Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Miroslav Šilhavý

Stran: 1 ... 205 206 [207] 208 209 ... 212
3091
Studium a uplatnění / Re:Nízké mzdy v ČR
« kdy: 24. 09. 2017, 11:45:07 »
"ztráta efektivity (nová, línější generace)"
Tohle je zrovna jeden z nejobvyklejších nesmyslů.
Jak je hodnocena efektivita práce? Podle toho kolik výrobků daný člověk vyrobí? Nikoli je to podle toho za kolik se ten výrobek prodá a kolik mu za tu práci může někdo zaplatit. Pokud budu dělat jednu součástku celý den, ale zaměstnavatel mi přesto bude platit víc než někomu v jiném státě kde toho samé dělník vyrobí za stejnou dobu 3x tolik za menší mnzdu a prodá se to 4x levněji bude mít on menší produktivitu než já, ale přesto já budu dělat méně...

Jenže to je ono. My se srovnáváme s Němci v tom, kolik vyfrézujeme matiček u pásu. To je o produktivitě. Pak ale z těch matiček můžete vyrobit něco, co má přidanou hodnotu, a to prodat. A to Češi, až na světlé výjimky, neumějí. Za práci u pásu (resp. v jakékoliv nižší pozici) bude vždy minimální mzda, za kterou ještě seženete pracovníky. Když se nevyplatí frézovat matičky u nás, přesune se výroba do jiné země, kde půjde dobře pořídit materiál a cena práce bude nízká.

Takže ano, efektivita je o tom, co se z toho dokáže prodat. Klidně můžete vytvářet miliony balených psích hovínek měsíčně. Patrně v tom budete nejlepší na světe. Ale když to nikdo nekoupí, je taková činnost naprosto k prdu.

3092
Studium a uplatnění / Re:Nízké mzdy v ČR
« kdy: 24. 09. 2017, 11:24:57 »
Ludia si radsej urobia veci sami preto, lebo ked za to zaplatia nekrestanske peniaze, tak to vacsinou stoji za hovno.

Moje zkušenost je, že zákazník považuje za nekřesťanské peníze takovou částku, za kterou dodavatel nevydělá ani na chleba. Tím je spuštěný kolotoč, ve kterém se práce odflákává, nikdo nechce nést odpovědnost a zákazník se, přesně jako Vy, utvrdí v tom, že všichni ostatní jsou debilové (zatímco on sám je letadlo).

3093
Studium a uplatnění / Re:Nízké mzdy v ČR
« kdy: 24. 09. 2017, 10:05:55 »
1. Je nutné si uvědomit, že Německé mzdy nejsou Evropským průměrem, ale i na EU nadprůměrné.
2. Němcům to v posledních letech také začíná dělat velké problémy (ztráta konkurenceshopnosti, ztráta efektivity (nová, línější generace), atraktivita pro imigraci (tím nemyslím uprchlíky, ale pracovníky)).
3. Odborníci a Praha za EU průměrem už moc nezaostávají (neříkám, že vůbec).
4. V ČR je mezi lidmi za 40 let totality zakořeněno, že platit za službu, či platit marži je zločinem. Díky tomu víc a víc nakupujeme zboží v mezinárodních řetězcích, a práci si děláme svépomocí. Peníze tečou z ČR pryč, místo toho, aby kolovaly mezi svými.
5. Nejsme zvyklí: a) dávat top prioritu (a peníze) vzdělání, b) nejsme ochotní za prací cestovat ani v ČR, natož po EU, c) jazyková vzdělanost není nejlepší, a čeština není bohužel světový jazyk. Němčina ano.
6. Naše produktivita práce je nízká - sice se dřeme jak mezci, ale výsledek tomu neodpovídá.
7. Velké mezinárodní (technologické) firmy k nám nejdou kvůli naší odbornosti (tu dokážeme mít srovnatelnou s ostatními), ale jen kvůli nižším nákladům. Jejich jediným účelem zde je najímat na stejné pozice levnější lidi - těch je pořád dost.

