Евгений Потапов и ITSumma
628 members
3 photos
18 links
Download Telegram
to view and join the conversation
Запостил на Хабре мысли о том, почему большинство проектов, которые мы видим не закрыты мониторингом надежно.

Всегда есть какое-то отставание, от того каким он может быть.

Долго думал и понял, что мониторинг крупного программного проекта - больше не конфигурация утилит для мониторинга.

Процесс организации мониторинга - сам по себе программный проект.

https://habr.com/ru/company/itsumma/blog/448602/
Минутка технической информации, хочу поделиться парой технических советов для защиты сайта от DDoS.

Знакомые попросили узнать на каком хостинге находится сайт, закрытый за Cloudflare.

Способ №1. Идем на сайт, регистрируемся. Получаем письмо о подтверждении регистрации.
Идем в сырые заголовки, смотрим на исходящий айпишник. В половине случаев – это будет айпи продакшен-сервера.

Как правильно: Используйте SendGrid или какой-нибудь свой, не привязанный к текущему хостингу relay-сервер. (Да, кстати, можно просто сделать dig domain.com txt и посмотреть на SPF-запись. Там также может быть прод-сервер).

Способ №2. Идем в гугл и пишем «subdomain scanner». Попадаем, например, на DNSDumpster.
Пишем домен и смотрим на список поддоменов. В половине случаев – находим незакрытый IP.

Способ №2bis. Идем в гугл и пишем «dns history» - возможно анти-DDoS поставили на тот же айпи, что был до этого назначен в истории.

Как правильно:
Меняем все IP, которые светились в DNS на новые.
Закрываем защитой все критические поддомены. Как бы ни хотелось оставить открытым API (анти-DDoS на ура фильтруют легитимные запросы к API) – либо закрываем тоже, либо держим API отдельно, например через прокси.

В процессе чтения вышенаписанного осознаем, что жизнь прекрасна, так как большинству DDoS-еров это не приходит в голову (иначе все бы мы жили в муках).

Если хотите узнать больше советов о том, что еще надо закрыть – вот отличный доклад Вадима Рыбалко из Хабра на нашей конференции Uptime Day:
https://www.youtube.com/watch?v=L8OSHAzMBXY
Я давно читаю технические книги в оригинале, на английском языке. В какой-то момент появилось четкое понимание, что в русскоязычных книгах есть сильные "Трудности перевода" - сами по себе переводчики не разбираются в тонкостях тем, о которых переводят, а работа редактора - сложная штука (ну, и редактор тоже должен понимать).

Осенью вместе с ДМК издали книгу про Kubernetes и подумали, что есть ниша, в которую российские издательства никогда не зайдут - специализированные технические издания, на которых будет низкий спрос (но спрос - есть). Подумали - а почему бы не попробовать стать издательством самим.

В начале года собрались с силами и к Uptime Day 4, 12 апреля - запустили первую книгу, по лицензии от O'Reilly, авторства Confluence, про событийно-ориентированные приложения в Apache Kafka.

Написали на Хабре про тонкости издательской работы https://habr.com/ru/company/itsumma/blog/449432/

Страница издательства: https://www.itsumma.ru/knowledges/books
Лицензия AWS Lumberyard (это такой игровой движок от AWS, типа Unity) в пункте 57.10 ограничивает использование в критических для безопасности людей системах.

Такое есть почти в любом крупном программном продукте: ядерные станции, системы жизнеобеспечения итп.

Однако, лицензия прямо обозначает исключение: все ограничения снимаются, в случае атаки зомби, угрожающей существованию цивилизации.

57.10. Acceptable Use; Safety-Critical Systems. Your use of the Lumberyard Materials must comply with the AWS Acceptable Use Policy. The Lumberyard Materials are not intended for use with life-critical or safety-critical systems, such as use in operation of medical equipment, automated transportation systems, autonomous vehicles, aircraft or air traffic control, nuclear facilities, manned spacecraft, or military use in connection with live combat. However, this restriction will not apply in the event of the occurrence (certified by the United States Centers for Disease Control or successor body) of a widespread viral infection transmitted via bites or contact with bodily fluids that causes human corpses to reanimate and seek to consume living human flesh, blood, brain or nerve tissue and is likely to result in the fall of organized civilization.

https://aws.amazon.com/ru/service-terms/#57._Amazon_Lumberyard_Engine
Желательно, чтобы обратный билет из США был в одном бронировании с билетом "туда", а билет "туда" - желательно не переносить.
На паспортном контроле в Лос-Анджелесе в базе не нашли из-за этого ни того, ни другого.
3 часа в комнате доп. проверок
Приз выйграл дедушка китаец, который вырезал визу из устаревшего паспорта и вклеил в новый
когда-нибудь я перестану путать сохраненное и эту группу, я обещаю
Просуммировал размышления про таск/тайм-менеджмент на VC
https://vc.ru/itsumma/67626-burning-man-kak-perestat-bespokoitsya-i-nachat-zhit-mnogozadachnomu-menedzheru
К вопросу про проблемы с самолетами (и Боинг, и SSJ)
Вот 26 мая 1991 года, рейс из Бангкока в Вену, Lauda Air 004.

