Делимся правилами ИТ-гигиены для современных айтишников

@herman, представил себе синк распределенной команды. Ранее утро, программист сидит в далёких полях, где блеют овцы и шумит ветер.

@EugeneYakshin, сидел так однажды на даче, было кайф

@nightlord189, да в принципе никаких, главное, чтоб ничего личного не попало, типа nsfw подписок в телеге или уведомлений там)

@nightlord189, если показывать презу - то нет возможности передачи управления или просмотра в асинхронном режиме

@Spirtel, чет я либо туплю, либо что за "передача управления" или "просмотр в асинк режиме"? ни разу такого не видел.

если ты про то, что посередине презы другой захотел зашарить свой экран - ну так вроде же можно, если права есть?

или типа зритель хочет потыкать твою же презу? тут есть старые добрые "Следующий слайд плз" и "Предыдущий слайд плз".

@nightlord189, это в зависимости от инструмента по-разному реализовано. В МсТимс есть такая фича: докладчик запускает презентацию и пока его слушаю, могу всю пролистать, либо какой-то слайд читать дольше, чем остановился на нем докладчик.
И можно не отвлекать докладчика, а потом вопросы задавать. Для обучения очень нужная штука.

Про перехват управления это другое, но тоже нужное.

@nightlord189, кстати, если у тебя 4к монитор, а у коллег ноут, то если шарить весь экран - у них будет всем мелко

@kurmanov, когда у тебя на работе гугл почта, гугл календарь, гугл мит и гугл доки, то особо не спрячешься :)

@apvlasov, Так этот аргумент можно и вернуть. Если в компании всё завязано на Office 365, в чём проблема с docx?

@herman, думаю что:

1. если куплена корпоративная лицензия и использование любого сервиса легитимно - значит все ок
2. в сообщении речь идет о документе с совместным доступом, а не файлом, чтобы можно было при звонке работать в едином пространстве или заранее написать комментарии

@apvlasov, наверное имелось в виду что-то типа "не ставить встречи день-в-день за 15 минут до её начала". А если уж такая срочность возникла (мало ли бывает), продублировать адресно в мессенджер и получить ок что человек увидел.

@apvlasov, если слот в календаре пустой, то это не значит, что человек может сразу же включиться в решение твоего вопроса. Многим тяжело переключаться между задачами.

Например, человек мог запланировать три часа заниматься задачей, посреди которой его кто-то решает выдернуть на конф на "пятнадцать минут", которые перетекут в сорок пять - час. В такой ситуации он не успеет сделать свои запланированные дела. И ему придется тратить время на концентрацию на задаче дважды.

Если вопрос действительно простой и короткий, то его наверняка можно решить в мессенджере. Понятно, что бывают разные ситуации. Но, имхо, кидать ультимативно встречи в календарь день-в-день без предварительного "ок" и уточнения, а что тебе нужно то от коллеги - странно, и, может, не очень по-человечески. Если вопрос к коллеге у тебя, то ты же всё таки должен попросить его помочь и уточнить, а когда ему удобно тебе помочь, а не требовать срочного включения здесь и сейчас

@apvlasov, если обоим интересно решить проблему быстро, то это норм.
Если же ты пытаешься закрыть какую-то свою потребность/недосмотр (забыл поставить, не запланировал), а второй стороне неудобно, то не ок.

Ты прав в том, что "получатель" встречи сам отвечает за своё время и волен отклонить встречу/закрыть календарь, но

• часто люди из нежелания портить отношения не отказывают, но минус в карму тебе мысленно засчитывают
• не все умеют в тайм-менеджмент/управления ожиданиями, и просто отдаются потоку внешних раздражителей
• в тебя потом в самого в ответ полетят такие коммуникации когда будет неудобно, а ты уже не сможешь отказать

@evgeniyp, когда ты в рамках одного рабочего дня назначаешь встречу. Например, я в 9:00 закидываю тебе встречу на 15:00 в свободный слот. Потому что это ломает день тому, кто встречу получает.

Это больше касается кейсов, когда назначаешь встречу малознакомым людям. Но и внутри команды это тоже хороший тон, можно планировать день заранее, а не реагировать на внешние раздражители

@gramlin, а что такое "момы"?

