metaclass: (Default)
metaclass ([personal profile] metaclass) wrote2012-01-06 09:36 pm
  • Add Memory
  • Share This Entry

Assistent.by, продолжение

В комментарии пришел автор сабжевого сайта - онлайн-бухгалтерии для ИП:
http://metaclass.livejournal.com/651925.html?thread=10651029#t10651029
Перепощу, потому как мне их идея в некотором роде нравится, несмотря на огрехи в реализации:

Меня зовут Алексей Курец, я как раз автор и руководитель проекта Assistent.By. Прочитал всю ветку, хочу немного откомментировать.

1. Не совсем понятна боязнь хранить бухгалтерию в интернете. Изначально наш сервис предназначен только для "белой" бухгалтерии. Чтобы в три клика сгенерировать декларацию и пойти тратить заработанные деньги. Разумеется мы думаем о безопасности, но особого смысла от сворованной белой бухгалтерии нет. Если говорить совсем простым языком - у нас хранится только те данные, которые необходимы для генерации отчетности.

2. У нас применяется SSL-шифрование. Демо-версия работает без него, а зарегистированные пользователи работают по протоколу https, вот оно: https://user.assistent.by

3. Обработать и пересмотреть всю бухгалтерию Беларуси это крайне трудоёмкая задача. Действительно, пока не все идеально, но мы активно работаем над устранением недостатков, реализацией новых возможностей. Большое спасибо за найденные проблемы. Если найдете что-то еще - обязательно пишите, мы обязательно отблагодарим.

4. Похоже не все поняли, поясню: инвестор у нас уже есть. Не только инвестор, но и важный стратегический партнер - российская фирма "1С". Подробнее здесь: http://assistent.by/blog/3

Кстати, нам нужен отличный php-разработчик. Если есть желание работать с нами - пишите!

Я его предупредил, что тут будет сейчас адская травля и псение, но думаю, любому публичному сервису приходится отвечать на неудобные вопросы.
Flat | Top-Level Comments Only

[identity profile] vp.livejournal.com 2012-01-06 08:11 pm (UTC)(link)
Сервак забутился. Админу и владельцу пришли СМСки, что надо стартонуть все. Какие проблемы?

[identity profile] aliaksei.livejournal.com 2012-01-06 08:15 pm (UTC)(link)
Как он забутился, если пароли надо ввести до старта виндовз? Иначе вхуй такую криптографию, я пароли потом из свопа достану.

[identity profile] vp.livejournal.com 2012-01-06 08:19 pm (UTC)(link)
о, еще один ПХПшник детектед :)
Велкам ту зе реал ворлд, бейби.

[identity profile] w00dy.livejournal.com 2012-01-06 08:25 pm (UTC)(link)
не-не-не ребе, давайте конкретней.

[identity profile] vp.livejournal.com 2012-01-06 08:30 pm (UTC)(link)
Я псю :)
Какая проблема? Ну грузится сервер. Система загрузилась. Система и раздел, который зашифрован. Система отослала СМСки. Все.

[identity profile] w00dy.livejournal.com 2012-01-06 08:34 pm (UTC)(link)
ну а я сижу рядом с патченым sshd (или вообще прокси поднял) и смотрю что вы там набираете/пересылаете. Где защита?

[identity profile] aliaksei.livejournal.com 2012-01-06 08:26 pm (UTC)(link)
Я утрирую конечно про своп и винду. Но уровень красноглазой криптографии будет примерно такой.

[identity profile] vp.livejournal.com 2012-01-06 08:31 pm (UTC)(link)
Не, вполне себе будет стойко. Закриптовать веник - и будет им счастье. А на открытом венике - система. Толку с нее?

[identity profile] aliaksei.livejournal.com 2012-01-06 08:34 pm (UTC)(link)
На открытом венинке расшифрованые временные файлы после неудачного шатдауна. После удачного файлов нет, но есть незатертые сектора. Как-то хуево у тебя с параноей. Это ж азы крипто-вуду. :)

[identity profile] metaclass.livejournal.com 2012-01-06 08:36 pm (UTC)(link)
Временные на RAM диск, строго :)
Своп выключить к хуям, он на сервере БД бесполезен.

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 20:43 (UTC) - Expand

(no subject)

[identity profile] metaclass.livejournal.com - 2012-01-06 20:44 (UTC) - Expand

[identity profile] vp.livejournal.com 2012-01-06 08:38 pm (UTC)(link)
Откуда какие-то временные файлы? Ничего временного нет - дисковое пространство все закриптованно.
Ты, видимо, никогда не сталкивался. Считай, что у тебя диск на момент записи прозрачно криптуется.

