`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Sergey Petrenko

Не будь, как Parler

+66
голосов

Parler всё же выключили и он тут же ушел в полный оффлайн – даже домен не резолвится. В принципе, этого следовало ожидать. По всему интернету встречал комментарии вроде, «А куда можно уйти с Amazon? Ведь есть только еще Microsoft Azure и Google Cloud, а там тоже демократы заправляют». Да, еще очень популярный комментарий в духе «Конечно, вы можете называть это свободой, но чтобы уйти с Twitter, нужен собственный Twitter, а чтобы уйти с Amazon, нужен собственный Amazon».

Наверное, это можно считать победой облачных технологий, когда у разработчиков социальной сети с аудиторией как минимум в несколько миллионов человек и инвестициями тоже в миллионы в голове в принципе нет другого варианта, кроме как развернуть инстансы в AWS, и невозможность это сделать ввергает в полный ступор. Причем ступор настолько сильный, что за сутки им даже в голову не приходит сходить в настройки домена и сменить там неймсерверы, которые до сих находятся на сервисе Route 53 в Amazon WebServices. В результате у них теперь перестанет даже почта ходить на домене, между прочим.

Нет, этот пост не про демократов, Трампа или QAnon – он про то, что вот мы и дождались поколения разработчиков/ администраторов/ менеджеров высоконагруженных систем, которые на обычном выделенном сервере вряд ли смогут статический веб-сайт развернуть.

https://t.me/blognot/1919

В продолжение – я, кажется, был слишком оптимистичен в отношении «поколения» разработчиков, говоря про Parler. Вот статья, довольно старая, которая описывает состояние дел с продуктом и разработкой в этой соцсети летом прошедшего года. Если вкратце – продукт был плох, сервис тормозил, когда под наплывом пользователей база данных упала, только CTO смог разобраться почему, но его пришлось будить. Правила сети писал основатель и только в августе 2020 г. их впервые посмотрел нормальный юрист (и все переписал), багтрекер был долгое время вообще доступен публично и т.д.

В общем, в комментариях к предыдущему посту было употреблено слово cloud agnostic – то есть разработка продукта без привязки к конкретному облаку. Но я уверен, что этот термин разработчикам сети был незнаком. Собственно, а что вы хотите, если весь опыт работы CTO – DevOps, а еще он Lead Maintainer в Monero?

https://t.me/blognot/1920

Такое ощущение, что Parler в одночасье прославится и умрёт, потому что жить дальше не выйдет. Вслед за остальными предоставлять им услуги отказался Twilio – они обеспечивали двухфакторную авторизацию, то есть буквально присылали коды для авторизации и восстановления пароля. При этом Twilio в пресс-релизе сообщил, какие именно сервисы использовал Parler. А дальше оказалось, что разработчики то ли не учли такого варианта, то ли на скорую руку заткнули заглушками, но вместо традиционной схемы «забыл пароль – запросил восстановление – получил авторизационный линк с кодом – ввел код – получил возможность установить новый пароль» начала работать «запросил восстановление пароля – вбил любые данные вместо кода – получил возможность поменять пароль».

И этим воспользовались – то ли группа товарищей, то ли кто-то один «восстановил» таким образом пароль к админскому аккаунту, создал еще кучу аккаунтов с такими же правами и начал скачивать доступную информацию. Включая удаленные посты (они же, как правило, не удаляются на совсем, а лишь скрываются из видимости) и фотографии обладателей статуса Verified Citizen, для получения которого надо было сфотографироваться, держа прямо в камеру свои реальные водительские права.

В общем, кажется, сейчас в LinkedIn у части людей пропадет упоминание о работе в этой замечательной социальной сети. Всерьез беспокоюсь за основателей – когда те, чью информацию таким образом слили, поймут, кто в этом виноват, они могут стать непредсказуемыми.

Не будь, как Parler

Защита промышленных сетей: основные риски и сценарии атак

+66
голосов

Напечатать Отправить другу

Читайте также

Я жду к выходным сочного разбора на Хабре с подробностями :)

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT