Возможно, не понял всех деталей, но получается что слабое место вашей защиты это постоянное соединение. Нет?
Т.е. если у человека есть клиент, есть свой ssl ключ (или вы ему и локальные ключи генерируете? проверяете? ведёте реестр ключей?), то перехват трафика по которому гоняется json — ну это, возможно, не самая сложная задача. А далее либо свой бот, либо man-in-the-middle и всё в шоколаде. Нет?
Возможно, я путано объяснил. Просто нас был случай (это не геймдев), что инженер из конкурирующей компании зарядил сетевой сниффер и раскопал наш протокол (бинарный!) и даже воспроизвёл ответную часть, которая умудрялась что-то «мычать» в ответ.
Могли бы для людей-не-в-теме расписать подробнее: кто в идеале является «разработчиком» для low-code систем?
1. Сам пользователь (менеджер/директор), который взял и накидал нужную ему схему?
2. Свой выделенный ИТ-отдел?
3. Внешний фрилансер/контора, наподобие допиливателей 1с?
Что с внедрением: переписал файлик со схемой и вперёд? Вжух-вжух и в продакшен?
И что с ответственностью за такую «разработку»: Кто что будет говорить в случае ошибок, что с этим делать? Например:
1. Манагер: да я не специалист. И ничего делать не буду, потому что не знаю.
2. Свой отдел: тонкости процессов производства в другом департаменте/городе/стране пусть описывают те, кто в это разбирается. Нам дали ТЗ мы по нему сделали. Неправильно работает — правьте ТЗ. Ну, мы конечно, поправим. Мы же ИТ. Но лучше ещё раз пройти обучение. А вообще, мы были против этой системы, давайте внедрим другую.
3. Фрилансер: да я вообще вас не знаю.
Раньше было такое определение проекта:
Деятельность по созданию уникального продукта или услуги, с ограничениями по сроками и бюджету.
И оно намекает, что нужно отслеживать как минимум долю реализованного функционала, сроки (прошло/осталось) и деньги (сколько потратили/ещё нужно). Ещё оно намекает, что стандартные повторяющиеся процедуры — это точно не проект.
Указанные продукты в списке отслеживают такие параметры? (И деньги в том числе?)
Или системой управления проектом уже называют таск-трекер?
И, например, неуказанный MS Project как раз такие параметры (помимо других) отслеживает: доля выполненных задач; сроки/планирование; стоимость, денег потратили, сколько ещё потратить и др.
Хотя, возможно, сейчас просто другое определение проекта.
Здравствуйте, про перевод в курсе.
Была надежда, что Вы в этой теме варитесь и сможете прокомментировать статью. Сейчас, на мой скромный взгляд, это описание из разряда «в огороде бузина ...», т.е.: Да, такой софт есть.
И?:
Применимость? Вопрос для кого. Руководитель будет сам разбираться в кубиках?
Сделать флоу? Простенькое наверное можно. Посложнее — сомнительно. Или нет?
Читаем заголовок… и… так почему нужно присматриваться к этим решениям?
Потому, что Gartner сказал про 2024 год?
Или потому, что есть список «наиболее серьёзных проблем»?
Или это реклама облачного контакт-центра?
С другой стороны, аналогичный заход уже был: SQL для того, чтобы каждый бухгалтер/руководитель получал нужные себе данные. И вылилось в то, что SQL теперь как отдельная программистская дисциплина. Low-Code идут в туже сторону?
По мне так «Плач Ярославны»: «Убираем всех, кого я считаю лишними.»?
Да вот загвоздка: компании не только на ИТ завязаны.
Например, бухгалтерия вообще может продукт не производить (обычно и не производит).
Но без неё можно свою зарплату вообще не получить.
Сюрприз!
А так, какие-то крокодиловы слёзы: нас не понимают, а мы же ГЕНИИ!!!
Шта? Займитесь делом! И лучше начать с себя. Возможно тогда и мир прекраснее станет.
Так я же не утверждал, что с верификацией всё хорошо :).
