С одной стороны он конечно мудила редкостный. Но с другой определенно красава.
Отнюдь, как раз с этой стороны мудило страшный. Красава что додумался и мог хранить все это в голове. Да и как написали ниже, такую базу хер кто хакнет без прямого доступа и логирования, как ниже написали
зачем в голове, если можно просто иметь файлик с записями? Да хоть бы и тетрадочку.
...и унести её с собой
заминировал работу на случай конфликта с шефом
Наверняка у него у самого уходило по 5 дней, на часовой фикс.
А в чем механизм логирования (ну как они ее расшифровали)?
Смотрели какой запрос на что перенаправляет.
Подозреваю предрелизный ремап для защиты от того чтобы это спиздили или его заменили
личная нужность не всегда главная причина отхода от канонов. элементарная безопасность важна. а писать вики это отдельный труд на которой просто может не быть времени.
*Доки?
Именно вики. Гугли confluence - Jira+Confluence инструменты в куче софтостроительных контор.
Confluence в 2005 не так, чтобы очень распространён был
Давайте спросим эксперта, нужно ли пиздить за попытки реализации security over obscurity ?
Пароли тоже security by obscurity.
В рф тебя могут всегда послать на хуй, когда все будет работать. А потому любой проект должен быть привязан к тебе и умирать вместе с тобой.
failed state какой-то
Реально знаю несколько случаев, когда в конторе пиздец, нанимают ЗА ДОРОГО спеца, который реально выпрравляет и налаживает все до состояния "работает само", после чего: "спасибо мы больше не нуждаемся в ваших услугах".
мммм
это кажется называется кризис-менеджмент
сам такое проходил по молодости, поправил, настроил, пошел дальше
хотя да, кидалово имеет место быть всегда, не только в айти
это кажется называется кризис-менеджмент
сам такое проходил по молодости, поправил, настроил, пошел дальше
хотя да, кидалово имеет место быть всегда, не только в айти
Не. Кризис менеджмент - пиздец как дорого. А тут работника берут, обещая перспективы и давая зарплату чуть выше средней по рынку. А потом на хуй.
"ЗА ДОРОГО" - это я скорее с иронией написал. Ну пусть на 10-20% дороже рынка.
"ЗА ДОРОГО" - это я скорее с иронией написал. Ну пусть на 10-20% дороже рынка.
тут вопрос в оформлении контракта. если ты изначально заключал контракт на определенный срок, за который ты все настроил/отладил, а потом тебе этот контракт не продлили - то какие могут быть претензии?
в большинстве случаев, про которые я слышал, это так и делается. а просто так уволить достаточно тяжело даже в России
в большинстве случаев, про которые я слышал, это так и делается. а просто так уволить достаточно тяжело даже в России
Увольняется элементарно, согласно тк. Обычная практика оклад -минималка, плюс премия. В итоге без проблем люди уходят по собственному. Тк за минималку работать никто не будет.
Я такой спец. Теперь всегда оставляю особенный бэкдор и веду црм таких проектов с возможностью остановить, удалить, удалить бэкдор, вести статистику по проекту, в общем еще очень много чего, за что платят деньги, платят в любом случае.
Знаю парня, он звал меня работать на свое место. Ну как звал, сказал своим кадровикам что придет такой-то на собеседование от него и вместо него. А теперь история. Он админил предприятие: парк около сотни машин, сеть, один сервер, видеонаблюдение, заправка принтеров. Один человек. Он настроил все это хозяйство так, что его вмешательство было минимальным. В основном только заправлял принтеры, ну и изредка исправлял текучку. Бухгалтерия, кадры и остальные кабинетчики были в восторге. Однако директору внезапно показалось что он слишком много получает за простое сидение в кабинете. Решил директор снять с него все ставки и оставить одну. То есть парень получал около 40, а стал получать около 10. Ну вот этот парень перебивает все админские пароли на сервере, регистраторах и прочем и записывает их в тетрадочку. И пишет заявление. За две недели отработки он выносит все свои личные наработки и инструмент. И приглашает меня, мол попробуй но меньше чем за 25 не соглашайся, если возьмут тебя - я тебе волшебную тетрадочку дам, если кого левого продам, но задорого. Я ходил на собеседование, общался с директором, у того требования к соискателю: чтец, жнец, на дуде игрец, ЗП 10 и точка. Я подумал, нафик такие расклады и не пошел.
