Делимся правилами ИТ-гигиены для современных айтишников

 Публичный пост

Клуб, нужна помощь!
Всем привет )))
Появился вопрос: что такое современная ИТ-гигиена?

Для обычных пользователей есть:

  • стандартный подход: использовать длинные пароли, впн, менеджеры паролей; не использовать публичные вайфаи, фишинговые ссылки из писем и т.д.
  • частный подход: не тырить еду из холодильников; не ругаться матом, когда кто-то рядом на звонке; писать повестку встречи прямо в календаре, а не отдельным письмом.

Накидайте пожалуйста, что можно еще сюда включить для других, более специфичных категорий пользователей?

  • Что будет ИТ-гигиеной для разработчиков? Может обязательное комментирование кода или подробные описания для слияний в гит?
  • Что будет ИТ-гигиеной для администраторов? Может специальное правило именования виртуальных машин или какой чеклист вечерней проверки инфраструктуры?

Может выделится какая-то новая крупная категория, типа топ-менеджмента или финансистов?

Приветствуются личные лайфхаки, которыми готовы поделиться, или корпоративные правила компаний, где работаете сейчас. Интересно потом вывести «новый культурный код айтишника» )))) Спасибо!

Связанные посты
167 комментариев 👇
David Osipov Product Manager/Product Owner 29 апреля 2023

Ну, друзья меня зовут параноиком и у меня несколько пожилых домочадцев, поэтому приходится крутиться, чтобы они не попадали на фишинг/скам. Поэтому я настроил несколько барьеров для их защиты. Вот мои правила:

  1. Регаемся и оплачиваем услуги Nextdns - подключаем все локальные сети и устройства к этим серверам DNS. Желательно через DNS-over-QUIC.
    1.1 В консоли запрещайте доступ к новосозданным доменам (1 месяц жизни) - сильно поможет бороться с фишингом, особенно для пожилых домочадцев. Ну и врубите другие фильтры.

  2. Купите Adguard и установите на все устройства, особенно пожилым родственникам. Не забудьте настроить.

  3. Обязательно используйте менеджер паролей, а ещё лучше взять семейный аккаунт, например, Bitwarden . Поверьте, вам гораздо легче научить пожилых пользоваться менеджером паролей, чем потом им напоминать об их паролях. Ну и да, для каждого сайта должен быть свой уникальный пароль. 2FA там же можно хранить - так намного проще для пожилых.

  4. Обязательно проаудируйте аккаунты на Гос. услугах и онлайн-банкинге всей семьи! Пароли и 2FA - наше всё. Да, им будет неудобно, но перетерпят и притрутся

  5. Позвоните оператору вашей сотовой связи и запретите перевыпуск симки по доверенности. В том числе всем ваших родственникам.

  6. Ну, про антивирусы и так понятно - установите нормальный антивирус на все устройства.

  7. Установите в браузерах расширение AlphaMountain - они очень классно и оперативно начинают блочить новейшие фишинговые и скам сайты с разницей лишь в 1 день. Для Google это занимает 7 дней-месяц, для антивирусных компаний 4-8 дней.

  8. Пожалуйста, используйте либо свои личные VPN (сами подняли на VPS), либо популярные и зарекомендовавшие себя ProtonVPN , Mullvad, SurfShark и парочку других. Все остальные автоматом могут сливать ваши данные.

  9. От аккаунтов Google не убежать, поэтому хотя бы добавите аккаунты вашей семьи в Семейную группу и включите шеринг местоположения пожилых родственников в семейной группе.

  10. В мобильном браузере пожилых домочадцев сразу отрубите показ веб-уведомлений. Поверьте, лучше сделать так, чем они будут путаться в 100500 уведомлений, отправляемых левыми сайтами.

  11. Аппаратные токены аутентификации - классная вещь. Т.е. Yubikey, Passkeys на Android и iOS, прочие выкрутасы.

  12. Не знаю как мне удалось, но мои домочадцы по-умолчанию используют Signal. Попробуйте и вы своих приучить.

  13. Регулярно просто так за чашечкой чая рассказывайте вашим родственникам про мошеннические схемы и правила кибергигиены. Это помогло моим домочадцам ни раз и ни два понять подвох сразу же.

  14. Если вы в РФ, то купите Kaspersky WhoCalls для пожилых и подключите бота Олега от Тинькофф. Они друг-друга дополняют.

Ну вроде пока всё. Всем мир и безопасность!

  Развернуть 1 комментарий

@David_Osipov, очень крутые советы, спасибо!

  Развернуть 1 комментарий

@David_Osipov, Спасибо, советы огонь! AlphaMountain ограничена по странам? Что-то у меня «…couldn’t connect» (не рф)

  Развернуть 1 комментарий

@f0x1sland, спасибо! Хмм, странно, они пока сделали только для Chrome. Клацни сюда

  Развернуть 1 комментарий

@David_Osipov,

Не знаю как мне удалось, но мои домочадцы по-умолчанию используют Signal. Попробуйте и вы своих приучить.

Охренеть. Моё почтение!

  Развернуть 1 комментарий

😱 Комментарий удален его автором...

  Развернуть 1 комментарий

@David_Osipov, зачем антивирус? На Win10+ встроенный работает, на iOS тоже не вижу смысла

  Развернуть 1 комментарий

@Mavriysky, к сожалению, Windows Defender всё ещё далек от сильных антивирусных лабораторий, тот же бесплатный Avast показывает лучше результаты. И у дефендера нет или не развит антифишинговый компонент, не говоря уже о защиты камеры, микрофона и клавиатуры. На MacOS - тут я солидарен, ну нужно всё равно прикрутить антифишинговую защиту.

  Развернуть 1 комментарий

@Mavriysky, Только вот недавно столкнулся с вируснёй на машине, которую дефендер упорно не ловил. Не деструктивный, но назойливый вирус, который был выпилен CureIt от Drweb.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

Если не говоришь в созвоне - ставь себя на мьют.
Особенно если в офисе, когда слышишь себя же в наушниках - жутко сбивает.

  Развернуть 1 комментарий

Иметь ровно столько доступов и с тем уровнем, который необходим для работы. Особенно касается всех доступов к данным.

  Развернуть 1 комментарий

@ArseniiSkurt, А ещё проактивно отдавать доступ после того, как он стал не нужен, например, после смены команды или проекта.

  Развернуть 1 комментарий

@herman, два чая этому господину! Срочно!

  Развернуть 1 комментарий

@herman, когда работал в банке и вопрос с доступами был актуален (отдельный доступ на каждый чих по отдельному запросу с несколькими одобряющими лицами) - пришел к выводу, что в моих интересах как отдельного сотрудника как раз наоборот иметь как можно больше доступов, т.к.:

  1. можно реже их запрашивать и не тратить на это время
  2. при дебаге у тебя куда больше возможностей - например, иметь доступ к каким-нибудь логам другой команды куда удобнее, чем 5 раз на дню писать "Вася, глянь, почему наш запрос к вам фейлится?", что ускоряет твою работу в целом.

И, думаю, я далеко не один такой. Хотя интересы компании/безопасников и сотрудника в этом вопросе, офк, противоположные.
Так что доступы я обычно стараюсь получать максимальные, какие возможно, и, разумеется, не отдаю их проактивно по завершению проекта. Отзыв доступов - забота того, кто их выдает.

  Развернуть 1 комментарий

@nightlord189, На моём месте работы учат, что первая линия обороны для компании — это сотрудники, и я считаю, что это справедливо. Описанный тобой подход мне кажется максимально неправильным, начиная от доступа к логам другой команды и заканчивая всем остальным.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

@MrSparkline, да, вполне правильный и удобный подход. Главное, чтобы не тормозило в духе "подразделение сменил 2 дня назад, но доступов еще нет".

  Развернуть 1 комментарий

@nightlord189, люто плюсую, но при этом хочется найти компромисс. Мб делегирование выдачи доступов? Например техлиду команды безопасники выдают максимально возможные для его команды доступы, а он уже ниже по иерархии может делегировать часть этих доступов команде?

  Развернуть 1 комментарий

@vova, я такое решение не встречал, но звучит логично. Но тут тоже надо предусмотреть исключения, потому что иногда бывает ситуация, когда из 10 человек команды один работает над каким-нибудь отдельным проектом и ему нужны персональные доступы.

  Развернуть 1 комментарий

Как инженер ИБ просто не смог пройти мимо, спасибо за этот комментарий и понимание :)

Что касается треда под комментарием, то нужно понимать, что ролевая модель и процесс выдачи и согласования доступов сильно отличается от компании к компании, но в общих трендах сейчас 0-trust подходы, которые как раз в своей концепции и подразумевают минимальный набор доступов, а также обмазку аутентификацией и авторизацией.

А рядышком в помощниках процессы временного повышения привилегий и контроль за ними. Так можно накинуть нужную роль под конкретную задачу, но не навсегда.

  Развернуть 1 комментарий

проверять свой микрофон и шумоподавление самостоятельно. Т.е. включить запись, попросить кого-то пошуметь, поговорить, а потом прослушать запись. А то некоторые считают, что фоновый шум не слышен, а в разговоре далеко не все делают замечание

  Развернуть 1 комментарий

@marnatrauny_syn, А ещё не звонить из кофеен, где шумит кофемашина или из полей, где блеют овцы и шумит ветер.

  Развернуть 1 комментарий

@herman, представил себе синк распределенной команды. Ранее утро, программист сидит в далёких полях, где блеют овцы и шумит ветер.

  Развернуть 1 комментарий

@EugeneYakshin, сидел так однажды на даче, было кайф

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
  • хороший интернет, без подвисаний; иметь мобильный под рукой как план б
  • проверять заранее, что демонстрация экрана работает, особенно на mac os, которая просит перезапустить зум для пермишнов
  • отключать уведомления на время демонстрации экрана или шарить только то приложение, которое нужно, а не весь экран
  • отправлять документы в pdf/google docs, никаких docx
  Развернуть 1 комментарий

@apvlasov, а в чем проблема шарить весь экран? Я всегда так делаю - и никаких проблем в духе "кликнул на кнопку - открылась новая вкладка/окно и теперь зрители не видят нужного".

  Развернуть 1 комментарий

@nightlord189, да в принципе никаких, главное, чтоб ничего личного не попало, типа nsfw подписок в телеге или уведомлений там)

  Развернуть 1 комментарий

@nightlord189, если показывать презу - то нет возможности передачи управления или просмотра в асинхронном режиме

  Развернуть 1 комментарий

@Spirtel, чет я либо туплю, либо что за "передача управления" или "просмотр в асинк режиме"? ни разу такого не видел.

если ты про то, что посередине презы другой захотел зашарить свой экран - ну так вроде же можно, если права есть?

или типа зритель хочет потыкать твою же презу? тут есть старые добрые "Следующий слайд плз" и "Предыдущий слайд плз".

  Развернуть 1 комментарий

@nightlord189, это в зависимости от инструмента по-разному реализовано. В МсТимс есть такая фича: докладчик запускает презентацию и пока его слушаю, могу всю пролистать, либо какой-то слайд читать дольше, чем остановился на нем докладчик.
И можно не отвлекать докладчика, а потом вопросы задавать. Для обучения очень нужная штука.

Про перехват управления это другое, но тоже нужное.

  Развернуть 1 комментарий

@nightlord189, кстати, если у тебя 4к монитор, а у коллег ноут, то если шарить весь экран - у них будет всем мелко

  Развернуть 1 комментарий

@apvlasov re: google docs
мне кажется ит-гигиена и сервисы гугла несовместимы по-умолчанию

  Развернуть 1 комментарий

@kurmanov, когда у тебя на работе гугл почта, гугл календарь, гугл мит и гугл доки, то особо не спрячешься :)

  Развернуть 1 комментарий

@apvlasov, Так этот аргумент можно и вернуть. Если в компании всё завязано на Office 365, в чём проблема с docx?

  Развернуть 1 комментарий

@herman, думаю что:

  1. если куплена корпоративная лицензия и использование любого сервиса легитимно - значит все ок
  2. в сообщении речь идет о документе с совместным доступом, а не файлом, чтобы можно было при звонке работать в едином пространстве или заранее написать комментарии
  Развернуть 1 комментарий

@apvlasov, очень плюсую за (т.е. против) .docx файлов!

  Развернуть 1 комментарий
  1. Перестать писать в чате просто «Привет» или «Привет, как дела?» или другую ничего не значащую (но отвлекающую) ерунду и ждать ответа на неё. Вместо этого — сразу писать «Привет, %свой вопрос, задачу, проблему, суть обращения что вам надо%». https://neprivet.com/
  2. Перестать здороваться и прощаться в каждом емейле. В идеале — вообще договориться со своими коллегами по домену, что любой емейл начинается сразу с сути, без аналогов «Dear colleagues,» вначале и без всяких «Best regards, » в конце. Даже если это первый емейл за день / неделю / после вашего полугодового саббатикала или годового декретного отпуска. Оставьте приветствия и прощания для клиентов, партнёров (внешних пользователей на других доменах), а также для официальных писем начальству.
  3. Писать BLUF-емейлы (Bottom-Line-Up-Front, https://en.wikipedia.org/wiki/BLUF_(communication)). Проще всего начать так: пишете емейл как обычно (как умеете), а потом переставляете свой последний абзац в самое начало. В 95% случаев получатель скажет вам спасибо.
  Развернуть 1 комментарий

@zahhar, пункт первый - о да.
Вернулся с обеда, вижу в чате "Hi". Окей, отвечаю "hi". И жду полчаса пока чел с обеда вернётся.
Пункт два - частично согласен, чуток бесит в длинной переписке 20 раз читать "Hello sir Nikolay".
Пункт три - хм, интересно, надо ознакомиться.

  Развернуть 1 комментарий

@zahhar, 3 пункт -это не только имейлов касается.Это Minto pyramid, даже книга об этом есть

  Развернуть 1 комментарий

@ybeltrikov, спасибо, хорошее дополнение. Залинкуем тогда, https://untools.co/minto-pyramid

  Развернуть 1 комментарий
  Развернуть 1 комментарий

@TiraelSedai, там на мой взгляд ребята перегибают. Считают, что воопрсы типа "Тут есть кто-то шарящий в кубере" неуместным мета-вопросом. В чатик экспертов по куберу - конечно. А в чатике просто девопсов - уже почему бы и нет. Короче, на мой взгляд они душнят.

  Развернуть 1 комментарий

@zahhar, ну почему душнят?

Как минимум, один вопрос будет задан в любом случае, либо "есть кто шарит?" либо "кто сталкивался с проблемой X?"

Собственно, почему бы сразу не начинать с проблемы? Даже если никто не шарит, вопрос просто повиснет в воздухе.

В плохом случае, без ответа будет висеть, либо "есть кто шарит?" либо "кто сталкивался с проблемой X?"

  Развернуть 1 комментарий

@zahhar, тоже не думаю, что это душнилово. Сам по себе вопрос не нужен. Либо его сразу дополнять проблемой.

Есть кто шарит в кубере? У меня тут конфиг выдает ошибку <ошибка про которую не знает гугл>, если есть у кого идеи. как решить, помогите пожалуйста.

Это еще следует делать не только с т.з. уменьшения мусора, но и потому, что часто те кто шарит, так не считают )) Синдром самозванца чаще развит у тех, кто знает ответ ) А вот описание проблемы сразу привлечет того, кто знает как ее решить, даже если он не считает себя шарящим в стеке в целом.

  Развернуть 1 комментарий

@zahhar, всё ещё считаю что без минимального контекста это бесполезный вопрос даже в чате где несколько девопсов

  Развернуть 1 комментарий

@zahhar,
О, ещё один стандарт коммуникации(BLUF), который взяли из US military...
Про первый писал Вастрик в своей статье про soft-skills
Спасибо

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
Filipp Shadrin Android разработчик 26 апреля 2023

У меня есть небольшой свод правил для себя, связанный с написанием текстовых сообщений:

  • когда пишешь кому-то впервые (или впервые за долгое время) с просьбой, вопросом по задаче и тд - думай о собеседнике как о человеке, который не погружен в контекст твоего вопроса

"Мне для задачи Х попросили сделать У, сказали, что ты можешь посдказать по вопросу Z". Добавляй деталей, ссылки, вспомогательную инфу, чтобы собеседник быстрее вник в твой контекст и понял, о чем вообще речь идёт

  • Использовать переносы строк в объемных текстах. Переносы ставлю, чтобы отделить друг от друга микроидеи. В микроидею обычно помещается 2-4 предложения
  • Использовать маркдаун хотя бы по минимуму, он много где поддерживается
  • Ну и в дополнение к первому пункту - https://neprivet.com/
  • Перечитывать сообщение перед отправкой, на опечатки и структурированность мысли перепроверять себя
  • Ещё, мы с девушкой просим друг друга проверять сообщения, если голова не соображает или сомневаемся в чем-то. Иметь взгляд со стороны довольно полезно
  Развернуть 1 комментарий

Использовать переносы строк в объемных текстах. Переносы ставлю, чтобы отделить друг от друга микроидеи. В микроидею обычно помещается 2-4 предложения

Абзацы вообще тема!

