Dat zeg ik toch, maar wel op de omgeving die daadwerkelijk in productie gaat en niet op een aparte omgeving.:
[...]
Klink in mijn ogen toch als een pentest die gedaan wordt voordat het daadwerkelijk in productie staat (zoals het hoort dus)
Driving a cadillac in a fool's parade.
I'm not a complete idiot. Some parts are missing.
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!
Ik vind het super leuk
Volg ook veel de FE editie ervan. Zo leuk dat ze dan de baan hebben nagemaakt na een aantal bochten van het circuit & de Jack Nicholls (FE commentator) ook het commentaar doet
Bij ons ook, wij zijn de oude shared hosted omgeving al een tijdje aan het uitfaseren, en elke klant naar een eigen instance aan het verplaatsen. Dat gaat langzamer dan ik had verwacht. Heel veel organisaties hebben geen idee waar hun domein(en) geregistreerd zijn en wat de inlog gegevens voor het DNS beheer zijn.
En sinds John Rolliver zijn sponsordeal op HBO verkondigde een bak welverdiende aandacht erbij! Die gasten gaan deze week denk ik door de 1m abonnees op Youtube heen.:
[...]
Ik vind het super leuk
[ Voor 16% gewijzigd door kwaakvaak_v2 op 19-05-2020 09:21 ]
Driving a cadillac in a fool's parade.
Lijkt mij toch veel veiliger dan SMSjes
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
[ Voor 62% gewijzigd door alienfruit op 19-05-2020 15:22 ]
:fill(white):strip_exif()/f/image/awCwVqUtXFEAy2xBS4GcJtxu.png?f=user_large)
https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...
Het "droppen" houdt wel iets meer in dan simpelweg packets droppen. Daar zit nogal wat network management aan vooraf, omdat je anders bij een echte, hoog-vermogen, DDOS alsnog de druk niet aankunt. Niet voor niets dat partijen een rendabel commercieel business-model van anti-DDOS infrastructuur hebben weten te maken.
Mijn projecten tegenwoordig zijn internal. Ik doe geen klant-projecten meer, maar doe projecten/werk voor mijn werkgever direct. ISO certificering, PCI-DSS, pentests die door een externe klant is aangevraagd, maar wordt doorgezet via het team van de klant, naar ons, dus technisch gezien, gaan al mijn uren naar intern werk, en stuurt het team mijn uren dan weer door naar de klant.
I'm not a complete idiot. Some parts are missing.
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!
Dat noemen we abstractie.
Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info
Uiteraard, en natuurlijk kun je dat ook nog eens op veel verschillende niveaus toepassen (BGP Blackholing bijvoorbeeld, al dan niet per ongeluk:
[...]
Het "droppen" houdt wel iets meer in dan simpelweg packets droppen. Daar zit nogal wat network management aan vooraf, omdat je anders bij een echte, hoog-vermogen, DDOS alsnog de druk niet aankunt. Niet voor niets dat partijen een rendabel commercieel business-model van anti-DDOS infrastructuur hebben weten te maken.
).
🠕 This side up
Je hebt jezelf gefirewalled dus.:
[...]
Mijn projecten tegenwoordig zijn internal. Ik doe geen klant-projecten meer, maar doe projecten/werk voor mijn werkgever direct. ISO certificering, PCI-DSS, pentests die door een externe klant is aangevraagd, maar wordt doorgezet via het team van de klant, naar ons, dus technisch gezien, gaan al mijn uren naar intern werk, en stuurt het team mijn uren dan weer door naar de klant.
Ook doe ik geen extern dev-werk meer,
Ik pentest alleen op productie. Ik ga niet eens een opdracht aan als ik een 1 of andere "aparte" omgeving krijg.:
Op productie een pentest? Leuk... maar in de echte wereld wordt er wel eens iets gevonden. Dat zal productie maar eens even(tjes) plag leggen ofzo, leuk voor de betalende klanten
Wij hebben er een gescheiden omgeving voor, los van de test-, acceptatie- en productie omgeving.
