Information
- Rating
- 52-nd
- Registered
- Activity
Specialization
Product Manager
Senior
From 4,000 $
English
Strategic planning
Monitoring and market analysis
Agile
Development of tech specifications
Planning
Budgeting projects
Scrum
People management
Negotiation
Тут не совсем так - пароли в plain text могут пересылаться, опираясь на шифрование TLS, но потом на сервере они должны хешироваться. В B2B софте, над которым я работал, мы придумали более надёжную схему - хеширование в браузере с солью 1, пересылка на сервер и хеширование второй раз на сервере с солью 2 (все соли потом хранились в бд), но это уже моя паранойя была, зная, что в корп. среде малых предприятий зачастую забивают на TLS.
Ну Bitwarden open-source - пожалуйста, лезте в сорцы и проверяйте. За вас там уже покопались компании Cure53 и Fracture Labs. А чтение файлов - ну миллионы программ читают файлы, и только малая толика устанавливает хуки или драйвер. Так вот, установка хука или драйвера - это 90% вредоносное действие. А чтение файлов с какой вероятностью может стать вредоносным?
Имхо, тут подмена понятий. Сторонний менеджер паролей все же не допускает ошибок встроенного в браузер - он не хранит нигде ключи шифрования и через х минут блокирует базу, стирая и из РАМ. К тому же, использует для хеширования мастер пароля Argon2, тогда как браузерный менеджер - непонятно что, надо лезть в сорцы. А от кейлоггера должен спасти поведенческий анализатор антивируса - это куда более подозрительное поведение, чем чтение директорий.
Вряд ли что-то изменилось, но, на моей памяти, почти любой задрипанный инфостилег мог найти ключ шифрования паролей браузером, расшифровать и своровать их. Больше вот у этих ребят прочитайте
Я пошерстил инет вручную в Гугл и Бинг, потом пошерстил твиттер, в том числе твиттер и подписки самого автора статьи. Потом уже сдавшись, задействовал deepsearch Perplexity и Grok 2 раза, но все равно ничего путного не нашёл.
Да странно, чтобы и Форбс тоже клюнул на нейростатью? Но да, очень изначальная статья полна воды
Не, поэтому составил это как новость. Наверное не совсем вписывается в формат, учитывая всю мою критику.
Имхо, это не заслуга метода win-win, а здравого смысла. Уже тогда и одна, и другая сторона могли уничтожить Землю N раз своими арсеналами, а ядерная гонка выжимала соки из экономик двух государств. Проще говоря, они просто решили не угрохивать свои экономики ради призрачного преимущества.
Ага! Значит чуваки, придумывающие названия моделям ChatGPT, раньше работали с USB. Чтоб им пусто место было
Вот это меня больше всего озадачило, а уже во вторую очередь - старые модели на 2025 г. Все же сравнивать более-менее доступные среднему человека и модель за 200 баксов (которая уже заменена на o3 Pro) - такое себе.
Маленький оффтоп. Хотел бы спросить, по вашему опыту, значимо ли микроразметка schema.org влияет на SEO сегодня?
Хорошая статья, правда пока прочитал чуть меньше половины. Как продакт, хотел бы напомнить, что необходимо определиться с sample size до эксперимента (можно использовать калькуляторы) и далее статистически доказать результаты теста (значимы или нет). Иначе получается, что выезжать будут за счёт интуиции.
Там ещё и антибот, и WAF, и куча других примочек. Вы верно заметили, что сервисы такого уровня невозможно заменить чем-то другим самосборным. Там ещё и обучение на больших данных.
Классный коммент - закрепил!
Вот я тоже внизу об этом писал, почему они так всё проверинули, а не тупо бы сливали данные из рам или диска.
Да, есть в этом проблема. Тут ещё затык в том, что VPS провайдеры тоже могут сливать данные из рам и даже с диска. Пока что не понимаю, почему в этой истории они это не сделали, хотя что им мешало?
В других ветках обсуждают технологию DANE. Имхо, было бы круто, если бы УЦ ушли в закат, а мы бы смогли выпускать самоподписанные сертификаты с пропиской открытого ключа в DNS, а DNS защищать DNSSEC. Тогда бы решилась проблема, для который был разработан certificate pinning в своё время, да и проблемы, для которых были разработаны CRL и OCSP. Но олигаполия УЦ и Гугл решили по-другому.
Были предложения до 6 дней сократить! Ну, тут только ACME будет работать на обновление сертификатов.
Когда убрали EV отметку в браузерах, то тоже непонятно зачем брать EV сертификаты. Правда я как-то получал на компанию EV code signing от Sectigo. Блин, там просто надо было предоставить документы о компании и взять трубку на корп. телефон по месту офиц. регистрации. Реально ли проверяли эти документы - одному Sectigo известно.
А по iodef - уже как года 2 у меня стоит на домене и ни разу не получал письмо от УЦ. Но может я никому и не нужен.
А так, всегда пожалуйста :)
Тут полностью согласен. Если не ошибаюсь, то лет, ох ёлки, 10 тому назад, я впервый раз увидел, когда сертификат был подтверждён с помощью DANE.
Но, к большому сожалению, что DNSSEC стагнирует по распространению, а от этого DANE тоже, что олигаполия УЦ надавила на разработчиков браузеров.
Мне recaptcha сильно надоедает, когда надо лестницы выбирать, пешеходные переходы, мотоциклы и прочее, причём по 2-5 раз! И фиг поймёшь куда кликать - там, где маленькая мотоцикла только виднеется, туда кликать надо или нет? Всё жду когда эту фигню похоронят.
Да они вообще выпилили OCSP под корень. Технология, призванная убить CRL, сама была убита. Хотя мне нравится OCSP, но только вкупе с stapling. Скорее всего LE решили, что всех не заставить использовать stapling и must-staple, поэтому решили OCSP выпилить. Я как-то давно тестил отозванные сертификаты через CRL на разных браузерах и пришёл к выводу, что не все корректно проверяют отзыв. Сегодня даже не знаю как дела обстоят.