Мало что так удручает, как здоровенная стена текста на весь экран

  Развернуть 1 комментарий

Не совсем про IT, скорее просто про рабочий процесс (то, как это делаю я):

  • Все митинги только с agenda, ну или с хотя бы с минимальным описанием, e.g. "поговорим про то и это, Х приглашен потому что Y, и тд".
  • Написать в чат человеку/людям о том, что кину сейчас инвайт на звонок и о чем звонок будет. Не люблю когда приходят рандомные инвайты без контекста и предупреждения и сам так не делаю
  • Meaningful subject для всех инвайтов. Если ad-hoc чат, то обязательно указать тему: John - Anton 1:1 (to open a new role for a QA). В таких случаях можно даже agenda не указывать, особенно если про это уже разговор было
  • После всех звонков/митингов на которых больше 2-х человек отправлять заметки (MoM or Minutes of Meeting) всем приглашенным - это вообще отлично прокачивает communication skill и задает хороший тон в команде
  • В заметках писать что было обсуждено, и какие следующие шаги и кто за них ответственный
  • Меньше sync'ов -> больше async'ов. По возможности решать все в чатах. И сразу тут же, не расчитывать на моментальный ответ от разработчика
  • Переключиться на Maker's schedule, т.е планировать митинги с разрабами исходя из их предпочтений. Т.е дать им возможность не переключать контекст постоянно. Если что-то нужно во время no-meeting slot, написать в чат, извиниться и объяснить причину почему это нужно прямо сейчас
  • Не оставлять имэйлы которые адресованы мне или кому-то из моей команды без ответа. Отправлять хотя бы recognition в ответ: "мы вас услышали, как только будет что-то определенное, мы дадим вам знать". Главное: поставить такой имэйл на snooze и не забыть follow up
  • Писать незнакомым людям в чате или имэйле только с достаточным контекстом: "привет! мне Х дал твой контакт чтобы поговорить на тему Y и я хочу у тебя спросить Z"
  • Все видео звонки только с включенным видео. Исключения: во время еды или в пути камеру можно выключить но предупредить всех почему
  • Открыть весь календарь. Т.е. чтобы все в компании могли видеть какой митинг у меня и когда. В некоторых компаниях это и так правило, но в моей текущей это не так. Так что пришлось повозится чтобы открыть календарь.
  • Туда же: добавлять в рабочий календарь блоки типа "Забираю ребенка из детского сада" для того чтобы люди знали, что в это время я хоть и могу присоединиться на звонок но буду ограничен в коммуникации
  • Брать паузу перед отправкой "злых имэйлов". Я так один имэйл 3 раза переписывал в течении 2 дней
  • Туда же: не писать пассивно-агрессивные сообщения. Они никогда ничего не решают и только портят репутацию

Есть еще некоторые правила, но они больше про продакт менеджмент.

  Развернуть 1 комментарий

@ephimoff, Супер! Классно дополнил.
А продактовыми правилами поделишься?

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

@ephimoff, зачем обязательное видео на звонках?

  Развернуть 1 комментарий

@EugeneYakshin, Потому что я показываю пример. Я показываю что я engaged и не занимаюсь параллельно чем то еще. Что если я уже делаю звонок то я отношусь к нему серьезно. Я считаю что лучше вообще не звонке не присутствовать чем «полу-присутствовать».
Выключенная камера на звонке это как уставиться в телефон во время обычной face-to-face встречи.

  Развернуть 1 комментарий

@ephimoff, Ну хз. Мне кажется ты проецируешь свои (полностью понятные мне) заскоки на других. Так можно требовать и руки на столе держать :)
Когда команда распределённая и/или работы/дел до жопы, абсолютно нормально слушать в одно ухо. Редко когда в таких командах после созвона рассылается краткое содержание

  Развернуть 1 комментарий

@EugeneYakshin, но зачем слушать в одно ухо, когда можно тогда вообще не приходить / не приглашать? Если тебя пригласили на митинг, где надо 30 минут слушать в одно ухо, то надо требовать рассылки meeting minutes, которую можно прочитать за 3 минуты.

  Развернуть 1 комментарий

@zahhar, Да, мысль с запросом заметок здравая

  Развернуть 1 комментарий

@zahhar, иногда требуется поучавствовать в процессе или проконтролировать.

  Развернуть 1 комментарий

@vvzvlad, ну тогда нужно слушать в 2 уха :)

  Развернуть 1 комментарий
Alexey Buravov Backend-разработчик 29 апреля 2023

Для архивов использовать zip, никакого rar (не у всех винда или rar-архиватор).

  Развернуть 1 комментарий

@nightlord189, о да, была пара своих архивчиков полезных для работы, в европке была то ещё развлечение на рабочий комп их распаковать.

  Развернуть 1 комментарий
Аватар Programistich Programistich 30 апреля 2023 Команда Клуба

@nightlord189, главное чтобы без пароля, а то на Айфоне не откроется

  Развернуть 1 комментарий

@Programistich, согласен, но архивы обычно и не на айфоны отправляют)

  Развернуть 1 комментарий

@nightlord189, пожалуйста, перестаньте использовать zip. Большая часть zip софта не умеет в кодировки. Если у вас двоих винда с одинаковым language pack'ом то вам повезло, в остальных случаях – удачи.