Это у них что-то типа требования: прохождение определённых тестов по коду. При этом используется урезанный C, запрещён ряд функций, и для компиляции используется «сертифицированный» компилятор.
Язык C нужен! сейчас! практически безальтернативно (или, э-э-э, ассемблер?):
— для программ, где нет (или с ней проблемы) динамической памяти. Т.е. память есть, страниц/виртуализации/арены/кучи — нет;
— где нет операционки. Да, можно натянуть плюсы, однако всё это грустно…
— для написания драйверов. Да, до сих пор! Читал про заходы C++, читал про «оригиналов», пишущих драйвера на C#, но…
— в банковском секторе (естественно, в узкой сфере);
— в авиационном ПО.
Два последних пункта связаны с возможностью автоматизированной проверки/верификации кода на правильность/отсутствие/недопущение и т.д.
По моему скромному мнению либо автор, либо переводчик слегка ошиблись. И путают реальный файл и файловый дескриптор, за которым может скрывать нечто другое.
Функция read/write работает не столько на реальных файлах (правда и на них тоже, хотя там есть fread/fwrite), сколько на неком «нечто», например сокетах или файлах устройств (файлы в папке /dev).
Короткий контр-аргумент: например, если у вас операции на сокете, то о какой записи с последующем чтением тех-же данных может идти речь? То, что записали — ушло в одну сторону; то, что читаете — получаем с другой; это абсолютно разные потоки.
И вообще: ни о каком кэшировании речи в принципе нет: если fread запрашивает у драйвера некий кусок в 4к и потом пользователю выдаёт тот объём, что он запросил (хоть у файла, хоть нет), а потом омжет выдать данные из кэша; то read запрашивает ровно то количество, которое запросил пользователь: 2 байта — так два байта (недавно писал драйвер устройства, представляющегося символьным файлом, и всё это очень плотно исследовал).
Кроме того о какой атомарности может идти речь, если при запросе write вызывается одна функция внутри драйвера, а при запросе read — другая. Как это сделано — атомарно или не очень — это на совести программиста устройства/поставщика файла. POSIX тут совсем сбоку.
И да, поддержка адекватного смещения на файле-устройстве может быть очень проблематичной: попробуйте почитать из сокета этак 10-100-1000 Гигабайт, а потом сдвинуть позицию на начало и почитать снова? Ваша ОС будет всё кэшировать? Сомневаюсь. В общем, смещение тоже может не работать от слова совсем.
В качестве спеца и основателя потока (и потому что автор, похоже, отсутствует) могли бы Вы дать пару рекомендаций на те ситуации, которые описал автор статьи? Что делать ПМ-у чтобы быть «на уровне»? Или явно делить зоны ответственности? Что делать (вопросу лет двести)?
Если я в браузере хром включу «экспериментальные возможности» и загружу локальной страницы (интернета нет) это работать будет?
Если в браузере включу, интернет есть, но гугл упал (как это было недавно) то это работать будет?
Если вдруг всё завязано на гугл, это бесплатно? Нужно денег?
А можно поподробнее решение (предполагаемое) и выход из ситуации?
ПМ станет как-аналитик? — не чересчур ли?
Аналитик будет тестить? тоже так себе.
Как решать?
Ну может аналитик будет держать проект на пульсе и допиливать требования? Или другие варианты?
Апломб? Возможно. Прошу прощения за излишнюю эмоциональность.
Дилетант? Тоже возможно. В том, что Вы описываете — однозначно.
Критика? Да.
Критика чего? Названия статьи!
Попробуйте хотя бы себе ответить: то что Вы написали — это API? Не протокол, формат или др. Именно API?
О мои глаза! Зачем я это прочёл?
Молодые люди, именуйте свои статьи не для себя, а для других. Пожалуйста!
Да, я понимаю, что это брюзжание:
А где API-то (API: ru.wikipedia.org/wiki/API )?
О чём вообще приведённые в статье принципы?
Учтите, пожалуйста, поиск по статье слова 'web' не даёт ни одного совпадения! Т.е. это как-бы статья не об (не только об) web-е.
