![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
malyj_gorganСлухайте, а хтось може в парі абзаців пояснити, що то таке сабж і з чим його їдят? Дідько з нею, з його vulterability'ею, я хочу зрозуміти, чим був такий хороший чи зручний чи потрібний сам log4j, що та вульнерабіліті виявилася такою проблємною? Тільки пояснити так, на хлопский розум, без відсилань в непотрібні абревіатури.
Дякую!
Дякую!
no subject
Date: 2021-12-31 08:40 pm (UTC)А ось тут не погоджусь. Якось обмежувати масові крадіжки дозволяє не лише те, що ніхто не знає мого SSN - як раз навпаки, його всі, в кого є бажання та декілька десятків доларів ВЖЕ знають (привіт Experian з його "традиційними" практиками: окремими QA, code freezes і іншою фігнею з 90х).
Масові крадіжки дозволяє обмежувати цілий комплекс засобів: починаючи з 2FA, продовжуючи автоматизованим fraud detection і закінчуючи жорсткими обмеженнями на максимальну суму операції/кількість операцій (limiting the blast radius).
Ем, ми про різні речі.
Якщо, напр ти бачиш в сорцах, що там є умовний бекдор, яких слухає на порту 4444 - але цій порт не просто закритий - доступ до нього можна отримати тільки on-premises, з 2FA при логіні і перевіркою фото в айді охоронцем, то можна з високою впевненістю казати, що
(а) лівому дрібному чорту це не дасть аж нічого,
(б) серйозні люди давно вже той доступ отримали.
А якщо доступ до цього порту може отримати кожен бажаючий, то можна гарантувати, що все ВЖЕ зламане. (і зайвої шкоди вже не буде, бо вона ВЖЕ трапилася, хехе)