Если уж хотите устанавливать правила, давайте тогда 7z или tar.gz

  Развернуть 1 комментарий

@grbit, чет ни разу таких проблем не ловил

  Развернуть 1 комментарий

@nightlord189, sweet summer child =)
Я ловил.

Прям счас вбил в гугл zip unicode
https://www.reddit.com/r/Windows11/comments/rjbkmc/cant_believe_windows_still_cant_zip_files_with/

Если например всё сжато 7zip и разжато 7zip, то юникод будет нормально работать. Но можно ведь наткнуться на что угодно. Давайте тогда 7z форсить, опен сорс, все могут поставить, дальше уже хочешь 7z, хочешь tar.gz, хочешь rar

  Развернуть 1 комментарий

@grbit, с кодировкой названий файлов и zip может подкинуть проблем, особенно когда запаковано на маке, а распаковать надо на винде. Единственное рабочее решение, которое попадалось, — разархиватор unar (не путать с unrar) https://theunarchiver.com/command-line. Отсюда на самом деле вытекает правило: стараться не использовать кириллицу в названиях файлов, особенно в архивах, которые вы отправляете неограниченному кругу лиц с неизвестными вам технологиями на рабочих компьютерах.

  Развернуть 1 комментарий
  • Все пароли сгенерированы, и хранятся в менеджере паролей;
  • Для любого сайта/приложения - новая пара email/password
  • Если нужен VPN для себя и родственников - лучшей свой
  • Полезно разделять пространства в браузере, на рабочее/личное/etc
  • 2 аккаунта в телеге - один для каналов/больших чатов/форумов (всегда muted), второй, внезапно, для использования в качестве мессенжера :D
  Развернуть 1 комментарий

@erhosen, с добавлением папок в Telegram необходимость в последнем пункте отпала) там очень гибко можно всё настроить: личные чаты в первую папку, важные каналы -- во вторую, неважные каналы с развлекаловом (а также флудилки!) -- в третью, причём стоящую достаточно далеко, чтобы до неё было далеко тянуться :)

  Развернуть 1 комментарий

@erhosen, а как ты управляешь зоопарком емейлов? они у тебя все форвардятся на мастер почту которая открыта на рабочем устройстве или как?

  Развернуть 1 комментарий

@intrstella, я использую fastmail как основную почту. Там такая фича есть из коробки: https://www.fastmail.help/hc/en-us/articles/4406536368911-Masked-Email

А если вдруг ты используешь 1password, то у них есть бесшованая интеграция: https://1password.com/fastmail/

Оба продукта платные ¯_(ツ)_/¯

  Развернуть 1 комментарий

@intrstella, если у тебя gmail, то он тоже поддерживает это из коробки – для login@gmail.com можно использовать любой login+alias@gmail.com

  Развернуть 1 комментарий

@ekarp, @erhosen сенкс!

  Развернуть 1 комментарий

@ekarp, ...который не принимается третью сайтов или глючит

  Развернуть 1 комментарий

Не подключаться на созвон, где планируешь разговаривать, из опенспейса. Забукать митинг рум обычно не сложно. А если сложно - попросить руководство поставить "телефонные будки" на такой случай

  Развернуть 1 комментарий

Вспомнил ещё одну важну штуку: наличие разных VLAN в домашней сети. Соверменные "умные" вещи любят сканить всё до чего дотянутся и посылать на материнский рорабль, а уж сколько уябзвимостей можно найти в китайских умных выключателях я даже думать не хочу.

  Развернуть 1 комментарий

@slonoed, это правда. Встречал рекомендацию, запихивать все умные устройства в доме в гостевой wifi (есть на каждом роутере), как раз на случай взлома.

  Развернуть 1 комментарий

Скорее для менеджеров, но все же:

  1. Не ставить звонки день в день без согласования. Люди не обязаны реагировать на инвайт моментально, имеют право его не увидеть вообще

  2. У любой встречи есть тема/описание, из которой я (и любой участник) должен понять нафига он там нужен. Если человек этого не понимает, он может не ходить

  3. Если я (руководитель) отказался приходить на встречу, я не оспариваю решений на ней принятых. У меня был шанс, сорян

  4. Вежливость – это хорошо. Ни у кого не отвалится жопа прочитать лишний раз "добрый день" и "спасибо", но человеческое отношение - это важно

  5. Всегда перечитывать письмо перед отправкой. Если письмо подразумевает вовлечение в конфликт, то перечитывать два раза и между ними отдохнуть 10 минут. Социальные связи быстро рвутся, но сложно наращиваются

  6. На письмо с запросом/вопросом/набросом нужно ответить до конца рабочего дня (если после его прихода до конца дня прошло хотя бы 2 часа). В нем не обязательно решение, но должна быть реакция

  7. Если до чего-то договорились, но не зафиксировали в постмите, то этой договоренности не было. Если задачу обсудили на встрече, но не поставили в таск-трекер/почту, то задачи не было. Без исключений

  8. Любое письмо/сообщение отправленное в нерабочее время в личные каналы связи может остаться без ответа навсегда. Не ответственность получателя его бережно хранить до понедельника, ставить себе напоминалки и пересылать куда-то

  9. Для клиентских менеджеров у меня было правило – задачи из почты первичны к исполнению. Почта – основной канал коммуникации. Желающие обойти на повороте очередь, строчащие во все мессенджеры разом, рискуют своей очереди не дождаться вообще (но тут у всех свои правила конечно)

  10. Очевидное, но часто забываемое. Твои сотрудники – главные люди в компании. Не клиенты, не партнеры, не налоговый инспектор. Если кто-то из внешних контрагентов пытается вести себя с твоими сотрудниками как мудак, ты должен встать на их сторону и напомнить человеку о бизнес-этике. Вне зависимости от того, сколько он тебе приносит.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
  • Второй аккаунт в телеге для разовых переписок/мутных знакомств/диллеров/etc
  • Не использовать один и тот же никнейм в разных соц. сервисах, от OSINT никуда не деться, но хоть не так очевидно будет
  Развернуть 1 комментарий

@yumadbro,

Не использовать один и тот же никнейм в разных соц. сервисах

Похоже мне уже поздно..

