Пользователь пока ничего не рассказал о себе

Достижения

Все достижения (12)

Наибольший вклад в теги

Все теги (55)

Лучшие ответы пользователя

Все ответы (62)
  • Как протестировать новый компьютер на стабильность?

    Mendel
    @Mendel
    PHP-developer
    Новые машины не проверяю обычно. Разве что если есть подозрения на проблемы. Лень — слишком много их у меня проходит.

    1 — первым делом смотрю на конденсаторы на материнке. Не совсем тест, но это первое что делаю при подозрениях на проблемы с железом.
    2 — первое что я проверяю без отвертки это мемтест со зверя. Помогает не только для памяти — если два часика покрутит без ошибок, то это тоже показатель работоспособности.
    3 — индикаторы напряжений и температур в биосе и в винде. Стабильность показателей, собственно адекватность цифр.
    4 — самый старый тест на стабильность это установить винду на проверяемой машине. Не залить Акронисом образ с аналогичной машины, а именно поставить. Установка винды много чего задевает, и память и жесткий и все остальное. Желательно слушать звуки. Иногда можно услышать подозрительные звуки от жесткого диска, но это уже опыт и везение.
    5 — очень показательно бывает если не ставятся заведомо правильные драйвера на то или иное оборудование. Часто сталкивался с тем, что видик вроде работает, но драйвера не ставятся. Детальная проверка показывает проблемы с железом.
    6 — еще одна классика — 3Д игрушки. Давно не пользовался ибо нет у меня их. В идеале дает проверку видика и общенагрузочный тест. Обычно после нагрузки сразу смотрим температуру.
    7 — тестирование методом замены подозреваемых модулей тоже классика. Пример — имеем глюки. 10 минут мемтеста ошибок не дал. Меняем планку памяти. Глюки пропадают. Гоняем планку в большей нагрузке и таки находим баги.
    8 — для именно профилактического тестирования не забываем про битые пикселы. ленивый тест — разворачиваем на весь экран белый фон. Высматриваем. Далее тоже самое с черным фоном (не путать с выключенным экраном или сигналом.) Если фона нет, и лень шаманить можно взять близкое что-то и подвигать.
    9 — часто полезно протестировать такую часть системы как напряжение в розетке. Ну и хорошо бы конечно еще прокладку между креслом и клавиатурой проверить, но это уже другая история…
    10 — вообще мой выбор это «доверяй СЦ». Новые машины должны идти с выходным контролем, благо у нормальных интеграторов есть и стенды и все такое. А на выходе — локализовал проблему, и отправил блок или машину в Сервисный Центр. С СЦ надо работать так, чтобы не обманывали. Понятно что если ты работник СЦ то такой вариант не для тебя, но тогда у тебя и POST-карты есть, и вопросов таких ты не задаешь…
    Ответ написан
  • Что делать, если обнаружил уязвимость на крупном сайте?

    Mendel
    @Mendel
    PHP-developer
    Один мой знакомый (ТМ)
    Нет, не так… на самом деле случай именно что не мой а знакомого. В то время я и сам был не безгрешен, ибо был молод а Интернет был дорог, но хоть сроки давности и вышли, но история не моя, но я за ней наблюдал лично и все ходы и уязвимости знал в лицо.

    В общем в те времена когда безлимитный диалап стоил как средняя зарплата в месяц один мой знакомый нашел уязвимость у одного провайдера. Почти случайно нашел, так просто глянул и нашел. В те времена чудес было много, и к примеру проверка твоего права зарегистрировать льготный тариф производилась на стороне браузера (что я считал бонусом за сообразительность а не взломом).
    Так вот — человек не прикладывал усилий, поэтому сразу же скинул им уязвимость. Естественно бесплатно. Правда малый был хоть и молод, но ума хватило писать не с основного адреса, а с защищенной аватары, где и прокси использовались, и чистый браузер с чистой системы, и антиаон умный на диалапе…
    Провайдер сказал ему сухое спасибо, и спросили нет ли еще чего у него интересного.
    Мой друг сказал что других уязвимостей у них он не знает, но судя по тому что была за уязвимость их должно быть много, но за символическую сумму он готов провести аудит безопасности (повторяю, это было очень давно, мы были молодыми и глупыми, и не думали кому такое предлагается). Те начали тянуть кота за гениталии, и вести пустую переписку…
    Чуть позже из своих источников в провайдерских и правоохранительных кругах мы узнаем, что оказывается возбуждено дело, и ищут хакера, по тем самым реквизитам, что светились при общении. Малый даже имел неприятный разговор с правоохранителями, которые хоть и были его знакомыми, но устроили ему вынос мозга, мол зачем было ЛОМАТЬ такого-то провайдера и все такое…
    Естественно официально его не нашли (да и не нашли бы, если бы просто людям которым это поручили не был бы знаком этот ник по сугубо личным связям).
    Ну а малый потом таки провел аудит))))
    Раз провайдер не захотел покупать его работу за символическую сумму (в цифрах не помню, но в ощущениях соизмеримо со стоимостью работы по созданию сайта-визитки из типовых скриптов) — то парень продал результаты анализа на черном рынке… в розницу так сказать.
    Если я не ошибаюсь, то денег с этого дела хватило на покупку плохенькой квартирки.