3094
Hardware / Re:Notebook HP 14-r101nc, jaká distribuce linuxu?
« kdy: 23. 09. 2017, 18:33:21 »
To se mi prave moc nechce, uz jsem to taky někde četl. Už takhle mě štve, že když má notebook třeba 30% baterie a chci ho zapnout třeba za 2 dny, tak se bez připojení k siti ani nezapne.

Zdá se, že se budete muset smířit s realitou :), ono je vlastně škoda tady vyvolávat diskusi, pokud už jste vysvětlení i řešení našel :(.

3095
Hardware / Re:Notebook HP 14-r101nc, jaká distribuce linuxu?
« kdy: 23. 09. 2017, 11:57:08 »
Ja jsem uživatel, co si je schopen nainstalovat a odinstalovat software, tak že nějaké hokusy pokusy bych už musel řešit s nějakým expertem přes linux.

Z těch jednodušších úkonů mě ještě napadá, abyste ověřil, že máte nejnovější BIOS / případně ho aktualizoval.

3096
Sítě / Re:Blacklisty pro velké sítě na IPv6
« kdy: 23. 09. 2017, 11:19:17 »
A teď si představ, že si na venkově někdo otevře picérku s objednávkama na netu. Rozvoz do 10km, je tam pět vesnic. V každé 3x DSLAM, každý funguje jako CGNAT s jednou IP adresou. Jede na to polovina domácností. Takže polovina zákazníků firmy je jenom za 15 IP adresama. Pak přijde pitomec u hostingu, nastaví blbě pravidla pro blokaci a osm z nich zažízne... A podnikatel se ani se o tom, že si 1/4 zákazníků nemůže ani stáhnout ceník a vyhledat telefonní číslo, nedozví. No a když ta "krátkodobá blokace" nastane mezi jedenáctou a půl druhou, tak nejenom nemá ten den kšefty, ale může vyhodit nakoupený suroviny na standardní provoz... Prostě takový normální DoS ze strany hostingu ve jménu bezpečnosti. A to se vyplatí, že...

No zde si ale myslím, že si musí rozmyslet i ten majitel pizzerie, co je pro něj menší zlo a za jakou cenu. V praxi se většinou dozvíte, že 50 Kč měsíčně už je velký rozdíl, a že raději riskne malý výpadek.

V praxi samozřejmě problém, jaký popisujete, nenastává. Prahy detekce jsou hodně vysoko, aby zásah nenapáchal víc škody, než užitku. Ku příkladu se můžeme bavit o limitu na nová spojení přesahující rate 200 spojení / sec. s burstem 1000. Pokud naopak nějaká IP tento limit překročí, tak má pravděpodobně stejně dost problémů i na své straně, a stejně by postupně začala ohrožovat provoz serveru. V takový moment je podle mě prostě na místě celou IP na pár desítek minut odstavit.

3097
Hardware / Re:Notebook HP 14-r101nc, jaká distribuce linuxu?
« kdy: 23. 09. 2017, 10:58:03 »
Předem děkuji za radu (prosím zdržte se komentářů "prodej a kup jiný" apod..)

Máte jistotu, že je v pořádku? Doporučil bych, u staršího notebooku: 1. memtest, minimálně dva průchody, 2. kompletní vyčištění chlazení a přetěsnění chladiče CPU novou vrstvou teplovodivé pasty.

3098
Chci jen Antivirus, super rychlý antivirus co ty počítače üplně nezabije, žádný adware pro práci s cloudem, zahazování pošty zákazníků a jiný balast.

Se samotným výběrem neporadím, neb sám nevím - všichni výrobci zparchantěli.
Moje poznámka je k výkonu: výkon se velmi zvýší, pokud lze dobře nastavit kdy se AV kontrola provájí při zápisu, kdy při čtení a kdy při spuštění. Je např. poměrně zbytečné, aby AV kontrolu prováděl fileserver i stanice, při otevírání i při zápisu. Nastavení se pak liší podle toho, jestli mám PC v doméně, nastavená group policy, uživatelům odebraný admin k lokálnímu PC (to je důležité, hodně virů si pak neškrtne), jestli jsou profily uživatelů roamingové, běžné složky redirectnuté na síť atd.

