{ "version": "https:\/\/jsonfeed.org\/version\/1.1", "title": "Лайвлупинг, медиапродакшн и все эти ваши компьютеры: заметки с тегом безопационная информасность", "_rss_description": "Заметки по теме информационной безопасности и прочее около-рабочее", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/www.batishchev.ru\/blog\/tags\/bezopacionnaya-informasnost\/", "feed_url": "https:\/\/www.batishchev.ru\/blog\/tags\/bezopacionnaya-informasnost\/json\/", "icon": "https:\/\/www.batishchev.ru\/blog\/pictures\/userpic\/userpic@2x.jpg?1604346823", "authors": [ { "name": "Алексей Батищев", "url": "https:\/\/www.batishchev.ru\/blog\/", "avatar": "https:\/\/www.batishchev.ru\/blog\/pictures\/userpic\/userpic@2x.jpg?1604346823" } ], "items": [ { "id": "3801", "url": "https:\/\/www.batishchev.ru\/blog\/all\/konferenciya-bekon-2026\/", "title": "Конференция БеКон 2026", "content_html": "

Посетил очередную ежегодную конфу по безопасности контейнерных сред БеКон 2026 от Luntry.<\/p>\n

\n\"\"\n<\/div>\n

Ивент растёт год от года, оставаясь ключевым событием страны, фокусирующимся на этой теме. В этот раз появилось разделение на два трека — про технологии и про процессы (или людей), программа разрослась, а условия для участников стали ещё более комфортными.<\/p>\n

Кайфанул, узнал нового, пообедал, встретил старых приятелей, развиртуализировался с коллегами с новой работы, опять же.<\/p>\n

\n
\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n<\/div>\n<\/div>\n

По содержимому — было как всегда много деталей, реального опыта, граблей и полезной инфы, и уже становящийся традиционным Секретный Доклад в финале. Технология матереет, оставаясь довольно сложной в части обеспечения безопасности, и изменения в системе и появляющиеся новые инструменты это двигают в сторону улучшения и упрощения, но — и это моё личное мнение — сама суть контейнеризации оставляет слишком большую поверхность атаки и возможность облажаться администратору, так что лёгкой жизни тут пока не предвидится ни у кого (кроме злоумышленников).<\/p>\n

\n
\n\"\"\n\"\"\n\"\"\n\"\"\n<\/div>\n<\/div>\n

Кстати про облегчение труда — неприятным открытием для меня стало полное отсутствие контекста нейросетей на событии. Я вижу в своих экспериментах как ИИ ловко справляется с задачами редактирования конфигов, кода, контроля и анализа содержимого текстов, как они фигачат программы, конфигурят сетевое оборудование через cli или, например, выполняют задачи системного администрирования в linux и windows. Странно не применять эту магию для написания манифестов, чартов и политик, для контроля и проверки их содержимого, для анализа конфигов и зависимостей, с учетом что из этих текстовиков кубера для админа и состоят чуть менее чем полностью. Но нет, докладов об этом не было, и такое ощущение что пузырь ИИ пролетел мимо кубероводов. Возможно это просто я недонетворкал.<\/p>\n

Всем лофт, посоны!<\/p>\n", "summary": "Посетил очередную ежегодную конфу по безопасности контейнерных сред БеКон 2026 от Luntry", "date_published": "2026-06-05T22:49:16+03:00", "date_modified": "2026-06-05T22:49:29+03:00", "tags": [ "k8s", "TG", "безопационная информасность" ], "image": "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_09.jpg", "_date_published_rfc2822": "Fri, 05 Jun 2026 22:49:16 +0300", "_rss_guid_is_permalink": "false", "_rss_guid": "3801", "_e2_data": { "is_favourite": false, "links_required": [ "jquery\/jquery.js", "fotorama\/fotorama.css", "fotorama\/fotorama.js" ], "og_images": [ "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_09.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_02.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_01.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_03.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_04.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_05.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_06.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_07.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_08.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_10.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_12.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_11.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_13.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_14.jpg", "https:\/\/www.batishchev.ru\/blog\/pictures\/2026_06_05_15.jpg" ] } }, { "id": "3709", "url": "https:\/\/www.batishchev.ru\/blog\/all\/detektim-versiyu-wordpress-bez-registracii-i-sms\/", "title": "Детектим версию WordPress без регистрации и смс", "content_html": "

