Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

#pracait

Fanatyk

w Hydepark

17piorunów

Jeff Sutherland i Ken Schwaber - to przez tych ludzi cierpią miliony pracowników IT. To oni wymyślili metodykę Scrum i to oni odpowiadają za całe to zło, które się dzieje. Ech, o 11 mam ceremonię scrumową i będziemy słuchać kazań Scrum Mastera. Nikt nie chce, ale co zrobić... Ciężko z tej sekty się wydostać.

Gruba ryba0piorunów

> Nikt nie chce, ale co zrobić.

tacy mądrzy w IT a nie wiedzą co zrobić? xD

złożyć petycję do szefostwa o wypierdolenie na zbity ryj takich pijaw jakimi są chrum asterzy (´・ᴗ・ ` )
a jak się który zająknie to z ryjem o podwyżkę za pracę w trudnych warunkach!

Pokaż więcej komentarzy (4)

Osobistość

w Hydepark

26piorunów

Crowdstrike opublikował raport na temat ostatniego whoopsie. Niestety dokument zaczyna się od "The CrowdStrike Falcon sensor delivers powerful on-sensor AI and machine learning models", więc średnio miałem ochotę to czytać. No ale się zmusiłem. Duża część tego dokumentu do bełkot.

Long story short, Crowdstrike miał swojego regexa (tak, regexa), którym coś tam sobie definiował. Na końcu regexa był wildcard, więc ostatni, dwudziesty pierwszy parametr się zawsze matchował. Problem w tym, że Crowdstrike usunął tego wildcarda i ostatni parametr przestał się matchować. No tylko, że kod nadal go oczekiwał. Programiści aż tacy głupi nie byli i dodali checka na NULL pointera. Ale ten feralny argument nie był ustawiony na NULLa, tylko na losową wartość. Więc kaboom.

Używanie regexów w kernelu moim zdaniem jest wątpliwe moralnie. Ale to nie to było bezpośrednią przyczyną problemu. Po prostu ktoś na ślepo założył, że wszystkie parametry zawsze będą się matchować. Dodatkowo, moim zdaniem pośrednio z raportu wynika, że Crowdstrike nie testował swojego softu z prawdziwymi produkcyjnymi plikami konfiguracyjnymi.

Tytan0piorunów

@groman43 Mega słabe moim zdaniem, że nie tego nie wyłapali. Jedna rzecz mnie zastanawia, w jakim przypadku ten channel file 291 przechodził bez crasha?
Jak rozumiem, chyba nie wszystkie PCty z crowdstrikiem się wywaliły, bo jak wszystkie to oznaczało by, że oni przez przypadek nie przetestowali tego release'a w żaden sposób.

Fanatyk4piorunów

@groman43 - głupki nie mieli środowiska odpowiadającemu produkcji bo do tego musieliby mieć całe laboratorium fizycznych maszyn i wirtualek - ale jak widać najpewniej cięli koszty - i teraz się okazało, że cięli tam gdzie nie trzeba (chociaż założę się, że wewnętrznie ktoś ich ostrzegał - tylko zignorowali) :rolling_on_the_floor_laughing:
Poza tym chyba nie słyszeli o Canary Release i wypuszczali update od razu dla wszystkich (więc jak się zjebało to u dużej ilości klientów na raz).
Nie chce mi się nawet dochodzić, jak bardzo zjebane mieli procedury (chociaż te może mieli ok na papierze - tylko ich nie przestrzegali) ale takie ich wyjaśnienie tylko świadczy, że nie poczuwają się do odpowiedzialności, więc kij im w oko i niech tracą kontrakty.

Pokaż więcej komentarzy (9)

Osobistość

w Hydepark

4piorunów

W nawiązaniu do posta @Unknow, źli ludzie chcieli mi się wbić na VPSa. Na razie wywalenie ssh na inny port niż 22 załatwiło sprawę, ale chyba naprawdę muszę zbanować konkretne kraje na iptables

a nawet

Pokaż więcej komentarzy (9)

Zawodowiec

w Dyskusje

4piorunów

Widać że to bingo robił ktoś kto siedzi w branży bo zebrał wszystkie przywary ludzi z IT. Niesamowite ileż tu jest smaczków. Sam znam jednego programistę co ma aż 7 pewnych pozycji i możliwe że jeszcze 3 kolejne ale nie jestem pewny.

