| 1.1, Аноним (1), 10:04, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +16 +/– |
Все правильно, информация должна быть свободной, как и говорил Столлман.
| | |
| |
| 2.8, troll00 (ok), 11:00, 12/05/2019 [^] [^^] [^^^] [ответить]
| –7 +/– |
 О да, а почему вы не выложите здесь ссе свои персональные данные?
| | |
| |
| 3.10, Аноним (1), 11:06, 12/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я не столлманист. Столлман кстати тоже не столлманист, раз и сам не выкладывает.
| | |
| |
| 4.53, lucentcode (ok), 22:42, 12/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Он - редкостный параноик, что не пользуется даже мобильным, не то что смартфоном. Как думаете, стал бы он выкладывать личные данные о себе? Скорей чувак скроет даже то, что скрывать не стоит. Шапочку из фольги не носит, и то хорошо...
| | |
| |
| 5.71, Заслуженный Параноик (?), 11:23, 13/05/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Он - редкостный параноик, что не пользуется даже мобильным, не то что смартфоном. Как думаете, стал бы он выкладывать личные данные о себе? Скорей чувак скроет даже то, что скрывать не стоит. Шапочку из фольги не носит, и то хорошо...
А откуда ты это знаешь? Ты за ним следишь да?! Я так и знал! Ха!!! Мы все это знали!
| | |
|
|
|
|
| 1.2, zanswer CCNA RS and S (?), 10:12, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Часто в новостях вижу эту СУБД и в основном причина взлома не правильная настройка прав доступа. Неужели у этой СУБД такая сложная конфигурация, что при настройке многие так часто ошибаются?
| | |
| |
| 2.3, тоже Аноним (ok), 10:29, 12/05/2019 [^] [^^] [^^^] [ответить]
| +9 +/– |
 Достаточно сделать кривой настройку по умолчанию - и безопасность накроется тазом.
Проверено многими жoпоруками, начиная с Майкрософт.
Правда, информация, которая оказалась скомпрометированной в этой новости - база данных по миллионам индийцев - здорово напоминает лемовского "демона второго рода".
| | |
| |
| 3.5, А (??), 10:40, 12/05/2019 [^] [^^] [^^^] [ответить]
| –8 +/– |
Такую настройку и надо делать по умолчанию, что бы выводить на чистую воду горе-айтишников.
| | |
| |
| 4.6, anonymous (??), 10:46, 12/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Жертвуя при этом персональными данными сотниями миллионов пользователей? Не соглашусь.
| | |
| |
| 5.20, Аноним (20), 12:57, 12/05/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
сотнями миллионов -> индийских <- пользователей...
плохая карма!
| | |
|
| 4.66, тоже Аноним (ok), 09:05, 13/05/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Если ваша цель - доказать всем одноклассникам, что д'Артаньян - именно вы, тогда вы совершенно правы.
| | |
|
|
| 2.4, Аноним (4), 10:38, 12/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Причем, давно по умолчанию в настройках закрыт доступ снаружи. Индусы либо несколько лет не обновляли монгу, либо открыли после обновления всем - ибо так привычней.
| | |
| |
| 3.7, anonymous (??), 10:47, 12/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Не пользовался MongoDB, но предположу, что, скорее, после обновления был оставлен старый конфиг.
| | |
| |
| 4.30, Аноним (30), 15:22, 12/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Нет, там надо явно прописать доступ всем ip, т.к. в конфиге появилась новая опция, в которой по дефолту только localhost.
| | |
| 4.76, Аноним (76), 20:17, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
она уже года 4 имеет localhost по-умолчанию. Если не больше.....
| | |
|
| 3.15, Аноним (15), 11:59, 12/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Расскажи нам как ты обновляешь базы данных на лету на проде. Картинка с мужиком в шляпе.jpg
| | |
| |
| 4.31, Аноним (30), 15:23, 12/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Беру и обновляю. Сначала на тестовом сервере, потом на слейве и лишь в конце обновляю мастер, если все хорошо (обычно проблем не бывает).
| | |
| |
| 5.43, Аноним (43), 18:24, 12/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Сначала на тестовом сервере
Слабак.