@elushnikova, MoM или minutes of meeting. Саммори о чём поговорили. Некоторые считают, что их надо слать только если есть конкретные экшен айтомы, но на мой взгляд это расхолаживает

@gramlin, спасибо!

@marinegor,

@MrSparkline, AAAAAAAAAAAAAA

@Spirtel, ну и уточним хардкор про "Мэн из Зе миддл" - сосед по сети представится шлюзом, и будет ловить весь траффик, может подменить страничку джимейла например и ловить пароли в чистом виде.

@madw00dman, адрес шлюза прописывается DHCP сервером при назначении IP адреса. Интересно, как злоумышленник может обойти (обмануть) этот механизм?

@evgeniyp, если в сеть заходит новый хост и шлёт броадкастом дхцп-реквест, то злоумышленник (в будущем МИМ) может ответить быстрее и представиться шлюзом. Второй вариант - когда хост шлёт Арп-запрос "кто тут шлюз", мим отвечает "я".
Это первое, что делают пентестеры, как только попадают в сеть.

@evgeniyp, можно принудительно разорвать соединение с роутером, а при повторном подключении DHCP злоумышленника раздаст то что надо

@madw00dman, а HTTPS или даже HSTS не помогают?

@evgeniyp, arp spoofing поможет прикинуться другим хостом, подменять у тебя настройку не надо.

@yeputons, частично. Понятно, что прикинуться любым сайтом с SSL он не сможет, но это и не нужно, опять таки - сделать копию джимейла со своим сертификатом наверное можно (не настолько спец в сертификатах). Основной вектор такой атаки - корпоративные сети. Идёшь ты на файл-сервер или эксчейндж, а вместо этого попадаешь к злоумышленнику, он тебя запрашивает доменный логин/пароль и получает их в чистом виде.

@madw00dman, Сертификат будет подписан левым удостоверяющим центром, браузер это мгновенно забанит, для некоторых сайтов даже кнопки «всё равно продолжить» не покажет.

А с корпоративными сетями на старых протоколах и всем остальным нешифрованным — хороший кейс, да, спасибо

@madw00dman, сейчас есть ещё тренд последних пары лет: ABAC. Доступ в зависимости от атрибутов (таги, и прочее)

С супер админом соглашусь, мы делали особые роли в AWS, которые были доступны некоторым юзерам, и которые давали доступ в определённые области инфры. По умолчанию все пользователи бесправные.

@dottedmag, как происходит процедура смены паролей тогда? Ручками в каждом конфиге?

😱 Комментарий удален его автором...

@dottedmag,

всего лишь сдвигает место, где пароль захардкожен

Зависит от способа внедрения этой переменной в окружение. Если оно лежит где нибудь в HC Vault или Consul, или генерится на лету, как динамический доступ в AWS

Тут конечно встаёт вопрос версионирования и совместимости конфигов между версиями софта.

@zahhar, это хороший способ распределения ресурсов, но учитывается ли риск выхода на мороз?

@MrSparkline, на мороз сейчас в Европе со дня сложно выставить, будет предупреждение за 1-3 месяца. Достаточно, чтобы решить вопросик. Ну и часто работодатель оставляет старое железо уволенному сотруднику.

@zahhar, а какие-нибудь garden leave с мгновенным отрубанием доступов и требованием вернуть оборудование совсем не практикуются? Формально трудоустройство продолжается, зарплата идёт, виза есть, просто рабочие обязанности обнулены и запрещено появляться в офисе и контактировать с коллегами.

В Великобритании точно такое видел в контрактах. Пример кроме увольнения: если идёт какое-нибудь дисциплинарное расследование.

@zahhar, это хорошо)

😱 Комментарий удален его автором...

@zahhar, а мне кажется наш опыт не противоречив. Тут только предпочтения и риски.

Я ведь твой подход понимаю, раньше точно так же делал. Продавал ноут когда устривался на работу, покупал, когда увольнялся. А если работать в стартапе, где на ноут нет никаких MDM, то считай получаешь бесплатный личный ноут, на котором ещё и работаешь. В поездках так вообще хорошо: один удобный девайс на всё. И главное не так паришься за его целостность.

Раскрою чутка почему я поменял свой подход и зачем разделяю ноутбуки.