Пока большие свершения прячутся под NDA, расскажу небольшое ноу-хау про вордпресс.<\/p>\n

\n\"\"\n
Бессмертный девиз всех велосипедостроителей<\/div>\n<\/div>\n

Для выявления уязвимостей вордпресса есть хороший инструмент WPScan<\/a> — тула, которая умеет показать проблемы в компонентах и настройке сайтов на базе WP. Даже с бесплатным тарифным планом Researcher и ограничением в 25 API вызовов в день, на небольших инфраструктурах или в личных целях вполне себе можно уместиться, а для базовой диагностики и ключа апи не надо.<\/p>\n

Но что если по каким-то причинам WPScan вы пользоваться не хотите или не можете, а руками внутрь сайтов ходить неудобно, нельзя или некогда?<\/p>\n

Грубо оценить ситуацию можно по версии ядра движка. Её косвенно, но с достаточной точностью, можно узнать по версиям включаемых в код библиотек и стилей, которые чаще всего доступны в коде страниц (если админ не заморочился этим отдельно). Лучше смотреть в код админки, но можно и на главной странице поймать полезное. Как правило в коде есть какие-то из строчек, по которым версия выявляется, вот подобранный эмпирически список шаблонов (добавьте свои по вкусу):<\/p>\n

\nlogin.min.css?ver=\nl10n.min.css?ver=\nforms.min.css?ver=\nbuttons.min.css?ver=\ndashicons.min.css?ver=\npassword-strength-meter.min.js?ver=\nwp-util.min.js?ver=\nuser-profile.min.js?ver=\nwp-emoji-release.min.js?ver=\nstyle.min.css?ver=\nmeta name=«generator» content=«WordPress \n<\/pre>\n
Смотрим на примере рандомного сайта из интернетов по запросу „блог на WordPress“:<\/p>\n
\n
\n\"\"\n\"\"\n<\/div>\n
Детектор Версии Вордпресса из пластилина и крышечек от колы<\/div>\n<\/div>\n
Собираем всё что нашли, сортируем, выявляем самую старую. А дальше ищем её на ресурсе издателей WordPress — https:\/\/api.wordpress.org\/core\/stable-check\/1.0\/<\/a><\/a>, и смотрим статус.<\/p>\n
\n\"\"\n
Версия 6.3.6 — так себе уже версия!<\/div>\n<\/div>\n
Почему это работает: идущие в комплекте стили и скрипты обычно обновляются вместе с ядром. А если на сайте старое ядро — то скорее всего админы не следят за апдейтами, и обновления плагинов уж тем более не ставят. А значит пришла пора прийти к админам с рекомендациями (или требованиями) обновить всё и засыпать дустом поверх.<\/p>\n
Естественно, всё вышеописанное нужно делать силами роботов с помощью того любимого микроскопа для автоматизации, который у вас под руками, благо кода тут на один экран. В результате у вас получится бесплатный DIY-велосипед в лучших традициях КЭНК-подхода<\/a>. Но лучше, конечно же, использовать нормальные инструменты.<\/p>\n
Слава роботам!<\/p>\n",
            "summary": "Пока большие свершения прячутся под NDA, расскажу небольшое ноу-хау про вордпресс",
            "date_published": "2025-10-15T17:57:59+03:00",
            "date_modified": "2025-10-15T17:57:56+03:00",
            "tags": [
                "TG",
                "безопационная информасность",
                "КЭНК"
            ],
            "image": "https:\/\/www.batishchev.ru\/blog\/pictures\/1669183742217244224.jpg",
            "_date_published_rfc2822": "Wed, 15 Oct 2025 17:57:59 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "3709",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "jquery\/jquery.js",
                    "fotorama\/fotorama.css",
                    "fotorama\/fotorama.js"
                ],
                "og_images": [
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/1669183742217244224.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-10-14-wp.png",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-10-14-wp2.png",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-10-14-636.png"
                ]
            }
        },
        {
            "id": "3562",
            "url": "https:\/\/www.batishchev.ru\/blog\/all\/kurs-devops-dlya-ekspluatacii-i-razrabotki-v-yandeks-praktikume\/",
            "title": "Курс DevOps для эксплуатации и разработки в Яндекс Практикуме",
            "content_html": "
Закончил большой девятимесячный курс про технологии DevOps в Практикуме.<\/p>\n
Ещё лучше понял , что творится под крышечкой в головах у всех этих йуных смузихлёбов-манифестофилов <\/s>  кухню производства веб-приложений. Но это если продолжать юмористически хейтить эту тему<\/a>, а если серьёзно — сейчас расскажу.<\/p>\n
