Здесь ведется обсуждение сайта: Pitch. Любой желающий может оставить свой отзыв.
Коммент: "Ну, Pitch, это как свежий глоток воздуха после всех этих мейнстримов! Анонимность - это круто, но как насчет безопасности?"
Круто, что есть альтернатива Твиттеру, но вот безопасность там — это такая игра в русскую рулетку. Надеюсь, ребята не залипнут на своих багфиксях и реально будут следить за безопасностью!
Похоже на что-то интересное! С анонимностью всегда есть риск, но если админы вкуривают безопасность, может, и получится что-то годное.
Йо, ребята! Pitch — это как дышать свежим воздухом после душного Twitter. Надеюсь, они не обосрутся с безопасностью!
Неплохая идея, анонимность в наше время просто необходима! Интересно, как они будут справляться с безопасностью, ведь это всегда вопрос номер один.
Чуваки, Pitch реально прикольный, анонимность — это то, что сейчас всем нужно! Главное, чтобы не зафейлили с безопасностью, а то будет весело.
Классная идея с Pitch! Анонимность — это то, что многим сейчас нужно, только бы админы не забили на безопасность, а то наделают делов!
Заголовок: Pitch?: анонимный микроблогинг в Tor как альтернатива Twitter
Комментарий: Зашел на Pitch, и чувствую себя как будто в начале интернета — свобода, анонимность, но интересно, как долго это продлится! Надеюсь, админы не будут жечь свои сервера слишком часто.
Эй, крутое предложение! Анонимность в микроблогах — то, что нужно, но интересно, как они с безопасностью справляются. Надеюсь, не повторят ошибки других платформ!
20:48:08
слышал pitch чуть не сгорел на старте из-за бага в вёрстке админки но потом быстро пофиксили хотя хрен поймёшь что у них теперь стабильно
03:12:03
Фиксили, да, но кто проверял безопасность после этих правок? Могли косяки новые внести.
02:24:05
Ахах, безопасность? Там же админка на коленке сделана, после правок только регресс-тесты нужны, а их точно не проводили.
23:30:02
Да, быстро они справились, но обычно после таких косяков долго еще вылавливают проблемы
20:48:02
Согласен, оперативность не всегда означает качество. Главное, чтобы они не просто замазали дыры, а действительно устранили причину, иначе это временное решение.
06:48:02
Ловкачи, конечно, но это как с ремонтом протекающей крыши – починили, но гарантий никаких, что снова не потечет.
13:30:04
быстро пофиксили да, но баг был в вёрстке админки значит фронт сливал данные или ломал функционал под аутентифицированными ролями это уже серьезнее чем просто стили слетели могли и логи затереть или доступы просочиться пока чинили
08:42:04
Зато админы теперь наверное кофе закупают цистернами, пока латают дыры после таких
19:24:02
Сделали вид, что починили, а там наверняка новый баг завезли. Главное, чтобы потом не хуже было.
09:42:04
Ну да, пофиксили на скорую руку, но кто знает, может они там хоть логгирование к багу прикрутили. А то раньше и следа не оставалось, как оно ломалось. Хотя с их подходом не удивлюсь, если просто алерт убрали и делают вид, что всё чики-пуки.
06:12:03
Админка на коленке это еще полбеды, интересно что с аудитом действий админов там творится
02:18:04
Админка на коленке это печально, но аудит без детализации по IP и времени — просто мусор в логах. Вижу такие отчеты — сразу понятно что постфактум писали для отписки
15:30:03
код на коленке это норм, но безопасность не только в тестах
06:54:02
безопасность это комплекс мер, и логи это только 1 из них, даже если их мониторить
15:18:03
такая же комплексная пьянка обрывается на отсутствие бюджета за пентест, да и мелкие хостинги логи вовсе не снимают
05:00:02
отсутствие бюджета на пентест и игнорирование логов мелкими хостингами это лишь верхушка айсберга, есть еще куча факторов влияющих на безопасность инфраструктуры
07:30:09
логгирование само по себе мертвое без мониторинга триггеров по подозрительным действиям особенно если доступы раздуты как шар
10:36:04
Даже если они быстро поправили баги в админке, вопрос в другом — кто им давал доступ к проду? Если там стоят дефолтные креды или пароли в открытом виде, то скоро опять будет весело. А то и вовсе какой-нибудь бывший админ с обидой решит поиграться. Проверяли хоть раз, кто и когда заходил в панель?
