Performance review results

oshibka_residenta
Уже с Приветом
Posts: 4435
Joined: 13 Feb 2002 10:01
Location: Bay Area

Re: Performance review results

Post by oshibka_residenta »

Flash-04 wrote: 15 Mar 2018 00:58 Любопытно, а для чего вы такую формулу пользуете?
Формула, конечно, корявая. Не я такое придумал. Идея была поставить в соответствие данным, которые возможно не очень равномерно распределены, 0 или 1 более менее случайным образом, но при этом, повторяемо. Т.е. если мы для id1 выбрали когда-то 1, нужно всегда выбирать 1 для id1.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: Performance review results

Post by Flash-04 »

если эти данные не используются для генерации ключей, то тогда пофигу.
Not everyone believes what I believe but my beliefs do not require them to.
User avatar
АццкоМото
Уже с Приветом
Posts: 15276
Joined: 01 Mar 2007 05:18
Location: VVO->ORD->DFW->SFO->DFW->PDX

Re: Performance review results

Post by АццкоМото »

oshibka_residenta wrote: 15 Mar 2018 00:51Например, они говорят "нельзя md5" использовать для cryptography, а у нaс где-то используется формула md5(id) mod 2. Говорят: security finding, чините. Приходится об'яснять: "вы, что, охренели?" В результате получается только 0 или 1. Что это кому дает?
Вот сцукко этот идиотизм реально выбешивает, когда предположительно образованные люди невдупляют и отказываются включить извилину, но очень строго следуют правилам. Типа каждый раз, как сдаю ссаки на драг тесте слышу от девочек, что смывать низзя, иначе сразу фейл. Каждый раз спрашиваю, а пачиму собсна? Они такие - а вдруг ты с собой чужую мочу принес и остатки смоешь? Ояе! А вдруг я их как принес, так и унесу? Но то девочка, которая долго училась на престижную профессию собирателя ссак, а тут - целый инфосек. Вроде бы умнее должен быть. Ан нет.
Мат на форуме запрещен, блдж!
oshibka_residenta
Уже с Приветом
Posts: 4435
Joined: 13 Feb 2002 10:01
Location: Bay Area

Re: Performance review results

Post by oshibka_residenta »

У меня про инфосеков много историй. И если иногда встречается просто незнание ( к примеру, кто-то из них не знал что в SSL URL шифруется), то в других случаях это просто отсутствие логики и никакого знания не требуется.
Был случай когда один ключ шифруется другим. Есть логичное правило, что нельзя более сильный ключ шифровать более слабым. Инфосеки же пытались запретить шифровать слабый ключ более сильным, что мягко говоря не одно и тоже
User avatar
АццкоМото
Уже с Приветом
Posts: 15276
Joined: 01 Mar 2007 05:18
Location: VVO->ORD->DFW->SFO->DFW->PDX

Re: Performance review results

Post by АццкоМото »

oshibka_residenta wrote: 15 Mar 2018 04:14И если иногда встречается просто незнание ( к примеру, кто-то из них не знал что в SSL URL шифруется)
Да какая она бабушка, у нее даже детей нет! (ц)

Я невдупляю, как инфосек может этого не знать. Это же прямой "вон из профессии", причем ссаными тряпками
Мат на форуме запрещен, блдж!
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: Performance review results

Post by Flash-04 »

и ты прав (с) :D
если у человека есть сертификация CISSP, то таки обязан знать. А если нет - то как бы и нет. "Инфосек" - это 10 разных доменов, и если человек не на уровне "сеньора", то может и не знать. Особенно если никогда в руках http proxy не держал и логи его не анализировал.
Not everyone believes what I believe but my beliefs do not require them to.
oshibka_residenta
Уже с Приветом
Posts: 4435
Joined: 13 Feb 2002 10:01
Location: Bay Area

Re: Performance review results

Post by oshibka_residenta »

Flash-04 wrote: 15 Mar 2018 13:22 и ты прав (с) :D
если у человека есть сертификация CISSP, то таки обязан знать. А если нет - то как бы и нет. "Инфосек" - это 10 разных доменов, и если человек не на уровне "сеньора", то может и не знать. Особенно если никогда в руках http proxy не держал и логи его не анализировал.
Понятно, что в компании есть инфосеки-спецы, которые в своей области знают в миллион раз больше меня. Но мне от этого не легче, если у них процесс построен так, что условный крестьянин из Бангалора файлит результаты из тула как "security finding" , и мне надо с этим потом разбираться.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: Performance review results

Post by Flash-04 »

HSM
Not everyone believes what I believe but my beliefs do not require them to.
rialtoma1
Уже с Приветом
Posts: 829
Joined: 18 Apr 2015 18:36

Re: Performance review results

Post by rialtoma1 »

ну шо, было у кого недавно?
не интересовалась политикой, пока политика не заинтересовалась мной
User avatar
Ion Tichy
Уже с Приветом
Posts: 13339
Joined: 07 Dec 2004 04:00
Location: Москва->CO

Re: Performance review results

Post by Ion Tichy »

oshibka_residenta wrote: 15 Mar 2018 00:51
Lazy444 wrote: 14 Mar 2018 23:51 Лично у меня на Инфосеков один большой зуб. Надо было зашифровать базу и положить ключ в HSM(Hardware Security Module) . Для того пришлось исписать овердофига отчетов, докладывать этим нехорошим человекам что к чему и как. Чтобы они царственно сказали : одобрям ! Заняло три месяца.
Да, компания из 4 букв. В HSM тоже кладем помаленьку. Но у нас с инфосеками мирный договор - если в новом продукте ничего особо в плане security не поменялось, то они мне верят на слово, что все хорошо. Но периодически их pentest или еще какие тулы чего-то показывает, а они нифига не понимают. Или применяют правила тупо. Например, они говорят "нельзя md5" использовать для cryptography, а у нaс где-то используется формула md5(id) mod 2. Говорят: security finding, чините. Приходится об'яснять: "вы, что, охренели?" В результате получается только 0 или 1. Что это кому дает?
Старый советской анек. Генералу объяснили как работает ЗАС. Генерал офигел: "Вы что, с ума там все посходили?! Половина информации идет в канал в открытом виде а вторая половина легко восстанавливается инвертированием!"
Как же это вы без гравицаппы пепелац выкатываете из гаража? Это непорядок...

Return to “Работа и Карьера в IT”