Мифы об оптимизаторе : Программы OlegON

Я использую Линукс на очень ответственных направлениях. Я не знаю, кто его пишет. Я знаю лишь то, что его используют многие, я вижу как он работает и оцениваю его по результатам. Я знаю, что мне такого не написать. Я пользуюсь бесплатным средством, которое сильно мне облегчает жизнь. Я не кричу, что оно утыкано бекдорами и сливает авторам все, что только можно, а мне некому будет предъявить претензию, когда что-то упадет. Понимаешь, к чему я клоню? Я поставил Линукс, потому, что это сняло кучу головняка мне и моему работодателю. Я не спрашивал у него, нужен ему Линукс и не объяснял ему, что это такое. Ему нужна была надежная и гладкая работа его системы, я ему это обеспечил. Без оптимизатора куча народа находится в неведении, что они без бекапов живут, это не повод? С Баджио, кстати, мы знакомы лично. И я, когда ставил ему магазин, никаких троянов не напихал ;) Если что-то упадет, вызовете спеца на удаленку? Или под конвоем и со сличением отпечатков пальцев проведете его в сейф, где стоит сервер? А, может, внутренняя сеть контролируется на любое включение? Более чем уверен, что в сети есть куда бОльшая дыра, откуда можно слить базу.

Вообще, про безопасность давайте не будем :) Я некоторое время работал по этому направлению и некоторое представление о безопасности имею. Оптимайзер не выходит за рамки класса безопасности типовой Супермажной инсталляции. Охрана серверной есть? Двойная дверь со шлюзом? Индикация разрыва сети и защита от внедрения устройства? Еженедельная смена пароля персонала? Персонал песочили в СБ поголовно? Да 100%, что больше половины того, что я назову из требований к безопасности не будет выполнено... О чем говорить, если NOD на сервере стоит? Спуфим сервер обновлений, подкладываем в обновления сигнатуры оракловых бинарников и все... После обновления нод либо сносит инсталляцию, либо блочит ее. Это из первого, что приходит в голову. Даем оператору денег для установки троянчика и база сливается туда, куда надо. Кто-нибудь аудит в базе включал? А анализировал? Давайте не будем про безопасность... Пионер оптимайзер не поломает, а люди посерьезнее достанут вашу базу гораздо более простыми способами, чем уговаривать меня ее слить.

утро вечера мудренее, как говорится :) давайте успокоим нервы, посмотрим свежим взглядом на обсуждаемый вопрос и попробуем выделить главное. оптимизатор имеет высокий уровень доступа к базе. ни одна виндовс не способна получить такой доступ! при запуске, пользователь сам вводит рутовый пароль и даёт оптимизатору полный контроль над базой. следовательно, после умышленного запуска программы, никакой уровень безопасности уже не спасёт. после этого, развитие событий может идти в трёх направлениях:

1.а. Олег умышленно включил в функционал программы возможность тырить с удалённой базы определённую информацию. собрав необходимое количество полезных данных о поставщиках, ценах, остатках, он анонимно продаёт её конкурентам фирмы. хороший приработок, должен заметить ;)

1.б. с помощью оптимизатора, Олег умышленно делает базу проблемной и всё для того, чтобы потом её починить, за деньги. само собой, пакостить в базах мелких фирм смысла не имеет. а вот помониторить состояние большой базы жирного клиента, а после сбора необходимой информации сделать какую-инть мелкую каку, да так, что бы база не встала колом, а начала подглючивать. самый лучший вариант заработать шмат колбасы, чтобы положить его на уже заработанный кусок хлеба ;)

скажете, параноя? согласен, так и есть! поэтому идём дальше.

2. при разработке оптимизатора или при добавлении новых фишек, в структуру программы попала ошибка. всякое бывает, человеческий фактор, что тут поделаешь, бывает! причиной могут быть стрессы, болезни, избыток работы и малое количество сна. у Олега нет армии тестеров с разнообразным сочетанием железа и софта. на тестовой базе всё нормально, а на базе пользователя проявились ошибки в работе или, того хуже, база вообще колом встала.

скажете, не может такого быть? может! и одно дело, когда программа бесплатна, Олег занят и помочь никто не может и совсем другое дело, когда заплачены деньги и можно предьявить притензию, вплоть до возврата оплаченных денег и бесплатного восстановления базы. это я про платную версию программы говорю, если что.

3. как и любая программа, которая использует порты ввода-вывода, оптимизатор подвержен различного рода атакам. и не нужно говорить, что линукс, например, безопасная операционная система. она безопасна, потому, что её хакать смысла нет, процент использования невелик, по сравнению с виндовс. однако, посмотрите багтраки, там регулярно выходят эксплоиты под различные версии линуха. следовательно, если задаться целью, можно через порты оптимизатора пусть и не получить полный доступ к базе, но сделать ей что-нить типа DDOS, думаю, реально. порты известны, пакеты можно перехватить, они не в шифрованном виде идут.. что дальше, зависит только от грамотности и компетенции взломшиков. в общем, это дыра в безопасности, в чистом виде.

