Русский
Русский
English
Авторизация
Ip-адрес
Восстановление пароля
Регистрация
Статистика
Реклама

Блог компании 1cloud.ru

Досмотр мобильных устройств как обстоят дела в мире

11.08.2020 16:15:49 | Автор: admin
Месяц назад американский суд запретил правоохранителям изучать экран блокировки смартфона без ордера. Мы обсуждали эту ситуацию и решили продолжить тему. Поговорим о том, как обстоят дела с досмотром мобильных в других странах мира Великобритании, Австралии и Германии.


Фото Giu Vicente Unsplash

Британские практики


На территории Великобритании действует закон Police and Criminal Evidence Act (О полиции и доказательствах по уголовным делам). Он разрешает правоохранительным органам свободно изучать информацию на электронных гаджетах подозреваемых им не нужно получать ордер.

Также полиции разрешено использовать специальные системы для считывания данных на заблокированных смартфонах. Крупную партию таких устройств в начале года закупила шотландская полиция. Они позволяют обойти шифрование и извлекать сообщения в социальных сетях, а также журнал звонков.

Общественное мнение


Последнее время юристы и политики в стране все чаще поднимают вопросы законности подобных практик. Представители Комиссии по правам человека и некоторые члены парламента Шотландии говорят, что устройства для взлома мобильных устройств должны быть незаконны, так как нарушают право на неприкосновенность частной жизни.

Ряд экспертов по ИБ также беспокоит тот факт, что неконтролируемый досмотр смартфонов создает угрозу безопасности персональных данных. В 2015 году уже был прецедент, когда ПД с десятков смартфонов оказались в руках третьей стороны. По мнению юристов, этот факт доказывает, что полиция страны пока не готова работать с подобными инструментами.

Сотрудник правозащитной организации Privacy International Грэм Вуд (Graham Wood) призывает пересмотреть законодательство и обязать правоохранителей получать ордер для досмотра смартфонов и планшетов, указывая при этом вескую причину. В свою очередь, представители Национального совета начальников полиции Великобритании высказывают альтернативное мнение, что обыск устройств и возможность оперативно изучить переписку подозреваемого ценные инструменты при проведении расследований. Они незаменимы на ранних этапах следствия, так как позволяют оперативно получить информацию и продолжить работу по горячим следам.


Фото Giu Vicente Unsplash

Разговоры о реформировании законодательства ведутся как минимум с 2012 года, но серьезных подвижек в этом направлении не было. Возможно, в будущем британский регулятор последует примеру американских коллег и пересмотрит политику досмотра мобильных устройств.

Что в других странах


Политика Австралии в отношении обыска мобильных гаджетов более строгая, по сравнению с британскими коллегами. Там правоохранители обязаны иметь ордер на обыск смартфонов, планшетов и ноутбуков. Более того, они должны получать особый ордер для обыска гаджетов журналистов. Но в то же время на территории страны действует закон, который разрешает полиции запросить у компании разработчика устройства или программного обеспечения коды шифрования для доступа к файлам и сообщениям. Он также подвергается серьезной критике со стороны общественности.

Если говорить о Германии, то там правоохранительные органы и таможенные службы имеют право досматривать смартфоны беженцев, неспособных предоставить паспорт. Считается, что так можно отсеивать тех, кто хочет получить убежище, не имея веских на то причин. Эту практику также критикуют различные юристы и сами беженцы, считая её неэффективной. В этом году группа эмигрантов подала в суд на немецкое правительство. Они говорят, что досмотр мобильных девайсов лишь нарушает права человека и неэффективен. Слушания пройдут в ближайшее время, и их результат может создать прецедент, который может стать отправной точкой для изменения законодательства.


О чем мы пишем в корпоративном блоге 1cloud.ru:

Почему Евросоюз искореняет cookie-стены
Анализируем рекомендации по защите персональных данных и ИБ на что стоит обратить внимание
Досмотр электронных устройств на границе необходимость или нарушение прав человека?
Подборка книг по кибербезопасности

Подробнее..
Категории: Информационная безопасность , Блог компании 1cloud.ru , 1cloud , Смартфоны , Законодательство и ит , Досмотр устройств

Что послушать о работе корпоративных сетей на выходных три тематических подкаста

28.08.2020 20:21:37 | Автор: admin
В прошлый раз мы подобрали книги про обслуживание и защиту корпоративных сетей. Сегодня рассказываем о трех аудиошоу на эту же тему для тех, у кого нет времени читать.


Фото Javier Molina Unsplash


Defrag This [Apple Podcasts] [Website]


Регулярность: ежемесячный
Продолжительность: 1025 мин

Ведущий подкаста Грэг Муни (Greg Mooney), который более десяти лет пишет для технологических изданий о кибербезопасности и IT. Он приглашает гостей из крупных корпораций (включая IBM), чтобы обсудить с ними последние новости отрасли и получить полезные инсайты.

Один из свежих выпусков спикеры посвятили защите корпоративной инфраструктуры от масштабных вирусных атак подобных WannaCry. Они также говорили, как компании защитить свою сеть, когда большая часть сотрудников работает удаленно, и разбирали ключевые принципы кибергигиены.


Malicious Life [Apple Podcasts] [Website]


Регулярность: несколько раз в месяц
Продолжительность: 3060 мин

Подкаст делает компания Cybereason, специализирующаяся на технологиях кибербезопасности. Это возможность укрепить защиту корпоративных сетей и серверов, обучаясь на ошибках коллег по цеху. Каждый выпуск передачи посвящен крупному взлому или утечке данных. Ведущий берет интервью у причастных к этому событию лиц: хакеров, специалистов по ИБ, журналистов и политиков.

Один из выпусков посвящён делу Гэри Маккиннона (Gary McKinnon), который в начале нулевых взломал компьютеры военных США, чтобы узнать, был ли у правительства контакт с пришельцами. Спикеры также рассказывают о черве WANK, который попал в сеть НАСА и скомпрометировал запуск десятка спутников. Есть выпуски подкаста и о более свежих событиях например, массовом взломе учетных записей в компьютерной игре Fortnite.

Иногда ведущий берет паузу в серии интервью и просто говорит о технологиях например, особенностях работы Великого китайского файрвола.



Фото Taylor Vick Unsplash


Heavy Networking [Apple Podcasts] [Website]


Регулярность: еженедельный
Продолжительность: 5060 мин

Передача от проекта Packet Pushers, который основали три инженера Грэг Ферро (Greg Ferro), Итан Бенкс (Ethan Banks) и Дэн Хьюз (Dan Hughes).

Список обсуждаемых экспертами тем обширен: работа дата-центров, переход на IPv6, а также беспроводные технологии, автоматизация сетей и open source. Один из выпусков посвящён сетевой операционной системе SONiC, о которой мы рассказывали в предыдущем материале. Ведущие также делают своеобразные обзоры на продукты крупных производителей сетевого оборудования Dell, Cisco и Juniper.

На площадке есть и другие тематические подкасты например, Day Two Cloud про миграцию в облако и IPv6 Buzz о протоколе нового поколения.


Свежие посты в корпоративном блоге 1cloud.ru:

Кто и почему хочет сделать интернет общим
Кто хочет сделать из ИТ-гигантов кооперативы
Анализируем рекомендации по защите персональных данных и ИБ
Подробнее..
Категории: Информационная безопасность , It-инфраструктура , Блог компании 1cloud.ru , 1cloud , Подкасты , Администрирование сетей

Кто займется развитием безопасности открытого ПО обсуждаем новые проекты и их будущее

20.09.2020 00:05:28 | Автор: admin
В августе Linux Foundation основали фонд OpenSSF. В него вошли Core Infrastructure Initiative и Open Source Security Coalition. Их участники разработают инструментарий для поиска уязвимостей в коде и верификации программистов, участвующих в его написании. Рассказываем, что к чему.


Фото Andrew Sharp Unsplash

В чем выгода для ИТ-индустрии


Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.

Примером может быть Heartbleed в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте. В 2014 году уязвимыми оказались около 500 тыс. сайтов, и примерно 200 тыс. из них до сих пор не пропатчены.

Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab оно помогает участникам площадки быстрее доводить информацию о багах в коде до мейнтейнеров. Интерфейс GitHub позволяет получить CVE-идентификатор для обнаруженной проблемы и подготовить отчет.

Лучшие методологии разработки. Будет сформирована курируемая библиотека лучших практик, на содержимое которой может повлиять любой участник отрытого сообщества. Для этих целей раз в две недели инженеры из крупных ИТ-компаний будут проводить онлайн-встречи и обсуждать технологии, фреймворки и особенности языков программирования.


Фото Walid Hamadeh Unsplash

Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать новые механизмы проверки контрибьюторов. Об их специфике известно мало, но они помогут избежать повторения истории с библиотекой event-stream для Node.js, когда новый мейнтейнер внедрил в неё бэкдор для кражи криптовалюты.

Взгляд на перспективу


ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta) отметил, что с момента обнаружения уязвимости до появления первых эксплойтов проходит всего три дня. Он считает, что инструментарий, разрабатываемый в рамках проектов OpenSSF, позволит выпускать заплатки в сжатые сроки и сокращать риски.

Хотя один из резидентов Hacker News в тематическом треде высказал беспокойство, что специалисты начнут разработку новых ИБ-стандартов вместо того, чтобы развивать существующие. В результате вновь станет актуальной история, описанная в одном из комиксов XKCD.


Материалы по теме из нашего корпоративного блога:

Какие есть открытые ОС для сетевого оборудования
Как Европа переходит на открытое ПО для госучреждений
Участие в open source проектах может быть выгодным для компаний почему и что это дает
Вся история Linux. Часть I: с чего все началось
Вся история Linux. Часть II: корпоративные перипетии
История Linux. Часть III: новые рынки и старые враги
Бенчмарки для Linux-серверов

Подробнее..
Категории: Информационная безопасность , Open source , Блог компании 1cloud.ru , 1cloud , Openssf , Core infrastructure initiative , Open source security coalition

Облачный TLDR непривычная дистанционка, досмотр гаджетов и рекомендации по личной ИБ

27.09.2020 18:10:26 | Автор: admin
Продолжаем делиться TL;DR-версиями публикаций из нашего блога. Здесь все основные моменты каждого материала, а ссылки на развернутые тексты публикаций легко найти в подзаголовках.


Фото Ed Robertson Unsplash.com


Нельзя так просто взять и мониторить сотрудников на дистанционке



Коронакризис сделал дистанционку безусловным мейнстримом этого года, но такой формат организации рабочих мест появился еще до индустриальной революции. Он прошел путь от надомного труда ремесленников и домашних мастерских до постепенного бегства из офисов в конце 90-х и доступной сегодня удаленки не только для IT-специалистов и чиновников. Ее преимущества вроде экономии времени и гибкого графика очевидны, но в работе не из офиса встречаются и сложности.

На пике карантина привычные для оффлайна методы оценки эффективности сотрудников попали под локдаун, а попытки онлайн-трекинга персонала, только-только вышедшего на удаленку, вызвали ожесточенную критику. Основания для этого были: кто-то требовал от дистанционщиков ставить кейлоггеры на личные компьютеры и ноутбуки, другие подсовывали им тайм-трекеры, третьи шли еще дальше и строили процесс оценки вокруг видеосвязи и веб-камер.