"
🠕 This side up
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
Dit is toch juist de contradictie waar ik het over heb::
@Douweegbertje Da's natuurlijk leuk, maar als je bedrijf veel geld misloopt als de productieomgeving kapot is, dan is testen op productie natuurlijk niet een optie. Het idee is namelijk dat ze willen voorkomen dat een echte hacker (die toch wel op productie test) alles stil legt, niet dat iemand anders alvast de productieomgeving lam legt. "Ha, take that hackers! Jullie kunnen onze productieomgeving niet onbereikbaar maken, want dat hebben we zelf al gedaan!
Zo'n omgeving is leuk voor loadtests en bijvoorbeeld privilege elevation tests. M.a.w. dingen waar je 100% zeker weet dat je bewust om omgeving gaat manipuleren. Anders dan dat zit je een omgeving te testen wat niet de omgeving is waar het daadwerkelijk om gaat. Begrijp mij niet verkeerd, maar dan kan je toch net zo goed niet testen want...appels en peren.
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
Dus je begint je scope al met "deze omgeving is 100% zeker, op alle vlakken, op alle rules, patches, servers, cpu's, subnet, configuratie, dns config, code, checkouts, vm, whatever hetzelfde als production".
) een slechte manier om van start te gaan. Ten eerste is het echt heel lastig om zo'n statement te maken (ik twijfel niet over je kunde overigens) maar je kan net zo goed ook een foutje hebben gemaakt. Iets wat in prd wel staat en op je andere omgeving niet.
Iedereen maakt fouten, pentesters ook. Ik weet dat je dit niet zo bedoeld maar je zou kunnen denken dat pentesters geen fouten maken en dus alles vinden wat er te vinden is
Dus ja. Laten we het in elkgeval eens zijn dat we het hier niet eens over worden
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
(zie https://engineering.fb.co...d-secure-access-with-ssh/). Gekoppeld aan Vault werkt het ideaal: lokaal authenticaten via in mijn geval LDAP, je pubkey signen en je kan overal bij. Zodra je niet meer in de juiste groep zit, heb je ook geen toegang meer. Provisionen van servers is ook eenvoudig, en het is niet meer zo erg als je je keypair verliest.2x Dell UP2716D | R9 7950X | 128GB RAM | 980 Pro 2TB x2 | RTX2070 Super
.oisyn: Windows is net zo slecht in commandline als Linux in GUI
Nu nog een spellcheck in je browser integreren en het is ook weer een hele stap vooruit:
Ik weet niet waarom ik het nog niet kende, maar SSH CA is toch echt wel erg fijn
En zo vul ik mijn tijd met dit soort kleine quality of life verbeteringen.
500 "The server made a boo boo"
Hij bedoelde voor verschillende websites, niet specifiek die van hem
[ Voor 7% gewijzigd door Antrax op 25-05-2020 10:05 ]
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!
:
[...]
Hij bedoelde voor verschillende websites, niet specifiek die van hem
[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]
Niets. Kennelijk communiceer ik erg onduidelijk.
[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]
Dat is wat Infosec bij ons voorstelt
Ja je gebruikt Bootstrap 3.x, onveilig! [Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]
Hoe zorg je er voor dat je de security fixes niet mist?:
[...]
Dat is wat Infosec bij ons voorstelt
Ja vriend, weet je wel hoeveel werk het is naar Bootstrap 4 te upgraden? We backporten eventuele security fixes wel zelf.
Dat vind ik wel vreemd. Ik mag dan geen pentester zijn, ik heb wel veel met ze vanaf de andere kant samengewerkt (bij verschillende grote bedrijven), en daar was het nooit een kwestie van 'of'. Dus zowel op productie, waarin ze dan wel voorzichtig moeten zijn (een table droppen is daar niet bepaald een optie), als een productie-like omgeving waar ze meer mochten, maar ook veel meer konden zien.:
Ik pentest alleen op productie. Ik ga niet eens een opdracht aan als ik een 1 of andere "aparte" omgeving krijg.
Dan heb ik het idee dat ik een soort schijnopdracht zit te doen
https://niels.nu
Dat is wat we hier ook zien ja. Gelukkig hebben we nu 2 partijen die wel een gedegen pentest doen en veel meer doen dan alleen een standaard scan. Dat laatste kunnen we zelf ook wel.
