Яндекс.Утечка

Скачал, 40 гб занимает node_modules от фронта.

Это им что, всё переписывать придётся?

Почему переписывать?

Ну, конкуренты из исходников могут много чего узнать.

Кто уже смотрел? Там правда код сервисов, а не просто какие-то файлы? Это будет обсёром года.

Ну, конкуренты из исходников могут много чего узнать.

Если яндекс - значит многа дырощке. Пусть народ позабавится.

Теперь можно оценить, насколько Алиса заботиться о конфиденциальных данных.

И что? Дыры в любом случае должны быть закрыты.

Были утечки кода винды — думаешь, всё утёкшее переписано?

Я и без исходников знаю что яндекс говно

Дату среза будем обсуждать?

Не тряслись!

Винда это другое дело, из её исходников мало что полезного можно выжать

Это другое. «Утечки» кода винды, если строго говорить, произошли с первой продажей её дистрибутива. Там тоже код, хоть и в скомпилированом виде, и, постаравшись, из него можно сделать и исходники. Либо не делать исходники и считать что это прога на ассемблере. А тут код должен был быть защищён от просмотра посторонними в любом виде.

Ну изучишь ты этот код. Если есть дыра, ясно, можно использовать. Но её ещё и найти надо. А в случае без дыр?

alex1101

Скачал, 40 гб занимает node_modules от фронта.

Это не шутка?

Из кода можно узнать тонкости бизнес-процессов. Можно узнать, как точно реализованы алгоритмы поиска, продвижения и т.д. Да дофига чего.

Ну вот, теперь «Сбер» будет активнее развивать свой Rambler.

На опеннете пишут, что antiadblock утёк в том числе. Наверно, тем, кто adblock пишет, интересно. Но там всё быстро меняется, скорее всего.

В общем, это нехилый такой ущерб бизнесу, который может раскручиваться долго.

Какие конкуренты?

Диверсия? Как там закон о диверсиях, не успели принять?

Тут нарушение коммерческой тайны, наверное. Диверсия это другое.

Удивительно то, что похоже у разработчиков есть доступ не только к своему проекту, но и к большому количеству других проектов компании.

Это всякие нищеброды могут только дыры оттуда использовать. А коммерческие конкуренты могут заимствовать алгоритмы, что намного ценнее.

Удивительно то, что похоже у разработчиков есть доступ не только к своему проекту, но и к большому количеству других проектов компании.

Это называется "Монорепозиторий"

Думаю дамп был снят не «рядовым разработчиком в рамках своих штатных прав доступа».

А коммерческие конкуренты могут заимствовать алгоритмы, что намного ценнее.

Ну так и Яндекс был обеими руками за OpenSource. Поэтому часто не развивал альтернативные продукты существующим.

Ветка начиналась с фразы «Это им что, всё переписывать придётся?» url

Думаю дамп был снят не «рядовым разработчиком в рамках своих штатных прав доступа».

Думаю, что вполне себе рядовым разрабом, со штатными правами

Если текущий алгоритм рассекречен то он перестаёт быть конкурентным преимуществом перед тем же гуглом, например, и придётся делать другой, ещё более хороший и опять засекреченный.

В моей компании так же.

шутка, мем же

Яндекс Такси

О! Украду код, запущу своё яндекс.такси и буду ездить на нём бесплатно!

Вакансией поискового разработчика в Яндексе никого не удивишь, но наша — особенная: мы предлагаем заниматься разработкой поиска по интранету. Внутренняя документация, социальная сеть, трекер задач, портал сотрудников и другие сервисы интранета — всего более 5 миллионов страниц, по которым мы должны искать актуальную информацию и обеспечивать релевантность выдачи. Наши задачи чем-то похожи на «большой» поиск, а в чем-то уникальны.

недавно они предлагали вот такое, я тогда подумал и отказался, потому что мне было странно, что на такую работу ищут наёмника снаружи, а не кого то кому доверяют внутри.

так что такой слив был ожидаем, имхо

Слышал что некоторые компании когда уходят под иную юрисдикцию или вместо продажи лицензий просто выкладывают свой софт типа в опенсорс, на деле срали они на СПО и опенсорс им просто нужно передать без милионных вложений и прочего код из точки А в точку Б. Может тут кто даже с выходом в СПО не захотел возиться. Это всё мои домыслы, возможно просто какой то дурак отбитый решил таким образом проявить эмм своё чего-то там.

Компания Яндекс подтвердила утечку, но заявила, что она произошла не в результате взлома.

Типа намеренно слили? Ничего не понимаю

А это уже дата, в которую на Тианнаменской площади решительным образом ничего не произошло, или ещё можно?

Ну, конкуренты из исходников могут много чего узнать.