Первое и главное — это колоссальный практический опыт. Курс построен в виде квеста-приключения от лица специалиста, который проходит все этапы развития технологического стека в области разработки и эксплуатации веб-приложения. Это особо ценно, потому что ты постепенно погружаешься и получаешь возможность побывать в разных состояниях реализации подобного проекта, а ещё буквально на себе проходишь эволюцию технологии.<\/p>\n
С позиции стека технологий — в одной точке курса ты побываешь в слабо развитой компании с минимумом инструментов (которая тем не менее уже выдаёт продукт, и с похожей на которую ты вполне можешь столкнуться на реальном рынке), в другой точке — в компании покруче, и так далее. Очень напоминает курсы по программированию и операционкам в институте, где я и память на ферритовых кольцах пощупал, и собственный менеджер памяти для учебной ОС на ассемблере писал. Уже тогда это были неактуальные и скрытые под вареньем прогресса кирпичики технологий — но именно через понимание и буквально трогание руками деталек под капотом формируется комплексный взгляд. Не знаю, насколько такая парадигма ещё актуальна в турбореактивном 21 веке, но моим мозгам так лучше понимается.<\/p>\n
Итоговый перечень попробованных лично на курсе решений довольно обширен, про некоторые я слышал и раньше но руки не дотягивались по ходу работы, а про некоторые — был приятно удивлён существованию таких инструментов. Это тоже плюс: получаешь возможность поэксплуатировать сервисы и решения, которые самостоятельно развернуть было бы отдельной сложной задачей, а тут тебе и из пушки пострелять дали и космолёт поводить, без необходимости собирать их из исходников.<\/p>\n
\n\"\"\n<\/div>\n
Второй плюс (хотя иногда он казался минусом) — качество материалов курса. Студента вовлекают историей, погружают в контекст «как-бы-работы» в команде, за время курса у тебя появляется несколько виртуальных героев-коллег со своими характерами и особенностями. Практические задания вплетены в ткань повествования — например, ты не просто в какой-то момент чинишь систему, а чинишь потому что «дежурный» ночью что-то сделал не то, а смог он сделать это из-за архитектурного просчёта, и дальше этот прогал в процессах и инструментах ты тоже устранишь. Но вместе с этим, на таком красивом обмазанном сторителлингом и инструкциями пути, регулярно возникают затыки. Тут команда не работает, там флаг в примере неправильный, здесь ключ в предоставленном шаблоне не тот. Поначалу бесишься, и принимаешь это за непроработанность и несистемность подхода (и возможно так оно и есть) — но в итоге, каждый такой затык оборачивается дебагом-до-утра, изучением информации, и более глубоким погружением в тему. Относиться к этому можно по-разному, но моё личное мнение — в результате тут больше пользы для обучения чем вреда, хотя деморализует местами сильно.<\/p>\n
Третий плюс — дополнительные сопутствующие темы. Кроме технологий, в курсе много классной инфы о подходах к архитектуре и разработке приложений, даются базисные и системные вещи вроде The Twelve-Factor App<\/a>,  концепции бережливого производства и muda, и даже всякое рядом лежащее типа основ логики и микротем по взаимодействию в команде и софт-скиллам. Было интересно и полезно.<\/p>\n
С точки зрения декларируемого подхода — на мою любовь к программированию, автоматизации и контролю роботами всего, где чилавеки могут накосячить, это ложится безупречно. Я ещё и кэнк-фишками всё обмазал, создавая для преподавателя автоматизированные скрипты разворачивания-настройки и проверки чеклистов по домашкам. От практической части курса получил много удовольствия.<\/p>\n
Теперь про минусы. Объём большой, сил и времени на прохождение нужно потратить много, у курса есть более сжатая по времени версия и проходить её одновременно с работой и другими бытовыми делами было бы совсем тяжело. Местами кривая обучения очень крутая, и в некоторые темы приходится вгрызаться как в отвесную гранитную скалу (плюс нюансики материалов курса, о которых говорил выше). А в паре мест курс повторно касается некоторых тем, как будто его составили из нескольких более мелких и не очень аккуратно сшили.<\/p>\n
