ну да зря... учитывая что я имею с ней дело. На фоне небольшого количества реальных проблем - огромное количество параноидальных. Вроде выключения TLS v.1.0 на сервисе который УЖЕ работает поверх IPSEC, или убирания SSLv3 из бразеров (после чего приходится заводить кучу виртуалок с Win2K0 чтобы работать с оборудованиеем, или вообще переходить на http - в нескольких местах пришлось перейти). При том что я еще не видел ни одного хакера, который сумел бы реально использовать слабости SSLv3 в реальной публичной сети (не говорим уж об интранетах, в которых это из области ненаучной фантастики). При том новые апдейты приносят дырок не меньше, чем их заклеивают, и больше всего дыр как раз в самых последних версиях всего и вся... (Примеры - именованные пайпы в SMB которые никому нахрен не нужны но которые всунули в новые версии и включили там, внеся тем самым хорошие яркие дырки).
Скиллзы на свалку истории
-
- Уже с Приветом
- Posts: 37986
- Joined: 14 Dec 2006 20:13
- Location: USA
Re: Скиллзы на свалку истории
-
- Уже с Приветом
- Posts: 1355
- Joined: 07 Jul 2012 04:07
Re: Скиллзы на свалку истории
Я в андроидах чайник, но вот перешил телефон с 5 на 6 версию Андроида (хотя теперь и это уже старьё?), прошивка с сайта производителя, и что я вижу:
- батарею жрет на глазах
- разблокировывать экран стало очень неудобно, слишком маленькая чувствительная зона внизу экрана, причем в половине случаев камера вызывается
- скайп под обновленную версию полное говно, жутко тормозит, входящий звонок "визуализирует" буквально десятки секунд (по экрану идут полосатые волны - ого, кто-то звонит, потом секунд через 10-20 раздается сам звонок), не показывает статус в сети, если случайно вышел из экрана приложения, вернуться обратно очень хлопотно...
Есть и плюсы, избирательный доступ к ресурсам для приложений там, но в целом я не особо счастлив, прогресса в ПО не вижу.
- батарею жрет на глазах
- разблокировывать экран стало очень неудобно, слишком маленькая чувствительная зона внизу экрана, причем в половине случаев камера вызывается
- скайп под обновленную версию полное говно, жутко тормозит, входящий звонок "визуализирует" буквально десятки секунд (по экрану идут полосатые волны - ого, кто-то звонит, потом секунд через 10-20 раздается сам звонок), не показывает статус в сети, если случайно вышел из экрана приложения, вернуться обратно очень хлопотно...
Есть и плюсы, избирательный доступ к ресурсам для приложений там, но в целом я не особо счастлив, прогресса в ПО не вижу.
-
- Уже с Приветом
- Posts: 4205
- Joined: 10 Jan 2004 01:22
- Location: n-sk -> MD -> VA
Re: Скиллзы на свалку истории
У Вас наверное андроид с алибабы за 20 баксов.
-
- Уже с Приветом
- Posts: 15302
- Joined: 30 Apr 2003 16:43
Re: Скиллзы на свалку истории
На прошлой неделе настраивали FTPS: мой мэйнфрэйм (по их замыслу) FTP клиент, а Wintel - FTP сервер. Дали мне self-signed certificate с Wintel-a, установил - работает . Замечаю что сертификат этот на один год, делюсь идеей что чтобы через год, когда мы про это забудем , не попасться лучше бы сделать сразу продвинутую дату вперед (на тогда когда мэйнфрэйма, и меня , уже на фирме не будет ). Парень со стороны Wintel говорит что не может сделать больше чем на год - это так по умолчанию и все тут .
Предлагаю два варианта : 1. если он может дать мне CA certificate, которым был подписан его сертифицат, то бы смог сделать "certificate renew" (на мэйнфрэйм, в RACF)с продвинутой датой. 2. Я генерирую цертифицате в RACF с продвинутой датой и его устанавливаем на Wintel сторону. Прошел варинат # 2. RACF рулит .
