| 1.1, Анонимус_б6_выпуск_3 (?), 10:52, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +31 +/– | |
>Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей
Эпичное заявление на фоне самой новости
| | |
| |
| 2.15, Андрей (??), 11:21, 12/04/2019 [^] [^^] [^^^] [ответить]
| +27 +/– |
И новость подтверждает это: не стал известен ни один пароль в открытом виде, и ни одно зашифрованное сообщение не было расшифровано. То, что был потерян доступ к зашифрованной переписке - да, досадно, и, наверняка, может быть исправлено в будущем. Но в любом случае по соображениям безопасности всем известно, что в случае ЧП лучше потерять самому, чем чтобы досталось другим.
| | |
| 2.22, yoda (?), 11:35, 12/04/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins
Это не сам matrix
| | |
| |
| 3.29, mumu (ok), 12:14, 12/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Да, это лживые заверения его владельцев о том, что они уделяют внимание безопасности. Ставить какие-то там дурацкие патчи безопасности на киртичные серверы - это же так скучно и не по аджайловски
| | |
| |
| 4.37, Аноним (37), 12:39, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Тут любое ружье могло выстрелить.
Выстрелил необновленный дженкинс, но это мог быть и свежий openssl и любая другая новая дыра.
| | |
| |
| 5.110, mumu (ok), 12:49, 13/04/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
т.е. просто забить на сервер, который имеет доступ ко всем репам и не следить за выходящие для него обновления безопасности - это ружьё, которое может свалить фирму "уделяющую большое внимание безопасности"? Ой мамочки... А в следующий раз они скажут "ну ктож знал, что нужно дефолтовые пароли менять на монгу, смотрящую в интернет, это же никак не связано с (нашими) представлениями о безопаности"
| | |
| 5.125, Аноним (125), 11:59, 10/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Тут любое ружье могло выстрелить.
> Выстрелил необновленный дженкинс, но это мог быть и свежий openssl и любая
> другая новая дыра.
Ключевое слово здесь "необновленный".
Одно дело если инфраструктуру взламывают из-за не найденной пока уязвимости,
а другое дело когда наши юные секурити-бойз прощёлкали обновления уже известной дыры,
по моему это достаточно красноречиво говорит о конторе, которая позиционирует себя как разработчик
безопасного софта, и на мой взгляд "это какой-то... позор?!"
| | |
|
| 4.38, yoda (?), 12:40, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Да, это лживые заверения его владельцев о том, что они уделяют внимание
> безопасности. Ставить какие-то там дурацкие патчи безопасности на киртичные серверы -
> это же так скучно и не по аджайловски
Меня больше интересует целостность пакетов, так как у меня свой сервер с отключённой интеграцией.
| | |
| 4.122, rshadow (ok), 11:46, 15/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Логика железная. Разработчик заболел простудой ... вся система подвержена заражению вирусом?!
| | |
|
| 3.36, Адмирал Макйл Роджерс (?), 12:36, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Этот факт не снимает ответственности за произошедшее с людей, ответственных за проект. Дискредитация мессенджера Matrix в глазах людей, представляющих интерес для организации. которую я имею честь возглавлять, привела к тому, что значительные средств, выделенные на этот проект, оказались потрачены впустую. По моему глубокому убеждению все виновные должны понести самое строгое наказане.
| | |
| |
| 4.44, Игнат (?), 13:10, 12/04/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Компании использующие self-hosted решение не пострадали, перебоя в работе не было.
Возможно ответственные за выбор облачного решения облажались.
| | |
| |
| 5.99, Аноним (99), 18:18, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Конечно же, не та, которая материальная. Та, которая по совести, в виде собственной репутации.
| | |
|
|
| 3.124, Аноним (124), 11:47, 10/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
>>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins
> Это не сам matrix
Да, они просто настолько заняты секурностью своего кода, что своевременно накатывать заплатки на инфраструктуру у них времени нет, это победа!
| | |
|
| 2.41, Аноним (41), 13:07, 12/04/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нет абсолютно безопасных систем - не существуют в природе. Да и по ряду объективных причин не могут в принципе.
| | |
|
| 1.2, rioko (?), 10:53, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Welcome to Matrix
An open network for SECURE, decentralized communication.
