А если написать программу, которая не делает такого вида? Она реально будет работать. Но «заодно», сливать ваш пароль от контакта. Или с каким-то апдейтом обретет такой функционал?
Такой зловред достаточно просто зашифровать под полезный код. Так что это не панацея.
Под простотой вхождения я подразумевал то, что закинуть потенциально опасное приложение в андроид маркет намного проще, чем в аппстор.
Сложно сказать являются ли строгие ограничения панацеей от вирусов.
Есть много систем, которые вполне себе нормально существуют без подобных ограничений и не страдают проблемой вирусни. Тот же линукс с его менеджером пакетов.
Есть и более гуманные методы ограничений. Например в настройках сделать опцию запрета некоторых прав доступа. Ее активация запретит совсем / будет выводить запрос перед каждой попыткой использования. Тудаже права на доступ к смс и телефонной книге. Т.е. пользователь всегда будет знать, когда какое приложение пытается прочить/отправить смс или телефонную книгу, и сможет принять решение о целесообразности таких действий в данный момент.
А окутывать все колючей проволокой и пропускать по ней ток, это не выход, имхо.
А вот уязвимости на переполнение, это очень опасно, не стоит их недооценивать. Это значит, что вполне себе белое и пушистое приложение, прошедшее все проверки, сможет натворить бед.
Насколько я понял из статьи, iOS с вашей точки зрения более защищенная платформа, из-за более высокого порога вхождения разработчиков. Гугл тут, несомненно, более либерален.
Телефон ведь не постоянно работает на максимальной частоте, задействуя все ядра. Частота меняется в зависимости от потребностей и повышенные частоты используются только тогда, когда есть реальная в этом необходимость.
Я так понимаю плавность прокрутки в андроиде не высокоприоритетная задача, потому обрабатывается на пониженных частотах. Поправьте меня, если не прав, это лишь предположение, но имхо глупо молотить всеми ядрами на полной частоте для обеспечения плавной прокрутки.
Да ладно, нормальное качество, хотя оно совершенно идентичное SII, по-моему в SIII не стали заморачиваться и камеру оставили той же.
Видео-то снято на ходу, потому картинка дрожит.
У меня SII, по сравнению со всеми телефонами и смартами, которые были до него, телефон в кармане джинсов лежит удобнее всего, его практически незаметно. Главной причиной тому вес и толщина. А ширина в лишний см совершенно пофигу.
Сам был готов к неудобной носке, но был приятно удивлен тем, что его в кармане практически незаметно. Так что проблема преувеличена. В руке при разговоре также лежит очень удобно и ни какого дискомфорта не доставляет.
Посему про его размеры в юзабельности не нахожу ни одного минуса, а вот плюсов…
А судя по тому, что
>>> Apple получила за квартал 73% операционной прибыли
Джобс был прав в том, что не всегда нужно слушать то, чего хотят потребители.
Многие потребители даже не догадываются о том, какие возможности может предоставить казалось бы такая самодостаточная вещь, как мобильный телефон.
Я хоть и сам давно в ИТ, тоже об этом не догадывался. Сейчас являюсь счастливым обладателям т.н. «лопаты», как ее тут называют. Если говорить о габаритах, мой galaxy SII отлично помещается в любой карман, он легче и тоньше моей прошлой звонилки, в результате чего носить его намного комфортнее.
А уж возможности которые открываются… Например я даже не думал, что серфинг в интернете будет вполне комфортным с телефона, замечаю, что часто валясь в кровати у меня для этих целей используется телефон, а не нетбук. Также не ожидал, что смотреть фильмы с экрана 4,3" будет удобно. Оказалось тут дело не столько в размере, сколько в разрешении. Гпс не нужен? Это если вы сидите дома. Если вы оказываетесь в незнакомом городе, его также сложно переоценить. Поиск ближайших достопримечательностей, кафе, отелей, прокладка маршрутов… воспользовавшись этими сервисами раз, не понимаешь как мог жить без этого раньше.
Телефону не нужна хорошая камера? Я тоже так раньше считал. Но сейчас, отправляясь в прогулку налегке, почти всегда возвращаюсь с несколькими классными кадрами снятыми на телефон вполне приемлемого качества. Да, с фотоаппарата они были бы лучше, но без данной опции в телефоне, этих снимков небыло бы вообще, ибо не имею фанатичной привычки таскать всегда и везде с собой фотик.
Общаюсь чаще по скайпу, ибо собеседники разбросаны по всему миру. Плюс это здорово позволяет экономить на связи.
Телефоном сей девайс у меня давно язык не поворачивается. Ибо функцией звонилок пользуюсь намного реже, чем всеми остальными.
