Здравствуйте, ambel-vlad, Вы писали:
AV>>>Даже если и первый раз работают, то подобная помойка не нужна. Всегда можно найти более приемлимые способы решения проблемы.
nvb>>Для вас — может быть. От конкретного человека зависит и от принятых в компании процедур.
AV>Если нет доверия между сторонами, то что мешает на первых этапах разбивать на небольшие периоды и транши?
... AV>Вариант exe-шники — документация — исходники это совсем не тот вариант что ты первоначально предложил.
Этот вариант разбиения на транши не хуже и не лучше, чем по месяцам, этапам, степени зашифрованности (не решился сказать "обфусцированности") кода или чего-то еще.
nvb>>Вопрос в деньгах, я же сказал. Если очень надо, а в деньгах не сошлись — действительно может выйти дешевле нанять других разработчиков для реализации либо реинжиниринга.
AV>Ага. Я оплатил разработку и хочу получить сорцы, а мне, оказывается, еще нужно оплатить реинжиниринг. Такие исполнители идут лесом.
Я нечетко выразился, раз вы меня неправильно поняли. Я имел в виду, что это надо решать заказчику перед подписанием договора, а не после завершения проекта.
В принципе, похожий риск всегда есть — когда заказчик платит за сорцы, а потом вынужден платить отдельно за багфиксинг. Но это уже издержки отрасли ПО в целом.
nvb>>Нам в МГУ в середине 90-х разведчики читали курс по защите информации. Больше всего запомнилась фраза "Абсолютной защиты не существует. Полностью перекрыть какой-либо канал несанкционированного доступа невозможно. Но это и не нужно, достаточно защитить его так, чтобы оцениваемые расходы на кражу информации по этому каналу превысили ее стоимость"
AV>И как это относится к написанию под заказ?
Заказчик выбирает, что дешевле — купить алгоритм с реализацией, создать самому или вскрыть зашифрованные исходники. Но и исполнитель знает, что у заказчика есть выбор. И в процессе переговоров они переходят к взаимно приемлемой сумме. Или не приходят.
Здравствуйте, nvb, Вы писали:
AV>>>>Даже если и первый раз работают, то подобная помойка не нужна. Всегда можно найти более приемлимые способы решения проблемы.
nvb>>>Для вас — может быть. От конкретного человека зависит и от принятых в компании процедур.
AV>>Если нет доверия между сторонами, то что мешает на первых этапах разбивать на небольшие периоды и транши? nvb>... AV>>Вариант exe-шники — документация — исходники это совсем не тот вариант что ты первоначально предложил.
nvb>Этот вариант разбиения на транши не хуже и не лучше, чем по месяцам, этапам, степени зашифрованности (не решился сказать "обфусцированности") кода или чего-то еще.
Лучше. Потому что я вижу за что плачу.
nvb>>>Вопрос в деньгах, я же сказал. Если очень надо, а в деньгах не сошлись — действительно может выйти дешевле нанять других разработчиков для реализации либо реинжиниринга.
AV>>Ага. Я оплатил разработку и хочу получить сорцы, а мне, оказывается, еще нужно оплатить реинжиниринг. Такие исполнители идут лесом.
nvb>Я нечетко выразился, раз вы меня неправильно поняли. Я имел в виду, что это надо решать заказчику перед подписанием договора, а не после завершения проекта.
Если ты начал уже работать над проектом, то обе стороны уже договорились.
nvb>В принципе, похожий риск всегда есть — когда заказчик платит за сорцы, а потом вынужден платить отдельно за багфиксинг. Но это уже издержки отрасли ПО в целом.
Багфиксинг это несколько другое. И нормально когда за него идет дополнительная плата.
nvb>>>Нам в МГУ в середине 90-х разведчики читали курс по защите информации. Больше всего запомнилась фраза "Абсолютной защиты не существует. Полностью перекрыть какой-либо канал несанкционированного доступа невозможно. Но это и не нужно, достаточно защитить его так, чтобы оцениваемые расходы на кражу информации по этому каналу превысили ее стоимость"
AV>>И как это относится к написанию под заказ?
nvb>Заказчик выбирает, что дешевле — купить алгоритм с реализацией, создать самому или вскрыть зашифрованные исходники. Но и исполнитель знает, что у заказчика есть выбор. И в процессе переговоров они переходят к взаимно приемлемой сумме. Или не приходят.