-
- Уже с Приветом
- Posts: 11999
- Joined: 08 Sep 2006 20:07
- Location: Силиконка
Re: Скиллзы на свалку истории
Вот это люди: и ftp настроят, и мамонта, бывало, голыми руками завалят!
Мир Украине. Свободу России.
-
- Уже с Приветом
- Posts: 15302
- Joined: 30 Apr 2003 16:43
Re: Скиллзы на свалку истории
До недавнего наши Wintel парни были упертые на sft. Хотя я давно рекомендовал FTPS. Но что-то случилось (видимо сменился ответственный) и вдруг они запросили FTPS. К сожалению мне приходится следовать их капризам.M. Ridcully wrote: ↑12 Dec 2017 15:59Вот это люди: и ftp настроят, и мамонта, бывало, голыми руками завалят!
Last edited by zVlad on 12 Dec 2017 17:02, edited 1 time in total.
-
- Уже с Приветом
- Posts: 4435
- Joined: 13 Feb 2002 10:01
- Location: Bay Area
Re: Скиллзы на свалку истории
Без страховки можно долго ходить, но ведь никогда не знаешь когда что-то случится. Мне, правда, не 35, но и не 55. Почувствовал что что-то не так, пошел к врачам. В результате операция и счёт от госпиталя ( операцию делали в Стенфорде) на больше миллиона. У меня, к счастью страховка была. у вашего бизнесмена миллион наличными в запасе ?nyekimov wrote: ↑11 Dec 2017 17:53Вот это самая отвратительная часть касательно реалий Америки. То есть платятся большие налоги и ноль медицины. Есть отдельно механизмы страхования. Вы платите за свой риск заболеть.
Да и что заболеть, при болезни думаешь - а я достаточно болен, чтобы просто сходить к врачу. Или подождать. Может итак пройдет. Вот это вот добивает ) Ну и факт в том, что уже премиум за страховку сравним с ипотекой, пожизненной такой ипотекой, можешь конечно пойти на риск и брать план попроще, где по факту надо будет платить больше. Но это ли цивилизация? ))
Кстати тут выше писали, что ходить без страховки экстрим, друг бизнесмен, все за свой счет и на паблик маркете такие планы, типо 20к на семью и 13к дедактбл, как я писал уже. Так надо ли говорить, что он посчитал разуменее быть без страховки на взрослых и если что платить из кармана кеш по факту, так как 13 к дедактбл обязывает делать ровно то же самое. Возраст около 35 к врачам по сути не обращается.
-
- Уже с Приветом
- Posts: 2749
- Joined: 11 Jul 2015 19:01
- Location: Chicago
Re: Скиллзы на свалку истории
Вы действительно думаете, что он будет это платить? Покажет свои доходы, как раз таки отсутствие миллиона на счетах больше в плюс, точно цену занизят или даже спишут. Хотя вполне могут занизить на какуе то сумму, какую придется долго платить. Этим то дела и плохи, потому что когда не болеешь, не понимаешь, за что платить сотни-тысячи в месяц. Пожара может и не быть.oshibka_residenta wrote: ↑12 Dec 2017 16:51 Без страховки можно долго ходить, но ведь никогда не знаешь когда что-то случится. Мне, правда, не 35, но и не 55. Почувствовал что что-то не так, пошел к врачам. В результате операция и счёт от госпиталя ( операцию делали в Стенфорде) на больше миллиона. У меня, к счастью страховка была. у вашего бизнесмена миллион наличными в запасе ?
-
- Уже с Приветом
- Posts: 4205
- Joined: 10 Jan 2004 01:22
- Location: n-sk -> MD -> VA
Re: Скиллзы на свалку истории
наиболее вероятным итогом случится банкротство.
спишут? ах ха ха!
спишут? ах ха ха!
-
- Уже с Приветом
- Posts: 63377
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Скиллзы на свалку истории
У вас в компании такое понятие как exception отсутствует? Подписывается у кого-надо (уровня VP) что у такой хрени таки надо SSLv2 так как она критична для бизнеса. Параллельно определяются сроки на поиск более нового решения. Усё.StrangerR wrote:ну да зря... учитывая что я имею с ней дело. На фоне небольшого количества реальных проблем - огромное количество параноидальных. Вроде выключения TLS v.1.0 на сервисе который УЖЕ работает поверх IPSEC, или убирания SSLv3 из бразеров (после чего приходится заводить кучу виртуалок с Win2K0 чтобы работать с оборудованиеем
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 37986
- Joined: 14 Dec 2006 20:13
- Location: USA
Re: Скиллзы на свалку истории
ЧТо такое sft, я не понял, и каким боком там сертификат - это SFTP или что? Так в SFTP не обязательно с сертификатами трахаться.zVlad wrote: ↑12 Dec 2017 16:04До недавнего наши Wintel парни были упертые на sft. Хотя я давно рекомендовал FTPS. Но что-то случилось (видимо сменился ответственный) и вдруг они запросили FTPS. К сожалению мне приходится следовать их капризам.M. Ridcully wrote: ↑12 Dec 2017 15:59Вот это люди: и ftp настроят, и мамонта, бывало, голыми руками завалят!
Про 1 год и прочее.. я вот не хочу на 3 года ставить, по простой причине - через 3 года все забудут, как его обновлять. Надо или на 1 год или лет на 50. У Оракла есть знаменитые грабли - там часть сертификатов встроенных протухают через 6 лет, поэтому история _прилада счастливо работает лет 5, все уже и саппорт то сняли, и тут она насмерть и навсегда встает_ - бывает и не очень редко.
Да, а если FTPS это то что я подумал, то хуже протокола еще в истори человечества не придумали. Не надо его ставить.
-
- Уже с Приветом
- Posts: 37986
- Joined: 14 Dec 2006 20:13
- Location: USA
Re: Скиллзы на свалку истории
Блин, присутствует естественно, и я сам полиси писал. Проблема не в этом. Эти SSLv2 там где они есть никаким полисям и аудитам не мешают. А мешают ИМ паранойики от гуглов и прочих которые норовят выключить поддержку протокола насмерть, после чего приходится ставить VM-ки со старыми как говно мамонта ОС (слава богу, ниже чем Win2000 идти не пришлось, а то я было боялся что еще и Windows ME придется из могилы вырыть и ставить) или вообще выключать шифрование нахрен (там где оно хоть какое то было бы вполне себе кстати).Flash-04 wrote: ↑12 Dec 2017 23:28У вас в компании такое понятие как exception отсутствует? Подписывается у кого-надо (уровня VP) что у такой хрени таки надо SSLv2 так как она критична для бизнеса. Параллельно определяются сроки на поиск более нового решения. Усё.StrangerR wrote:ну да зря... учитывая что я имею с ней дело. На фоне небольшого количества реальных проблем - огромное количество параноидальных. Вроде выключения TLS v.1.0 на сервисе который УЖЕ работает поверх IPSEC, или убирания SSLv3 из бразеров (после чего приходится заводить кучу виртуалок с Win2K0 чтобы работать с оборудованиеем
А +нужно или нет+ решаем мы командой на ревью эксепшенов. Никакой VP такие вещи подписывать не должен потому что у него экспертизы нет. Но один из участников ревью как раз VP тоже в должности имеет, так что тут одно другому тут не мешает.
-
- Уже с Приветом
- Posts: 63377
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Скиллзы на свалку истории
У вас не должен, а у нас подписывает именно VP.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 4185
- Joined: 27 Apr 2011 03:43
- Location: Сергели ->Chicago
Re: Скиллзы на свалку истории
не следует недооценивать изворотливасть американского бизнесмена, особенно у которого имеется миллион кэшем.oshibka_residenta wrote: ↑12 Dec 2017 16:51 В результате операция и счёт от госпиталя ( операцию делали в Стенфорде) на больше миллиона. У меня, к счастью страховка была. у вашего бизнесмена миллион наличными в запасе ?