Адаптироваться нужно было быстро, и многие сервисы это сделали: Zoom отключили возможность контроля внимания собеседника, а в Basecamp решили отказаться от любого surveillance-функционала кроме того, что помогает добровольно следить за рабочим процессом (календарь и таймер для задач). Но в сути дела разобрались только те компании, которые переключили свое внимание с выбора инструментария на самих людей и их проблемы в кризисной ситуации.

Дело в том, что в ходе первой волны увеличились риски выгорания специалистов, занимающихся сложными и творческими задачами. Попытки привязать к работе, не поддающейся шаблонному учету, примитивные средства слежения вызвали настоящий кризис доверия. Вопрос о том, как его разрешить мирным путем, все еще открыт для многих компаний и во всю обсуждается на Хабре.


Досмотр мобильных устройств как обстоят дела в мире



Этим летом суд Сиэтла запретил специальным службам и правоохранителям осуществлять необоснованный анализ экрана блокировки смартфона. Теперь для этого требуется специальный ордер, подчеркивающий исключительный характер ситуации и необходимость подобных мер. Такое регулирование затрагивает только работу ведомств Соединенных Штатов. Именно поэтому мы решили сделать обзор того, как складывается обстановка с досмотром гаджетов в других странах.

Согласно британской практике, ордер для этих задач не требуется. Также местное законодательство допускает слив дампов даже с заблокированных устройств с помощью специальных систем их уже закупила шотландская полиция. В Австралии обязанность получать ордер все-таки есть, а для досмотра устройств журналистов требуется разрешение особого типа. С другой стороны, австралийские специальные службы всегда могут запросить возможности для расшифровки данных у разработчиков и производителей устройств на это им дают право законы страны.

Подобные практики все чаще обсуждают в IT-сообществе. В Basecamp даже опубликовали тематические рекомендации для поддержания должного уровня информационной безопасности в командировках. Мы также сделали обзорный пост со статистикой досмотров и несколькими комментариями представителей технологический компаний.


Нельзя так просто взять и перепрошить свой гаджет



Если вы купили гаджет, это еще не значит, что вся его начинка находится в вашем распоряжении. И речь вовсе не о Right to Repair и попытках вендоров привязать клиентов к авторизованным мастерским. На этот раз дело в праве на модификацию программных компонентов и железа с целью расширения возможностей или полного перепрофилирования приобретенных вами устройств.

Так, весной этого года энтузиаст поделился вариантом доработки известной модели калькулятора. В ходе реинжиниринга он заменил солнечную батарею OLED-дисплеем и добавил в комплектацию устройства Wi-Fi-модуль, а результаты опубликовал на GitHub. После бурного отклика в гиковском сообществе и выходе материалов в крупнейших тематических изданиях, его репозиторий закрыли по просьбе организации, занимающейся борьбой с контрафактом электроники.

И это не первый такой случай. Девять лет назад Activision проводила разбирательство из-за модификации гаджета для чтения RFID-меток на фигурках персонажей из игр компании. Без каких-либо оснований вендор выразил опасения, что внесенные изменения позволят открывать внутриигровой контент и получать бесплатно виртуальные товары, связанные с игрушками.

Остается только догадываться, как будет развиваться регулирование таких вопросов, но на Хабре и на Hacker News уже неоднократно высказывали критику и предложения о закреплении в законодательстве санкций за ложные обвинения энтузиастов и независимых инженеров, не стремящихся к какой-либо массовой коммерциализации переделенных ими гаджетов.


Подборки книг о кибербезопасности (первая, вторая)



Мы посмотрели, что рекомендуют на Хабре, Hacker News и Reddit. Это своего рода мемуары топ-менеджера Microsoft; взгляд известного специалиста по ИБ на борьбу за киберпространство; экспертный обзор методов социальной инженерии; рассказ пентестера о мире белых хакеров; аналитический материал об ИБ для IoT; и справочник для тестирования на проникновение.


Во второй подборке чуть меньше практики и чуть больше драмы. Первое издание рассказывает об одной из культовых группировок ИБ-андеграунда конца прошлого века, второе это расследование редактора Wired о распространителях NotPetya, третье книга об охоте за Полом Ле Ру.

Другие книги из дайджеста сфокусированы на таких темах как открытое аппаратное обеспечение, регулирование реверс-инжиниринга, безопасность и утечки персональных данных. Плюс мы не забыли поделиться изданием об истории легендарного Кевина Митника и его опыте работы.


Как замести следы и удалить себя из большинства популярных сервисов



Обсуждаем тему личной кибергигиены, право на забвение и сервисы для быстрого удаления аккаунтов в соц.сетях и популярных медиаплатформах. Один из таких проектов называется JustDeleteMe. У него даже есть расширение для Chrome, которое поможет понять, стоит ли регистрироваться там, откуда потом будет достаточно сложно удалить персональные данные.


Что еще есть у нас в блоге:

Потенциальные атаки на HTTPS и как от них защититься
Какие инструменты помогут соответствовать GDPR
Почему разработчики дороже денег, как их сохранить и приумножить
Нашел, увидел, получил: необычные приглашения на собеседование
Компьютер, который отказывается умирать

Подробнее..
Категории: Информационная безопасность , Удаленная работа , Реверс-инжиниринг , Блог компании 1cloud.ru , 1cloud , Персональные данные , Дистанционная работа , Мониторинг сотрудников , Кибергигиена , Досмотр гаджетов , Реинжиниринг

Если уже слили как сделать документооборот чуточку безопаснее базовые ИБ-рекомендации

11.10.2020 16:06:58 | Автор: admin

Ранее мы обсуждали неочевидные моменты, связанные с ротацией парольных фраз и персональной ИБ. Сегодня продолжим тему, но поговорим о работе с файлами, а именно о том, как вычислить, кто слил конфиденциальную информацию по метаданным и защитить документы компании.

Wikimedia / U.S. Navy photo / PD Wikimedia / U.S. Navy photo / PD

Поиск уникальных утечек

Если компания обменивается конфиденциальными файлами с большим количеством партнеров, неизбежно случаются утечки и закрытая информация попадает в сеть. Как сообщили в ZDNet, буквально пару месяцев назад так слили корпоративные файлы Intel объёмом более 20 Гбайт.

Источник подобной проблемы можно было бы обнаружить, если заранее внедрить в документооборот вспомогательную систему, которая вносила бы в каждую копию особо ценных документов незначительные модификации дополнительные пробелы, отсутствующие точки, невидимые символы, омоглифы или даже опечатки. Это один из самых простых вариантов защиты, поэтому его достаточно легко вычислить, если у человека есть опыт работы с текстом. В качестве более продвинутого подхода применяют более сложные аффинные преобразования.

Такой метод годится как для обычных бумаг, так и для электронных файлов. С помощью средств автоматизации в распространяемые экземпляры вносят уникальные комбинации изменений например, незначительные различия в межстрочных интервалах, кернинге, цвете текста и других параметрах форматирования. Проверка копий производится с помощью программного наложения таких признаков в системе они находятся в виде компактных слепков, чтобы не забивать хранилище сотнями вариантов для каждого отдельного PDF-файла. Кстати, на днях на Хабре выходил рассказ от лица компании, занимающейся разработками в этой области, а простейшие действия можно предпринять и путем генерации документов с помощью Python-библиотеки FPDF:

from fpdf import FPDF pdf = FPDF() pdf.add_page() pdf.set_font("Arial", size = 15)   pdf.cell(200, 10, txt = "HabraPost",           ln = 1, align = 'C')

Помимо или в качестве дополнения к работе с содержимым стоит рассмотреть возможность учета метаданных. Уникальные экземпляры особо ценных файлов можно прогонять через утилиты вроде MD5 Hash Changer, модифицирующие хеш путем добавления произвольного числа null-значений.

Вендор-лок aka DRM

Этот подход стоит смело отнести к более жестким, но уже из категории превентивных. Он известен всем по широкому применению в среде дистрибуции музыки, игр и электронных книг, где сложно себе представить возможность отслеживания судьбы сотен миллионов уникальных копий файлов.

Решения такого типа есть для корпоративной среды например, их используют для лицензирования видео в индустрии гостеприимства, чтобы не закупать специальное DRM-железо для отелей, защитить трансляции от копирования и эффективнее управлять инфраструктурой для доставки контента.

Если говорить о более классических use-кейсах (защите корпоративных документов), речь в основном сводится к работе над корпоративной мобильностью (на дистанционное и в офисе) контролю за устройствами сотрудников, сетевым доступом и шифрованием. Этот подраздел DRM-контроля еще называют IRM (Information rights management) или E-DRM (Enterprise Digital Rights Management).

Avi Richards / Unsplash.comAvi Richards / Unsplash.com

Часто такие решения разворачивают в облаке например, для отдельных виртуальных рабочих мест. Такой подход позволяет закрыть и ряд вопросов, связанных с угрозой зловредов и различных векторов атак, которые могут привести к сливу особо важных документов компании.

Отдельные решения вроде Dangerzone могут послужить дополнением к такому сетапу.

Они конвертируют в своей песочнице подозрительные док-файлы, изображения и презентации (например, поступившие от неизвестных отправителей по email в адрес компании) в безопасные PDF-ки.

Вопрос доверия

Различные методики защиты документов применяют и спецслужбы (см. дело Реалити Виннер), но иногда стоит взвесить необходимость использования большей части из этих мер в вашей компании.

Если вы введете их без помощи юристов или не уведомите ваших сотрудников о том, что защищаете документооборот с определенными целями, а они начнут замечать странное форматирование документов, такая забота об информационной безопасности может стать выстрелом в собственную ногу. После этого вам придется тратить сили уже на восстановление доверия в коллективе.

Нужно понимать, что технологии не могут быть серебряной пулей, если рассматривать их в отрыве от человеческого фактора и анализа общего устройства бизнес-процессов компании.

Дополнительное чтение:

На Хабре:

Подробнее..
Категории: Информационная безопасность , Блог компании 1cloud.ru , 1сloud , Документооборот , Drm , Irm , Virtual desktop

На дистанционке или нет почему важно быть внимательным к любым системам мониторинга

30.10.2020 20:07:38 | Автор: admin

Тема удаленки в этом году уже успела всем надоесть, но мир вынужден погружаться в нее с каждой новой эпидемиологической волной и в массовом порядке мигрировать из офиса. Этот процесс связан со множеством сложностей, в том числе с точки зрения адаптации технологий и поддержания должного уровня информационной безопасности. Именно они все чаще ассоциируются с этим форматом работы, а разговоры о ванильных метриках вроде сокращения временных затрат на дорогу до рабочего места и обратно отходят на второй план.

Tobias Tullius / Unsplash.comTobias Tullius / Unsplash.com

Горечь притягательного образа

В какой-то момент казалось, что дистанционная работа может стать одним из основных драйверов для модернизации экономики. Возможность ее развития за счет выноса филиалов организаций поближе к домам сотрудников описали еще в 1976 году, а последние лет десять, кажется, только и обсуждали экономию времени на перемещениях в офис и обратно. Но большую часть ванильных метрик для удаленки все-таки пришлось пересмотреть в худшую сторону.

Свежее исследование специалистов Гарварда и Нью-Йоркского университета показало, что кажущееся удобство ведения дел в халате и домашних тапочках выливается в существенное увеличение рабочего дня. По их оценкам, речь идет о дополнительных 48 минутах, которые приходится тратить на подготовку к звонкам и вынужденным переговорам с коллегами.