¯\_(ツ)_/¯
Бывает, чего уж там.
| | |
| |
| 2.33, Ordu (ok), 12:33, 12/04/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Раньше было принято наперегонки кричать "БОЯН" в ответ на попытки шутить шутки, которые всех достали. Но что ни дай в руки хомячкам, они из всего сделают боян, они сделали боян из бояна. И теперь я даже не знаю как реагировать на шутки, которые повторяли так долго, что от них уже тошнит.
| | |
| |
| |
| 4.48, Ordu (ok), 13:24, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Хоронили тёщу, порвали два бояна.
Да, точно. Их там два было. Я и забыл уже.
| | |
|
|
|
| 1.4, fske (?), 10:56, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Так умиляет, когда ломают "безопасников". Нет, ну конечно, сейчас фанаты будут петь песни про плохого админа/разработчика сайта, а так всё вэр и гуд и #вывсёврёте.
| | |
| |
| 2.8, hiveliberty (ok), 11:06, 12/04/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Не читаем до конца?)
> После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins.
Jenkins
| | |
| |
| 3.18, йцук (?), 11:24, 12/04/2019 [^] [^^] [^^^] [ответить]
| +8 +/– |
 > Jenkins
Ага! Который является частью инфраструктуры проекта, может непосредственно влиять на его работоспособность, смотрит голым задом в паблик-сети и за которым никто не следит оставляя там такие дыры. Что долно заставить думать, что к остальным составляющим проекта эта команда относится как-то по-другому?:) </риторический_вопрос>
| | |
|
| 2.10, Аноним (10), 11:10, 12/04/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Взломать можно любого. В современных системах используется столько разного сложного софта, что уязвимости есть в любой системе. Чтобы быть в безопасности надо
1. иметь полностью свой кастомный софт;
2. быть неуловимым Джо;
3. жить в мире, где не существвует систем автоматического нахождения и эксплатации уязвимостей.
Все пункты обязательны. 1 + 3 образуют комбо защиты от червей. 2 защищает от людей. Всем трём не соответствует никто, даже АНБ США.
| | |
| |
| 3.16, Crazy Alex (ok), 11:21, 12/04/2019 [^] [^^] [^^^] [ответить]
| +11 +/– |
 ну да, а мониторить апдейты на софт, который используется и торчит в мир - не надо, зачем же...
| | |
| |
| |
| 5.28, пох (?), 12:01, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
этот принцип прекрасен, но только пока работает стена с автоматическими огнеметами и ров с крокодилами по периметру.
| | |
| 5.82, Crazy Alex (ok), 15:18, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну, теоретически, в древности именно для этого были минорные бранчи, включающие только то, что штатное поведение не меняет никак. Впрочем, админы и тогда не рвались обновляться...
| | |
| |
| 6.93, Аноним (99), 16:20, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
У дженкинса есть LTS, да. Аж месяца два или три поддерживается, не помню уже.
| | |
|
| 5.87, forum reader (?), 15:30, 12/04/2019 [^] [^^] [^^^] [ответить]
| –4 +/– |
По моему опыту, мои системы которые работают по этому принципу не были взломаны ни разу. А вот системы, на которые постоянно накатываются обновления ломают.