Далек ты от реальности где индийский менеджер скажет тебе на индийском: "Хрен тебе, а не сервер". И единственным вариантом ничего не запороть будет ничего не обновлять.
| | |
| |
| 6.67, индийский менеджер (?), 09:56, 13/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
еще проще: у нас ci/ct (мы без модных технологий не могем), тестовый сервер как бы есть и не один. Там даже тестовый кластер с шардом и фэйловером есть - теоретически, ты мог бы все отладить (я тебя за это всего лишь оштрафую, как за трату рабочего времени не на мои задачи а на непонятную блажь - ну в пятую смену отработаешь, ничего страшного). Практически - а код-то ты тоже исправлять сам будешь? У тебя и доступа-то на запись к тому репо нет.
Нет, задачи ставить ты не можешь, ты не менеджер разработчиков, и даже я - не.
И нет, если ты уронишь разработчикам тестовую площадку - тут штрафом не отделаешься, вышвырнут с волчьим билетом- ты за всю жизнь не расплатишься за неправильно потраченное рабочее время этой стаи обезьянок (не потому что они шибко дорогие, конечно)
| | |
|
|
|
|
| 2.29, лютый жабист__ (?), 14:58, 12/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>Часто в новостях вижу эту СУБД и в основном причина взлома не правильная настройка прав доступа
Наверняка проблема в том, что изначально доступ закрыт фаерволом, соответственно авторизация особо не нужна. Повод повешать не на внешний интерфейс - например наличие реплик или шардинга.
А потом фаервол кто-нить отломал, аппаратный или системный и опаньки приплыли...
| | |
| |
| 3.38, пох (?), 18:03, 12/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
проблема в том что доступ в ман..монд...тьфу, монге - настраивается не нормальным человекопонятным конфигом или, хотя бы, общеупотребимым языком, а совершенно череззаднично, описание этого - вика (ну ты понял - тнул туда, почитай сюда, перелистни туда...короче, бессистемный набор как попало кросслинкнутых страничек), админу для его задач это ненужное ненужно никогда не понадобится, поэтому в командах он плавает (к тому же там с первой попытки у всех обычно получается поломать прод, а вот настроить правильно не только лишь у каждого - опять же из-за неизмеримого черезжопия этой настройки, где даже выделить одну фиксированную отдельную базу для всех доступов, как у того же mysql, макакам оказалось немодно и немолодежно).
А потом эти альтернативно-одаренные разработчики прикрыли очко bind'ом к 127.0.0.1, с которым, разумеется, работают только васян-локалхосты.
Фиревал в aws - фикция, поскольку ты заколебешься на ходу добавлять в него инстансы.
При этом в том же aws работают миллионы му...ой, mysql'ей (тоже не в васян-конфигурациях все, поди) - и что-то я не слышал чтоб хоть хоть с одного вытащили или пошифровали данные.
Потому что делали для людей - еще в те годы, когда было принято думать головой и делать руками, а бангалорского глиномеса посылать месить дальше.
| | |
| |
| 4.45, Аноним (45), 19:03, 12/05/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>При этом в том же aws работают миллионы му...ой, mysql'ей (тоже не в васян-конфигурациях все, поди) - и что-то я не слышал чтоб хоть хоть с одного вытащили или пошифровали данные.
Оно и понятно. Кто ж в здравом уме будет хранить какие-то ценные данные в MySQL, да ещё и в таком количестве? Васянский форум на phpBB — вот потолок этой «системы» «управления» «базами» «данных». Экономическую целесообразность шифрования форума можешь сам прикинуть.
| | |
| |
| 5.60, пох (?), 07:19, 13/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Кто ж в здравом уме будет хранить какие-то ценные данные в MySQL, да ещё и в таком количестве?
и как мы до вас, хипстоты, жили, ума не приложу?
второй после гугля в России собиральщик личных данных, например, успешно получился (настолько успешно, что гугль дважды пытался купить) - до рождения ман..монги в принципе. С тех пор возможности железа "немножечко" выросли. Раз этак самое малое в десять.
А ты васян, меньше читай мусорных постов в реддите, больше читай умные книжки - да-да, с 70х годов в области баз данных "открытий" не сделали, только выдавали хорошо забытое старое за них, авось и наймешься на работу куда-нить получше своего форума на phpbb, кроме которого явно ничего в глаза не видел - и узнаешь, что, внезапно, монга тут совсем необязательна, и нужна совсем для других вещей (была, поскольку при нынешней лицензии ну ее нафиг).
| | |
| |
| |
| 7.75, пох (?), 18:58, 13/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
хнык-хнык... ты себе хорошо представляешь заварушку с _облачным_ oracle ?
это такое... теоретически оно есть, а практически поддержание даже слабораспределенного ораклового кластера вызывает желание купить билет в любую страну, не связанную обязательствами выдачи преступников, "и хрен вы меня найдете!"
