Category: компьютеры

Category was added automatically. Read all entries about "компьютеры".

пумба

Информационная безопасность в Сбере

Я тут приболел слегка и поэтому у меня есть время на всякие глупые посты. Например про информационную безопасность. Я, может быть кажется, немного параноик, но у меня есть чёткое ощущение, что информационной безопасности уже не существует. И уже, похоже не будет существовать - опоздали лет на 15-20. А понимание ценности информации придёт (опять таки - у нас в стране) лет через 5, наверное. На все тыканья пальцем в откровенные дыры многие разработчики ПО просто отмахиваются до сих пор ("Да кто ж нас ломать-то будет"), только крупнейшие начали оперативно и системно реагировать. К счастью MS и 1С - с которыми я сталкиваюсь чаще остальных относятся с каждым годом всё серьёзнее.
Это я всё к чему? Да вот пошёл госпошлину в Сбербанк заплатить. А Сбербанк надо сказать из совкового быдлобанка семимильными шагами движется в светлое будущее. У них и ставки по кредитам минимальные и доступность филиалов/банкоматов в разы ваше ближайших конкурентов, интернет-обслуживание развивают, сотрудники стали опрятными и приятными в общении. В общем - прогрессивный банк. В том отделении, куда я зашёл - куча терминалов самообслуживания, банкоматов, электронная очередь, кофейный автомат, чисто, светло, реклама по телевизору - в общем, всё очень пристойно (несмотря на плотный поток посетителей). Стоит в энтом отделении "информационный киоск" или ХЗ как он там называется, в общем комп с сенсорным экраном, без клавиатуры с открытым в полноэкранном режиме браузера сайтом банка. Ну. Я посмотрел на экран секунды две, потом подумал "Ой, а что будет если нажать на ссылку, которая ведёт к PDF файлам?". Нажал. Привет, меню "Пуск" ОС Windows XP! Дальше лезть было лень, но меню "Стандартные" там вполне было. Наверное и экранная клавиатура была.
Вот тут большинство скажет - подумаешь, меню пуск нашёл, что ж тут страшного? Страшное здесь следующее:
1. Это была тупо первая, примитивная, простейшая идея "А что если...". И уже на ней прокол.
2. Это комп, подключенный к Интернету, физически находящийся в банке, оснащённый видеокамерой.
3. Я точно знаю, что еще несколько лет назад CTRL-F3 в Citrix в Сбере отключен не был. CTRL-F3 в Citrix - аналог CTRL-SHIFT-ESC.
4. Это Сбербанк. С огромными бюджетами, ненаплевательским (относительно) отношением к безопасности, огромным количеством сотрудников и клиентов. В мелких банках всё хуже.

Да, конечно, я не идиот и понимаю, что будучи в Сбере я засветился на всех видеокамерах, но это только потому что я от них и не скрывал лицо. Да, я надеюсь что хотя бы пользователь этого компьютера не Администратор. Но всё же это серьёзная дыра. Тем более исправить её легко чуть-чуть изменив настройки браузера.

Существующая инфорамцонная безопасность держится, похоже, ровно на том, что "не особо то и ломают". И если США говоря про викиликс упоминают 11 сентября, то у них еще есть шанс организовать хоть какую-то информационную безопасность, а у нас еще нет даже намёков на понимание серьёзности проблемы.
пумба

Бизапастнасть и 1С

Конечно, с каждым годом 1С всё более и более отвественно относится к безопасности. И на текущий момент грамотно выстроенная информационная система на 1С уже не "заходи-кто-хочет-бери-что-хочешь". Но подход у них к безопасности какой-то эволюционный. Эволюционный не в смысле "постепенный", а в смысле "работает естественный отбор", не системное движение исходя из современных требований и сложившихся практик, а методом затыкания дыр и патчинга патчей. И это на уровне платформы, а на уровне прикладных решений даже сейчас дремучий лес - в типовой УПП почти любой пользователь имеет право на загрузку данных, а там code injection тупо в формат зашит.
И мелких штрихов, подчёркивающих это просто вагоны. Collapse )
пумба

Переход с 1С:Предприятие 8.0 на 1С:Предприятие 8.1.

Выкладываю рабочую инструкцию-памятку по переходу с 8.0 на 8.1. Может кому пригодится. Учтите, что это сугубо рабочий документ для достаточно опытных одинэсников и "нажмите кнопку далее" там не найти.

Collapse )

Если у кого-то есть вопросы - отвечу
пумба

Современная магия.

Магия существует. Но не та магия, которая описывается в различном фэнтэзийном чтиве, а вполне обыденная магия. Да я сам один из магов. Именно так меня воспринимает большинство заказчиков и работодателей. Я делаю под заказ некий артефакт (настройку 1С), которой уже может этим пользоваться, не зная как оно работает. Но это еще магия достаточно простая. По большому счету большинство специалистов занимаются магией - действиями, которые никто, кроме них самих объяснить не может. Для большинства пользователей ПК магия начинается уже со включения его в сеть. Для меня она начинается позже. Я хотя бы представляю в общих чертах, как этот ящик работает. Для тех, кто сомневается в существовании магии, объясните (для себя), как работает обычная ячейка флэш-памяти :) в деталях. В общем выстраивается такая цепочка:
  • Юзер - магия начинается с непонимания ящика в принципе. Последние понятия, которым может оперировать: окошки, курсор
  • Прикладной программист (средний одинэсник). Не понимает ни COM ни MS SQL в принципе. Еще понимает пользователя.
  • Прикладной программист (продвинутый). Понимает COM и MS SQL. Еще немного понимает пользователя. Не понимает, что творится в HAL.
  • Разработчик СУБД/ОС. Сам делал COM и MS SQL. Не понимает пользователя. Понимает, что творится в HAL, но не понимает, как и чего происходит в очереди CPU и не понимает что творится на шине PCI.
  • Разработчик драйверов. Иногда понимает COM, но не MS SQL. Не понимает пользователя. Понимает, что творится в HAL, понимает, как и чего происходит в очереди CPU и понимает что творится на шине PCI.Немного представляет, что творится внутри микросхемы.
  • Разработчик железяки. Не понимает ни COM, ни MS SQL, ни пользователя. Знает, что есть драйвер, который мучает железку из HAL. Шину PCI знает вдоль и поперёк.Сам разрабатывал микросхему.

Всё это, конечно напоминает картину "Ведьмака из Большого Киева" Васильева. Но это было лишь соглашение о терминах. А теперь сама мысль. В любой системе без понимания причинно-следственных взаимосвязей возникают мифы и приметы. В этом нет ничего необычного. Если кошка перебежала дорогу, то произойдёт неприятность, а если мышкой не тыкается эта иконка, то скоро кранты системе. Чеснок отпугивает вампиров, а антивирус - злых хакеров. Всё так и должно быть. И всё хорошо, пока эти приметы вам сообщат "маги". Плохо, когда пользователь начинает их придумывать сам, особенно плохо, если придумывает глупо и неверно. "После того, как ты настроил 1С у нас вирусы появились". Проверил. Нет, тётка, это не вирусы. Это кривые руки. И растут они не из моей, а из твоей толстой жопы.

ЗЫ: Хоть это и не имеет отношения к вышесказанному, я только что наорал на трёх начальников. Зато они всё поняли.