https://opennet.ru/openforum/vsluhforumID3/116973.html Разработчики PHP официально утвердили (https://blog.krakjoe.ninja/2019/03/php-gr8.html) план включения JIT-компилятора в состав следующей ветки PHP 8, но отвергли прдлложение по интеграции JIT в следующий значительный релиз PHP 7.4. Перед выполнением PHP транслирует исходные тексты PHP-скриптов в промежуточное представление (байткод), которое затем выполняется в виртуальной машине Zend VM. JIT поможет дополнительно поднять производительность за счёт преобразования байткода в специфичный для текущей аппаратной платформы машинный код, который может напрямую исполняться процессором, минуя интерпретатор байткода в Zend VM.<br><br><br><br>При этом после внедрения JIT кардинального роста производительности для web-разработчиков не предвидится, так как основным узким местом для большей части применяемых на сайтах PHP-скриптов является ввод/вывод (обработка сетевых соединений, чтение и запись файлов, обращение к СУБД, кэширование и т.п.), а не скорость выполнения на CPU. В процессе разработки прошлого набора оптимизаций был https://opennet.ru/openforum/vsluhforumID3/116973.html#196 Wed, 14 Aug 2019 12:47:06 GMT Спасибо за пост. Круто что всегда можно найти много развёрнутой информации. Читал сегодня днём тоже хорошую статью по теме, https://writeabout.tech/programming/php8/, думаю ещё кому то пригодится.<br> https://opennet.ru/openforum/vsluhforumID3/116973.html#195 Mon, 29 Jul 2019 07:44:36 GMT Отличная статья, "коротко о главном", спасибо за труды. Читал сегодня тоже отличный пост по теме PHP, https://writeabout.tech/marketing/who-is-an-seo-specialist-2/ , может ещё кому пригодится.<br> https://opennet.ru/openforum/vsluhforumID3/116973.html#194 Thu, 18 Apr 2019 11:53:45 GMT мы такого мусора - не покупатели. Обратитесь в орацле, может они купят.<br><br> https://opennet.ru/openforum/vsluhforumID3/116973.html#193 Thu, 18 Apr 2019 11:52:37 GMT "но кто же тогда написал четыре миллиона доносов?!"<br><br> https://opennet.ru/openforum/vsluhforumID3/116973.html#192 Sun, 14 Apr 2019 09:50:54 GMT Думал в этом же направлении.<br><br>Верифицировать бут после загрузки ядра линукс просто, но буткиты могут уже себя спрятать, или как мне неожиданно попасться.<br><br>Сам grub довольно продвинутый он имеет: cmosdump, lspci, usb, sha*sum & if then else. Мне не хватает &#124; чтобы в подписанном цифровой подписью grub.cfg верифицировать неизменность железа и cmos биоса. С dd можно было бы и MBR верифицировать.<br><br>Слышал есть загрузчики заточены на криптоверификацию железа, биоса, бута на диске?<br><br>Сам никогда не работал в отделе ИТ безопасности. И с годами замечаю что все больше времени трачу именно на безопасность. Постепенно превращаясь в того мозгоебщика, что пристает и кричит не использовать jit, docker, сетевые экраны что сами себя пишут и как им захочется во время работы модифицируют себя. Не в ту сторону этот мир свернул...<br> https://opennet.ru/openforum/vsluhforumID3/116973.html#191 Sun, 14 Apr 2019 07:16:51 GMT У меня скрипты iptables тянутся с 2000г., а ipfw с 2010г. Все вылизано руками. Cобираюсь переписать iptables на nftables.<br>Автогенераторы фаерволов не использовал. Писал свои правила на основе модуля recent и ipset для автоматической реакции сетевого экрана на атаки. Сами правила сетевого экрана изменятся не должны, иначе есть вероятность что вирь дыру для своих друзей откроет.<br><br>В РФ есть опасный баг в подготовке специалистов по ИТ безопасности - не различают софт разработанный для удобства администрирования и софт для обеспечения безопасности. Докер это первое нет в нём гарантий изоляции. У меня скрипт, грубо говоря 10 строк на баше, создаёт/обновляет контейнер. И ещё один который обновляет все контейнеры в системе ещё на 10 строк. Обновил систему, поменял настройки, дёрнул скрипт и всё контейнеры свежие. Хочешь с консоли, по ssh или своей оркестровкой дергай. Hardeneed chroot даёт довольно сильные и очень дешовые гарантии изоляции.<br><br>Компы с биосом ещё есть. /boot & / шифрованы. Grub core.img с крыптогр https://opennet.ru/openforum/vsluhforumID3/116973.html#190 Sat, 13 Apr 2019 16:50:35 GMT &gt; Надо крыптоверификацию и вместо флешки использовать CDROM. На ROM диске не возможно изменить данные, а значит записать вирус.<br><br>На самом деле никому оно толком не нужно:<br>Был такой проект еще (почти - лень смотреть точную дату) 10 лет назад, antibootkit назывался.<br>"По мотивам" нашумевшего тогда буткита Клейснера, который, типа "расшифровал трукрипту" (на самом деле в загрузчик TC встраивался кейлогер).<br>Простенький (т.е. вполне верифицируемый глазками) загрузчик где-то на тысячу строк fasm,<br> (плюс "ассистент" на Си, который вообще заменяется скриптиком c вызовом dd), без каких-либо зависимостей.<br><br>Умел считать sha1-хеши первых секторов дисков, сравнивать их с вшитыми в загрузчик[т.е. самого себя] (или просто показывать, чтобы можно было записать и потом "вшить" ассистентом в загрузчик-ISOшку, без пересборки), выдавать предупреждение в случае расхождения хешей или автоматически переключаться на дефолтный системный загрузчик в ином случае.<br><br>Там принципиально только 3 дыры:<br>Загрузчик должен быть на ROM https://opennet.ru/openforum/vsluhforumID3/116973.html#189 Sat, 13 Apr 2019 15:04:33 GMT &gt; Этот firewolld через dbus работает! А я dbus нафиг с системы выкидываю. <br>&gt; Потдержываю руками скрипты с жесткой фильтрацией всего входящего и исходящего трафика <br>&gt; на всех интерфейсах.<br><br>Свои скрипты? Ну это безусловно можно, а чем iptables-persistent не подошёл?<br><br>&gt; На щет докера и прочих контейнеров, тоже не верю. Потдерживаю свою систему <br>&gt; создания изолированных окружений. Старый добрый chroot + контроль привилегий линукс <br>&gt; capabilities самым ядром с проекта grsecurity.<br><br>Я тоже не верю, но лишним не будет.<br><br>К тому же, с ним деплой облегчается в разы. А если надо оркестровку сервисов на нескольких машинах, то объединить его в k8s -- и всё вообще великолепно работает. Если инфра небольшая, то вместо k8s можно и вовсе руками водрузить docker+etcd+flannel/calico.<br><br>&gt; Vpn от настроения разные.<br><br>Согласен, тут всё зависит от цели. Если пользователей пускать во внутреннюю сеть, то хватит и openvpn. Ежели же надо объединить пару сетей, если между ними трафика много или они удалены друг от друга, или https://opennet.ru/openforum/vsluhforumID3/116973.html#188 Sat, 13 Apr 2019 14:24:19 GMT Ссучились сегодня крупные работодатели. Мелкие нужного мне заплатить не смогут.<br><br>Писать что-то вредное - религия не позволяет.<br><br>Те проекты что создал в следствие изменения законов РФ внедрять здесь рискованно. Надо много тратить времени на разбор постоянно меняющихся законов.<br>