-
- Уже с Приветом
- Posts: 37986
- Joined: 14 Dec 2006 20:13
- Location: USA
Re: Скиллзы на свалку истории
А у нас лидер по секьюрити который сейчас и VP но это не обязательно. Я насмотрелся на кастомеров у которых _только VP_ - чем выше подписанты тем ниже качество, зависимость абсолютная. У нас идет ревью раз в квартал (я написал автоматический репорт по правилам) причем раз в квартал ревью изменений а раз в год - ревью всего бейзлайна. И на нем определяются експепшены. Они подписываются формально CISO но по сути именно комитетом который делает ревью.
Но там дело не в этом. Это все проходит без проблем, если две железки на 1 свитче и никого посередине то мне вообще плевать на уровень секьюрити между ними, все одно никто не влезет, это все кушают включая и аудти. Но вот вечные _улучшения интерфейсов и секьюрити_ от Гугла и Файрефокса задолбали конкретно. Я уж не говорю о том что они сломали все жава аппликейшены и приходится держать зоопарк жав и виртуалок на которых насмерть выключены все апдейты навсегда, так еще и никогда не знаешь, что завтра сломается потому что _улучшили_. Я выключил секьюрити вообще в нескольких местах, потому что невозможно было обеспечить его работу (одно место правда выкинул наконец то, почти целый рак барахла выкидывем .) но это лишь одно место. Ну и новые фичи всегда идут с новыми дырками, это уже просто закон природы (причем фичи не особо нужны, так ведь включены по умолчанию всегда. То какая то фигня в EXIM то пресловутые именованные пайпы в самбе, какой идиот их там включил по умолчанию - оторвать бы ему все между ног! - то еще что. С соображением - _ну мы же должны показывать свою нужность, вот и кропаем... _
-
- Уже с Приветом
- Posts: 15302
- Joined: 30 Apr 2003 16:43
Re: Скиллзы на свалку истории
Конечно sftp. Sorry.StrangerR wrote: ↑13 Dec 2017 01:20ЧТо такое sft, я не понял, и каким боком там сертификат - это SFTP или что? Так в SFTP не обязательно с сертификатами трахаться.zVlad wrote: ↑12 Dec 2017 16:04До недавнего наши Wintel парни были упертые на sft. Хотя я давно рекомендовал FTPS. Но что-то случилось (видимо сменился ответственный) и вдруг они запросили FTPS. К сожалению мне приходится следовать их капризам.M. Ridcully wrote: ↑12 Dec 2017 15:59Вот это люди: и ftp настроят, и мамонта, бывало, голыми руками завалят!
Про 1 год и прочее.. я вот не хочу на 3 года ставить, по простой причине - через 3 года все забудут, как его обновлять. Надо или на 1 год или лет на 50. У Оракла есть знаменитые грабли - там часть сертификатов встроенных протухают через 6 лет, поэтому история _прилада счастливо работает лет 5, все уже и саппорт то сняли, и тут она насмерть и навсегда встает_ - бывает и не очень редко.
Да, а если FTPS это то что я подумал, то хуже протокола еще в истори человечества не придумали. Не надо его ставить.
Про сертификаты, Вы похоже своими ручками этого не касались. За сроками протухания сертификатов достаточно просто следить, если есть соответствующая функция, которой нынче не может не быть.
В sftp можно и без сертификатов, но суть с/без сертификатов одна: пара публик/прайвет ключей. Known servers файл просто несет эту пару без, например, учета срока действия ключей и других атрибутов.
Flash-04, поправь меня если я что-то не так излагаю. Давно было когда я это настраивал.
Что sftp, что FTPS это одна малина - передача файлов в зашифрованном виде. FTPS ближе к unsecured, classic ftp, кроме того sftp использует для серьюрити ssh. В z/OS кроме того sftp не работаeт с наборами данных, а только с файлами в Unix file systems. Т.е. требуется дополнительное копирование/конвертация наборов данных в/из файлов Юникс, если цель работать с ними. У нас именно такой случай и много проблем с этим возникает у наших програмистов, которые никак не могут освоиться и с тем и с другим. Главным образом проблема в том что access bytes то и дело уползают куда-то, или ownership меняется. Такова природа контроля доступа к Юникс файлами и конечно наши програмисты не рут- и не супер-юзера.
-
- Уже с Приветом
- Posts: 37986
- Joined: 14 Dec 2006 20:13
- Location: USA
Re: Скиллзы на свалку истории
FTPS это FTP с наложенными на соединения SSL шифрованиями. После чего, так как там остался весь беспредел FTP с динамическими портами, эта чуда через файреволлы не пролазит, так как они не могут понять, какие ей порты нужны. После чего начинаются извраты разных уровней.
SFTP это ftp поверх старого доброго ssh. Просто конфигурится, использует 1 порт, и надежет как бегемот в болоте. Аутентификацию там можно делать разными способами.
(У меня просто сделаны имейджы у которых два IP, на одном ssh на другом sftp - тот же ssh но ограниченный. Наружу транслируется только второй естественно. И там естественно chroot включен на логинах. Надежно и просто. Но мы там сертификаты не юзаем, нет такой нужды. А с управлением сертификатами ... автоматика автоматикой, а вот подите поменяйте сертификат на виндовом SSTP ras сервере в варианте когда он стоит без IIS, а я посмотрю... /автомат прикрутить пришлось, строк в 40 на PS1/)
SFTP это ftp поверх старого доброго ssh. Просто конфигурится, использует 1 порт, и надежет как бегемот в болоте. Аутентификацию там можно делать разными способами.
(У меня просто сделаны имейджы у которых два IP, на одном ssh на другом sftp - тот же ssh но ограниченный. Наружу транслируется только второй естественно. И там естественно chroot включен на логинах. Надежно и просто. Но мы там сертификаты не юзаем, нет такой нужды. А с управлением сертификатами ... автоматика автоматикой, а вот подите поменяйте сертификат на виндовом SSTP ras сервере в варианте когда он стоит без IIS, а я посмотрю... /автомат прикрутить пришлось, строк в 40 на PS1/)
-
- Уже с Приветом
- Posts: 15302
- Joined: 30 Apr 2003 16:43
Re: Скиллзы на свалку истории
Несколько лет назад IBM перевел свою службу раздачи патчей и upgrade на FTPS (есть и другие секьюр варианты: HTTPS, и что-то с Java. sftp не входит в список IBM-ских опций). Я использую FTPS. С файрволл были проблемы, но тогда наши сетевики переходили к другому вендору и после перехода проблема изчезла.StrangerR wrote: ↑13 Dec 2017 18:34 FTPS это FTP с наложенными на соединения SSL шифрованиями. После чего, так как там остался весь беспредел FTP с динамическими портами, эта чуда через файреволлы не пролазит, так как они не могут понять, какие ей порты нужны. После чего начинаются извраты разных уровней.
SFTP это ftp поверх старого доброго ssh. Просто конфигурится, использует 1 порт, и надежет как бегемот в болоте. Аутентификацию там можно делать разными способами.
(У меня просто сделаны имейджы у которых два IP, на одном ssh на другом sftp - тот же ssh но ограниченный. Наружу транслируется только второй естественно. И там естественно chroot включен на логинах. Надежно и просто. Но мы там сертификаты не юзаем, нет такой нужды. А с управлением сертификатами ... автоматика автоматикой, а вот подите поменяйте сертификат на виндовом SSTP ras сервере в варианте когда он стоит без IIS, а я посмотрю... /автомат прикрутить пришлось, строк в 40 на PS1/)
Внутри нашей сети проблем с FTPS нет. Вот и Wintel-овцы неожидано повернулись лицом к этому варианту. Мне, лично, без разницы FTPS или sftp. У меня есть и то и другое, и я готов удовлетворить любые запросы на безопоасное копирование между серверами извне. SSH в z/OS может работать не только с key files (используя SSH команду ssh-keygen), но и с сертификатами тоже (иными словами хранить и извлекать ключи из сертификатов со всеми преимуществами использования сертификатов в сравнении с хранением ключей в файлax). А имея RACF работа с сертификатами обеспечивается полностью.