Pokud něco z toho využíváte, pak hledejte AV podle stupně nastavitelnosti kontrol. Dříve na to byl skvělý ESET, ale pak z něj udělali omalovánky. Já osobně nyní používám Avast s hodně přizpůsobeným nastavením, funguje taky dobře.

3099
Vývoj / Re:Arduino a falešné poplachy
« kdy: 23. 09. 2017, 03:35:28 »
Zkousel sem kontakt cidla trvale pripojit a byl klid tak podezrivam cidlo, ale uvital bych nazor Vas ostatnich. Je to jen hracka, ale i tak me stve, ze nemuzu prijit na kloub tomu, kde se berou ty plane poplachy.

Můžu Vám akorát říct, jak fungují profesionální alarmy. Pokud čidla sama mohou mít nastavitelnou citlivost. Ale k tomu všemu se ještě za vyhlášení alarmu bere buďto kombinace alarmů z vícero čidel, nebo opakované signalizování alarmu z téhož čidla. Vím, že se to kdysi lišilo čidlo od čidla, výrobci to poměrně ladili, aby měli co nejméně falešných poplachů, a přitom moc neoslabili bezpečnost.

Doufám, že Vás to aspoň maličko nasměruje, jinak se omlouvám za v podstatě OT.

3100
Sítě / Re:Blacklisty pro velké sítě na IPv6
« kdy: 22. 09. 2017, 18:16:51 »
Proč si vymýšlíte věci, o kterých vůbec nic nevíte? V Evropě už pět let platí, že jeden člen RIPE dostane jednou 1024 IP adres, a tím to končí. Další IPv4 adresy může získat buď podvodem, kdy se zakládají fiktivní noví ISP (ale proti tomu už se podnikají nějaká opatření), a nebo nákupem od někoho, kdo má velké „zásoby“ ještě z doby, kdy bylo IPv4 adres habakuk a univerzity nebo velké firmy získaly na dnešní poměry obrovské bloky. Případně se něco dá „vytěžit“ v Africe.

Omlouvám se, v tomto máte pravdu.

3101
Sítě / Re:Blacklisty pro velké sítě na IPv6
« kdy: 22. 09. 2017, 17:25:34 »
Trochu mi uniká ta souvislost, proč když je zfušovaná aplikace, má být zfušovaná i její správa.
F2b je poslední instance, která může ještě něco zachytit. Nechápu, proč mi pořád vnucujete, že by to měla být první, nebo jediná. Cena nasazení a správy je blízká nule, o efektu se neshodneme, já tvrdím, že je pozitivní. False positives prakticky nemám, na f2b dojde zřídka kdy.

Ano, řeší, nebo spíš „řeší“, to blbě napsané aplikace. Ale aspoň se to snaží zastavit útok, který to detekuje. Ne jako fail2ban, která nechá několik útoků proběhnout, pak se konečně probere a zabanuje cokoli, co přišlo po útoku.
Jenže mod_security je poměrně strojově náročný, a v době probíhajícího útoku výkonový peak nemusíte ustát. Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat. Nechytejte mě za slovo, prosím, i já vím, že spoustu threadů odřízne prakticky bezpracně. A na ty ostatní mám nastavený f2b, a po překročení hodně vysoko nastaveného prahu je IP na pár (desítek) minut zablokovaná. A do samotného mod_security už by většina threadů stejně neměla dojí, protože jsou odchyceny dříve. Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.

Prozradím vám to tajemství, proč se používá NAT. Není to proto, že by to ISP bavilo, nebo že by nevěděli, čím by si ještě mohli zkomplikovat síť. NAT se používá proto, že IPv4 adres je už spoustu let nedostatek, a pořád se to zhoršuje. On by ten ISP rád dal každému zákazníkovi tolik veřejných IPv4 adres, o kolik si zákazník řekne – jenže ISP je nemá a nikdo mu je nedá.
Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí. Kdyby to bylo tak, jak říkáte vy, tak především velcí ISP by dávno NATOVALI, ale je zajímavé, že to dělají jen ti malí? Proč asi?

Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů.
Greylisting je opět až další level ochrany. Spousta spojení se dá ihned detekovat jako naprosto legitimní, a projdou bez zdržení (stačí používat SPF). Dále existují udržované DNS realtime whitelisty, které také rozumný admin pořídí a nasadí jako bypass. Greylisting se pak aplikuje už jen na ty, kteří na svoji doménu prdí, a nemají ji nastavenou tak, jak žádá rok 2017. Nejčastěji pak jde o zdržení prvního e-mailu z domény o cca 20 minut, a je poměrně bezpečné nechat pro tu samou IP adresu greylisting bypassnutý i několik týdnů - tj. zdržení na příjmu je např. jednou za měsíc. (Vetší mailové služby, které odesílají SMTP z více IP, bývají dost spolehlivě na whitelistech, takže se to rozhodně nedotkne žádných freemailů).

Takže pořád dokolečka: nevnucujte mi prosím, že zmiňované technologie jsou všespásné, nebo ochrana první volby. To jsem nikdy netvrdil. Také netvrdím, že to jsou metody, které se ve větším měřítku nedají plnohodnotně nahradit lepší technologií. Dají, ale ne každý má takový rozsah potřeb, aby si mohl dovolit investice do nich rozpustit. Pak se samozřejmě nabízí, jestli není vhodnější přejít na profesionální outsourcovanou službu, která má vše už v ceně. Někdy ano, někdy ne.

Mám pocit, že vše vidíte děsně černobíle, že ostatní podezíráte, že jako jedinou ochranu i jako jediný bypass mají f2b, denyhosts, greylisting, DNS BL apod. - ale to je přeci hovadina, rozumný admin tyto nástroje používá s nastavenou vahou a s nastaveným dopadem.

3102
Windows a jiné systémy / Re:Nahlášení chyby MS
« kdy: 22. 09. 2017, 16:07:20 »
OT: nahlášené asi mají kdeco, ale kdy vydají opravu... Poté, co se nám začátkem srpna na stanice vecpala "creators update", začal padat outlook. V diskuzi:
https://social.technet.microsoft.com/Forums/ie/en-US/27f80dd4-c28c-4bd7-8b2c-73a28452b63a/outlook-2010-fault-in-uiautomationcoredll-after-upgrade-to-win-10-1703-1506313?forum=outlook se zmiňují, že by o tom MS měl vědět už od dubna.

OT: On se Microsoft rozhodl všemi prostředky narvat lidem předplatná O365. Jejich nejnovější vynález je, že O365 bude fungovat vždy jen s nejnovějším releasem Outlooku. Nejnovější release outlooku získát buďto s vyššími plány O365, nebo s licencí +SA.

Vůbec bych se nedivil, kdyby do této strategie zapadalo i snížení priority na odstraňování bugů ve starších verzích Office.  Upřímně, úplně bych nezazlíval Microsoftu, že na nejnovějším buildu nebude fungovat tak starý balík.

Ukazuje to také dvojsečnost "dobrodiní" Microsoftu, že bude Windows aktualizovat do nekonečna zdarma formou buildů.

Nepříjemné je, že proti jejich strategii neexistuje žádná obrana (spotřebitelů). Microsoft se rozhodl počkat, až staré verze vyhnijí, a je si prakticky jistý, že do online licencí přejdou i ti, kteří z nich využijí jen práva instalace on premises.

3103
Server / Re:SNI a blokace IP/DNS
« kdy: 22. 09. 2017, 13:25:32 »
A jak asi dneska FW funguji? Cpou si IP do ACL? Vazne? Tak to chci videt, jak si chcete nacpat do toho listu seznam siti pro FB (27! ipv4 subnetu), AWS atd. a hlavne, hlidat i modifikace.

Rozhodně se nevyhodnocují při každém novém spojení.