    Итого я считаю этичным и безопасным такой путь:
    Анонимно и безопасно сообщаем об уязвимости. При этом нужно продумать чтобы инфа попала как можно выше, ибо в описанном случае если бы вопрос был бы к ТОПам, то вероятность охоты на ведьм была бы меньше.
    Если администрация ведет себя неадекватно (хамят, не устраняют уязвимость и т.п.) то тут уже можно и выложить на хабре или продать. Считаю это этичным, поскольку им предоставили возможность всё исправить.

    А вообще как по мне так ИТ-мир держится исключительно на этике атакующих. Да, да, даже у «черных хакеров» как правило есть некая этика…
    Ответ написан
  • Судьба электронный адресов (Email) при увольнении работника (или приходе другого на позицию)?

    Mendel
    @Mendel
    PHP-developer
    Если почтовый архив хранится на собственных серверах, то логично переписку сохранить. Место сейчас недорого, а иногда письмо пятилетней давности может окупить все сервера вместе взятые. Ну заархивировать почту отключенного пользователя, ну индексы убрать, но удалять — не лучший выбор.

    Что касается приема на него почты, то ИМХО лучше делать автоответчик который будет сообщать, что сотрудник больше не работает, вместо него работает такой-то, с таким-то мылом.
    Ответ написан
  • В ресторане копируют карты и переписывают их данные — куда обращаться?

    Mendel
    @Mendel
    PHP-developer
    Если менты морозятся, то надо писать в прокуратуру.
    Заяву с двумя получателями — Полиция и Прокуратура. отправляем заказным, в заяве указываем что дяди милиционеры в устной форме принимать заявление отказались, и что имен и лиц отказавшихся вы не запомнили.
    Поскольку как Вам известно существует статья 30 УК РФ, и подобные кражи невозможно произвести самостоятельно, то с учетом части 4 статьи 158 УК РФ это таки тяжкое преступление и подпадает под действие статьи 30.
    Также по Вашим сведениям платежные системы обязуют банки брать с кассиров подписку о том, что «не влезай убью» именно по причине признака преступления, и доступа к конфиденциальной информации.

    Если оно будет не совсем юридически корректно то это не есть важно — вы не юрист, я не из РФ… главное описать суть, описать письменно, и добавить мотиватор в виде Прокуратуры.
    Ответ написан
  • Анонимность в сети или как построить цепочку из проксей?

    Mendel
    @Mendel
    PHP-developer
    Качать торренты через прокси это паранойя.
    Для нормального серфа, даже для просмотра небольших роликов — вполне реально делать каскады.

    Если вы и.о. Бена Ладена, то купите себе немного зомби у ддосеров. Буквально по тысяче у десятка зомбоводов, и ВДС в китае, на который все будет стекаться. Вы будете стоять за китайцем, а на фронте возьмите ВДС в москве или киеве для того, чтобы иметь статический айпи. Примерно две трети зомби должны будут гонять левый траффик, строиться в цепочки и распадаться, для конспирации. Основной пулл соберите в несколько десятков цепочек по десять узлов в каждом. Трафик по ним гоняйте параллельно. Обязательно отдавайте симметрично левого траффика чтобы невозможно было без расшифровки понять — вы конечная точка этой сети или такой же зомби как и все. Ну это так, если вдруг найдут китайца. Цепочки естественно сортируем по провайдерам, чтобы усложнить задачу отслеживания. В принципе этого будет достаточно ;)

    Ну а если серьезно, то SSH есть почти на любом хостинге. Если это хостинг с большим колвом сайтов и пользователей, то логи айпишников ничего не дадут. Ну а куда ты ходил и что туннелировал никто не логирует. Для параноиков можно сделать каскад из двух-трех туннелей.

    Вообще один туннель довольно неплохо себя ведет. Пинг выростает в среднем процентов на 30%, если сервер правильно расположен (если в основном траффик российский и сервер в М9, то пинг сильно не пострадает). Скорость у меня была 600-800 килобит, что вполне неплохо для серфинга. Двойные и тройные каскады не делал.
    Ответ написан

Лучшие вопросы пользователя

Все вопросы (11)