— Используем глобальные идентификаторы?: откроем файл по имени и некоторому guid-у?
— Клиент должен знать состояние системы?: мальчик/девочка, у тебя нет прав чтобы знать полное состояние системы! Даже сама система не знает полного состояния системы. Хотя, технически, можно снять дамп со всех процессов/памяти и др.
— Избегайте не-атомарных операций? Понятно, почему всё так тормозит! Вы бы ещё предложили залочить весь сервер пока обрабатывается каждый запрос! Ну так, на всякий случай.
Чёрт, как же народ-то при разработке POSIX, WinAPI не додумался до уникальных идентификаторов? Вот почему, оказывается, все винду ломают! Не потому, что драйвера не в тех кольцах, или буфера переполняются… а потому что идентификаторов нет.
Не могли бы Вы для непосвящённых пояснить:
Если я вместо всех предлагаемых косинусов/синусов и т.д. нарисую график простой функции:
Для некоторого целого числа n:
f(x) = 1, если n делится на x нацело; и 0 — в иных случаях.
Есть подозрение, что вычислительно это будет проще (целочисленное деление с остатком против синусов/косинусов и деления с плавающей запятой), а результат (насколько понял Ваши рассуждения) будет аналогичный рисунку 6.
Если не прав — пожалуйста поясните. Иначе — вопрос: к чему такие сложности с синусами?
SergeyMax, заранее извиняюсь за некоторую назойливость :(.
Сигнатура функции: char* getCpuidVendor(char* vendor);
То, что это 3 int-а (а размер ведь инта высечен в камне, так?) ну как бы пока известно, но что будет через ...? Там, кстати 4 инта, но используются только 3.
В любом случае, такая сигнатура как бы намекает, что может быть по разному.
На мой программистский взгляд это дыра-дырень.
Ну и применены слова «в относительном будущем», т.е. сарказм и всё такое.
В любом случае, извиняюсь за развитие темы.
Вот будет весело (в относительном будущем), если getCpuidVendor вернёт строку длинее 12 символов!
boundchecking, передача максимальной длины в функцию? Нет, не слышали!
По-моему, тема не раскрыта:
Где pod (заявлен в заголовке)?
а стандартлэйаут можно копировать? и набивать конструкторами?
в чём причина не более 2-х базовых классов в стандлэй? Почему ограничение на нестатические члены?
В общем, статью явно можно улучшить и хотелось бы именно разбор, а не выписку из стандарта.
Т.е. если у человека есть клиент, есть свой ssl ключ (или вы ему и локальные ключи генерируете? проверяете? ведёте реестр ключей?), то перехват трафика по которому гоняется json — ну это, возможно, не самая сложная задача. А далее либо свой бот, либо man-in-the-middle и всё в шоколаде. Нет?
Возможно, я путано объяснил. Просто нас был случай (это не геймдев), что инженер из конкурирующей компании зарядил сетевой сниффер и раскопал наш протокол (бинарный!) и даже воспроизвёл ответную часть, которая умудрялась что-то «мычать» в ответ.
От таких проблем защищаетесь? Или неактуально?
1. Сам пользователь (менеджер/директор), который взял и накидал нужную ему схему?
2. Свой выделенный ИТ-отдел?
3. Внешний фрилансер/контора, наподобие допиливателей 1с?
Что с внедрением: переписал файлик со схемой и вперёд? Вжух-вжух и в продакшен?
И что с ответственностью за такую «разработку»: Кто что будет говорить в случае ошибок, что с этим делать? Например:
1. Манагер: да я не специалист. И ничего делать не буду, потому что не знаю.
2. Свой отдел: тонкости процессов производства в другом департаменте/городе/стране пусть описывают те, кто в это разбирается. Нам дали ТЗ мы по нему сделали. Неправильно работает — правьте ТЗ. Ну, мы конечно, поправим. Мы же ИТ. Но лучше ещё раз пройти обучение. А вообще, мы были против этой системы, давайте внедрим другую.
3. Фрилансер: да я вообще вас не знаю.
Как вообще это «по-правильному» выстраивается?