ну вот, накидал несколько вариантов, пока паралельно домашними делами занимался. есть что добавить? чем больше вывалим мыслей на Олега, тем более вероятно, что он нас услышит :)

Все таки сваливаетесь в паранойю, а не продуктивное обсуждение. Мои вопросы и аналогии напрочь игнорируются, ты читал, что я писал выше? После умышленного запуска программы ты можешь ее умышленно не запускать больше и считать свои уровни безопасности, которые, подчеркиваю, крайне низкие, уверен. При доступе к операционке получаешь рутовый доступ к базе, так что про доступ к базе ты как-то ошибся. И с нервами у меня все нормально, жаль, что ты в запал впадаешь и не видишь, что я тебе пишу.

Я уже писал, что не вор и быть им не собираюсь. Против твоего довода еще говорит то, что помимо тех баз, что являются моими клиентами, я без понятия, чьи это базы у меня подключены. Поэтому и прошу тут писать имена баз, когда возникают проблемы, потому, что среди 80 логов найти нужный не так просто. Если даже исключить вариант с доверием мне в тезисе, что я не вор, то почитай, я писал, со слишком большим количеством народа я общаюсь, есть такое понятие, как деловая репутация, которую в данных предположениях ты пытаешься облить грязью. Кроме того, о предложениях подписать соглашение о неразглашении я указывал выше.

Читай, что я писал про деловую репутацию. Ко мне приходят потому, что я не сволочу, не накручиваю лишних денег и не кидаю. Потому и сплю спокойно и не приходится премодерировать этот форум. При гигантском проценте безграмотности администраторов база падает скорее от неиспользования оптимизатора. А мелкие проблемы оптимизатор лечит, потому, что мне деньги брать за убитый индекс просто неудобно, совесть есть, понимаете ли, карму портить не хочу. И сложных проблем и так хватает, опять же, в основном на помойках, на давно заброшенных базах. Там как раз народ находится в полной уверенности, что база коробка и за ней следить не надо. Оптимайзер ставят те, кто следит за базой и хочет разобраться, что в ней и как работает. Для этого оптимизатор пишет километровые логи. И на фоне обезличенности... Сделать каку, человек обратится в Сервис Плюс и что?

Во-первых, ты опять забыл, что у меня помимо тестовых двух баз есть еще достаточно немалое количество клиентов, с совершенно разными версиями и типами баз. Я уже писал, что наступить на грабли можем только вместе. И я в этом не заинтересован. Во-вторых, если какие-то косяки будут, то я уже писал в самой теме оптимизатора "не клиент - пиши на форум", ты много видел криков "встала колом"? Полистай оптимизаторские темы, пусть кинет камень в меня тот, кто скажет, что я оттуда что-то удалял. Вариант с юридическим оформлением моей работы и восстановления баз тоже есть, что ты еще-то хочешь?

Я Линукс приводил в пример, как бесплатную программу, которой я доверяю. Ты же отказываешься верить в возможность использования бесплатного... А я не отказываюсь. Для моего работодателя оно небесплатно, потому, что я получаю зарплату, а я ему экономлю за счет того, что способен использовать бесплатные средства. Скидка за счет правильного выбора персонала. Линукс нет смысла хакать, потому, что его не любой поставить может. И процент грамотных админов среди Линуксоидов в десятки раз превышает процент таковых на виндовозе, который поставить может и даун. А поскольку виндовую инсталляцию можно на каждом углу встретить, то на Линукс и не смотрят. Давай ты не будешь рассказывать про Линукс, если с ним не работаешь? А то завел про багтраки, извини, чушь. Посмотри только на количество вирусов для винды за последние полгода. И еще раз подтверждаешь, что не знаешь, о чем говоришь. Пакеты оптимизатора шифрованные. Давай не будем тыкать пальцем в небо, чтобы не приходилось писать ответы на откровенную ерунду. DDoS можно устроить моим портам оптимизатора, потому, что у меня они слушают, а на клиенте исходящее соединение, его можно порвать, но заддосить...

Давайте только без словесного поноса, а то ты прям расстраиваешь. Если не знаешь Линукс, то зачем обсуждать его? Если не пробовал оптимизатор, то зачем строить обвинения на том, что не знаешь, как работает. Довод про нешифрованные пакеты посадил тебя в лужу сильно. Т.е. самый первый пункт из этой темы ты прочитать не удосужился. Крики про дыру в безопасности основываются только на тезисах, что любая программа с вводом-выводом дырявая. Но я тебе еще выше приводил довод, что уровень безопасности в твоей конторе скорее всего соответствует оптимизаторскому и более дырявых программ гораздо больше, чтобы прицепиться именно к оптимизатору. Уверен, есть масса дыр, через которые проще влезть к тебе, чем ломать оптимизатор. Ты пиши, только пиши обоснованно, а не на основании "мне сосед сказал, что Линукс - это страшно".