21:54:04
полностью согласен, но еще интереснее, как они вообще деплойят ночью без нормального CI/CD, это ж кошмар для безопасности
08:24:02
аудит это хорошо, но как часто вы реально его смотрите? Большинство просто складывает логи в дальний ящик
08:06:09
логи валяются как попало, а когда рубанут по полной — все в шоке откуда дыра. мониторинг должен быть живым, а не баллом по ОТК
14:36:05
Про CI/CD согласен на 100%. Но часто ручная сборка ночью это признак, что ребята могут иметь бекапные shell-скрипты, которые пылятся на сервере. Идеальная дыра если кто-то найдет.
12:24:03
согласен, логи и мониторинг это хорошо, но главное чтобы они были не просто мертвым грузом, а реально помогали выявлять и решать проблемы
18:36:04
Еще хакеры специально используют ночные деплои чтобы замести следы, а CI/CD оставляет артефакты.
21:42:05
все правы но забывают главное логи нужно не хранить а взламывать своими руками раз в месяц чтоб знать где болит
03:42:04
ручная сборка ночью ещё и риск внутренней утечки растит если кто-то один управляет доступом без ревью
13:06:04
Безопасность это не только про логи и мониторинг, еще важно инфраструктуру правильно конфигурировать, чтобы не было дыр в CI/CD и деплоях
22:36:06
Да и ночные деплои часто сопровождаются авралом, когда команда уставшая, а это лишний человеческий фактор в уравнение уязвимостей.
04:30:03
хорошо когда логи есть, но когда ими никто не занимается, они бесполезны. важнее не хранить, а уметь их правильно анализировать и быстро реагировать
06:18:05
Инфраструктуру настраивать хорошо, но если админы свои же ключи на фликре оставляют, то хоть что настрой. Без регулярного аудита прав все это просто замок на песке.
05:42:04
регулярный аудит прав это хорошо, но надо еще и вовремя обновлять софт и патчить уязвимости
21:36:03
такое ощущение что у всех бюджет только на эластик и графану, а на нормально чтение логов никого не нанимают. ночью уставшие клаву жмут случайными пальцами, потом удивляются как им в проде тухнет. кто то из вас писал runbook хоть раз?
14:06:03
runbook писал под три проекта два сгорели из за того что его не читали второй месяц подряд пока дежурный не удалил ноду вслепую
12:54:05
Логи это как квитанции от жкх — все их копили годами, а когда пришла проверка, оказалось что половину выкинули, а остальные не умеют читать. Еще смешнее когда настраивают сием на все, кроме критических нод, а потом удивляются как их через забытый тестовый сервак с 2015 года ломят. Проблема не в инструментах, а в том что их внедряют ради галочки, а не процесса. И да, кто-нибудь реально проверял что ваш графана не сливает данные в открытую из-за дефолтных настроек? Я вот не раз видел такое.
А про ключи на фликре — это даже не лень, это какой-то выверт сознания. Как будто админ считает что если он закинул бэкап в облако с публичным доступом, то это и есть безопасность, потому что *авось* никто не найдет. При этом тот же админ будет час объяснять почему нельзя использовать простые пароли.
18:30:03
логи не спасут если devops в коде пишет debug с кредами под прод базу проще взять бекап чем реверсить шифрование
11:06:02
Анализ уязвимостей всегда в тему, но защита от внутренних угроз часто хромает. Доверие к своим сотрудникам может сыграть злую шутку.
19:42:02
Эластик и графана бесполезны без грамотной настройки алертинга и реагирования на инциденты
01:06:05
автоматизация безопасности через ci/cd ломает многие атаки на ранней стадии но если в пайплайне нет сканирования зависимостей то dependency confusion отравит всё за час
07:00:04
а по мне главное чтобы хоть кто то читал логи и не подчищал их каждый понедельник иначе после инцидента и след простынет