| 1.1, A.Stahl (ok), 22:18, 04/06/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >В итоге было выявлено 4487 серверов, доступных через публичные IP-адреса и отдающих данные без аутентификации.
А почему г-н Мазерли считает что так не задумывалось изначально? В очень многих случаях хранимая информация не представляет вообще никакой секретности. И настраивать аутентификацию просто не нужно. Пусть себе читают кто хочет.
| | |
| |
| 2.2, Аноним (-), 22:33, 04/06/2017 [^] [^^] [^^^] [ответить]
| –5 +/– | |
В англоговорящих странах сейчас помешательство на шифровании. Приватность там и раньше любили: личная переписка, частная собственность. А после информации Wikileaks случился новый виток помешательства на этом.
Я считаю, что АНБ просто атакуют петабайтами мусорной информации!
| | |
| 2.5, grsec (ok), 00:46, 05/06/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > В очень многих случаях хранимая информация не представляет вообще никакой секретности
Это результат какого-то анализа?
| | |
| 2.8, vitalif (ok), 01:16, 05/06/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Точно, это такая военная хитрость: 5 петабайт /dev/urandom'а!
| | |
| 2.9, Алексей (??), 02:14, 05/06/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>Пусть себе читают кто хочет.
Чтение информации это трата ресурсов это раз и возможность взлома через уязвимости два
| | |
| |
| 3.12, Аноним (-), 07:36, 05/06/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Чтение информации это трата ресурсов
Ага, так же, как и запрос этой самой информации.
> возможность взлома через уязвимости
Закрой срочно свой браузер, там яваскрипт, через него тебя можно похекать.
| | |
| 3.13, Аноним (-), 08:25, 05/06/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>Чтение информации это трата ресурсов это раз и возможность взлома через уязвимости два
Иди ломай статичные сайты под nginx. Если взломаешь дам 100 рублей (хотел предложить мильон, но у меня его нет).
| | |
| |
| 4.18, пох (?), 09:57, 05/06/2017 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Иди ломай статичные сайты под nginx. Если взломаешь дам 100 рублей (хотел
CVE-2016-4450
CVE-2016-0742
CVE-2014-0133 (remote exec!)
CVE-2014-0088 (никогда не было, и вот, опять!)
где мои сто рублей?
Может, тебя еще и не ддосили никогда?
при этом nginx разрабатывался _изначально_ как сервис, который _будет_ торчать в инет, и который _точно_ будут пытаться ломать. Поэтому подобные проблемы появляются (на публике, сколько молча исправлено - неизвестно) раз в два года. Но владелец "статичного сайта" ведь не будет обновляться, зачем - он же не понимает, как можно поломать "статичный сайт на nginx", поэтому вполне может и дырка 2014го года пригодиться.
А hadoop делали высоколобые специалисты по бигдейта, их проблемы негров вообще не колебли.
| | |
| |
| |
| 6.24, нах (?), 13:47, 05/06/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> А зачем для статики нгинксы всякие?
А почему нет? Конфиг простой, бинарник мелкий, апдейты в дистрибутиве, если повезло с выбором. А что ломается - так любой сервис, торчащий на улицу, рано или поздно ломается (о том и речь).
К тому же статика разная бывает, не только "это хомячок васи пупкина, а что тут нарисовать я еще не придумал, мамка в школу выгоняет". img.какаятохрень.com, для раздачи графической части (большого) сайта - вполне себе статика, с жутким перекошенным лоадом. или там бэкэнд саппорт-даунлодад с большими файлами каких-нибудь прошивок/драйверов, я как вспомню все наши упражнения с thttpd и тройным проксингом (наколенный cdn во времена, когда и слов таких не знали), чтобы оно хоть как-то работало, так блевать тянет. nginx с подобными задачами справляется легко и просто.
Ну и чем гадать, вырастет твоя поделка до стремных размеров или нет, проще поставить то, что заведомо работает и каши не просит.
| | |
|
|
|
|
| 2.10, leap42 (ok), 05:56, 05/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
 те, кто пользовался AWS, например, знают, что трафик может быть немного платным
или много
так задумывалось изначально - платить Амазону килобаксы "чтобы другие читали"?
| | |
| 2.15, пох (?), 09:34, 05/06/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> А почему г-н Мазерли считает что так не задумывалось изначально?
вероятно, потому, что очень навряд ли оно так _задумывалось_ - скорее всего, думать там было не о чем, и некому, apt-get install и галочку в трекере - 'done'.
> В очень многих случаях хранимая информация не представляет вообще никакой секретности.
даже в этих случаях - торчащий голой жопой в интернет бесконтрольный сервис могут a) просто поломать - и использовать для атаки уже на более интересные сервисы на том же хосте или на сдуру-доверяющих этому (у него, часом, нет ли udp-версии протокола?) b) заддосить/уронить или найти в нем multiplication relay и им ддосить кого-то еще (почему нет, среди авторов проекта тоже ни о чем таком "не задумывались") с) накормить гoвном с лопаты (на запись-то, поди, тоже нет ограничения у половины? А, ну да - "выявлены следы шифровальщиков", ога. "Так задумывалось изначально", LOL.)
А главное - вспомнишь ли ты об этом, когда, внезапно, генитальные программисты под руководством эффективных манагеров вздумают поразвлечься сбором личной информации (и предупредят ли они тебя вообще, а не оно-само через систему CI+автовыкладку в прод, а тебе даже уведомление не придет, потому что это девелоперский а не админский трекер?)
| | |
|
| 1.11, Наркоман (?), 05:58, 05/06/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>В итоге было выявлено 4487 серверов, доступных через публичные IP-адреса и отдающих данные без аутентификации.
А список где? На слово верить?
| | |
| |
| 2.16, пох (?), 09:36, 05/06/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А список где? На слово верить?
ну чо, совсем безрукий, чтолe? Возьми и сам себе насканируй, делов-то...
Только зачем тебе четыре тыщи индусских хадупов? (а, ну да, если для ддоса/relay то конечно, больше-лучше. А так-то надо на наличие проверять конкретные цели)
| | |
|
| 1.14, Аноним (-), 08:45, 05/06/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
разве apache hadoop умеет авторизацию по логину и паролю без установки дополнительного софта?
| | |
| |
| 2.17, пох (?), 09:46, 05/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
> разве apache hadoop умеет авторизацию по логину и паролю без установки дополнительного
> софта?
там куда круче - его можно с kerberos собрать.
Но тут я на стороне A.Stahl - нахрен не надо. Все что он там хранит, феерически бесполезно окружающим в большинстве случаев.
А вот хотя бы ip фильтры настроить, чтобы по нему не топтались все со сканером наперевес, или вообще убрать в vpn/приватную сеть - первое, о чем должен подумать вменяемый админ, увидев задачу "установить очередной сервис, слушающий какие-то там порты".
| | |
| |
| 3.27, Нанобот (ok), 09:34, 06/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
 >А вот хотя бы ip фильтры настроить
насколько я помню, у aws по-умолчанию стоит фильтр "всё запрещено" и пользователь должен сам поставить, какие порты в интернет выставлять. так что если оно доступно из интернетов, вероятно, кто-то это сделал (более-менее) сознательно
| | |
|
|
| 1.19, Аноним (-), 10:24, 05/06/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> В итоге было выявлено 4487 серверов, доступных через публичные IP-адреса и отдающих данные без аутентификации. В сумме размер данных, предоставляемых незащищёнными HDFS-серверами, оценен в 5120 терабайт.
Тю... Малышня. Вот у меня на одном кластере до 2-х ПБ было.
| | |
|
