Скиллзы на свалку истории

[StrangerR]

Вот насчёт секьюрити - это вы зря.

ну да зря... учитывая что я имею с ней дело. На фоне небольшого количества реальных проблем - огромное количество параноидальных. Вроде выключения TLS v.1.0 на сервисе который УЖЕ работает поверх IPSEC, или убирания SSLv3 из бразеров (после чего приходится заводить кучу виртуалок с Win2K0 чтобы работать с оборудованиеем, или вообще переходить на http - в нескольких местах пришлось перейти). При том что я еще не видел ни одного хакера, который сумел бы реально использовать слабости SSLv3 в реальной публичной сети (не говорим уж об интранетах, в которых это из области ненаучной фантастики). При том новые апдейты приносят дырок не меньше, чем их заклеивают, и больше всего дыр как раз в самых последних версиях всего и вся... (Примеры - именованные пайпы в SMB которые никому нахрен не нужны но которые всунули в новые версии и включили там, внеся тем самым хорошие яркие дырки).

[PrettyVacant]

Я в андроидах чайник, но вот перешил телефон с 5 на 6 версию Андроида (хотя теперь и это уже старьё?), прошивка с сайта производителя, и что я вижу:

- батарею жрет на глазах
- разблокировывать экран стало очень неудобно, слишком маленькая чувствительная зона внизу экрана, причем в половине случаев камера вызывается
- скайп под обновленную версию полное говно, жутко тормозит, входящий звонок "визуализирует" буквально десятки секунд (по экрану идут полосатые волны - ого, кто-то звонит, потом секунд через 10-20 раздается сам звонок), не показывает статус в сети, если случайно вышел из экрана приложения, вернуться обратно очень хлопотно...

Есть и плюсы, избирательный доступ к ресурсам для приложений там, но в целом я не особо счастлив, прогресса в ПО не вижу.

[fruit6]

У Вас наверное андроид с алибабы за 20 баксов.

[zVlad]

Вот насчёт секьюрити - это вы зря.

ну да зря... учитывая что я имею с ней дело. ...

На прошлой неделе настраивали FTPS: мой мэйнфрэйм (по их замыслу) FTP клиент, а Wintel - FTP сервер. Дали мне self-signed certificate с Wintel-a, установил - работает . Замечаю что сертификат этот на один год, делюсь идеей что чтобы через год, когда мы про это забудем , не попасться лучше бы сделать сразу продвинутую дату вперед (на тогда когда мэйнфрэйма, и меня , уже на фирме не будет ). Парень со стороны Wintel говорит что не может сделать больше чем на год - это так по умолчанию и все тут .
Предлагаю два варианта : 1. если он может дать мне CA certificate, которым был подписан его сертифицат, то бы смог сделать "certificate renew" (на мэйнфрэйм, в RACF)с продвинутой датой. 2. Я генерирую цертифицате в RACF с продвинутой датой и его устанавливаем на Wintel сторону. Прошел варинат # 2. RACF рулит .

[M. Ridcully]

На прошлой неделе настраивали FTPS

Вот это люди: и ftp настроят, и мамонта, бывало, голыми руками завалят!

[zVlad]

На прошлой неделе настраивали FTPS

Вот это люди: и ftp настроят, и мамонта, бывало, голыми руками завалят!

До недавнего наши Wintel парни были упертые на sft. Хотя я давно рекомендовал FTPS. Но что-то случилось (видимо сменился ответственный) и вдруг они запросили FTPS. К сожалению мне приходится следовать их капризам.

[oshibka_residenta]

Я бы не назвал цену страховки которую платите Вы или я "деньгами" в том смысле, что за них можно ожидать чудо и спасение. Это ведь страховка а не оплата услуг. Спасти, конечно, могут, если повезет.