Очень большая переменная — наставник, который должен выступать человеческим проводником между учебником и учениками на курсе. Здесь всё зависит от того, кто вам попадётся — и вполне может быть что это будет человек так себе квалификации и софт-скиллов, от которого нечего взять по знаниям, у которого нельзя получить помощи при затыках, и с которым сложно выстроить коммуникацию в части выполнения и защиты множества практических работ (и от этого аспекта уйти уже не получится никак). В случае если выпал именно такой наставник, можно попробовать перевестись на следующий поток, ну и конечно же функции помощи при попадании в капкан и обмена опытом отлично выполняют другие ребята на курсе — большинство своих сложностей я решил именно при поддержке одноклассников, разгребая проблемы вместе с ними или изучая уже заданные вопросы и ответы в тредах чятика.<\/p>\n
\n\"\"\n
Дипломная работа — опубликованный в интернете магазин пельменей, развёрнутый по принципам IaC<\/div>\n<\/div>\n
В части дипломной работы, если делать всё по-максимуму, придётся самостоятельно изучить несколько технологий, о которых в курсе нет информации (и инструменты для которых во время учёбы предоставляются уже развёрнутыми и настроенными). С другой стороны, очень жёстких критериев на объём выполненной дипломной работы нет, так что острые и непонятные углы при необходимости можно обойти. Но фишка, когда в дипломной работе ты в сжатые сроки ещё раз проходишь все темы курса с другим приложением и в чуть другой инфраструктуре — мегаполезная для закрепления, хотя интенсивность работы в эти недели выходит жестковатой. Знаю примеры, когда люди брали отпуска на работе чтобы сделать диплом.<\/p>\n
Так как существенная часть курса проходит в облаке яндекса, которое некоторыми деталями реализации отличается от стандартов того же AWS, иногда бывают затыки от того что типовые примеры и решения в интернетах используют как раз эти стандарты.<\/p>\n
Ещё мне не очень понятно позиционирование курса — изначально наш герой переходит в девопс из программирования (что само по себе фантастический на мой взгляд сценарий), но дальше по ходу курса лично я много опирался на уже имеющиеся знания во множестве областей — от операционок и программирования до тех же ранее встреченных девопс инструментов. Как было бы оказаться на курсе без этой базы — например, чистому незамутнённому посторонними знаниями фронтендеру, сисадмину, или как одна моя знакомая, ручному тестировщику — не знаю. Но кажется, что курс точно не для новичков.<\/p>\n
AI как помощник<\/h2>\n
\n\"\"\n
Проверяем отступы в yaml с помощью правильных tools<\/div>\n<\/div>\n
Часть курса я проходил при поддержке агента Cursor и браузерных чатботов, оттестировав при этом приёмы работы с ними. Как и в случае вайб-кодинга<\/a>, совсем в самостоятельное плавание иишечки пока ходить не готовы, а вот как учителя и как скилластые, но отвлекающиеся джуны-исполнители (девопсята) вполне себе годятся.<\/p>\n
AI очень хорошо объясняет моменты, недостаточно раскрытые в курсе, и вообще классно работает как тьютор. Причем на текущий момент оно прекрасно пережёвывает всё — от кусков манифестов, до скриншотов с лекций. Просишь обьяснить — и обьясняет.<\/p>\n
А вот то, что касается использования как справочник или как создателя (кода, конфига итп) — работает хуже. Чатбот может на голубом глазу выдумать несуществующие опции у команд или набредить свои эндпоинты в известном всем API. Здесь я придумал приём, который очень помогает — сохранить в проект документацию и примеры из систем (того же Яндекс облака как вариант) и дать в промте задачу формировать конфиги и команды исходя из них.<\/p>\n
Хорошо себя показал плагин SpecStory, который включает журналирование всех действий и диалогов, и помогает документировать работу и разбираться в истории изменений. Ещё в разрезе курса классно работает приём, когда по итогам выполненной практики просишь агента сформировать скрипт, который инструментально проверяет работу по чек-листу (который обычно есть в задании) и резюмирует проведённую работу.<\/p>\n
Кстати ещё, не знаю когда это появилось, но на днях узнал что оплачивать подписку на Cursor теперь можно рублями через сервис оплаты МТС, так что скайнетик для нас становится всё доступнее.<\/p>\n
