Assistent.by, продолжение

[metaclass]

В комментарии пришел автор сабжевого сайта - онлайн-бухгалтерии для ИП:
http://metaclass.livejournal.com/651925.html?thread=10651029#t10651029
Перепощу, потому как мне их идея в некотором роде нравится, несмотря на огрехи в реализации:

Меня зовут Алексей Курец, я как раз автор и руководитель проекта Assistent.By. Прочитал всю ветку, хочу немного откомментировать.

1. Не совсем понятна боязнь хранить бухгалтерию в интернете. Изначально наш сервис предназначен только для "белой" бухгалтерии. Чтобы в три клика сгенерировать декларацию и пойти тратить заработанные деньги. Разумеется мы думаем о безопасности, но особого смысла от сворованной белой бухгалтерии нет. Если говорить совсем простым языком - у нас хранится только те данные, которые необходимы для генерации отчетности.

2. У нас применяется SSL-шифрование. Демо-версия работает без него, а зарегистированные пользователи работают по протоколу https, вот оно: https://user.assistent.by

3. Обработать и пересмотреть всю бухгалтерию Беларуси это крайне трудоёмкая задача. Действительно, пока не все идеально, но мы активно работаем над устранением недостатков, реализацией новых возможностей. Большое спасибо за найденные проблемы. Если найдете что-то еще - обязательно пишите, мы обязательно отблагодарим.

4. Похоже не все поняли, поясню: инвестор у нас уже есть. Не только инвестор, но и важный стратегический партнер - российская фирма "1С". Подробнее здесь: http://assistent.by/blog/3

Кстати, нам нужен отличный php-разработчик. Если есть желание работать с нами - пишите!

Я его предупредил, что тут будет сейчас адская травля и псение, но думаю, любому публичному сервису приходится отвечать на неудобные вопросы.

Comments

[w00dy.livejournal.com]

> Там винчестер на сервере, я надеюсь, криптуется?

А смысл шифровать веник если ключи лежат рядом?

[metaclass.livejournal.com]

Смысл есть. Ключи могут вводится один раз при монтировании вручную. Далее если винт вынимают или комп отключают - контейнер сам не примонтируется уже.

[w00dy.livejournal.com]

а ключ будет написан на бумажке у админа прилепленой к монитору. Тобишь к бутылке за проход в ЦОД нужно будет ещё закуси добавить, не вопрос :)

[vp.livejournal.com]

Не, ну не у админа ж ЦОДа. Владелец сервака после того, как он грузится, подключается и монтирует диски только ему известным способом. Все.

[w00dy.livejournal.com]

вы же понимаете что если 31-го декабря трактористы отключат свет в цоде, то сервис поднимется только вечером 9-го января. И о какой availability тогда говорить можно?

[vp.livejournal.com]

Ну вот за это 20 баксов в месяц ИПшник и будет платить, чтоб поднимали быстро, и сервис был.

[w00dy.livejournal.com]

вы в это верите что такой сервис с такой параноидальной защитой будет стоить 20$?

[vp.livejournal.com]

Это МИНИМУМ, который вообще должен делаться автоматически, как резервное копирование, чтобы владельца потом ИПшник не пристрелил за утечку информации.
Самая печаль по комментам, что судя по всему, владелец без понятия, куда его толкают.

[craneop.livejournal.com]

В здешних краях - нет. В мире тыщи их, и я бы наверное кое-каким доверил бы бухгалтерию, ога.

[aliaksei.livejournal.com]

Допустим найдется целый один ипешниг готовый за что-то платить. Но врядли кто-то будет за его двадцать баксов пропускать гей-вечеринку, чтобы поднять сервак.

[vp.livejournal.com]

И что, пассфразы тоже лежат? И ключевые файлы в нужном порядке указываются автоматически? :)
Приезжайте, дедушка Кахес научит вас качественной паранойе :)

[aliaksei.livejournal.com]

Ой таки окажется пассфраза - день рождения любимой кошки. Таки мало паранои самой по себе, нужна качественная.

[w00dy.livejournal.com]

Ребе, с ключами фигня в том что кто-то их должен вводить, иначе это всё выеденого яйца не стоит. А если так, то значит никакого автомагического востановления после сбоя не будет, сервак будет лежать и ждать пока добрый дядя не сделаем магические пасы руками. А дальше уже всё просто: "пароль" знают как минимум несколько человек, значит и подходы к ним искать уже проще. В общем от кражи спасает только автоматчик который сначала стреляет, а потом проверяет документы (или пиропатрон выжигающий веник к чертям :)

[vp.livejournal.com]

А при чем тут автоматическое восстановление? Данным, разбитым в рейж, совершенно фиолетово, там мп3 файлы или криптоконтейнеры. Ну абсолютно рейду ВСЕ РАВНО.

[w00dy.livejournal.com]

я не про то. Вот бутнули сервак, толи питание пропало, толи пьяный сисадмин не ту кнопку нажал. И что теперь? Сервис всё, лежит и ждём пока введут ключ?

[vp.livejournal.com]

Сервак забутился. Админу и владельцу пришли СМСки, что надо стартонуть все. Какие проблемы?

[aliaksei.livejournal.com]

Как он забутился, если пароли надо ввести до старта виндовз? Иначе вхуй такую криптографию, я пароли потом из свопа достану.

[vp.livejournal.com]

о, еще один ПХПшник детектед :)
Велкам ту зе реал ворлд, бейби.

[w00dy.livejournal.com]

вот-вот, и я об этом. защита данных это не только стойкая криптография и два мальчиша кибальчиша, это ещё и автоматчик на входе и пиропатрон на венике. Чтобы навернякак, если что. А бекапы где-то в Ботсване лежат и там их кровавая гебня не достанет.

[metaclass.livejournal.com]

Пароли на контейнер с данными. Толку тебе от пустой винды или линукса?

[w00dy.livejournal.com]

хорошо, бутнулся. А мы тут раз, и запихнули в sshd кейлогер, так, на всякий случай. Вы же небойсь не проверяете после входа что sshd аутентичный?

[vp.livejournal.com]

Ребе, пароль знает владелец бизнеса и его Главный Админ. Все.

[john-f-doe.livejournal.com]

такие вот два мальчиша-кибальчиша, которые главную военну тайну, причем чужую, никому не выдадут, ни за бочку варенья, ни за хобот в дверь )

[aliaksei.livejournal.com]

Особенно когда встанет вопрос использования несертифицированой криптографии.

[vk11.livejournal.com]

"шифрование... пароли... отдел к... пальцы в двери - и ты рассказываешь содержимое своего винчестера в хэксе" (с) глуш ~десять лет назад