> Мой пойнт в тому, що хакі з доступом до сорців впливають на повсякденне життя приблизно ніяк.
Чорт його знає. Я знаю, чому і як такі хаки можуть бути проблемними, знаю, що доступ до репозиторії охороняють, але, можливо, роблю неправильні висновки. Можливо, жоден з тих експойтів, які використовують, щоби красти і шахрувати, почався не від викрадення чужого коду. Так що, вважай, переконав.
> А якщо хтось переймається за бізнес дрібних компаній, в яких нема адекватних сек'юріти практик - то я повторююсь, > що їх і так хакають серйозні люди регулярно, навіть не докладаючи до того зусиль, чисто автоматично. > (Я не жартую - більшість хаків реально автоматизована.)
Tell me about it. Кажу ж, я зараз працюю в одній з топ компаній з боротьби з онлайн шахрайством, високо сиджу, далеко бачу :)) Всякі боти -- важлива компонента, хоча, як не дивно, не єдина. В шахрайстві ж що головне? Правильно, монетизація. А монетизацією займаються частіше таки люди.
> До речі, імена, адреси, SSN - це вже публічна інформація. Ховати її - це security theater.
If you say so, можеш свої публікувати на головній сторінці, я свої не буду :) Насправді, цю інформацію треба ховати навіть якщо серйозні люди уже все давно мають. Тому що зараз лише цей security theater дозволяє якось обмежувати масове крадівництво, і недаремно всякі організації, державні і приватні, платять грубі гроші, щоби ці крадіжки обмежити... Одним з найефективніших (з тих, що нині деплойнуті в реалі) методів обмежити один з видів цих крадіжок є відслідковування певних аспектів процесу перевірки актуальньності цеї "публічної" інформації. Якщо у шахрая буде точна, незабруднена шумом і фейками, інформація про імена, адреси і SSN конкретних людей, то цей метод перестане працювати.
> А проблема кредиток та рахунків - це проблема не сорців, це проблема доступу до середовища та інших security практик.
А дірки в доступі до середовища можна побачиги в сорсах. Хоча, цілком можливо, що група шахраїв, яка експлуатує цю дірку, вичитала його не в краденому коді, а задіяла одного з девелоперів зсередини. Не пам'ятаю, чи в одному к коментів тут, чи в якомусь з недавніх постів я описував реальний випадок ongoing fraud'а в величезній організації, на якому втрачаються мільйони (якщо не десятки мільйонів) доларів щороку, і який став можливим через то, що хтось добре розібрався в джаваскріпті на вебсайті організації. Ми не знаємо, чи ця група вичислила це методом тика, чи вкрала код, чи там є інсайдер, але крадуть саме через діру в коді. Навіть не так діру, як поганонаписаність.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2021-12-31 08:08 pm (UTC)Чорт його знає. Я знаю, чому і як такі хаки можуть бути проблемними, знаю, що доступ до репозиторії охороняють, але, можливо, роблю неправильні висновки. Можливо, жоден з тих експойтів, які використовують, щоби красти і шахрувати, почався не від викрадення чужого коду. Так що, вважай, переконав.
> А якщо хтось переймається за бізнес дрібних компаній, в яких нема адекватних сек'юріти практик - то я повторююсь,
> що їх і так хакають серйозні люди регулярно, навіть не докладаючи до того зусиль, чисто автоматично.
> (Я не жартую - більшість хаків реально автоматизована.)
Tell me about it. Кажу ж, я зараз працюю в одній з топ компаній з боротьби з онлайн шахрайством, високо сиджу, далеко бачу :)) Всякі боти -- важлива компонента, хоча, як не дивно, не єдина. В шахрайстві ж що головне? Правильно, монетизація. А монетизацією займаються частіше таки люди.
> До речі, імена, адреси, SSN - це вже публічна інформація. Ховати її - це security theater.
If you say so, можеш свої публікувати на головній сторінці, я свої не буду :) Насправді, цю інформацію треба ховати навіть якщо серйозні люди уже все давно мають. Тому що зараз лише цей security theater дозволяє якось обмежувати масове крадівництво, і недаремно всякі організації, державні і приватні, платять грубі гроші, щоби ці крадіжки обмежити... Одним з найефективніших (з тих, що нині деплойнуті в реалі) методів обмежити один з видів цих крадіжок є відслідковування певних аспектів процесу перевірки актуальньності цеї "публічної" інформації. Якщо у шахрая буде точна, незабруднена шумом і фейками, інформація про імена, адреси і SSN конкретних людей, то цей метод перестане працювати.
> А проблема кредиток та рахунків - це проблема не сорців, це проблема доступу до середовища та інших security практик.
А дірки в доступі до середовища можна побачиги в сорсах. Хоча, цілком можливо, що група шахраїв, яка експлуатує цю дірку, вичитала його не в краденому коді, а задіяла одного з девелоперів зсередини. Не пам'ятаю, чи в одному к коментів тут, чи в якомусь з недавніх постів я описував реальний випадок ongoing fraud'а в величезній організації, на якому втрачаються мільйони (якщо не десятки мільйонів) доларів щороку, і який став можливим через то, що хтось добре розібрався в джаваскріпті на вебсайті організації. Ми не знаємо, чи ця група вичислила це методом тика, чи вкрала код, чи там є інсайдер, але крадуть саме через діру в коді. Навіть не так діру, як поганонаписаність.