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
Mijn persoonlijke ervaring is waarschijnlijk exact hetzelfde als jou en Creepy (vergeet niet dat ik 10 jaar ook aan die kant zat, en soms nog zit). Dat is ook exact de reden dat als ik zelf iets doe m.b.t. security, het juist niet invul als een standaard pen-test. Idem dat ik niet echt een pentest bedrijfje heb, noch het expliciet als een 'pro' uitvoer. Mijn doel is om bezig te gaan op een manier dat ik het leuk vind en uiteindelijk iets vinden wat een issue is, waar men niet bewust van was.
Je hoeft het niet met mij eens te zijn maar om nou voor iedereen in te vullen dat ik pauper werk oplever waar niemand iets aan heeft is echt weer het uiterste.
Want ik kan er prima mee leven dat jij het niets vindt. Anders is het gewoon een beetje zuur.Ik vind het veel belangrijker om dan te bedenken: Ok, er is iemand binnen, wat is er beschikbaar om te voorkomen dat we zo'n schadepost krijgen. Als 1 query mij een ton kost, dan moet ik hier anders mee om gaan.
Dus in een gigantische lap tekst zeg je "ik doe dit omdat een blackhat het ook zou kunnen en dus ben je even fucked als die het zouden doen."? Want dat vind ik echt een belachelijke redenering.:
[...]
Je hoeft het niet met mij eens te zijn maar om nou voor iedereen in te vullen dat ik pauper werk oplever waar niemand iets aan heeft is echt weer het uiterste.
En wat kan ik zeggen over PRD vs whatever omgeving. Dat is wat ik doe en er zijn genoeg bedrijven die daar open voor staan. Menig bedrijf realiseert zich ook dat als iemand nu wel of niet test, dat PRD toch beschikbaar is. Dat handelen ze af met een security disclosure policy of whatever policy.
Maar nu gaan we weer terug naar het stuk waar we het al eerder over hebben gehad: Wat boeit het als die omgeving toch al beschikbaar is. Je houdt je vast een een neppe veiligheid: "We hebben hier geen akkoord voor gegeven dus mensen blijven nu buiten"? Dat is zo krom als het maar zijn kan.
Even heel simpel gezegd, als ik het niet doe, kan iemand anders het nog wel doen. Maar dat het is verschil; ik zit er niet om je systeem naar de klote te helpen en ik weet echt wel wat mogelijk READ acties zijn of daadwerkelijke destructieve acties. Idem voor "bewijs" m.b.t. root access (cat /proc/1/maps, touch /root/foo) en point proven.
En hoewel ik heb een waiver heb, ben ik alsnog verantwoordelijk voor mijn fuckups. Ik wil niet beweren dat dit waterdicht is, maar daar heb ik wel een verzekering voor. Los van dat, als iemand echt komt met zo'n bedrijfskritische applicatie waar miljoenen in om gaan dan bestaat de kans dat ik dit weiger. Domweg omdat ik het eventuele risico, al is dat maar 0.01%..domweg niet kan dragen. Ik hoef niet ten onder te gaan met mijn hobby
Echter ben ik simpelweg van mening dat iemand z'n werk, of een outsider, nooit een situatie mogen opleveren die jij schetst:
[...]
Ik vind het veel belangrijker om dan te bedenken: Ok, er is iemand binnen, wat is er beschikbaar om te voorkomen dat we zo'n schadepost krijgen. Als 1 query mij een ton kost, dan moet ik hier anders mee om gaan.
Ik doe nu een opdracht bij een bank, en ik zit hier nu een bepaald enterprise systeem op te zetten. Ik hoef denk ik niet uit te leggen hoeveel regels er bij een bank zitten. Maar; iedereen mag van mij heel data systeem slopen, alle data weggooien en whatnot. Want dit is zo belangrijk; daar is juist over nagedacht. Sterker nog, dat wordt bewust gedaan om de integriteit te (blijven) controleren. Mij boeit het niet eens als iemand op die PRD omgeving een test doet, want ik ben in control en er zijn procedures die de overige zaken (in case shit hits the fan) overnemen.