A wy ile macie? Pochwalcie się w komentarzach.

Fenomen1piorunów

Mi wyszło 13 a nie jestem z IT :confused:

Pokaż więcej komentarzy (24)

Osobistość

w Hydepark

94piorunów

Od dobrych kilku lat miałem sobie domenkę oraz skrzynkę pocztową na nazwa.pl. Akurat kończył mi się okres abonamentowy, a ponieważ nie byłem zadowolony z polityki cenowej tej firmy zdecydowałem się na migrację.

1) Aby wydobyć od nazwa.pl kod AuthInfo, trzeba im wysłać wniosek tradycyjną pocztą xD. Trochę średniowiecze. No ale obudziłem się wystarczająco wcześnie, żeby to ogarnąć.
2) Kilka dni po wygenerowaniu wniosku, otrzymałem telefon od nazwy. Pani uprzejmie się zapytała, dlaczego chcę od nich odejść, a kiedy dowiedziała się, że chodzi o ceny, zaproponowała 10% rabatu na domenę xD. Po mojej odpowiedzi, że konkurencja jest 10 raz tańsza, zaproponowała 20% rabatu. Stwierdziła również, że więcej nie może zaproponować. Uprzejmie podziękowałem.
3) Po tygodniu otrzymałem kolejny telefon - tym razem 30% rabatu na domenę, plus możliwość negocjacji rabatu na skrzynkę mailową. Dodatkowo, uprzejma pani zapewniała mnie jacy to oni nie są bezpieczni i że nigdy nie włączają usług bez zgody klienta (tja, wrócimy do tego). Oczywiście podziękowałem.
4) No ale to nie koniec. Tego samego dnia zadzwoniła do mnie kolejna pani (czy to już jest mobbing?). Nie podjąłem nawet rozmowy. Grzecznie podziękowałem i się rozłączyłem.
5) Surprise, surprise - w swojej skrzynce pocztowej znalazłem upragniony kod authinfo. Szybka migracja i jestem wolny. Prawie, ponieważ nazwa.pl po migracji dodała mi nową usługę do opłacenia (a podobno niczego bez zgody klienta nie włączają) - Anycast DNS z DNSSEC. Usługę oczywiście anulowałem.

Koszty domeny nowego operatora - £15.11 rocznie, plus skrzynka - £5 jednorazowo, wysłanie wniosku o kod Authinfo - niecałe £9. Dzisiaj dostałem proformę od nazwa.pl na kolejny okres abonamentowy (6 miesięcy) za samą skrzynkę - 615 zł. Także ten.

Trochę , dlatego standardowe tagi, mimo że nie jest to

Koneser3piorunów

Z ciekawości: znacie tańszego (i zarazem spoko) dostawcę domen niż OVH?

Kosmonauta2piorunów

nazwa.pl i home.pl to największe raczydło wśród dostawców domen i hostingów.
Jedyne do czego się to nadawało, to rejestrowanie różnych testowych domen na rok

Pokaż więcej komentarzy (25)

Osobistość

w Hydepark

57piorunów

Krótkie podsumowanie akcji z z zeszłego tygodnia na podstawie wiarygodnych informacji znalezionych w internetach

1) Crowdstrike to firma amerykańska firma zajmująca się cyberbezpieczeństwem. Celują w rynek enterprise. Dostarczają własne sterowniki, które są wykonywane w Windows kernel mode.
2) Poza sterownikiem, częścią ich delivery są różne definicje wirusów, malware i cholera wie czego.
3) Problem spowodowała właśnie aktualizacja tych definicji, nie samego drivera. Otóż okazało się, że driver jest dość głupi i po prostu skanuje wybraną lokalizację w poszukiwaniu definicji. Jeśli znajdzie odpowiednie pliki, to próbuje je załadować. Nie jest jasne, jakie checki wykonuje przed załadowaniem, ale nie spodziewam się tutaj szału.
4) Plik z nowo dodaną definicją okazał się pusty, zawierał same zera. Nie zatrzymało to jednak drivera, który na jego podstawie najprawdopodobniej próbował wyliczyć jakiś adres. Oczywiście, nie miał szans zrobić tego poprawnie, dlatego ten adres był bezpośrednio z pupy - wartość, którą widziałem w jednym tłicie to 0xc9. A po wyliczeniu tego adresu, driver próbował się dobrać do pamięci pod nim. Nie mogło to się skończyć dobrze.
Side note - skoro adres nie był NULLem, czy innym None, Rustowe unwrap chyba raczej tutaj by nie pomogło (ale się nie znam, więc mogę się mylić).
5) Około 8500000 maszyn na całym świecie zostało dotkniętych tym problemem. Naprawa nie jest skomplikowana, ale wymaga fizycznego dostępu do każdej maszyny ( ͡º͜ʖ͡º)

Moje komentarze
- Wczytywanie plików na YOLO, bez odpowiedniej weryfikacji w kernel mode to nie tylko potężna luka bezpieczeństwa, ale objaw nieskończonej głupoty. Sam driver podobno był certyfikowany przez Microsoft, ale nie wiem na czym dokładnie taka certyfikacja polega i czy sprawdzali kod.
- Crowdstrike najprawdopodobniej zdecydował się zaimplementować mechanizm wczytywania różnych definicji z zewnętrznych plików, żeby ominąć konieczność certyfikacji drivera po każdym update. Taka przyjemność pewnie zajmuje trochę czasu i do najtańszych nie należy.
- Windows teoretycznie posiada mechanizm wywalania spartaczonych driverów. No ale posiada też coś takiego jak "boot install drivers" - drivery, które koniecznie muszą być załadowane, żeby system wstał. Oczywiście, Crowdstrike w swej mądrości oznaczył swój driver jako "boot install" xDDD
- Jedynym sensownym mechanizmem obrony przed takimi akcjami jest podział na dwie partycję - instalujemy update na partycji A i próbujemy się z niej zbootwać. Jeśli to się nie uda, bootujemy się z partycji B, która nie zawiera update.
- Podobno Microsoft zamiast dawać możliwość uruchamiania kodu 3rdparties w kernel mode, chciał udostępnić API związane z cyberbezpieczeństwem. Ale UE się wtrąciła, twierdząć że byłaby to praktyka monopolistyczna. Także xD

Moje pytania
- Dlaczego Crowdstrike wypuścił pusty plik?
- Dlaczego nie dodali żadnych sanity checków podczas ładowania plików, a potem Microsoft to przyklepał?
- Czy ten driver został poprawiony? Czy wrzucenie pustego pliku w odpowiednie miejsce na dysku nadal wywali cały system?

Wirtuoz0piorunów

@groman43 ja się pytam jak to przeszło testy??

Gruba ryba6piorunów

@groman43 ehh biedny stażysta, chłop pewnie ze stresu spać nie może od tygodnia xD

Pokaż więcej komentarzy (16)

Zawodowiec

w Dyskusje

4piorunów

Protip dla programistów:

Jeżeli lubicie chodzić po kilka dni w tej samej koszulce to najlepszym rozwiązaniem będzie gładka koszulka w kolorze czarnym bez nadruków czyli basic. Będziecie sprawiać wrażenie że chodzicie w różnych koszulkach aż do momentu aż ktoś stanie zbyt blisko was i uraczycie go swoim zapachem. Czarny basic będzie też dobrze komponował się z waszymi kucami i podkreśli wasz metalowy charakter.

Gruba ryba2piorunów

@NaczelnyRusofob kupuje je hurtowo od 20 lat. Po 20 na zamówienie i mam spokój na dłuższy czas. Polecam ten styl zycia

Gruba ryba0piorunów

@NaczelnyRusofob nie za bardzo, na czarnym widać białe naloty soli od potu

Pokaż więcej komentarzy (8)

Zawodowiec

w Dyskusje

107piorunów

Gruba ryba1piorunów

ISO8601 tylko sugeruje używanie 4 cyfr, ale nie wymaga. Dodanie 5. cyfry jest całkowicie dopuszczalne. Na inne systemy zapisu dat szkoda nawet strzepić ryja.

