Андрей Мывреник

трит ли (по вышему опыту) работодатель на данный факт, или ему по барабану?

Смотрят в основном компании от средних и выше, у которых имеется человек под эту задачу. Помимо этого, могут смотреть судимости, долги, административные производства итп.

По двору прошелся жулик и попытался хакнуть эксплойтом для "майбаха" (условно) все тачки в вашем дворе. Майбахов не нашлось, этот жулик пошел дальше и забыл уже про ваш дворик.

Надо ли защищаться от атаки, не релевантной вашему сетапу? Не надо.
Надо ли делать выводы об уязвимости того или иного оборудования? Надо.
Надо ли проверять свои конфигурации на эксплойты? Надо.
Надо ли реагировать на всякую нерелевантную хрень в логах с ошибками порядка 400? Не надо.
Надо ли позаботиться об оркестрации быстрого развёртывания ваших серверов на случай взломов или проблем с железом? Конечно надо!

Вообще, если ваш сетап на виртуальных машинах в повторяемой среде и с декларативной конфигурацией вроде кубера или докера, то вы легче сможете пережить всякие такие факапы.
Схема такая.
Есть признаки взлома - бэкап логов, снапшот базы, бэкап стораджа, остановка сервисов (если позволяет продакшн), анализ атаки и последствий. Устраняем уязвимость по вектору атаки (гугление по логам и курение тредов), правим конфиги развёртывания и запускаем прод. Потом долго и тщательно разбираемся по логам, снапшотам и бэкапам что затронуто. Делаем тестовый чистый сетап по старой конфигурации и сравниваем пофайлово с атакованной системой, выясняем в какие места вмешались злодеи. Дифаем базу и смотрим на подозрительные различия. Делаем выводы, объявляем об утекших данных, если есть такие признаки (чтобы не подставлять пользователей), принимаем превентивные меры против похожих векторов атак.

Итого, залог успеха - это хранение конфигураций в гит-репозитории, своевременные бэкапы, хранение бэкапов на отдельных изолированных стораджах, оркестрация и автоматизация развертывания, подробное эшелонирование логирование с бэкапами логов, смоук тесты на нестандартную активность в БД, по сетевым интерфейсам, трафику, процессору, памяти, файловым системам, логам...

Это взгляд дилетанта по безопасности, если чего пропустил -- поправьте. Если где не прав -- расскажите.

Можно так попробовать например:
F(X) = 30+(1-X)*20, где X - функция от t.
X(t) = sign(int(t/10)), если t меньше 10, то X всегда 0, если больше, то всегда 1.
Ну и F(0)=30, а F(1)=50.
Но есть нюанс, я не знаю разрешены ли отрицательные числа, этот вариант только для положительных t.

Джава точно не умирает.
Для андроида надо писать на котлине.

Запретить, разумеется, ничего нельзя. Но можно ограничить количество введенных символов ( -n), проверять введенное значение, и выводить запрос повторно, если оно не соответствует контрольным.

Причем в данном конкретном случае можно проверить только на у, а любой другой ввод расценивать, как "нет".

варианты работать под разными пользователями?))

В портфолио показывают не код, а запущенный проект.

Контроллер - абстракция над сервлетом.
В контроллер можно принимать уже объект - фреймворк его сам извлечет из http запроса и десериализует на основании mediatype.

Сервлет оперирует объектами HttpServletRequest/HttpServletResponse. Там все вышеперечисленное нужно реализовывать самостоятельно.

Даже на наличие диплома редко смотрят, внутрь вообще никто никогда не заглядывает.

Нет желания блефовать увольнением и жирным оффером из другой компании, так как текущая меня более чем устраивает, да и на данный момент опасно угрожать уходом начальству, так как it пузырь уже сдулся

Ну так а вы не блефуйте, а действительно получите оффер и говорите по существу. Разумеется уважающий себя разработчик не будет махать выдуманным оффером - он реально его получит и будет открыто говорить с текущим работодателем. При этом разумно скинуть какой-то процент от зарплаты в оффере, ну мол "я готов получать тут чуть меньше, т.к. я тоже не хочу менять сейчас работу". Вот и вся история. Либо признайтесь себе, что у вас и так всё неплохо и вам платят подходящие деньги. Перейдите от теории к действию.

А вот человеческий ответ:
- из серии плохих советов - выдерните кабель из DC и посмотрите что сломается. Или из файлового сервера.

Если серьезно, то например
1) мониторинг, мониторинг и еще мониторинг, включая логи. (Есть ли у вас ответ на вопрос "когда и откуда логировался Виталий?", "кто использовал админ аккаунт?" и т.п.)
Позднее на основе мониторинга можно строить Security information and event management, SIEM for short.
2) на вашем лаптопе/десктопе попробовать разные способы эскалации привилегий и прочих запретных дествий. Получилось? Не получилось? Что видно в мониторинге - см номер 1.
3) Привилегии - действительно ли каждый имеет минимальные требцемые привилегии как положено по теории?
Не может ли Виталий случайно или специально стереть все файлы компании на файл-сервере?
4) а если может, то есть откуда восстановить?

и т.п.