Bitcoin Forum
December 10, 2016, 06:30:18 PM *
News: To be able to use the next phase of the beta forum software, please ensure that your email address is correct/functional.
 
   Home   Help Search Donate Login Register  
Pages: « 1 2 3 4 5 6 7 8 9 10 11 12 13 14 [15] 16 »  All
  Print  
Author Topic: btcex.com: биржа BTC <-> RUB  (Read 33165 times)
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 02:06:01 AM
 #281

Quote
Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?

Администрирование 100 компьютеров, разбросанных по офисам корпорации.

Чтобы обеспечить возможность конкретным пользователям быть админами на компах нужно научить эти компьютеры пониманию того что, скажем, юзер из группы admins - админ, плюс научить аутентифицировать юзеров, которые доступа к этим компьютерам ранее вообще не имели ни в каком виде. Вторую задачу решает kerberos.
Мне почему-то для этого всегда хватало NIS и LDAP.

Quote
Нам в институте таким образом предлагали доказать необходимость goto. Если студент мог придумать пример, который не решался без goto, ему разрешали этот оператор использовать. Не разрешили на моей памяти никому. Wink
goto используется не для решения неразрешимых проблем а для редкого но меткого улучшения читаемости кода
..., при этом нарушения структуры программы и в качестве потенциального источника трудно отлавливаемых багов.
В этом вопросе я был солидарен с преподавателями.

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
1481394618
Hero Member
*
Offline Offline

Posts: 1481394618

View Profile Personal Message (Offline)

Ignore
1481394618
Reply with quote  #2

1481394618
Report to moderator
1481394618
Hero Member
*
Offline Offline

Posts: 1481394618

View Profile Personal Message (Offline)

Ignore
1481394618
Reply with quote  #2

1481394618
Report to moderator
1481394618
Hero Member
*
Offline Offline

Posts: 1481394618

View Profile Personal Message (Offline)

Ignore
1481394618
Reply with quote  #2

1481394618
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1481394618
Hero Member
*
Offline Offline

Posts: 1481394618

View Profile Personal Message (Offline)

Ignore
1481394618
Reply with quote  #2

1481394618
Report to moderator
1481394618
Hero Member
*
Offline Offline

Posts: 1481394618

View Profile Personal Message (Offline)

Ignore
1481394618
Reply with quote  #2

1481394618
Report to moderator
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 02:07:49 AM
 #282

Да другой же баг

Ну как же другой, когда написано CVE-2010-4015 ?

Ещё раз:

https://www.bitcoin.org/smf/index.php?topic=1018.msg44139#msg44139
Биржа отключена в связи с багом (это про новый неподтверждённый баг) в новой версии Postgresql-сервера. Использование старой версии невозможно из-за обнаружения там опасной уязвимости. (это про CVE-2010-4015)

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 02:09:02 AM
 #283

в частности, биллинговую систему.
значит это была плохо (недостаточно детально) засекьюренная система, либо не было требований по интеграции с другими серверами
Вот у меня были веб-сервера (для работы админов и юзеров), сервера БД (кластер) и сервера доступа (NAS). И всё между ними прекрасно ходило. Серьёзных дырок за годы эксплуатации обнаружено не было. Kerberos не использовался и не планировался. Что я делал не так?

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 02:12:48 AM
 #284

Quote
Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?

Администрирование 100 компьютеров, разбросанных по офисам корпорации.

Чтобы обеспечить возможность конкретным пользователям быть админами на компах нужно научить эти компьютеры пониманию того что, скажем, юзер из группы admins - админ, плюс научить аутентифицировать юзеров, которые доступа к этим компьютерам ранее вообще не имели ни в каком виде. Вторую задачу решает kerberos.
Мне почему-то для этого всегда хватало NIS и LDAP.

LDAP не обеспечивает безопасной сквозной аутентификации (зашли на сервер, с него доступен другой сервер, потом третий и т.д.) и не умеет аутентифицировать на удалённом сервере используя локально воткнутую PKI-смарткарточку. (Админ пришёл на работу, воткнул карту в ридер и пошел на удалённый сервер настраивать. При всём желании пароль в такой схеме не украдёшь. Уйти с работы забыв карточку он тоже не сможет - дверь не откроется.)