Парадокс.
| | |
|
|
|
|
| 1.5, SuomynonA (?), 10:57, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
просто некоторые молчат об инцидентах безопасности, а некоторые нет (трудно молчать с дефейсом)
| | |
| |
| 2.118, хотел спросить (?), 23:42, 13/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
за это полагаются штрафы.. по-крайней мере в Европе или если пострадали европейские резиденты
компания обязана уведомить об утечке, а еще если ругулятор посчитает, что не было предпринято никаких шагов для избежания утечки (короче халатность), то все равно могут штрафа впаять
GDPR ребята ))
| | |
|
| 1.6, SuomynonA (?), 11:00, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
допустим, у меня в матриксе все чаты шифрованные. соответственно, взломщики не получат к ним доступ. а вот у того самого заблокированного мессенджера мало кто пользуется секретными чатиками.
| | |
| 1.9, Аноним (9), 11:08, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Правильно говорят, что matrix поделка хипстеров-смузихлебов. Только тормозят развитие нормальных децентрализованных протоколов типа tox/briar/ring своей морально устаревшей федерацией.
| | |
| |
| 2.50, Shevchuk (ok), 13:34, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А как именно они мешают? Держат тебя всемером, не дают писать код для "нормальных децентрализованных протоколов"?
| | |
| 2.74, Аноним (74), 14:47, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Tox -то нормальный протокол? Он косой, кривой и мертворожденный. Любая попытка его исправить должна начинаться с его переписывания заново
| | |
| |
| 3.119, J.L. (?), 13:21, 14/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > Tox -то нормальный протокол? Он косой, кривой и мертворожденный. Любая попытка его
> исправить должна начинаться с его переписывания заново
и чего не взялись переписывать? я не про авторов, а вообще - не слышно чтот про децентрализированные чатики
| | |
|
|
| 1.11, Анонимс (?), 11:11, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
> Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной милинов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix.
Что нужно сделать, чтобы такого больше никогда не происходило? Существуют ли в природе неуязвимые системы? Или нужно быть неуловимым джо и не высовываться, чтобы твоя система была защищённой от всех взломов.
| | |
| 1.12, VoDA (ok), 11:15, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > которой размещены в том числе незашифрованные сообщения
> Matrix обеспечивает оконечное (end-to-end) шифрование
Это как? О_о
| | |
| |
| 2.17, Андрей (??), 11:24, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Матрикс поддерживает также общение в стиле IRC, XMPP - т.е. публичные group chat, где нет смысла шифровать. Ну, и, конечно, если кто-то общался в личном чатике, но не включил шифрование. Но тут - ССЗБ.
| | |
| |
| 3.23, InuYasha (?), 11:37, 12/04/2019 [^] [^^] [^^^] [ответить]
| +10 +/– |
А зачем там _вообще_ незашифрованные сообщения??
Это как в телеграме что-ли - все думают, что всё супер-шифруется, а оказывается - надо было ещё специальный чат открыть, ага. Из 100% мною опрошенных 100% думало что у них e2e шифрование, а про кнопочку "секрет" никто даже не знал. Здесь так же, что-ли?
В итоге - жаббер с omemo так и остаётся самым лучшим протоколом.
| | |
| |
| 4.25, Андрей (??), 11:47, 12/04/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> А зачем там _вообще_ незашифрованные сообщения??
Потому что есть публичные комнаты, где шифрование не нужно.
> а оказывается - надо было ещё специальный чат открыть, ага
Официальный клиент версии 1.0 ещё не вышел, над проблемой сделать шифрование по-умолчанию продолжают работать. Доверяй, но проверяй. Типа, как сел в машину и поехал, а оказалось, что не пристёгнут. Но как же так, я же ожидал, что когда поверну ключ зажигания - ремень сам защёлкнется. А перед тем, как жать на газ, надо было всего-то навсего провести хотя бы зрительный контроль.
омемо тоже надо включать ручками в гаджиме
| | |
| |
| 5.46, pztrn (?), 13:21, 12/04/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Официальный клиент уже 1.0.7. Это официальный сервер еще до 1.0 не дошел.
| | |
| 5.54, InuYasha (?), 13:46, 12/04/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>>Потому что есть публичные комнаты, где шифрование не нужно.