  Развернуть 1 комментарий

Тут уже многое хорошее понаписали. Добавлю про работу.
Рабочий комп для работы, личный для личного. Никакого пересечения по софту с авторизацией.
Правда есть исключения: неважный приложения. Например на рабочем компе есть аккаунт личного Spotify.
Так же к рабочим вещая меньше требований, потому могу открыть рабочий слак в личном браузере, если очень надо. Но никаких телеграмов на рабочем компе или логина в почту.

  Развернуть 1 комментарий

@slonoed, я понимаю, что мы тут обмениваемся опытом и я ни в коем случае не имею цели спорить лично с твоим опытом, просто докину свой в твою ветку, ибо он ровно противоположный.

Два года назад я вместе с супругой отказались от личных компьютеров и перешли на ноутбуки от наших работодателей. С тех пор ни разу не пожалели. Наоборот — сплошные плюсы:

  1. Не нужно тратить деньги на покупку своего железа и софта. Хороший Мак стоит 2000 евро, срок жизни у него — пусть 4 года, экономия по 500 евро в год. Для пары — 1000 евро. Для айтишников вроде бы и небольшая экономия, но тыща евро в год на дороге не валяются. Плюс доступ к некоторому количеству полезного софта от работодателя.
  2. Нет проблем с безопасностью: я считаю, что работодатель в среднем совершенно не хуже меня (а скорее всего даже лучше) позаботиться о безопасности рабочего места. Да, я не могу поставить совершенно любой софт (например, запрещен софт для майнинга крипты) — но мне он и не нужен. В остальном — я могу ставить любой софт, заходить на любые сайты, а софт мониторинга скажет мне, если я что-то делаю не так.
  3. Экономия времени за счёт аутсорсинга обновлений и обслуживания: я совершенно ничего не делаю для того, чтобы комп продолжал работать. Расплачиваюсь я только тем, что самые новые версии MacOS приезжают с примерно месячным запозданием.

Разделение личного и рабочего пространств организуется через логаут из одной учётки и логин в другую.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

@MrSparkline, на мороз сейчас в Европе со дня сложно выставить, будет предупреждение за 1-3 месяца. Достаточно, чтобы решить вопросик. Ну и часто работодатель оставляет старое железо уволенному сотруднику.

  Развернуть 1 комментарий

@zahhar, а какие-нибудь garden leave с мгновенным отрубанием доступов и требованием вернуть оборудование совсем не практикуются? Формально трудоустройство продолжается, зарплата идёт, виза есть, просто рабочие обязанности обнулены и запрещено появляться в офисе и контактировать с коллегами.

В Великобритании точно такое видел в контрактах. Пример кроме увольнения: если идёт какое-нибудь дисциплинарное расследование.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

@zahhar, а мне кажется наш опыт не противоречив. Тут только предпочтения и риски.

Я ведь твой подход понимаю, раньше точно так же делал. Продавал ноут когда устривался на работу, покупал, когда увольнялся. А если работать в стартапе, где на ноут нет никаких MDM, то считай получаешь бесплатный личный ноут, на котором ещё и работаешь. В поездках так вообще хорошо: один удобный девайс на всё. И главное не так паришься за его целостность.

Раскрою чутка почему я поменял свой подход и зачем разделяю ноутбуки.

Сначала субъективные:

  1. Разное железо отвечающее разным нуждам. На работе у меня 16 дюймов мак, а личный 14.
  2. Разделение софта (особенно касается версий). На рабочем маке у меня глобально стоят всякие nodejs, python, go. Именно тех версий, которые нужны для работы. Плюс на рабочем я не парюсь: если доки говорят поставить софт такой то версии, то уязвимости не моя трабла. На домашнем я стараюсь не выпускать вещи из докера и вообще аккуратен.
  3. Разделение рабочего пространства. Рабочий ноут почти всегда подцеплен к KVM, а свой я могу таскать по дому. При это когда рабочий день закончился, я делаю вид, чтоб рабочего ноута нет, а утром нажав кнопку возвращаюсь к тому же состоянию, что и до того. Так же это помогает, если надо быстро сделать, чтото на домашнем во время работы.
  4. Разделение ресурсов. Я могу запустить на одном компе долгий процесс и второй не будет страдать от потери ресурсов.

Теперь объективные (во многом обусловлены корпорацией, в стартапе из трёх человек не так актуально):

  1. Компания полностью контролирует ноут. Могут заблочить при увольнении, а могут и по ошибке. Могут получить доступ к данным. Для меня это лишнаяя точка отказа и атаки.
  2. Я не могу бекапить рабочий ноут в свою time machine. Бэкапить другими способами надо аккуратно, чтоб не сделать утечку рабочих данных туда, где им быть нельзя
  3. На рабочем компе залочены некоторые ресурсы. Это легко обходится, но может быть расценено негативно.
  4. На рабочем компе другие (тупые) политики по длине пароля, обновлениям и прочим.
  5. Имея доступ к рутовому паролю можно менять пароль айклауда (наверное там можно защититься как то)
  6. Если атакая на компанию произойдёт из-за личного софта или действий, то за это можно огрести самому.
  7. Всё что сделано с использованием рабочего компа компания может отсудить.