В свою очередь, масштабная эвакуация из офисного центра ради сокращения корпоративных расходов на аренду тоже не всегда идет на пользу. Как минимум, рядовым сотрудникам, оказавшимся в непривычной ситуации. Далеко не каждая компания согласится компенсировать им затраты на оборудование, организацию рабочего места дома и другие косвенные траты, которые до этого входили в ее каждодневные обязательства перед персоналом, а некоторые фирмы и вовсе собираются снижать заработную плату надомникам.

Но даже если не пытаться спорить на эти темы, игнорировать организационные сложности действительно проблематично. Одна только весенняя волна ограничений вынесла на берег множество проблем, связанных с документооборотом: задержками с отправкой бумаг и информационной безопасностью ведения дел со штатом дистанционных сотрудников. Менеджеры зачастую не могли даже освоить простейшие инструменты вродеудаленных рабочих мест в облаке, хотя последние поспособствовали бы снятию большей части рисков и неудобств.

Что уж говорить об адаптации решений на программном уровне, об этом многие не задумывались до осени. Когда она наступила, в повседневную жизнь огромного числа компаний вернулась неразбериха им вновь пришлось выводить из офиса существенное количество персонала, а самим надомникам пользоваться решениями, которые были собраны на скорую руку из старых компонентов и не были подготовлены к изменившимся условиям.

Старые уловки для новых проблем

Тем, кого все-таки оставили в офисе, и специалистам, чья деятельность не очень хорошо сочетается с домашней обстановкой, пришлось столкнуться с более существенными неудобствами. Помимо повышенной эпидемиологической угрозы, а во многом и благодаря ей, мониторить их активность стали внимательнее и начали использоваться для этого новые программные и железные средства. Но их практическая реализация вызвала много вопросов.

Как заметили эксперты EFF (Electronic Frontier Foundation), системы видеофиксации и GPS-датчиков, брошенные на передовую для мониторинга подвергшихся потенциальному воздействию вируса, действительно могут собирать излишний объем данных. Согласно EFF, этот факт часто подтверждают и сами вендоры таких комплексов, а вот уточнений о том, как данные хранят и используют давать не торопятся.

Приложения для регулярного сбора отчетности по самочувствию и состоянию здоровья персонала отдельная история, но для них эти вопросы заострены в еще большей степени.

В ряде стран хранение данных мед.карт и информации о здоровье граждан требует отдельных соглашений с работодателем, не говоря об уровне защиты полученных сведений. Но пока организации не торопятся менять привычные порядки и в некоторых случаях подают такие приложения сотрудникам в качестве помощников, позволяющих оценить факторы, которые влияют на продуктивность. Какую ответственность понесут такие компании в случае утечек так называемых GTD-данных и признают ли их мед. информацией, пока не совсем понятно.

Bernard Hermant / Unsplash.com Bernard Hermant / Unsplash.com

В сфере мониторинга образовательного процесса складывается похожая ситуация. К осеннему карантину были готовы единицы учреждений, а существенная их часть решила использовать на дистанционке уже имеющиеся программы для контроля за экзаменационным процессом.

Поэтому теперь даже в процессе выполнения домашнего задания ученики вынуждены правильно моргать, чтобы алгоритм не посчитал их подменными, не отводить взгляд от монитора на длительные промежутки времени и не отклоняться в сторону за подсказками. Обработка данных мониторинга несовершеннолетних, логов об используемых ими устройствах, их местоположении и другой информации отдельный момент, но, кажется, многим не до него.

Нужна адаптация

В корпоративной IT-среде, где все уже привыкли к удаленке и не воспринимают происходящее как что-то неожиданное, обстановка чуть лучше, чем в других областях. Но вне технологического сектора иногда доходят до крайних мер просто проверяют с помощью веб-камер, сидят ли сотрудники за домашним рабочим местом или нет. Даже в тех случаях, когда компании все-таки решают задействовать более продвинутые средства например, для мониторинга и защиты инфраструктуры и контроля доступа к документам есть вопросы к тому, как активность таких систем воспринимают сами работники. Так называемый bossware-софт не может не раздражать.

По данным свежего исследования, проведенного в Великобритании, 44% респондентов выразили крайнюю озабоченность возможностью дистанционного контроля, 80% признались, что не готовы трудится под камерой, а 74% высказались против носимых датчиков для мониторинга.

По итогам рассмотрения общего положения дел в этой области возникает вопрос: сможем ли мы увидеть действительно эффективные и элегантные решения, которые не вызовут волну недоверия? Или все проблемы удаленщиков скинут на директоров по персоналу, задобрив последних всего лишь новым названием должности вроде head of remote? Как будет развиваться ситуация, всем нам предстоит выяснить в ближайшие несколько месяцев.

Дополнительное чтение:

На Хабре:

Подробнее..
Категории: Информационная безопасность , Удаленная работа , Законодательство в it , Дистанционное образование , Блог компании 1cloud.ru , Персональные данные , 1сloud , Мониторинг сотрудников

Шутка и доля правды парочка интересных RFC практически без практического применения

15.08.2020 20:04:47 | Автор: admin
Формат RFC существует с 1969 года его представили во время обсуждения ARPANET. Тогда инженер Стив Крокер написал RFC 1 о работе программного обеспечения хоста.

С тех пор прошло более 50 лет, но Request for Comments все еще в ходу опубликовано ~9 тыс. документов по сетевым протоколам, моделям хранения данных и алгоритмам шифрования.

В этом многообразии встречаются RFC, у которых нет практического применения. Их написали по большей части ради шутки. Сегодня расскажем о некоторых находках из этой области.


Фото Braydon Anderson Unsplash

RFC 8771


Здесь описана интернационализированная сознательно нечитаемая сетевая нотация (I-DUNNO). По словам авторов, документ призван внести баланс в следующую ситуацию:

В начале 80-х была представлена DNS. Она сделала доступ к сетевым ресурсам удобнее, но инженеры по-прежнему вторгаются в сферу коммуникаций machine-to-machine: читают и вручную прописывают IP-адреса. Задача I-DUNNO воспрепятствовать этой деятельности и, наконец, закрепить работу с адресами за вычислительными системами.

I-DUNNO использует кодировку UTF-8, чтобы обфусцировать IP-адреса и усложнить их чтение для человека. Кодовые точки представлены октетами в количестве от одного до четырех, а сама последовательность включает как минимум один символ, запрещенный IDNA2008.

В качестве примера авторы RFC 8771 приводят трансформацию IPv4-адреса 198.51.100.164. Сперва его записывают в виде 32-битной строки:

11000110001100110110010010100100

Затем переводят в символьную форму:

1100011 -> U+0063 (буква c)0001100 -> U+000C (символ смены страницы form feed1101100 -> U+006C (буква l)10010100100 -> U+04A4 (кириллическая заглавная лигатура нг)

Алгоритм обратного преобразования не указан, так как компьютеры знают, что делать, а люди не должны даже пробовать.

RFC 8774


В этом документе описаны особые ошибки, которые возникнут в квантовых сетях будущего. Информация в них передается по оптоволоконным кабелям с помощью кубитов поляризованных фотонов. Автор RFC 8774 пишет, что после массового внедрения таких сетей, значение времени передачи пакета сможет равняться нулю. Этот факт приведет к сбоям в интернете, так как классическая сетевая инфраструктура и протоколы не рассчитаны на работу с таким таймингом.

К ситуации 0-RTT подготовлены лишь несколько протоколов: TFO, TLS 1.3 и QUIC. Многие другие будут работать с ошибками квантовыми багами.


Фото Umberto Unsplash

В протоколе Multipath TCP для оценки пропускной способности вычисляется значение alpha. На одном из этапов необходимо поделить на RTT, что невозможно при круговой задержке равной нулю. В свою очередь, протокол LEDBAT, используемый Apple и BitTorrent, начнет передавать пакеты максимально быстро и засорять канал, хотя должен ограничивать нагрузку на сеть.

Чтобы решить проблему, автор RFC 8774 предлагает начать с составления полного списка протоколов, подверженных квантовым багам. В качестве референса можно использовать RFC 2626 о проблеме 2000 года. Затем останется обновить весь ненадежный код. Этот процесс может затянуться, учитывая, что проблему 2038 года для Linux решали несколько лет и закончили переписывать код ядра лишь в этом году.


Больше интересных материалов в нашем корпоративном блоге:

Нашел, увидел, получил: необычные приглашения на собеседование
Группа разработчиков предлагает перейти на UTF-8
Как развивалась система доменных имен: эра ARPANET
Подборка книг по кибербезопасности

Подробнее..
Категории: It-инфраструктура , Сетевые технологии , Блог компании 1cloud.ru , 1cloud , Rfc , Стандарты , Сетевые протоколы

Шутки ради пара занимательных RFC

16.08.2020 00:12:08 | Автор: admin
Формат RFC существует с 1969 года его представили во время обсуждения ARPANET. Тогда инженер Стив Крокер написал RFC 1 о работе программного обеспечения хоста.

С тех пор прошло более 50 лет, но Request for Comments все еще в ходу опубликовано ~9 тыс. документов по сетевым протоколам, моделям хранения данных и алгоритмам шифрования.

В этом многообразии встречаются RFC, у которых нет практического применения. Их написали по большей части ради шутки. Сегодня расскажем о некоторых находках из этой области.


Фото Braydon Anderson Unsplash

RFC 8771


Здесь описана интернационализированная сознательно нечитаемая сетевая нотация (I-DUNNO). По словам авторов, документ призван внести баланс в следующую ситуацию:

В начале 80-х была представлена DNS. Она сделала доступ к сетевым ресурсам удобнее, но инженеры по-прежнему вторгаются в сферу коммуникаций machine-to-machine: читают и вручную прописывают IP-адреса. Задача I-DUNNO воспрепятствовать этой деятельности и, наконец, закрепить работу с адресами за вычислительными системами.

I-DUNNO использует кодировку UTF-8, чтобы обфусцировать IP-адреса и усложнить их чтение для человека. Кодовые точки представлены октетами в количестве от одного до четырех, а сама последовательность включает как минимум один символ, запрещенный IDNA2008.

В качестве примера авторы RFC 8771 приводят трансформацию IPv4-адреса 198.51.100.164. Сперва его записывают в виде 32-битной строки:

11000110001100110110010010100100

Затем переводят в символьную форму:

1100011 -> U+0063 (буква c)0001100 -> U+000C (символ смены страницы form feed)1101100 -> U+006C (буква l)10010100100 -> U+04A4 (кириллическая заглавная лигатура нг)

Алгоритм обратного преобразования не указан, так как компьютеры знают, что делать, а люди не должны даже пробовать.

RFC 8774


В этом документе описаны особые ошибки, которые возникнут в квантовых сетях будущего. Информация в них передается по оптоволоконным кабелям с помощью кубитов поляризованных фотонов. Автор RFC 8774 пишет, что после массового внедрения таких сетей, значение времени передачи пакета сможет равняться нулю. Этот факт приведет к сбоям в интернете, так как классическая сетевая инфраструктура и протоколы не рассчитаны на работу с таким таймингом.

К ситуации 0-RTT подготовлены лишь несколько протоколов: TFO, TLS 1.3 и QUIC. Многие другие будут работать с ошибками квантовыми багами.


Фото Umberto Unsplash

В протоколе Multipath TCP для оценки пропускной способности вычисляется значение alpha. На одном из этапов необходимо поделить на RTT, что невозможно при круговой задержке равной нулю. В свою очередь, протокол LEDBAT, используемый Apple и BitTorrent, начнет передавать пакеты максимально быстро и засорять канал, хотя должен ограничивать нагрузку на сеть.