Вот это самая отвратительная часть касательно реалий Америки. То есть платятся большие налоги и ноль медицины. Есть отдельно механизмы страхования. Вы платите за свой риск заболеть.
Да и что заболеть, при болезни думаешь - а я достаточно болен, чтобы просто сходить к врачу. Или подождать. Может итак пройдет. Вот это вот добивает ) Ну и факт в том, что уже премиум за страховку сравним с ипотекой, пожизненной такой ипотекой, можешь конечно пойти на риск и брать план попроще, где по факту надо будет платить больше. Но это ли цивилизация? ))

Кстати тут выше писали, что ходить без страховки экстрим, друг бизнесмен, все за свой счет и на паблик маркете такие планы, типо 20к на семью и 13к дедактбл, как я писал уже. Так надо ли говорить, что он посчитал разуменее быть без страховки на взрослых и если что платить из кармана кеш по факту, так как 13 к дедактбл обязывает делать ровно то же самое. Возраст около 35 к врачам по сути не обращается.

Без страховки можно долго ходить, но ведь никогда не знаешь когда что-то случится. Мне, правда, не 35, но и не 55. Почувствовал что что-то не так, пошел к врачам. В результате операция и счёт от госпиталя ( операцию делали в Стенфорде) на больше миллиона. У меня, к счастью страховка была. у вашего бизнесмена миллион наличными в запасе ?

[nyekimov]

Без страховки можно долго ходить, но ведь никогда не знаешь когда что-то случится. Мне, правда, не 35, но и не 55. Почувствовал что что-то не так, пошел к врачам. В результате операция и счёт от госпиталя ( операцию делали в Стенфорде) на больше миллиона. У меня, к счастью страховка была. у вашего бизнесмена миллион наличными в запасе ?

Вы действительно думаете, что он будет это платить? Покажет свои доходы, как раз таки отсутствие миллиона на счетах больше в плюс, точно цену занизят или даже спишут. Хотя вполне могут занизить на какуе то сумму, какую придется долго платить. Этим то дела и плохи, потому что когда не болеешь, не понимаешь, за что платить сотни-тысячи в месяц. Пожара может и не быть.

[fruit6]

наиболее вероятным итогом случится банкротство.
спишут? ах ха ха!

[Flash-04]

Вот насчёт секьюрити - это вы зря.

ну да зря... учитывая что я имею с ней дело. На фоне небольшого количества реальных проблем - огромное количество параноидальных. Вроде выключения TLS v.1.0 на сервисе который УЖЕ работает поверх IPSEC, или убирания SSLv3 из бразеров (после чего приходится заводить кучу виртуалок с Win2K0 чтобы работать с оборудованиеем

У вас в компании такое понятие как exception отсутствует? Подписывается у кого-надо (уровня VP) что у такой хрени таки надо SSLv2 так как она критична для бизнеса. Параллельно определяются сроки на поиск более нового решения. Усё.

[StrangerR]

На прошлой неделе настраивали FTPS

Вот это люди: и ftp настроят, и мамонта, бывало, голыми руками завалят!

До недавнего наши Wintel парни были упертые на sft. Хотя я давно рекомендовал FTPS. Но что-то случилось (видимо сменился ответственный) и вдруг они запросили FTPS. К сожалению мне приходится следовать их капризам.

ЧТо такое sft, я не понял, и каким боком там сертификат - это SFTP или что? Так в SFTP не обязательно с сертификатами трахаться.

Про 1 год и прочее.. я вот не хочу на 3 года ставить, по простой причине - через 3 года все забудут, как его обновлять. Надо или на 1 год или лет на 50. У Оракла есть знаменитые грабли - там часть сертификатов встроенных протухают через 6 лет, поэтому история _прилада счастливо работает лет 5, все уже и саппорт то сняли, и тут она насмерть и навсегда встает_ - бывает и не очень редко.

Да, а если FTPS это то что я подумал, то хуже протокола еще в истори человечества не придумали. Не надо его ставить.

[StrangerR]

Вот насчёт секьюрити - это вы зря.

ну да зря... учитывая что я имею с ней дело. На фоне небольшого количества реальных проблем - огромное количество параноидальных. Вроде выключения TLS v.1.0 на сервисе который УЖЕ работает поверх IPSEC, или убирания SSLv3 из бразеров (после чего приходится заводить кучу виртуалок с Win2K0 чтобы работать с оборудованиеем

У вас в компании такое понятие как exception отсутствует? Подписывается у кого-надо (уровня VP) что у такой хрени таки надо SSLv2 так как она критична для бизнеса. Параллельно определяются сроки на поиск более нового решения. Усё.