В процессе набора высоты у 767-го на одном из двух двигателей включился реверс (это такая штука, которая шумит, когда вы садитесь и поток из турбины выдает против движения самолета). Ну, то есть, одна турбина дует вперед, а другая назад, вы понимаете.

Падение со скоростью 0.99 МАХ, развалился в процессе падения.

Боинг сначала говорил, что из ситуации можно было выйти, но владелец компании (Niki Lauda, трехкратный чемпион формулы 1, умер сегодня), попросил Боинг посадить его в самолет с двумя пилотами и провести эксперимент "в продакшене". Боинг, понятное дело отказался.

"Lauda attempted the flight in the simulator 15 times, and in every instance he was unable to recover...
Lauda asked for a press conference the following day, and told Boeing that if it was possible to recover, he would be willing to fly on a 767 with two pilots and have the thrust reverser deploy in air. Boeing told Lauda that it was not possible, so he asked Boeing to issue a statement saying that it would not be survivable, and Boeing issued it."

(довольно популистский текст для англоязычной вики, но красиво)

Боинг, следом, сделал механическую заглушку, не дающую включиться реверсу в полете.

https://en.wikipedia.org/wiki/Lauda_Air_Flight_004
Forwarded from Evgeny Potapov ITSumma
немного техасского акцента
you ain't from around here are you boy?
Гитарист Radiohead, музыкант из Израиля живущий в Индии и группа из Раджастана поющие песни в музыкальных традициях суфийского ислама и Болливуда
огонь
https://www.youtube.com/watch?v=KgTK7S97EQU
если понравилось - то вот отдельно документальный фильм на 50 минут, они там играют музыку и показывают Раджастан
https://www.youtube.com/watch?v=ja_QElCv30k
Убрал аппы социалок с хоумпейджа на телефоне. освободилось 8 часов захваченного фейсбуком внимания в неделю.

Хотел что-то написать про то, как соцсети целенаправленно воруют пользовательское внимание
У Zoom (как минимум на маке, на винде - посмотрю) стоит в бэкграунде вебсервер, который выдает картинку.

Когда вы присоединяетесь по ссылке на звонок, сайт Zoom-а открывает <img src .../> с localhost и GET-запросом передает команду (img src, чтобы обойти CORS).

В ответ вебсервер отдает картинку с разными разрешениями - так возвращает статус, они на фотке, там весело.

Соответственно, если вы просто у себя на сайте пропишете такой тег, у zoom-юзера запустится инвайт в звонок, а до вчера, если поиграться с параметрами - можно было автоматом туда человека запустить сразу с включенным видео и аудио. Обновитесь ;)

https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5?fbclid=IwAR2DqL-NOXQGaZiMO3nAvLJVKSswmlj_rLJ_5wS9FBx1eXsJ0nDpSHhIlYo
Пока летел в самолете, начал смотреть американский фильм 2018-го года про Нила Армстронга. Если хотите немного порефлексировать про обоюдную пропаганду – «First Man» перевели как «Человек на луне», но пост не про это.

Дочитал книгу Yuval Noah Harrari "Sapiens", всем советую. Это история «развития» человечества от ранних времен до 21-го века. Развития в контексте культуры, социальных отношений, психологии, экономики. Читается легко и интересно, но пост снова не про это.

В книге прочитал прекрасную легенду, про которую раньше не слышал.

При подготовке полета Аполло 11 (ну, собственно, первая высадка на луну) астронавты готовились в месте под названием Cinder Lake в Аризоне. Cinder Lake состоит из вулканических пород и очень похож на Луну почвой. В один из дней подготовки старейшина племени индейцев Навахо, живущих неподалеку, спросил астронавтов, чем они занимаются, и когда узнал, что они готовятся к высадке на Луну, преодолев изумление, попросил выполнить их одну просьбу.

На Луне, согласно преданиям его народа, живут святые духи. Если вдруг астронавтам посчастливится их встретить, он хотел бы, чтобы они передали им послание от его племени. После чего заставил астронавтов запомнить послание на его родном языке и попросил много раз повторить один в один.

Когда астронавты спросили, что это означает, старейшина ответил: «Я не могу вам рассказать, это секрет, понятный только моему народу и лунным духам». Вернувшись на базу, астронавты нашли переводчика, и повторили фразу ему. Тот в ответ стал очень долго и громко смеяться.

Фраза означала: «Не доверяйте ни одному слову этих людей. Они пришли сюда, чтобы забрать вашу землю».