Чтобы решить проблему, автор RFC 8774 предлагает начать с составления полного списка протоколов, подверженных квантовым багам. В качестве референса можно использовать RFC 2626 о проблеме 2000 года. Затем останется обновить весь ненадежный код. Этот процесс может затянуться, учитывая, что проблему 2038 года для Linux решали несколько лет и закончили переписывать код ядра лишь в этом году.


Больше интересных материалов в нашем корпоративном блоге:

Нашел, увидел, получил: необычные приглашения на собеседование
Группа разработчиков предлагает перейти на UTF-8
Как развивалась система доменных имен: эра ARPANET
Подборка книг по кибербезопасности

Подробнее..
Категории: It-инфраструктура , Разработка систем связи , Сетевые технологии , Квантовые технологии , Блог компании 1cloud.ru , 1cloud , Занимательные задачки , Rfc , Стандарты , Сетевые протоколы

Чтение на выходные три книги о корпоративных сетях

22.08.2020 18:06:39 | Автор: admin
Это компактный дайджест с литературой о настройке сетевой инфраструктуры и политик безопасности. Мы выбрали книги, часто упоминаемые на Hacker News и других тематических площадках об управлении ресурсами сетей, настройке и защите облачной инфраструктуры.


Фото Malte Wingen Unsplash


Computer Networks: A Systems Approach


Книга посвящена ключевым принципам построения компьютерных сетей. Соавтором выступил Брюс Дейви (Bruce Davie), ведущий инженер VMware из подразделения сетевой безопасности. На примерах из практики он разбирает, как контролировать перегрузку каналов связи и распределять ресурсы системы на масштабе. К книге прилагается бесплатное ПО для проведения симуляций.

В список обсуждаемых авторами тем также вошли: P2P, беспроводные подключения, маршрутизация, работа коммутаторов и протоколов end-to-end. Один из резидентов Hacker News отметил, что Computer Networks: A Systems Approach это отличный справочник о построении сетей.

Что интересно, с прошлого года книга стала бесплатной теперь она распространяется по лицензии CC BY 4.0. Кроме того, принять участие в её редактировании могут все желающие исправления и дополнения принимают в официальном репозитории на GitHub.


UNIX and Linux System Administration Handbook


Эта книга бестселлер в категории Администрирование UNIX. Её часто упоминают на ресурсах вроде Hacker News и свежих тематических подборках литературы для сисадминов.

Материал представляет собой всесторонний справочник о том, как обслуживать и поддерживать работоспособность систем UNIX и Linux. Авторы приводят практические советы и примеры. Они посвящены управлению памятью, настройке DNS и безопасности операционных систем, а также анализу производительности и другим темам.

Пятое издание UNIX and Linux System Administration Handbook было дополнено информацией по настройке корпоративных сетей в облаке. Один из отцов-основателей интернета Пол Викси (Paul Vixie) даже назвал её незаменимым справочником для инженеров компаний, инфраструктура которых находится в облаке и построена на открытом программном обеспечении.



Фото Ian Parker Unsplash


Silence on the Wire: A Field Guide to Passive Reconnaissance and Indirect Attacks


Свежее издание книги Михало Залевски (Michal Zalewski), эксперта по киберзащите и белого хакера. В 2008 году его включили в топ-15 самых влиятельных людей в сфере кибербезопасности по версии журнала eWeek. Михал также считается одним из разработчиков виртуальной ОС Argante.

Начало книги автор посвятил разбору базовых вещей о работе сетей. Но позже он делится собственным опытом в сфере кибербезопасности и разбирает уникальные вызовы, с которыми сталкивается системный администратор например, это может быть обнаружение аномалий. Читатели говорят, что книга воспринимается легко, так как автор разбирает сложные концепции на понятных примерах.


Больше литературных подборок в нашем корпоративном блоге:

Как провести пентест и что противопоставить социальной инженерии
Книги о вирусах, хакерах и истории цифрового картеля
Подборка книг по кибербезопасности

Подробнее..
Категории: It-инфраструктура , Блог компании 1cloud.ru , 1сloud , Сетевая инфраструктура , Книги для системного администратора , Администрирование сетей

Чем мониторить кластеры на Kubernetes три открытых инструмента один из них в формате игры

13.09.2020 20:11:44 | Автор: admin
Это наша компактная подборка бесплатных инструментов, позволяющих оценить производительность и стабильность контейнеризированных приложений.

Под катом система мониторинга кластеров Kmoncon, среда разработки Lens с функциями бенчмаркинга, а также утилита для стресс-тестирования нодов в формате компьютерной игры.


Фото Ellen Qin Unsplash


Kmoncon


Это система мониторинга подключений нодов в кластере Kubernetes. Её разработал инженер Карл Стони (Karl Stoney), который поддерживает облачную инфраструктуру и контейнеризированные приложения в Auto Trader UK (это одна из крупнейших площадок по продаже подержанных автомобилей в Великобритании).

Kmoncon проверяет подключения по TCP, UDP, а также DNS (тесты проводятся каждые пять секунд). Оценка строится на базе модифицированных метрик Prometheus к стандартным параметрам были добавлены имена нодов и зоны доступности. Инструмент совместим с другими системами мониторинга L7-уровня, такими как Istio Observability или Kube State Metrics. По словам автора, для кластера из 75 нодов система потребляет всего 40 Мбайт оперативной памяти.


/ Скриншот дашборда Kmoncon / GitHub

Стоит отметить, что проект молодой, поэтому в его работе встречаются баги. Один из известных медленное обновление списка нодов. Из-за этого система иногда пытается протестировать уже удаленные узлы и выдает ошибку. Автор планирует исправить этот недостаток. Он также говорит, что размеры образа Docker пока оставляют желать лучшего 130 Мбайт.


Kube-chaos


Это инструмент для интерактивной проверки надежности кластеров Kubernetes. Он реализован в формате компьютерной игры на движке Unity. Вы управляете виртуальным космическим кораблем и стреляете в светящиеся квадраты, представляющие собой реальные поды. У каждого из них есть определенный объем здоровья. Когда оно заканчивается, игра посылает команду destroy pod через kubectl и удаляет соответствующий под.


/ Геймплей Kube-chaos / GitHub

Уничтожая поды в случайном порядке, вы можете проверить, как система на это реагирует и насколько быстро она восстанавливается. Такой метод получил название Chaos Engineering.

Для установки игры на своем кластере автор предлагает использовать arkade это CLI для Kubernetes, позволяющий развертывать приложения одной командой. Хотя стоит отметить, что проект представляет собой PoC и, вероятно, с ним не стоит работать в продакшн.


Lens


Интегрированная среда разработки (IDE) для Kubernetes, оптимизированная для работы с большим количеством подов (до 25 тыс.). Она умеет визуализировать состояние кластера в реальном времени и строить графики, отражающие задействованные ресурсы (использованы метрики Prometheus).

Lens представляет собой автономное приложение (развертка каких-либо агентов внутри кластера не требуется), которое устанавливается на компьютер с Linux, macOS или Windows. Первую версию инструмента представила компания Kontena, но сегодня его развитием занимается организация Lakend Labs. Она продвигает и поддерживает open source проекты для облачных сред.

Проект относительно молодой, но вокруг него уже сформировалось обширное сообщество. Lens второй по популярности проект на GitHub в соответствующей категории, который имеет 8,2 тыс. звезд.


О чем мы пишем в нашем корпоративном блоге:

Подборка книг о кибербезопасности: как провести пентест и что противопоставить социальной инженерии
Нельзя так просто взять и перепрошить свой гаджет
Какие кабели соединят Африку, Азию и Австралию
Бенчмарки для Linux-серверов

Подробнее..
Категории: It-инфраструктура , Kubernetes , Аналитика мобильных приложений , Хостинг , Серверное администрирование , Блог компании 1cloud.ru , 1cloud , Мониторинг кластеров , Kmoncon , Lens , Kube-chaos

Справочная философия Unix базовые рекомендации, эволюция и немного критики

28.09.2020 20:13:28 | Автор: admin
Расскажем, в чем суть философии, кто её сформулировал, расширял и критиковал по ходу развития.

(Кстати, вчера вышел и наш очередной TL;DR-дайджест про удаленку и личную ИБ.)


Фото Med Badr Chemmaoui Unsplash

Основные принципы


Считается, что первым их сформулировал Дуглас Макилрой (Douglas McIlroy), автор конвейера Unix, в 1978 году. Он опубликовал свои замечания в журнале Bell System Technical Journal экземпляр до сих пор есть в сети. Позже Дуглас выделил три базовых момента:

  • (1) Каждая программа на Unix должна специализироваться на определенной задаче;
  • (2) Вывод программ станет вводом других, неизвестных на момент разработки первых;
  • (3) Текст универсальный интерфейс для межпрограммного взаимодействия.

Развитие мысли


Со временем первые правила дополняли и переосмысливали. В 1994 году Майк Ганцарз (Mike Gancarz) один из мейнтейнеров X Window System расширил их и призывал коллег:

  • (4) Эффективнее утилизировать уже доступные программные решения;
  • (5) Чаще применять скриптовые языки для улучшения переносимости ПО;
  • (6) Как можно быстрее переходить от идеи к работающему прототипу;
  • (7) Следить за уровнем сложности интерфейсов и не перегружать их.

Позже Эрик Рэймонд (Eric Raymond), программист, хакер и сооснователь Open Source Initiative, описал философию единой аббревиатурой KISS (Keep it simple, stupid).


Фото Kristian Bjornard CC BY-SA Flickr.com

Минутка метафор и критики


Одно из интересных замечаний мы нашли в книге Пособие для ненавидящих Unix (полный текст в PDF), где вспоминают Ричарда Гэбриела (Richard P. Gabriel) и его эссе Чем хуже, тем лучше.

В нем принципам корректности, согласованности и завершенности Гэбриел противопоставил простоту реализации и портирования из философии Unix. А еще сравнил действительно эффективное ПО с эволюционным превосходством вирусов (полный текст эссе на английском).

Но несмотря на ставку на простоту и даже прямое указание на работу с UI (пункты 3 и 7 выше), в статье под названием Правда о Unix: ужасающие интерфейсы Дональд Норман (Donald Norman), ученый и соучредитель Nielsen Norman Group, раскритиковал философию Unix за отсутствие какого-либо внимания к пользовательскому опыту. В замечаниях он отталкивался от своей экспертизы в области когнитивной инженерии, выделил проблемы с точки зрения работы команд и функций, плюс сформулировал собственные рекомендации по дизайну систем:

  • согласованность принципов проектирования на всех этапах разработки системы;
  • наличие понятной для пользователя модели работы системы (mental model);
  • возможность получения им мнемонических подсказок при работе с ней.


Фото Rudolf Schuba CC BY Flickr.com

Другая критика философии Unix строилась вокруг отдельных особенностей файловой системы NFS (например, костылей с Network Lock Manager сервисом lockd стр.60-61) и обсуждения текстовых интерфейсов. Но были и попытки концептуальных баталий: так, по словам Роберта Пайк (Robert Pike), автора UTF-8 и выходца из Bell Labs (как и Дуглас Макилрой), нецелесообразно писать программы, (1) выполняющие только одну задачу (вот развернутый тред о его замечаниях на Slashdot'е).

Как вы думаете, чем можно было бы дополнить базовые моменты в философии Unix?


