Мифы

klink0v — 22.05.2025

В любой профессиональной отрасли со временем появляются всевозможные мифы. Некоторые из них прочно укореняются и живут десятилетиями. IT не исключение.

Миф 1. Величина Load Average полезна и показывает что-то ценное.

Особенно меня каждый раз забавляют видосики на ютубе типа вот такого. На самом деле эту метрику придумали ещё в 1960-ые годы, когда компьютеры были большими, а программы — маленькими. Она была призвана оценивать "общую отзывчивость системы" и на персональных компьютерах отображала даже что-то похожее на правду. Но тогда про многоядерные CPU, Ethernet и SSD никто ничего не слышал и даже не представлял в самых буйных фантазиях. С тех пор техника шагнула далеко вперёд, поэтому методику расчёта пресловутой Load Average много раз изменяли. Но всё равно сейчас она показывает погоду на Марсе и на нагруженных мощных серверах её информативность стремится к нулю.

Особенно меня позабавил один заказчик не так давно. Он отказался ставить на мониторинг величину IOWait. Мол, "на хрена, ведь сервис работает в виртуалке, там СХД крутая, зачем нам IOWait". А потом начал регулярно за***вать вопросами вида "а чё это у меня тут ночами Load Average в небеса улетает". Ну да, ну да... Угу...

Если уж так хочется следить за какой-то агрегированной характеристикой, берите хотя бы PSI (Pressure Stall Information). А про Load Average забудьте, она представляет разве что чисто археологический интерес. Ну или за***ть кандидата на собеседовании.

Миф 2. Хороший пароль обязательно дожен содержать буквы, цифры и спецсимволы.

Шосукахарактерно, изначальный автор этого утверждения вскоре сам же его и опроверг. Но было уже поздно: миф успел разойтись по миру и укорениться.

Как на самом деле. К последовательному перебору (brute force) и перебору по словарям действительно наиболее устойчивы пароли, сгенерированные случайным образом. Но наличие тех или иных символов ни на что не влияет. Если сомневаетесь в надежности пароля — просто увеличьте его длину и избегайте использования литературных слов. И уж тем более придумывайте / генерируйте для каждого сервиса отдельный уникальный пароль. Всё.

Меня в этом плане веселят некоторые интернет-банки, которые устанавливают ограничение на максимальную длину пароля. Лолшто?

Миф 3. Блокирование / разрешение ICMP влияет на безопасность.

Вот это вообще всегда дико бесит. Первое, что обычно делает мамкин бизапасник — закрывает на транзитных Firewall-ах ICMP. При этом не понимает, что он ломает к херам механизм Path MTU Discovery, трассировки (traceroute) а также дико затрудняет диагностику и мониторинг. Да, в сетевых атаках действительно есть такое понятие как "ping of death". Типа, раз удаленный хост перестал откликаться на ICMP, значит ты его "завалил".

На практике существует куча других способов выяснить работоспособность хоста, равно как и ухандокать его. Так что блокировка ICMP — это выстрел в ногу себе и своим партнёрам. А злоумышленникам это вообще никак не мешает.

Миф 4. Нужно обязательно ограничивать вытягивание зоны со своего DNS-сервера.

Мол, потенциальный злоумышленник может поглядеть в файл зоны и узнать IP-адреса твоих сервисов, после чего начать атаковать их.

Ау, братцы. DNS есть публичный сервис by design. Просто по изначальной его задумке. В нём в принципе не должно содержаться ничего секретного. А если у вас есть некие ресурсы, которые не должны быть видны всем желающим — то заводите ради них отделный DNS-сервер с ограниченным доступом к нему на уровне IP-адресов. Другими словами, разделяйте публичный / внешний и служебный / внутренний DNS-ы так, чтобы они не пересекались. И не страдайте фигнёй с ограничением доступа на уровне чтения зон.

Вот отвечать на ANY-запросы и запросы "не к своей зоне" действительно не рекомендуется, но по несколько другой причине: это уже про DNS Amplification. Кому интересно, можете почитать про этот тип атаки отдельно.

Миф 5. Не нужно говорить "алло" когда снимаешь трубку.

Наверное, это какое-то современное веяние, связанное с многочисленными мошенниками. Не знаю откуда оно повелось. То ли боятся, что кто-то соберет образцы твоего голоса. То ли считается, что пока ты не скажешь "алло", робобаба не начнет тебе что-нибудь втирать.

Кое-кто рекомендует не произносить слово "да" в разговоре, чтобы этой записью потом не воспользовались мошенники при звонке в интернет-банк, например.

На самом деле глубоко похрен. Возможности современного ИИ таковы, что он может сгенерировать какой угодно deep fake с твоим участием, и ему для этого не требуются какие-то определенные фразы: хватит просто достаточно длинной аудиозаписи. Так что говори "алло", не говори — кому сильно надо, всё равно тебя обуют. Проще уж тогда в принципе не отвечать на незнакомые номера, а для банков и прочих потенциально критичных применений завести отдельную SIMку с отдельным номером, который вообще нигде "не светить".

На сегодня всё. Можете в комментах оставлять свои мифы.

Оставить комментарий

Популярные посты:

tescin

Как фонд «Бельканто» меняет отношение к классической музыке

uctopuockon_pyc

Случайное фото

pekov

По законам военного времени

bitter_onion

Jamestown пoпepeджaє: Укpaїнa пepeнocить вiйнy в глиб pф

soullaway

Панк рок, навсегда изменивший мир музыки. 70-е годы.

olga_srb

Все по плану

smile_detected

— Салют!

evizvarina

аквариум

varlam_volkov

КИПИШ в Московском Детском развлекательном центре " Авиапарк" устроенный двумя

• Ранее
• Архив