Формула, конечно, корявая. Не я такое придумал. Идея была поставить в соответствие данным, которые возможно не очень равномерно распределены, 0 или 1 более менее случайным образом, но при этом, повторяемо. Т.е. если мы для id1 выбрали когда-то 1, нужно всегда выбирать 1 для id1.
Performance review results
-
- Уже с Приветом
- Posts: 4435
- Joined: 13 Feb 2002 10:01
- Location: Bay Area
Re: Performance review results
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Performance review results
если эти данные не используются для генерации ключей, то тогда пофигу.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 15276
- Joined: 01 Mar 2007 05:18
- Location: VVO->ORD->DFW->SFO->DFW->PDX
Re: Performance review results
Вот сцукко этот идиотизм реально выбешивает, когда предположительно образованные люди невдупляют и отказываются включить извилину, но очень строго следуют правилам. Типа каждый раз, как сдаю ссаки на драг тесте слышу от девочек, что смывать низзя, иначе сразу фейл. Каждый раз спрашиваю, а пачиму собсна? Они такие - а вдруг ты с собой чужую мочу принес и остатки смоешь? Ояе! А вдруг я их как принес, так и унесу? Но то девочка, которая долго училась на престижную профессию собирателя ссак, а тут - целый инфосек. Вроде бы умнее должен быть. Ан нет.oshibka_residenta wrote: ↑15 Mar 2018 00:51Например, они говорят "нельзя md5" использовать для cryptography, а у нaс где-то используется формула md5(id) mod 2. Говорят: security finding, чините. Приходится об'яснять: "вы, что, охренели?" В результате получается только 0 или 1. Что это кому дает?
Мат на форуме запрещен, блдж!
-
- Уже с Приветом
- Posts: 4435
- Joined: 13 Feb 2002 10:01
- Location: Bay Area
Re: Performance review results
У меня про инфосеков много историй. И если иногда встречается просто незнание ( к примеру, кто-то из них не знал что в SSL URL шифруется), то в других случаях это просто отсутствие логики и никакого знания не требуется.
Был случай когда один ключ шифруется другим. Есть логичное правило, что нельзя более сильный ключ шифровать более слабым. Инфосеки же пытались запретить шифровать слабый ключ более сильным, что мягко говоря не одно и тоже
Был случай когда один ключ шифруется другим. Есть логичное правило, что нельзя более сильный ключ шифровать более слабым. Инфосеки же пытались запретить шифровать слабый ключ более сильным, что мягко говоря не одно и тоже
-
- Уже с Приветом
- Posts: 15276
- Joined: 01 Mar 2007 05:18
- Location: VVO->ORD->DFW->SFO->DFW->PDX
Re: Performance review results
Да какая она бабушка, у нее даже детей нет! (ц)oshibka_residenta wrote: ↑15 Mar 2018 04:14И если иногда встречается просто незнание ( к примеру, кто-то из них не знал что в SSL URL шифруется)
Я невдупляю, как инфосек может этого не знать. Это же прямой "вон из профессии", причем ссаными тряпками
Мат на форуме запрещен, блдж!
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Performance review results
и ты прав (с)
если у человека есть сертификация CISSP, то таки обязан знать. А если нет - то как бы и нет. "Инфосек" - это 10 разных доменов, и если человек не на уровне "сеньора", то может и не знать. Особенно если никогда в руках http proxy не держал и логи его не анализировал.
если у человека есть сертификация CISSP, то таки обязан знать. А если нет - то как бы и нет. "Инфосек" - это 10 разных доменов, и если человек не на уровне "сеньора", то может и не знать. Особенно если никогда в руках http proxy не держал и логи его не анализировал.
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 4435
- Joined: 13 Feb 2002 10:01
- Location: Bay Area
Re: Performance review results
Понятно, что в компании есть инфосеки-спецы, которые в своей области знают в миллион раз больше меня. Но мне от этого не легче, если у них процесс построен так, что условный крестьянин из Бангалора файлит результаты из тула как "security finding" , и мне надо с этим потом разбираться.Flash-04 wrote: ↑15 Mar 2018 13:22 и ты прав (с)
если у человека есть сертификация CISSP, то таки обязан знать. А если нет - то как бы и нет. "Инфосек" - это 10 разных доменов, и если человек не на уровне "сеньора", то может и не знать. Особенно если никогда в руках http proxy не держал и логи его не анализировал.
-
- Уже с Приветом
- Posts: 63430
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Performance review results
HSM
Not everyone believes what I believe but my beliefs do not require them to.
-
- Уже с Приветом
- Posts: 829
- Joined: 18 Apr 2015 18:36
Re: Performance review results
ну шо, было у кого недавно?
не интересовалась политикой, пока политика не заинтересовалась мной
-
- Уже с Приветом
- Posts: 13339
- Joined: 07 Dec 2004 04:00
- Location: Москва->CO
Re: Performance review results
Старый советской анек. Генералу объяснили как работает ЗАС. Генерал офигел: "Вы что, с ума там все посходили?! Половина информации идет в канал в открытом виде а вторая половина легко восстанавливается инвертированием!"oshibka_residenta wrote: ↑15 Mar 2018 00:51Да, компания из 4 букв. В HSM тоже кладем помаленьку. Но у нас с инфосеками мирный договор - если в новом продукте ничего особо в плане security не поменялось, то они мне верят на слово, что все хорошо. Но периодически их pentest или еще какие тулы чего-то показывает, а они нифига не понимают. Или применяют правила тупо. Например, они говорят "нельзя md5" использовать для cryptography, а у нaс где-то используется формула md5(id) mod 2. Говорят: security finding, чините. Приходится об'яснять: "вы, что, охренели?" В результате получается только 0 или 1. Что это кому дает?Lazy444 wrote: ↑14 Mar 2018 23:51 Лично у меня на Инфосеков один большой зуб. Надо было зашифровать базу и положить ключ в HSM(Hardware Security Module) . Для того пришлось исписать овердофига отчетов, докладывать этим нехорошим человекам что к чему и как. Чтобы они царственно сказали : одобрям ! Заняло три месяца.
Как же это вы без гравицаппы пепелац выкатываете из гаража? Это непорядок...