Вставлю что ли и я своих 5 копеек. Скажу сразу, я оптимизатор использую на некоторых своих базах, использую на свой страх и риск. Но такая идеология его работы мне тоже очень сильно не нравится. Поэтому, я ищу возможность отказаться от него и, при первой же возможности, откажусь. И дело тут не в доверии автору программы, а в принципах ее работы. И аргумент
вовсе не аргумент. Какие такие алгоритмы способны выполнятся на сервере и не способны выполняться на клиенте? Что значит не удобно работать с автономными оптимизаторами? А как ты с ними работаешь? Если просто обновляешь, так автономность не исключает этой возможности. Кто захочет, оставит соответствующий порт открытым и оптимизатор будет обновляться. Если тебе нужны сообщения об ошибках и статистика, так автономный оптимизатор сможет слать это через свой smtp. Если не хочется заморачиваться с настройками jabber, smtp и прочим на каждом клиенте, опять же, те кто хотят, оставляют соответствующий порт открытым и оптимайзер работает как сетевой, всё тоже самое, только логика оптимизации на стороне клиента. Что именно мешает перенести логику оптимизации на клиента я не понимаю, а всего, что я не понимаю, я боюсь.

Чот мне кажется, что лекарство от паранойи мне не помогает :)

Олега, интересно, зачем ты вообще этот бред слушаешь?
Не хотят люди твоё изделие использовать, да и фиг с ним.
Если они полностью сами могут содержать базу в порядке - медаль им на грудь. Это же замечательно, что такие специалисты есть!

Главное, чтобы это был не просто широковещательный срач кирпичами :)

Бояться не надо. Оптимизатор используется мной широко, в том числе на клиентах, где бы я хотел максимально использовать возможности автоматизации и максимально вкладываю свои знания в его начинку. Там есть куча ноу-хау, которыми я, извините, делиться не хочу со всеми, потому, что я этим зарабатываю и мне хочется что-то получать за свой не самый легкий труд и время, убитое на получение этих знаний. Одновременно с этим я хотел бы запускать его на любой платформе, конкретно у меня их три, это Windows (x86 и x64), Linux и HP-UX. Свожу мысли воедино: Java не позволяет сохранить в секрете код, ничто, кроме Java так легко не запускается на всем том сразу, на чем работаю я (в сторону Java были и другие доводу, но не о них сейчас). Я не хочу, чтобы мой код как-то модифицировался и как-то могли изменить его таким образом, чтобы моей машине это как-то могло угрожать. Я не хочу, чтобы любая организация или человек просто транслировали мой код в свое программное обеспечение и делали с ним все, что захотят. В результате клиент достаточно убог и мозгов в нем никаких нет. Я не хочу мучиться с вопросами каждому "а какая версия у тебя установлена", потому, что в параноидальных случаях автообновление будет закрыто. Мне нужны гарантии того, что без обновления программа не будет работать, потому, что иначе я буду вынужден проверять каждое обновление. В этом заключается неудобство. В оптимизатор уже встроены платные части о которых я говорил ранее и мне совсем не улыбается, что с полпинка его можно будет поломать. Это тоже неудобно. Надеюсь, разъяснил ситуацию. Оптимизатор - умная машина и я не настолько альтруист, чтобы его мозг, наработанный многими часами моей жизни, просто так взять и подарить кому-то для встраивания куда-то еще. По этой же причине я не планирую делать из него учебник, который абсолютно ничего не будет делать в базе, а только рассказывать, где какие ошибки он нашел, чем они грозят и как их можно поправить. Мне это не нужно, а излишка времени для хобби пока не удается выцепить.. Но, извините, воровать и исподтишка гадить... Это не мое. Я сам админ и подставлять коллег не буду.

Зацепило :) Думал почерпнуть каких-то идей новых, а потом, раз предъявили обвинения в попытке воровать базы и гадить, то надо же как-то возражать... Хорошо, Вовантус вслух это говорит, а кто-то же молчит и мне карму портит :) Я сторонник того, чтобы в случае недоразумений выяснять их причину. Мне не принципиально, чтобы Вовантус или Баджио прямо завтра запустили у себя оптимизатор, но, как видишь, возражений и подозрений много, скорее всего и не только у них. Теперь уже многие вообще не понимают, откуда я взялся, кто я и чем занимался, не видели шкаф с дисками, где этих самых баз можно было набрать для ежедневной продажи на Савеловском... Логично, что в нашем обществе в каждом незнакомце видишь гада. А тем паче, в админе, который не все качать дает сразу и какие там еще причины ненависти были :)

Спасибо за поддержку.

Я регулярно, каждую ночь запускаю на базе ЦО оптимизатор.
На остальных базах периодически, для профилактики - днем.
И - раз в месяц вынужден делать еще на трех базах, так как на них оптимизатор сделал партцированную табличку FFMAPREP
И если не запускать оптимизатор на этих базах хотя бы раз в месяц - расчета себестоимости не будет.
Вот это считаю нерешенной проблемой (для себя)

Так отключить партиционирование в оптимизаторе и собрать табличку заново в одну? Не очень понял проблемы.