chabapok | День бэкапа

31 марта — это Международный день резервного копирования

Люди делятся на три категории: те, кто не делает бэкапы, кто делает - и те, кто теперь еще и периодически проверяет,что из бэкапа можно все восстановить.

а к какой категории принадлежите вы?

Flat | Top-Level Comments Only

From:

slider2

Дорого обойдется слабая security. Порочная практика выноса данных кастомеров из прода - опасна сама по себе (там есть целый ряд векторов), кроме того - компания в которой практикуют такие вещи скорее всего имеет проблемы с инфосеком, и если чуть копнуть - там скорее всего найдется еще много чего.

В чем это может конкретно проявиться если/когда такая маленькая компания сделает что-то интересное - две основных категории проблем:

1. Если такая компания смогла сделать что-то ценное (например - интересный сервис/продукт) и хочет теперь себя продать, то потенциальные покупатели обязательно устроят technical due diligence и проблемы с безопасностью раскопают очень быстро. По результатам due diligence потенциальный покупатель скорее всего либо потребует серьезную скидку (аргументируя необходимостью все это чинить), либо (в особо плохих случаях) просто откажется от покупки.

2. Если такая компания смогла сделать что-то ценное и ее сервис начал расти набирая юзеров, это быстро привлечет внимание хакеров которые пройдутся и проверят стандартные каналы взлома, и при слабой секьюрити ломанут такой сервис очень быстро. Причем я говорю о стандартных залетных кулцхакерах которые просто хотят сшибить денег с компании и/или ее юзеров, не о nation state хакерах (там своя специфика).

>>>Насколько больно это будет для Dreamwidth в пересчёте на потерянные $$$?

Судя по вашим вопросам - вам это все скорее всего не релевантно. А если вдруг получится у вас сделать какой-нибудь интересный сервис который наберет популярность - наймете знающих людей (или хотя бы консультантов) которые обьяснят что и как.

From:

dennisgorelik

> По результатам due diligence потенциальный покупатель скорее всего либо потребует серьезную скидку (аргументируя необходимостью все это чинить)

Потенциального покупателя никто не заставляет восстанавливать production backup в development environment.
Что здесь чинить-то?

> привлечет внимание хакеров которые пройдутся и проверят стандартные каналы взлома, и при слабой секьюрити ломанут такой сервис очень быстро.

Как ломанут?
Перекупят разработчиков, что ли?

Ну, допустим, перекупили. Как это транслируется в убытки?

From:

slider2

Судя по вашим вопросам - вы несколько непонимаете как это все происходит и работает, и в области инфосека и в области оценки и покупок стартапов. В этом нет ничего плохого и обидного - это области специфические, особенно due diligence и аудит стартапов.

Да и инфосек подавляющее большинство не понимает, даже софт девелоперы - девам обычно кажется что "ну вот сейчас пофиксим баг который эти долбодятлы нашли и все будет з.ебись", а секьюрити паттерны и полиси - это все от лукавого, безопасники мол так жеппу свою прикрывают :-)

Так сложилось что я непосредственно занимаюсь инфосеком, и много раз участвовал в due diligence стартапов. Но как наша беседа наглядно показывает, быстренько в двух словах обьяснить что там и как нереально, да и мне честно говоря это малоинтересно.

...
Постарайтесь нанять дева который инфосеком интересуется, а если вдруг получится сделать какой-нибудь интересный/ценный сервис - наймите людей с нужными знаниями.

From:

dennisgorelik

> а секьюрити паттерны и полиси - это все от лукавого, безопасники мол так жеппу свою прикрывают :-)

Вместо того, чтобы прямо ответить на мой вопрос ("Как это транслируется в убытки?"), вы спорите с соломенным пугалом (strawman), которое сами и придумали.
Я хорошо знаю, что восстановление production backup на development environment - повышает security risks.
Но из этого же совсем не следует, что восстанавливать production backup на development environment никогда не надо.
Ведь есть и другие, более важные соображения [чем security] при разработке и поддержке продукта.

From:

slider2

>>>Вместо того, чтобы прямо ответить на мой вопрос ("Как это транслируется в убытки?"), вы спорите с соломенным пугалом (strawman), которое сами и придумали.

Нет, мне просто надоело пытаться что-то обьяснить человеку который явно не понимает что такое инфосек и как он собственно делается/от чего зависит. И проводить лекцию-семинар на тему "инфосек и implications для стартапов" я тоже не собираюсь :-)