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 20:48 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:00 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:05 (UTC) - Expand

(no subject)

[identity profile] metaclass.livejournal.com - 2012-01-06 21:07 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:11 (UTC) - Expand

(no subject)

[identity profile] metaclass.livejournal.com - 2012-01-06 21:12 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:15 (UTC) - Expand

(no subject)

[identity profile] vp.livejournal.com - 2012-01-06 21:32 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:14 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:16 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:15 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:14 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:19 (UTC) - Expand

(no subject)

[identity profile] metaclass.livejournal.com - 2012-01-06 21:22 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:26 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:35 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:41 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:49 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:50 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:53 (UTC) - Expand

(no subject)

[identity profile] nivanych.livejournal.com - 2012-01-07 04:28 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:45 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:48 (UTC) - Expand

(no subject)

[identity profile] vp.livejournal.com - 2012-01-06 21:20 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:23 (UTC) - Expand

(no subject)

[identity profile] d4s.livejournal.com - 2012-01-06 21:26 (UTC) - Expand

(no subject)

[identity profile] d4s.livejournal.com - 2012-01-24 13:24 (UTC) - Expand

[identity profile] w00dy.livejournal.com 2012-01-06 08:24 pm (UTC)(link)
вот-вот, и я об этом. защита данных это не только стойкая криптография и два мальчиша кибальчиша, это ещё и автоматчик на входе и пиропатрон на венике. Чтобы навернякак, если что. А бекапы где-то в Ботсване лежат и там их кровавая гебня не достанет.

[identity profile] metaclass.livejournal.com 2012-01-06 08:28 pm (UTC)(link)
Пароли на контейнер с данными. Толку тебе от пустой винды или линукса?

[identity profile] aliaksei.livejournal.com 2012-01-06 08:31 pm (UTC)(link)
Потом внезапно оказывается в свопе, временных файлах или незатертых секторах оно все лежит в открытом виде.

[identity profile] gnom-virtuoz.livejournal.com 2012-01-06 08:53 pm (UTC)(link)
своп можно тоже зашифровать, /tmp вообще в tmpfs запихнуть, чо.

[identity profile] aliaksei.livejournal.com 2012-01-06 08:56 pm (UTC)(link)
Ну да, в линуксятине с этим проще.
(deleted comment)

[identity profile] w00dy.livejournal.com 2012-01-07 08:36 am (UTC)(link)
да тут все уже походу вообще потеряли связь с реальностью. Срач идёт и больше ничего не нужно.

[identity profile] w00dy.livejournal.com 2012-01-06 08:29 pm (UTC)(link)
хорошо, бутнулся. А мы тут раз, и запихнули в sshd кейлогер, так, на всякий случай. Вы же небойсь не проверяете после входа что sshd аутентичный?

[identity profile] vp.livejournal.com 2012-01-06 08:34 pm (UTC)(link)
Ребе, это уже другой уровень немного :)
Но ваш ход мысли мне нравится!

[identity profile] nivanych.livejournal.com 2012-01-07 04:30 am (UTC)(link)
Ччорт...
Проснулся, зачитался комментами и забыл про утреннюю проверку аутентичности sshd на всех серваках!!
Правда, суббота же. Это меня должно полностью оправдывать.

[identity profile] w00dy.livejournal.com 2012-01-07 08:42 am (UTC)(link)
так это интересный вектор атаки для разной мелвари. Пробились на машину, пересобрали sshd (благо сорцы есть, тулчейн тоже), поставили, сгенерили свой ключ, положили в keyring, поправили метаданные пакета, чтобы yum/apt не ругался при проверке и всё. 83% линупсовых администраторов даже не поймут что их поимели и не смогут самостоятельно вычистить заразу.

[identity profile] nivanych.livejournal.com 2012-01-07 12:59 pm (UTC)(link)
Да это понятно...

[identity profile] perepertoz.livejournal.com 2012-01-07 06:45 pm (UTC)(link)
а вы в ro монтируйте систему, и сорцы выкидывайте ;)

[identity profile] d4s.livejournal.com 2012-01-07 07:24 pm (UTC)(link)
особенно, если в yum/apt запретить обновлять или просто задрать версию пакета.
можно еще перенастроить обновления на недоверенный источник -- тоже хорошая тема

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-07 21:54 (UTC) - Expand
Flat | Top-Level Comments Only