Pull to refresh

Comments 175

Забавно, что теперь всякую мерзость нам втюхивают не под предлогом защиты детей, а для защиты ОТ детей.

Помнится во время очередной волны педоистерии попалась на глаза статья про miracle village, деревушка спецом для секс преступников, т.к. там намеренно не было детей и детских учреждений, что бы преступники не совершили чего плохого (или как преподносится — что бы гуляли свободно не думая где тут очередные 100 футов до школы).
Первая мысль была — да это ж рай, не надо думать что там очередной ребенок выдумает из-за чего тебя посадят. Чуть позже подотпустило, но эффект запомнился.

Так это хорошо или плохо? По сути - обычная заимка для вольноссыльных или даже колония-поселение максимально свободного режима. В принципе, обоюдовыгодно (и общество не пострадает от потенциально опасных лиц, и они не пострадают от недобросовестных членов общества).

Это плохо, очень плохо. По крайней мере если думать о этой деревне более 5-ти минут. Как пример тот же вопрос, если у двух поселенцев появился ребенок, то что делать?

А в каком контексте эта деревня всплыла вообще? В смысле, она добровольная или принудительная?
Если добровольная — то просто уехать.
Если принудительная — то одним из условий логично будет являться неразмножение.

Деревня для осужденных как бы не может считаться совсем свободной...

Но и размножаться там запретить навряд-ли смогут.... разве что именно тем методом про который я сказал - размножились - перемещаемся в обычную тюрьму где есть возможность содержать детей.

Ещё можно отдельно создавать такие деревни "для мальчиков" и "для девочек". И вроде бы такие поселения для условно досрочно освобождённых. А в этом случае могут в комплекте с освобождением идти дополнительные ограничения, вроде необходимости жить в определённом месте (да, получается не полное освобождение). Но тут уже по желанию - не хочешь - сиди свои полные 40 лет, потом на свободу с чистой совестью...

Судя по статье про это miracle village — добровольно и не факт что пустят еще
Also according to the organization's website, they do not accept violent offenders or serial offenders, nor minister to pedophiles, which they define as "someone who can only become sexually aroused by a child".[9] It receives 10–20 applications a week, but only accepts 1 in 20;[10][4] residents participate in the selection process.[11]

Расширения для просмотра исходного кода никто не отменяет же. Типа Quick source viewer. Причём, они гораздо удобнее, т.к. подсвечивают синтаксис и красиво форматируют код.

Таким образом все останутся довольны: пользователи не лишаются возможности смотреть код, а школьнику расширение не установить, если грамотно настроены политики.
Написать нормально сайт они не могут, но грамотно настроить политики — это всегда пожалуйста.

Надо идти дальше. Дать школьникам компьютеры (они же нужны для обучения), но запретить их включать (там же интернет и маньяки).

Всё-ещё можно сохранить страницу и открыть в редакторе

В мире современных реактов-ангуляров есть немаленький шанс получить страницу-заглушку с единственным существенным тегом вида <div id="app"/>.
Вы бы хоть попробовали сохранить прежде чем писать.

Часто достаю из кода картинки/видео, и в последнее время всё чаще натыкаюсь на такую фигню. Не для всей странички, а для медиа. Благо плагины-ленивки эти штуки раскусывают.

А можно список? А то немного раздражает искать URL в html, хотя часто там можно найти больший размер вместо показываемого.

Решение проблемы поиска ссылки в коде страницы очень простое:

инструкция с картинками

Заходите в режим живого редактирования разметки (пкм-исследовать элемент в хроме или пкм-исследовать в лисе, или F12). Нажимаете вот эту кнопочку.

Наводите курсор на нужный кусок страницы, щёлкаете.

В html коде курсор переходит на тот элемент, на который вы жмякнули. Как правило, ссылка на нужную штуку будет лежать прямо там, или недалеко.

А для спрятанного видео у меня несколько наудачу скачанных расширений. В основном я пользуюсь Offmp4 (у которого в описании сказано "Просто самый быстрый и простой способ скачать видео и аудио с YouTube, VK, Twitter, Facebook и многое другое").

Для картинок есть Image saver, который обещает "Save any images in page directly from context menu, this includes svg elements, css background images and direct child images. Now supports creating dataurls for any image or svg as well."

Я пользуюсь лисой, поэтому ссылки на лисовый магазн расширений. Мне кажется эти аддоны с таким же названием есть и для хрома. Ну или похожие)

Похоже, не будучи в веб-деве, я упустил момент, когда браузеры стали засовывать в сохраняемый файл текущее состояние страницы. Спасибо за указание на это.

Теперь придётся иметь в виду, что если нужна исходная версия загруженных данных, то надо лезть через wget.

Не обязательно, нужно просто в сетевых запросах сохранить первоначальный ответ запроса который загружает HTML.

Да, тоже вариант. Хотя переключиться в терминал и запустить короткую команду, мне кажется, будет быстрее, чем открыть тормозные девтулзы, перезагрузить страницу, протыкать мышкой вкладку->запрос->ответ, выделить код, скопировать в текстовик, сохранить.

Это если всякие хитрые куки для запроса не нужны.

Ctrl+U вам в помощь (в хроме). Показывает исходный HTML страницы, а не текущее состояние DOM. Или можно вручную в адресной строке писать view-source:https://...

Эта ветка велась в контексте новости из статьи, что прямой просмотр кода может быть запрещён.

Только что попробовал сайт на React сохранить в html. Там как раз только этот <div> и есть.

Попробовал в последнем Хроме. Я что-то не так сделал или не понял?

Похоже, зависит от того, какой тип выбрать при сохранении. Хрома у меня нет, а в Вивальди если я выбираю Webpage, Complete, то дампится текущий рендер; если Webpage, HTML Only — то сырой исходник.

Ага, верно. Именно так и есть. Я до этого сделал только "Webpage, HTML only".

В истории про Джоша Рено и сайте департамента начального и среднего образования штата Миссури интересно а не попали ли эти поисковые выдачи с номерами социального страхований в кеш гугла?

Так-то с гуглом было бы сильно сложнее судиться.

С одной стороны, действительно, если мы считаем HTML языком программирования, а верстку - программным кодом, то тогда с одной стороны запрет его просмотра вполне имеет резон, ведь сейчас де-факто любая верстка open-sourse, бери, копируй. Также мне сходу на ум не приходит ни одного сценария, когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде (читай на сайте). Зато меньше фишинговых сайтов, которые тупо копируют верстку станет и электронный дневник уже так легко не подделать :)
С другой, даже если взвесить все за и против, и решиться на такой шаг - то смысла в нем нет. То, что хром закроет доступ к коду, значит лишь то, что хром закроет доступ к коду, а получить его можно будет все равно. Ведь это клиентская часть сервиса, которую через сниффер трафика можно будет получить. Да и школьникам win+r -> iexplorer.exe ничего не мешает ввести.

У Вас в профиле написано "Fronetend Developer" (орфография сохранена :)), уж Вы-то должны знать, что HTML - это не язык программирования, а язык разметки.

Также мне сходу на ум не приходит ни одного сценария, когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде (читай на сайте).

Я лично периодически этим пользуюсь для обхода разных багов на так называемом проде разных сайтов. Не часто, но случается. Иногда - для ручного составления правил блокировки рекламы. Временами - в процессе написания собственных UserJS или UserCSS для улучшения юзабилити или дизайна сайта. Всё это - вполне стандартное использование сайтов для продвинутого юзера/разработчика.

P.S. Кстати, я даже не фронтендер и никогда им не был (лет 20 назад недолго считал себя условным фулстеком на уровне "могу сделать админку на jQuery" если очень-очень попросят).

Ну так я и написал, если мы считаем.

От багов я тоже часто лезу в код, но скажем прямо, это не стандартный кейс, а проблема сайта - ведь если у нас не работает программа, мы же не лезем ее чинить. Опять же, сейчас прошло время сайтов, пререндеренных в php, а сам код фронтенда - сейчас уже полноценный проект со своей, часто обширной, логикой, а не 5 файлов, как раньше. И желание эту логику спрятать - вполне естественно (ведь все остальные non-open sourсе прячут свой код поглубже). Поэтому рассуждения в эту сторону имеют право быть.

А в чём смысл рассуждений, которые начинаются фразой "если мы считаем козу баяном, то …"?

У нас же свободное общество и рассуждения могут быть любыми, в рамках закона естественно.

А смысл от рассуждений это перебор вариантов, в том числе и глупых на первый взгляд.

Это не Ace Attorney, где тупейший вариант приводит к истине.

Хотя бы в том, что законодательные прецеденты создаются для всех граждан, а не для социальной группы фронтендеров. И из тех граждан (к которым вполне относятся судьи и прочие губернаторы) языком программирования HTML назовет кабы не большинство.

Для социальной группы "судьи и губернаторы" предусмотрен механизм привлечения экспертов, задача которых как раз в том, чтобы компенсировать невежество данной социальной группы в нужных областях. Поощрять невежество в законодательных прецедентах чревато крупными неприятностями в (ближайшем) будущем.

если у нас не работает программа, мы же не лезем ее чинить
Приехали. Free and Open Source software так и работает. Если есть компетенции, то почему бы патч не отправить.
если у нас не работает программа, мы же не лезем ее чинить
Over 9000 патчей, чинящих баги, можно найти на множетсво неподдерживаемых игр, а иногда и ПО.
ru.wikipedia.org/wiki/Хакер
… Эксперт в компьютерной безопасности, ищущий слабые места в системе, который либо их исправляет, либо использует в своих корыстных целях.(Крэкер)
Я лично периодически этим пользуюсь для обхода разных багов на так называемом проде разных сайтов.
Также я использую иногда, чтобы просто посмотреть вёрстку и стили для обучения. Да, часто там могут быть не самые лучшие решения, но часто это всё же лучше, чем городить что-то своё. Т.к. я больше бэкендер, и с html-версткой знаком не очень сильно, то часто есть необходимость что-то подглядеть у других
уж Вы-то должны знать, что HTML — это не язык программирования, а язык разметки.

А где граница между языком разметки и языком программирования? В декларативности/императивности? Так нет, куча декларативных языков.

Для абсолютного большинства языков - это полнота по Тьюрингу. Есть пара известных исключений (напр. SQL), которые принято называть языком программирования, хотя, на мой взгляд, это скорее исторически сложившаяся практика нежели корректное название. Подробнее можно почитать в https://en.wikipedia.org/wiki/Programming_language#Definitions

Но можно отметить, что на HTML5+CSS3 можно реализовать rule 101, и следовательно -- они тьюринг-полны

А уж в отношении HTML+JS вообще нет никаких вопросов… только сам HTML от этого языком программирования не становится.

Рекурсивные SQL-запросы тоже Тьюринг-полны.

Речь шла про SQL-92, а рекурсию добавили позднее.

Если уже за просмотр полностью открытого HTML кода есть желание закрыть, то уж за перехват как бы «закрытого» кода сниффером посадят 100%.
когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде

Постоянно пользуюсь чтобы убрать какой-нибудь очередной надоедливый баннер на полэкрана.
Ublock Origin позволяет это сделать буквально в три клика мышки — без просмотра html-кода.
Если у баннера айдишник вида «irk85dM», то эти три клика помогут лишь одноразово, до следующего посещения сайта.
А просмотр html-кода позволит ибавиться от такого баннера? Если да, то можно чуть подробностей — каким образом? (вопрос без подвоха)
Например можно увидеть что родительский элемент этого банера всегда имеет уникальный селектор, или что этот элемент идет по счету четвертым всегда, или что у него есть определенный текст внутри. Я не фронтендер, но почти всегда за пару минут любой баннер, или не нужный элемент («похожие публикации»), уходит.

Там помимо кода есть теги script, которые довольно часто содержат один статический entry point для всей рекламы, который можно заблокировать, скормив его урл или его часть ublock'у. Всё-таки полностью динамическую верстку создавать для обхода ублока довольно нерентабельно.

можно блокировать по xpath или по css selector

В общем-то, выше уже ответили. Гарантированного решения, конечно, это может не дать, но во многих случаях по коду можно найти более универсальный способ блокировки, чем тот, что uBlock предлагает при использовании пипетки.

если мы считаем HTML языком программирования

А мы умные, потому так делать не будем.

то тогда с одной стороны запрет его просмотра вполне имеет резон

Нет, не имеет. Если запретить смотреть на коррупцию, она не пропадёт.

сейчас де-факто любая верстка open-sourse

Вы и понятия не имеете, что термин open source определяется OSI, а смысл не только в открытости кода, не так ли?

бери, копируй

Вообще нет.

С другой, даже если взвесить все за и против, и решиться на такой шаг - то смысла в нем нет. То, что хром закроет доступ к коду, значит лишь то, что хром закроет доступ к коду, а получить его можно будет все равно.

Да, но прецедент всё равно плохой.

Да и школьникам win+r -> iexplorer.exe ничего не мешает ввести

И получить неработающий сайт?

Для тех, у кого, о боже, могут украсть их заветный html и css, который никто не должен даже пальцем тронуть, теперь существует flutter, т.к. это буквально бинарник в браузере, который рисует в canvas (возрождаем flash?)

UFO just landed and posted this here

Точнее, "используя вредоносную программу для ЭВМ "вгет". Это чтобы ст.273 УК РФ получилось...

Не так. Лучше: «...используя программу „вгет“ в качестве вредоносной». Т. е. тщательно подошел к планированию и совершению преступления, использовал предметы, широко распространенные в гражданском обороте. :-(

Не, так не подходит под диспозицию ст.273 УК РФ - там требуется, чтобы программа была вредоносной. Но формулировка вредоносности достаточно "резиновая".

Ст.273 УК РФ относится к т.н.з. статьям с формальным составом преступления - т.е. цель использования, мотивы и последствия/ущерб не требуются, но доктрина предполагает, что применение статей УК с формальным составом допускается только в случая прямого умысла правонарушителя. Собственно, именно поэтому если бы ст.273 УК РФ применялась "как написана", а не избирательно - половина Лаборатории Касперского уже давно должна сидеть.

По определению программа это совокупность самого бинаря с введёнными пользователем параметров к ней. То есть wget лишь компонент программы, а параметры введённые уже определяют ее «вредоносность». В менталитете «юристов» все что вы вводите в консоле уже является актом программирования ЭВМ. Так же можно натянуть и программы с GUI. Трактование такое, что даёт полную свободу фантазии, которую сложно будет опровергнуть, ведь в отличии от IT инженера, прокуратура разговаривает на одном языке с судьей (тем кто принимает решение о виновности).

Чуть позже: "… используя запрещенный Интернет..."

Просто "...используя иностранную сеть Интернет" - Интернет и так уже в кучу статей записали как отягчающее обстоятельство.

В конце 90-х или начале 00-х, помнится, была новость: некая контора выпустила продукт с защитой от чего-то, реализованной следующим образом: когда пользователь вставляет CD-ROM, запускается autorun и, не спрашивая, устанавливает защиту (ну, вы знаете, Windows 95, никиких там UAC и этого всего). Не помню, реально они судились с неким чуваком, написавшем где-то, что можно обойти эту «защиту», зажав на клавиатуре кнопку, отключающую autorun, или только собирались судиться. Когда им указали, что это не какое-то там «хакерство», а всего лишь использование штатных возможностей компьютера путем нажатия кнопки на клавиатуре, они обещали подготовить иск к производителям клавиатур: типа, чо они делают их с хакерскими кнопками, позволяющими обходить защиту. Подробностей не помню, возможно, и фейк, правда.

Что-то вспоминается -:).
Но — а почему к производителям клавиатур?
Надо к Microsoft, что они обрабатыват нажатие на хакерские кнопки (а еще сделали опцию для отключения autorun в принципе)

ЕМНИП, Sony была замечена в подобном скандале.

Ви так волнуетесь, как будто форкруть лису афигеть как сложно.

Да, форкнуть лису офигеть как сложно.

Если не согласны - форкните и поподдерживайте её хотя бы полгодика.

На ChromeOS причем. (Для тех кто статью не читал, запрет касается этих девайсов)

Ахренительное умнение читать комментарии: сам за автора додумал, сам себя опроверг.

Пальцем покажите, где я что-то писал про "поддержку"?

- Товарищ прапорщик, а можно телевизор посмотреть? - Можно! Только не включайте!

Форк без поддержки и развития никому не нужен. "Форкнуть лису" так, чтобы это кому-то было нужно - офигеть как сложно.

Кончайте уже двигать ворота.

Сначало было "ой, гипс снимают, клиент уезжает браузер запретит нам просматривать HTML-код". Потом стало "ой, если форкнуть лису, то не будет поддержки" (кстати, товарищ Торвальдс чтой-то этим вопросом не задавался). Потом стало "ой, если форкнуть лису, то она никому не будет нужна" (LibreWolf, WaterFox, Tor Browser и ещё с десяток форков смотрят на Вас с недоумением). Астанавитесь уже!

Большинство этих форков существует только за счет того, что постоянно мерджат себе изменения из апстрима. Не будет развития апстрима - не будет и их развития со всеми вытекающими.

Кончайте. Двигать. Ворота.

Пальцем покажите, где в изначальном комментарии кто-то сказал про "изменения", "поддержку" и проч.

Вам уже выше иносказательно посредством анекдота объяснили, что форк без поддержки не имеет смысла, а в комментарии выше я попытался объяснить - почему. Если для вас вывод неочевиден, то ничем не могу вам помочь.

ничем не могу вам помочь

Вы так говорите, как будто я Вас просил мне помогать.

Простите за оффтоп, не удержался.

А лису вы перед форком спросили?

Кажется настоящие злоумышленики в этот момент покатываются со смеху и потирают руки в предвкушении нового поколения приложений со "скрытыми" данными в HTML...

Вот и выросло поколение, которое считает изменение HTML взломом )))

Это поколение не выросло, а состарилось

Эм, назовите мне исследователя по безопасности, который эту дичь как vulnerability примет ?

Его запинают "старички".

У гугла политика и прочее, оно не всегда со здравым смыслом контачит...

Могу назвать троих, которые буквально заявляли подобное - но это будет разглашением личной информации. Правда это не столько исследователи, сколько управленцы и "специалисты".

Вообще поражает тотальное незнание матчасти (и нежелание её знать) у "специалистов" и "аналитиков" по информационной безопасности. Как, блин, плохой автомеханик, который разучил ритуалы кручения гаек, но несёт полную дичь по физике процессов в моторе. Так и эти говорят про "окна и поверхности опасности", но просишь дать оценку риска в потерях $$$ в месяц - смотрят на меня гигантскими непонимающими глазами как на марсианина. А начинаешь спрашивать об уровнях OSI, TCP/IP (в контексте: где какие фильтры/защиты нужны), так вообще теряют дар членораздельной речи.

Я скорее про тех, кто за счет своей выслуги лет уже принимает не vulnerabilities, а решения о том, что ими является, а что нет.

А чем плоха ситуация, когда пользователя ограничивают в использовании компьютера, который ему не принадлежит? Чем блокировка view-source: принципиально отличается от любых других блокировок (например через групповые политики в Windows)?

Тем что это прецедент который может лечь в основу неприятной цепочки:
1. Дети читерят, а давайте дадим возможность закрыть просмотр исходного кода.
2. Ой, эта фича такая популярная, давайте сделаем просмотр закрытым по умолчанию и вынесем его включение в настройки.
3. Ой, обычные пользователи его не включают, давайте вообще в about:config
4. Ой, оказывается об этой фиче знают только разработчики. Давайте же накатим DRM.

66. На этом шаге сайты отдаются в виде подписанных бинарников, пользователи рады скорости, бизнес рад тому что больше не палит код написанный разработчиками, гугл счастлив что его зонды/рекламу больше не вырезать.
Видеоигры уже прошли весь этот путь. И что?
И всё, мысль закончена. А мнения пользователей о современном геймдеве можете найти под любой соответствующей статьей, они довольно однозначны.
Мнения халявщиков о чём угодно можно найти под любой статьёй, вы правы.
«Платить не хочу, рекламу не хочу, зонды не хочу, ублажайте меня просто так.»

о, не думал что встречу тут хотящего зондов!

PS: то что вы заплатите денег - не значит, что у вам их не постараются всунутью Только исходники еще как-то могут обеспечить вам знание - есть они там или нет...

Зачем вы приписываете мне придуманную вами позицию и о каких халявщиках идёт речь? Если кто-то заявил что товары должны быть бесплатными то он не прав, но таких я тут не видел. Или под халявщиками вы подразумеваете недовольных модной нынче политикой «жри что дают или голодай»? Если так, то вам стоит исправить последнюю строку
Платить хочу, платную возможность отключить рекламу хочу, зонды не хочу, ублажите меня за мои деньги а не кормите дерьмом
Цифровые копии товаров, созданные клиентом, должны быть бесплатными.

Пока что наоборот, халявщики стоят в сторонке и посмеиваются над добросовестными пользователями. А те бьются в истерике–"я заплатил приличные деньги, а мне подсовывают поделье, которое ещё и тормозит безбожно из за DRM". А если конкретно про гейм дев, то они еще всхлипывают про лутбоксы и pay2win. Халявщиков эти проблемы не трогают, они скачали с торрента, у них ничё не тормозит, модеры им причесали баги и разблокировали бонусы.

1. Недавно rockstar games launcher навернулся, и те кто честно купил игры, не могли их запустить.
2. Из-за сраного starforce я не могу поиграть в часть честно купленных игр, т.к. либо диск не читается из-за царапины, либо привод не воспринимается

А что «халявщики»… они в этой ситуации спокойно играют, не задумываясь о проблемах.

Это в общем-то всегда так. Из-за того, что у вас есть какие-то там проблемы, всем остальным нужно ограничить свободу. Очень милая позиция.

Не только видеоигры. Стандарт для iOS, например - более того, там ещё и контроль над поведением бинарников со стороны владельца платформы есть. И все без иронии довольны.

Опять же не все, есть же движение за установку сторонних магазинов на iOS.

59

Повсеместное HTTPS (та же цифровая подпись, вид сбоку), приколоченные сертификаты, прослушать траффик низзя, изменить низзя.

Вы находитесь здесь, если что.

Локально всё сделать можно, корпоративно тоже (установив корневой сертификат компании на все компы.)
Не вполне понимая вашу реплику, прошу уточнить: почему я обязан перевести сайт на HTTPS и приделать к нему сертификат?

Я несколько раз искал людей, которые хотели бы принудить меня к этому. Однако не нашёл. Более того — людям вообще неприятен вопрос о том, какой программой получать сертификат под windows XP и какой командой подключить сертификат к веб-серверу IIS 5.1.

почему я обязан перевести сайт на HTTPS и приделать к нему сертификат?

Если я правильно понимаю общую тенденцию, стандартный броузер в Windows 14 ваш сайт не откроет. А firefox, собранный старинным компилятором из старинных исходников, не откроет современных сайтов на html6.

Ага, то есть мейнстрим к тому движется, чтобы отказаться от HTTP. Но ведь здесь получается коллизия. Либо надо создавать инструменты, которые позволят всё наследие переводить под HTTPS. Либо надо отказываться от всего наследия.

С одной стороны, отказываться от наследия всё-таки дорого, потому что оно большое и полезное.

С другой стороны, создавать инструменты, которые позволят делать «let's encrypt автоматизацию» под windows xp, никто не спешит.

Тут возникает вопрос, зачем же поддерживать старые решения. А вот зачем. Старые решения давно уже построены, они не требуют заботы. Чтобы их переделать, нужен расход. Чтобы покрыть расход, нужен доход. А дохода от старых решений нету, они не ради дохода были сделаны.

Проще говоря, старые решения работают сами, а для их обновления нужен расход!
они не требуют заботы

А дыры в этих решениях, надо полагать, сами себя божьей милостью чинят.
Там нет дыр. Там есть сайт, который не получает от клиента никаких параметров и ничего не записывает.
Этот сайт не генерирует (и не будет генерировать) никаких финансовых потоков — это и есть фатальный недостаток старинных решений.
Я совершенно согласен с вашим словом. Я об этом и талдычу. И вот по этой причине у такого сайта нет денег для перехода на HTTPS.
у такого сайта нет денег для перехода на HTTPS


Но letsencrypt оно же бесплатное…
Ох. Извините, я вам в личном сообщении напишу.

Кушать вкусный стейк так же бесплатно, но за его приготовление - я предпочитаю заплатить профессионалам )

Это дополнительная инфраструктура, поддержка, настройка. Может быть там сайт на статике вообще был, почти ничего не ел, а тут надо и вебсервер менять на актуальный и настраивать получение сертификатов по расписанию и т.д.
На моём шаред вебхостинге сертификаты, что встроены в cPanel платные, а бесплатные не очень просто настроить (точно не пара кликов).
Эксплуатировать IIS 5 это тоже не бесплатно. Где-то находится старый сервер, который жрёт энергию, занимает место в стойке, и в любой момент может развалиться просто от старости.
За домен кто-то платит.
За подключение к интернету.
Да, возможно, его перетащили в виртуальную машину. Так это ведь тоже не бесплатно.
Верно, поэтому и написал, что «почти ничего не ел».
А так, дополнительные расходы чтобы что? Чтобы хакеры не подменили страничку моего блога конечным пользователям через MITM атаку?
Вы, как владелец блога, имеете право хостить его хоть на gоofer'е внутри старой микроволновки ;)
Но если хочется, чтобы блог был доступен разным пользователям с разными терминалами, и чтобы в поисковой выдаче не проваливался — приходится соответствовать трендам.
Не только хакеры. Мобильные операторы, например, были не раз замечены в интеграции рекламы в сайты на HTTP. Так что, если вы хотите, чтобы ваш сайт содержал только вашу информацию — вам следует переходить на HTTPS.
Об этом писали в том числе и на Хабре.

Знаете, в чём проблема ваших суждений? Вы думаете, что статический сайт — безопасен.
Пример уязвимости RCE, которой хватает IIS 5.1 и не нужна динамика: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4360. И она не одна такая. Ваш сайт может быть уже не совсем ваш. Как и ваш сервер.

IIS 5.1

Там нет дыр.

Спасибо, посмеялся в голос. Вам там одну уже накинули, держите еще две
CVE-2002-0150 — remote code execution
CVE-2003-0223 — XSS
И это мы только об IIS говорим. Что-то мне подсказывает, что если хорошенько постучаться по портам вашего сервера — найдется что-нибудь такое же несвежее.

HTTPS в первую очередь предназначен для защиты от прослушки и модификации данных третьей стороной (не клиентом и не сервером), точнее, этим занимается TLS. А инструменты для внедрения TLS перед всякими там IIS5 есть, и довольно распространенные, под общим названием nginx-proxy proxy server.

То, что из популярных браузеров уже выпилили FTP, а из почтовиков NNTP — вас задевает так же сильно? А ведь кто-то продолжал(ет) держать старые сервера: месяц назад здесь постили, что даже Gopher-сервера не все вымерли, но для доступа к ним теперь приходится искать экзотический софт.
Лично мне на прошлой неделе понадобилось перевести сайт на HTTPS и приделать к нему сертификат, чтобы вставить изображение с него на хабр: хром теперь отказывается загружать по HTTP изображения для страниц, загруженных по HTTPS.

К счастью, у меня не Windows XP и не IIS 5.1, так что апгрейд сайта был очень простым.
  1. Давайте уберем HTML из браузеров. Все равно все на WebAssembly.
Они не заменяют друг друга, а превосходно сочетаются вместе.

Итак, получается, что школьники гораздо больше понимают школьных админов и это плохо? Может, этим специалистам пройти курсы повышения квалификации? Или, на крайний случай, попросить этих самих школьников подтянуть их...

Когда-то я занимался сайтом для тестирования. Озадачил момент, что правильный ответ можно найти на самой странице. Это как? Один запрос, который возвращает вопросы и ответы для тестирования и сохраняет в коде страницы, что ли?

А что касается сайта штата Миссури, то это уже норма - государственные сайты не отличаются наличием защиты. И, если человек, прямо указал на некоторые проблемы, то за что его наказывать? Ведь, он мог просто тихо слить данные заинтересованным лицам и пополнить свой кошелёк.

Одно дело, если используются сложные схемы обхода защиты, но другое, когда данные лежат в открытом доступе и их обнаружение - только дело времени. Правильнее наказывать тех, кто допустил такую ошибку, нет? Или сайт делали "по-знакомству", либо, решив сэкономить, передали студентам?

Ну так "за-shit-а чести мундира" - явление интернациональное. Для чиновника важно, чтобы его проблемы оставались только его проблемами и открыто не обсуждались. А там аштээмэль-маштээмель ему не важно: заткнуть рот, причём максимально показательно, чтобы другим не повадно было.

Ну, хорошо, заткнут рот, дальше что? Никто не захочет уведомлять об ошибках. Будут появляться "сливы". Когда начнут копать, докопаются до этих бедолаг (разработчиков), которые за копейки или "за спасибо" сделали по-быстрому сайт.

Ну да, а все чиновники будут в белом, да ещё и плюшки получат за "выявление" и "оперативное реагирование" (+деньги с распилов и откатов). В этом и смысл.

Поэтому и не нравится людям работать с государством/корпорациями. Но с другой стороны: а с кем же тогда ещё работать?

Если человек указал на проблемы, это означает опасность. Даже две опасности.

1) Он недобросовестный и желает искать чужие проблемы.
2) Он недобросовестный и сможет найти чужие проблемы.

То и другое — небезопасное поведение для тех, у кого есть проблемы. Поэтому надо запретить и не пущать!!!!!!

Запретить человеков?

Бывает так, что ошибки можно найти случайно. Ну, например, какой-то элемент неправильно отображается, из-за чего не видно содержимого. Открываем панель разработчика и... о-па!

Если человек указал на проблемы, то возможно, что этот самый человек использует эту систему и не хочет, чтобы какие-либо его (или вообще) данные был в открытом доступе.

А, вот, если человек не указал на ошибку, то тут две опасности:

  1. Ему плевать на систему.

  2. Он собирается использовать эту информацию в своих корыстных целях.

Вспомнилась байка с shit happens, где в школу пришли с районо устанавливать интырнет-фильтры на каждый компьютер. Самописные, местного разлива (студенты видимо писали), под винду. Только там во-первых фильтрация уже стояла на прокси-сервере, во-вторых учитель информатики на ученические компы тогда поставил линуксы, и та поделка если даже и ставилась под вайном, то работать конечно же совсем не могла.

Закрыв просмотр кода они лишь усугубят проблему создав Иллюзию безопасности. Теперь те, кто считал допустимым хранить в коде "лёгкие" метаданные решат,что можно хранить и "тяжёлые" типа паролей. Ну а чё, доступ же закрыт, не?(нет)

UFO just landed and posted this here

Я даже встречал вариант, в котором замена https://domain/login.cgi на https://domain/index.html давала полный доступ к контенту включая админку.

Переходим на WASM с рендером на канвасе - и все, исходный код сайта защищен от 99% любопытствующих. Трансляторов WAST в какие-либо вменяемые языки, вроде как, еще нет, а смотреть чистый WAST - ну такое.

Пока этому мешает необходимость индексации в поисковых сервисах. Но условному Фейсбуку, у которого есть своя собственная экосистема, ничего не мешает что-нибудь подобное сделать, и я думаю, что рано или поздно сделают.

UFO just landed and posted this here

- Знаете, почему его зовут Неуловимый Джо?

- Нет, почему?

-Потому что он на фик никому не нужен.

Как только WASM станет достаточно популярным появятся системы обхода защиты, вплоть до полностью автоматических. Пока клиент будет получать данные(код) для самостоятельнего рендера, вместо готового рендера, код невозможно защитить от изучения. Никак

Удивительно, насколько в "большой" юрисдикции кладут на принцип "не умножай сущности без надобности".

  1. Если владелец данных (страницы) хочет их шифровать, то для этого есть двести способов, вплоть до флеша передачи итоговой векторной картинки страницы. Для скриптов на эту тему webassembly придумали, и как-то никто особо не обломался.

  2. Если данные доступны в свободном виде неограниченному кругу лиц, а тут именно так и было, то ответственен тот, кто допустил утечку. Как я понимаю, на этот счёт никаких движений никем не делается. Почему-то.

Это - всё.

По сути, человеку предъявляют за то, что он вообще умеет читать.

Видимо все придет к тому: нашел мину, неси в полицию оформлять, а потом труби в газеты..

нашел мину, неси в полицию оформлять, а потом труби в газеты

Скорее так: нашёл мину, неси в полицию оформлять, а заодно пиши заявление, что сдаёшься правосудию по собственной инициативе, вину свою признаёшь и принимаешь, и просишь учесть этот факт при составлении приговора.

Человеку предъявляют за то, что он умеет читать, однако не умеет читать только дозволенное.

Ему предъявляют за то, что он разгласил "уязвимость". Хоть и не говорят об этом в открытую (а говорят, что он хакер, взломал и слил данные учителей). Кроме того, с какого буя он потащился в ГАЗЕТУ, Карл, в ГАЗЕТУ. Это как если Ваш клиент вместо того, чтобы пожаловаться на баг и дыры в коде, побежит трепаться об этом на местное телевидение, соцсети, и в СМИ, дискредитируя Вашу компанию, и подстрекая других хакеров и народ посмотреть на Вашу уязвимость и поиграться с этим.

Не хотите чтобы кто-то в СМИ дискредитировал вашу компанию за ваши же косяки - не косячьте. А то ввели моду - виновным считать не того кто косяк допустил, а того кто "сор из избы вынес".

Ну Вы же не говорите клиентам, что у Вас глючное ПО, не надо покупать его (и иметь дело с нашей фирмой). Кроме того, (пункт 1) работа с "косяками" обговаривается сразу с клиентом, ибо ошибки неизбежны (составляются договора о ТП и Сопровождении). Во-вторых клиент не захочет Вам платить за косяки. А почему? Потому что, см. пункт 1.

Вы считаете нормальным скрывать свой баг от своего же заказчика/начальника? (Извините, вопрос риторический, подразумевает ответ "нет".)

В случае гос.учреждений вроде обсуждаемого, работающих на налоги, заказчиком являются налогоплательщики. ГАЗЕТА, Карл, это один из самых обычных способов донести до налогоплательщиков важную для них информацию. :)

Простите, но я не упоминал про заказчиков и исполнителей. Я хотел сказать, что он, наверное, нарушил какую-то норму, соглашение, установленное и прописанное в каком-то договоре с данной организацией. В статье сказано, что газета дала время, но действительно ли они сообщили об обнаруженном баге, и было ли это от лица героя, либо же от лица редакции газеты? Короче говоря, он должен был сообщить организации, сохранить дату и текст обращения, убедиться, что у него есть доказательство, что он к ним обращался и предупреждал по поводу бага до публикации. Потому что, в договоре, в соглашении могут быть указаны обязанности и для потребителей.

Так он журналист в этой газете. При этом:

Перед публикацией информации газета дала время школьному департаменту исправить уязвимость, а потом опубликовала информацию.

Из того, что прочитал я, там не было уязвимости, информация находилась в открытом виде. Карл, если угодно.

Аналогии с "моим клиентом" вообще некорректны, взаимодействие с клиентами строится на взаимной выгоде, всегда. Не говоря о том, что приватная информация как правило защищена лицензионным соглашениям. Фразы типа "запрещается реверс-инжинерить код и данные" вам знакома?

Т.е. снова умножение сущностей без этого самого.

Это "как должно быть". А как "в реальном мире" может быть по-другому. Есть честные, есть жадные, есть мошенники. Кто-то опирается на "взаимовыгоду", кто-то на "свою выгоду". А про лицензионные соглашения, да, возможно, тут он что-то нарушил.

Очень интересно вернуться к этой теме в такой интересный момент.

По существу - хоть переход на тему "реальности" это такой вцелом перевод стрелок в сторону "всякое бывает", но вцелом понимаю, что вы говорите.
Давайте тогда уж, говоря о реальности, примем, что у каждого своя реальность, что уж останавливаться. Кому-то живодерство в радость, и это он так видит. А у других может иметься странная позиция, будто если деловой партнер оказался кидалой, то он больше не партнер, и распространить эту информацию. И внезапно оказывается, что в массовом применении такая стратегия выгодна обществу и каждому лично (кроме кидал). См. нормальная форма теории игр.

Ваше сравнение героя топика с работником, раскрывающим внутренние проблемы конторы - некорректны, кстати, т.к. герой не связан с конторой никакими моральными связями, и увидел только то, что показывали публично. Это даже какой-то из методов демагогии, найду если интересно.

Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры.

Если блокировку и фильтры можно обойти просмотром кода страницы, то может быть проблема в системах фильтрации, а не в функциях брайзера?

ИМХО машинный код также нельзя запрещать просматривать, запускать и даже публиковать найденные ошибки, либо обсуждать решения. Скажем не должно быть никаких отличий от книги.

То есть, как в случае с книгой, нарушением должно быть лишь либо плагиат, либо незаконное завладение.

Иначе имеем сужение прав пользователя да и просто глупости, как в данном случае а-ля в HTML не смотри, сообщения об ошибках и эксепшены не смотри, корки не смотри. И, не дай Бог, ни с кем не обсуждай

ИМХО машинный код также нельзя запрещать просматривать, запускать и даже публиковать найденные ошибки, либо обсуждать решения. Скажем не должно быть никаких отличий от книги.

Формально "программы для ЭВМ" защищаются как литературные произведения, что исходный код, что исполняемый.

Иначе имеем сужение прав пользователя

А у пользователей и так прав нет, к сожалению. Что сужать-то?.. Даже на книгу-то права есть только на ту пачку бумаги, на которой она напечатана....

Адвокаты-то порезвятся на фоне всеобщей интеллектуальной импотенции... То, что журналист имел возможность (как и все остальные :)))) просмотреть персональные данные, не означает, что он имел право их разглашать.

Так а он не разглашал данные. Он сообщил, что данные там есть.

А это можно посчитать разглашением?

В реальности газета нашла девятизначные номера в коде HTML, в открытом виде — и проверила по сторонним базам, что эти цифры действительно являются номерами SSN трёх действующих сотрудников. Консультацию и помощь в проверке предоставил Шаджи Хан, профессор по информационной безопасности университета Миссури-Сент-Луиса.

... Власти также начали расследование действий профессора Хана, к нему домой пришёл полицейский патруль для опроса.

Еще интересная тема с API. Потому что это тоже вроде-как общедоступная информация, но как тогда быть, если запросы отправляются не из приложения, а напрямую. В том числе и такие, которые на уровне приложения отправляться не могли, и поэтому на стороне сервера правильно не обрабатывались.

В судебной системе Штатов, в отличие от других, мне известных, есть проблески независимости и адекватности. Другой вопрос, что:
1. Прецедентное право, хотя и обеспечивает часть этой независимости (ценой адекватности, к сожалению), очень сложно как система;
2. Граждане, из которых, в принципе, и состоит государственная система (см., например, habr.com/ru/post/290210), должно обладать мало того, что серьёзным уровнем политической и юридической (как минимум) грамотности, так ещё и большими материальными ресурсами (налоги) для поддержки этой системы в рабочем состоянии.

«Государство – это мы». Однако общество, а именно крайнее его проявление – толпа, не вызывают оптимизма. Средний уровень любого общества всё ещё низок для стоящих перед обществом задач. А значит, в вопросе решения о распределении ресурсов толпа-"буриданов осёл" выберет, скорее всего, корпорации, дающие дешёвый, простой и яркий фастфуд без необходимости нести ответственность.

Школьники, конечно, молодцы, что используют смекалку и пробуют способы для обхода системы

школьная смекалка может помочь не светить почту/имя и на известных ИБ сайтах — rt-solar.ru/analytics/webinars/2431

просто смотрим код:
<script>
el2359.onclick = function() { 
toggleModal('modal-video');
$('#modal-submit-event').val('Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств');
$('#name-video').html('Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств');
$('#video').attr('href', 'https://www.youtube.com/watch?v=hZ_dFFrIzYA&t=1406s');;
 };
</script>


оп!

Заголовок: в огороде бузина, а в Киеве дядька.

Пост, аргументы в посте: в огороде бузина, а в Киеве дядька.

Комментаторы: в огороде бузина, а в Киеве дядька.

Фича в Chromium: а мне норм.

Вот почему нельзя использовать продуктов корпорации! Даже когда они вроде бы свободные и с открытом кодом. Всегда норовят какую-то корпоративную бяку подсунуть. Используйте только продукты разрабатываемые обществом.

Используйте только продукты разрабатываемые обществом.


Попробовал открыть этот сайт через lynx — что-то не зашло.

Ну, не знаю насчет lynx, я его не использую, но через elinks, вполне достойно:


image


А в PaleMoon, совсем даже ничего:


image

Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.

Абсолютно ничего нового. Я всегда говорил, говорил и буду говорить не работать на: правительство США, компании из США.

Их УК это какая-то злая шутка.

То есть посетитель государственного сайта хотел посмотреть общедоступную информацию по учителям, а злостные нарушители правопорядка разработавшие этот сайт, вместо запрошенных пользователем данных - намеренно присылали ему приватные данные учителей, включая номера страхования? - Причем разработчики обязаны были отлично знать, что в этом случае приватные данные будут автоматически сохранены в кэш на компьютере пользователя, если он использует стандартный софт в обычном режиме не совершая каких-то специальных действий для сохранения, пользователь мог даже не знать, что ему что-то подкинули. Эти люди намеренно подбросили журналисту приватные данные и подали на него в суд, всё верно?

Кажется у иска есть все шансы прилететь в обратную сторону, по крайней мере хотелось бы верить.

Кроме запуска посторонних игр, школьники якобы используют просмотр HTML-кода для читерства, чтобы узнать правильные ответы во время экзамена, если система запроектирована некорректно.

Именно так мы и делали в универе. Была у нас внутренняя система тестов, правильный ответ в тесте всегда был в радиоинпуте со значением value=1, а у инпутов просто был рандомный порядок вывода. Года через 2 после внедрения пофиксили когда кто-то обнаглел до такой степени, что написал js проходивший тест за секунды

Функция, описанная в статье, может быть полезна, например, для создания киосков. Ни к чему, чтобы любой мимо крокодил мог "открыть страшные хакерские буковки" волшебной комбинацией ctrl-u, даже если в самих буковках ничего секретного нет. Хотя бы потому, что (в случае аппарата а ля банкомат/платёжный терминал) он заставит людей за ним в очереди гадать, как эту гадость закрыть.

UFO just landed and posted this here

Возможно я отстал от веб-технологий, но что мешает американским школоло в томже редакторе хтмл написать?

<a href="https://surviv.io/">pwned</a>

Зачем вообще копировать исходный код результатов поиска гугла когда нужно просто по ссылке перейти по известному адресу? Какие-то непостижимые для меня извивы американской логики...

что мешает

То, что школоло (в целом) — они не писатели, они копирователи?

Я думаю, что Google рано или поздно уже придётся определиться, для кого они пишут продукт под названием Chrome: прежде всего для обычных пользователей сети Интернет или для специалистов Веб-разработки.

Сейчас же Chrome, как и большинство других браузеров на основе Chromium, - это некий комбайн. Однако в последних версиях он обрастает всё больше функциями именно для обычных пользователей Глобальной сети, такими как: список для чтения, управление медиа-источниками, запрет небезопасных протоколов и т.п. Так что вполне логично последующее разделение этого продукта на 2 отдельных:

  • "пользовательский" браузер (безопасный, с ограниченным доступом к техническим данным);

  • инструмент Веб-разработчика.

В таком контексте вполне понятны данные ограничения возможностей "пользовательского" браузера.

По сути дела, сегодняшний комбайн Chrome - это исторический результат попытки понравиться всем и сделать браузер самым популярным. Но я больше чем уверен, что подавляющее большинство пользователей Chrome ни разу не прибегало к функции просмотра кода, да и не имеет представления, что такое HTML. Для них вполне достаточно взаимодействия с "надприкладным" уровнем TCP/IP, именуемым в простонародии UI. Поэтому здесь можно долго рассуждать об очередной попытке ограничить в правах рядового пользователя. Но так ли эти права ему необходимы?

В мобильном приложении Chrome, к примеру, давно уже все как-то смирились с отсутствием возможности просмотра исходного кода. Я уже молчу про другие фичи, такие как расширения и инструменты разработчика. Кому они необходимы, пользуются другими браузерами на мобильных гаджетах.

UPD: в процессе написания комментария понял, что всё-таки такая возможность в мобильном Хроме есть: нужно просто дописать в начало адресной строки "view-source:". Но отсутствие соответствующей кнопки в UI лишний раз подчеркивает тот тезис, что Chrome - это в первую очередь браузер для рядового пользователя, а не для технического специалиста.

Не пора ли уже Гуглу фрагментировать целевую аудиторию посредством разделения продукта на 2 отдельных, и пусть уже там админы сами решают на уровне политик безопасности ОС, кому какое ПО предоставлять?..

Другое дело, действительно ли Google готова к расщеплению своего продукта?.. И зачем ей это разделение, пока можно плодить кучу костылей, дабы угодить всем?.. Ну реально, ведь это же ещё тот костыль: запретить внутри приложения снифать трафик, когда существует множество других уровней для его перехвата и модификации, и HTTPS при прямых руках тут не помеха. Другое дело, что на остальных уровнях есть и инструменты для ограничения доступа к таким данным со стороны админа. По сути, мы наблюдаем, как Chrome постепенно превращается в операционку внутри хостовой ОС, которой необходимы аналогичные средства администрирования.

Так что я считаю, что добавление таких костылей в Chrome - это скорее некий компромисс между очередным запросом от Enterprise-сегмента и попыткой не растерять часть своих пользователей. Ну и это тупо дешевле, чем плодить новую сущность без особой необходимости.

А что касается юридической стороны вопроса, тут я полностью согласен с автором статьи, что угрожать уголовным преследованием за просмотр информации, полученной из открытых источников, уж точно странно. Ну а некорректно настроенные системы просто должны быть настроены корректно. Первопричина, всё-таки, как я понял из данной статьи, в Веб-системах, а не в браузере. Вот и всё.

Sign up to leave a comment.