У меня друган так на работу устроился, создал проект, который экономил манагерам одной крупной конторы время, а значит делал деньги, его на месяц устроили робить манагером (не было должности прогера в штате) Дали зп чуть больше манагера, потом начали просить исходники его проги, на это изначально уговора не было. Месяц его дрочили - пытались исходники вытянуть. В итоге зп начали задерживать - он просто удалённо потёр прогу с сервака и больше в эту контору ни ногой. Такая гнилая хуня сплошь и рядом.
не только в рф. моему отцу вот за инженерный проект в году эдак 2012 не заплатили каких-то смешных 25к гривен. ну вот и сидят до сих пор суки со своими жилыми домами без центрального отопления\кондиционирования.
Что то мне подсказывает что он чуть ли не 1 её делал, и делал как хотел.
Админ, прежде всего, - царь и бох, а потом уже читак и пидарас.©Баш
И как идеальный платоновский красава, скорее всего не существует. На досовском ассемблере. Генерировать xml. Допустим, верю. Но вытягивать данные из mysql? Не то чтобы в принципе невозможно, но от истории резко повеяло прохладой...
Автору даной истории не доверять мне нету причин. Возможно есть пробелы за давностью лет.
А почему нет - это же опенсорс. Не только протокол документирован, но и искодные тексты реализации протокола доступны, нет проблем скомпилировать библиотеку в объектные файлы под нужную платформу (можно даже кросс-компилировать) и подлинковать к своему приложению и тогда уже неважно, что оно на ассемблере.
Написано "на досовском ассемблере". Т.е. тут не прилинкуешь. Иначе это уже просто на ассемблере. Попробуем прикинуть как это можно сделать.
1. Попроще. Извлекаем нужные данные из mysql в csv-файл. Файл сохраняем в каталог, который монтируется в dosbox. Запускаем dosbox, в dosbox.conf в секцию autoexec прописываем запуск утилиты, работающей как конвертор, т.е. она читает файл и пишет xml. Затем отдаём xml флешу.
Достаточно подъёмно, но может не работать под нагрузкой. А там портал на 20к человек.
2. Посложнее. Держим dosbox запущенным постоянно. Цепляем сокет как нуль-модемное соединение. Снаружи используем его как fastcgi. Теперь программа внутри может отвечать на запросы web-сервера. Настраиваем эмуляцию сети. Устанавливаем в dos утилиты для поддержки tcp/ip (новелловские или из майкрософтовского lan клиента), настраиваем сеть. В программу на ассемблере добавляем помимо парсинга заголовоков запроса - работу с tcp/ip - создание соединения, обмен данными. Теперь реализуем протокол обмена с mysql, парсинг ответов, генерацию xml и, наконец, отдаём её через нуль-модем web-серверу.
Работать будет нормально. Только такое даже на C заколебёшься писать. А на ассемблере оно просто не стоит потраченных усилий даже ради того, чтобы выебнуться.
1. Попроще. Извлекаем нужные данные из mysql в csv-файл. Файл сохраняем в каталог, который монтируется в dosbox. Запускаем dosbox, в dosbox.conf в секцию autoexec прописываем запуск утилиты, работающей как конвертор, т.е. она читает файл и пишет xml. Затем отдаём xml флешу.
Достаточно подъёмно, но может не работать под нагрузкой. А там портал на 20к человек.
2. Посложнее. Держим dosbox запущенным постоянно. Цепляем сокет как нуль-модемное соединение. Снаружи используем его как fastcgi. Теперь программа внутри может отвечать на запросы web-сервера. Настраиваем эмуляцию сети. Устанавливаем в dos утилиты для поддержки tcp/ip (новелловские или из майкрософтовского lan клиента), настраиваем сеть. В программу на ассемблере добавляем помимо парсинга заголовоков запроса - работу с tcp/ip - создание соединения, обмен данными. Теперь реализуем протокол обмена с mysql, парсинг ответов, генерацию xml и, наконец, отдаём её через нуль-модем web-серверу.
Работать будет нормально. Только такое даже на C заколебёшься писать. А на ассемблере оно просто не стоит потраченных усилий даже ради того, чтобы выебнуться.
> Написано "на досовском ассемблере". Т.е. тут не прилинкуешь. Иначе это уже просто на ассемблере.
Не понял, почему не прилинкуешь и почему "просто ассемблер" противоречит "досовскому ассемблеру". Досовский это значит, что оттранслированный файл это DOS-приложение. Может быть даже 32-битное, если слинковано с DOS-экстендером. Тот же DOOM2.EXE стартовал из чистого DOS, при том что был 32-битным приложением, использовавшим от 4 мегабайт памяти и более на процессорах 386SX и выше и при этом работал через TCP/IP (я лично гамался с 386SX через TCP в универе).
Ничто не мешает слинковать собственный ассемблерный код со сторонними библиотеками для TCP/IP и libmysqlclient, может быть даже кросс-компилированными. Существуют очень разные ассемблеры, генерирующие объектный код, который затем может быть слинкован в досовское приложение.
Не понял, почему не прилинкуешь и почему "просто ассемблер" противоречит "досовскому ассемблеру". Досовский это значит, что оттранслированный файл это DOS-приложение. Может быть даже 32-битное, если слинковано с DOS-экстендером. Тот же DOOM2.EXE стартовал из чистого DOS, при том что был 32-битным приложением, использовавшим от 4 мегабайт памяти и более на процессорах 386SX и выше и при этом работал через TCP/IP (я лично гамался с 386SX через TCP в универе).
Ничто не мешает слинковать собственный ассемблерный код со сторонними библиотеками для TCP/IP и libmysqlclient, может быть даже кросс-компилированными. Существуют очень разные ассемблеры, генерирующие объектный код, который затем может быть слинкован в досовское приложение.
Да, опора на DOS-сессию в Win32 здорово упрощает задачу. В Doom2 действительно был написан драйвер TCP/IP. Правда вряд ли он был написан на ассемблере и использовал согласно документации он опять же DOS-клиент сети.
А вот насчёт линковки я не уверен. Вряд ли у вас получиться статически слинковать libmysqlclient с DOS-программой. Потому что libmysqlclient будет опираться на другие библиотеки системы, которые вряд ли динамически прилинкует загрузчик MZ EXE.
А вот насчёт линковки я не уверен. Вряд ли у вас получиться статически слинковать libmysqlclient с DOS-программой. Потому что libmysqlclient будет опираться на другие библиотеки системы, которые вряд ли динамически прилинкует загрузчик MZ EXE.
Кроме MZ.EXE есть и другие ассемблеры и линкеры. И вовсе необязательно портировать libmysqlclient в DOS-окружение целиком, можно с мясом оторвать ссылки на всяческие libedit/libreadline (смотря что там использовалось в MySQL 3.x в то время). И даже собственно весь MYSQL API необязательно компилировать, можно выдрать только ту часть либы, которую использует ассемблерный код (ну и остальные функции, которые нужны вызываемым из ассемблера).
Это был обычный CGI написаный на досовском 16-битном ассемблере, который тупо запускал mysql с параметрами и парсил его консольный вывод. Отпарсеные результаты выводил в стрим ввиде XML-файла. Для юзера проходило секунды 2-3 от нажатия на кнопку до рефреша информации.
нихера вы не понимаете - это секьюрити! обфусцировал все - теперь хер кто хакнет
Ну вообще как бэ в нормальных конторах нормальные базы не должны содержать даже читаемых значений, не говоря уже о названиях столбцов. Проще и безопаснее написать отдельно софтину, которая будет переводить дерьмо из таблицы в читабельные строки.
На практике не всегда работает
Ну это уже полностью от разраба зависит. Судя по типу из пасты (который жалуется), он проебет в безопасности, но сделает удобно.
Главное, чтобы код софтины хоть как-то был читаем, дабы можно было хотя бы основы объяснить, иначе беда
Главное, чтобы код софтины хоть как-то был читаем, дабы можно было хотя бы основы объяснить, иначе беда
PHP и MySQL... Корпоративный портал на 20 тысяч человек... MySQL... Ну молодцы ребята, недалеко от Флеша ушли...
Мускуль нормально тянет до 100к-лям запросов в секунду
Возможно, у меня стек технологий никак с ним не связан. Мне всегда казалось что его используют для каких-то поделок на коленке, для средних сайтов, возможно из-за того что он бесплатный или условно-бесплатный. Ну и в связке с PHP, с его низким уровнем вхождения, вызывает так себе чувства. (Я не говорю, что PHP + MySQL - это плохо, но множество говна как раз на них и написаны). Для корпоративных решений везде видел Oracle, MS SQL, Postgress, но с MySQL не сталкивался.
Мускуль хорошо используется для любых приложений до очень высокой нагрузке, а что плохого в бесплатности? Может и весь опенсурс- "поделки на коленке"?
Ошибся видимо, повелся на элитарность проприетарных вещиц, вероятно дело в качественной поддержке.
Да и на пхп можно писать хорошо, просто он популярный вот и говна на нем много
Но судя по тенденциям каждый школьник сейчас переходит на питон, так что мне кажется по говнокоду питон скоро будет таким же как пыха
Но судя по тенденциям каждый школьник сейчас переходит на питон, так что мне кажется по говнокоду питон скоро будет таким же как пыха
Сейчас в тренде жабаскрипт на сервере. И да, это пиздец.
Мускул то? Половина кровавого энтерпрайза на нем написана.
"Каждый дрочит, как он хочет", как говорится
Я тоже MySQL использую (оракл как-то не понравился, а с другими субд особо времени нет разбираться), работает шустро, сеть/железо не нагибает, по цене устраивает очень даже
Я тоже MySQL использую (оракл как-то не понравился, а с другими субд особо времени нет разбираться), работает шустро, сеть/железо не нагибает, по цене устраивает очень даже
У мускуля довольно ограниченное подмножество SQL, зато он очень быстрый.
не портал на 20к, а завод на 20к. там пользователи бухгалтерия да начальники
Человек пишет сайт на флеше и использует ассемблер для ускорения процесса генерации ХМЛ файлов. Могу поспорить что его зовут Хэнк.
Хотя после "долбоЁ.." можно было и не читать
Хотя после "долбоЁ.." можно было и не читать
ДА ДОСОВСКИЙ АСЕМБЛЕР ЭТО ТОП! ВСЕ ВАШИ ПИТОНЫ С ЖАВАМИ НЕРВНО КУРЯТ В СТОРОНКЕ!!!
чувак очень даже умный. а ваши эффективные манагеры зажмотили ему лишнее бабло за консультацию после увольнения. за пару недель бы разобрались.
запомни недалёкий вайтишник - ты должен быть незаменим и дорог. если ты пишешь всем понятный код, то в любой момент тебе скажут огромное спасибо, вручат грамоту стахановца и дадут пинка на рынок труда (возможно даже без зарплаты/премии). если ты пишешь всем понятный код - то работаешь на манагеров компании, избавляя их от проблем в будущем. а им то точно на тебя наплевать, лошарик.
запомни недалёкий вайтишник - ты должен быть незаменим и дорог. если ты пишешь всем понятный код, то в любой момент тебе скажут огромное спасибо, вручат грамоту стахановца и дадут пинка на рынок труда (возможно даже без зарплаты/премии). если ты пишешь всем понятный код - то работаешь на манагеров компании, избавляя их от проблем в будущем. а им то точно на тебя наплевать, лошарик.
aaa, bbb, cc12312 ...