Что самое интересное, в теневой сфере большее распространение имеет Liberty Reserve, про биткоин вообще большинство и слыхать не слыхало. Не понимаю, почему же биткоин постоянно фигурирует в роли платежной системы по отмывке денег?
Обороты в сфере биткоин ничтожны, по сравнению с либерти.
Нет тормозов, потому что у вас днс запросы наверняка идут напрямую. Это в принципе не проблема, но как бы несекурно считается, можно спалиться.
Понятно что прокси тоже дырявая хрень, но они реже снифают трафик, ибо это чаще протрояненные машины, там это не нужно никому. А вот тор могут очень даже слушать. Для безопасности только свой дедик и шифрованный тоннель к нему, благо сейчас это совершенно недорого, остальное компромиссы.
Да, и http_proxy вообще много кто понимает. Большинство стандартных приложений не видят в упор, ну и чаще не могут работать по http.
Как-то сам возился с подобными схемами, пришел к варианту с тоннелированием всего трафика через тор используя redsocks + tor + ttdnsd + pdnsd.
Как-то у меня не вяжется безопасные прием-передача конфиденциальной информации и tor. При пользовании тором, я исхожу из предположения, что весь трафик на всех exit нодах снифается и анализируется. А также любая полученная страница может быть пооддельной.
Т.е. передавать можно только ту информацию, которая попав в чужие руки будет совершенно бесполезной.
Да, и по такой схеме многие приложения будут спотыкаться на днс-е. Сам когда-то настраивал, далеко не многие умеют днс- запросы через тор пускать.
А даже если умеют, то из-за тупняков с днс-ом, все будет жутко тормозить. В данной схеме хорошо бы поднять ttdnsd + pdnsd, т.е. принудительное проксирование днс запросов и проброс их в тор. Со стороны приложений это будет выглядеть как обычный днс сервер, а при множественных днс запросах, непосредственно сам запрос будет только раз для домена, потом моментом будет вылетать из кэша.
Схема такая: UDP dns -> proxy -> TCP dns запрос -> tor
А смысл вообще ноута для разработчика с базовым набором? Не уж-то разработчик не сможет поставить этот базовый набор в течении минуты?
Я бы еще понял сборки: linux для секретаря, linux для переводчика… но для разработчика, как-то не вяжется.
Ага, классная штука, вообще странно, что как-то пока слабо это все распространено.
Есть ли примеры каких-то серьёзных сайтов где бы использовались jquery templates? Бегло нагуглив не нашел ничего интересного.
А вообще такой подход порождает много вкусностей. Это и кастомные шаблоны для популярных сайтов. Огромное поле деятельности для дизайнеров по их разработке. И кастомные локализации на все языки.
Я еще со времен первых html сайтов, когда не было ajax-а и был медленный интернет, не понимал, зачем тягать здоровенные html страницы после изменения 2-х байтов полезной информации.
Тут, имхо нет смысла привязываться к каким-то конкретным технологиям Redis и т.д.
Мое видение такое, хорошо бы перенести процесс рендеринга на клиентскую сторону, отделив мух от котлет, т.е. данные от верстки.
Допустим пользователь переходит по странице, ему в ответ летит шаблон(ы) на основе того же html и отдельно данные в любом формате xml, jsom…
На клиентской стороне данные натягиваются а шаблон, получая на выходе любимую всеми браузерами html страницу.
Данные всегда связаны с конкретным шаблоном, разные части сайта могут рендерится по отдельности, собираясь потом в целостную картинку, каждая часть из которой может изменяться в зависимости от действий пользователя.
Для поисковиков это тоже будет лафа, им будет проще индексировать такой контент, в разы уменьшится объем трафика, запрашиваемого поисковиками.
Правда от проблем с html, приведенных в вышеуказанной статье это не избавит, но та проблема лежит несколько в иной плоскости и решать ее нужно как-то иначе.
Неплохо, но в целом чего-то сверхвыдающегося и жизненно необходимого, чего нет в SII я не заметил. Очень много из вышеперечисленного уже есть в SII, посему предполагаю, что именно вторая эта модель будет на рынке еще долго.
4-х ядерник это конечно клево, но я и на SII тормозов не замечал ни разу, пока не знаю какой в нем практический смысл. Хотя если мыслить масштабно, наверное через годик будет актуальным.
Если кто задумывается покупать ли SII или ждать SIII однозначно скажу, брать SII и не мучаться выбором.
SII полностью оправдал ожидания и стал незаменимым и верным помощником.
Я долго думал над смыслом фразы, ассоциативное мышление мне в конце концов выдало глагол, который напрямую связан со словом «шлюх», означающий что с ними обычно делают и все стало на свои места, пазл собрался, а фраза обрела смысл. :)
Да, и к слову, код, это результат работы обрусификатора, посему опираться на какие-то сигнатуры из него ненадежно. При следующей вставке мог быть совершенно другой код и сканер бы оказался бесполезным. Посему в таких случаях лучше следить за любыми изменениями в файлах, а не искать конкретные строчки, имхо.