3104
Sítě / Re:Blacklisty pro velké sítě na IPv6
« kdy: 22. 09. 2017, 12:10:23 »
Profláklé redakční mají ve výchozí instalaci nastavenou automatickou aktualizaci, aby to stálo peníze, musí to zase někdo vědomě pokazit. Mnohem víc peněz pak bude stát řešení napadeného serveru.
Bohužel, taková je praxe. Zákazník si objedná zhotovitele webu. Ten to namastí do WP, Joomly, ..., s pluginami se nemaže, přepíše si je k obrazu svému (proč by něco přetěžoval), a pak vypne aktualizace, aby se dodávka sama od sebe nesesypala. Zákazník převezme, a než dojde k průšvihu, trvá to třeba měsíce. Vy, jako správce serveru nemáte možnost zákazníkovi moc kecat do toho, jestli koupil dobře nebo špatně udělaný systém. Naopak, když to někdo prolomí, tak zákazník už nejde reklamovat ke zhotoviteli, ten mu přeci předal web funkční. Takže logicky se obrací na správce serveru. Ano, můžete to zákazníkovi vysvětlit. Některý vám bude věřit, jiný nebude, ale obě skupiny budou nespokojené.

Stejnou logikou byste mohl označit mod_security / OSWAP / NAXSI jako zbytečné žrouty výkonu, které řeší blbě napsané aplikace. V tom máte pravdu, ale opět, v praxi je to level zabezpečení, který kompenzuje problémy vzniknuvší někde, kam zasáhnout nemůžete.

Ještě se vrátím k naší diskusi o blokování a NAT. Vy tvrdíte, že by admini by to měli přijmout jako realitu, že NAT existuje, a že IP není dost jednoznačný identifikátor přípojky. Budiž. Ale podle stejné logiky by se dalo říct, že ISP by také mohli vzít na vědomí, že skrývat různé zákazníky, kteří spolu nemají nic společného, za stejnou IP adresu, je špatná praxe. Pravda bude patrně někde mezi těmito dvěma tvrzeními, a řešení bude o tom, kdo jakou míru zásahu do komfortu akceptuje.

3105
Sítě / Re:Blacklisty pro velké sítě na IPv6
« kdy: 22. 09. 2017, 12:01:48 »
OK, může být a asi i je. Pak ale neříkejte, že děláte správné řešení, ale řešení, které za dané peníze umíte udělat a pan Jirsák má pravdu. Takto to vypadá, že fail2ban je správné řešení, ne není, je ale relativně jednoduché a levné, můžete v případě problémů vykázat činnost, že jste pro ochranu něco udělali, že je to řešení, které používá většin, atd., ale pořád to nebude správné řešení.

Když si přečtete moje posty od začátku, tak od začátku je vepsaná podmínka / předpoklad, že se jedná o menší zlo, než nezavádět žádné řešení tam, kde prostě ideálního stavu dosáhnout nemůžete. Další, co jsem vepisoval bylo, že blokaci je nutné nastavit jen na nutně krátkou dobu (než útok přejde - bývají to desítky minut), a blokaci co nejvíc cílit na konkrétní službu, ne na celý server.

Správné řešení = já za správné považuji optimum. Za optimum musím považovat to, co jsem schopný reálně zavést. V první řadě je nutné snažit se mít vše zafixované. V druhé řadě vybrat technologie, které se dají v dané situaci udržet. Ve třetí řadě mít zpětný vliv na samotný vývoj aplikace.

Bohužel, v praxi vývoj s administrátory moc nespolupracuje. Vývoj splní funkční požadavky, které jsou zároveň akceptačními kritérii. Mimofunkční požadavky se už nikdo moc nežene vyhodnocovat, a všichni v řetězci si následné problémy přehazují jako horký brambor. Ve chvíli, kdy vývoj nepracuje kooperativně, ale alibisticky a konfrontačně, pak adminovi nezbývá akceptovat pravidla hry.

Projektů, kde si můžete dovolit dělat věci lépe, těch je bohužel jen zlomek.

Vaší pozornosti ještě předkládám projekt https://fe.nix.cz/ sdružení NIX, který má za cíl v případech DDoS útoků odříznout dokonce celé AS, u kterých správci neakceptují určitou úroveň zabezpečení, správy a podpory. Kdybyste se na to díval tak přísně, jak píšete, musel byste tento projekt také odsoudit. Ale myslím, že pány z NIX nepodezíráte z toho, že by to byli úplní pitomci, ne?

Stran: 1 ... 205 206 [207] 208 209 ... 212