Security Wine Chat (бывший DevSecOps Chat)

18 Oct 2024 20:51

Удаленная занятость.

Доход от ПЯТСОТ ДОЛЛАРОВ в неделю.
несколько часов в день с хорошим доходом.
от восемнадцати лет.

Если интересно ставь «+» в личные сообщения

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 16:59

ну т.е. речь про некую внешнюю проверку? А то по тексту - у меня было ощущение, что API-сервис сам как-то должен был это понять

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:44

С точки зрения бизнеса это может быть чувствительно, нужно конечно сначала оценить где есть tls ниже 1.2, собрать логи и посмотреть сколько таких подключений вообще и важны ли они. Но много быть не должно. А вот если 1.2 тоже запрещено и можно только последнюю версию тогда да, это проблема)

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:41

если ты суппортишь старые версии - есть атаки на даунгрейд протокола

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:38

мне казалось супортить предыдущие версии тлс все таки обязательно?
ну т.е. я не могу же посылать всех клиентов которые не обновились нахер?)

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:27

ну, qualys ssl labs делают именно такое - подключаются к условному вебсерверу по всем возможным протоколам и шифрам (так как согласованный протокол и шифр = подмножество того, что умеет И СЕРВЕР, и КЛИЕНТ) и дают отчет

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:25

Коллеги, в статье с рекомендациями по проектированию безопасности API

Обеспечение безопасности должно включать следующие шаги:
— Проверка того, что трафик поступает через туннель TLS и использует последнюю версию протокола
— Туннель TLS использует безопасный набор шифров, цифровых подписей и хеш-функций. Это требование зависит от технологии и потребует тщательного выбора наиболее безопасных параметров, поддерживаемых сервером и всеми клиентами, которым необходимо будет подключиться к API.

Security Wine Chat (бывший DevSecOps Chat)

11 Oct 2024 18:19

Пытаются масштабировать путём набора людей, только людей нет

Security Wine Chat (бывший DevSecOps Chat)

11 Oct 2024 10:36

Ребятки подскажите, а как завайтлистить скан в tenable сканере?
Все обшарил - не нашел. Оно реально не умеет или я уже в глаза того?))

Security Wine Chat (бывший DevSecOps Chat)

10 Oct 2024 20:17

Нуууу... в компаниях на 70к..100к по миру оно слишком рамазано. Одни - партнёры, другие аудиторы, кто-то церберы... в среднем, если апп тима не творит ад - помогают быть compliant все

Security Wine Chat (бывший DevSecOps Chat)

10 Oct 2024 20:09

В 3х больших финтехах мирового масштаба: Формальным политиками и тренингами представили на онбординге и обещали кары, если аудит что-то найдёт, что б соблюдали ))

Security Wine Chat (бывший DevSecOps Chat)

10 Oct 2024 08:33

Удаленная занятость с хорошим доходом:

_От 18 лет.
_несколько часов в день.

Если интересно пиши в ЛС.

Security Wine Chat (бывший DevSecOps Chat)

08 Oct 2024 17:32

подписать его, положить в образ, и еще раз подписать

Security Wine Chat (бывший DevSecOps Chat)

08 Oct 2024 17:30

был на офзоне такой доклад
там кто-то даже сием прикручивал к изменению хэш сумм внутри виртуалки\контейнера
наркомания)))нравится

Security Wine Chat (бывший DevSecOps Chat)

08 Oct 2024 17:27

да
но вроде как почему нет
подписать то не проблема
а вот с проверкой чет хз пока
но ок

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 17:29

Апи сервису обычно пофиг, он за реверс прокси

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 16:06

Если ты имеешь возможность юридическую ограничения предоставления услуг по безопасности - это делать нужно.

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:41

не 1.1 это ваще треш же уже

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:40

через старые версии можно задосить, 1.2+ лучше держать

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:28

https://www.ssllabs.com/ssltest/analyze.html?d=www.google.com&s=142.250.189.4&hideResults=on&ignoreMismatch=on

Security Wine Chat (бывший DevSecOps Chat)

16 Oct 2024 15:26

ты же про TLS терминацию на самом сервере? То есть там условный NGINX и ты можешь в явном виде разрешить только высокие (новые) версии протокола и сильные шифры и при подключении по слабому шифру - давать отлуп клиенту и записывать аудит

Security Wine Chat (бывший DevSecOps Chat)

13 Oct 2024 08:04

https://overthewire.org/wargames/

Security Wine Chat (бывший DevSecOps Chat)

11 Oct 2024 18:17

Это нравится, жалко нигде не встречал

Security Wine Chat (бывший DevSecOps Chat)

10 Oct 2024 20:18

Но с практикой "чем дальше от айти - тем меньше уделяю внимания секу" я столкнулся ещё году в 2006м в РФ ОАО

Security Wine Chat (бывший DevSecOps Chat)

10 Oct 2024 20:13

То есть сесурити больше как контрольный орган?

Security Wine Chat (бывший DevSecOps Chat)

10 Oct 2024 19:56

Всем привет, Говоря про общую ответственность: как вы внедряли ее у себя?
Может быть есть какие-то доклады по этой теме?

Security Wine Chat (бывший DevSecOps Chat)

08 Oct 2024 17:33

И с сертификатом из тпм2 целевой системы зашифровать )))

Security Wine Chat (бывший DevSecOps Chat)

08 Oct 2024 17:32

sbom надо сгенерировать

Security Wine Chat (бывший DevSecOps Chat)

08 Oct 2024 17:28

Зная чек суммы файлов внутри докера можно потом проверить хоть даже при запуске контейнера

Security Wine Chat (бывший DevSecOps Chat)

08 Oct 2024 17:25

Мне кажется кто-то где-то параноит ))) Как в аэропорту Стамбула отбирают даже маникюрные ножницы и перочинные ножи меньше ладони