За время использования сам Cursor многократно обновлялся и менялся, на ходу перекраивая паттерны работы, и иногда эту работу просто ломая. Так что тут тоже опыт: внутри спринта инструмент лучше не обновлять (ровно так же как не стоит например в такой момент отпускать джуна в недельный отпуск). Всё как у людей )<\/p>\n
Итоги<\/h2>\n
Сильно расширил кругозор, хорошо прокачал системную часть в Linux и автоматизацию, уже заметил сдвиги в сознании и подходе к работе — собственно там уже во время курса часть рутины стал мыслить в парадигме SecOps, IaC и SaC. Скоро всё запрограммируем, загитируем, заманифестируем и отдадим, наконец роботам делать всю рутину. Ура!<\/p>\n",
            "summary": "Закончил большой девятимесячный курс про технологии DevOps в Практикуме",
            "date_published": "2025-10-14T14:06:28+03:00",
            "date_modified": "2025-10-16T12:17:51+03:00",
            "tags": [
                "devsecops",
                "k8s",
                "TG",
                "безопационная информасность"
            ],
            "image": "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-10-09100_1652996028.png.jpg",
            "_date_published_rfc2822": "Tue, 14 Oct 2025 14:06:28 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "3562",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [],
                "og_images": [
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-10-09100_1652996028.png.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-10-09momo-web.png",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-10-09-tools.png"
                ]
            }
        },
        {
            "id": "2958",
            "url": "https:\/\/www.batishchev.ru\/blog\/all\/vestnik-bytovoy-ib-mehanizacii\/",
            "title": "Вестник бытовой ИБ-механизации",
            "content_html": "
Добрый вечер, товарищи! С вами вестник бытовой ИБ-механизации. Сегодня мы берем интервью у слесаря-механизатора авэыксов второй категории, Кенколая Овечкина. Кенколай, расскажите про своё рационализаторское предложение.<\/p>\n
\n\"\"\n<\/div>\n
Кенколай: ну дак это, тык-мык, как его, ну вобщем мы таски ансиблой крутим, а тасок столько, что и не усмотреть. А потом бригадир приходит в конце квартала и говорит, мол так-растак, почему серваки не обновлены? Ну вот я и думаю, нешто я робота на павершелле не запилю, который отчёты по апихе из AWX забирать будет, проблемы в них находить, да тикеты в джиру отправлять? Ну, знамо дело, сходил на «\/api\/v2\/jobs\/?started__gte=$Since», джейсон десериализовал, статусы отфильтровал, проблемы регескпом по ’FAILED’ и ’UNREACHABLE’ нашел и разделил, ну и в тикетомёт это всё.<\/p>\n
Теперича один робот следит за тем как другой робот работает, и бригадира кожаного зовёт, ежели что не туда вильнуло. А ежели не вильнуло — то и спросу нет!<\/p>\n
\n\"\"\n<\/div>\n
Спасибо, Кенколай! Ничего не понятно, но очень интересно! А в следующем выпуске мы обсудим как следить за протухающими сертификатами при помощи скриптов и едрени фени!<\/p>\n",
            "summary": "Добрый вечер, товарищи! С вами вестник бытовой ИБ-механизации. Сегодня мы берем интервью у слесаря-механизатора авэыксов второй категории, Кенколая Овечкина",
            "date_published": "2025-08-12T19:13:35+03:00",
            "date_modified": "2025-08-12T19:13:48+03:00",
            "tags": [
                "TG",
                "безопационная информасность",
                "КЭНК"
            ],
            "image": "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-08-12-image-9.png",
            "_date_published_rfc2822": "Tue, 12 Aug 2025 19:13:35 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "2958",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [],
                "og_images": [
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-08-12-image-9.png",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-08-12-image-8.png"
                ]
            }
        },
        {
            "id": "2955",
            "url": "https:\/\/www.batishchev.ru\/blog\/all\/konferenciya-bekon-2025\/",
            "title": "Конференция БеКон 2025",
            "content_html": "
Посетил 3 июня конференцию по безопасности контейнерных сред «БеКон 2025». На днях организаторы выложили материалы с мероприятия, а значит пришла пора отчёта.<\/p>\n
\n
\n\"\"\n\"\"\n<\/div>\n<\/div>\n