Дополнительное чтение по теме:

Вся история Linux. Часть I: с чего все началось
Вся история Linux. Часть II: корпоративные перипетии
История Linux. Часть III: новые рынки и старые враги
Бенчмарки для Linux-серверов


Новые публикации у нас на Хабре:
Подробнее..
Категории: Программирование , История it , Блог компании 1cloud.ru , 1cloud , Справочная , Философия unix , Дизайн систем , Правила разработки

Справочная разбираемся с принципами SOLID

06.10.2020 22:07:22 | Автор: admin
Расскажем, кто их придумал и в чем они заключаются. Также поговорим о критике этого подхода о том, почему некоторые разработчики отказываются следовать SOLID-методологиям.


Фото nesa Unsplash

Акроним


SOLID обозначает пять первых принципов объектно-ориентированного программирования:

  • Единственной ответственности (SRP). Один модуль/класс одна задача. Кажется, что-то такое мы уже обсуждали, когда разбирали философию Unix вместе с принципами KISS.
  • Открытости/закрытости (OCP). Компоненты расширяемые и немодифицируемые. Его основоположником считают Бертрана Мейера (Bertrand Meyer) автора Eiffel.
  • Подстановки (LSP). Разработчик должен иметь возможность заменить тип на подтип, не сломав систему. Иерархию типов нужно тщательно моделировать, чтобы избежать путаницы. Принцип предложила Барбара Лисков (Barbara Liskov) один из авторов Clu.
  • Разделения интерфейса (ISP). Специализация, чтобы развязать их и программные сущности, плюс упростить рефакторинг. Этот принцип определил Роберт Мартин (Robert Martin) международно признанный эксперт в области разработки.
  • Инверсии зависимостей (DIP). Управляющие компоненты должны быть абстрагированы от модулей нижних уровней, а детали не зависеть от абстракций и модулей верхних уровней. Роберт Мартин предложил и этот пункт (вот текст его оригинальной публикации).

Если следовать этому и структурировать классы и функции так, чтобы SOLID-принципы выполнялись, можно с высокой вероятностью получить надежный, понятный и легко поддерживаемый код. Кстати, здесь есть примеры, иллюстрирующие работу каждого из принципов.

Кто вывел SOLID


Как вы уже успели догадаться, за основную часть принципов отвечал именно Дядя Боб. Комплексно он описал их в работе Design Principles and Design Patterns 2000 года, а сам акроним SOLID уже позже предложил инженер Майкл Фэзерс (Michael Feathers). Если интересно, у Майкла есть книга, где он дает рекомендации о том, как оживить legacy-систему и не сойти с ума по ходу дела.


Фото Oskar Yildiz Unsplash

Задача SOLID способствовать разработке приложений, которые легко поддерживать и расширять в течение долгого времени. Но этот свод рекомендаций часто подвергают критике.

За что критикуют


Иногда эти принципы называют слишком расплывчатыми, что усложняет их практическое использование. Программист и писатель Джоэл Спольски (Joel Spolsky) в одном из выпусков The StackOverflow Podcast также отметил, что SOLID-методология слишком утопична и вынуждает разработчиков тратить время на избыточный код фактически ради галочки.

Он считает, что не нужно заранее пытаться учесть все возможные варианты развития событий и просто программировать, постепенно исправляя недочеты, а не опираться на мнимую систему безопасности. Спольски не отменяет значимости принципов, но называет их чрезмерными.

Есть мнение, что SOLID-код имеет слабую связность и его легко тестировать, но очень сложно понимать (в критике используется слово unintelligible). Программисту приходится писать множество детализированных интерфейсов и небольших классов, которые больше отвлекают и путают, чем помогают наладить какую-то систему. С этим утверждением соглашаются многие, кто считает, что достаточно фокусироваться на простоте кода, чтобы его могли поддерживать другие разработчики.


Фото Kevin Canlas Unsplash

В тематическом треде на Hacker News говорят и о том, что гораздо большее значение имеет выбор архитектуры, технологического стека и управление зависимостями проекта, а не основополагающие принципы, по которым строится его написание. Здесь вновь указывают на излишнюю сложность старта с комплексного проектирования системы, указывая уже на принцип YAGNI или You aren't gonna need it. В какой-то степени это очередной ремикс классического KISS-подхода.

Стоит признать, что есть и множество высказываний в защиту SOLID. Так, один из резидентов HN говорит, что следование эти принципам поможет быстро заменить условную библиотеку, если на уровне абстракции что-то пойдет не совсем так. Достаточно будет удостовериться в выполнении тестов для новой реализации и на этом все, максимум дополнительно проверить зависимости для старой версии класса и по мере необходимости использовать доработанный, чтобы тесты прошли успешно. Тогда в коде не будет и излишней сложности, а тем, кто будет заниматься им впоследствии, не будет грозить так называемый синдром неприятия чужой разработки.

Важно помнить, что принципы SOLID являются лишь рекомендациями, а не строгими правилами. И всегда будут кейсы, когда их лучше придерживаться, а когда отступить.


О чем мы пишем в корпоративном блоге 1cloud.ru:

Необычные приглашения на собеседование от HTTP-заголовка до сообщения в поисковике
Почему разработчики дороже денег, как их сохранить и приумножить
Группа разработчиков предлагает перейти на UTF-8
Подробнее..
Категории: Программирование , Ооп , Solid , Блог компании 1cloud.ru , 1cloud , Методологии разработки , Справочная , Основы разработки

Взглянуть на выходных англоязычные YT-каналы о разработке и архитектуре ПО, алгоритмах и электронике

10.10.2020 22:18:47 | Автор: admin

Одни считают, что образовательные YouTube-каналы и подкасты по определению не могут дать глубоких знаний, другие находят там новые идеи и черпают вдохновение. Мы решили разобраться, что смотрят опытные разработчики и те, кто только начинают учебный процесс в IT.

Сегодня остановимся на общих темах, а в следущий раз перейдем к специализированным.

Главное не воспринимать эти рекомендации как единственные в своем роде. Что-то новое для себя вы точно найдете как с точки зрения общей культуры программирования, так и некоторых аспектов computer science. Но не стоит ждать от авторов этих каналов чего-то невозможного.

Chase Chappell / Unsplash.comChase Chappell / Unsplash.com

Fun Fun Function

245 тысяч подписчиков

Заметим сразу, что автор канала приостановил выпуск роликов. Но библиотеку записей, собранную за пять с лишним лет работы, он сохранил. Наибольшее количество просмотров 600k набрала первая часть разбора техник функционального программирования на JavaScript. Из более свежих в лидеры вырвались такие темы как React Hooks (123k) и когнитивно-поведенческая психотерапия (28,5k), ставшая частью длительной серии из нескольких десятков роликов о культуре разработки, карьере в IT, лайфхаках для программистов, продуктивной работе и эмоциональной гигиене.

Подойдет для продвинутых разработчиков и тех, кто только начинает разбираться в теме.

Отличительная черта канала информативность и хорошее чувство юмора ведущего. Благодаря им все публикации в общей сложности набрали более десяти миллионов просмотров. Кстати, загляните и в дружественный проект DevTip (хотя тут апдейты перестали появляться еще раньше).

Art of The Problem

70 тысяч подписчиков

Здесь каждый выпуск посвящен истории технологической или научной проблемы. В роликах рассказывают, с чего начиналось решение того или иного вопроса, обсуждают ход этого процесса и делятся современными исследованиями и проектными реализациями по заданной теме.

Одни из наиболее популярных передач по теме нейронок и глубокого обучения. В последнем видео из этой серии авторы объясняют базовые концепции и математику, задействованную в этой области, с помощью различного рода визуализаций. На канале есть огромное количество разборов: от механик рекомендательных до основных принципов работы криптографических систем.

Rishabh Agarwal / Unsplash.comRishabh Agarwal / Unsplash.com

Подойдет для всех, кто интересуется технологиями и не хочет буксовать на одном месте.

Отличительная черта аккуратный подход к видеоряду, подготовленная закадровая читка, высокая информативность и темп подачи материала (в самом хорошем смысле). Эти качества справедливы для всех роликов, которых здесь не так и много, но свои 6,5 млн просмотров они все-таки набрали.

Канал Гурава Сена

287 тысяч подписчиков

Это одна из находок среди точечных рекомендаций участников сообщества Hacker News. Автор канала выбрал для себя следующие тематические направления: проектирование систем, алгоритмы, спортивное программирование и работа над системами ИИ. Но на них он не ограничивается.

Суммарно ролики Гурава набрали более одиннадцати миллионов просмотров, хотя всего на канале чуть меньше 170 публикаций. Наиболее популярное видео 720k это разбор устройства системы обмена сообщениями. Сразу за ним самый быстрый алгоритм сортировки (668k), третье место занимает шардинг баз данных, четвертое архитектура сервисов вроде Tinder.

Понравится тем, кто учится на одной из CS-специальностей и развивает карьеру в этой области, а более продвинутым программистам поможет найти свежий взгляд на некоторые вопросы.

Отличительная черта скорость подачи материала, которая существенно отличается от того, к чему многие привыкли в вузе; разнообразие и достаточно глубокое погружение в определенные темы.

Канал Бэна Итера

559 тысяч подписчиков

Продолжаем движение от каналов, где новые видео не появлялись около месяца, к более активным. Этим проектом занимается человек, известный по технической части Khan Academy и независимым начинанием в области разработки электроники и моделирования компьютерного железа.

Его ролики набрали более 33 млн просмотров, а отдельные видео регулярно выходят на миллионный охват. В топе рассказ о том, как собрать худшую в мире видеокарту (2,8M), еще мы выделили бы знакомство с работой TCP (333k) и обсуждение проблемы сетевого нейтралитета.

Подойдет тем, кто хотел бы на практике погрузиться в мир компьютерного железа.

Отличительная черта глубокая проработка отдельных тем (пример плейлиста по одной из них), подробные объяснения принципов работы и устройства компонентов, внимательное отношение к видеоряду (крупные планы, свет), хороший звук и подробные закадровые комментарии к гайдам.

The Coding Train

1,19 млн подписчиков

Если при просмотре действительно полезного YouTube-туториала вы задумывались о том, как было бы круто, если его автор преподавал бы в вашем вузе, то это именно такой случай. Здесь есть все: от алгоритмов и машинного обучения до генеративной поэзии и проведения различных симуляций.

Slidebean / Unsplash.comSlidebean / Unsplash.com

Отдельно стоит отметить плейлисты. Их количество вполне можно сравнить с общим числом роликов на похожих каналах. Их наиболее популярных серий для просмотра на этих выходных мы бы рекомендовали компактный гайд по машинному обучению для представителей творческих профессий и еще один, но уже по теме задачи коммивояжёра.

Этот канал подойдет всем, кто читает Хабр каждый день. Опытные разработчики и те, кто только начинают путь в сфере IT, точно смогут найти для себя что-то подходящее и полезное.

Отличительная черта прекрасное чувство юмора ведущего, профессиональное отношение к разбору тем, высокий уровень подачи материала в формате live-презентации (без редактирования).

Новые публикации у нас на Хабре:

Подробнее..
Категории: Программирование , Анализ и проектирование систем , Машинное обучение , Учебный процесс в it , Учебный процесс , Блог компании 1cloud.ru , Электроника для начинающих , Computer science , 1сloud , Youtube-каналы

Три англоязычных YouTube-канала для разработчиков, на которые стоит взглянуть на выходных

10.10.2020 20:06:06 | Автор: admin

Одни считают, что образовательные YouTube-каналы и подкасты по определению не могут дать глубоких знаний, другие находят там новые идеи и черпают вдохновение. Мы решили разобраться, что смотрят опытные разработчики и те, кто только начинают учебный процесс в IT.