как это - не нужно?? это весьма странное утверждение. Сродни "пригласил третьего осбеседника, пригласи и товарищмажора".
Я, вот, насчёт омемо не понял - оно работает для чатов или нет. Потому что мультидевайс они запилили - молодцы. А обмен ключами в чате, как я считаю, тоже дело посильное.
| | |
| |
| 6.63, fLegmatik (ok), 14:23, 12/04/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Публичная комната - это не комната, куда кто-то кого-то персонально приглашает, а комната "заходи на огонёк кто хочет, в т.ч. товарищи майоры". В них всем посетителям рады, никого на входе не шмонают на предмет "свой-чужой". Более того, туда через бриджы могут заходить даже пользователи, никогда не слышавшие про матрицу и, соответственно, про её шифрование.
| | |
| 6.64, Аноним (64), 14:25, 12/04/2019 [^] [^^] [^^^] [ответить]
| –4 +/– |
Ну если ты обсуждаешь такие вещи, что приходится товарища майора бояться - твоя проблема, очевидно, не в выбранном мессенджере. А вообще, ещё одно утверждение есть: "Известное одному - секрет, двоим - не секрет, троим - объявление на весь белый свет."
| | |
|
|
| |
| 5.80, J.L. (?), 15:06, 12/04/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> шифрованные чаты в телеграме, во-первых, не синхронизируются между несколькими устройствами одного пользователя
всегда интересовало почему два моих девайса не могут открыть между собой канал (теми же самыми средствами, что и с другими общаются) и поделиться друг с другом моей хисторей (ключи шифрования прилагаются УЖЕ, для указания что это мой девайс)
| | |
| 5.83, Crazy Alex (ok), 15:27, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Это всё от максимализма. Нет никакой проблемы генерировать мастер-ключ из пароля стандартным образом, чтобы он на всех устройствах был один и тот же. И публичный ключ получать при добавлении контакта, сделав его подтверждение по сторонним каналам опциональным. Ну да, надёжность не идеал, но выше, чем тупо гонять открытый текст. А "супер-серкретные" чаты или OMEMO оставить тем, кому оно надо.
То есть не кнопка "Сделать всё безопасно", а "сделать настолько безопасно, насколько возможно без ухудшения user experience". Впрочем, это больше Токсу надо говорить, а то они совсем застряли со своим фанатизмом.
| | |
|
|
|
|
| 1.14, Анонимс (?), 11:18, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Matrix обеспечивает оконечное (end-to-end) шифрование на базе проверенного алгоритма Signal
Помнится, кто-то говорил, что Signal является дырявым, как дуршлаг. Так ли это на самом деле?
| | |
| |
| 2.19, Андрей (??), 11:25, 12/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ни один пароль не стал известен в открытом виде (только хеши). Ни одно зашифрованное сообщение не было расшифровано.
| | |
| |
| 3.35, Ordu (ok), 12:35, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это на самом деле тёмный вопрос. Я не совсем понял, что происходило когда пользователи массово ломанулись менять пароли. Были ли эти попытки перехвачены?
| | |
| |
| 4.51, yoda (?), 13:36, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Их открытая переписка ушла, а шифрованная к паролю учётной записи не имеет никакого отношения, так как шифруется _ключами_ на конкретном устройстве.
| | |
| |
| 5.57, Ordu (ok), 13:49, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
То есть аккаунт потерять можно, но раскрыть переписку -- нет. Это хорошо.
| | |
|
|
|
| |
| 3.67, Аноним (64), 14:29, 12/04/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>Даже Шнайер подтверждал
Ага, а мой друг Васян, допустим, не подтверждал. Факты есть?
| | |
|
|
| 1.20, Аноним (20), 11:29, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это в рамках сливания Ассанджа или слак с хипчатом скинулись и заказали?
| | |
| 1.24, IRASoldier (?), 11:41, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins
А вот это указывает на безблагодатность современного подхода к инфраструктуре разработки и поддержки: слишком много сущностей. Старые добрые FTP + сервер БД - надёжнее.
| | |
| |
| 2.26, Michael Shigorin (ok), 11:50, 12/04/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Скорее всё-таки rsync поверх ssh, но угу, человекопостижимость осталась мало где... (как тут на днях резонно замечали, начиная прям с ядра)
| | |
| |
| 3.85, Crazy Alex (ok), 15:28, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
В принципе да, но хотел бы я видеть человекопостижимый CI, который бы умел хоть что-то.
| | |
|
| |
| 3.79, Andrey Mitrofanov (?), 15:03, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> /me машет табличкой "сарказм"
Не, бро...
Маши-не маши, а у него эта табличка и в нике, и по фейсу пропечатана.
| | |
|
|
| |
| 2.45, НяшМяш (ok), 13:11, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Торчащий в интернет голой жопой приватный женкинс - это сильно. Особенно на фоне того, чей он. Как верить заявлениям "у нас самый безопасный мессенджер" от тех, кто не может элементарно инфраструктуру прикрыть?
| | |
| |
| 3.86, Crazy Alex (ok), 15:29, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Может, там результаты ранов всем показать хотели? Иначе правда непонятно, зачем такое
| | |
| |
| 4.105, анон (?), 00:48, 13/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Хочешь показать, выложи демонстрационный.
Нет, ребята, если разрабы позиционируют себя как защищенные и допускают такие ошибки то диагноз ясен.
| | |
| |
| 5.113, Аноним (112), 20:34, 13/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Если компания не прошла PCI DSS, то все заверения в безопасности чего-либо - профанация.
А теперь дети, как большие эксперты в безопасности, просто обязаны заминусовать этот каммент.
| | |
|
|
|
|
| 1.30, YetAnotherOnanym (ok), 12:16, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > системе непрерывной интеграции Jenkins
Вот объясните мне, замшелому ретрограду, какой смысл в том, чтобы каждый пук срочно-немедленно пихать в продакшон?
| | |
| |
| 2.32, scor (ok), 12:28, 12/04/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
"continuous" -- это не "срочно-немедленно", а "integration" -- это не "пихать в продакшон".:) Смысл в том, чтоб поле очередного мержа в мастер быть уверенным, что оно по-прежнему рабочее. Но так бывает редко, да.:)
| | |
| 2.42, амоним (?), 13:08, 12/04/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
согласен с предыдушим оратором
+ пихать можно, только например из релизной ветки
+ пихать можно, не в продакшон, а в тестовое окружение
+ можно делать сборки (чтобы потом было понятно, на что откатываться, а то не всегда можно reproducible build делать), и пихать вручную
+ можно не пихать, а просто тесты например гонять, и слать письма счастья: "такой вот враг, закомитив все сломал, шлите зондеркоманду"
+++ ну и да, если смузи и микросервисов 100-500 (а то и вообще, прости господи, serverless), то можно это руками пихать многие сутки, и закосячить.
короче можно пихать, а можно не пихать, но если пихать, то очень много вариантов куда )
| | |
| |
| 3.49, нах (?), 13:29, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
пааанимаешь, если бы все кроме пункта 1 выполнялось, сайтик бы ломануть не вышло - пострадала бы только тестовая платформа или промежуточные билды, или вообще сломались бы тесты и народ пополз разбираться.
> короче можно пихать, а можно не пихать, но если пихать, то очень много вариантов куда )
но авторы шматрикса выбрали именно херак-херак и в продашн, а не еще куда.
В чем, что характерно, совершенно они и не одиноки.
| | |
| |
| 4.88, Crazy Alex (ok), 15:35, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Сильно не факт. В смысле, никто ж не мешает, например, сделать джобу "собрать и запихнуть в продакшн", которая бы дёргалась руками, а рядом - "собрать и гонять тесты", которая запускается по коммиту. А если поломать сам CI и получить доступ - то можно и первую запустить...
Да и других сценариев может быть вагон, допустим, запихивание зловреда в текущие билды, которые кто-то из разработчиков у себя запускает, и так далее и тому подобное.
| | |
| |
| 5.95, Аноним (99), 16:25, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> никто ж не мешает, например, сделать джобу "собрать и запихнуть в продакшн", которая бы дёргалась руками, а рядом - "собрать и гонять тесты", которая запускается по коммиту. А если поломать сам CI и получить доступ - то можно и первую запустить...
Больше того, если поломать CI и получить админский доступ — можно и создать первую джобу, если её нет, а можно просто вытащить credentials и дальше уже действовать по старинке, ручками.
| | |
| |
| 6.100, Crazy Alex (ok), 18:26, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну, первую службу получится создать только если с CI на боевой сервер вообще доступ есть. Но да, там вариантов масса. CI вообще имеют свойство собирать в себя море критичной инфы
| | |
|
|
|
|
| 2.71, Аноним (99), 14:36, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> системе непрерывной интеграции Jenkins
> Вот объясните мне, замшелому ретрограду, какой смысл в том, чтобы каждый пук срочно-немедленно пихать в продакшон?
При правильном подходе пихают как раз медленно и поэтапно. А смысл же в том, чтобы срочно-немедленно обнаружить, если очередной пук что-то сломал.
| | |
| 2.81, Андрей (??), 15:18, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чтобы запустить стабильную версию клиента, идут на https://riot.im/app/. А чтобы узнать, пофикшен ли ваш баг 5 минут назад, надо как-то тоже иметь возможность сразу запустить экспериментальную версию, для чего и необходима автоматизированная интеграция. Тогда идут на https://riot.im/develop/.
| | |
|
| 1.31, mumu (ok), 12:18, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей
Это примерно как в рекламе использовать слоган "Наш продукт является продуктом №1". Можно спокойно отвечать за базар, если нет никакой юр. ответственности.
| | |
| |
| 2.40, Аноним (39), 12:59, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
— а он такой, это Неуловимый Джо, что его никто поймать не может?
| | |
| 2.43, Аноним (43), 13:09, 12/04/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> пользователи токса ржут и показывают пальцем на недодецентрализованных!
пользователь токса ржёт и показывает пальцем на недодецентрализованных! Он, вообще, всегда ржёт.
| | |
| 2.52, J.L. (?), 13:37, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> пользователи токса ржут и показывают пальцем на недодецентрализованных!
шифрованные приваты в токсе вообще есть? там вроде плейнтекст же? (хотя не уверен, давно гуглил)
но безсерверная децентрадизация в токсе работает хорошо
//оффтоп
зы: чаты, мультидевайсы, оффлайнсообщения через мультидевайсы/суперноды когда будут?
| | |
| |
| |
| 4.76, J.L. (?), 14:51, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Дык оно же сдлохло!
ну по tox сообщения и файлы ходят с андройда на линукс и винду, и обратно
связь держит весьма неплохо, даже когда на той стороне на мобильнике очень плохой инет
| | |
|
|
|
| 1.53, анон (?), 13:40, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как вообще что-то типа Дженкинса может иметь плоскость атаки через интернет?
Почему все не закрыто через vpn с 2fa?
| | |
| |
| 2.56, scor (ok), 13:49, 12/04/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
<ванга_моде> Они хотели чтоб их вебхуки с гит(хаба|лаба) дергали джобы на дженкинсе, но не придумали (не пытались) как это сделать не выставляя дженкинс голым задом в интернет</ванга_моде>
Ну а вообще да, тенденция современности. Казалось бы очевидные и общеизвестные грабли опять бьют по новым лбам. Будь то дженкинсы в интернетах, монги без аутентификации или тайминг-атаки в WPA3:)))
| | |
| |
| 3.120, user455 (?), 18:14, 14/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> как это сделать не выставляя дженкинс голым задом в интернет
публичные сервисы публикуют список своих подсетей обычно для добавления в белые списки.
| | |
|
|
| 1.58, Дон Ягон (?), 13:52, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
А что, кто-то сомневался в этих школо-хипстерах? Заявлять о том, что печёшься о безопасности не то же самое, что правда уделять ей время.
Очень забавно читать перепись недалёких фанатиков в каментах, старающихся во что бы то ни стало отмыть своих кумиров.
"Эта жи дженкинс, матрикз не дуршлаг"!!1
| | |
| |
| 2.72, Аноним (64), 14:37, 12/04/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Никто не сомневался и в одминах локалхоста, а также их знаниях по настройке инфраструктуры крупного проекта посредством комментов на опеннете.
| | |
| |
| 3.91, Дон Ягон (?), 15:47, 12/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не открывать дженкинс всем и каждому - это, конечно, большая наука, доо.
| | |
|
|
| 1.59, Shevchuk (ok), 14:13, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
> Matrix обеспечивает оконечное (end-to-end) шифрование
Сквозное. Сквозное шифрование.
> на базе проверенного алгоритма Signal
На базе собственного протокола, использующего как _один из элементов_ алгоритм Double Ratchet, являющегося в свою очередь также _частью_ протокола Signal.
| | |
| |
| 2.73, Аноним (64), 14:38, 12/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Там под новостью кнопочка "исправить" есть. Скажи, ты opensource-проектам также помогаешь, как тут?
| | |
| |
| 3.75, Shevchuk (ok), 14:50, 12/04/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
А прочитавшие неверно написанный текст увидят лог изменений? Ой, нет. А комментарий увидят.
А непринятые изменения будут видны в истории пулл реквестов? Ой, нет. А комментарий будет.
Скажи, ты open source проектам так же помогаешь, как тут?
| | |
| |
| 4.98, Аноним (98), 17:33, 12/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
То есть тебе важнее наследить в истории, и неважно чем? Ясно-понятно.
| | |
| |
| 5.111, Shevchuk (ok), 19:18, 13/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
То есть мне важно донести информацию. Но я не гордый, предложенной "кнопочкой" я тоже воспользовался. Видишь результат? Получается, "наследил неважно чем" пока ты, а выбранный мной изначально способ оказался эффективнее.
| | |
|
|
|
|
| 1.97, DFX (ok), 16:37, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >синхронизация истории и состояния клиентов
Каких "клиентов" ? Riot, Хром без меню, и кучки "Hello World" в GUI-форме ?
>поддерживает поиск и неограниченный просмотр истории переписки
Так поддерживает, что by-design разработчики этих клиентов отказываются хранить любую историю локально, ага, превращая весь клиент в browser одной веб-странички.
Пора начать называть Matrix тем, чем он является: IRC с HTML и WebRTC.
| | |
| |
| 2.101, Андрей (??), 19:05, 12/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> разработчики этих клиентов отказываются хранить любую историю локально
Это очень досадно. Мне вообще непонятно, почему нельзя рассматривать историю по UNIX-way как файл. Т.е. чтобы локально хранилась та же база, что и на сервере.
> Пора начать называть Matrix тем, чем он является: IRC с HTML и WebRTC
А причём тут HTML к протоколу Matrix? И разве можно сравнивать IRC с обеспеченной консистенцией истории в Matrix!?
| | |
|
| 1.109, Онаним (?), 09:09, 13/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Девляпсы опять надевляпсили со своим CI?
Вообще современный хайп в сторону девопс - зло. Впрочем, желаю как можно больше таких ситуаций - быстрее придёт понимание.
| | |
| 1.123, Тамара (?), 12:30, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Я ничего в этом не понимаю, но уже почти месяц не могу установить систему Роса. В мой компьютер всё это время - что-то закачивается. Бесконечно! Мне уже страшно. Там есть такие странные фразы, что хочется выбросить компьютер на мусорку. А ведь он новый!
| | |
|