Want nu zitten we meer met elkaar te praten over OF iemand wel toegang mag om daar (goedwillend) te testen, terwijl dat eigenlijk niet relevant mag zijn.Dat is mijn mening. En ik verschil daarin met andere echter deel ik net zo goed mijn mening met weer andere mensen. En dat zou, of we het nu wel/niet eens zijn, prima mogen zijn
---------
Maar weet je wat het is. Ik doe dit omdat ik geef om security en omdat ik het leuk vind. Net zo goed dat ik relatief actief ben in de Open Source wereld. Ik investeer heel veel tijd in dit soort projecten en zaken (idem als wat directe collega's van mij). Maar dat is omdat we er om geven en nerds zijn. Ik heb ook nooit aangegeven dat wat ik doe, een vervanging is van een echte pen-test. Zie het als iets extra's (overigens wil ik wel aangeven dat ik ook na een pen-test meer had gevonden dan wat zo'n bedrijf had gedaan.. maar soit).
In sommige gevallen krijg ik een bounty of 'swag'. In enkele gevallen krijg ik vooraf betaald, maar dat zijn soms terugkerende gebruikers die er heel erg gebaat bij waren/zijn. Hier heb ik een goede relatie mee, en als iemand nu aanklopt om echt zakelijk iets te doen; dan krijg je waarschijnlijk "nee" te horen. Dat is niet mijn doel/ambitie noch het geen wat ik "aanbied". Ik probeer alles zo netjes mogelijk te doen. Je ziet verschillende verhalen van "whitehat" die even onaangekondigd erin gaan zitten (Efteling bijv, de posts van hierboven een paar keer, etc).
Nouja de redenering is als volgt:
[ Voor 3% gewijzigd door F.West98 op 26-05-2020 20:47 ]
2x Dell UP2716D | R9 7950X | 128GB RAM | 980 Pro 2TB x2 | RTX2070 Super
.oisyn: Windows is net zo slecht in commandline als Linux in GUI
Met de manieren van werken die je hedentendaags hebt kan je alles relatief simpel hetzelfde opzetten, vooral met cloudoplossingen als Fargate e.d.
Ik hoop dat je sarcastisch bent, gezien de smileyDus eigenlijk zou je kunnen zeggen: als je me níet op productie laat werken, dan heb ik alvast het eerste zwakke punt gevonden: de backupstrategie
geen enkele backup die mijn verloren bedrijfsuren vergoedt
[ Voor 7% gewijzigd door Merethil op 26-05-2020 21:04 ]
Ik heb dat inderdaad gelezen, maar een pagina eerder was daar nog geen sprake van. Ik zou echter willen zien hoe hard een systeem onderuit te halen is met als hij erin inbreekt.
Als het nu 2005 was had ik je aardig gelijk gegeven maar er zijn zat bedrijven die daadwerkelijk een exacte of 99%-exacte (want, hardware zou net anders kunnen zijn omdat je een cpu van een andere batch hebt .. tja, er is ook zoiets als marge) kopie kunnen uitrollen omdat ze hun infra wel op orde hebben.
Ik speel voornamelijk "op de man" omdat er een hele sterke mening wordt geuit door Douweegbertje dat hij niet zou willen testen op een omgeving die niet productie is, maar zichzelf wel fatsoenlijk als pentester wil inzetten.
Ik ben het met jou eens dat dat inderdaad nog wel wat anders is... persoonlijk denk ik dat de combinatie van beide wel een goede insteek is
Gelukkig zijn er de laatste 15-20j inderdaad veel extra mogelijkheden op dat gebied... en zou het inderdaad op orde moeten staan... ben van mening (dit is buikgevoel, niet onderbouwd met cijfers) dat er toch nog héél wat bedrijven zijn waar daar geen sprake van is (wegens gebrek aan kennis of budget)... allicht zullen zij in veel gevallen geen pentest laten doen natuurlijk (wegens diezelfde redenen
).Hier ben ik het grotendeels met jou eens: ik zou persoonlijk eerder voor het en-en verhaal gaan.