Сегодня остановимся на общих темах, а в следущий раз перейдем к специализированным.

Главное не воспринимать эти рекомендации как единственные в своем роде. Что-то новое для себя вы точно найдете как с точки зрения общей культуры программирования, так и некоторых аспектов computer science. Но не стоит ждать от авторов этих каналов чего-то невозможного.

Chase Chappell / Unsplash.comChase Chappell / Unsplash.com

Fun Fun Function

245 тысяч подписчиков

Заметим сразу, что автор канала приостановил выпуск роликов. Но библиотеку записей, собранную за пять с лишним лет работы, он сохранил. Наибольшее количество просмотров 600k набрала первая часть разбора техник функционального программирования на JavaScript. Из более свежих в лидеры вырвались такие темы как React Hooks (123k) и когнитивно-поведенческая психотерапия (28,5k), ставшая частью длительной серии из нескольких десятков роликов о культуре разработки, карьере в IT, лайфхаках для программистов, продуктивной работе и эмоциональной гигиене.

Подойдет для продвинутых разработчиков и тех, кто только начинает разбираться в теме.

Отличительная черта канала информативность и хорошее чувство юмора ведущего. Благодаря им все публикации в общей сложности набрали более десяти миллионов просмотров. Кстати, загляните и в дружественный проект DevTip (хотя тут апдейты перестали появляться еще раньше).

Art of The Problem

70 тысяч подписчиков

Здесь каждый выпуск посвящен истории технологической или научной проблемы. В роликах рассказывают, с чего начиналось решение того или иного вопроса, обсуждают ход этого процесса и делятся современными исследованиями и проектными реализациями по заданной теме.

Одни из наиболее популярных передач по теме нейронок и глубокого обучения. В последнем видео из этой серии авторы объясняют базовые концепции и математику, задействованную в этой области, с помощью различного рода визуализаций. На канале есть огромное количество разборов: от механик рекомендательных до основных принципов работы криптографических систем.

Rishabh Agarwal / Unsplash.comRishabh Agarwal / Unsplash.com

Подойдет для всех, кто интересуется технологиями и не хочет буксовать на одном месте.

Отличительная черта аккуратный подход к видеоряду, подготовленная закадровая читка, высокая информативность и темп подачи материала (в самом хорошем смысле). Эти качества справедливы для всех роликов, которых здесь не так и много, но свои 6,5 млн просмотров они все-таки набрали.

Канал Гурава Сена

287 тысяч подписчиков

Это одна из находок среди точечных рекомендаций участников сообщества Hacker News. Автор канала выбрал для себя следующие тематические направления: проектирование систем, алгоритмы, спортивное программирование и работа над системами ИИ. Но на них он не ограничивается.

Суммарно ролики Гурава набрали более одиннадцати миллионов просмотров, хотя всего на канале чуть меньше 170 публикаций. Наиболее популярное видео 720k это разбор устройства системы обмена сообщениями. Сразу за ним самый быстрый алгоритм сортировки (668k), третье место занимает шардинг баз данных, четвертое архитектура сервисов вроде Tinder.

Понравится тем, кто учится на одной из CS-специальностей и развивает карьеру в этой области, а более продвинутым программистам поможет найти свежий взгляд на некоторые вопросы.

Отличительная черта скорость подачи материала, которая существенно отличается от того, к чему многие привыкли в вузе; разнообразие и достаточно глубокое погружение в определенные темы.

Новые публикации у нас на Хабре:

Подробнее..
Категории: Анализ и проектирование систем , Учебный процесс , Блог компании 1cloud.ru , Computer science , 1сloud , Youtube-каналы

TLDR занимательные RFC, YT-каналы на выходные, живойкомпьютер из 50-х и история Fidoneta

25.10.2020 16:08:20 | Автор: admin

В прошлый раз мы поговорили о перестройке IT-монополий, сломе cookie-стен и открытом ПО, а до этого обсудили непривычную дистанционку, личную ИБ и то, почему разработчики дороже денег. Сегодня вновь делимся главными моментами из наших избранных материалов.

Alex Motoc / Unsplash.comAlex Motoc / Unsplash.com

Шутки ради: пара занимательных RFC

Формат Request for Comments существует более пятидесяти лет. За это время вышло около девяти тысяч различных спецификаций, но не ко всем из них стоит относиться слишком уж серьезно.

Так, RFC 8771 описывает сетевую нотацию I-DUNNO. Ее задача необратимо обфусцировать IP-адреса, чтобы усложнить их чтение и закрепить эту область за вычислительными системами.

В 8774-м документе предусмотрели возможные проблемы с квантовыми сетями будущего, а именно 0-RTT, с которым готовы столкнуться лишь TLS 1.3 и QUIC. Чтобы справиться с потенциальными сложностями, автор предлагает составить список всех протоколов, подверженных квантовым багам.

Компьютер, который отказывается умирать

Еще одна наша находка японский FACOM 128B. В этом году ему исполняется 62 года, а 100-й линейке этих устройств 66 лет. Стоит признать, что компьютер уступает своим современникам (вроде IBM 701) по производительности, но его хватило, чтобы спроектировать целый авиалайнер.

Недостатки FACOM компенсирует надежностью и простотой обслуживания. 128B прекрасно себя чувствует и в роли музейного экспоната для поддержки его работоспособности нужен всего один инженер. Кстати, в статье мы говорим и о других долгожителях IBM 402 и DEC MicroVAX 3100.

Наш короткий ролик о FACOM 128B:

Почти анархия: краткая история Fidonet

Стоит признать, что основателям этого проекта не было дела до победы над интернетом, а его название вовсе не произошло от клички пса одного из них. Их решение было уникальным с точки зрения отсутствия активной коммерциализации, хотя такой подход и погубил это начинание.

Том Дженнингс, начавший работу над проектом в 83-м, уже через год провел первый сеанс связи с коллегой, находившимся на другом побережье США. Но от формата точка-точка к простой древовидной структуре сеть перевели лишь через несколько лет. Тогда и появились пойнты, ноды, сисопы и регионы, задавшие международный масштаб для независимого проекта.

В Россию Fidonet пришел в 90-е, тогда он был на пике популярности. Однако уже к концу десятилетия по уровню и скорости развития интернет не оставил Fidonet'у ни единого шанса. С другой стороны, сама технология все еще в ходу сегодня Fido Technology Network все еще пользуются не только отдельные энтузиасты, но и некоторые банки или даже правоохранительные структуры.

Изучить на выходных: книги для сетевых администраторов

Мы посмотрели, что сегодня обсуждают на Hacker News и других англоязычных технологических площадках, а по итогам такого анализа подготовили компактную подборку литературы.

Первая книга о принципах построения компьютерных сетей при участии ведущего специалиста VMware. Она распространяется бесплатно репозиторий проекта на GitHub, а читать тут.

Вторая книга бестселлер и всесторонний справочник для сетевого администратора. Один из разработчиков DNS назвал ее незаменимой для тех, кто работает с облаком и открытым ПО.

Третья от одного из топовых экспертов по кибербезопасности. Здесь сделали ставку на простоту примеров и разбор ситуаций, с которыми может столкнуться системный администратор.

Кстати, вот короткий видеообзор еще одной подборки книг на этот раз с фокусом на ИБ:

Парочка тематических подкастов по теме сетевых технологий

Мы изучили несколько аудиопередач и рассказали об избранных подкастах. Так, один из них решили не продолжать в 2020-м, но у программы есть архив из 85 выпусков средней длительности, которые достаточно легко слушать какая-то особенная подготовка для этого не требуется. Шоу подойдет тем, кто хотел бы разобраться с рядом базовых мифов и оценить профильные темы свежим взглядом.

Ведущие второго подкаста уделяют больше внимания вопросам информационной безопасности. Здесь выпуски чуть объемнее, но и формат отличается свежий эпизод повествует о борьбе TrickBot'ом, есть двухсерийный разбор крупномасштабной учётки данных в Yahoo и рассказ о Золотом щите.

Англ. YT-каналы об алгоритмах, разработке и архитектуре ПО

Этот обзор, опубликованный на днях в нашем блоге, добавили в избранное 123 хабрапользователя. Тут есть достаточно популярные и относительно необычные проекты, но формат подачи материала у них многим покажется доступнее для восприятия и понимания (все-таки есть визуальная составляющая).

Среди ключевых находок стоит отметить:

Пара специализированных рекомендаций (Python, Linux и др.) в комментариях к хабратопику.

Подробнее..
Категории: Системное администрирование , История it , Серверное администрирование , Блог компании 1cloud.ru , 1cloud , Fidonet , Rfc , Подкасты , Youtube-каналы , Facom , Чтение на выходные

Что нового в сфере квантовых коммуникаций система распределения ключа для десяти участников

30.09.2020 20:16:11 | Автор: admin
Группа физиков представила систему квантового распределения ключа для десяти участников долгое время их количество не превышало двух. Расскажем, что известно о разработке и аналогах.


Фото Shahadat Rahman Unsplash

В квантовых сетях данные передают по оптоволоконным каналам с помощью поляризованных фотонов. Фотоны очень хрупкие и разрушаются при считывании. В теории это свойство защищает квантовые каналы связи от прослушки, поэтому их использование для распределения криптографических ключей между классическими вычислительными системами считают достаточно перспективным решением.

В то же время реализации таких систем даже на уровне научных лабораторий обходятся в приличные суммы и не позволяют добиться высоких скоростей передачи. По большей части они используют простой формат точка-точка, используют повторители и доверительные узлы, считывающие закодированные данные и отдающие их по цепочке. Такой подход с вводом большого числа промежуточных элементов списывает часть заявленных преимуществ системы с точки зрения информационной безопасности, усложняет структуру и процесс развертывания сетей.

В августе группа физиков из ЮАР представила альтернативный механизм квантового распределения ключей. Он позволяет наладить обмен между десятью участниками и не требует повторителей.

Как это работает


Для этого проекта инженеры предложили отойти от классических подходов кодирования в системах квантового распределения ключа и передали криптографическую информацию с помощью орбитального углового момента (orbital angular momentum, OAM) он описывает направление вращения и силу закрученности фотона и обладает высокой информационной вместимостью. Ученые даже сравнили поляризацию фотона в традиционных системах квантового распределения ключа с подбрасываем монеты, а OAM с игральной костью, обладающей бесконечным числом сторон.


Фото jesse ramirez Unsplash

Для обмена данными была предложена схема под названием передача посылки (pass-the-parcel). Фотон с закодированной информацией по очереди принимает десять участников сети, каждый из которых производит определенные операции с OAM без считывания. Таким образом, фотон не разрушается и возвращается к отправителю. Последний производит контрольное считывание и сравнивает состояние фотона до и после передачи. Что самое главное новых подход позволяет распределять ключ, даже если друг другу доверяет лишь часть участников сети например, три или четыре. Классические системы пока не могут похвастаться такими возможностями.

Что с этого ИТ-индустрии


Подобные разработки приближают появление коммерческих и государственных квантовых сетей (подобные проекты уже обсуждают в Министерстве энергетики США), удешевляя стоимость инфраструктуры и повышая ее теоретическую эффективность. Так, в австрийском Институте квантовой оптики и квантовой информации убеждены, что в ближайшие пять лет квантовые сети смогут объединить вычислительные устройства на расстоянии в 50100 километров.


