Pull to refresh
46
Karma
0
Rating
Владислав Раструсный @FractalizeR

CTO

YNDX Family: рассказываем, что это такое, зачем и почему сейчас

Интересно, кому-то аппрувнули акк? На главной есть даже знакомые лица, однако, еще 25 октября пришло письмо с заголовком "Ваша анкета на рассмотрении. YNDX Family помнит о вас". И тишина. Видать, все же забыли. Кажется, у ребят не взлетело. Может, Яндекс неожиданно запротестовал против использования своего внутреннего Staff в таких целях?

Аэрохоккей, моббинг и котики — коворкинг разработчиков Мир Plat.Form (НСПК)

Если не секрет, почему в кабинетах где парнопрограммируют, кресла развернуты друг от друга на 90 градусов? Это фишка такая? Неудобно ведь немного вместе на один и тот же код смотреть.

Использование Java смарт-карт для защиты ПО. Глава 4. Пишем первый апплет

Присоединяюсь к вопросу про JCOP-карты, интересно.

Про JCOP я ответил чуть выше.


А вообще, посоветуйте, с каких ресурсов начинать как новичку в мире java карт?

Сложно сказать. Я начинал с мануала по картам egate. Они были достаточно примитивны, а мануал — достаточно верхнеуровнев, чтобы зайти в качестве helloworld. Потом я переключился на доку по GlobalPlatform, однако, карты иногда по-своему реализуют некоторые части стандарта, так что мануал рядом держать все равно стоит.


Можно в Амазоне поискать книжки по программированию смарт-карт, но я не читал ни одну, так что не могу тут ничего посоветовать. Есть шанс, что книга с названием "Smartcard programming" или что-то в этом роде будет совсем не про те карты, что у вас на руках.

Использование Java смарт-карт для защиты ПО. Глава 4. Пишем первый апплет

Честно говоря, никогда не работал с такими. Я уже достаточно давно не имею дела с картами в целом. Для меня это уже в прошлом. Могу попробовать высказать догадки.


В частности, интересует, как их программировать

Полагаю, что обычным способом. Бесконтактный интерфейс — суть транспортный протокол. Его сложность должна скрываться драйверами ридеров.


насколько полный есть доступ к радиоинтерфейсу

Думаю, будет зависеть от ридера. Я не помню, чтобы в WinAPI было хоть что-то для работы с радиоинтерфейсом напрямую.


как выглядит эмуляция mifare

Если мне не изменяет память, в картах, с которыми работал я, ее не было вообще. Нужно смотреть в доку по конкретному варианту карт. JCOP — это ведь не модель карты, а только стандарт их разработки.


можно ли перезаписывать апплеты через бесконтактный интерфейс

Опять же, думаю, все будет зависеть от ридера. Ограничений программного уровня я тут не вижу. Протокол связи с картой не имеет значения. Для ее программирования в нее нужно посылать команды сильно похожие на те, что предназначены просто для общения с ней.

Использование Java смарт-карт для защиты ПО. Глава 4. Пишем первый апплет

Этот апплет — "пример", как и указано в его заголовке. Поэтому, конечно, в прод его пускать не нужно.

Вычисляем точный адрес любого пользователя по номеру телефона или адресу электронной почты

Я верно понимаю, что вы только что фактически выложили в открытый доступ личные адреса проживания огромного количества ни в чем не повинных людей? Вы дали компании только пятницу на закрытие уязвимости из-за не слишком сообразительного сотрудника в службе поддержки?

Предметно-ориентированные языки для бизнес-приложений — пользовательские интерфейсы

Какое отношение SQL имеет к проектированию UI, пусть и для данных?

SQL Server поддерживает регулярные выражения при проверке ограничений, не всегда нужны триггеры

Не понимаю, зачем выдавать LIKE шаблон за регулярку? Попробуйте вкус фейла, воспользовавшись любой фичей регулярок, выходящей за список.

Обнаружены критичные уязвимости в протоколе WPA2 — Key Reinstallation Attacks (KRACK)

Уязвимость касается режима работы в роли клиента Wi-Fi. Я думаю, для семейства кинетиков последует фикс, но позже. Все же некоторые модели работают как клиенты Wi-Fi.

Улучшаем связь между работодателями и соискателями на «Моём круге» (переписка + контактные лица компании)

Еще было бы неплохо, если бы заработал полнотекстовый поиск по переписке. В процессе поиска кандидатов пишешь очень много и часто. А потом сложно найти именно того, кто нужен. В "избранное" ведь чат не добавишь....

Как правильно хешировать пароли в высоконагруженных сервисах. Опыт Яндекса

1) Правильно я понимаю, что вы используете схему криптосистемы, как в bcrypt, где перебор хэшей затрудняется путём усложнения хэш-функции таким образом, что время её расчёта становится намного дольше?

Используется схема криптосистемы как в bcrypt, где перебор хешей усложняется таким образом, чтобы время расчета группы таких хешей на GPU максимально приближалось ко времени расчета хешей на CPU. Яндекс при логине пользователя всегда считает хеши на CPU. Посчитать нужно 1 хеш на пользователя. Хакеры считают на GPU сразу много, чтобы было быстрее. Профит в затруднении расчетов хешей именно на GPU для хакеров.


вы действительно разработали криптосистему

Яндекс не является разработчиком криптосистемы Аргон. Об этом написано в статье.

Как правильно хешировать пароли в высоконагруженных сервисах. Опыт Яндекса

Нельзя сказать, что устарел полностью, но Аргон его в какой-то степени превосходит: https://crypto.stackexchange.com/questions/30785/password-hashing-security-of-argon2-versus-bcrypt-pbkdf2


Мнение PHP-мэйтейнеров красноречиво: https://wiki.php.net/rfc/argon2_password_hash#resolved_inclusion_on_74

Paraquire, или Перестаньте доверять библиотекам

Вы не анализировали изменения в быстродействии скриптов с paraquire и без?

Как мы ловим Deadlock`и на PostgreSQL и чиним их

… но через день после запроса?

Как мы ловим Deadlock`и на PostgreSQL и чиним их

Но ведь ее можно удалить из логов перед отправкой, верно?

Как мы ловим Deadlock`и на PostgreSQL и чиним их

Но первая глобальная проблема для любого более-менее серьёзного проекта — то, что у вас нет доступа к серверным логам вследствие политики безопасности. Иногда вообще нет никакого доступа. А иногда можно попросить участок, но надо ждать. Иногда это 30 минут, иногда день.

Мне кажется, на более-менее серьезных проектах такие проблемы недопустимы. У вас может не быть непосредственного доступа на сервер, но доступ к логам быть обязан. Для этого можно агрегировать логи в ELK стек. Или как-то еще централизованно хранить. Но ситуации, при которой логов нужно ждать ДЕНЬ(!) возникать в работе не должно. А если такая ситуация возникает с пугающей регулярностью, надо все бросать и немедленно принимать меры.

Information

Rating
Does not participate
Location
Россия
Date of birth
Registered
Activity

Specialization

Chief Technology Officer (CTO)