-
- Уже с Приветом
- Posts: 63377
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Скиллзы на свалку истории
ну вот StrangeR уже всё обьяснил. FTPS - гадость ещё та, так же как NFS для segregated network. SFTP - проще и лучшее. Открыл 22 порт, поднял SSH и всё работает. Мне как-то приходлось настраивать FTPS на security appliances. Матов было высказано много и разных
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 15302
- Joined: 30 Apr 2003 16:43
Re: Скиллзы на свалку истории
Если с FTPS все так плохо то почему его используют?
Я, повторю, настраивал FTPS без матов, а вот с sftp мне доводилось отвечать на call с озера, со стаканам водки в руках. Они там что-то на сервере поменяли и идентификация по known servers перестала работать, на продакшн. Меняли они несколько раз, не извещая меня ни разу заранее.
Для меня, повторю, и то и другое одинаково хорошо и плохо одновременно. Sftp выглядит продуктом любительского подхода, не профессионального. FTPS выглядит более профессионально сформированным, хотя мне известны и лучшие решения проблемы переноса данных между серверами. А вот когда any-ftp используются для обмена данными из БД я херею не подетски и спрашиваю а что мешает сделать удаленный запрос непосредственно в БД.
-
- Уже с Приветом
- Posts: 63377
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Скиллзы на свалку истории
С FTPS проблема в том, что он хочет открыть обратное соединение, причём по умолчанию по неизвестному заранее порту. В моем случае это безобразие удалось победить только потому, что в конкретной реализации Apache FTP сервер, можно было ограничить диапазон портов для такого общения, и я смог получить одобрение правила для firewall. А то наши ревьюверы как то не любят слово any. С NFS та же фигня, но его тоже "почему-то используют".
Кстати с Apache FTP выползли ещё грабли, но это другая история.
Кстати с Apache FTP выползли ещё грабли, но это другая история.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 63377
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Скиллзы на свалку истории
Не очень понятно, что за проблема с SFTP. Всё работает поверх SSH, один раз настроили с private key, fire and forget.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 37986
- Joined: 14 Dec 2006 20:13
- Location: USA
Re: Скиллзы на свалку истории
FTPS вообще нельзя настроить по человечески. Файреволлу надо видеть управляюещие команды чтобы открывать каналы, а команды зашифрованы. А главное, ну на фига козе баян, когда есть и sftp и https.
(Я сделал просто - имейдж для sftpd, в котором два адреса, на одном sshd на другом sftpd который тот же sshd но с другой конфигурацией в которой обрезаны все группы кроме sftp и все сервисы кроме sftpd, ну и chroot туда же добавлен. После чего мы спокойно выставляем второй адрес наружу, проверяем не забыли ли чего, ну и все - все работает. Запросы на FTPS посылаются лесом сразу и навсегда... никто из леса еще не вернулся...)
-
- Уже с Приветом
- Posts: 15302
- Joined: 30 Apr 2003 16:43
Re: Скиллзы на свалку истории
Я уже назвал две проблемы выше. Одна из них строго говоря это проблема Юникс с ихними байтами доступа, которые меняться могут. Вторая стем что sftp не работает с наборами данных.
Ну и третья стем что основной метод хранения ключей это хранение в файлах. Это уже скорее проблема не-мэйнфрэйм применения sftp, потому что в z/OS sftp таки может использовать ключи в сертификатах, используя key rings.
Но вот беда, другая сторона - Wintel - у нас капризная и даже ключи из файлов использовать не захотела и мы работаем через known servers (полагаю не надо пояснять что это такое). А это значит что после каких-нибудь изменений на серваках процесс "узнавания" сервера надо повторять вручную.
А так, и я уже тоже говорил, у меня нет никаких проблем ни с ftps, ни с sftp.