metaclass: (Default)
metaclass ([personal profile] metaclass) wrote2012-01-06 09:36 pm
  • Add Memory
  • Share This Entry

Assistent.by, продолжение

В комментарии пришел автор сабжевого сайта - онлайн-бухгалтерии для ИП:
http://metaclass.livejournal.com/651925.html?thread=10651029#t10651029
Перепощу, потому как мне их идея в некотором роде нравится, несмотря на огрехи в реализации:

Меня зовут Алексей Курец, я как раз автор и руководитель проекта Assistent.By. Прочитал всю ветку, хочу немного откомментировать.

1. Не совсем понятна боязнь хранить бухгалтерию в интернете. Изначально наш сервис предназначен только для "белой" бухгалтерии. Чтобы в три клика сгенерировать декларацию и пойти тратить заработанные деньги. Разумеется мы думаем о безопасности, но особого смысла от сворованной белой бухгалтерии нет. Если говорить совсем простым языком - у нас хранится только те данные, которые необходимы для генерации отчетности.

2. У нас применяется SSL-шифрование. Демо-версия работает без него, а зарегистированные пользователи работают по протоколу https, вот оно: https://user.assistent.by

3. Обработать и пересмотреть всю бухгалтерию Беларуси это крайне трудоёмкая задача. Действительно, пока не все идеально, но мы активно работаем над устранением недостатков, реализацией новых возможностей. Большое спасибо за найденные проблемы. Если найдете что-то еще - обязательно пишите, мы обязательно отблагодарим.

4. Похоже не все поняли, поясню: инвестор у нас уже есть. Не только инвестор, но и важный стратегический партнер - российская фирма "1С". Подробнее здесь: http://assistent.by/blog/3

Кстати, нам нужен отличный php-разработчик. Если есть желание работать с нами - пишите!

Я его предупредил, что тут будет сейчас адская травля и псение, но думаю, любому публичному сервису приходится отвечать на неудобные вопросы.
Flat | Top-Level Comments Only

[identity profile] vp.livejournal.com 2012-01-06 08:31 pm (UTC)(link)
Не, вполне себе будет стойко. Закриптовать веник - и будет им счастье. А на открытом венике - система. Толку с нее?

[identity profile] aliaksei.livejournal.com 2012-01-06 08:34 pm (UTC)(link)
На открытом венинке расшифрованые временные файлы после неудачного шатдауна. После удачного файлов нет, но есть незатертые сектора. Как-то хуево у тебя с параноей. Это ж азы крипто-вуду. :)

[identity profile] metaclass.livejournal.com 2012-01-06 08:36 pm (UTC)(link)
Временные на RAM диск, строго :)
Своп выключить к хуям, он на сервере БД бесполезен.

[identity profile] aliaksei.livejournal.com 2012-01-06 08:43 pm (UTC)(link)
Ой, там такое вуду, что хватит на отдельного спеца, который мигом проест весь грант. Чего от сервиса за двадцать в месяц ожидать сложно.

[identity profile] metaclass.livejournal.com 2012-01-06 08:44 pm (UTC)(link)
Да, инвесторские деньги сожрать можно мигом.

[identity profile] vp.livejournal.com 2012-01-06 08:38 pm (UTC)(link)
Откуда какие-то временные файлы? Ничего временного нет - дисковое пространство все закриптованно.
Ты, видимо, никогда не сталкивался. Считай, что у тебя диск на момент записи прозрачно криптуется.

[identity profile] aliaksei.livejournal.com 2012-01-06 08:48 pm (UTC)(link)
Оке, посоветуй мне конкретную систему целиком шифрующую диск и не требующую ввода пароля до старта винды (мы еще про винду?). А то я сталкивался с теми, которые требуют ввести пароль сразу после загрузки биоса, либо монтирующими контейнеры с данными, не затрагивая остальное. В линуксятине конечно грамотнее сделано.

[identity profile] aliaksei.livejournal.com 2012-01-06 09:05 pm (UTC)(link)
Ну расскажи подробнее что он там шифрует? Я им пользуюсь только для хранения в контейнерах.

[identity profile] metaclass.livejournal.com 2012-01-06 09:07 pm (UTC)(link)
Весь диск винды же.
Грузит драйвер чуть ли не до ntoskrnl.exe

[identity profile] aliaksei.livejournal.com 2012-01-06 09:11 pm (UTC)(link)
И не просит пароль до появления виндового логина? Надо глянуть что они там наделали за это время.