О чем мы пишем в корпоративном блоге 1cloud.ru:

Какие кабели соединят Африку, Азию и Австралию
Почему старые варианты мониторинга эффективности сотрудников не подходят для дистанционки
Какие есть открытые ОС для сетевого оборудования
Досмотр мобильных устройств как обстоят дела в мире
Подробнее..
Категории: Разработка систем связи , Квантовые технологии , Блог компании 1cloud.ru , 1cloud , Квантовые сети , Распределение ключа

Полный граф в квантовой сети для восьми участников обсуждаем этот эксперимент

07.10.2020 12:08:05 | Автор: admin
На днях мы рассказали об исследовании, в рамках которого был предложен механизм квантового распределения ключа для десяти участников сети. Продолжаем смотреть на аналогичные проекты.


Фото Joshua Sortino Unsplash

Что это за проект


Новую систему для распределения данных по квантовым каналам связи между несколькими участниками представила международная группа инженеров из лабораторий Бристольского университета, Института квантовой оптики и информации в Вене, Института Руджера Бошковича в Загребе, оборонного научно-технического университета НОАК и Университета Лидса.

Продемонстрированная учеными реализация квантовой сети отличается от той, которую мы обсуждали ранее. Разработчики этого проекта показали собственное решение ряда проблем от эффективности масштабирования до укрепления безопасности классических квантовых сетей.

Как выглядит реализация


В рамках эксперимента инженеры соединили каждого пользователя сети с другими, сформировав полный граф с числом пар равным двадцати восьми. В статье есть общая схема архитектуры (стр. 3) и ее экспериментальное представление для Бристоля (стр. 4).

Изображение Koko90 (CC BY-SA)
Распределения ключа проводили для всех двадцати восьми пар пользователей с возможностью выбора четырех из них в качестве приоритетных. Плюс задействовали метод двучастичной квантовой запутанности между частотными модами сигнала. Уход от многочастичной запутанности в сторону более простого решения и новый подход к топологии сети дал возможность использовать минимум оборудования (детекторы и др.) для ее поддержания.

Еще в этом проекте исключены доверительные узлы. Это второе ключевое отличие от проекта, представленного ранее группой физиков из ЮАР. Первые тесты провели с восемью участниками разработчики проекта назвали рекордным для систем подобного типа, являющихся новой альтернативой классическим квантовым сетям формата точка-точка.

Перспективы разработки


Разработчики системы говорят, что их подход годится для широкого спектра use-кейсов и позволяет организовать эффективное распределение ключа для географически распределенных участников сети. Это еще один шаг на пути к развёртыванию масштабных квантовых сетей и квантового интернета. Другое дело, что для осуществления таких планов предстоит значительным образом продвинуть не только исследования в этой области. Как справедливо замечают российские коллеги, для развития направления потребуются существенные усилия и по сертификации оборудования.


Фото Josh Adams Unsplash

Хотя ученые, проводившие эксперимент в Бристоле, и выдвигают ряд возможных улучшений для масштабных реализаций с топологией в виде полного графа например, предлагают использовать дополнительные детекторы на ряде узлов (по несколько на одном), известно, что даже экспериментальные квантовые сети вещь достаточно капризная, низкоскоростная и дорогая.

Поэтому сегодня зачастую применяют ослабленное лазерное излучение. Кто работает над внедрением коммерческих разработок в этой области, расскажем в одном из следующих материалов.


О чем мы пишем в корпоративном блоге 1cloud.ru:

Необычные приглашения на собеседование от HTTP-заголовка до сообщения в поисковике
Почему старые варианты мониторинга эффективности сотрудников не подходят для дистанционки
Почему разработчики дороже денег, как их сохранить и приумножить

Досмотр мобильных устройств как обстоят дела в мире
Группа разработчиков предлагает перейти на UTF-8
Какие есть открытые ОС для сетевого оборудования

Новые публикации у нас на Хабре:
Подробнее..
Категории: Разработка систем связи , Блог компании 1cloud.ru , Квантовая криптография , Квантовые коммуникации , 1сloud , Квантовые сети

Облачный TLDR зачем открывать проекты, как относиться к разработчикам и пара слов о личной ИБ

01.08.2020 14:17:18 | Автор: admin
У нас один из самых активных блогов на Хабре, поэтому уже на своем сайте мы публикуем только избранные материалы. Вместо привычных дайджестов таких постов сегодня пробуем новый TL;DR-формат. Рассказываем в паре абзацев все самое главное, чтобы вы могли получить информацию из нескольких хабрапостов здесь и сейчас. Если захотите детально изучить пруфы и углубиться в какую-либо тему, ссылки на полные версии мы оставили в подзаголовках.


Фото Daoud Abismail Unsplash.com


Почему разработчики дороже денег, как их сохранить и приумножить



61% топ-менеджеров считает, что их бизнес зависит от тех, кто создает ИТ-продукты и сервисы. В компаниях, где это действительно так, разработчикам платят на 20% больше рынка, но даже это не избавляет от проблем с наймом. Те, кто не жалеет денег, пытаются сразу привлечь IT-звёзд, а потом не знают, как их интегрировать в команду. Дело в недостаточном внимании к soft skills таких сотрудников, что справедливо и для джуниоров, которым только предстоит развить эти навыки. Если атмосфера в коллективе допускает возможность учиться чему-то новому, даже звездам будет комфортно, а для остальных снизится риск заработать синдром упущенной выгоды или невроз.

Разработчики вполне рациональные люди. Они хотят понимать, как их труд оценивают в денежном эквиваленте. Поэтому важно знать не только уровень психологического комфорта в коллективе, но и степень творческой составляющей в работе каждого сотрудника. Одно дело, клепать шаблонные сайты, другое делать нетипичный продукт. Каждому подходит что-то свое, и стоит выяснить, что именно, как можно раньше. Тогда вы сможете вместе определить справедливое вознаграждение, измеримые цели и варианты развития в компании в зависимости от их реализации.


Работа на дистанционке хорошо забытое старое



Крестьянский труд или работу ремесленников до промышленной революции вполне можно назвать надомной. Даже с появлением фабрик оставались те, кто открывал паб и жил в помещении над ним.

Эта традиция сохранилась, но для офисных сотрудников она практически не работала до 1980-х. Тогда в США внедрили гибкие графики, задумались о проблеме пробок и начали открывать филиалы компаний в пригородах. Интернет помог ускорить эти процессы и даже привел к тому, что дистанционка начала по большей части ассоциироваться с ИТ-специалистами.

Сегодня удаленную работу стоит рассматривать не только как способов борьбы с эпидемией, но и в качестве социального лифта для людей из регионов. Хотя позволить себе такой режим могут представители не всех профессий, их становится больше 34% американцев в возрасте от 22 до 65 лет даже готовы к 5%-ному сокращению оклада ради возможности работать из дома.


Нельзя так просто взять и привыкнуть к работе из дома



На удаленкелюди уделяютработе 58 дополнительных часов в год, но добиться такого вовлечения сложно. Нужно самостоятельно обустроить рабочее место (это плюс 17% к эффективности), наладить асинхронную коммуникацию (57% миллениаловсчитает видеозвонки злом) и соблюдать work-life balance (без него 66% разработчиков на дистанционке замечает у себя признаки выгорания).


Фото Charles Deluvio Unsplash

Из основных лайфхаков: лучше убрать лишние вещи со стола и разбросанную одежду; еще важно постараться задать негласные правила переписки, чтобы полностью исключить митапы и звонки (например, определиться с принятой в компании скоростью реакции на вопрос в почте или в чате); самое главное выбрать время дня, когда вас не отвлекают от работы и заполнить его самыми значимыми и сложными задачами. Эти рекомендации нельзя назвать универсальными, но многим они помогают привыкнуть к работе из дома и ощутить преимущества дистанционки.


Правильная защита персональных данных и личная ИБ



Иногда стоит пересмотреть привычные практики. Например, меньше использовать password-менеджеры вместо цифробуквенных паролей выбирать парольные фразы и просто их запоминать. В EFF и других организациях такой подход считают более надежным. Ротация паролей зачастую приводит к непреднамеренному использованию частей старых pass-кодов, поэтому нет смысла обновлять их раз в месяц. Лучше следить за новостями о сливах и компрометации сервисов, а по мере поступления новостей менять пароли. Кстати, если в какие-то аккаунты вы уже долгое время не входили, лучше удалите их, чтобы закрыть лишний вектор атаки на себя и ближний круг.

Из других способов повысить уровень личной ИБ выделяется лишь чтение электронных документов в облаке (например, на специальной ОС на машине IaaS-провайдера). Еще не стоит торопиться с установкой автоматических обновлений. Иногда свежие заплатки только вредят, поэтому лучше дождаться первых отзывов и только потом накатывать серьезные апдейты.

Кстати, тут мы собрали хорошие книги: о вирусах, хакерах и истории цифрового картеля.


Что это дает компаниям участие в open source проектах



Открытые проекты хорошая альтернатива платным курсам. Так разработчики смогут сами найти для себя задачи, которые будут им интересны и с высокой вероятностью полезны ИТ-сообществу.

Open source не только ускоряет развитие продукта за счет роста комьюнити вокруг него, но и помогает продвинуть проект. Если в разработке поучаствуют ИТ-специалисты из других компаний, скорее всего им не составит труда порекомендовать ваш продукт или платные услуги своему начальству. Такой PR даже и PR-ом назвать нельзя, он просто лучше и гораздо органичнее любой рекламы. А еще чем больше сообщество вокруг открытого проекта, тем больше глаз ищет баги. Это очевидно.


Дополнительное чтение:

Необычные способы разместить IT-вакансию
Почему Евросоюз искореняет cookie-стены
Группа разработчиков предлагает перейти на UTF-8

Подробнее..
Категории: Open source , Удаленная работа , Блог компании 1cloud.ru , 1cloud , Gtd , Удалёнка , Дистанционная работа , Домашний офис , Иб , Devrel

Перестройка IT-монополий, слом cookie-стен и открытый госсофт быстрое чтение в облачном TLDR

04.10.2020 16:16:23 | Автор: admin
Продолжаем делиться (раз, два) TL;DR-версиями постов из нашего блога. Здесь только главные моменты из каждой статьи, а ссылки на развернутые тексты есть в подзаголовках дайджеста.


Фото Guilherme Cunha CC BY-SA


Кто и почему хочет сделать интернет общим



Политики и регуляторы все чаще реагируют на крупные утечки данных и громкие события в сфере информационной безопасности. Большинство из них обвиняет IT-компании, но наиболее радикальные представители истеблишмента идут дальше. Они активно обсуждают монополизацию отрасли и постепенно подталкивают общество к национализации технологического сектора.

Как минимум, так складывается ситуация в западных странах. Но кто знает, что произойдет в остальном мире, если события вокруг этого вопроса начнут стремительно разворачиваться в США или Европе, и захотят ли лидеры других стран взять опыт своих коллег на вооружение.

Главное, что привлекает внимание сторонников левых движений, взявшихся делить IT, это всем известные бренды-лидеры потребительских сегментов рынка: поиск, браузеры, офисное ПО, смартфоны и ecommerce. Они создают существенный объем рабочих мест, проводят масштабные исследования и практически все открывают приличную часть разработок, но даже с учетом столь положительного влияния вызывают все больше волнений у регуляторов.

