Я вам давно писал про книгу "Квантовый волшебник" канадского фантаста Дерека Кюнскена. Сейчас читаю вторую часть, "Квантовый сад". Вспомнил, что еще тогда хотел рассказать об интересном описании религии у автора.
По сюжету нация богатых и высокомерных людей, нуменов, создала себе генетически измененных людей-слуг. Эти слуги — там их называют "куклы" — специально сделаны размером с карлика и физически более слабыми, чем обычные люди. Но нумены встроили в кукол еще один уровень защиты от неповиновения и восстания: от запаха нуменов куклы впадали в религиозный экстаз, буквально испытывая чувство, будто общаются с богами. А при лишении возможности вдыхать запах своих богов эти слуги впадали в жесткую депрессию.
Причем, экстаз они испытывали вообще при любом взаимодействии со своими хозяевами. Даже если те их били или унижали, для слуг это форма божественной милости. Казалось бы, что могло пойти не так?
В итоге слуги стали замечать, что хозяева иногда причиняют друг другу вред и даже убивают себе подобных. Если не будет богов — не будет и экстаза. Так что они пришли к логичному решению: переловили всех богов и посадили в клетки. В заточении нумены начали самоубиваться, поэтому клетки делали всё меньше размером, пока человек внутри не станет полностью обездвижен, скрюченный в три погибели. Иногда ему удаляли конечности, чтобы лучше помещался. Кормили принудительно через трубочку. А чтобы было больше запаха, эти клетки ставили в жаркие помещения с вентиляторами, и ходили толпами туда молиться.
При этом никакая религиозная атрибутика не исчезла: куклы всё так же считали нуменов богами и преклонялись перед ними, испытывая восторг и благоговение. Всё-таки, это было зашито в их генетике.
#fiction
👨💻 Attacking Policy.
• Open Policy Agent — это open-source-инструмент контроля доступа, основанный на политиках, который создан в 2016 году и с тех пор стабильно развивается. Сейчас он входит в каталог дипломированных проектов Cloud Native Computing Foundation (CNCF). Его используют Netflix, Pinterest, TripAdvisor и другие компании.
• В этой статье перечислены определенные векторы атак, которые могут быть вызваны неправильной конфигурацией Open Policy Agent:
• Allowed Repositories;
• Automount Service Account Token for Pod;
• Block Endpoint Edit Default Role;
• Block Services with type LoadBalancer;
• Block NodePort;
• Block Wildcard Ingress;
• Disallow Interactive TTY Containers;
• Step-by-Step Instructions;
• Allow Privilege Escalation in Container;
• Step-by-Step Instructions;
• Privileged Container;
• Read Only Root Filesystem;
• Host Networking Ports;
• App Armor;
• SELinux V2;
• Resources.
#devsecops
👩💻 Attacking NodeJS Application.
- Use flat Promise chains;
- Set request size limits;
- Do not block the event loop;
- Perform input validation;
- Perform output escaping;
- Perform application activity logging;
- Monitor the event loop;
- Take precautions against brute-forcing;
- Use Anti-CSRF tokens;
- Prevent HTTP Parameter Pollution;
- Do not use dangerous functions;
- Use appropriate security headers;
- Listen to errors when using EventEmitter;
- Set cookie flags appropriately;
- Avoid eval(), setTimeout(), and setInterval();
- Avoid new Function();
- Avoid code serialization in JavaScript;
- Use a Node.js security linter;
- References.
#devsecops
👨💻 Attacking APIs \ Атаки на API.
• Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов.
• По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API. В этой статье рассматриваются общие векторы атак на API и приводятся примеры безопасной разработки.
➡️https://blog.devsecopsguides.com/attacking-apis
#devsecops
👨💻 Attacking Pipeline.
• DevOps resources compromise;
• Control of common registry;
• Direct PPE (d-PPE);
• Indirect PPE (i-PPE);
• Public PPE;
• Changes in repository;
• Inject in Artifacts;
• User/Services credentials;
• Typosquatting docker registry image;
• Resources.
#DevOps#DevSecOps