Остальные в списке я бы посортировал как postgres/mysql/mssql в сторону уменьшения желания либо бежать в другую страну, либо повеситься в сортире когда "оно вот, опять!" (абстрагируясь от реальной возможности запихать одну и ту же бизнес-логику во все четыре)
С ораклом on premises ты хотя бы можешь спасаться наращиванием мощности сервера, но если у тебя уже архитектура где-то там в чужих облачках парит - вряд ли тебе понравится rtt 100 при каждом обращении к базе, поэтому пользовать будешь то что дадут поближе к твоим подам.
| | |
|
|
|
|
|
| 2.51, Аноним (51), 22:21, 12/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Просто тут по умолчанию открыто все что можно. Если в какой-нибудь MariaDB нужно попариться, чтоб включить какой-то внешний доступ, то здесь нужно попарится чтоб его выключить =)
| | |
| |
| 3.62, пох (?), 07:24, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
не, совершенно не нужно - стек, копи-пасть, хрясь - доступ закрылся, перезапускаем прод, потому что он накрылся для всех, элементов кластера в том числе, и теперь только перезагрузка позволит вернуть управление. Сравнение c mysql (с его современными видами auth plugins) - задача на дом.
тут уже один девляпс брался меня учить как это легко и просто - если его инструкцию буквально выполнить - результат именно такой.
поэтому по умолчанию и открыто - ниасилено сделать умолчательное "закрыто" так, чтоб оно работало для всех из коробки.
| | |
|
|
| 1.9, Анимайзер (?), 11:03, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> из-за ненадлежащих настроек доступа СУБД MongoDB оказались выставлены сведения о 275 млн жителей Индии
Тревожная новость и заставляет задуматься. Эта проблема ещё 20 лет назад была неактуальна так, как сейчас в нынешний век интернета вещей, компьютеризации и цифровизации всего и вся. Но что сделать и как свести к минимуму такие оплошности и взломы БД с данными ничего не подозревающих граждан, которые даже об этом не задумываются и не представляют, что их персональными данными уже торгуют на чёрном рынке? Человеческий фактор был, есть и будет. Выгнать всех людей и доверить настройку и дальнейшее обслуживание обученному искусственному интеллекту?
| | |
| |
| 2.12, OpenEcho (?), 11:31, 12/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>с данными ничего не подозревающих граждан, которые даже об этом не задумываются
Вот именно в этом и есть вся проблема.
Люди ленивы и жадны. Если бы все просто читали privacy policy & terms of use то не было бы ни гугли не мордакнижке. Если бы люди понимали простую старую истину что бесплатный сыр бывает только в мышеловках, то не было бы такого глобального надзора не только от гос.структур a также от массы житрожопых
| | |
| 2.18, developer (??), 12:36, 12/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
просто наказание несоизмеримо с выгодой/убытком. Рубить обе руки или голову. Никаких сроков за счет налогоплательщиков. Сразу будет мотивировать не заниматься этим.
| | |
| |
| 3.46, Аноним (45), 19:04, 12/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
В логах написано, что это ты сперва накосячил с настройкой, а потом увёл данные и продавал их на чёрном рынке. Давай сюда обе руки и голову.
| | |
|
| 2.22, Аноним (22), 13:02, 12/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>обслуживание обученному искусственному интеллекту
для которого алгоритмы пишут люди... Продолжай дальше верить в ИИ.
| | |
|
| |
| 2.40, пох (?), 18:09, 12/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
да нет, тут, к сожалению, именно манд...да что ж такое-то...руки сами набирают.
в общем вот такая db. От dbлов для dbлов.
девляпсам она тоже очень нравится, ну они вообще как ворона, все блестящее тащат - "то гильзу принесёт стреляную, то царскую монету с нацарапанным потайным словом, то ключ, на головку которого разноцветные нити намотаны. Однажды даже чей-то палец с обручальным кольцом..."
А разработчикам тоже все равно - они ни в sql не умеют, ни в что другое - какая разница, что копипастить со стековерфлоу. Ну и модные заклинания про "шардинг", тимлиды любят, тут, недавно, в комментах один выступал.
| | |
| |
| 3.55, Онаним (?), 23:18, 12/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> девляпсам она тоже очень нравится, ну они вообще как ворона, все блестящее
> тащат - "то гильзу принесёт стреляную, то царскую монету с нацарапанным
> потайным словом, то ключ, на головку которого разноцветные нити намотаны. Однажды
> даже чей-то палец с обручальным кольцом..."