Если кратко, контейнеры остаются одной из самых передовых и сложных технологий, а их защита — делом непростым и очень интересным. В целом этому (тому, как сложно защищать, и какие именно подводные камни есть на пути тех, кто задумывается о безопасности таких инфраструктур) и было посвящено большинство докладов.<\/p>\n
\n
\n\"\"\n\"\"\n\"\"\n\"\"\n<\/div>\n<\/div>\n
Главный вывод: инструменты обеспечения безопасности развиваются, при этом технология тоже активно растёт и меняется, и пока вчерашние проблемы и уязвимые места вендор в новых версиях убивает на корню, обнаруживается что-то новое. Здесь задачи ибешечки становятся похожи на обеспечение охраны строящегося здания — только, понимаешь, колючку натянул и КПП у двери воздвиг, а прораб за ночь эту дверь замуровал, зато два эскалатора с соседней территории прямо на третий этаж построил. Увлекательно конечно, но меня как человека-навсегда немного подбешивает. Ну, зато, без работы точно не останемся.<\/p>\n
\n\"\"\n<\/div>\n
Материалы:
\nДоклады<\/a> и видосики<\/a><\/p>\n
Было познавательно<\/p>\n
Всем штурвал, посоны!<\/p>\n",
            "summary": "Посетил 3 июня конференцию по безопасности контейнерных сред «БеКон 2025». На днях организаторы выложили материалы с мероприятия, а значит пришла пора отчёта",
            "date_published": "2025-08-03T15:44:44+03:00",
            "date_modified": "2025-08-03T20:04:17+03:00",
            "tags": [
                "TG",
                "безопационная информасность",
                "конференции"
            ],
            "image": "https:\/\/www.batishchev.ru\/blog\/pictures\/DSC09939.jpg_1920.jpg",
            "_date_published_rfc2822": "Sun, 03 Aug 2025 15:44:44 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "2955",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "jquery\/jquery.js",
                    "fotorama\/fotorama.css",
                    "fotorama\/fotorama.js"
                ],
                "og_images": [
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/DSC09939.jpg_1920.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/s_2025-06-03__006.jpg_1920.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-08-03_15-40-24.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-08-03_15-40-30.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-08-03_15-40-38.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-08-03_15-40-42.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-08-03_15-40-34.jpg"
                ]
            }
        },
        {
            "id": "2683",
            "url": "https:\/\/www.batishchev.ru\/blog\/all\/2025-06-05-10-46-58\/",
            "title": "Московский офис Яндекса",
            "content_html": "
\n
\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n\"\"\n<\/div>\n<\/div>\n
Побывал в московском офисе Яндекса. Удивительная, по-домашнему теплая и при этом рок-н-ролльная атмосфера, а также невероятное количество сервиса для сотрудников. Непонятно как и зачем с такой работы выходить в остальную жизнь. Восхитился и позавидовал, было очень интересно<\/p>\n
«Среда — день сырков» страшно умилило.<\/p>\n
\n\"\"\n<\/div>\n
Попал на пару фоток в отчете организаторов — экскурсию проводили по приглашениям из тематического канала @yandexforsecurity<\/a>, за что им отдельное спасибо<\/p>\n
\n\"\"\n<\/div>\n
Всем Я, посоны!<\/p>\n",
            "summary": "Побывал в московском офисе Яндекса. Удивительная, по-домашнему теплая и при этом рок-н-ролльная атмосфера, а также невероятное количество сервиса для сотрудников",
            "date_published": "2025-06-05T10:46:58+03:00",
            "date_modified": "2025-07-10T00:17:43+03:00",
            "tags": [
                "ig",
                "безопационная информасность",
                "посты из иг"
            ],
            "image": "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_1.jpg",
            "_date_published_rfc2822": "Thu, 05 Jun 2025 10:46:58 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "2683",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "jquery\/jquery.js",
                    "fotorama\/fotorama.css",
                    "fotorama\/fotorama.js"
                ],
                "og_images": [
