Учим "мат.часть": эл.учебник Семенова Ю.А.

[chevalry]

Поймал себя на том, что чтение простого карманного справочника по Linux с описанием основных команд оболочки bash я буквально "завис" на раздел "Сетевое взаимодействие" и "Работа в сети". Меня настолько заинтересовала эта тема, что я уже полез в Google искать информацию по таким "темным" для меня предметам, как что такое маршрутизация, чем IPv4

Comments

[chuwy24]

Я кстати тоже достаточно тёмный в делах связанных с маршрутизацией. Но хакерские атаки на мой взгляд больше чем на половину состоят из несвязанных с сетью как магистралью. Переполнение буфера - Си и архитектура вообще, инъекции (самый для нас критичный) - SQL, так же JavaScript и прочие конкретные технологии. 95% моих проектов стоят на чужих виртуальных хостингах и я редко интересуюсь как там дела с низкоуровневой частью, а если даже и интересуюсь, то от того же ДДоСа меня это мало спасёт.

[chevalry]

Хм!.. Возможно. Часть из этих атак мне вполне понятна, и от нее в Django есть конкретная защита. Например, от SQL-атак в принципе спасает то, что в Django вместо SQL используются модели. От межскриптовых атак спасает CSRF. Ну и так далее. В частности, если не ставить TinyMSE, то и JavaScript-атак можно не опасаться. Но вот про ДДоС я ничего не слышал, о переполнении буфера Си - тоже. Вобщем, это и интересует. А также то, как можно перехватить конфиденциальную информацию при передаче данных. В частности, в своей книге Скотт Граннеман упоминает про Ethereal - весьма популярную среди хакеров, как он пишет.Упоминает также про некие технологии шифрования данных- WEP и WPA. Тоже в этом абсолютный ноль. Короче, вот :)

[chuwy24]

Переполнение буфера - наверное самая популярная (субъективно, конечно) атака после ДДоСа. Про Си я упомянул потому что понять что такое переполнение без понимания Си основ компьютерной архитектура наверное невозможно. Хотя, один мой знакомый ещё в школе довольно неплохо освоил эту тему. А использование ORM чисто теоретически не спасает от инъекций, ведь бывают люди с безграничной фантазией и абсолютно защищенных систем не бывает. Но это опять же ИМХО.

[chevalry]

Ясно! Короче, если лезть в эту тему - можно увязнуть, насколько я понял. Ибо нельзя объять необъятное, как сказал классик. Согласен. Каждый должен знать свое дело - а значит надо просто себе провести границу, за что ты как питонер и разработчик на Django отвечаешь, а за что нет. Вобщем, тоже достойная задача.

[chuwy24]

В целом, да. Но опять же безопасность нельзя недооценить. Да и лишними знания не бывают.

[chevalry]

"Знания умножают скорби" (Эклесиаст). Конечно - знания лишними не бывают, но узнать что-то новое - означает, что ты просто подвигаешь границу своего знания/незнания чуть дальше. В целом же вывод такой, что сети и компьютерная архитектура - это не то, что должен знать специалист по Python/Django. Это важно! Хотя, блин... ну, очень любопытно :)

[chuwy24]

Лично я такой вывод не делал:)

[chevalry]

Но границу ведь очерчивали для себя? В конце концов, специалист по Python/Django должен иметь ограниченную ответственность, если судть с точки зрения распределения ролей. Прошла DDoS-атака. Кто виноват? Наверное, тот, кто отвечает за низкоуровневую безопасность, верно?

[chuwy24]

Конечно верно, но это в случае если вообще есть тот, кто должен отвечать. Не редко ведь и самому этим придётся заниматься. Вобщем, приоритетнее для меня всегда веб&javascript&css, но такими вещами как безопасность и системное вдминистрирование вообще тоже никогда не брезгую.

[chevalry]

М-да... Конечно, в маленьких фирмах, где 1-2 программиста, люди работают на все фронты - и как программисты, и как сис.админы, и вообще на все руки мастера! По мере роста масштаба бизнеса и размера команды - деление по функциям становится более четким и жестким. Но хороший программист, конечно же, должен интересоваться соседним участком. Иначе какой он, на фиг, хороший программист?