1つの大きな懸念事項で1つの「遅い」アプリケーションを監査する

一般に、私はこのコメントに答えて、例として、私が何らかの形で作成したWebアプリケーションの1つの監査の予期しない結果を出したいだけでしたが、答えは非常に面倒でした。
それで、この記事は生まれました。

エントリー

企業部門では、不自然な標準やセキュリティから強制された標準の背後に隠れていることがあり、後者の完全に不当な、時には完全にワイルドな実装があり、しばしば不可能な労働条件に隣接しているという事実についてでした。 たとえば、そのような政治家に導かれたCIOとそのような他の人（怠慢なまたは単に怠け者）は、やり過ぎて、より良い解決策を見つけられなかった（または求めなかった）場合があります。

その結果、すべてのコンピューター上に存在する必要があるため 、サーバー上にウイルス対策があり、すべての結果が生じます 。 管理者アカウント（技術ユーザー）の作成は、スクリプト、サービスの再起動、デバッグのために愚かであるため、従業員は管理者（別名MakeMeAdmin）の下で働くことを強制されますが、それは不可能です（とにかく、ウイルス対策があります） 。 一部の更新サービスでは実行方法がわからないため 、どこからでも（ネットワーク、一時ディレクトリなど）から実行可能ファイルを実行できるポリシー（大丈夫です-再度、ウイルス対策を引数として）。 等 など

実際、これらの要件がどこから生まれたのかを明確に理解しています。 かなり頻繁に、これらは実際に顧客の顧客の条件、親会社またはパートナー会社の要件、またはあなたがちょうど満たす必要がある事実上の業界標準です。 まあつまり 愚かにもどこにも行かない。
しかし、実際には、セキュリティに関するいくつかの事柄はまったく正当化されず、さらに悪いことに、実際には完全に「セキュリティで保護されていない」、さらに同じクライアントの開発と生産的な作業を妨げます。
そして、5番目の点（誤った「基準」の後ろ）をカバーする場合は、悪の要求から安全要件を満たすことを決定し、それから少なくとも会社の生産性に影響しない（または最小限の影響しか与えない）ように頭を含めることでそれを行います

例：何らかの理由で、よく知られている1つのアンチウイルス（おそらく重要な分析領域とリアルタイムスキャンキューのどこか）と戦った-非常に大きなサーバー負荷（32コア> 50％CPU負荷）：

• ウイルス対策は、ファイルの名前を変更した後、ファイルへのアクセスをブロックします（数ミリ秒から30秒！）-結果として、マルチスレッドパイプライン（非同期ジョブキュー）は、たとえば、一時的な、作成したばかりのファイルに名前を変更したときに、「アクセス拒否」から定期的にクラッシュします作業の終了を報告するスレッド。 作業フォルダはリアルタイムスキャンから完全に除外されているようです。
• さらに悪いことに、子供のプロセスをスリープ状態（中断）にし、「目覚めさせる」ことを忘れ、先祖のストリームが眠っている子供の仕事を延々と待ちます。

そして、結局のところ、サーバー上の運用環境でそれを無効にすることは「不可能」です （一時的な証拠としても、こうしたウイルス対策では通常1つの場所をカバーするためです）。

たとえば、同じネットワークを分割し、同じアンチウイルスをNATの背後に固定する価値があります。 または、少なくともそのような痛みを確認し、より信頼性の高い別のものと交換します。 このコストを、たとえば工数* 25,000人の従業員と比較し、毎分、毎分費やし、アプリケーションの応答を愚かに待っています。
その結果、プロジェクト周辺の「safe_rename」、「real_delete」または「start_process_with_observe」タイプの自転車の数が増えています。 同じCIOは、彼（彼の部隊）がすべての従業員の「ダウンタイム」（期待）の合計時間に対して一括請求書を設定しなければならなかった場合、すぐにその位置を再検討します。

監査

どういうわけか、1つの非常に大きな懸念事項で、1つの多かれ少なかれ大きなアプリケーションの監査を行わなければなりませんでした。 会社のイントラネット上のWebアプリケーション。 噂によると、それは以前より速く輝いていないようでした。 そこにリリースした後、すべてが非常に遅くなりました。
製造業者は、すべてが揃っていることを誓いました-おそらくログによって、アプリケーションが過負荷になっていることは見えませんでしたが、実稼働時のようなストレステストをシミュレートすることは不可能でした。 一般的に、クライアントの忍耐は終わりました-まあ、実際には監査...

それはすべて、送信されたログのアナライザーを書くことから始まりました（アプリケーションの、またはアプリサーバーのプロトコルは非常に詳細でした）。 その結果、巨大なログは、多少読み取り可能な形式で削減されます。 アナライザー（およびhabraparzer用に調整された）の後の割礼されたプロトコルの例は、突然興味を持ち、以下のネタバレの下に見ることができます-私はすぐにログが明らかなものを示さなかったと言います。 つまり サーバー（アプリケーション）については、はい-高速ではありません（SQLの速度が低下したり、ストレージまたはNASのどこかで）が、一般的には原則として分析された負荷の10倍の負荷に対処できます。

大まかに言えば、すべてのサーバーワーカーの合計アイドル時間でさえ、これを報告します（155,644分のうち101,153分）。

ハンドブレーキを引っ張った悪意のあるタイプの検索で他に遭遇しなければならなかったものは、読者にはロードしません。
コーヒー場で占いをした後、すべては同じアンチウイルス（それがなければ）とバランサーの問題から、クライアントのバカバカしたスワップ、またはいくつかの非同期呼び出しでのブラウザーでのバカバカしたスワップ、またはブラウザーでのJavaScriptの苦痛に起因するはずでした。
すべては地獄のようなコード監査が先に行くという点に行きました。 それまでの間、私はその場でその動作を確認することにしました。

それらはアプリケーションの動作を示しています-すべてが本当に遅いのです。 ブラウザはだらしないようにきしみ、クリックするとページがフレームごとに開き、ゆっくりとモデムのようになります。 スワップはありません-何も奪われません。

そして、たった1時間の検索で、彼は結果として静かな恐怖に包まれました（実際、ここでは別の言葉です） 。

しかし、順番に：最初に彼は、アクセスログを有効にして、ブラウザとサーバー間でプロキシを絞りました.NTLM資格情報の代替（プロキシはユーザーアカウントでも機能していました）、および別のポートへの絶対URLの代替などでMITMに悩まされていました。 ログには、アプリケーションがそれとは何の関係もないことを期待していました-アンチウイルス、まあ、またはブラウザ（スクリプトなど）の何か。
そして、アプリケーションで数回クリックした後、ログタイルで呼び出されたリクエスト（クリックごと）ごとに、ブラウザから100件のミニリクエストが予期せず見つかりました。 すべての静的 、つまり クリックするたびにアイコン、静的スクリプト、スタイルが何度も機能しました。 1つまたは2つの大きなリクエスト200と多くの（非常に多くの）小さな304（変更なし）があります。

ただし、アプリケーションは、予想どおり、静的キャッシュ（Cache-Control、Expiresなど）のための正しいヘッダーを送信しました。
要するに、それは判明しました-ブラウザのキャッシュは（政治家によって）単に愚かに「オフにされた」のです！
懸念全体を通じて!!!
まあつまり 「新しいバージョンを確認する」というチェックマークは「ウェブページにアクセスするたびに」にありました。

上位のすべてのNTLMに追加し（両方でハンドシェイクを行い、両方からPDCへの要求と応答を行います）、Webアーキテクチャに関する会社に多くのアプリケーションがあることを考えると、懸念全体の従業員数とVoila！ サーバールームに移動して、完全に冗長なネットワーク機器の赤い輝きを楽しむことができます。
つまり ブラウザは、小さなリクエスト/レスポンスフックの束を送受信するだけでなく、ページ内の最後のリソースからの確認を待ちます-私は、レンダリングを終了してページを表示するために変更しません。 追加のリクエストで絶えず攻撃されているアンチウイルスは、全体像に貢献しているように思えます（たとえば、304から返された同じスクリプトに対する反応はわかりませんが）。
さて、上記からのボーナス-愚かなネットワーク-ミニパケットの巨大な塊が全体としてネットワークセグメント全体、特に特定のルーターの寿命をどのように明るくすることができるかについて、ネットワーク管理者は長い話（通常はわいせつ）を伝えることができます。

ちなみに、私は検索（およびクライアント）を穏やかに置くことができて幸運でした-プロキシの設定で、静的のアクセスログがオンになりましたが、通常はオフになっています（304などをテストしただけで、構成を修正しませんでした）。 さて、誰も期待していませんでした（そこにいる管理者も汚されました）、ポリシー（この場合、ブラウザー設定）を担当するスタッフがそれほど無能であるとは思いませんでした。 私見、仕事からの解雇の理由に単に接するように。

噂によると、キャッシュは「オフ」になっています。これは、まったく異なるプロジェクトで、ある種のSAPコンポーネントの奇妙なバージョンがどこかで異なる方法で実行できないためです（Cache-Control、Expiresなど）。 d。またはIf-Modified-Sinceが正しく機能しなかった）。 要点は、テスターが見つけられず、バジェニーのリリースを本番環境にロールアウトしたパフォーマーがロールバックできず、期限切れとキャッシュ制御チェックを愚かに「無効化」する以上のものを見つけられなかったことです。 もう一度-懸念全体を通して！ つまり、すべてのアプリケーションとサーフィンに適しています。
たとえば、これらのURLのヘッダーのみを変更するためにプロキシをアプリケーションの前に配置したり、アプリケーションサーバーにクラッシュして直接「書き換え」たりすることができます。 手っ取り早く、より多くのソリューションを思いつくことができます。
ところで、ファイルを認識する代わりに-噂によると、彼らは口に泡があり、それが必要であり、良いことを証明し、MicrosoftでさえIE用にこれらの設定を推奨している。 その結果、あなたの謙虚な召使は、行われた仕事の報告の付録として、「なぜ悪いのか-良くない」というトピックに関する「論文」も書きました。

そして、その会社の普通のユーザーの中で、私はウィザードになり、現地のITスペシャリストが数か月（あるいは数年）見つけられなかった問題を1時間で解決しました。
突然、そのアプリケーションだけでなく、社内の他のすべてが突然より速く動作し始めたことを想像できますか？ 最後のネットワークプリンターまで...

それから私は休暇を取り、「プログラマーも間違いを犯す」などの言葉で蹴らないように頼み、私たちに耳を傾け、少なくとも時には頭を回す責任者（そしてパフォーマー）がまだいることを願って...それは大いに役立ちます。