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_1.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_10.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_2.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_3.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_4.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_5.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_6.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_7.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_8.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/260070279_3648118349835604550_2025-06-05_07-46-58_9.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-06-26_10-27-58-(4).jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-06-26_10-27-58-(3).jpg"
                ]
            }
        },
        {
            "id": "1230",
            "url": "https:\/\/www.batishchev.ru\/blog\/all\/cirf-2025\/",
            "title": "CIRF 2025",
            "content_html": "
По приглашению старинного приятеля посетил конференцию CIRF 2025<\/a> — классная домашняя атмосфера и отличные доклады.<\/p>\n
\n\"\"\n<\/div>\n
Особенно в меня попали Анастасия Иванова из Билайна с темой «Что нужно знать, чтобы построить киберкультуру» (классное на стыке ибешечки, пиара, и социологии, про то как объяснять и учить кожаных цифровой безопасности даже если они этого не хотят), и Максим Суханов с докладом «DDoS-атаки на российские организации в 2025 году: техники и особенности» — захватывающие подробности технологии с поддельными SYN-запросами.<\/p>\n
\n
\n\"\"\n\"\"\n\"\"\n\"\"\n<\/div>\n<\/div>\n
Было исключительно интересно.<\/p>\n",
            "summary": "По приглашению старинного приятеля посетил конференцию CIRF 2025 — классная домашняя атмосфера и отличные доклады",
            "date_published": "2025-05-26T20:52:00+03:00",
            "date_modified": "2025-08-03T19:05:18+03:00",
            "tags": [
                "безопационная информасность",
                "конференции"
            ],
            "image": "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-05-26_13-50-30.jpg",
            "_date_published_rfc2822": "Mon, 26 May 2025 20:52:00 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "1230",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "jquery\/jquery.js",
                    "fotorama\/fotorama.css",
                    "fotorama\/fotorama.js"
                ],
                "og_images": [
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/photo_2025-05-26_13-50-30.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/20250530-2.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/20250530-3.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/20250530-4.jpg",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/20250530-1.jpg"
                ]
            }
        },
        {
            "id": "1128",
            "url": "https:\/\/www.batishchev.ru\/blog\/all\/desktopnaya-telega-i-eyo-maloizvestnye-problemy\/",
            "title": "Десктопная телега и её малоизвестные проблемы",
            "content_html": "
Позитивы выпустили большую статью на хабре про безопасность телеги<\/a>.<\/p>\n
Важный неутешительный вывод — десктопные клиенты для мака и винды почти не сопротивляются угону аккаунта, если вредонос на компе добрался до их данных на диске (а лежат они в профиле и поэтому слабо защищены). Я сам находил и проверял этот вектор пару лет назад, и ничего до сих пор не изменилось: просто копируешь папку десктопной телеги целиком на другой комп, запускаешь — и ты в аккаунте, со всеми переписками и архивами, без регистрации и смс<\/s> ввода пароля и подтверждения на других устройствах. Ещё очень неприятно, что сессии с таких ворованных клиентов даже не отображаются в системе и выцепить их можно только по косвенным признакам.<\/p>\n
\n\"\"\n<\/div>\n
Новым для меня стало то, что локальный код-пароль на клиента тоже спасает плохо — украв данные с диска, локальный пароль можно невозбранно подбирать и взламывать, а использовать в ещё одном месте что-то длинное (гусары, молчать!) очень неудобно. Ещё одна новость тут — универсальность формата tdata (а значит модные вебдванольные хакеры-смузихлёбы смогут после воровства файлов комфортно взламывать ваши профили на удобных себе устройствах — пустячок, а неприятно)<\/p>\n
\n\"\"\n