GURU0piorunów

@NaczelnyRusofob w praktyce najbliższy problem z datami będzie 19 stycznia 2038, jeszcze nie będę wtedy na emeryturze

Pokaż więcej komentarzy (17)

Zawodowiec

w Dyskusje

0piorunów

Ja w życiu nie zaakceptowałbym tego że moja kobieta jest ze mną tylko dla pieniędzy. Nawet jeśli to by było modelka. Ale dla was programistów to niestety chleb powszedni. Copujecie że wcale tak nie jest, że wasze kobiety was szczerze kochają ale wiemy doskonale jak jest większości z was. Zerowe powodzenie do momentu aż zaczęliście zarabiać dobre siano. A mimo to i tak są autystyki którzy nie połączyli kropek i cieszą się że po dekadach prawictwa wreszcie znaleźli szarą myszkę. Szara to ona jest dla nich. Dla atrakcyjnych typów to ona była materacem. Taka prawda.

Osobistość6piorunów

Na hejto fajne jest to, ze takich zjebanych wpisow jest dosyc malo i zamiast przewijac je i ignorowac tak jak na mirko, mozna spokojnie wejsc w profil autora, dac go na czarno i przewijac dalej, majac poczucie, ze wlasnie ulepszylo sie swoj odbior portalu. Na mirko to bylo jak walka z plaga karaluchow przy pomocy klapka, tutaj jak podniesienie z podlogi i wyrzucenie pojedynczego smiecia.

Pokaż więcej komentarzy (26)

Zawodowiec

w Dyskusje

0piorunów

Jakiej muzyki słuchacie do kodzenia?

Gruba ryba0piorunów

@NaczelnyRusofob tak po gościach jechałeś a teraz się pytasz jakiej muzyki słuchają?

Pokaż więcej komentarzy (8)

Zawodowiec

w Dyskusje

6piorunów

Wielu z was jest oburzona faktem że w korpo IT w USA rodowici pracownicy zarabiają więcej niż wam zapłaciliby za outsourcing. Prawda jest taka że po prostu wasza praca nie jest i nigdy nie będzie tyle warta co praca amerykańskich programistów. Bo to oni są ścisłą światową topką. A wy jesteście bliżej Hindusów niż ich. Znajcie swoje miejsce w szeregu.

Tytan0piorunów

Najlepszych ściąga Boeing

Kosmonauta0piorunów

Dobry bejt to dobry bejt pozdrawiam

Pokaż więcej komentarzy (21)

Zawodowiec

w Dyskusje

0piorunów

Fenomen1piorunów

Zaśmierdziało wykopowym syfem

Zawodowiec0piorunów

@michal-g-1 Napisał jeden z programistów, gdzie od nikogo nigdy kto robi w korpo tak nie wali jak od nich. Zwłaszcza w takie upały.

Zawodowiec0piorunów

@michal-g-1 A więc mówisz że klimatyzacja pochłania też brzydkie zapachy? Dobrze wiedzieć.

Pokaż więcej komentarzy (16)

Zawodowiec

w Dyskusje

2piorunów

Hindusi nie zabrali wam pracy. A było nimi straszone. AI nie zabierze wam pracy. A straszą nią teraz. Ale jak pierdolnie impuls elektromagnetyczny albo rozbłysk słoneczny to wtedy eldorado wam się skończy. Nie będzie już kliku kliku w komputer bo komputer będzie popsuty na amen. Bądźcie tego świadomi crudziarze bo to nie jest pytanie "czy" ale "kiedy" to nastąpi.

Gruba ryba5piorunów

@NaczelnyRusofob Jak pieprznie porządny impuls elektromagnetyczny, to:

* samochody przestaną odpalać, nie będą dłużej działały statki, samoloty, pociągi
* dużo no. maszyn rolniczych, też przestanie działać
* nie będzie prądu, przestaną działać m. in. lodówki
* nie będzie internetu
* banki nie będą w stanie pracować

Utrata źródła utrzymania będzie wtedy najmniejszym z moich zmartwień :grinning:

Pokaż więcej komentarzy (17)