А ещё чистый керберос совсем не использует ассиметричное шифрование, так что когда квантовые компьютеры нас поработят перейдём на керберос в масштабах планеты

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 02:14:59 AM
 #285

Что я делал не так?

Не расчитывали на взлом web-части. В этом случае ваша БД осталась бы незащищенной против коннекта под аккаунтом, под которым работает web-приложение и была бы скомпрометирована полностью. А в случае отсутствия такого аккаунта (при использовании kerberos он не нужен) были бы скомпрометированы только данные пользователя, под которым удалось залогинится изначально.

И у вас действительно не было требований по интеграции с другими серверами
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 02:26:35 AM
 #286

Не расчитывали на взлом web-части. В этом случае ваша БД осталась бы незащищенной против коннекта под аккаунтом, под которым работает web-приложение и была бы скомпрометирована полностью. А в случае отсутствия такого аккаунта (при использовании kerberos он не нужен) были бы скомпрометированы только данные пользователя, под которым удалось залогинится изначально.
Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом.

И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"?
Я, как архитектор, систему сначала продумал целиком, только потом взялся за реализацию. Все её части и связи с внешним миром были реализованы единообразно. Поэтому мне не пришлось изобретать костылей для интеграции - всё было уже интегрировано by design. Wink

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 02:26:58 AM
 #287

Ещё раз:

https://www.bitcoin.org/smf/index.php?topic=1018.msg44139#msg44139
Биржа отключена в связи с багом (это про новый неподтверждённый баг) в новой версии Postgresql-сервера. Использование старой версии невозможно из-за обнаружения там опасной уязвимости. (это про CVE-2010-4015)

> это про новый неподтверждённый баг

Я спросил какой баг. Вы ответили, что  dsa-2157-1

вот этот баг в DSA:
http://www.debian.org/security/2011/dsa-2157

там говорится только про contrib modules, которых у меня нет

Если это еще какой-то более новый баг, то дайте ссылку на (неподтвержденную) информацию о нем
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 02:29:14 AM
 #288

LDAP не обеспечивает безопасной сквозной аутентификации (зашли на сервер, с него доступен другой сервер, потом третий и т.д.) и не умеет аутентифицировать на удалённом сервере используя локально воткнутую PKI-смарткарточку. (Админ пришёл на работу, воткнул карту в ридер и пошел на удалённый сервер настраивать. При всём желании пароль в такой схеме не украдёшь. Уйти с работы забыв карточку он тоже не сможет - дверь не откроется.)
До таких извратов в нашей деревне ещё не дошли.

А ещё чистый керберос совсем не использует ассиметричное шифрование, так что когда квантовые компьютеры нас поработят перейдём на керберос в масштабах планеты
Обалдеть. Всегда считал, что асимметричное шифрование надёжнее, чем симметричное.

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
LZ
Moderator
Legendary
*
Offline Offline

Activity: 1456


Satoshi everywhere!


View Profile WWW
February 04, 2011, 02:33:04 AM
 #289

Если это еще какой-то более новый баг, то дайте ссылку на (неподтвержденную) информацию о нем
Собственно, пост на этом форуме и является такой информацией.
Полагаю, bitcoinex сформирует и опубликует детальное описание.

"Never invest unless you can afford to lose your entire investment." © S3052
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 02:33:15 AM
 #290

Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом.

я не понял, что неясно.

И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"?

Пример:
web-фронт-энт (огромный портал) коннектиться к аналитическому серверу или серверу подготовки отчетов. Сервер подготовки отчетов коннектится к БД.

В случае с Kerberos - прокидываем аккаунт пользователя и каждый сервер может разграничить доступ для этого пользователя. Чей пароль подобрали или комп захватили - тот ССЗБ.
ответственне пользователи - unaffected.

В случае Без Kerberos - хакер ломает сервер с порталом, получает рутовый доступ, получает возможность запустить свой код под аккаунтом портала, обращается к
аналитическому серверу и считывает секретную информацию ответственных пользователей.
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 02:43:31 AM
 #291

Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом.
я не понял, что неясно.
Пользовательские данные в случае биллинга содержат журнальные записи из БД. Если у веб-приложения нет связи с базой, где взять логи?