Блин, присутствует естественно, и я сам полиси писал. Проблема не в этом. Эти SSLv2 там где они есть никаким полисям и аудитам не мешают. А мешают ИМ паранойики от гуглов и прочих которые норовят выключить поддержку протокола насмерть, после чего приходится ставить VM-ки со старыми как говно мамонта ОС (слава богу, ниже чем Win2000 идти не пришлось, а то я было боялся что еще и Windows ME придется из могилы вырыть и ставить) или вообще выключать шифрование нахрен (там где оно хоть какое то было бы вполне себе кстати).

А +нужно или нет+ решаем мы командой на ревью эксепшенов. Никакой VP такие вещи подписывать не должен потому что у него экспертизы нет. Но один из участников ревью как раз VP тоже в должности имеет, так что тут одно другому тут не мешает.

[Flash-04]

У вас не должен, а у нас подписывает именно VP.

[valchkou]

В результате операция и счёт от госпиталя ( операцию делали в Стенфорде) на больше миллиона. У меня, к счастью страховка была. у вашего бизнесмена миллион наличными в запасе ?

не следует недооценивать изворотливасть американского бизнесмена, особенно у которого имеется миллион кэшем.

[StrangerR]

У вас не должен, а у нас подписывает именно VP.

А у нас лидер по секьюрити который сейчас и VP но это не обязательно. Я насмотрелся на кастомеров у которых _только VP_ - чем выше подписанты тем ниже качество, зависимость абсолютная. У нас идет ревью раз в квартал (я написал автоматический репорт по правилам) причем раз в квартал ревью изменений а раз в год - ревью всего бейзлайна. И на нем определяются експепшены. Они подписываются формально CISO но по сути именно комитетом который делает ревью.

Но там дело не в этом. Это все проходит без проблем, если две железки на 1 свитче и никого посередине то мне вообще плевать на уровень секьюрити между ними, все одно никто не влезет, это все кушают включая и аудти. Но вот вечные _улучшения интерфейсов и секьюрити_ от Гугла и Файрефокса задолбали конкретно. Я уж не говорю о том что они сломали все жава аппликейшены и приходится держать зоопарк жав и виртуалок на которых насмерть выключены все апдейты навсегда, так еще и никогда не знаешь, что завтра сломается потому что _улучшили_. Я выключил секьюрити вообще в нескольких местах, потому что невозможно было обеспечить его работу (одно место правда выкинул наконец то, почти целый рак барахла выкидывем .) но это лишь одно место. Ну и новые фичи всегда идут с новыми дырками, это уже просто закон природы (причем фичи не особо нужны, так ведь включены по умолчанию всегда. То какая то фигня в EXIM то пресловутые именованные пайпы в самбе, какой идиот их там включил по умолчанию - оторвать бы ему все между ног! - то еще что. С соображением - _ну мы же должны показывать свою нужность, вот и кропаем... _

[zVlad]

На прошлой неделе настраивали FTPS

Вот это люди: и ftp настроят, и мамонта, бывало, голыми руками завалят!

До недавнего наши Wintel парни были упертые на sft. Хотя я давно рекомендовал FTPS. Но что-то случилось (видимо сменился ответственный) и вдруг они запросили FTPS. К сожалению мне приходится следовать их капризам.

ЧТо такое sft, я не понял, и каким боком там сертификат - это SFTP или что? Так в SFTP не обязательно с сертификатами трахаться.

Про 1 год и прочее.. я вот не хочу на 3 года ставить, по простой причине - через 3 года все забудут, как его обновлять. Надо или на 1 год или лет на 50. У Оракла есть знаменитые грабли - там часть сертификатов встроенных протухают через 6 лет, поэтому история _прилада счастливо работает лет 5, все уже и саппорт то сняли, и тут она насмерть и навсегда встает_ - бывает и не очень редко.

Да, а если FTPS это то что я подумал, то хуже протокола еще в истори человечества не придумали. Не надо его ставить.

Конечно sftp. Sorry.
Про сертификаты, Вы похоже своими ручками этого не касались. За сроками протухания сертификатов достаточно просто следить, если есть соответствующая функция, которой нынче не может не быть.
В sftp можно и без сертификатов, но суть с/без сертификатов одна: пара публик/прайвет ключей. Known servers файл просто несет эту пару без, например, учета срока действия ключей и других атрибутов.

Flash-04, поправь меня если я что-то не так излагаю. Давно было когда я это настраивал.

Что sftp, что FTPS это одна малина - передача файлов в зашифрованном виде. FTPS ближе к unsecured, classic ftp, кроме того sftp использует для серьюрити ssh. В z/OS кроме того sftp не работаeт с наборами данных, а только с файлами в Unix file systems. Т.е. требуется дополнительное копирование/конвертация наборов данных в/из файлов Юникс, если цель работать с ними. У нас именно такой случай и много проблем с этим возникает у наших програмистов, которые никак не могут освоиться и с тем и с другим. Главным образом проблема в том что access bytes то и дело уползают куда-то, или ownership меняется. Такова природа контроля доступа к Юникс файлами и конечно наши програмисты не рут- и не супер-юзера.

[StrangerR]

FTPS это FTP с наложенными на соединения SSL шифрованиями. После чего, так как там остался весь беспредел FTP с динамическими портами, эта чуда через файреволлы не пролазит, так как они не могут понять, какие ей порты нужны. После чего начинаются извраты разных уровней.

SFTP это ftp поверх старого доброго ssh. Просто конфигурится, использует 1 порт, и надежет как бегемот в болоте. Аутентификацию там можно делать разными способами.

(У меня просто сделаны имейджы у которых два IP, на одном ssh на другом sftp - тот же ssh но ограниченный. Наружу транслируется только второй естественно. И там естественно chroot включен на логинах. Надежно и просто. Но мы там сертификаты не юзаем, нет такой нужды. А с управлением сертификатами ... автоматика автоматикой, а вот подите поменяйте сертификат на виндовом SSTP ras сервере в варианте когда он стоит без IIS, а я посмотрю... /автомат прикрутить пришлось, строк в 40 на PS1/)

[zVlad]

FTPS это FTP с наложенными на соединения SSL шифрованиями. После чего, так как там остался весь беспредел FTP с динамическими портами, эта чуда через файреволлы не пролазит, так как они не могут понять, какие ей порты нужны. После чего начинаются извраты разных уровней.

SFTP это ftp поверх старого доброго ssh. Просто конфигурится, использует 1 порт, и надежет как бегемот в болоте. Аутентификацию там можно делать разными способами.

(У меня просто сделаны имейджы у которых два IP, на одном ssh на другом sftp - тот же ssh но ограниченный. Наружу транслируется только второй естественно. И там естественно chroot включен на логинах. Надежно и просто. Но мы там сертификаты не юзаем, нет такой нужды. А с управлением сертификатами ... автоматика автоматикой, а вот подите поменяйте сертификат на виндовом SSTP ras сервере в варианте когда он стоит без IIS, а я посмотрю... /автомат прикрутить пришлось, строк в 40 на PS1/)

Несколько лет назад IBM перевел свою службу раздачи патчей и upgrade на FTPS (есть и другие секьюр варианты: HTTPS, и что-то с Java. sftp не входит в список IBM-ских опций). Я использую FTPS. С файрволл были проблемы, но тогда наши сетевики переходили к другому вендору и после перехода проблема изчезла.
Внутри нашей сети проблем с FTPS нет. Вот и Wintel-овцы неожидано повернулись лицом к этому варианту. Мне, лично, без разницы FTPS или sftp. У меня есть и то и другое, и я готов удовлетворить любые запросы на безопоасное копирование между серверами извне. SSH в z/OS может работать не только с key files (используя SSH команду ssh-keygen), но и с сертификатами тоже (иными словами хранить и извлекать ключи из сертификатов со всеми преимуществами использования сертификатов в сравнении с хранением ключей в файлax). А имея RACF работа с сертификатами обеспечивается полностью.

