами и направлениями.

defmodule Airport do
  defstruct [:id, :name]
end

defmodule Direction do
  defstruct [:origin, :destination]

  def example do
    madrid = %Airport{id: "MAD", name: "Madrid"}
    riga = %Airport{id: "RIX", name: "Riga"}
    %Direction{origin: riga, destination: madrid}
  end
end

Пока что всё в порядке. Отлично, съели печеньку, смотрим, что дальше в джире. Список самых популярных направлений?

Добавление to_string упрощает разработку и дебаг кода на Elixir'е Hackerman берётся за дело

Категория: Программирование / Веб-разработка

 

Быстрый старт iOS-приложения на примере iOS Почты Mail.Ru

Автор: admin от 18-05-2017, 09:20, посмотрело: 397

Быстрый старт iOS-приложения на примере iOS Почты Mail.Ru

Николай Морев (Mail.Ru)


Я сегодня буду говорить о нашем опыте работы по ускорению времени запуска приложения, и чему он нас научил.

Здесь мы видим, что для большинства пользователей время запуска было порядка 4-х секунд, даже немного больше. Поэтому в последнее время мы решили больше внимания уделить именно качеству продукта, а не новой функциональности. Мы начали увеличивать покрытие тестами, начали работать над уменьшением размера приложения, над оптимизацией скорости запуска, над оптимизацией использования сетевых ресурсов. И вот чему мы научились.

Категория: Веб-разработка / iOS

 

Почему программисты не могут программировать

Автор: admin от 18-05-2017, 09:20, посмотрело: 383

Я был недоверчив, когда прочитал это наблюдение у Реджинальда Брейтуэйт:


Как и у меня, у автора возникают проблемы с тем фактом, что 199 из 200 претендентов на каждое задание программирования не могут писать код вообще. Повторяю: они не могут писать никакого кода вообще.

Категория: Программирование

 

Оркестровка СУБД CockroachDB в Kubernetes

Автор: admin от 18-05-2017, 09:20, посмотрело: 529

Предисловие переводчика: Буквально через неделю после нашей публикации знакомства с CockroachDB состоялся первый финальный релиз этой распределённой и масштабируемой СУБД с открытым кодом, что ознаменовало её официальную готовность для применения в production. А значит — самое время научиться её «готовить» в реалиях микросервисов с Kubernetes.

В этой статье показано, как осуществлять оркестровку деплоя и управление небезопасным кластером CockroachDB из 3 узлов с помощью Kubernetes и его функции StatefulSet, находящейся в бета-версии.
Оркестровка СУБД CockroachDB в Kubernetes
Да, запуск stateful-приложения вроде CockroachDB на Kubernetes требует использования сложных возможностей системы, пока что поддерживаемых на уровне бета-версии. Запустить CockroachDB на Kubernetes для тестирования можно и проще, однако описанный здесь подход предназначен для разворачивания СУБД в production, когда необходимые функции в Kubernetes окончательно созреют для этого. (Прим. перев.: о проблеме stateful-приложений в Kubernetes и одном из подходов её решения мы рассказывали в материале про Kubernetes Operators.)

Категория: Программирование / Системное администрирование

 

Получаем информацию о рабочем месте пользователя

Автор: admin от 18-05-2017, 09:20, посмотрело: 358

Получаем информацию о рабочем месте пользователя


0. Предисловие


Все началось с очередного звонка пользователя, который с гордостью сообщил сообщил: — „Всё сломалось“, и с моих „потуг“ удаленно найти PC, на котором работает данный пользователь..


Решение планировало быть простым до безумия и собираться на коленке. Так-как большинство наших сотрудников работают под "виндой" и все рабочие станции входят в домен, был задан вектор поиска решения. Изначально, планировалось написать небольшой скрипт. В его задачу входило собрать базовую информацию о системе и сотруднике, который за этой системой работает. Набор информации минимальный. А именно: логин, название рабочей станции и ее ip. Результат работы сохраняем на сервере, а сам скрипт "вешаем" на пользователя через GPO.


В такой реализации были существенные недостатки в виде:



  • получить информацию можно было бы только зайдя на сервер (его сетевую папку где хранился файл), что не всегда удобно

  • поддерживать файл в актуальном состоянии

  • получать данные в реальном времени


После раздумий пришло решение: использовать бота в Telegram. Прибегнув к небольшой ловкости рук, скрипт был переписан в небольшую программку для отправки информации в чат, за место "скучной" записи в файл на сервере. (+ были добавлены еще некоторые параметры которые оправлялись боту)

Категория: Программирование / Системное администрирование / Веб-разработка / Windows

 
 

Программа-шантажист WannaCrypt атакует необновлённые системы

Автор: admin от 18-05-2017, 06:15, посмотрело: 510

12 мая в официальном блоге Microsoft появилась техническая статья с комментариями относительно программы-шантажиста WannaCrypt. Так как эта тема до сих пор волнует многих, мы перевели её для вас. Приглашаем под кат.

Программа-шантажист WannaCrypt атакует необновлённые системы

Категория: Веб-разработка / Информационная безопасность / Microsoft / Windows