И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"?

Пример:
web-фронт-энт (огромный портал) коннектиться к аналитическому серверу или серверу подготовки отчетов. Сервер подготовки отчетов коннектится к БД.

В случае с Kerberos - прокидываем аккаунт пользователя и каждый сервер может разграничить доступ для этого пользователя. Чей пароль подобрали или комп захватили - тот ССЗБ.
ответственне пользователи - unaffected.

В случае Без Kerberos - хакер ломает сервер с порталом, получает рутовый доступ, получает возможность запустить свой код под аккаунтом портала, обращается к
аналитическому серверу и считывает секретную информацию ответственных пользователей.
Да какой же идиот даёт рутовый доступ веб-порталу?
И да, слово "трёхзвенка" или вообще multi-tier вам знакомо?
И ещё, между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно?

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 02:44:48 AM
 #292

Да какой же идиот даёт рутовый доступ веб-порталу?

Какие буквы в словосочетании "несанкционированно порутили" вам не ясны?

между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно?

Затем, что у хакера есть сниффер и рутовый доступ и он тоже может вызвать функцию из специальной библиотеки.
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 02:46:59 AM
 #293

Да какой же идиот даёт рутовый доступ веб-порталу?
Какие буквы в словосочетании "несанкционированно порутили" вам не ясны?
Я на подобные вещи обычно отвечаю - порутайте-ка мой сервак.
Обычно после скана и нескольких попыток применить сплойт разговор или заканчивается, или переходит в троллинг и срач за неимением аргументов.

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 02:49:14 AM
 #294

Я на подобные вещи обычно отвечаю - порутайте-ка мой сервак.

да-да, некоторые - бэкапы тоже не сразу начинают делать. А другие - керберос не считают нужным использовать. Каждому свое.
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 02:58:15 AM
 #295

между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно?
Затем, что у хакера есть сниффер и рутовый доступ и он тоже может вызвать функцию из специальной библиотеки.
1) Сниффер не поможет, не в хаб серваки втыкаем.
2) Рутового, да и вообще произвольного доступа у него нет.
По одной простой причине. Когда пишется программа, у каждого кодера перед глазами висит крупными буквами надпись: "Пользователь - дурак и подлец". Всё, что приходит от юзера, подвергается жёсткой многократной проверке.
Также вовремя патчится софт и регулярно меняются пароли. Используются сканеры безопасности.
iptables настраивается чуть ли не вручную.
Ни один мой сервак ещё не был взломан, а тем более порутан.

З.Ы. Бэкапы я научился делать ещё во времена 5.25" дискет.

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 03:01:37 AM
 #296

Ни один мой сервак

Вот когда будете разрабатывать системы, которые будут не вами эксплуатироваться, тогда и поговорим
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 03:03:46 AM
 #297

Ни один мой сервак
Вот когда будете разрабатывать системы, которые будут не вами эксплуатироваться, тогда и поговорим
Биллинг, который я создал, эксплуатировался таки не мной. Wink

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
dabbad
Sr. Member
****
Offline Offline

Activity: 444



View Profile WWW
February 04, 2011, 03:04:15 AM
 #298

Аллё, уважаемые! Страницы 14-15 оффтоп!!
И не надо мне советовать "... не читайте эти страницы ...", пожалуйста  Smiley и тогда ...

LZ
Moderator
Legendary
*
Offline Offline

Activity: 1456


Satoshi everywhere!


View Profile WWW
February 04, 2011, 03:07:22 AM
 #299

порутайте-ка мой сервак
Ну, сразу бы адрес указали. Grin

"Never invest unless you can afford to lose your entire investment." © S3052
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 03:15:08 AM
 #300

порутайте-ка мой сервак
Ну, сразу бы адрес указали. Grin
И указал бы с пару лет назад...
К сожалению, последний мой сервак был порутан физически Wink ментами из отдела "К". Новых не заводил, ибо пока незачем.

Ладно, действительно оффтопик зверский получился, пора заканчивать.

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
Pages: « 1 2 3 4 5 6 7 8 9 10 11 12 13 14 [15] 16 »  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!