В дополнение скажу, что и сетки у меня разделены по VLAN, чтоб рабочий комп жил в изоляции и мог разве что на принтер напечатать.

  Развернуть 1 комментарий

@slonoed,

Всё что сделано с использованием рабочего компа компания может отсудить.

Я слышал байку ещё смешнее: если компания компенсирует домашний интернет, то тоже может. Потому что "разработано с использованием ресурсов компании".

  Развернуть 1 комментарий

@dottedmag, так а в чём тут проблема? Ну уйдёт и уйдет, что в этом такого?

Злонамеренный товарищ майор не получит доступа к моему банковскому счёту или почте, потому что даже если предположить, что на корпоративном компе стоял кейлоггер и все пароли утекли, то есть MFA ещё.

А если будет серьёзный замес — то придут и с ордером твой личный комп точно так же заберут.

Ну серьёзно — единственная причина, почему кто-то может хотеть себе личный комп — если компания не предоставляет тот, который нужен. Скажем, хочешь работать на маке, а в компании только винды. Или хочешь мак 16", а фирма выдаёт маки 14".

  Развернуть 1 комментарий

@yeputons, garden leave с окирпичиванием компа теоретически возможен, но я к нему отношусь как к риску кражи компа.

То есть я просто пойду в ближайший Эпл Стор, куплю там себе ноут какой мне нужен и за час разверну себе всё своё рабочее окружение.

Вот серьёзно, от утраты телефона проблем потенциально гораздо больше.

  Развернуть 1 комментарий

@slonoed, резонные пункты — согласен, каждый следует рассматривать как риск и определять, готов ли ты его принять, либо есть способ снизить или переадресовать риск.

Касательно пункта про «Всё что сделано с использованием рабочего компа компания может отсудить.» — верно.

Однако, это снова всего лишь риск. Для меня — пренебрежительно малый. Я наоборот, всегда когда делаю что-то нерабочее, рассматриваю своего работодателя как инвестора или партёра в любых своих начинаниях. Ну и конечно если я перестану его рассматривать, а захочу сделать что-то отдельно — куплю уж тогда отдельный комп.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

@MrSparkline, хорошее дополнение. Но так вышло, что хобби и работа у меня вокруг программирования.

  Развернуть 1 комментарий

@zahhar, ну да, у каждого разная толлерантность к рискам. И главное тут не просто толлератность к рискам: тут зачастую удобство против рисков. И на этой шкале каждый размещается как хочет.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

@dottedmag, почему ты считаешь, что какие-то частные материалы будут опубликованы судом? Я не скажу за все юрисдикции мира, но в Европе опять же все материалы проходят триаж и к делу приобщаются только релевантные.

То есть да, если комп работодателя был использован для монтирования видосов на порнхаб, то есть риск, что все нюдсы без разбора чьи они станут материалами дела. В остальном - не все так плохо.

В то же время наличие своего девайса не является панацеей в судебных тяжбах - в зависимости от ситуации могут за грести все устройства, до которых дотянуться (при наличии ордера или что там нужно в конкретной юрисдикции)

Ну и тут конечно снова вопрос о риск менеджменте и удобствах.

  Развернуть 1 комментарий

@zahhar, Я в большинстве с тобой согласен. И при этом перед глазами стоит последний инцидент в LastPass, где сотрудник был взломан через комп, на котором был левый софт, не относящийся к работе.

  Развернуть 1 комментарий

@Tim, разделение рабочего и личного компов, если при этом на рабочий можно устанавливать любую дрянь безконтрольно, скорее всего лишь оттянуло бы момент взлома.

  Развернуть 1 комментарий

@slonoed, согласен с Захаром - у меня такой же опыт. Только у меня личный комп (от рабочего отказываюсь), работа вся на нем же и отделена только отдельной группой закладок для удобства, последние 3 года никаких проблем не было.

Таким образом могу ставить вообще что хочу и никого не спрашивать.

А безопасность и своевременный отзыв доступов - это уже проблема работодателя.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
Andrey Oshemkov IT-предприниматель 4 мая 2023

Использовать бекапы на отдельный диск или устройство: при этом можно использовать самые простые NAS (даже без RAID) и самые дешевые диски, если у вас настроена пара независимых бекапов.

С компьютера я использую ежедневный бекап на внешний SSD (который всегда можно вынуть из компьютера и забрать с собой), плюс бекап на два подключенных по сети QNAP D1. В качестве второй точки резервирования можно использовать облако.

Почему на NAS для бекапов не нужен RAID? По большому счёту это просто пустая трата денег: диски успевают устареть за несколько лет, и при выходе из строя одного диска найти ему пару будет сложно, при развале рейда вам придётся его чинить, есть риск выхода из строя железки целиком, то есть на RAID нельзя полагаться в полной мере, ну и главное — непрерывность работы бекап-сервера не критична (особенно когда их у вас два), так что будет достаточно времени, чтобы просто выкинуть старый диск и настроить новый.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
Aleksei Shabanov Deep Learning | Computer Vision | Math | Teaching 27 апреля 2023

А кто может объяснить, что именно может произойти, если использовать публичный wi-fi?

Интересно узнать подробности.

  Развернуть 1 комментарий

@lexibender, атака man in the middle и перехват нешифрованного трафика, да и с шифрованным можно всякого нахомутать при наличии желания

  Развернуть 1 комментарий

@lexibender, перехват трафика, копирование куки, человек всередине, отслеживание хостов, куда подключается пользователь, перехват данных, передающихся в открытом доступе.
Еще можно попасть под сетевое сканивание и выдать отпечаток компа, завсетить свои открытые порты и проги, которые бесконтрольно ломятся в интернет

  Развернуть 1 комментарий

@Spirtel, ну и уточним хардкор про "Мэн из Зе миддл" - сосед по сети представится шлюзом, и будет ловить весь траффик, может подменить страничку джимейла например и ловить пароли в чистом виде.

