1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Сейчас задача - автоматизированно мониторить. А потом уже разбираться кто виноват (тестеры\разрабы\DevOps\DevSecOps или ещё кто-то), если проблема снова появилась
Читать полностью…
главное - напишите правильные обработчики (правила)
Читать полностью…
Коллеги, такой вопрос. Есть несколько десятков API-сервисов. Их нужно как-то автоматизированно мониторить на безопасность. Причины мониторинга: опасение, что уязвимости, которые были ранее устранены на API-сервисе, после очередного обновления снова появятся. Если это важно - 2 самые распространённые проблемы безопасности: IDOR и не авторизованные запросы.
Есть ли какие-то готовые решения в этой области (платные или бесплатные)?
P.S. На данном этапе нет возможности устранять эту проблему на уровне DevSecOps
CUWO NFTs
Dropped $CUWO NFTs. If you have ever staked or held $ETH on your balance, you have been dropped 1 free NFT token. You can check it at this link
учитывая последние законы, всякие GDPR
такие метрики должны быть максимально прозрачны
Вся отвественность же на том кто использует эти метрики, законы рекомендуют быть прозрачным для пользователя, ясно расписывать какие и куда данные отправляются. А если ты как разработчик использующий эти метрики сам этого не знаешь, то и пользователю это объяснить будет невозможно
Поэтому мне кажется всякие google analytics и яндекс метрики сами стремяться к такой прозрачности о сборе данных, иначе их бы в виду GDPR, ФЗ-152 и прочих, никто бы не использовал. Например у гугла вроде можно включать/выключать сбор для разных данных https://support.google.com/analytics/answer/9019185?hl=en#zippy=%2Cin-this-article
Для яндекс метрик можно вот это почитать https://yandex.ru/support/metrica/general/gdpr.html, https://yandex.ru/support/metrica/general/confidential-data.html
Можно объяснить бизнесу, зачем тратить силы на настройку этих метрик и сборка, через призму этих законов и возможных штрафов. Хотя вроде в случае ФЗ-152 штрафы небольшие, мб бизнес и скажет забить болт на это. Что тоже решение
Да, я это понимаю. Как раз тут подчёркивалось негативное влияние на результаты в поисковиках при отказе от метрики. Потому и возник вопрос: есть ли какая-то золотая середина? Чтоб и бизнесу не мешать, и безопасность поднять. Ясно, что во внутренних сервисах компании можно без метрики (и её аналогов) обойтись. А что делать с внешними? Если там могут быть персональные данные и нет уверенности, что при очередном обновлении метрики она вдруг не станет собирать больше того, что ей изначально дозволялось
Читать полностью…
все в соответствии с N 94-V
Читать полностью…
оба тугрики тьху тенге принимают
Читать полностью…
я хочу чтобы сама кантора была в КЗ
Читать полностью…
яндекс вроде там появился, может servercore поможет
Читать полностью…
Или просто купить у амнезии
Читать полностью…
Помню какой-то браузер поймали году в 2012м на том, что он проиндексировал внутренние сайты компаний: сотрудник открывает
app.intranet.company.ru
Оно, но был еще какой то
Читать полностью…
Таймвеб плохой хостинг
Читать полностью…
А есть рецепт как амнезию на старом ноуте поднять, чтобы раздавать сразу трафик по виф после впн , для девайсов безклиентных
Читать полностью…
Пусть тестеры сделают автотесты?
Читать полностью…
предположу, что помогут ZAP и Metasploit
Читать полностью…
hurry up t.me/memhash_bot/start?startapp=15vKAf
Читать полностью…
Привет, Ольга Кайгородова! Пройди анти-спам проверку за 2 мин.
Читать полностью…
Объяснить и принять риски(с себя снять ответственность) Минимизировать со своей стороны настройками и периодической проверкой.
Ну вообще там не только поисковик. Там очень хорошо отслеживать множество действий пользователей и бизнес метрик с этим связанных
История в метриках чаще не про разработчиков, а про бизнес все таки, и чувствую, что бизнес будет сильно против.
Читать полностью…
и ОООшку вроде имеют локальную
Читать полностью…
а с яндексом в чем проблема
Читать полностью…
а мб есть какой норм хост в КЗ ?
Читать полностью…
Добрый день, вопрос если честно очень большой :)
В целом замена всех аналитик (Яндекс.Метрика, Google.Analytics и тп) на onprem невыгодная для среднего (и часто крупного) бизнеса задача по 2 причинам:
1. Дорого стоит в плане ресурсов, людей, поддержки, меньшего числа данных и аналитики по клиентам и тп.
2. Учитывается в минус поисковыми машинами Яндекс/Google, что ухудшает позиции в поиске и может быть критично.
Open source замена аналитик: matomo.
Замена GTM / Firebase / AppMetrika уже другая история, тоже маловероятная, особенно firebase с возможностью отправки push.
Вопрос защиты данных систем нужно начинать с понимания как они у вас настроены, что передается, кто к каким данным получает доступ и зачем, не забыли ли включить всем 2FA ;)
PS рекомендую почитать про то, что сейчас в движке Google Chrome скоро заблокируют third-party cookies (https://habr.com/ru/articles/773260/), это вновь потребует пересмотреть наборы передаваемых в Яндекс данных.
И небольшой нюанс, что РКН подключенную Google Analytics считает трансграничной передачей ПДн со всеми вытекающими, пару таких дел можно найти, но карательные меры пока выборочные.
Возьми хетцнер или Яндекс или Селектел
Читать полностью…
Это sentry, glitchtip, divolte, и была замена аналитики, я название забыл
Читать полностью…
Больше скажу, есть некоторые хостинг провайдеры, у которых датацентры располагаются где-нибудь, например, в Швеции/Нидерландах.
Вот если на таких развернуть wg все тоже в порядке, т.к. они видимо в каких-то белых списках