Хабрахабр: Коллективные / Блоги / Захабренные Голосов: 10 Адрес блога: http://habrahabr.ru/blog/ Добавлен: 2007-10-24 18:05:40 блограйдером Robin_Bad

Информационная безопасность / Есть ли серебрянная пуля анализа уязвимостей

2011-06-19 10:23:23 (читать в оригинале)

В комментариях к моей предыдущей статье amarao задал мне очень хороший вопрос. Он спрашивал, как именно, пользуясь какими правилами, мы ищем уязвимости в программном обеспечении. Приведу часть этого вопроса:

По каким алгоритмам, по каким правилам? Или это всё на наитии «а я знаю что такое mim!»? В этом случае метод не описывает ровным случаем ничего где-то — подумал, где-то нет.

Этим вопросом amarao, вольно или невольно, привлекает внимание к проблеме объективности при оценке уязвимости программного обеспечения, насколько эта оценка зависит, или не зависит, от эксперта, ее проводящего. Вопрос является очень важным, и поэтому часто возникает как у специалистов по безопасности, так и у наших клиентов.
Действительно, если мы не имеем возможности объективно оценить безопасность предлагаемых нам продуктов, то как мы можем выбрать из них один, наилучшим образом удовлетворяющий нашим потребностям? Все производители, естественно, будут клясться, что именно их продукт — самый безопасный из когда-либо созданных. Более того, каждый из них, возможно, будет в это верить, причем, верить с полным на то основанием.
Кажется, что оценка программного обеспечения независимыми компаниями — например, сертификация — может решить эту проблему. Но если не существует объективного средства анализа, то, как мы можем проверить качество самой оценки? Ведь оценка программного продукта в этом случае — сама по себе продукт, услуга.
Несмотря на то, что эти вопросы обсуждаются достаточно часто, я не видел однозначного ответа на них. Но за время моей работы в этой области у меня сложились определенные представления о возможностях современных методик.
В этой статье я хочу проиллюстрировать следующую свою мысль: сегодня не существует алгоритма поиска уязвимостей, который бы гарантировал объективную оценку безопасности. Поэтому доверие к продукту может основываться только на репутации экспертов, проводивших его оценку, и на опыте его эксплуатации (по сути, на репутации взломщиков, которые пытались преодолеть защиту).

---

Системное программирование / Память и задачи

2011-06-19 05:49:53 (читать в оригинале)

Приветствую.
Сразу предупрежу, что пост полон личных соображений автора, которые могут быть ошибочными, да и тема эта обширна и интересна, так что обсуждение по теме в комментариях приветствуется.
Только сейчас осознал, что во-первых, не рассказал я многого, что полезно было бы знать перед тем, как писать код. К тому же есть намного более хорошие пути для реализации многозадачности, чем я упоминал в прошлом выпуске.
Также постараюсь последовать многочисленным советам и систематизировать содержание статей.

---

Виртуализация / [Ссылка] Русскоязычная конференция о хостинге на xen'е

2011-06-19 03:47:54 (читать в оригинале)

В связи с тем, что в рунете нет площадки, на которой можно обсуждать проблемы применения xen'а для хостинга (VDS, облака), я решил сделать список рассылки.

Надеюсь, он позволит общаться администраторам разных (конкурирующих) компаний в спокойной обстановке без ощущения взаимной конкуренции.

---

Разработка / Использование Amazon Web Services на примере wikipaintings.org

2011-06-19 02:55:17 (читать в оригинале)

Думаю, уважаемому сообществу будет интересно узнать о моем опыте разработки интернет проекта с использованием amazon web services.

Я не берусь утверждать, что весь проект идеален, однако я постараюсь описать основные решения, которые помогли сделать этот проект. Wikipedia.org, которая нас вдохновляла на работу, отдает 12 миллиардов страниц в месяц и поэтому мы старались с самого начала готовить код к росту популярности.

Что такое wikipaintings.org — www.wikipaintings.org/ru/About
Сейчас заканчивается первый этап разработки и основные задачи следующего этапа — привлечение волонтеров к наполнению сайта.

Если кому-то кажется, что картины – это скучно, оцените творчество Archimboldo — www.wikipaintings.org/ru/giuseppe-arcimboldo/spring-1573#supersized-artistPaintings-184903

Если же вам интересно наконец-то понять классификацию стилей живописи, добро пожаловать на www.wikipaintings.org/ru/paintings-by-style

Ну а теперь, после того как вы положили сайт Хаббраеффектом (если еще не положили – кидаем ссылку всем друзьям), давайте перейдем к главному – техническим советам.

---

Телекомы / Проприетарные модемы провайдеров 3/3

2011-06-19 01:49:52 (читать в оригинале)

Введение

Это заключительная статья про проприетарные модемы, вы можете ознакомиться с первыми двумя бир, эки.

Как и было запланировано, в этой публикации я просто сравню доступные на рынке ключевые решения. Хочу заранее предупредить, таблицы упорядочены по количеству доступной информации. Если я допустил ошибку, или вы располагаете большей информацией, с радостью включу её в статью.

Таблицы разделены на 3 части: равенства, абсолютное превосходство, сравнимые данные. Может и не обычный подход, но сравнение упрощается.

Картинка выше – это первый распространённый ADSL модем производителя SAGEM, отбренденного Wanadoo, ныне Orange. Возможно от него и пошла идея о создании своего дитяти.

Ну где же эти таблицы уже?