Та ладно… Как правило, в коде прям тааакие секреты… Во-первых, его как правило не запустишь, потому что в больших копропроектах, поднимание инфраструктуры и кода — титаническая задача, которая потребляет человеко-годы работы, и это при наличии доки и опыта и разрабов под боком. Во-вторых, везде одинаковое гуано, и скрестить гуано А с гуаном Б обычно не проще, чем с нуля написать гуано C.

Вот если бы утекли исходники MS, то я точно, знаю, что в одной компании наступил бы праздник. Потому что у MS часто написано что-нибудь типа: «Для включения WiFi дёрните вызов ms_enterprise_secure_enable_wireless_enterprise_module(ssl_context, ssl_cert, a, b, hHandleMoo, hHandleFoo, c, d, e, f, ….)». А на деле оно либо не включается, либо выдаёт ошибку 0xc8afb000034x, которой, естественно, нет в документации (попробуйте загуглить, и ройтесь в миллионах идентичных констант от пользователей со всего мира), либо оно работает, но включает wifi на 3 секунды и сразу же выключает, и т.д. и т.п.

Когда я работал в компании, завязанной на разработку под MS, у меня мозг взрывался. И нам реально приходилось дизассемблировать код некоторых DLL, чтобы понять, что оно там ждёт в параметрах, и почему выдаёт ошибку.

Фигня, пока ты там эти тонны кода освоишь (ну наверное морковка шутит же) там уже 100 раз всё поменяется.

Ну вот к примеру откроют мелкомягкие исходники ядра винды, ну и чего мы там интересного и нового увидим? Да ничего, всё тоже самое что и везде только вид будет в профиль. Так что. Разве что дыры какие, вот это да. А так, но что-то наверное придётся, правда твоя.

За морковкой уже выехали интересно или ещё обуваются

было интервью где они объясняли, что у них проекты сильно взаимоинтегрированы, поэтому видимо и доступ приходится давать всем, если там какой-нибудь пипон не уверен, что в нем можно линковаться с одними бинарниками или хедерами, тоже самое относится к тс, пхп и многим другим технологиям

фишка яндекса как раз в том, что часто таки развивал свой велосипед, потомучта мог

Уже качаю, есть там интересное что?

Пишут, что далеко не всё утекло. Yandex.Translate не видно, например. Браузера.

Ну вот и они теперь всего за один день стали опенсорс-компанией.

А где они были 11 месяцев? Неужели все это время шли торги и шантаж?

Ага, код без разработчика это гора мусора. Сложность использования чужого кода четко показывает то время, которое нужно новому сотруднику для «входа в работу», это может быть месяц и более, и это все при том, что вокруг есть люди, которые работают с кодом и рассказывают как он там устроен.

Но опасность слива другая:

1. можно провести анализ кода на заимствования нарушающие лицензии.

2. можно провести анализ кода на оставшиеся ключи/пароли и пр.

3. можно провести анализ кода на предмет dos-атаки – какой запрос создаст маскимальную нагрузку на сервер

4. можно провести анализ кода на предмет уязвимостей при входе в сервис

5. можно провести анализ кода на предмет качества разработки, объема реально сделанной работы и пр., т.е. что на самом деле представляют из себя сервисы с т.з. технической сложности

6. можно провести анализ кода и выявить ключевых разработчиков или просто квалифицированных

7. можно понять какой версией софта пользуются, и использовать ее уязвимости, можно составить список внешних зависимостей и работать с ними…

…

Думаю дамп был снят не «рядовым разработчиком в рамках своих штатных прав доступа».

Получить доступ с правами разработчика проще, чем взломать инфраструктуру. И при взломе инфраструктуры последствия были бы более крупными. Я все же думаю что это или слив от разработчика, или через какую-то дыру в рабочем компе разработчика.

говорят, они тоже любили платить своим гениальным трудягам ниже рынка

http://ezhe.ru/data/fri/face/63.jpg

у разработчиков есть доступ не только к своему проекту, но и к большому количеству других проектов компании

А как это по-твоему должно работать? У меня тоже на гитхабе есть доступ ко всем проектам компании. Зато когда приходят на собесы люди из сбера, так начинается цирк с конями: базы не знают, логи не видели, мониторинги не правили, от докера шарахаются, да даже линукс не видели - потому что доступов не было

говорят, они тоже любили платить своим гениальным трудягам ниже рынка

Нет, у них просто политика удерживания сотрудников. Чем дольше работает сотрудник, тем больше зарабатывает.

Это противоположный подход, чем у всех остальных: когда все прыгают с работы на работу, чтобы получить повышение, и даже пишут об этом статьи: «Как удачнее прыгать из компании в компанию, чтобы максимизировать прибыль». Только проблема в том, что серьёзный проект не сдвинуть, поработав в нём несколько месяцев, или год, или даже два.