Подробнее
ni
j i ^1 j i i g -4M '[»)i[»]j ' ] '»)
TTU'n.’rTTVSi
it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,смешные картинки,фото приколы
если ПО работает, не факт что оно продолжит так же работать после обновления которые в маркетинговых целях выкатил манагер руками индусов на аутсорсе....
Так это проблема не ПО, а менеджмента. И, строго говоря, проявляется она не только в ПО.
Вот покупал ты постоянно 'что-то'. Оно было пиздатым, и тебя устраивало.
И тут хуяк, и производитель решил сделать маркетинговое "обновление ассортимента", и твоё что-то заменили на похожее, но говно.
Зы справедливости ради, бывает и наоборот, что в ПО, что нет. Когда обновление или замена годная. Но тут тоже от мозгов менеджмента зависит.
Ну как бы это типичное заблуждение типо "работает - не трогай". Если ты не поддерживаешь софт, он со временем начнет баговать по самым разным причинам, самое простое - это величение обьема данных с которыми это ПО работает и код, в котором это плохо учли.
Не в современных реалиях.. Зачастую из-за частоты обновлений с отсутствующей обратной совместимостью, секьюрити патчей, устареваний используемых протоколов - работающий софт сейчас не означает что он продолжит работать через пол года. И чем дальше прогноз тем все меньше шансов
Нееееет блять.
Юзерам нужны доработки и новые хотелки.
А они нахуй всё сломают.
А фикс только в следующем патче.
А следающий патч мы пропускаем потому что он говно и херит половину функционала.
А новый патч только через полгода и не факт что там ничего не сломано.
Вот пользуешься такой приложением банка, хранишь там свои деньги, может даже инвестиции. А потом вдруг выясняется, что вводя пароль, он не учитывает регистр введённых букв.
Думаю не нужно объяснять, что такой пароль взломать на несколько порядков легче.
А этот скрин можно списать на девочку SMMщицу, но масла в огонь она тоже подлила.
Шторм был знатный. После него вроде как сделали по уму, но сами понимаете степень доверия ко всему остальному коду...
>>Думаю не нужно объяснять, что такой пароль взломать на несколько порядков легче.
Не совсем. Технически для 16 значного пароля количество переборов 2^16 что ~65k. Если каждый вариант вводить раз в минуту, то займет всего ~45 дней (это при условии что 100% знаешь кодовое слово из 16 букв, но не знаешь регистр).
Правда это не повод вводить такую фичу для удобства, безопасность вообще-то должна ориентироватся в сторону усиления, даже незначительного.
Млин, я не про то. На практике пароли никогда не перебирают по принципу "все возможные символы", атака происходит по словарям. Составить словарь с учетом регистра и замены (тот же p@ssw0rd) тех или иных букв довольно легко и раздувает словарь незначительно. Но даже от такого перебора в первую очередь должна быть двухфакторка и счетчик попыток. Могу еще вспомнить про "лошадь батарейка скрепка правильно".
Тем не менее это не оправдывает того идиота, который решил убрать регистро-зависимость в приложении для банка. Тут должно работать правило "чем безопасней, тем лучше" и "пользователь должен быть спокоен".
>Но даже от такого перебора в первую очередь должна быть двухфакторка и счетчик попыток.
Если вы брутите хеш, то счётчик попыток уже не поможет, так как утекла БД.
Долбить логинформы - штука предельно бесполезная, так как вы упрётесь в рейтлимитер.
>Тем не менее это не оправдывает того идиота, который решил убрать регистро-зависимость в приложении для банка.
Длина словаря символы+цифры будет равна для 36(для латинского алфавита)
Скорость в 10 мегахешей, что для современных хешей с солью недостижимо на консумерском оборудовании(вам придётся потратиться на кластер). При 10-символьном пароле уйдёт 11 лет. Объективно если вы не супер важная цель, то никто даже не станет заморачиваться. Тем более в случае увода БД у банка проблемы будут куда более серьёзными.
>>как вы упрётесь в рейтлимитер
дык, я вроде же и написал, что в первую очередь безопасность базируется на пресечении перебора как такового, а не том что понадобится 100 лет или 100500. Да и в целом любая СБ в первую очередь работает с кожаными мешками, а не кодом.
Так а фигли тут разжевывать? Чем больше знаком с ПО, тем больше осознание что практически все программные продукты созданы из говна и палок. Ну и доверие при этом существенно падает.
ну херня, я работал в производстве молочки, соков и мороженного, лучше вообще не знать из чего и в каких условиях это производится. Это же касается и другой кухни, в том числе и настоящей кухни в каких нибудь кофейнях - побывав один раз отбиваешь желание там потчеваться навсегда.