[Flash-04]

ну вот StrangeR уже всё обьяснил. FTPS - гадость ещё та, так же как NFS для segregated network. SFTP - проще и лучшее. Открыл 22 порт, поднял SSH и всё работает. Мне как-то приходлось настраивать FTPS на security appliances. Матов было высказано много и разных

[zVlad]

ну вот StrangeR уже всё обьяснил. FTPS - гадость ещё та, так же как NFS для segregated network. SFTP - проще и лучшее. Открыл 22 порт, поднял SSH и всё работает. Мне как-то приходлось настраивать FTPS на security appliances. Матов было высказано много и разных

Если с FTPS все так плохо то почему его используют?
Я, повторю, настраивал FTPS без матов, а вот с sftp мне доводилось отвечать на call с озера, со стаканам водки в руках. Они там что-то на сервере поменяли и идентификация по known servers перестала работать, на продакшн. Меняли они несколько раз, не извещая меня ни разу заранее.
Для меня, повторю, и то и другое одинаково хорошо и плохо одновременно. Sftp выглядит продуктом любительского подхода, не профессионального. FTPS выглядит более профессионально сформированным, хотя мне известны и лучшие решения проблемы переноса данных между серверами. А вот когда any-ftp используются для обмена данными из БД я херею не подетски и спрашиваю а что мешает сделать удаленный запрос непосредственно в БД.

[Flash-04]

С FTPS проблема в том, что он хочет открыть обратное соединение, причём по умолчанию по неизвестному заранее порту. В моем случае это безобразие удалось победить только потому, что в конкретной реализации Apache FTP сервер, можно было ограничить диапазон портов для такого общения, и я смог получить одобрение правила для firewall. А то наши ревьюверы как то не любят слово any. С NFS та же фигня, но его тоже "почему-то используют".
Кстати с Apache FTP выползли ещё грабли, но это другая история.

[Flash-04]

Не очень понятно, что за проблема с SFTP. Всё работает поверх SSH, один раз настроили с private key, fire and forget.

[Palych]

del

[StrangerR]

ну вот StrangeR уже всё обьяснил. FTPS - гадость ещё та, так же как NFS для segregated network. SFTP - проще и лучшее. Открыл 22 порт, поднял SSH и всё работает. Мне как-то приходлось настраивать FTPS на security appliances. Матов было высказано много и разных

FTPS вообще нельзя настроить по человечески. Файреволлу надо видеть управляюещие команды чтобы открывать каналы, а команды зашифрованы. А главное, ну на фига козе баян, когда есть и sftp и https.

(Я сделал просто - имейдж для sftpd, в котором два адреса, на одном sshd на другом sftpd который тот же sshd но с другой конфигурацией в которой обрезаны все группы кроме sftp и все сервисы кроме sftpd, ну и chroot туда же добавлен. После чего мы спокойно выставляем второй адрес наружу, проверяем не забыли ли чего, ну и все - все работает. Запросы на FTPS посылаются лесом сразу и навсегда... никто из леса еще не вернулся...)

[zVlad]

Не очень понятно, что за проблема с SFTP. Всё работает поверх SSH, один раз настроили с private key, fire and forget.

Я уже назвал две проблемы выше. Одна из них строго говоря это проблема Юникс с ихними байтами доступа, которые меняться могут. Вторая стем что sftp не работает с наборами данных.
Ну и третья стем что основной метод хранения ключей это хранение в файлах. Это уже скорее проблема не-мэйнфрэйм применения sftp, потому что в z/OS sftp таки может использовать ключи в сертификатах, используя key rings.
Но вот беда, другая сторона - Wintel - у нас капризная и даже ключи из файлов использовать не захотела и мы работаем через known servers (полагаю не надо пояснять что это такое). А это значит что после каких-нибудь изменений на серваках процесс "узнавания" сервера надо повторять вручную.
А так, и я уже тоже говорил, у меня нет никаких проблем ни с ftps, ни с sftp.