Об ИТ из Канады

Блог Михаила Флёнова - программист, блогер, автор нескольких скандальных книг какими-то глазами...

Безопасность 145

Microsoft хреново фильтрует рекламу

Я на Surface Pro предпочитаю браузить  интернет с помощью Microsoft Edge, и у меня он настроен по умолчанию. Когда я запускаю браузер или открываю новую закладку, то в теле закладки загружаются новости, которые фильтрует Microsoft. Среди новостей иногда появляются блоки рекламы, опять же от платформы Microsoft.

Дата: 2017-09-19 19:41:53
Прочитать заметку


В больнице все на Windows XP

Вчера с сыном ездили в больницу, ему там проверяли глаза. В самом крупном госпитале для детей в Торонто нам делали несколько тестов и всем оборудовании, что я видел, стоял Windows XP. Ну ладно, если это система, которая не подключена к сети и интернету, но я явно видел кабель, который идет к сетевой розетке.

Microsoft прекраила поддержку Windows XP, но ведь производители специализированного оборудования до последнего выпускали свои устройства именно на этой ОС. А на чем еще им выпускать - Windows Vista или Windows 8? Я не видел ни одного специализированного устройства (медицинского или промышленного оборудования), которое работало бы на одной из этих систем. Я конечно не супер эксперт в этой области и не так много опыта работы с промышленными системами, но я просто оцениваю то, что вижу. В больницах все аппараты стоят именно на XP и эта ОС не обновляется. 

Немного страшновато за безопасность больниц, и ведь проблема не только в Канадских больницах, думаю, что везде еще Windows XP. 

Дата: 2017-09-08 15:29:41
Прочитать заметку


Тесты на физическое проникновение

Я сейчас прочитал заметку безопастника, в которой он рассуждал по поводу тестов на физическое проникновение и почем их не проводят и не особо заказывают в России. 

Ну в Канаде их тоже не особо заказывают. Когда я работал в консалтинговой компании над сайтами Sony, то там у нас проводили вроде бы пару раз тесты, но как раз из-за того, что мы работали на Sony. Я уже точно не помню, когда это было, но кажется как раз после знаменитого взлома PlayStation, хотя сайты, над которыми работал я - не пострадали. 

У других компаниях я вообще не слышал, чтобы что-то подобное проводилось. Большинству плевать и в Канаде, так что что-то говорить о России сложно. Мне кажется, это рынок тестов слишком узкий в любой стране.

Дата: 2017-07-28 17:51:41
Прочитать заметку


Безопасность AirMiles

В Северной Америке есть такая популярная программа AirMiles, где дают поинты за шопинг в магазинах партнёров. Среди партнёров есть даже Amazon и Apple, так что размах программы я думаю объяснять не нужно. Наверно это самая популярная система заработка поинтов. 

Но безопасность этой системы все это время была ниже плинтуса, и я удивлён, что только в этом месяце выяснилось, что пользователей AirMiles кидали, а точнее у них воровали поинты. У меня на карте сейчас лежит поинтов на 60 баксов, и я могу пойти в продуктовый магазин Метро и при покупке товара использовать эти поинты. 

До сих пор на сайте AirMiles можно было увидеть свой баланс просто указав номер своего аккаунта. Не нужно указывать даже пароля, только номер, который состоит из 11 цифр и пин код из 4 цифр. То есть всего существует 9999 вариантов пин кодов. Сколько времени займёт перебор? 

Дата: 2017-04-07 21:59:31
Прочитать заметку


Google доверяет Мексике

Интересно, что когда я ездил в Мексику и использовал там свой ноутбук для проверки почты, то я без проблем мог заходить в gmail и проверять там что угодно с мексиканским IP. 

На обратном пути мы летели с пересадкой и время ожидания в Вашингтоне было почти 12 часов, и мы поехали в гостиницу поспать. Я решил проверить почту и Google не дал, он стал проверять меня на безопасность.

То есть моему входу в сеть из Мексики google не удивился, а поездке в США удивился. Возможно ты скажешь, что Мексика очень много используется для отдыха и это нормально, что Канадец оказался там. Но США тоже много используется канадцами для отдыха и даже для работы. На много чаще, чем Мексика.

Дата: 2017-04-01 08:44:15
Прочитать заметку


Нужен ли антивирус Windows компьютеру?

Я недавно в новостях заметил, что кто-то там сказал, что антивирусы компьютерам не нужны и даже вредят. Кажется это был какой-то бывший разработчик Mozilla Firefox. Сейчас гугланул и наткнулся на новость, что такого же мнения вроде бы придерживаются в Google. 

Если честно, я тоже считаю, что антивирусы вредят, они отнимают ресурсы, которых иногда просто не хватает. Но я не хожу по сомнительным сайтам, а работаю 16 часов в сутки. Но даже при этом я за последние лет 10 дважды подхватывал какую-то заразу и дважды в Chrome, правда под разные платформы - Windows и Mac.

Недавно мне принесли компьютер, который очень сильно тормозил. Я заменил на нем жёсткий диск на SSD, переустановил Windows, и все залетало. Приносят мне этот компьютер через неделю, а там целый рассадник всяких вирусов. Встроенный антивирусник Microsoft не смог продержаться даже такого короткого периода. 

Дата: 2017-02-27 11:42:46
Прочитать заметку


Знаю что такое SQL Injection, но не знаю, как защитится

Снова заметка основана на результатах интервью, которые мне приходится проводить. Я кажется уже писал, что один из вопросов, который я спрашиваю - что такое SQL Injection и как от нее защищаться. Меня сильно удивляет, что в наше время не все знают, что такое SQL Injection и чем она опасна. Из-за этого наверно и появляются дырявые сайты. 

Больше всего удивляет, когда люди знают, что такое SQL Injection, но не знают, как от нее защищаться вовсе. Для меня идеальным ответом является - используй параметры. Но не могу понять, как вообще нельзя придумать даже простого способа защиты типа - убирать одинарные кавычки. Даже не нужно говорить про замену одинарной кавычки на две одинарных, просто убрать их. Хотя бы что-то можно придумать?

Дата: 2017-02-14 12:56:15
Прочитать заметку


Подключил VPN домой

Мне тут пришлось тестировать, почему реклама становится причиной того, что видео не работает, а зависает. Когда я тестировал из Канады, то у меня Google даже не пытался запускать рекламу, наверно потому что рекламодателей не так много. И чтобы реклама работала, мне явно нужен был коннект в США.

Дата: 2017-02-04 09:44:04
Прочитать заметку


Как заставлять пользователя менять пароли

В современных системах есть возможность заставить пользователя менять пароли через определённые промежутки времени и это реально помогает с точки зрения безопасности. Только недавно утекли пароли Yahoo, и база данных оказалась достаточно старой. Если бы пароли менялись хотя бы раз в год, толку от этой базы не было бы, потому что все пароли там уже старые. 

В политике паролей очень часто делают так, чтобы пользователь выбирал хотя бы одну заглавную букву, одну маленькую, одну цифру и хотя бы один символ. Такая политика делает невозможным выбор пароля типа password. 

Но я не видел политики на смену пароля.  Я работал в PCI окружении с кредитными картами и даже там я мог каждые три месяца менять пароль и менять в нем только одну цифру. Я не мог использовать тот же самый пароль дважды, но мог менять его незначительно. Я не админ и не знаю, в Windows есть возможность настраивать политику, чтобы пользователи не выбирали новый пароль, который будет на 80% совпадать с предыдущим. 

Дата: 2017-01-31 19:45:23
Прочитать заметку


Ограничения для повышения производительности

В честь нового года на наш сайт начало приходить все больше клиентов, пошли различные маркетинговые программы, и в итоге на базе данных нагрузка достигла 100 процентов и не падает. Конечно же стал вопрос, что делать? 

Первое предложение от технического директора стало ограничение на сервере приложений количества возможных подключений к базе данных. Таким образом мы освободим количество подключений на SQL Server и нагрузка сократится. Я говорю, а если сервер приложений не сможет подключиться из-за отсутствия доступных подключений к базе, то приложение сгенерирует ошибку, и пользователь увидит не очень приятную страницу. Готовы на это? Конечно же нет.

Следующее предложение от технического директора: ну давайте тогда установим таймаут на соединение с сервером приложений. Если пользователь не получил ответа от сервера приложений в течении 30 секунд, разрывать соединение. Я говорю - хорошо, пользователи начнут видеть таймауты. Это лучше?

Дата: 2017-01-26 10:20:07
Прочитать заметку


О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Внимание!

А ты уже читал мою последнюю книгу о больших сайтах и приложениях? Узнай, что это такое здесь

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповидания на русском или английском языке.

Пишите мне