А не проще было на время выяснения поставить какую-то систему контроля версий и откатывать изменения до последнего неинфицированного коммита. Да и изменения так мониторить проще. Просто сам когда-то сражался, такая мысль пришла после, но думаю достаточно эффективно и удобно было бы в данной ситуации.
Ну, или как вариант, убрать права на запись в /var/www… для всех кроме рута. Это первое, что нужно было сделать в такой ситуации.
Да, и странно, что логи ftp сервера не дали ответа кто-же изменил эти скрипты.
habrahabr.ru/post/87197/
Вот так весь трафик можно зафорвардить через SSH.
А при желании можно пустить весь трафик, в т.ч. и днс завросы через любой сокс.
Есть такая штука redsocks, замечательно с этой задачей справляется. Можно сделать определенного юзера, войдя под которым весь трафик туннелируется через сокс. А хороший сокс сейчас можно сделать через любой хостинг предоставляющий ssh доступ.
Такой зловред достаточно просто зашифровать под полезный код. Так что это не панацея.
Сложно сказать являются ли строгие ограничения панацеей от вирусов.
Есть много систем, которые вполне себе нормально существуют без подобных ограничений и не страдают проблемой вирусни. Тот же линукс с его менеджером пакетов.
Есть и более гуманные методы ограничений. Например в настройках сделать опцию запрета некоторых прав доступа. Ее активация запретит совсем / будет выводить запрос перед каждой попыткой использования. Тудаже права на доступ к смс и телефонной книге. Т.е. пользователь всегда будет знать, когда какое приложение пытается прочить/отправить смс или телефонную книгу, и сможет принять решение о целесообразности таких действий в данный момент.
А окутывать все колючей проволокой и пропускать по ней ток, это не выход, имхо.
А вот уязвимости на переполнение, это очень опасно, не стоит их недооценивать. Это значит, что вполне себе белое и пушистое приложение, прошедшее все проверки, сможет натворить бед.
А что если сравнить сами платформы?
www.cvedetails.com/product/15556/Apple-Iphone-Os.html?vendor_id=49
Уязвимости iOs
Execute Code 89
Overflow 70
Denial of Service 94
Memory Corruption 70
Gain Information 24
XSS 10
Bypass Something 14
Gain Privilege 3
54 уязвимости на выполнение кода только 2012 году, из них большая часть имеет высший рейтинг опасности
www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-15556/year-2012/opec-1/Apple-Iphone-Os.html
www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
Уязвимости Андроид
Denial of Service 5
Bypass Something 4
Execute Code 3
Memory Corruption 2
Gain Information 3
Gain Privilege 3
Overflow 2
doctorweb, интересно ваше мнение по этому поводу.
Я так понимаю плавность прокрутки в андроиде не высокоприоритетная задача, потому обрабатывается на пониженных частотах. Поправьте меня, если не прав, это лишь предположение, но имхо глупо молотить всеми ядрами на полной частоте для обеспечения плавной прокрутки.
Видео-то снято на ходу, потому картинка дрожит.
Сам был готов к неудобной носке, но был приятно удивлен тем, что его в кармане практически незаметно. Так что проблема преувеличена. В руке при разговоре также лежит очень удобно и ни какого дискомфорта не доставляет.
Посему про его размеры в юзабельности не нахожу ни одного минуса, а вот плюсов…
>>> Apple получила за квартал 73% операционной прибыли
Джобс был прав в том, что не всегда нужно слушать то, чего хотят потребители.
Многие потребители даже не догадываются о том, какие возможности может предоставить казалось бы такая самодостаточная вещь, как мобильный телефон.
Я хоть и сам давно в ИТ, тоже об этом не догадывался. Сейчас являюсь счастливым обладателям т.н. «лопаты», как ее тут называют. Если говорить о габаритах, мой galaxy SII отлично помещается в любой карман, он легче и тоньше моей прошлой звонилки, в результате чего носить его намного комфортнее.
А уж возможности которые открываются… Например я даже не думал, что серфинг в интернете будет вполне комфортным с телефона, замечаю, что часто валясь в кровати у меня для этих целей используется телефон, а не нетбук. Также не ожидал, что смотреть фильмы с экрана 4,3" будет удобно. Оказалось тут дело не столько в размере, сколько в разрешении. Гпс не нужен? Это если вы сидите дома. Если вы оказываетесь в незнакомом городе, его также сложно переоценить. Поиск ближайших достопримечательностей, кафе, отелей, прокладка маршрутов… воспользовавшись этими сервисами раз, не понимаешь как мог жить без этого раньше.
