Performance review results

[oshibka_residenta]

Любопытно, а для чего вы такую формулу пользуете?

Формула, конечно, корявая. Не я такое придумал. Идея была поставить в соответствие данным, которые возможно не очень равномерно распределены, 0 или 1 более менее случайным образом, но при этом, повторяемо. Т.е. если мы для id1 выбрали когда-то 1, нужно всегда выбирать 1 для id1.

[Flash-04]

если эти данные не используются для генерации ключей, то тогда пофигу.

[АццкоМото]

Например, они говорят "нельзя md5" использовать для cryptography, а у нaс где-то используется формула md5(id) mod 2. Говорят: security finding, чините. Приходится об'яснять: "вы, что, охренели?" В результате получается только 0 или 1. Что это кому дает?

Вот сцукко этот идиотизм реально выбешивает, когда предположительно образованные люди невдупляют и отказываются включить извилину, но очень строго следуют правилам. Типа каждый раз, как сдаю ссаки на драг тесте слышу от девочек, что смывать низзя, иначе сразу фейл. Каждый раз спрашиваю, а пачиму собсна? Они такие - а вдруг ты с собой чужую мочу принес и остатки смоешь? Ояе! А вдруг я их как принес, так и унесу? Но то девочка, которая долго училась на престижную профессию собирателя ссак, а тут - целый инфосек. Вроде бы умнее должен быть. Ан нет.

[oshibka_residenta]

У меня про инфосеков много историй. И если иногда встречается просто незнание ( к примеру, кто-то из них не знал что в SSL URL шифруется), то в других случаях это просто отсутствие логики и никакого знания не требуется.
Был случай когда один ключ шифруется другим. Есть логичное правило, что нельзя более сильный ключ шифровать более слабым. Инфосеки же пытались запретить шифровать слабый ключ более сильным, что мягко говоря не одно и тоже

[АццкоМото]

И если иногда встречается просто незнание ( к примеру, кто-то из них не знал что в SSL URL шифруется)

Да какая она бабушка, у нее даже детей нет! (ц)

Я невдупляю, как инфосек может этого не знать. Это же прямой "вон из профессии", причем ссаными тряпками

[Flash-04]

и ты прав (с)
если у человека есть сертификация CISSP, то таки обязан знать. А если нет - то как бы и нет. "Инфосек" - это 10 разных доменов, и если человек не на уровне "сеньора", то может и не знать. Особенно если никогда в руках http proxy не держал и логи его не анализировал.

[oshibka_residenta]

и ты прав (с)
если у человека есть сертификация CISSP, то таки обязан знать. А если нет - то как бы и нет. "Инфосек" - это 10 разных доменов, и если человек не на уровне "сеньора", то может и не знать. Особенно если никогда в руках http proxy не держал и логи его не анализировал.

Понятно, что в компании есть инфосеки-спецы, которые в своей области знают в миллион раз больше меня. Но мне от этого не легче, если у них процесс построен так, что условный крестьянин из Бангалора файлит результаты из тула как "security finding" , и мне надо с этим потом разбираться.

[Flash-04]

HSM

[rialtoma1]

ну шо, было у кого недавно?

[Ion Tichy]

Лично у меня на Инфосеков один большой зуб. Надо было зашифровать базу и положить ключ в HSM(Hardware Security Module) . Для того пришлось исписать овердофига отчетов, докладывать этим нехорошим человекам что к чему и как. Чтобы они царственно сказали : одобрям ! Заняло три месяца.

Да, компания из 4 букв. В HSM тоже кладем помаленьку. Но у нас с инфосеками мирный договор - если в новом продукте ничего особо в плане security не поменялось, то они мне верят на слово, что все хорошо. Но периодически их pentest или еще какие тулы чего-то показывает, а они нифига не понимают. Или применяют правила тупо. Например, они говорят "нельзя md5" использовать для cryptography, а у нaс где-то используется формула md5(id) mod 2. Говорят: security finding, чините. Приходится об'яснять: "вы, что, охренели?" В результате получается только 0 или 1. Что это кому дает?

Старый советской анек. Генералу объяснили как работает ЗАС. Генерал офигел: "Вы что, с ума там все посходили?! Половина информации идет в канал в открытом виде а вторая половина легко восстанавливается инвертированием!"