Té veel inpakken hoeft inderdaad niet, maar een béétje mag welJe kan vinden dat ik wat scherp reageerde maar dat komt vooral door het boze internet denk ik, want ik schrijf hier niet een hele lap om iemand de grond in te boren maar merk op Tweakers wel dat je nergens komt door je mening teveel te "verpakken"
Ik heb Thinkpads altijd "de laptop waarmee je een dief z'n hoofd in kan slaan en rustig verder kan werken" genoemd. Die zin verkocht best goed, eigenlijk:
On a side note ... thinkpad (die aanstond) vs betontegels, 1,5m hoogte .. 1-0 (okee okee, 1 tegen 0,00000000001 (vanwege een paar cosmetische krasjes erbij). Wel blij met een SSD
Geschreven tekst is niet altijd even genuanceerd en soms vind ik het ook gewoon lastig om online de juiste balans "vriendelijk" en "dit is mijn mening" te vinden, dus op zich zijn je opmerkingen goed en bedank ik je daar sowieso voor.:
[...]
Té veel inpakken hoeft inderdaad niet, maar een béétje mag wel
Fijn dat je mijn post hebt genomen zoals ik het bedoelde en genuanceerd reageert!
Dus moest er in dit geval een complete mirror beschikbaar geweest zijn van al die servers (inclusief de "afgeschermde" servers), dan was er ook niets aan de hand geweest:
Zolang we scherp zijn in de discussie en niet naar elkaar dan lig ik daar niet wakker van. Ik heb in een voorgaande post bijvoorbeeld aangegeven dat het prima is om een test systeem te gebruiken om internals te checken of mutaties te doen.
En eigenlijk zeik je op de details wat ik dan niet expliciet aangaf maar als ik een langere post maak dan wordt ie al bij de eerste zin van je reactie afgeschoten.
Ik kan een concreet voorbeeld geven waarom ik overal bij wil. Een klant kwam met de vraag voor een pentest. Deze had idem alleen een test URL doorgegeven en that's it. "Want de rest was wel veilig en kan je niet bij". Na wat mail verkeer toch een akkoord gekregen dat er geen limiet zat op de scope.
Door DNS enumeration en verdere checks op de houder inclusief zoeken in het subnet vervolgens meer hosts gevonden. Door een flaw in 1 van de servers intern network access gekregen en met een andere flaw root (privilege elevation). Vervolgens was er een soort C&C server (kan niet helemaal in de details treden maar daar stond de data voor alle front-end meuk) die vatbaar was voor een SQL injection. Met een beetje craften de admin table gevonden en low and behold.. fooking md5. Nu met zowel root op 1 server als full admin kon ik overal bij. Die server was niet van buiten bereikbaar en derhalve veilig..
Ik kan dit pertinent niet als ik op een 1 of ander test domain vast zit. Vele technieken zoals SSRF, request smuggling zijn een ding. Multi stage attacks ook. Ik kan het heel erg fout hebben, maar bij menig test wordt hier niet naar gekeken. Ik kijk minder naar de standaard OWASP en meer naar "can you get fckd".
Is dat een deal breaker. Ja, voor sommige wel. Andere betalen 10k$ uit als bounty en zijn heel er blij
Ach je weet zelf ook wel dat het niet uitmaakt of je drie regels of een heel artikel had geschreven, ik richtte me vooral op de argumentatie erachter. Die heb je nu wat verder uitgelegd en ik blijf het met je oneens maar ik denk dat dat geen probleem hoeft te zijn voor ons beiden:
Zolang we scherp zijn in de discussie en niet naar elkaar dan lig ik daar niet wakker van. Ik heb in een voorgaande post bijvoorbeeld aangegeven dat het prima is om een test systeem te gebruiken om internals te checken of mutaties te doen.
En eigenlijk zeik je op de details wat ik dan niet expliciet aangaf maar als ik een langere post maak dan wordt ie al bij de eerste zin van je reactie afgeschoten.
Het probleem is dat ook jij fouten kan maken. Stel, je bent bezig op een productieomgeving en daar ben je net even iets harder aan het pushen omdat het anders niet lukt. Je doet iets en komt erachter dat je bepaalde data weet te achterhalen door een bug in een processor (goh, die exploits zijn er best veel geweest de laatste tijd). Daar maak je per ongeluk een wijziging in, of je komt bij gegevens die écht niet mogen lekken. Tja.Ik kan een concreet voorbeeld geven waarom ik overal bij wil. Een klant kwam met de vraag voor een pentest. Deze had idem alleen een test URL doorgegeven en that's it. "Want de rest was wel veilig en kan je niet bij". Na wat mail verkeer toch een akkoord gekregen dat er geen limiet zat op de scope.
