• Должен ли back-end разработчик уметь верстать?

    @nirvimel
    А еще вы должны подметать и мыть пол на своем рабочем месте, если вы живете один, работаете дома и в одиночку беретесь решать все проблемы заказчика от удаленной настройки его операционки и браузера до смены цветовой палитры (уже запущенного!) сайта под цвет ногтей его подруги.

    Если же вы являетесь редким специалистом в своем узком секторе рынка труда, то спрос на вас со стороны работодателей/заказчиков будет стабильно высоким, вы сами сможете диктовать им свои условия (в рамках разумного), и ни одному менеджеру/директору в здравом уме не придет в голову тратить время такого специалиста (а значит - свои деньги) на то, что способен сделать любой из миллиона индусов.
    Ответ написан
    Комментировать
  • С чего начать в Тестировании и как получить полезный опыт?

    @azShoo
    Устройтесь работать.
    Это самый правильный способ.

    Продолжать развиваться в тестировании всегда есть куда, а для того, что бы устроиться джуниор тестировщиком - знаний нужно минимальное количество. Думаю проштудированных вами книг и общей адекватности более чем достаточно.
    Ответ написан
    Комментировать
  • Какие требования к безопасности ПО в крупных гос учреждениях?

    @Adgh
    По крупному:

    Приказ ФСТЭК России от 11.02.2013 N 17
    "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

    Приказ ФСТЭК России от 18.02.2013 N 21
    "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

    Постановление Правительства РФ от 06.07.2015 N 676
    "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"

    Разработка ПО для госзаказчиков должна производится на основании ТЗ, а приниматься ПО должно на основании ПМИ. Требования, непрописанные в ТЗ являются необоснованными и на них логично "забивать")

    По своему опыту ещё требуют поддержку ГОСТовых алгоритмов шифрования взамен забугорных
    Ответ написан
    Комментировать
  • Ребят а можно ли вытищить сертификат с чужого сайта и поставть его себе на сайт?

    Сначала администратором сайта создается ключевая пара : секретный закрытый ключ (которым сервер будет "подписывать" отправляемые в интернет страницы) и общедоступный открытый ключ (которым будут пользоваться все для проверки этих страниц). (На самом деле чуть сложнее). Вторым действие администратор сайта отправляет открытый ключ в один из удостоверяющих центров, те (разными способами) проводят проверки того факта, что отправитель действительно является администратором того домена, на который он хочет выпустить сертификат и если все ОК, то выпускают сертификат (сертификат - это открытый ключ сайта, подписанный электронной подписью УЦ).

    Теперь по Вашим вопросам:
    Можно ли вытащить сертификат с чужого сайта и поставить его себе на сайт?
    Сертификат и так общедоступен. Вашей целью на самом деле является "вытащить закрытый ключ", чтобы Ваш сайт мог подписывать запросы от имени того сайта. Если администратор в ладах с головой, то доступ к закрытому ключу Вы не получите.

    Однако ! Если Вы имеете возможность добавлять сертификаты в список доверенных на машине клиента, то ничего Вам не мешает добавить туда собственный корневой самоподписанный сертификат, а затем выпустить свой на имя того домена, который хотите перехватить. Например, можно почитать как это делает squid - ключевое слово для поиска "ssl bump".

    Чего именно выдается сертификат ? домену или ип адрессу ? или там вообще по другому все ?
    Домену + (более дорогие) огранизации, подтверждая дополнительно тот факт, что организация владеет этим доменом.
    Ответ написан
    2 комментария
  • Что мой провайдер знает обо мне?

    @nirvimel
    Когда я захожу на определенный сайт, провайдер видит URL?

    Да.

    А если я захожу на https?

    Известен IP сервера и имя домена. Больше ничего.

    Откуда провайдер узнает, что я скачиваю определенный фильм/программу через torrent?