Телефону не нужна хорошая камера? Я тоже так раньше считал. Но сейчас, отправляясь в прогулку налегке, почти всегда возвращаюсь с несколькими классными кадрами снятыми на телефон вполне приемлемого качества. Да, с фотоаппарата они были бы лучше, но без данной опции в телефоне, этих снимков небыло бы вообще, ибо не имею фанатичной привычки таскать всегда и везде с собой фотик.
Общаюсь чаще по скайпу, ибо собеседники разбросаны по всему миру. Плюс это здорово позволяет экономить на связи.
Телефоном сей девайс у меня давно язык не поворачивается. Ибо функцией звонилок пользуюсь намного реже, чем всеми остальными.
Обороты в сфере биткоин ничтожны, по сравнению с либерти.
Понятно что прокси тоже дырявая хрень, но они реже снифают трафик, ибо это чаще протрояненные машины, там это не нужно никому. А вот тор могут очень даже слушать. Для безопасности только свой дедик и шифрованный тоннель к нему, благо сейчас это совершенно недорого, остальное компромиссы.
Да, и http_proxy вообще много кто понимает. Большинство стандартных приложений не видят в упор, ну и чаще не могут работать по http.
Как-то сам возился с подобными схемами, пришел к варианту с тоннелированием всего трафика через тор используя redsocks + tor + ttdnsd + pdnsd.
Т.е. передавать можно только ту информацию, которая попав в чужие руки будет совершенно бесполезной.
Да, и по такой схеме многие приложения будут спотыкаться на днс-е. Сам когда-то настраивал, далеко не многие умеют днс- запросы через тор пускать.
А даже если умеют, то из-за тупняков с днс-ом, все будет жутко тормозить. В данной схеме хорошо бы поднять ttdnsd + pdnsd, т.е. принудительное проксирование днс запросов и проброс их в тор. Со стороны приложений это будет выглядеть как обычный днс сервер, а при множественных днс запросах, непосредственно сам запрос будет только раз для домена, потом моментом будет вылетать из кэша.
Схема такая: UDP dns -> proxy -> TCP dns запрос -> tor
Я бы еще понял сборки: linux для секретаря, linux для переводчика… но для разработчика, как-то не вяжется.
Есть ли примеры каких-то серьёзных сайтов где бы использовались jquery templates? Бегло нагуглив не нашел ничего интересного.
А вообще такой подход порождает много вкусностей. Это и кастомные шаблоны для популярных сайтов. Огромное поле деятельности для дизайнеров по их разработке. И кастомные локализации на все языки.
Тут, имхо нет смысла привязываться к каким-то конкретным технологиям Redis и т.д.
Мое видение такое, хорошо бы перенести процесс рендеринга на клиентскую сторону, отделив мух от котлет, т.е. данные от верстки.
Допустим пользователь переходит по странице, ему в ответ летит шаблон(ы) на основе того же html и отдельно данные в любом формате xml, jsom…
На клиентской стороне данные натягиваются а шаблон, получая на выходе любимую всеми браузерами html страницу.
Данные всегда связаны с конкретным шаблоном, разные части сайта могут рендерится по отдельности, собираясь потом в целостную картинку, каждая часть из которой может изменяться в зависимости от действий пользователя.
Для поисковиков это тоже будет лафа, им будет проще индексировать такой контент, в разы уменьшится объем трафика, запрашиваемого поисковиками.
Правда от проблем с html, приведенных в вышеуказанной статье это не избавит, но та проблема лежит несколько в иной плоскости и решать ее нужно как-то иначе.
4-х ядерник это конечно клево, но я и на SII тормозов не замечал ни разу, пока не знаю какой в нем практический смысл. Хотя если мыслить масштабно, наверное через годик будет актуальным.
Если кто задумывается покупать ли SII или ждать SIII однозначно скажу, брать SII и не мучаться выбором.
SII полностью оправдал ожидания и стал незаменимым и верным помощником.
Ну, или как вариант, убрать права на запись в /var/www… для всех кроме рута. Это первое, что нужно было сделать в такой ситуации.
Да, и странно, что логи ftp сервера не дали ответа кто-же изменил эти скрипты.
Ибо на большом парке все эти обновления превращаются просто в ад.
Вот так весь трафик можно зафорвардить через SSH.
А при желании можно пустить весь трафик, в т.ч. и днс завросы через любой сокс.
Есть такая штука redsocks, замечательно с этой задачей справляется. Можно сделать определенного юзера, войдя под которым весь трафик туннелируется через сокс. А хороший сокс сейчас можно сделать через любой хостинг предоставляющий ssh доступ.