Door DNS enumeration en verdere checks op de houder inclusief zoeken in het subnet vervolgens meer hosts gevonden. Door een flaw in 1 van de servers intern network access gekregen en met een andere flaw root (privilege elevation). Vervolgens was er een soort C&C server (kan niet helemaal in de details treden maar daar stond de data voor alle front-end meuk) die vatbaar was voor een SQL injection. Met een beetje craften de admin table gevonden en low and behold.. fooking md5. Nu met zowel root op 1 server als full admin kon ik overal bij. Die server was niet van buiten bereikbaar en derhalve veilig..
Ik kan dit pertinent niet als ik op een 1 of ander test domain vast zit. Vele technieken zoals SSRF, request smuggling zijn een ding. Multi stage attacks ook. Ik kan het heel erg fout hebben, maar bij menig test wordt hier niet naar gekeken. Ik kijk minder naar de standaard OWASP en meer naar "can you get fckd".
Is dat een deal breaker. Ja, voor sommige wel. Andere betalen 10k$ uit als bounty en zijn heel er blij
En ik denk dat veel bedijven het risico durven nemen dat niet alles gevonden wordt. Het is niet alsof een pentest van Douweegbertje of iemand anders die op dezelfde manier werkt alles zal vinden, noch dat je direct alles kan aanpakken. Elke kluis is ook te kraken, elke auto is te stelen, elk huis is binnen te komen en elk document is na te maken. Er zit een kosten-baten-analyse achter en die is naar mijn mening al best sluitend op een non-productieomgeving die je wel soortgelijk opzet.
Ik geef je gewoon open en eerlijk mijn visie op hoe je argumentatie overkomt. En ik denk dat dat voor jou waardevol is, want iedereen (ook ikzelf) hebben een enorme blinde vlek als het aankomt op de perceptie van anderen over de dingen die in ons hoofd zitten. Ik zeg niet dat je een prutser bent; ik ken je niet en ik ken je werk niet.:
Je hoeft het niet met mij eens te zijn maar om nou voor iedereen in te vullen dat ik pauper werk oplever waar niemand iets aan heeft is echt weer het uiterste.
Nou dat weet je dus gewoon niet. Developers maken fuck-ups. Misschien is er een Admin endpoint dat een periodieke cleanup doet, die niet aangeroepen zou mogen worden. Dat is dus ook de reden dat ik een voorstander ben van het geven van de source code; zodat je ook achter dat soort dingen komt zonder daadwerkelijk iets stuk te maken.
Okay, maar dat zijn dus de projecten waar ik altijd aan werk. Vandaar dat ik zeg dat ik jouw aanpak te riskant vindt voor de projecten waar ik een mening over kan hebben. Dus in essentie zijn we het met elkaar eens; er zit een risico aan vast en dat risico kan in veel gevallen te groot zijn.
Het "zou nooit morgen" is het hele bestaansrecht van Pen-testers. Natuurlijk zouden er in de ideale wereld geen fouten gemaakt mogen worden. Maar dat gebeurt wel. En die zijn vaak een heel stuk complexer dan een simpele SQL injection (die in de applicaties waar ik in werk gewoon eigenlijk niet mogelijk zijn en nooit door een review zouden komen).
Ik heb bij de ING gezeten en note bene voor een ING start-up samen gezeten met pen-testers als een van de back-end leads. Daar werd de aanpak gebruikt zoals ik die aangaf; toegang op zowel een productie-like test omgeving als op productie, waar eerst gecheckt werd op acceptatie en daarna nog heel voorzichtig op productie. Ik vind het moeilijk te geloven dat 'een bank' je op een bedrijfs-ktitische productie omgeving los laat gaan, ook omdat ik weet hoe die processen binnen een bank werken.
Als je zo goed bent als je zegt dat je bent, is het m.i. volkomen krankjorem dat je het gratis doet, of voor wat 'swag'. En ik heb ook werkelijk in heel m'n 18+ jarige carriere nog nooit meegemaakt dat een grote enterprise toko (ING, UWV, IND, D-Reizen, Bol.com, Olympia, Randstadt, to name a few) iemand voor een appel en een ei los liet gaan op productie omgevingen.
https://niels.nu
Meest effectieve schijnt te zijn het te krijgen en een paar weekjes op de IC te belanden:
[...]
Doe maar wat wortels. Die coronakilo's moeten er echt af
.
Als je leest over al die mensen die blijvende klachten hebben; liever niet:
Meest effectieve schijnt te zijn het te krijgen en een paar weekjes op de IC te belanden
https://niels.nu
[ Voor 7% gewijzigd door Douweegbertje op 27-05-2020 17:10 ]
Maarja is een discussie nog een discussie als je niet tegenover elkaar staande visies uit gaat wisselen (of het je mening / overtuiging is, of dat het een gelegenheidsstandpuntje wat je voor de dicussie verdedigt) maar gezellig het met elkaar eens bent?:
Want over het algemeen zitten we hier in de dev corner meer discussies tegen elkaar te voeren dan met elkaar. Met een biertje en identieke onderwerpen zou het een stuk gezelliger zijn denk ik
(okee en een deel 
).
*proost* !
[ Voor 14% gewijzigd door gekkie op 27-05-2020 17:24 ]
Ik ook niet. Ik ben freelance Java dev. Maar ik ga over een poosje een paar trainingen geven,en dat doe ik toch echt niet gratis. Ten eerste is mijn expertise geld waard. Ten tweede is het enige wat onbeperkt is in het leven tijd, dus wil ik daarvoor vergoed worden
Ik kan prima iemand persoonlijk graag mogen en het volledig met 'em oneens zijn hoorOverigens zou mij ook niet verbazen dat als wij elkaar in real life tegenkwamen en jij niet wist dat ik Douweegbertje was, dat je een totaal andere mening zou vormen. Want over het algemeen zitten we hier in de dev corner meer discussies tegen elkaar te voeren dan met elkaar. Met een biertje en identieke onderwerpen zou het een stuk gezelliger zijn denk ik
Die dingen staan wmb lost van elkaar. Ik vind discussies leuk en leerzaam bovendien. Een goeie vriend van me is streng gelovig; ik het tegenovergestelde. Heb eindeloze discussies met 'em gehad hierover Tegenwoordig worden posts autoomatisch samengevoegd. Moet ik ook nog een beetje aan wennen na bijna 20 jaar GoT
https://niels.nu
Wederom: Zout of zoet, of toch gewoon rauw?:
[...]
Doe maar wat wortels. Die coronakilo's moeten er echt af
🠕 This side up
"The question of whether a computer can think is no more interesting than the question of whether a submarine can swim" - Edsger Dijkstra
[ Voor 14% gewijzigd door alienfruit op 28-05-2020 11:13 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
[ Voor 47% gewijzigd door alienfruit op 29-05-2020 15:53 ]
hehe, ik had dat ook gedaan. Ik ben nu nog steeds aan het afbetalen
Ja als je niet oplet kan het snel gaan met je cloud resources. Heb ook al vaker gezien dat er flinke bedragen onnodig uitgegeven zijn, terwijl het best goed te regelen is als je je test/acc/productie subscriptions goed uit elkaar houdt, en ook de juiste alerts in stelt voor uitgaven voor resources. Het is immers vaak vooral resources die niet eens echt nodig waren, maar voor een testje uitgerold zijn, die achteraf toch best een zware last op de totale kosten zijn.:
[...]
hehe, ik had dat ook gedaan. Ik ben nu nog steeds aan het afbetalen
No joke overigens, ik was vergeten mijn resources weer te verwijderen. Tijdens het spelen even wat dikke machines de lucht in gegooid. Dat is peanuts voor een paar uurtjes (paar euro). Laat ik nou net een project vergeten te verwijderen.