Записал себе вмемориз, спасибо :)
| | |
| |
| 4.56, Онаним (?), 23:20, 12/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Помню, что это вроде из народного творчества на тему простоквашина, но могу ошибаться.
| | |
| |
| 5.63, пох (?), 07:28, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
"Большой Дом".
жаль что автор к середине скурвился и вместо пародии свалился в бредовую борьбу бобра со злом (очень ненатурально выглядящую в мире, где Малый Ключ - книжка для повседневного чтения)
| | |
|
|
|
|
| 1.37, Аноним (37), 17:53, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>База включает в себя такие сведения как ФИО, email, номер телефона, дата рождения, данные об образовании и профессиональных навыках, историю трудоустройства, информацию о текущей работе и зарплате.
Неужели AADHAAR ID и биометрических данных нет?
| | |
| 1.48, Викентий (?), 20:24, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
О 275 млн. жителей Индии? Хэдхантеры сумеют заработать на отлове индусских кодеров.
| | |
| 1.50, Айран (?), 22:09, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
по ссылке на интересно читать про последовательность событий:
"1 мая я обнаружил незащищенную"
"данные, вероятно, были собраны анонимным лицом или организацией в рамках масштабной операции очистки:"
"проиндексирован 23 апреля 2019 года."
"Я немедленно уведомил индийскую команду CERT об этом инциденте, однако база данных оставалась открытой и доступной для поиска до сегодняшнего дня, 8 мая, когда ее взломали хакеры, известные как группа «Unistellar»"
либо индийская CERT не смогла найти хозяина базы за 8 дней либо у них майские праздники, либо владельцу было пофиг
| | |
| 1.52, Аноним (52), 22:41, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>Индии
Арара уруру, почему же почему не работает система крот? Внедряемся?!
| | |
| 1.59, Gannet (ok), 00:56, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Неужели кто-то действительно считает, что проблема в БД?
>неизвестные злоумышленники зашифровали имеющиеся данные и стали требовать у владельца выкуп за расшифровку.
Интересно, сколько потребовали: пару-тройку долларов наверное.
| | |
| |
| 2.64, пох (?), 07:30, 13/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
да, я считаю что проблема в bd с пришитой сбоку бантиком кривой авторизацией.
То что индусские девляпсы ниасилили ее защитить другими, внешними средствами - это отдельная история.
| | |
| |
| 3.72, anonymous (??), 13:18, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Постоянно вижу этот термин "девляпсы", но не очень его понимаю. Речь про DevOps? Если да, то про любых, или только криворуких? Что вообще вкладывается в этот термин?
| | |
| |
| 4.78, пох (?), 20:51, 13/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
речь о том что они в силу профессииональных требований криворуки почти по определению. У этих людей навыков администрирования обычно не бывает, они вообще больше от разработки идут чем от админов.
> Что вообще вкладывается в этот термин?
вот та фигня, что, по идее, спроектировала этот монговский кластер, под какую-то завязанную на облачно-мамазонскую инфраструктуру... а на практике "быстро, запилил нам монгу, объем такой-то (underestimated в 200 раз), территориальная распределенность чтоб rtt был 2, в крайнем случае 2.2, шардинг нам пофиг но чтоб работало, с каких инстансов будем ходить и как сами пока не знаем, и чтоб вчера было готово! И для девелоперов отдельный снапшот раз в день делай! Образ - вон тот с докерхаба возьмешь".
пряморукий и не пойдет в такое, и быстро пряморуким быть перестанет, потому что некогда читать и разбираться, надо было вчера.
А если ты на все это глядишь, чертыхаешься, и говоришь "ладно, будет вам ваша монга - в изолированной сети, условия нашей облачной поделки позволяют такую и такую, я померяю и скажу, какую выберем, ходить будете на такие вот адреса вот таким образом, нет, не колебет что вам надо код переделать, ИБ другое не одобрит" - то все нормально, ты обычный админ. Но чаще всего подобная должность в этих проектах не предусмотрена.
| | |
|
|
|
| 1.68, Нанобот (ok), 10:37, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >I have immediately notified Indian CERT team on the incident
это такой индийский аналог спортлото?
| | |
| 1.79, Аноним (-), 05:42, 17/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вывод очевиден: централизованные сервисы - это хрень полная. Всё должно быть децентрализовано.
| | |
|