[identity profile] metaclass.livejournal.com 2012-01-06 09:12 pm (UTC)(link)
Э, просит вроде. Я что-то упустил, ты хотел чтобы не просило?

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:15 (UTC) - Expand

[identity profile] vp.livejournal.com 2012-01-06 09:32 pm (UTC)(link)
Если системный раздел - просит, если несистемный - запускается как обычно.

[identity profile] aliaksei.livejournal.com 2012-01-06 09:14 pm (UTC)(link)
System encryption involves pre-boot authentication, which means that anyone who wants to gain access and use the encrypted system, read and write files stored on the system drive, etc., will need to enter the correct password each time before Windows boots (starts). Pre-boot authentication is handled by the TrueCrypt Boot Loader, which resides in the first track of the boot drive and on the TrueCrypt Rescue Disk.

Таки просит пароль до загрузки винды?

[identity profile] w00dy.livejournal.com 2012-01-06 09:16 pm (UTC)(link)
да.

[identity profile] w00dy.livejournal.com 2012-01-06 09:15 pm (UTC)(link)
Pre-boot authentication is handled by the TrueCrypt Boot Loader, which resides in the first track of the boot drive and on the TrueCrypt Rescue Disk.

в общем как и в линупсах с грубом, если не ошибаюсь.

[identity profile] w00dy.livejournal.com 2012-01-06 09:14 pm (UTC)(link)
умеет диск, но я так понимаю смысл в том чтобы ценные данные положить в контейнер и монтировать уже после загрузки системы и поднимать всё вручную.

[identity profile] aliaksei.livejournal.com 2012-01-06 09:19 pm (UTC)(link)
Абисняю еще раз. Программы работают с данными и в ходе своей работы генерят временные файлы, срут в своп и еще стопицот вариантов утечек делают. А даннные да, типа надежно лежат в котейнере.

[identity profile] metaclass.livejournal.com 2012-01-06 09:22 pm (UTC)(link)
Если это наша софтина - то я все 100500 временных файлов изведу в каталог куда надо в любой форме.
Своп это вопрос, если нельзя его отключить - то придется лезть в узкоспецифические области, аналогичные "не дать сосвопить на диск страницу с паролями".

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:26 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:35 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:41 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:49 (UTC) - Expand

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:50 (UTC) - Expand

(no subject)

[identity profile] w00dy.livejournal.com - 2012-01-06 21:53 (UTC) - Expand

(no subject)

[identity profile] nivanych.livejournal.com - 2012-01-07 04:28 (UTC) - Expand

[identity profile] w00dy.livejournal.com 2012-01-06 09:45 pm (UTC)(link)
я всё понимаю, то что я написал, я так подозреваю, это то о чём говорил ребе. При правильном подходе к снаряду (срём только в шифрованное место, страницы запрещаем свопать) жить можно, но ведь об этом думать нужно изначально, и не на php желательно.

(no subject)

[identity profile] aliaksei.livejournal.com - 2012-01-06 21:48 (UTC) - Expand

[identity profile] vp.livejournal.com 2012-01-06 09:20 pm (UTC)(link)
Трукрипт. Он о том, что там на диске, узнает только после того, как его запустят.

[identity profile] aliaksei.livejournal.com 2012-01-06 09:23 pm (UTC)(link)
Так, мы уже выснили трукрипт просит пароль до старта винды. Или какой у тебя вариант использования?

[identity profile] d4s.livejournal.com 2012-01-06 09:26 pm (UTC)(link)
ну вообще-то r/o boot + aufs over tmpfs -- на вениках ничего не остается, но, как сказали выше, от патченного sshd это не спасет.
от человека, имеющего физический доступ к серваку вообще мало что поможет.

[identity profile] anonim-legion.livejournal.com 2012-01-23 10:20 pm (UTC)(link)
TPM-модуль в материнке спасет.

[identity profile] d4s.livejournal.com 2012-01-24 01:24 pm (UTC)(link)
угу.
но как я его ненавижу!!! сейчас в рюкзаке лежит ноут с пересаженной мамкой и не грузится :(
Flat | Top-Level Comments Only