Сначала субъективные:

1. Разное железо отвечающее разным нуждам. На работе у меня 16 дюймов мак, а личный 14.
2. Разделение софта (особенно касается версий). На рабочем маке у меня глобально стоят всякие nodejs, python, go. Именно тех версий, которые нужны для работы. Плюс на рабочем я не парюсь: если доки говорят поставить софт такой то версии, то уязвимости не моя трабла. На домашнем я стараюсь не выпускать вещи из докера и вообще аккуратен.
3. Разделение рабочего пространства. Рабочий ноут почти всегда подцеплен к KVM, а свой я могу таскать по дому. При это когда рабочий день закончился, я делаю вид, чтоб рабочего ноута нет, а утром нажав кнопку возвращаюсь к тому же состоянию, что и до того. Так же это помогает, если надо быстро сделать, чтото на домашнем во время работы.
4. Разделение ресурсов. Я могу запустить на одном компе долгий процесс и второй не будет страдать от потери ресурсов.

Теперь объективные (во многом обусловлены корпорацией, в стартапе из трёх человек не так актуально):

1. Компания полностью контролирует ноут. Могут заблочить при увольнении, а могут и по ошибке. Могут получить доступ к данным. Для меня это лишнаяя точка отказа и атаки.
2. Я не могу бекапить рабочий ноут в свою time machine. Бэкапить другими способами надо аккуратно, чтоб не сделать утечку рабочих данных туда, где им быть нельзя
3. На рабочем компе залочены некоторые ресурсы. Это легко обходится, но может быть расценено негативно.
4. На рабочем компе другие (тупые) политики по длине пароля, обновлениям и прочим.
5. Имея доступ к рутовому паролю можно менять пароль айклауда (наверное там можно защититься как то)
6. Если атакая на компанию произойдёт из-за личного софта или действий, то за это можно огрести самому.
7. Всё что сделано с использованием рабочего компа компания может отсудить.

В дополнение скажу, что и сетки у меня разделены по VLAN, чтоб рабочий комп жил в изоляции и мог разве что на принтер напечатать.

@slonoed,

Всё что сделано с использованием рабочего компа компания может отсудить.

Я слышал байку ещё смешнее: если компания компенсирует домашний интернет, то тоже может. Потому что "разработано с использованием ресурсов компании".

@dottedmag, так а в чём тут проблема? Ну уйдёт и уйдет, что в этом такого?

Злонамеренный товарищ майор не получит доступа к моему банковскому счёту или почте, потому что даже если предположить, что на корпоративном компе стоял кейлоггер и все пароли утекли, то есть MFA ещё.

А если будет серьёзный замес — то придут и с ордером твой личный комп точно так же заберут.

Ну серьёзно — единственная причина, почему кто-то может хотеть себе личный комп — если компания не предоставляет тот, который нужен. Скажем, хочешь работать на маке, а в компании только винды. Или хочешь мак 16", а фирма выдаёт маки 14".

@yeputons, garden leave с окирпичиванием компа теоретически возможен, но я к нему отношусь как к риску кражи компа.

То есть я просто пойду в ближайший Эпл Стор, куплю там себе ноут какой мне нужен и за час разверну себе всё своё рабочее окружение.

Вот серьёзно, от утраты телефона проблем потенциально гораздо больше.

@slonoed, резонные пункты — согласен, каждый следует рассматривать как риск и определять, готов ли ты его принять, либо есть способ снизить или переадресовать риск.

Касательно пункта про «Всё что сделано с использованием рабочего компа компания может отсудить.» — верно.

Однако, это снова всего лишь риск. Для меня — пренебрежительно малый. Я наоборот, всегда когда делаю что-то нерабочее, рассматриваю своего работодателя как инвестора или партёра в любых своих начинаниях. Ну и конечно если я перестану его рассматривать, а захочу сделать что-то отдельно — куплю уж тогда отдельный комп.

😱 Комментарий удален его автором...

@slonoed,

Всё что сделано с использованием рабочего компа компания может отсудить.

Не все - еще есть должностные обязанности, все что за их рамками не принадлежит компании (программист может написать роман, и у работодателя не может быть никаких претензий на авторские права)

@MrSparkline, хорошее дополнение. Но так вышло, что хобби и работа у меня вокруг программирования.

