Comments 58
научились публиковать анимированные картинки от любого пользователя в системе
Сразу видно качественно сделанный продукт.
Ну почтой электронной до сих пор пользуются. Там по сути тоже можно от любого имени отправить.
Но в папке «Отправленые» поддельные письма у вас не появятся.
Тут же:
Коллеги Авада, когда кликали на его историю, видели там совсем непотребный контент, который Бен не выкладывал.
Почта в качестве аналогии подходит плохо, правильнее было бы провести аналогию с онлайн-площадкой, тем же «Хабрахабром».
Когда-то да, можно было, но теперь надо указывать в ДНС записях сервера с которых идёт отправка, а если сервера там нет, письмо 100% ляжет в спам.
Если в записях нету доверенных серверов отсылки почты, будет 99% вероятность попадания в спам
Ну если вы пользуетесь гмейлом, мейлом, Яндексом или что там ещё то да. Но так то вообще технология это более чем позволяет.
У меня на работе сервер отдельный шлёт письма именно от имени юзеров (удобнее список глазами смотреть) и аутлук все спокойно показывает.
С другой стороны — эти спамфильтры ровно потому и появились, что технология сама себя не защищала никак.
Ну вы не путайте on-behalf и прочие рассылки конторлируемым корпоративным сервером с подделкой оправителя на общедоступном почтовике, а тем более с манипуляциями папкой исходящие на аккаунтах третьих лиц не в корпоративной среде.
Да нет тут никакого on behalf. Куда-то мои изначальные слова не туда увели. Я написал, что у совершенно любого почтового сервера (sendmail или postfix) есть возможность указать from как переменную и вы можете туда вписать совершенно что угодно (даже несуществующий адрес на несуществующем домене) и письмо уйдет и будет получено вторым сервером. То что второй сервер может его сразу отклонить, или может его принять, но поменять тему на [suspected spam] и сложить в отдельную папку это уже дело десятое. Кстати гмейл такое письмо примет нормально, конечно в папке спама надо искать, но тем не менее.
В общем был комментарий про "качественно сделанный продукт". Я заметил, что емейл начинался с весьма сопоставимым косяком. И дожил до наших дней.
У меня на работе сервер отдельный шлёт письма именно от имени юзеров (удобнее список глазами смотреть) и аутлук все спокойно показывает.
Вообще, это нарушение безопасности, раздел "защита от spoofing". Я знаю как минимум одну защиту от подобного — https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/email-validation-and-authentication?view=o365-worldwide (я думаю, для других серверов и сервисов есть аналоги).
В этом случае письмо от робота (который мимикрирует под пользователя) показывалось бы в Outlook как username@domain [untrusted]
(то есть Exchange сообщает детали Outlook'у).
В вашем случае, условный злоумышленник-инсайдер может послать письмо, где в поле from будет, например, директор. И тем самым можно на ровном месте создать проблем фирме. Чтобы не палить свой ip адрес, тот же злоумышленник может подправить немного билд файл в одном из проектов, и сделать отправку письма с билд машины (ветку надо потом удалить). В последнем случае расследование будет еще более сложным.
Да, вы правы, конечно, абы какой сервер так делать не должен и не может. Само собой у нас это сервер в том контуре, в котором в принципе можно так сделать + сервер в явном виде получил такой доступ.
В свою защиту скажу, что мы о таком подумали. Код на проде без попадания на проверку ИБ у нас не оказывается никак (я физически не имею доступа). С той проверки его не удалить никак, это статический анализатор на уязвимости, в нем каждая версия хранится и только ИБ может ее удалить (и то хз как). И это ещё у меня лайт версия — я всего то в отделе обучения делаю электронные инструменты для обучения )))
Почему бы и нет
Для разработчика из США (даже если это Техас, а не Калифорния), 9000$ это как раз 2-3 месяца зарплаты мид разработчика. Если компания видит перспективу в дополнении, купить его целиком — вообще мелочь.
С другой стороны, сейячас я вижу что автор marketplace.visualstudio.com/publishers/bar9 — это некий Roland Brand, а не компания. То есть просто кому-то понравилось дополнение, он его купил
Для лучшей социализации например. А зачем сториез нужны где либо еще? Автор написал такое расширение, кто-то его стал юзать — значит нужны.
Для лучшей социализации например.
Ну а чем порно в этом плане ему не угодило?
Как гифки с написанием кода могут социализировать?
Сториз нужны для тупых куриц в инстаграмчике и блогеров. Люди, которые пишут код, вроде ни туда, ни туда не попадают.
Чтобы смотреть всякое непотребство и при этом всем было видно, что пациент кодит (сидит в редакторе кода).
Мне пришлось гуглить, чтобы понять, о чем речь вообще.
Вообще прикольно
class {эмодзи робот}
{
public function {эмоджи пистолета}
}
Эмодзи оказывается нельзя на Хабре использовать
В питоне можно частично: https://pythonawesome.com/write-python-code-using-emojis/
В жаве дак вообще с 1995 года можно
А нет, нельзя. Юникод-буквы можно, а эмодзи нельзя.
[sarcasm]
Java 0:1 C++
http://godbolt.org/g/yFhKUg
[/sarcasm]
Осталось добпвить возможность использовать эмодзи в коде
https://www.emojicode.org/
Точно пора менять профессию
Говно со сторисами и до моего редактора кода дошло
Пошел-ка я нахер
Тогда действительно непонятно удивление автора: «Internet is for porn» ©
Дополнение VS Code Stories, добавляющее истории в редактор кода, купили за $9 тыc