Если я заплатил за исходники, то я считаю что должен получить исходники. А если ты начал работать над проектом, значит сумма тебя удовлетворяла. И я должен получить исходники. А не непонятно что.
Здравствуйте, Кэр, Вы писали:
Кэр>Здравствуйте, Timonn24, Вы писали:
T>>Коллеги, поделитесь, как это происходит у вас. Поясню о чем я. В одной конторе, где я имел работал, все ПК были в железных ящиках под замками. Естественно никакие USB наружу не торчали. Инет был через терминальный сервер, таким образом, вынести исходники было весьма проблематично. Единственный это случай, или повсеместная практика?
Кэр>Microsoft достаточно крупная компания? В copy-room, где лежат для общего пользования маркеры/ручки/блокноты/etc, лежат в свободном доступе cd-болванки. На каждой машине есть пишущий драйв.
Кэр>Передавайте привет озабоченному руководству.
S>1. У банкомата есть выход в интернет. Организуй утечку, стоя у банкомата.
В Интернет или локальнку банка — это разные вещи...
В свое время у Мастер-банка был ряд банкоматов с сенсорным дисплеем — покликав вниз экрана можно было вытащить скрытую Windows панель (с пуском), где в потом можно было увидеть запущенные две консольные приблуды... с указананием IP адресов и при желании вызвать ряд команд. Выяснив необходимую информацию в конечном итоге можно было получить доступ к данному банкомату... Подробности дальше раскрывать не буду, но при желании можно было перевести банкомат в тестовый режим и, полагаю, (так как не собирался этого делать — и попадать под УК) иниицировать ряд запросов, приводящих банкомат к выдачи денег, находящихся в нем.
S>2. Имел я дело со службой безопасности ДжиИ МаниБанка в Казани. Мне нужен был кусок видео с дтп, который заснял один из их видеорегистраторов. Через интеренет-интерфейс мне сохранили нужный фрагмент. По интернету этот файл передать было никоим образом невозможно (к вопросу об обрезании кабеля).
Не верю, что не возможно. Я не встречал еще ни одной системы, через которую нельзя было бы пройти. Иногда да приходится извернутся — но передать любое количество информации всегда можно было... Очень забавно наблюдать как многие админы бьются над настройками Firewall и прочего и часто забывают о простейшей вещи как PING (ICMP). Например IPSec Nat Traversal основан на нем и через этот тунель можно передать что угодно и куда угодно.
S>2 На юсб-флэшку файл мне скопировал большой айтишный начальник из мск через радмин. У начальника СБ банка, хозяина компа, не было никакой возможности самостоятельно скопировать файл на флэшку, воткнутую в его юсб.
И что ж ему мешало? Уж не Device Lock? Так мы его сломали в первые 5 минут, как компания купила его и поставила...
Жалко было, что компания бабло потратила деньги на эту фигню, а не на премию сотрудникам...
S>3. Аль Капоне был прав, что "с добрым словом и пистолетом можно сделать гораздо больше, чем просто с добрым словом". Однако за пределами твоей японской деревни существует много разных мотиваций, закрывающих утечку через моск.
Никто не спорит, что если создать условия, мотивировать так или иначе — сам человек будет заинтересован в том, что бы информация через мозг сохранялась на месте.
Здравствуйте, Timonn24, Вы писали:
T> Т.е., резюмируя сказанное, Вы имеете полный доступ к сырцам, и в принципе, можете их вынести за пределы компании, в которой работаете?
Хехе
На днях звонили с прошлой работы(3 года прошло с моего увольнения, не шутка) узнать, не осталось ли у меня исходов одного проекта, над которым работал. Выяснилось, что потребовалось внести некоторые изменения, но последняя версия исходников потеряна, есть только старые бэкапы. У меня не оказалось ничего(на кой бы мне хлам хранить), но сам случай примечателен . Если бы у меня где-то сохранилась копия, съэкономил бы людям время.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.