  Развернуть 1 комментарий

@madw00dman, адрес шлюза прописывается DHCP сервером при назначении IP адреса. Интересно, как злоумышленник может обойти (обмануть) этот механизм?

  Развернуть 1 комментарий

@evgeniyp, если в сеть заходит новый хост и шлёт броадкастом дхцп-реквест, то злоумышленник (в будущем МИМ) может ответить быстрее и представиться шлюзом. Второй вариант - когда хост шлёт Арп-запрос "кто тут шлюз", мим отвечает "я".
Это первое, что делают пентестеры, как только попадают в сеть.

  Развернуть 1 комментарий

@evgeniyp, можно принудительно разорвать соединение с роутером, а при повторном подключении DHCP злоумышленника раздаст то что надо

  Развернуть 1 комментарий

@madw00dman, а HTTPS или даже HSTS не помогают?

  Развернуть 1 комментарий

@evgeniyp, arp spoofing поможет прикинуться другим хостом, подменять у тебя настройку не надо.

  Развернуть 1 комментарий

@yeputons, частично. Понятно, что прикинуться любым сайтом с SSL он не сможет, но это и не нужно, опять таки - сделать копию джимейла со своим сертификатом наверное можно (не настолько спец в сертификатах). Основной вектор такой атаки - корпоративные сети. Идёшь ты на файл-сервер или эксчейндж, а вместо этого попадаешь к злоумышленнику, он тебя запрашивает доменный логин/пароль и получает их в чистом виде.

  Развернуть 1 комментарий

@madw00dman, Сертификат будет подписан левым удостоверяющим центром, браузер это мгновенно забанит, для некоторых сайтов даже кнопки «всё равно продолжить» не покажет.

А с корпоративными сетями на старых протоколах и всем остальным нешифрованным — хороший кейс, да, спасибо

  Развернуть 1 комментарий
Илья Чудный Digital forensics aka комплюхтерный криминалист 4 мая 2023

Почаще выключай все гаджеты. Обычная перезагрузка не всегда равна холодному старту. Выключил, подождал пару минут, включил. Уменьшает вероятность багов, зависаний, безфайловая малварь вымирает.

Дефолтный браузер в системе != основной. Например, дефолтным выставлен Chrome с запуском в рижиме инкогнито. В нём же выполняется неважный сёрфинг. И в нём же будут открываться все нажатые ссылки в других программах. Неплохой оберег от перехвата сессий, аккаунтов и т.п. Основной браузер пусть будет Firefox. В нём отрываются только чувствительные ресурсы типа банкинга, соц сетей и т.п.

Баян–банальщина, но обновляй всё что можно. Сейчас стало сильно лучше с автообновлениями, но далеко не всегда они устанавливаются вовремя. Раз в пару недель проверь ручка обновления ОС и основных приложений.

  Развернуть 1 комментарий

Ребята! Всем спасибо, кто откликнулся. Получился классный свод правил для коммуникаций. Можете, пожалуйста, добавить специфики по работе разработчиков и администраторов?
Ит-гигиена по работе с гитом, системами сборки кода, самим кодом; по работе с гипервизовами, куберами и прочими консолями. Особенно интересно, если работает с ML, всякими системами распознавания и чатамиГПТ.

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

@Spirtel, в оригинальном посте было про гейминг конвеншон - да, он должен быть читаемым и запоминаемым. Не только с виртуалками, со всей инфраструктурой.
Отсутствие суперадмина для всего, RBAC тот же.

  Развернуть 1 комментарий

@madw00dman, сейчас есть ещё тренд последних пары лет: ABAC. Доступ в зависимости от атрибутов (таги, и прочее)

С супер админом соглашусь, мы делали особые роли в AWS, которые были доступны некоторым юзерам, и которые давали доступ в определённые области инфры. По умолчанию все пользователи бесправные.

  Развернуть 1 комментарий

Могу повторяться, но сходу не нашел в треде упоминание

Никогда не спрашивать на созвонах «видно мой экран?»

  Развернуть 1 комментарий
🕵️ Юзер скрыл свои комментарии от публичного просмотра...
🕵️ Юзер скрыл свои комментарии от публичного просмотра...

@chebur, лучше спросить, чем 10 минут рассказывать на фоне белого экрана (в онлайн-лекциях такое часто может быть).

  Развернуть 1 комментарий

@nightlord189, ну или можно предупредить что «я сейчас буду шарить, если что-то пойдет не так — маякните»

Но только не спрашивать «видно?»

  Развернуть 1 комментарий

@chebur, а потом, если ничего не видно - непонятно, это спикер еще не включил шеринг, или все-таки что-то не работает, маяковать или еще нет?

В общем, по моему мнению, этот момент весьма субъективно надуманный и куда лучше (и никому не мешает) как раз разок спросить. Тем более форма уже привычная за несколько лет созвонов и удаленок.

  Развернуть 1 комментарий

@nightlord189, Разве не наоборот? За несколько лет удаленок это уже начинает подбешивать

Ну на самом деле, сколько раз шаринг не сработал?

Я понимаю, телега глючит итд, это очень неприятно.

Но у меня другой опыт с другими инструментами и это очень приятно, когда презентер не задает лишних не нужных вопросов и сразу переходит к делу

  Развернуть 1 комментарий

@dmitry_nesterenko,

ну или можно предупредить что «я сейчас буду шарить, если что-то пойдет не так — маякните»

и чем же оно отличается от "видно?"

  Развернуть 1 комментарий

😱 Комментарий удален его автором...

  Развернуть 1 комментарий

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб