Нет смысла обсуждать сертификат Минцифры. Он может быть вполне надежен и делать именно то, что от него требуется.
Ганибал Лектор тоже был надёжным врачём и делал именно то что от него требовалось, просто на этом его деятельность не ограничивалась.
Пусть каждый сам для себя решает, у всех голова на плечах
к сожалению это не совсем так. подавляющее большинство людей просто не понимает в чём опасность ситуации, но с чистой душой доверяет лендингу, ведь этот лендинг на госсайте, как ему можно не верить.
есть такое понятие которое я к сожадению не помню как грамотно называется. суть сводится к тому что если некоторое явно кривое поведение софта (или железа или чего либо ещё) было заложено специально и подаётся как фича, то это всё равно баг, просто не в софте (железе/etc) а в головах тех кто эту "фичу" сделал.
и да, сейчас это не так (вернее не совсем так), но это не значит что это неверно.
Кстати, где можно ознакомиться со списком выданных сертификатов национальным удостоверяющим центром?
раньше можно было скачать csv (или xls, простите не помню) со списком, правда нет никакой информации насколько он актуален был и не чистили ли его заметая следы. сейчас я этой ссылки не вижу там где она была, увы.
подменой ответов от dns сервера прямо сейчас вы можете убедиться что пустив обычный dns запрос на резолв некоторых доменов через российских провайдеров на 1.1.1.1 или 8.8.8.8 через клирнет вы получите ответ сильно отличающийся чем если пустить тот же запрос но через vpn с выходом где нибудь за пределами доступа кривых рук роскомпозора. не знаю все ли, но большинство доменов из списка блокировки получают в ответ адрес какой нибудь заглушки из AS вашего же провайдера или иногда другого провайдера, но точно не тот адрес который должен быть. и существует эта проблема уже достаточно давно.
кривизна не в сертификате минцифры, а в самой системе сертификатов.
о чём многие уже говорят не один год, и даже были предложены несколько вариантов решения проблемы разной степени упоротости. но до реализации что-то ни у кого не дошло.
на самом деле информация полезная год назад немножко поучавствовал в автоматизации одного офиса, в том числе одной из задач решалось автоматическое разворачивание систем для новых сотрудников, и выкачивание сертификата руками в браузере немножко не вяжется со словом "автоматизация". а дать прямую ссылку на архив (кстати почему выбран именно zip тоже не очень понятно) минцифре ума не хватает.
сбер к слову тоже без этих сертификатов нормально работает, по крайней мере у родственников с ним проблем в системе где точно нету этих сертификатов нет, сам я им не пользуюсь от греха подальше.
а заодно и запускать ябрузер в firejail или через systemd-run сильно ограничивая его возможности в системе (отчасти ради безопасности, но ещё и по тому что он иногда течёт по памяти)
романтики 90х это не про сертификаты, это про "сертификаты не нужны", ssl придумал бизнес.
а романтики даже столкнувшись с суровой реальностью придумали свои подходы. скажем мейнтейнеры дебиана на вопрос "почему ваши репозитории по дефолту подключены по http а не по https?" уже давно дали точный ответ не имеющий разночтений и с которым сложно спорить. ну и не дебианом единым, многие другие поставщики того же или другого вида данных тоже используют другие методы шифрования и/или подписи иногда вместо, а иногда вместе с tls/ssl сертификатами.
и да и нет есть три стула: 1) общесистемное хранилище 2) хранилище пользователя 3) хранилище конкретного приложения
и по идее должно быть так что CA находящемся в общесистемном хранилище доверяют вообще все в системе, CA в пользовательском хранилище доверяют все запущенные от одного пользователя, ну и соответственно CA в хранилище приложения доверяет только это приложение (опустим момент что хранилище конкретного приложения тоже может быть для всех юзверей и для конкретного юзверя). но это в теории, на практике некоторые яумамыособенные приложения сами решают каким CA доверять а каким нет, в частности thunderbird игнорирует добавленные своими руками сертификаты в общесистемное хранилище и хочет чтобы ему персонально добавили CA в его хранилище для конкретного пользователя. я не могу сказать зачем и почему так сделано, но для меня это выглядит как баг.
а передача cat access.log | grep /commit/ | cut -d " " -f 1 для мгновенной блокировки всех
понимаю что не решаю проблему а предлагаю свой костыль.. но почему бы не срать лог в stdout вместо файла и не читать его из journald на лету? так ты не зависишь от скорости записи в /var/log, journald отдаст тебе новую запись даже если не успел ещё её сбросить на диск. ну а journald можно читать не только через journalctl но и по http что ещё немного бустанёт весь пайплайн.
правда не всегда, да и то что сама ос запустится не гарантирует что на ней запустится нужный софт, зато точно запустится 100500 ненужных и непрошенных софтин. но это мы конечно опустим.
занимательное совпадение, как раз сегодня раздумывал над выводом прогресса силами make и Makefile. Ваше решение мне однозначно нравится, жаль что не применимо для того что нужно мне, но верное направление я точно получил.
1) то что у вас общение несколько .. меньше чем у других людей не говорит о том что всем надо стремиться к тому же. да и не все ленятся тыкнуть галочку "не шакаль качество фото" при отправке
2) я это даже комментировать не буду, вы явно тролите..
Что-то вы на выдуманном разговариваете. Далеко не первый и не единственный. Куча тематических чатов и личных переписок в которых огромное кол-во медиа есть у большинства людей. Попробуйте выгрузить свой телеграм в архив (есть такая опция в десктопном клиенте) и убедитесь сами что ваш акк тоже перевалил за теробайт. У меня только в чате с женой фотографий и видео переваливает за несколько сот гигобайт, и это ещё без учёта превью для разных ссылок. И если в чате с женой всё это можно удалить не раздумывая так как все нужные фотографии с телефонов автоматически бекапятся, то в других чатах иногда приходится искать что-то даже спустя несколько лет.
Что удобного то? Заводить отдельную симкарту для того чтобы пользоваться мессенджером по вашему удобно?
Тогда уж от провайдерОВ. В основном проблемы я замечал на звонках в которых присутствуют люди из разных стран, и самое печальное - континентов.
Хранить в облаке хорошо тем что это куда дешевле. В чатах в мессенджере нет ничего такого что бы я боялся утечки, но общий их вес переваливает за несколько теробайт
Серьёзно? Это и правда надо объяснять? В наше то время..
Оно было отвратительным, рандомные задержки, эффекты типа "робота", рассыпающаяся картинка. Звонки в телеге или каком нибудь google duo/meet были (да и скорее всего остаются, для тех кто живёт там куда кривые руки роскомпозора не могут дотянуться) более юзабельны.
Насчёт дизайна согласен что субъективно, но я высказывал своё мнение, и моё мнение - дизайн убогий. И проблема в том что его не сменить, neochat просто берёт системную тему и выглядит так же как всё остальное по запущенное рядом, телега так не умеет, но всегда можно взять кастомную тему похожую на системную, а вазап просто яумамыособенный.
начать хотя бы с того что нативной версии никогда и не было. это же вообще был не клиент а просто мордочка для мобильного клиента которая переставала работать в тот момент когда телефон терял сеть или выключался.
впрочем это даже не самая большая проблема вазапа, у них есть грешки пострашнее: 1) отсутствие облака в котором бы хранилась история чатов 2) показывание твоего номера телефона всем в любом чате 3) весьма печальное качество видео/аудио звонков 4) отвратительный дизайн причём по пунктам 1,2 и 4 вазап уделывает не только телеграм но даже селфхостед matrix/xmpp на каком нибудь подкроватном неттопе-сервере..
Ганибал Лектор тоже был надёжным врачём и делал именно то что от него требовалось, просто на этом его деятельность не ограничивалась.
к сожалению это не совсем так. подавляющее большинство людей просто не понимает в чём опасность ситуации, но с чистой душой доверяет лендингу, ведь этот лендинг на госсайте, как ему можно не верить.
есть такое понятие которое я к сожадению не помню как грамотно называется. суть сводится к тому что если некоторое явно кривое поведение софта (или железа или чего либо ещё) было заложено специально и подаётся как фича, то это всё равно баг, просто не в софте (железе/etc) а в головах тех кто эту "фичу" сделал.
и да, сейчас это не так (вернее не совсем так), но это не значит что это неверно.
надо очень нелюбить свой бизнес чтобы повязать его со сбером..
раньше можно было скачать csv (или xls, простите не помню) со списком, правда нет никакой информации насколько он актуален был и не чистили ли его заметая следы. сейчас я этой ссылки не вижу там где она была, увы.
подменой ответов от dns сервера
прямо сейчас вы можете убедиться что пустив обычный dns запрос на резолв некоторых доменов через российских провайдеров на
1.1.1.1или8.8.8.8через клирнет вы получите ответ сильно отличающийся чем если пустить тот же запрос но через vpn с выходом где нибудь за пределами доступа кривых рук роскомпозора. не знаю все ли, но большинство доменов из списка блокировки получают в ответ адрес какой нибудь заглушки из AS вашего же провайдера или иногда другого провайдера, но точно не тот адрес который должен быть. и существует эта проблема уже достаточно давно.о чём многие уже говорят не один год, и даже были предложены несколько вариантов решения проблемы разной степени упоротости. но до реализации что-то ни у кого не дошло.
на самом деле информация полезная
год назад немножко поучавствовал в автоматизации одного офиса, в том числе одной из задач решалось автоматическое разворачивание систем для новых сотрудников, и выкачивание сертификата руками в браузере немножко не вяжется со словом "автоматизация". а дать прямую ссылку на архив (кстати почему выбран именно zip тоже не очень понятно) минцифре ума не хватает.
сбер к слову тоже без этих сертификатов нормально работает, по крайней мере у родственников с ним проблем в системе где точно нету этих сертификатов нет, сам я им не пользуюсь от греха подальше.
а заодно и запускать ябрузер в firejail или через systemd-run сильно ограничивая его возможности в системе (отчасти ради безопасности, но ещё и по тому что он иногда течёт по памяти)
романтики 90х это не про сертификаты, это про "сертификаты не нужны", ssl придумал бизнес.
а романтики даже столкнувшись с суровой реальностью придумали свои подходы. скажем мейнтейнеры дебиана на вопрос "почему ваши репозитории по дефолту подключены по http а не по https?" уже давно дали точный ответ не имеющий разночтений и с которым сложно спорить. ну и не дебианом единым, многие другие поставщики того же или другого вида данных тоже используют другие методы шифрования и/или подписи иногда вместо, а иногда вместе с tls/ssl сертификатами.
и да и нет
есть три стула:
1) общесистемное хранилище
2) хранилище пользователя
3) хранилище конкретного приложения
и по идее должно быть так что CA находящемся в общесистемном хранилище доверяют вообще все в системе, CA в пользовательском хранилище доверяют все запущенные от одного пользователя, ну и соответственно CA в хранилище приложения доверяет только это приложение (опустим момент что хранилище конкретного приложения тоже может быть для всех юзверей и для конкретного юзверя).
но это в теории, на практике некоторые яумамыособенные приложения сами решают каким CA доверять а каким нет, в частности thunderbird игнорирует добавленные своими руками сертификаты в общесистемное хранилище и хочет чтобы ему персонально добавили CA в его хранилище для конкретного пользователя. я не могу сказать зачем и почему так сделано, но для меня это выглядит как баг.
понимаю что не решаю проблему а предлагаю свой костыль.. но почему бы не срать лог в stdout вместо файла и не читать его из journald на лету? так ты не зависишь от скорости записи в /var/log, journald отдаст тебе новую запись даже если не успел ещё её сбросить на диск. ну а journald можно читать не только через journalctl но и по http что ещё немного бустанёт весь пайплайн.
правда не всегда, да и то что сама ос запустится не гарантирует что на ней запустится нужный софт, зато точно запустится 100500 ненужных и непрошенных софтин. но это мы конечно опустим.
зачем? в них править баги ещё сложнее..
о чём вы.. где ЦБ а где логика.. они никогда не встречались.
занимательное совпадение, как раз сегодня раздумывал над выводом прогресса силами make и Makefile. Ваше решение мне однозначно нравится, жаль что не применимо для того что нужно мне, но верное направление я точно получил.
1) то что у вас общение несколько .. меньше чем у других людей не говорит о том что всем надо стремиться к тому же. да и не все ленятся тыкнуть галочку "не шакаль качество фото" при отправке
2) я это даже комментировать не буду, вы явно тролите..
Занимательно, у меня ровно обратный опыт..
Что-то вы на выдуманном разговариваете. Далеко не первый и не единственный. Куча тематических чатов и личных переписок в которых огромное кол-во медиа есть у большинства людей. Попробуйте выгрузить свой телеграм в архив (есть такая опция в десктопном клиенте) и убедитесь сами что ваш акк тоже перевалил за теробайт. У меня только в чате с женой фотографий и видео переваливает за несколько сот гигобайт, и это ещё без учёта превью для разных ссылок. И если в чате с женой всё это можно удалить не раздумывая так как все нужные фотографии с телефонов автоматически бекапятся, то в других чатах иногда приходится искать что-то даже спустя несколько лет.
Что удобного то? Заводить отдельную симкарту для того чтобы пользоваться мессенджером по вашему удобно?
Тогда уж от провайдерОВ. В основном проблемы я замечал на звонках в которых присутствуют люди из разных стран, и самое печальное - континентов.
Хранить в облаке хорошо тем что это куда дешевле. В чатах в мессенджере нет ничего такого что бы я боялся утечки, но общий их вес переваливает за несколько теробайт
Серьёзно? Это и правда надо объяснять? В наше то время..
Оно было отвратительным, рандомные задержки, эффекты типа "робота", рассыпающаяся картинка. Звонки в телеге или каком нибудь google duo/meet были (да и скорее всего остаются, для тех кто живёт там куда кривые руки роскомпозора не могут дотянуться) более юзабельны.
Насчёт дизайна согласен что субъективно, но я высказывал своё мнение, и моё мнение - дизайн убогий. И проблема в том что его не сменить, neochat просто берёт системную тему и выглядит так же как всё остальное по запущенное рядом, телега так не умеет, но всегда можно взять кастомную тему похожую на системную, а вазап просто яумамыособенный.
начать хотя бы с того что нативной версии никогда и не было. это же вообще был не клиент а просто мордочка для мобильного клиента которая переставала работать в тот момент когда телефон терял сеть или выключался.
впрочем это даже не самая большая проблема вазапа, у них есть грешки пострашнее:
1) отсутствие облака в котором бы хранилась история чатов
2) показывание твоего номера телефона всем в любом чате
3) весьма печальное качество видео/аудио звонков
4) отвратительный дизайн
причём по пунктам 1,2 и 4 вазап уделывает не только телеграм но даже селфхостед matrix/xmpp на каком нибудь подкроватном неттопе-сервере..