Гена, это ты? (с) Чебурашка

[alex_bykov]

Мы в мейнстриме, Президент одобрил госпрограмму по созданию генетических паспортов. А теперь, давайте подумаем, где это может стрельнуть нам в ногу. Благодаря наводке paidiev, рекомендую прочитать коротенькую статью " Удар по почкам". Однако, если в ней и указана опасность, то явно не вся. Очень серьёзной станет опасность, когда наши генетические данные

Comments

[the_arioch]

раскройте мой комментарий выше, а то его никто не видит

> в "писать пароли в одном файле" ..... это неправильность уровня проектирования

если верить офиц. информации - то это была самодеятельность сотрудников, которую вовремя не зафиксировали и не настучали по рукам.
Что косвенно свидетельствует о том, что у сотрудников не было удобного инструмента для выполнения работы нормальными способами

> её худо-бедно можно компенсировать на последующих этапах

нет, нельзя.
в нормально спроектированной системе пароли нигде не хранятся, их просто в ней нет
в системе, спроектированной знать и хранить пароли - они где-то хранятся и это хранилище можно потенциально украсть, хотя бы частично: ведь все другие компоненты начинают лазать в это хранилище и вычитывать эти пароли для своих каких-то нужд

> А вот за вынос за пределы четко очерченного круга серверов

вот как раз это задним числом компенсируется намного легче.
БД переносится на другой сервер, в программе меняется настройка - "адрес" БД - и всё работает как раньше.

и тут речь не о "шифровании" - это вообще не имеет смысла применительно к БД - а о разграничении прав доступа, об аутентификации. Это другой вопрос.

Но вообще такой залёт - это признак того, что что-то ОЧЕНЬ неправильно в системе. Как купив квартиру - не поставить в неё входную дверь (а что? надо было??? а что такое дверь???) - дикая некомпетентность или безответственность или и то и другое помноженное на нереалистичные сроки.

> а не принимать "поделку".

...а для этого принимающий должен знать сопоставимо с разрабами и иметь время на анализ системы сравнимое (меньшее, конечно, но примерно того же порядка) с временем разработки.

Вот как я могу "принять" АЭС ? воткну телевизор в розетку. Работает? Воткну в розетку какой-нибудь крутой АВО-метр, запишу показатели напряжения/частоты за несколько суток. И т.д.
Но все вопросы глубже, чем "разве ток появляется не в розетке?", я как потребитель услуги их проверить не смогу. Только внешнее проявление и только в нормальных условиях.

Так наверняка и там было. Заказали им WWW-сайт (сейчас ведь всё делается на WWW или псевдо-WWW, иначе не современно), чтобы множество разных организаций могли через него в одной системе работать. Сайт работает? очевидно - да. Всё, потребитель его принимает. А вот "как" он работает, как он будет работать в непредвиденной ситуации и прочее умствования - их "заказчик" даже если ему сказать - все равно не поймет