источник: https:\/\/habr.com\/ru\/companies\/pt\/articles\/889692\/<\/a><\/div>\n<\/div>\n
Феноменально противная особенность  (и главное, всякие десктопные клиенты других мессенджеров тут так же принципиально уязвимы).<\/p>\n
Ну и с точки зрения приватности и внутреннего нарушителя косяк: даже если вы простой юзер комплюктера и не имеете отношения к ибешечке, просто подумайте, кто на вашем предприятии может получить доступ к вашему диску, например по сети. Часто перечень таких людей очень широк, включая бесконечных сисадминов и прочих «программистов». Здесь можно попасть в ловушку — если к почте на рабочем компе все привыкли относиться как к чему-то не приватному, то телега кажется «своим» пространством — а в случае десктопного клиента она таким быть перестаёт.<\/p>\n
\n\"\"\n
«Михаил, вы же программист? Запрограммируйте кондиционер в бухгалтерии, чтобы сам включался за полчаса до начала рабочего дня»<\/div>\n<\/div>\n
А главная проблема (и она чуть шире чем вопрос именно телеги) — это то, что в мессенджерах хорошо бы не хранить ничего критичного, приватного и компрометирующего. Но как так поступать в эпоху, когда всё общение ушло в IM, и когда ты привык к цифровому следу любого взаимодействия? У меня есть пара знакомых, у которых включено автоудаление всех переписок по таймеру, и смотрится это диковато.<\/p>\n
Что глобально тут делать непонятно. Но прямо сейчас — включите облачный пароль в телеге и вацапе (там он тоже есть), проверьте список активных сессий в мессенджерах (и найдя подозрительные, прервите их), поставьте PIN на сим-карту. Отказываться от мессенджеров совсем или их десктопных версий на компьютере рекомендовать не буду, это сильно снизит комфорт использования.<\/p>\n
Также хорошая рекомендация из статьи — никогда не авторизовываться на других ресурсах с использованием своей учетной записи телеги (да и другие кросс-продуктовые входы дело не самое безопасное).<\/p>\n",
            "summary": "Позитивы выпустили большую статью на хабре про безопасность телеги",
            "date_published": "2025-03-16T17:28:38+03:00",
            "date_modified": "2025-03-18T14:05:52+03:00",
            "tags": [
                "безопационная информасность",
                "все эти ваши компьютеры"
            ],
            "image": "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-03-16-image-5.png",
            "_date_published_rfc2822": "Sun, 16 Mar 2025 17:28:38 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "1128",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [],
                "og_images": [
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-03-16-image-5.png",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/desktopnaya-telega-i-eyo-maloizvestnye-problemy.png",
                    "https:\/\/www.batishchev.ru\/blog\/pictures\/2025-03-16-programmistpng.png"
                ]
            }
        },
        {
            "id": "1122",
            "url": "https:\/\/www.batishchev.ru\/blog\/all\/crypto-windows-home\/",
            "title": "Шифрование диска в Windows для дома",
            "content_html": "
заметка написана по следам публикаций в блоге https:\/\/www.outsidethebox.ms\/22452\/.<\/a> Рекомендую подписаться на автора, регулярные публикации по тонкостям виндоводства обеспечены<\/p>\n
Один из вопросов, остававшихся после моей миграции с макоси<\/a> — шифрование диска. У подданных племени тимкукового всё работает из коробки, и потеря устройства почти гарантированно обеспечивает вам защиту данных. Оказалось, что в виндовые края благолепие шифрования для всех здесь и сейчас тоже недавно завезли.<\/p>\n
Если кратко, теперь даже домашние пользователи, и даже пользователи с локальными учётными записями на компе (то есть, по-старинке не пользующиеся учетными записями Microsoft), могут штатными средствами шифровать системные диски и диски с данными , и ничего им за это не будет <\/s>. Главное в таком сценарии — самостоятельно сохранить себе ключи восстановления, потому что в облако или домен их за вас никто не положит.<\/p>\n
Все следующие настройки нужно выполнять в сеансе администратора (надеюсь, в обычном использовании компьютера вы работаете под учётной записью без расширенных полномочий, дорогие ребята).<\/p>\n
\n\"\"\n<\/div>\n
Сценарий прост:<\/p>\n