@zahhar, ну да, у каждого разная толлерантность к рискам. И главное тут не просто толлератность к рискам: тут зачастую удобство против рисков. И на этой шкале каждый размещается как хочет.

@slonoed, я думаю, это от области программирования зависит, и формулировок в должностной инструкции, хотя свой компьютер удобнее юридических выкрутасов (и скорее всего - дешевле)

@dottedmag, почему ты считаешь, что какие-то частные материалы будут опубликованы судом? Я не скажу за все юрисдикции мира, но в Европе опять же все материалы проходят триаж и к делу приобщаются только релевантные.

То есть да, если комп работодателя был использован для монтирования видосов на порнхаб, то есть риск, что все нюдсы без разбора чьи они станут материалами дела. В остальном - не все так плохо.

В то же время наличие своего девайса не является панацеей в судебных тяжбах - в зависимости от ситуации могут за грести все устройства, до которых дотянуться (при наличии ордера или что там нужно в конкретной юрисдикции)

Ну и тут конечно снова вопрос о риск менеджменте и удобствах.

@zahhar, Я в большинстве с тобой согласен. И при этом перед глазами стоит последний инцидент в LastPass, где сотрудник был взломан через комп, на котором был левый софт, не относящийся к работе.

@Tim, разделение рабочего и личного компов, если при этом на рабочий можно устанавливать любую дрянь безконтрольно, скорее всего лишь оттянуло бы момент взлома.

@intrstella, я использую fastmail как основную почту. Там такая фича есть из коробки: https://www.fastmail.help/hc/en-us/articles/4406536368911-Masked-Email

А если вдруг ты используешь 1password, то у них есть бесшованая интеграция: https://1password.com/fastmail/

Оба продукта платные ¯_(ツ)_/¯

@intrstella, если у тебя gmail, то он тоже поддерживает это из коробки – для login@gmail.com можно использовать любой login+alias@gmail.com

@ekarp, @erhosen сенкс!

@ekarp, ...который не принимается третью сайтов или глючит

@dottedmag, Его и так всегда видно по умолчанию, не надо заставлять всех размьючиваться чтобы это подтвердить

😱 Комментарий удален его автором...

@dottedmag, сочувствую

Все еще не повод спрашивать. Тебе все равно скажут если с шарингом что-то пошло не так

@chebur, видел ситуации, когда говорящий долго рассказывал и показывал, а остальные долго не понимали, потому как пошарил неправильное окно. Over communication это хорошая идея

@slonoed, у меня так было, минут 5 что-то рассказывал, а потом мне вопрос "Николай, ты что-то показываешь? Мы не видим."🤦
С тех пор лучше спрошу разок.

@nightlord189, ну или можно предупредить что «я сейчас буду шарить, если что-то пойдет не так — маякните»

Но только не спрашивать «видно?»

@chebur, а потом, если ничего не видно - непонятно, это спикер еще не включил шеринг, или все-таки что-то не работает, маяковать или еще нет?

В общем, по моему мнению, этот момент весьма субъективно надуманный и куда лучше (и никому не мешает) как раз разок спросить. Тем более форма уже привычная за несколько лет созвонов и удаленок.

@nightlord189, Разве не наоборот? За несколько лет удаленок это уже начинает подбешивать

Ну на самом деле, сколько раз шаринг не сработал?

Я понимаю, телега глючит итд, это очень неприятно.

Но у меня другой опыт с другими инструментами и это очень приятно, когда презентер не задает лишних не нужных вопросов и сразу переходит к делу

@dmitry_nesterenko,

ну или можно предупредить что «я сейчас буду шарить, если что-то пойдет не так — маякните»

и чем же оно отличается от "видно?"

@Programistich, согласен, но архивы обычно и не на айфоны отправляют)

@grbit, чет ни разу таких проблем не ловил

@nightlord189, sweet summer child =)
Я ловил.

Прям счас вбил в гугл zip unicode
https://www.reddit.com/r/Windows11/comments/rjbkmc/cant_believe_windows_still_cant_zip_files_with/

Если например всё сжато 7zip и разжато 7zip, то юникод будет нормально работать. Но можно ведь наткнуться на что угодно. Давайте тогда 7z форсить, опен сорс, все могут поставить, дальше уже хочешь 7z, хочешь tar.gz, хочешь rar

@grbit, с кодировкой названий файлов и zip может подкинуть проблем, особенно когда запаковано на маке, а распаковать надо на винде. Единственное рабочее решение, которое попадалось, — разархиватор unar (не путать с unrar) https://theunarchiver.com/command-line. Отсюда на самом деле вытекает правило: стараться не использовать кириллицу в названиях файлов, особенно в архивах, которые вы отправляете неограниченному кругу лиц с неизвестными вам технологиями на рабочих компьютерах.

@ybeltrikov, спасибо, хорошее дополнение. Залинкуем тогда, https://untools.co/minto-pyramid

@TiraelSedai, там на мой взгляд ребята перегибают. Считают, что воопрсы типа "Тут есть кто-то шарящий в кубере" неуместным мета-вопросом. В чатик экспертов по куберу - конечно. А в чатике просто девопсов - уже почему бы и нет. Короче, на мой взгляд они душнят.

@zahhar, ну почему душнят?

Как минимум, один вопрос будет задан в любом случае, либо "есть кто шарит?" либо "кто сталкивался с проблемой X?"

Собственно, почему бы сразу не начинать с проблемы? Даже если никто не шарит, вопрос просто повиснет в воздухе.

В плохом случае, без ответа будет висеть, либо "есть кто шарит?" либо "кто сталкивался с проблемой X?"

@zahhar, тоже не думаю, что это душнилово. Сам по себе вопрос не нужен. Либо его сразу дополнять проблемой.

Есть кто шарит в кубере? У меня тут конфиг выдает ошибку <ошибка про которую не знает гугл>, если есть у кого идеи. как решить, помогите пожалуйста.

Это еще следует делать не только с т.з. уменьшения мусора, но и потому, что часто те кто шарит, так не считают )) Синдром самозванца чаще развит у тех, кто знает ответ ) А вот описание проблемы сразу привлечет того, кто знает как ее решить, даже если он не считает себя шарящим в стеке в целом.

@zahhar, всё ещё считаю что без минимального контекста это бесполезный вопрос даже в чате где несколько девопсов

@madw00dman, зависит конечно от техники, у меня не на одном ноутбуке нет стандартных.

@madw00dman, на маках нет. Шторки рулят, горячо плюсую.

@ephimoff, с этим есть несколько моментов.

Накладка может быть полезна именно в случае когда не хотел включать камеру, но она случайно включена. Второй вариант это идея о том, что какое-то ПО в ноутубке или телефоне, вообще может само что-то записывать и куда-то передавать.

А так, если рабочий звонок то я согласен по поводу камер — желательно включать. Там где работаю, с началом удаленной работы часто включал. Потом как-то это все сошло на нет.

И ещё есть звонки не рабочие и на которых непринято включать камеры, скажем какие-то полуанонимные сообщества.

@ksur, Понял, спасибо.
Где то проскальзывало что в современных маках это на хардварном уровне невозможно - записать видео без ведома пользователя. Но может я не так помню

@MrSparkline, в смысле вызывали к начальству изза неотправленного черновика?

@anatolt, суть в том, что мне за незлое (как я думал) письмо прилетело, а за злое что было бы - даже не знаю

@EugeneYakshin, Потому что я показываю пример. Я показываю что я engaged и не занимаюсь параллельно чем то еще. Что если я уже делаю звонок то я отношусь к нему серьезно. Я считаю что лучше вообще не звонке не присутствовать чем «полу-присутствовать».
Выключенная камера на звонке это как уставиться в телефон во время обычной face-to-face встречи.

@ephimoff, Ну хз. Мне кажется ты проецируешь свои (полностью понятные мне) заскоки на других. Так можно требовать и руки на столе держать :)
Когда команда распределённая и/или работы/дел до жопы, абсолютно нормально слушать в одно ухо. Редко когда в таких командах после созвона рассылается краткое содержание

@EugeneYakshin, но зачем слушать в одно ухо, когда можно тогда вообще не приходить / не приглашать? Если тебя пригласили на митинг, где надо 30 минут слушать в одно ухо, то надо требовать рассылки meeting minutes, которую можно прочитать за 3 минуты.

@zahhar, Да, мысль с запросом заметок здравая

@zahhar, иногда требуется поучавствовать в процессе или проконтролировать.

@vvzvlad, ну тогда нужно слушать в 2 уха :)