1.1, bav (ok), 11:48, 03/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +20 +/– |
То есть рубанок виноват в тупости и злобности буратины? Это прекрасно.
| |
|
2.2, клоун (?), 12:09, 03/03/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
Цена ошибки такова, что выгоднее не пользоваться GitHub, чем пользоваться с риском огрести.
| |
|
3.3, torvn77 (ok), 12:15, 03/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Зачем отказываться от Гитхаба если можно оперативно поменять ключ?
А если нельзя или сложно,то ИМХО значит с организацией безопасности проблемы.
| |
|
4.4, клоун (?), 12:20, 03/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Затем, что прочитав статью ты узнаешь, как сотрудник по ошибке опубликовал данные, которые были использованы для взлома. И узнали об этой ошибке только по факту разбирательства причин взлома.
Повторяю: цена ошибок слишком высока. С такими рисками ресурс могут использовать только камикадзе.
| |
|
5.8, Аноним (-), 13:05, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Не вижу никаких дополнительных рисков? относительно тех что они уже несут, имея фирменный сайт.
Поищите в гугле файлы дампов баз данных, случайно лежащих в общем доступе на сайте.
Десятки тысяч результатов.
Или вот:
>Были получены исходники 3300 глобальных интернет-проектов
>http://habrahabr.ru/post/70330/
- забыли закрыть доступ к svn репозиториям на сайтах yandex opera mail.ru rambler.
Избавься от рисков - выдерни ethernet кабель.
| |
|
6.62, arisu (ok), 15:15, 10/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> - забыли закрыть доступ к svn репозиториям на сайтах yandex opera mail.ru
> rambler.
забыли нанять людей, у которых в голове мозг, а не кю. каждому идиоту известно, что служебным каталогам системы контроля версий не место на продакшн‐сервере. но проприерасты умудряются находить таких идиотов, которым неизвестно. это называется «профессионализм».
| |
|
5.9, Andrey Mitrofanov (?), 13:06, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Затем, что прочитав статью ты узнаешь,
Нет, ты.
> как сотрудник по ошибке опубликовал данные, которые были использованы для взлома.
1/ "По ошибке" сотрудник не сменил явки после публикации.
2/ Не было _влома, была утечка данных аут-ции.
> Повторяю: цена ошибок слишком высока. С такими рисками ресурс могут использовать только
> камикадзе.
Ваше мнение очень важно для нас. Лучшие б.-практики, теория циклов, бесценные ошибки. Всегда в нетерпении ждём продолжения!
| |
|
|
7.15, fl (?), 13:26, 03/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Кражи не было, просто ключи попали кому-то не тому. А что вещей недосчитались, так это уже совсем другая история.
Два не связанных между собой события.
| |
|
|
5.22, XoRe (ok), 14:32, 03/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Повторяю: цена ошибок слишком высока. С такими рисками ресурс могут использовать только
> камикадзе.
500 рублей в месяц за 5 приватных репозиториев.
https://github.com/account/plans
Я конечно понимаю, что цена неподъемная даже для Uber с капитализацией $41,0 млрд...
А вообще, если к их серверам подключились 13 мая 2014 года, а узнали они об этом 17 сентября, им нужно что-то менять в консерватории.
| |
|
6.25, клоун (?), 15:35, 03/03/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
"Каждый мнит себя стратегом видя бой со стороны." (древне-римская пословица)
Если крупной ИТ компании нужен закрытый репозиторий - его проще и быстрее создать внутри компании. Если компании нужен открытый репозиторий или компания вляпалась в GPL и теперь не может от него отмыться - она использует чужой открытый репозиторий, т.к. нет смысла создавать его внутри.
Не открывайте код - не будет утечек.
| |
|
7.30, Аноним (-), 16:15, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> "Каждый мнит себя стратегом видя бой со стороны." (древне-римская пословица)
> Если крупной ИТ компании нужен закрытый репозиторий - его проще и быстрее
> создать внутри компании. Если компании нужен открытый репозиторий или компания вляпалась
> в GPL и теперь не может от него отмыться - она
> использует чужой открытый репозиторий, т.к. нет смысла создавать его внутри.
> Не открывайте код - не будет утечек.
Ща тебя стаканчиком накроют. :)
Но так-то ты прав.
| |
7.39, Аноним (-), 16:56, 03/03/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Не открывайте код - не будет утечек.
Есть более фундаментальный вариант: можно не писать код и пойти работать дворником. Тогда ущерб от утечек будет минимизирован на самом базовом уровне.
| |
|
8.44, клоун (?), 17:12, 03/03/2015 [^] [^^] [^^^] [ответить] | +/– | Онанизма бояться - не др ить Первый раз - случайность, второй - совпадение... текст свёрнут, показать | |
|
9.46, ZiNk (ok), 17:33, 03/03/2015 [^] [^^] [^^^] [ответить] | +/– | Выше уже приводили примеры с незакрытыми SVN репами, которые должны были быть в... текст свёрнут, показать | |
|
|
|
|
|
|
3.11, Аноним (-), 13:10, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Доступ к внутренней базе Uber возможен с любого устройства подключенного к интернет, ключи аутентификации доступны широкому кругу лиц, в том числе низкоквалифицированным сотрудникам подрядчиков. И причём тут github?
| |
3.18, Аноним (-), 13:55, 03/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Цена ошибки такова, что выгоднее не пользоваться GitHub, чем пользоваться с риском огрести.
Понимаешь, у сетей универсальное свойство такое: если там что-то опубликовали, назад это уже не заберешь. А агрессивные попытки это сделать часто ведут к противоположному эффекту, из-за эффекта Стрейзанд. Если это не нравится - не пользуйся сетями и не публикуй информацию. Сиди в бетонном бункере на мешке с своей "информацией".
| |
|
4.26, клоун (?), 15:39, 03/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Давно пора понять: опасен не нож в руках маньяка, а маньяк, взявший в руки нож. Нож - инструмент, ему всё равно будут им резать хлеб или соседей.
Открытый код несёт риски. Если бы компания не открыла код - данные не утекли бы в сеть - взлома бы не произошло. Я предлагаю не открывать больше ни строчки кода. Это предотвратит утечки и позволит недопустить взломов в будущем. Open source имеет преимущества, а это один из его неустранимых недостатков.
| |
|
5.28, Andrey Mitrofanov (?), 15:51, 03/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Давно пора понять: опасен не нож в руках маньяка, а маньяк, взявший в руки нож.
> Я предлагаю не открывать больше ни строчки кода.
Кто-кто, говоришь, "маньяк"-то?? Ты, что ли?
| |
|
6.63, arisu (ok), 15:17, 10/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Давно пора понять: опасен не нож в руках маньяка, а маньяк, взявший в руки нож.
>> Я предлагаю не открывать больше ни строчки кода.
> Кто-кто, говоришь, "маньяк"-то?? Ты, что ли?
нет, он Всемирно Известный Эксперт. к его ценным предложениям прислушиваются ведущие IT-корпорации мира.
| |
|
5.37, Аноним (-), 16:45, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Открытый код несёт риски. Если бы компания не открыла код - данные не утекли бы в сеть - взлома бы не произошло. Я предлагаю не открывать больше ни строчки кода. Это предотвратит утечки и позволит недопустить взломов в будущем.
Это типа такое упражнение на логику, нужно найти контр-аргумент на этот бред?
| |
5.40, Аноним (-), 16:59, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Поэтому надо бить по рукам тем кто не умеет пользоваться инструментами или пользуется не по назначению, а не "ломать хлеб руками, вместо того чтобы пользоваться ножом".
| |
5.41, Аноним (-), 16:59, 03/03/2015 [^] [^^] [^^^] [ответить] | +1 +/– | Да что там, если бы компания не писала код и не генерила ключи, и занималась иск... большой текст свёрнут, показать | |
|
|
|
|
3.19, Аноним (-), 13:56, 03/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> стереотипы, стереотипы...
Кто о чем, а буратино про рубанок...
| |
|
|
5.33, Аноним (-), 16:16, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> не смущает, что про рубанок не он написал?
Он намекнул, поскольку сам дрова.
| |
5.42, Аноним (-), 17:01, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> не смущает, что про рубанок не он написал?
Зато про стереотипы он очень шаблонно пишет, в каждом втором случае наверное. Так что рубанок, рубанок...
| |
|
6.54, count0krsk (ok), 04:21, 04/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Зато про стереотипы он очень шаблонно пишет, в каждом втором случае наверное.
> Так что рубанок, рубанок...
Нечего на Буратину пенять, коли сам Аноним (никто). ;-)
| |
|
|
|
|
2.21, Аноним (-), 14:04, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> То есть рубанок виноват в тупости и злобности буратины? Это прекрасно.
Uber FAIL.
| |
|
1.5, Аноним (-), 12:37, 03/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Ответ лежит на поверхности - жлобы не хотели влпатить копейки за приватные репозитарии.
| |
|
2.6, Аноним (-), 12:57, 03/03/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ответ лежит на поверхности - никто не делает review коммитов. Кто помешает, в таком случае, увольняющемуся сотруднику закомиттить видео с записью сексуального акта своего начальника с бобром?
| |
|
3.10, Andrey Mitrofanov (?), 13:09, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
>никто не делает review коммитов.
>Кто помешает, в таком случае, увольняющемуся сотруднику закомиттить видео с записью сексуального акта своего начальника с бобром?
Какой отдел у Вас в Компании занят _review_ youtub-ика?
А то, "кто ж помешает-то"tm ?!
| |
|
4.64, arisu (ok), 15:19, 10/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>никто не делает review коммитов.
>>Кто помешает, в таком случае, увольняющемуся сотруднику закомиттить видео с записью сексуального акта своего начальника с бобром?
> Какой отдел у Вас в Компании занят _review_ youtub-ика?
вообще‐то, в нормальной компании есть отдел внутренней безопасности. и существует он именно затем, чтобы не надо было делать «review youtub-ика».
| |
|
|
4.55, count0krsk (ok), 04:23, 04/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> pre-commit review?
> Нафиг-нафиг.
Пре-комит, пост-комит, и во время написания чтобы обе руки на столе были, а то опять винда получиться )))
Или РеактОС, если левая под столом будет ))
| |
|
|
2.16, Crazy Alex (ok), 13:33, 03/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
На опеннете эта фраза звучит как-то странно. Как бы хорошо, что код открыто публикуется, вопрос - как риски безопасности снизить
| |
|
3.65, arisu (ok), 15:22, 10/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> На опеннете эта фраза звучит как-то странно. Как бы хорошо, что код
> открыто публикуется, вопрос - как риски безопасности снизить
например, не давать девелоперам credentials для доступа к боевым базам и серверам. потому что зачем? для этого должен быть deploy manager. у которого, в свою очередь, нет права на коммит в девелоперский репозиторий.
понятно, это не защита от злоумышленников, это защита от случайной утечки логинов‐паролей.
| |
|
2.51, all_glory_to_the_hypnotoad (ok), 02:29, 04/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ответ лежит на поверхности - жлобы не хотели влпатить копейки за приватные репозитарии.
Клинический неуч всегда делает неверные выводы из своих и чужих ошибок. Ответ, конечно, лежит на поверхности, но он несколько другой - нельзя авторизационные данные хранить вместе с кодом, мухи должны быть отдельно от всего остального.
| |
|
1.36, edwin3d (ok), 16:29, 03/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Разработчик конечно тот еще орел, но мне кажется первопричина такого явления немного в другом.
Какого ... использовать для таких Public репозитарии.
Они же автоматом синкаются (привет Uber с их требованиями по IP), их ковыряют.
Хорошо, допустим они хотели показать всем, вот наш код, нашего сервиса, мол смотрите.
Но для такого можно использовать варианты максимальной изоляции всяких крит. данных от основной репы.
Но по мне - лучше иметь свой, изолированный GitLab для таких вещей.
| |
|
2.57, count0krsk (ok), 05:40, 04/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Но по мне - лучше иметь свой, изолированный GitLab для таких вещей.
Карабас-Барабас хотел быстро, качественно, и чтобы ему доплатили ))
В итоге плётку отжали, и в гримёрке нагадили )
| |
|
1.38, Аноним (-), 16:46, 03/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
- За выходные запросто можно зарефакторить тута. Дурацкая сикурность, почему я не могу получить доступ к репе из дома?
- А ладно, сделаю
$ git remote add pesonal-repo https://github.org/supermax/corp-app.git
$ git push personal-repo ticker-10500
- Запилю и в понедельник меня похвалят %)
| |
|
2.58, count0krsk (ok), 05:44, 04/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> - За выходные запросто можно зарефакторить тута. Дурацкая сикурность, почему я не
> могу получить доступ к репе из дома?
Там видать мужики про ssh и vpn не слышали )) А одмин rdp не даёт всем подряд к сервакам снаружи без привязки к ип. Это же так неудобно, с телефона друга на рыбалке коммит не отправить ))
| |
|
3.61, Аноним (-), 23:06, 05/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
На моей прошлой работе так и было, VPN нет, SSH тоже, все рабочие станции с Windows, почта только через Outlook, никаких IMAP и POP3. И никакого RDP как и внешних IP, работа на удаленных рабочих станциях через Citrix Receiver, с отвратительный проприетарным клиентом под Linux.
| |
|
|
1.66, anonymous (??), 15:35, 11/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Uber потребовал у GitHub предоставить сведения об IP-адресах, с которых был зафиксирован доступ к определённым репозиториям.
Какой-то очень обходной путь.
А у себя они не могут посмотреть с каких IP к ним подключались и сливали данные?
| |
|