Деятельность по созданию уникального продукта или услуги, с ограничениями по сроками и бюджету.
И оно намекает, что нужно отслеживать как минимум долю реализованного функционала, сроки (прошло/осталось) и деньги (сколько потратили/ещё нужно). Ещё оно намекает, что стандартные повторяющиеся процедуры — это точно не проект.
Указанные продукты в списке отслеживают такие параметры? (И деньги в том числе?)
Или системой управления проектом уже называют таск-трекер?
И, например, неуказанный MS Project как раз такие параметры (помимо других) отслеживает: доля выполненных задач; сроки/планирование; стоимость, денег потратили, сколько ещё потратить и др.
Хотя, возможно, сейчас просто другое определение проекта.
Была надежда, что Вы в этой теме варитесь и сможете прокомментировать статью. Сейчас, на мой скромный взгляд, это описание из разряда «в огороде бузина ...», т.е.: Да, такой софт есть.
И?:
Применимость? Вопрос для кого. Руководитель будет сам разбираться в кубиках?
Сделать флоу? Простенькое наверное можно. Посложнее — сомнительно. Или нет?
Ну, а с другой стороны. Да, перевод…
Читаем заголовок… и… так почему нужно присматриваться к этим решениям?
Потому, что Gartner сказал про 2024 год?
Или потому, что есть список «наиболее серьёзных проблем»?
Или это реклама облачного контакт-центра?
С другой стороны, аналогичный заход уже был: SQL для того, чтобы каждый бухгалтер/руководитель получал нужные себе данные. И вылилось в то, что SQL теперь как отдельная программистская дисциплина. Low-Code идут в туже сторону?
Ирина, прокомментируете?
Да вот загвоздка: компании не только на ИТ завязаны.
Например, бухгалтерия вообще может продукт не производить (обычно и не производит).
Но без неё можно свою зарплату вообще не получить.
Сюрприз!
А так, какие-то крокодиловы слёзы: нас не понимают, а мы же ГЕНИИ!!!
Шта? Займитесь делом! И лучше начать с себя. Возможно тогда и мир прекраснее станет.
Это у них что-то типа требования: прохождение определённых тестов по коду. При этом используется урезанный C, запрещён ряд функций, и для компиляции используется «сертифицированный» компилятор.
Попробую в обратку сыграть:
Язык C нужен! сейчас! практически безальтернативно (или, э-э-э, ассемблер?):
— для программ, где нет (или с ней проблемы) динамической памяти. Т.е. память есть, страниц/виртуализации/арены/кучи — нет;
— где нет операционки. Да, можно натянуть плюсы, однако всё это грустно…
— для написания драйверов. Да, до сих пор! Читал про заходы C++, читал про «оригиналов», пишущих драйвера на C#, но…
— в банковском секторе (естественно, в узкой сфере);
— в авиационном ПО.
Два последних пункта связаны с возможностью автоматизированной проверки/верификации кода на правильность/отсутствие/недопущение и т.д.
Функция read/write работает не столько на реальных файлах (правда и на них тоже, хотя там есть fread/fwrite), сколько на неком «нечто», например сокетах или файлах устройств (файлы в папке /dev).
Короткий контр-аргумент: например, если у вас операции на сокете, то о какой записи с последующем чтением тех-же данных может идти речь? То, что записали — ушло в одну сторону; то, что читаете — получаем с другой; это абсолютно разные потоки.
И вообще: ни о каком кэшировании речи в принципе нет: если fread запрашивает у драйвера некий кусок в 4к и потом пользователю выдаёт тот объём, что он запросил (хоть у файла, хоть нет), а потом омжет выдать данные из кэша; то read запрашивает ровно то количество, которое запросил пользователь: 2 байта — так два байта (недавно писал драйвер устройства, представляющегося символьным файлом, и всё это очень плотно исследовал).
Кроме того о какой атомарности может идти речь, если при запросе write вызывается одна функция внутри драйвера, а при запросе read — другая. Как это сделано — атомарно или не очень — это на совести программиста устройства/поставщика файла. POSIX тут совсем сбоку.
И да, поддержка адекватного смещения на файле-устройстве может быть очень проблематичной: попробуйте почитать из сокета этак 10-100-1000 Гигабайт, а потом сдвинуть позицию на начало и почитать снова? Ваша ОС будет всё кэшировать? Сомневаюсь. В общем, смещение тоже может не работать от слова совсем.
В качестве спеца и основателя потока (и потому что автор, похоже, отсутствует) могли бы Вы дать пару рекомендаций на те ситуации, которые описал автор статьи? Что делать ПМ-у чтобы быть «на уровне»? Или явно делить зоны ответственности? Что делать (вопросу лет двести)?
Если в браузере включу, интернет есть, но гугл упал (как это было недавно) то это работать будет?
Если вдруг всё завязано на гугл, это бесплатно? Нужно денег?
ПМ станет как-аналитик? — не чересчур ли?
Аналитик будет тестить? тоже так себе.
Как решать?
Ну может аналитик будет держать проект на пульсе и допиливать требования? Или другие варианты?
Ну что сказать? Ок, это Ваша статья и и Ваши определения.
Тогда удачи Вам в таком нелёгком деле как написание книги.
Дилетант? Тоже возможно. В том, что Вы описываете — однозначно.
Критика? Да.
Критика чего? Названия статьи!
Попробуйте хотя бы себе ответить: то что Вы написали — это API? Не протокол, формат или др. Именно API?
Молодые люди, именуйте свои статьи не для себя, а для других. Пожалуйста!
Да, я понимаю, что это брюзжание:
А где API-то (API: ru.wikipedia.org/wiki/API )?
О чём вообще приведённые в статье принципы?
Учтите, пожалуйста, поиск по статье слова 'web' не даёт ни одного совпадения! Т.е. это как-бы статья не об (не только об) web-е.
— Используем глобальные идентификаторы?: откроем файл по имени и некоторому guid-у?
— Клиент должен знать состояние системы?: мальчик/девочка, у тебя нет прав чтобы знать полное состояние системы! Даже сама система не знает полного состояния системы. Хотя, технически, можно снять дамп со всех процессов/памяти и др.
— Избегайте не-атомарных операций? Понятно, почему всё так тормозит! Вы бы ещё предложили залочить весь сервер пока обрабатывается каждый запрос! Ну так, на всякий случай.
Чёрт, как же народ-то при разработке POSIX, WinAPI не додумался до уникальных идентификаторов? Вот почему, оказывается, все винду ломают! Не потому, что драйвера не в тех кольцах, или буфера переполняются… а потому что идентификаторов нет.
Ну, и теперь можете накидывать минусов…
Если я вместо всех предлагаемых косинусов/синусов и т.д. нарисую график простой функции:
Для некоторого целого числа n:
f(x) = 1, если n делится на x нацело; и 0 — в иных случаях.
Есть подозрение, что вычислительно это будет проще (целочисленное деление с остатком против синусов/косинусов и деления с плавающей запятой), а результат (насколько понял Ваши рассуждения) будет аналогичный рисунку 6.
Если не прав — пожалуйста поясните. Иначе — вопрос: к чему такие сложности с синусами?
Сигнатура функции: char* getCpuidVendor(char* vendor);
То, что это 3 int-а (а размер ведь инта высечен в камне, так?) ну как бы пока известно, но что будет через ...? Там, кстати 4 инта, но используются только 3.
В любом случае, такая сигнатура как бы намекает, что может быть по разному.
На мой программистский взгляд это дыра-дырень.
Ну и применены слова «в относительном будущем», т.е. сарказм и всё такое.
В любом случае, извиняюсь за развитие темы.
boundchecking, передача максимальной длины в функцию? Нет, не слышали!
Где pod (заявлен в заголовке)?
а стандартлэйаут можно копировать? и набивать конструкторами?
в чём причина не более 2-х базовых классов в стандлэй? Почему ограничение на нестатические члены?
В общем, статью явно можно улучшить и хотелось бы именно разбор, а не выписку из стандарта.