In zekere zin heb ik wel alerts staan op mijn $$ maar aangezien ik legitiem voor wat honderd euro p/m wat draai, en dan alleen de alert heb voor een x-bedrag (ongeacht de periode) ging ik in enkele dagen daar overheen. Enigszins de schade beperkt, maar alsnog 700 euro lichter.. dure les.
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
Tot dat, we een Head of Cloud kregen die mij vroeg waarom er een RDS draaide voor project X.
[ Voor 39% gewijzigd door alienfruit op 01-06-2020 21:39 ]
tja, dit is ook wel het verschil tussen mijn eigen meuk als hobby en wat ik profesioneel zou opzetten. Ik denk dat ik erm, niet eens 1% van de best practises hanteer.
De syntax is wat vreemd maar closures zijn eigenlijk gewoon functies en protocols zijn zoals interfaces in Java. Even wennen inderdaad, maar je ziet beiden heel veel dus dat ga je vanzelf begrijpen.:
Een paar dagen geleden met Swift te leren dmv de 100 Days of Swift van Paul Hudson. Ik ga er wat sneller door, maar closures en protocols gaan er moeilijk in, ik hoop dat dat iets is wat achteraf nog duidelijk wordt. Ik kijk al uit naar de projectjes
Ik zat even te kijken wat dat kost, maar als ik dat vergelijk met wat andere mensen soms kwijt zijn door niet op te letten met hun cloud resources viel me dat nog best mee. Ik weet niet hoeveel er maandelijks naar AWS ging, maar ik kan me voorstellen dat die paar honderd euro voor een DB instance daarbij niet opvallen.:
Ach op mijn vorige werk hadden we een RDS Postgres (db.t3.2xlarge) draaien voor anderhalve jaar waar niemand vanaf wist
.
[ Voor 39% gewijzigd door gekkie op 02-06-2020 10:18 ]
Dit topic is gesloten.
:strip_icc():strip_exif()/u/304716/enforcer_small.jpeg?f=community)
/u/373849/cowava2.png?f=community)
:strip_icc():strip_exif()/u/437778/crop684040f89be83_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/116726/crop5e3ee297a8a03_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/246777/crop5665347035c66.jpeg?f=community)
:strip_exif()/u/80759/monstermania_small.gif?f=community)
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community)
:strip_icc():strip_exif()/u/87691/avatar_alex.jpg?f=community){kind=avatar}
/u/86654/crop68d4ff30987a8.png?f=community)
:strip_exif()/u/73955/foxavatar-60.gif?f=community){kind=avatar}
/u/262310/ava.png?f=community)
:strip_exif()/u/26373/anim4.gif?f=community)
:strip_icc():strip_exif()/u/439769/crop5a510243ea2e3_cropped.jpeg?f=community)
:strip_exif()/u/306933/ezgif.com-optimize.gif?f=community)
:strip_exif()/u/294184/20150204_SITE_GIF_VALKUIL-resized.gif?f=community)
/u/22274/banaan60x60.png?f=community)
/u/189240/av70.png?f=community)
:strip_icc():strip_exif()/u/172182/crop5ea83ce62d327.jpeg?f=community)
:strip_icc():strip_exif()/u/492949/crop627d0c893ea0e_cropped.jpg?f=community)
/u/454206/crop562d2ccb2479a.png?f=community)
:strip_icc():strip_exif()/u/105199/crop5cb76c6d18020_cropped.jpeg?f=community)
/u/243953/crop56f55a7bcf291.png?f=community)
/u/122874/crop5e26d7a209cd1_cropped.png?f=community)
/u/12668/hydra.png?f=community)
:strip_icc():strip_exif()/u/284419/Mexican%2520Wolf%2520Klein.jpg?f=community)
:strip_icc():strip_exif()/u/140143/krabsla_64x64.jpg?f=community)
/u/105842/Homer_60x60.png?f=community)
/u/1906/crop5dfd46928e003.png?f=community)
:strip_icc():strip_exif()/u/6143/rincewind.jpg?f=community)
:strip_icc():strip_exif()/u/130731/p1111709762-1.jpg?f=community)
:strip_icc():strip_exif()/u/141741/crop5dd6aa7923c3f_cropped.jpeg?f=community)
:strip_exif()/u/47168/loop.gif?f=community)