Некоторые представители власти не ограничиваются вопросами ИБ и обсуждают тему неконтролируемого сбора персональных данных. Левые и леворадикальные движения на западе говорят о необходимости трансформации IT-компаний в кооперативы утилитарные структуры, которые не приносили бы сверхприбыль и воспринимались бы как сервисные организации из условной сферы ЖКХ. По их задумке, этот подход отобьет стимул к эксплуатации персональных данных в массовом порядке, снизит вероятность утечек и даже риски для нацбезопасности.

Что удивительно, движение в эту сторону уже идет. Многие государства внесли поправки о базовом праве граждан на доступ к сети, а Лейбористская партия Британии даже предложила сделать его условно бесплатным. Все эти планы могут быть оплачены с помощью новых налогов и сборов с интернет- и телеком-корпораций. Пока политики обсуждают планы, местные общины начинают разворачивать свои сети так поступили в штате Теннесси и южной Миннесоте.

Тема действительно интересная, варианты развития событий все активнее обсуждают, взять хотя бы наш тред с комментариями к этому материалу на Хабре рекомендуем изучить его.


Кто хочет сделать из ИТ-гигантов кооперативы




Пока представителей власти интересуют телеком-бизнес, национальная инфраструктура и вопросы сетевого нейтралитета, IT-компании сами выходят с предложениями о защите ПД. В силу известного скандала вокруг выборов президента США Марк Цукерберг вынужден чаще говорить о проблемах утечек данных, но сторонники левого движения подталкивают его и других руководителей крупного технологического бизнеса к постепенному дроблению организаций.

Социалисты считают, что управление такими блоками стоит делегировать демократически избранным представителям, которые могли бы действовать в интересах граждан. Такие примеры есть в формате кооператива уже работает служба такси Green Taxi в Денвере и маркетплейс Fairmondo, оперирующий на рынках Германии. Противники столь радикального пересмотра принципов регулирования IT-сектора высказывают описание о его излишней бюрократизации. Они считают, что конфликты политических партий могут помешать технологическому развитию общества.

Чтобы ознакомиться с деталями происходящего и взглянуть на проблему с разных точек зрения, предлагаем проанализировать все 199 комментариев под этим хабрапостом.


Почему Евросоюз искореняет cookie-стены



Кажется, что в какой-то момент появление GDPR было одним из центральных событий в новостной повестке. Но этот год заставил нас забыть о каких-либо сложностях с повсеместными cookie-стенами и баннерами. С другой стороны, развитие в этой области не остановилось. Ранее суд Европейского союза запретил предзаполненные чек-боксы, но оставил возможность не спрашивать разрешения для служебных вещей вроде поддержки сессий, плагинов и загрузки видеоконтента.

В свою очередь, в начале мая европейский регулятор признал, что cookie-стены могут нарушать GDPR, если такой баннер закрывает доступ к содержимому сайта и требует согласия с условиями сбора данных для продолжения просмотра. Комиссия по защите данных (European Data Protection Board, EDPB) пояснила, что это решение должно быть добровольным, а не вынужденным.

Пока власти прорабатывают рекомендации о том, как все-таки получать согласие пользователей на обработку ПД, аналитики бьют тревогу. Так, только 11,8% британских consent management platforms (CMPs) соответствуют требованиям GDPR, хотя их и используют десятки тысяч веб-сайтов.

Поможет ли им стать лучше очередное обновление законодательства, еще предстоит увидеть. Но одними только cookie-стенами дело не ограничивается, как быть с расплывчатыми формулировками в самих соглашениях о работе с персональными данными, пока неизвестно.

В заключительной части материала мы приводим примеры сервисов для блокировки нежелательных cookies и переходим к обсуждению мнений аудитории (в треде 77 комментариев хабражителей).


Как Европа переходит на открытое ПО для госучреждений



Мюнхенский вопрос висит в воздухе уже более 15 лет, но он совсем не о том, что мог бы себе представить любитель популярных новостных программ. Речь о переходе госсектора на open source и многомиллионной экономии для бюджета города. Когда активисты только занялись этим делом, городские власти пошли навстречу и запустили разработку дистрибутива LiMux и открытого офисного ПО, но по тем или иным причинам процесс увяз. Начались проблемы с совместимостью, пока открытые решение использовали параллельно с классическими пакетами, потом мэр отказался участвовать в новых выборах, а его сменщик и вовсе оказался фанатом проприетарного ПО.

В этом году социал-демократы и зеленая партия дали новую жизнь борьбе за открытый софт в рамках кампании Общие деньги, общий код. Не сложно догадаться, в чем ее суть. Кстати, в Барселоне open source внедряют с меньшими проблемами, а местные решения находят спрос в Дубае и Японии. Получится ли развить эту тему в Европе, нам еще предстоит увидеть.


Какие есть открытые ОС для сетевого оборудования



На открытом ПО для офисной работы дело не ограничивается. Крупные телеком-компании и вендоры продолжают поддерживать независимые разработки в области open source инфраструктуры и соответствующего софта. В материале мы рассказываем всего о паре таких проектов сетевом Сонике на Linux'е и Redis-движке, который начали использовать в ЦОДах самих проектировщиков системы, и открытом Linux-дистрибутиве, входящем в стек NOS (Network Operating System) из проекта SONiC. Если вы только-только разбираетесь в этой теме, начните погружение с нашей публикации.


Что еще есть у нас в блоге:

Участие в open source проектах может быть выгодным для компаний почему и что это дает
Вся история Linux. Часть I: с чего все началось
Вся история Linux. Часть II: корпоративные перипетии
История Linux. Часть III: новые рынки и старые враги
Бенчмарки для Linux-серверов

Подробнее..
Категории: It-компании , Законодательство в it , Исследования и прогнозы в it , Открытое по , Блог компании 1cloud.ru , 1cloud , Tldr , Законодательство и it-бизнес , Gdpr , Регулирование интернета

Почему старые варианты мониторинга эффективности сотрудников не подходят для дистанционки

13.08.2020 12:11:08 | Автор: admin
Дистанционка тренд этого года. В переходе к такому формату работы заинтересованы и сотрудники, и сами компании. Первые хотят избавиться от временных затрат на дорогу, вторые от необходимости платить за аренду пустующих офисов. Быстрый переход требует сил и средств далеко не всегда менеджеры пользуются даже ходовыми инструментами вроде облачных сервисов для разворачивания и настройки удаленных рабочих мест, а еще чаще пытаются внедрить классические офисные средства для поддержания бизнес-процессов.

Так происходит и с сервисами для мониторинга эффективности сотрудников, но на практике такой подход без адаптации к дистанционному формату не приводит ни к чему хорошему.


Фото AltumCode Unsplash

Непривычная дистанционка


Во многих компаниях при подписании трудового договора сотрудники соглашаются с тем, что их продуктивность будут оценивать с помощью технических средств например, видеокамер и телематики. Такие решения, будучи грамотно реализованными в оффлайне, действительно приносят пользу. Один из крупных западных ретейлеров уже несколько лет использует систему датчиков в кассовой зоне. Она анализирует разговоры между клиентами и кассирами с помощью технологий распознавания речи. Так магазин определяет, насколько успешно сотрудники справляются со своими обязанностями, чтобы повысить уровень удовлетворенности клиентов. Другой онлайн-ретейлер применяет датчики для анализа перемещений сотрудников склада и оптимизирует их маршруты.

В свою очередь, мониторинг онлайн-активностей подчиненных с помощью программных средств до сих пор вызывает жаркие дискуссии они вновь разгорелись после массового перехода на удаленку в момент карантина. Стоит сказать, что и такие системы помогают бизнесу например, защищают ИТ-инфраструктуру, фиксируют доступ к документам и определяют, работает ли за дистанционным компьютером авторизованный сотрудник.

Помимо этих задач менеджеры все чаще требуют от дистанционщиков устанавливать на персональные компьютеры кейлоггеры и всевозможные тайм-трекеры. Некоторые руководители идут дальше и используют специальное ПО для мониторинга рабочего стола сотрудников и мониторят статистику времени, проведенного в различных приложениях. Отдельные примеры показывают, как далеко заходят работодатели, проверяющие с помощью веб-камер, находятся ли разработчики, бухгалтеры и другие специалисты на своих рабочих местах.

Нужна адаптация на всех уровнях


Часто такой мониторинг ведут с помощью обычных приложений без какой-либо адаптации к новым условиям и подготовки сотрудников. По этой причине разработчики Zoom удалили функцию оценки внимания собеседника, а авторы проектного менеджера Basecamp отказались интегрировать в свой продукт инструменты трекинга (сервис все же предлагает таймер для отслеживания рабочего времени, но управляет им исключительно сам пользователь).

Дело не только в частом отсутствии специализированных средств, которые могли бы защитить персонал от вторжения в личную жизнь, но в кризисе доверия. Отношения в коллективе хрупкая вещь, от которой зависит желание сотрудников работать. Специалист, за каждым шагом которого следят, быстро потеряет не только мотивацию, но и продуктивность.


Фото Andreas Klassen Unsplash

Еще десять лет назад ученые установили, что излишний контроль и работа под наблюдением повышает уровень стресса сотрудников. Есть и свежие исследования на эту тему профессориз Гарвардской школы бизнеса Итан Бернштейн (Ethan Bernstein) в своей научной работе утверждает, что постоянный надзор за подчиненными снижает их производительность, опровергая тезис, выдвинутый в первой части текста в примере с американским ретейлом.

Даже при наличии этичных систем мониторинга, нельзя сделать так, чтобы показатели эффективности выполнялись на 100% каждый день, а все в команде работали строго по 8 часов в сутки. Есть мнение, что человек может быть продуктивным лишь на протяжении нескольких часов.

Преподаватель информатики в Джорджтаунском университете Кэл Ньюпорт (Cal Newport) посвятил этому феномену целую книгу Deep Work. Он утверждает, что механический труд и периодическое безделье спасают нас от выгорания. Лучшее, что может сделать работодатель создать условия для концентрации. Требовать бурной деятельности от сотрудников как минимум бесполезно, как максимум приблизит их увольнение.

Вопрос открыт


Эксперты отмечают, что инструменты для контроля распорядка дня подчиненных во многих случаях неэффективны. Они не всегда отражают реальное положение вещей и полностью прозрачные критерии эффективности получится придумать разве что на потоковом производстве. Специалист работает на конвейере и соединяет две детали между собой. Посчитать эффективность в этом случае просто N изготовленных единиц без брака за час.


Фото Hitesh Choudhary Unsplash

Применить аналогичный подход к более сложным задачам уже не получится. Деятельность разработчиков, системных администраторов или специалистов по обработке данных не поддается шаблонному учету. Нельзя оценить программиста по количеству разработанных фич за единицу времени. Такой метод точно будет вредить развитию компании.

Кейлоггеры и аналогичные системы слежения не дадут полного понимания ситуации и точно не поспособствуют доверительной обстановке. Поэтому вопрос выбора и адаптации инструментария к дистанционной работе открыт, но что известно точно такие процессы должны строиться на принципах прозрачности, взаимопонимания и быть приняты коллективом.


Дополнительное чтение в корпоративном блоге 1cloud.ru:

Работа на дистанционке хорошо забытое старое
Нашел, увидел, получил: необычные приглашения на собеседование
Почему разработчики дороже денег, как их сохранить и приумножить
Чем поможет облако на удаленной работе
Подробнее..
Категории: Блог компании 1cloud.ru , 1cloud , Gtd , Продуктивность , Удалёнка , Офис , Эффективность работы , Мониторинг сотрудников

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru