返回首页
最新
<a href="https://videoCalling.app" rel="nofollow">https://videoCalling.app</a> 是一个在线免费的视频通话平台,无需注册,无需下载。
HN上有一些最精彩的讨论,但我不喜欢花时间阅读100条评论来寻找10个有价值的见解。<p>这个网站利用大型语言模型(LLMs)分析热门的HN讨论主题,并总结出关键观点、分歧和相关资源,同时保留原讨论的链接。<p>对于重新回顾旧讨论也非常有用。<p>网站每日更新,经过人工辅助以确保质量,没有垃圾信息,仅为粉丝项目。<p>希望能听到社区的反馈。<p><a href="https://hn-discussions.top" rel="nofollow">https://hn-discussions.top</a>
我曾经经营过一家代理机构,遇到过上下文过载和任务遗漏的问题。因此,我在考虑开发一款应用程序,可以从Slack、Jira、会议和电子邮件中获取数据,并将所有重要信息汇总到一个自我填充的待办事项列表中。它还将具备自动跟踪和跟进的功能。我很想知道这是否与你的情况相符,或者你是否面临其他类似的问题。任何反馈都将非常有帮助。
简要概述:许多安全机制并不是在攻击时失效,而是在部分故障时失效。本文记录了针对分布式系统的故障感知安全框架的早期设计笔记。
问题
在生产环境中的分布式系统中,安全性往往在部分故障时崩溃:
- 认证服务降级 → 重试激增
- 备用路径扩大了访问权限
- 恢复逻辑成为攻击面
没有任何东西被“利用”,但系统变得不安全。
大多数安全模型假设组件稳定且故障干净。
但真实系统并非如此。
设计假设
我们假设:
- 相关故障
- 重试是对抗性的
- 超时是不安全的默认设置
- 恢复路径和稳态逻辑同样重要
我们不假设:
- 全球一致性
- 完美身份
- 可靠时钟
- 集中式执行
框架理念(高层次)
本工作探索了四个理念:
1. 故障感知信任
- 信任在故障下降级,而不仅仅是在被攻破时
- 在部分故障期间,访问权限会自动缩小
2. 运行时安全不变量
- 不变量持续被强制执行
- 违规行为触发隔离,而不是警报
3. 重试安全的安全原语
- 幂等、单调、有限副作用
- 重试不能提升权限
4. 安全作为可观察状态
- 信任级别、降级和隔离是可见的
- 如果你无法观察它,就无法保护它
这不是
- 不是零信任营销
- 不是合规性
- 不是一个完成的系统
这是一次尝试,将故障视为正常情况,而不是例外。
为什么要提前发布?
因为许多真实的故障:
- 不符合干净的研究论文
- 发生在事件期间,而不是攻击时
- 在生产系统之外是不可见的
我们分享设计笔记,以便在进一步正式化或评估之前获得反馈。
欢迎反馈
如果您在故障或重试期间看到安全回归导致不安全行为,我希望听到您的意见。
这项工作仍在进行中,不做新颖性或完整性的声明。