это случаем не дефолтная база 1С? :D
это случаем не дефолтная база 1С? :D
Перевожу с программистского на русский:
- был у нас на работе один чудаковатый начальничек, делал одну ненапряжную работу;
- я наплёл начальству, что могу делать то же самое, но лучше, и под это дело его подсидел;
- в итоге я почти что обосрался, так как сделать хотя бы то же самое, но типа своими средствами заняло полгода;
- но всё равно работает криво, и не весь функционал теперь есть, но я теперь начальник, и не ебёт.
- был у нас на работе один чудаковатый начальничек, делал одну ненапряжную работу;
- я наплёл начальству, что могу делать то же самое, но лучше, и под это дело его подсидел;
- в итоге я почти что обосрался, так как сделать хотя бы то же самое, но типа своими средствами заняло полгода;
- но всё равно работает криво, и не весь функционал теперь есть, но я теперь начальник, и не ебёт.
Прекрати делать сайты на флеше
Но так же удобнее.
у нас в аэропорту был чел который на mysql и windows access написал базу по техобслуживанию самолетов.
когда чел свалил пытались ее заставлять работать но это было все очень похоже на описанное в посте выше.
слава богу открестились. потому как платить за удаленное ковыряние им этих костылей та еще неоправданность
когда чел свалил пытались ее заставлять работать но это было все очень похоже на описанное в посте выше.
слава богу открестились. потому как платить за удаленное ковыряние им этих костылей та еще неоправданность
В контору с 20000 сотрудников наняли ОДНОГО программиста писать с нуля ERP-систему. Без команды, без системных аналитиков, без какого-либа подрядчика со своими девелоперами. Иначе кто-нибудь что-нибудь мог бы рассказать после его ухода. На зарплату 300 баксов (не ну а чо больше-то ставить, и так кто-нибудь найдется) к ним пришел бывший студент с годом опыта работы. Довольно талантливый, потому что выкатил нечто работающее, но без опыта работы в таких вот заросших говном системах. Когда он понял, что сотворил чудовище, он уплыл в туман, написав в своём резюме про опыт разработки ERP-системы с нуля.
Работодатель же, сэкономив на зарплате команды разработчиков, полгода платил антикризисной конторе профессионалов из дцатии человек, платил за их работу, за их гостиницы, за то, что они такие молодцы, и короче на полгода хороших спецов на полный день - это очень, очень дорого.
Так ему и надо, этому работодателю.
Работодатель же, сэкономив на зарплате команды разработчиков, полгода платил антикризисной конторе профессионалов из дцатии человек, платил за их работу, за их гостиницы, за то, что они такие молодцы, и короче на полгода хороших спецов на полный день - это очень, очень дорого.
Так ему и надо, этому работодателю.
Этим студентом был Альберт Вирм
У меня просто сильное чувство эмпатии к чужой беде.
горе реверс-инженеры не знают что такое обфускация
Т.е. его клиент, написанный на флеше, напрямую дергал базу через ассемблерные адаптеры? ууу, секьюрность.
Адаптеры завязаны на внутреннюю подсеть из 10 компов.
оно может и номрально было, но потом он со словами "ебитесь сами, сучки" переименовал все в aaa
У меня МИС в учреждении какой-то буржуйской разработки, купленной нашим Русбиттех (контора выпускает астралинукс и ПО для военных тренажеров). Web на flash, база на Oracle. Кроме прожерливости самого флеша, не особо проблемна. Есть другая МИС в региона там html+ php + firebird. Вот там тот еще треш.
А поговорить с этим чуваком никто не пробовал? Он вероятно этого ждал...
По опыту такие чуваки обычно самые умные и пиздец им никто не нужен
Чтобы написать коммент, необходимо залогиниться
Отличный комментарий!