это другое.
В производстве продуктов питания можно провести проверки на сотвествие нормам, по итогам раздать пиздюлей и все исправится. То есть наладить процесс и продукт станет качестенным.
Но в it, программа - это и есть процесс. А продукт - это результат ее работы.
Написание программ это еще более другой процесс. Там есть рекомендации накопленные опытом, но нет проверок от внешних уполномоченных (блядь слово-то какое) органов которые раставят улучшить процесс. Поэтому никто формально не мешает писать гавно.
Есть такая штука, как аудиты. И даже конторы, которые за большие деньги их проводят.
Но это обычно в сферах, где ПО отвечает за ОЧЕНЬ большие деньги.
Но - абсолютному большинству программ профессиональный аудит не грозит.
Работал в пиццерии и наслушался кучу всяких историй про общепиты от коллег, но в то же время, конкретно в той пиццерии была обстановка, где все ответственно относились к своей работе и делали на совесть. Потом какое-то ходил только туда. Потом как-то подзабил. Но вообще, лучше иметь более-менее товарищеские отношения с поваром, который готовит тебе еду, да.
Достаточно несколько месяцев поработать в одном заведении и поддерживать контакты со всеми поварам оттуда. Всё равно они разбредутся по разным заведениям и у тебя будет выбор, к кому из них ходить.
Поработав немного в промышленной разработке (в смысле за деньги, а не для души), начинаешь понимать, что все крупные программные системы работают чудом и вопреки здравому смыслу. А чем сложнее и опаснее штука, например томограф или самолёт, тем больше там обычно кода.
Дык львиная доля кода в системах повышенной опасности это тесты. Кода который что-то делает столько же, если не меньше чем в этих ваших сингл пейдж приложениях.
Может, просто на моей практике это были по большей части просто кучей ui которая обращается к апи. Никаких фотошопов на канвасе, редакторов шейдеров или чего-то подобного. А так просто первое что пришло в голову, в принципе соглашусь что пример не самый удачный.
Фотошоп собирает твои персональные данные и майнит крипту на твоем компе. Шутка.
Данный пост просто шутка, не бери близко к сердцу. Если ты строитель, ты же не будешь жить на улице, верно? Но точно не будешь жить в доме который строился твоей бригадой.
> Но точно не будешь жить в доме который строился твоей бригадой.
Чел, у которого я квартиру покупал, этот самый дом и строил.
И что характерно живёт в нем со своей семьёй уже с десяток лет
Вот представь себя летящим на самолете, софт к которому написали индусы с пониманием того как работает этот самолет на уровне среднестатистического жителя нашей планеты.
А теперь погугли "Boeing 737 MAX groundings"
Допустим CloudFlare (та штука, которая проксирует Твиттер и ещё пол интернета), чем дольше я с ним работаю, тем больше всяких багов я на нём видел. Недавно у нас был баг, который может вылезти с вероятностью меньше 0,0001%, но он сука вылез и уронил прод на пару часов, пока мы это говно фиксили. И судя по форумам, этому багу уже много лет, но его просто не чинят на стороне самого CF. Про всякие мелкие баги, которые выскакивают настолько часто, что у нас в рабочую инструкцию прописано обязательно проверить (и быстрофикснуть), не выскочил ли такой, такой или такой баг на таком-то этапе рабочего процесса.
В итоге моё отношение к этой CDN перешло от "Вау, это супер-мощный и супер-надёжный инструмент, поднимающий аптайм и стабильность сайтов с кучей функционала, о котором я ещё не всё знаю" к отношению "Блин, надо запилить фичу X, а функицонал CF для этой фичи не поддерживает регэкспы и надо будет придумывать какие-то костыли для решения вопроса", или "Я сейчас еду к стоматологу, лишь бы в ближайшие два часа не обвалился прод из-за каких-то сверхредких и неожиданных багов".
Довольно много людей используют антивирус Norton. Пользуются и всем довольны. А заглянув под капот можно узнать, что он майнит на машинах пользователей.
Играешь в соулс, включаешь мультиплеер, играешь и всем доволен. Но в то же время есть риск, что злоумышленник подключится к твоему компу и начнёт хозяйничать на нём, устанавливать всякий вредоносный софт, прикола ради удалять важные файлы и т.д. И всё без ведома игрока.
Типичная манипуляция, потому что именно химики понимают что к чему, насколько это токсично и как произведено. Особенно последнее, потому что химик знает, что между теоретическим "такая же формула" и промышленным производством разница как между... Огромная.
с программным обеспечением все так же. просто не надо сравнивать теорию и практику. "чем больше вы знаете биологию, как производят колбасу, тем больше вы ее боитесь"
Отличный комментарий!