    Торрент-клиент общается с трекером по HTTP. Все видно насквозь: конкретные торренты + вся статистика (когда начато скачивание, когда закончено, когда пошла раздача, сколько роздано). Возможно подключение к трекеру и по HTTPS, но rutracker.org такой возможности не дает (мне тоже интересно почему).

    Все пакеты которые я получаю и раздаю значит провайдер скачивает себе, чтобы узнать что это за фильм/программа?

    Провайдер не хранит у себя весь трафик. Это технически невозможно. Но трафик обрабатывается, классифицируется и ведутся логи о том какой тип трафика когда входил/уходил от абонента.

    Или он отслеживает факт скачивания .torrent файла, а затем делает вывод по идущим пакетам, что это скачивается?

    В основном отслеживаются коммуникации между торрент-клиентом и трекером (там все самое интересное). Коммуникации между пирами требуют значительных мощностей для расшифровки, поэтому логгируется только факт коммуникации с определенным пиром, но не содержимое.

    Когда я пользуюсь VPN, что видит провайдер?

    Видит шифрованный траффик на конкретный IP. По IP можно узнать, что этот диапазон продается под VPSы. Сам факт шифрованного трафика вешает абонента в списки тех, "кому есть что скрывать", а значит подозреваемых при любом розыске.

    Что я зашел на определенный IP и с него идут зашифрованные потоки?

    Дальнейшее направление трафика от VPN-сервера отследить невозможно (по крайней мере, на оборудовании провайдера в автоматическом режиме). Но при целенаправленной слежке за абонентом в принципе возможно по временным меткам сопоставить трафик абонента с трафиком любого сервера.

    OpenVPN будет работать через VPN IP и в браузере и при обновлении Windows, драйверов, ...?

    В зависимости от настройки. Но в общем случае, да, так.

    Читал, что в Windows есть такая особенность, что если провайдер как-то урезает пакет, то VPN отключается и сайту показывается мой реальный IP?

    Это не связанно с провайдером. Это особенность Windows. Когда VPN отваливается, весь трафик вылетает наружу в открытом виде. Опять же зависит от настроек. Но это еще одна цена "удобства" при использовании Windows.

    При этом провайдер видит на каком я сайте, что скачиваю?

    VPN отвалился - хацкер спалился.

    Таких фишек много?

    Смотря о чем речь. В сфере сетевой безопасности и анонимности различных нюансов вообще много.

    Как от них защитится?

    Учить мат.часть. Разбираться в сетевых протоколах и в устройстве ОС.

    Если пользуюсь каким-то расширением типа ZenMate, dotvpn, провайдер аналогично как и с VPN видит что что-то отправляется и приходит на определенный VPN IP?

    Расширения очень разные. Они могут базироваться на совершенно разных технологиях. Ни один специалист вам не скажет за все расширения. Не исключено, что многие из них, по сути - honeypot, то есть созданы с целью слежения за любителями анонимности, привлекают своим удобством и дают ложное чувство безопасности.

    При использовании Tor, кто-то пользуется моим IP, пока я пользуюсь чужим?

    Нет. Если у вас не сконфигурирован Exit Node.

    Что при этом видит провайдер, что я получаю потоки данных с определенных IP и каждый раз разный IP?

    У них есть система точного обнаружения использования Tor. Это факт остается в логах с теми же последствиями, что и для VPN.

    Провайдер видит URL?

    Через Tor и VPN - нет.

    Каким образом можно полностью управлять сетью на ПК, видеть что, куда и когда отправляется или приходит на ПК (Windows, Linux)?

    Видеть все: https://www.google.com/search?q=Wireshark
    Блокировать все лишнее: https://www.google.com/search?q=Comodo+Firewall
    Ответ написан
    22 комментария
  • Как получить pem сертификат (COMODO Wildcard)?

    martin74ua
    @martin74ua
    Linux administrator
    Комментировать
  • Как устроены большие компании, что в них не может один человек сломать всю систему?

    Jump
    @Jump
    Системный администратор со стажем.
    Принимают на работу специалистов по ИБ и ставят им задачу.
    Ответ написан
    2 комментария