Проблема в том, что это касается почти всего — если рассматривать в относительном контексте.
Пока Вы пользуетесь эффективным приёмом, о котором мало кто знает — Вы имеете преимущество. Как только приём становится общеизвестен (например, потому, что Вы о нём всем рассказали) — преимущества Вы лишаетесь.
Я немного не о том. В случае SEO прием — дыра в алгоритме ранжирования, которая позволяет вывести сайт в топ несмотря на то, что он не соответствует критериям поиска, которые были в голове у авторов этого алгоритма. Он после широкого распространения перестает действовать не относительно, а абсолютно. Дыра закрывается.
Поисковые алгоритмы Яндекса и Гугла как пример — ничего стыдного в них нет, наоборот, можно предположить, что в них вбухано очень много интеллекта. Однако они засекречены и вряд ли когда-нибудь будут опубликованы. Закрытый код, закрытые протоколы — тоже вполне распространённая вещь.
Проприентарный софт и протоколы — это нормально. Это конкретный продукт. Не нормально секретить методики. Например, ООП или Скрам.
Я приводил пример со штрафами, направляемыми в премиальный фонд — работает хорошо, идею сложной не назовёшь.
Это да. Но не думаю, что это основа построения процесса. К тому же, сам факт наличия штрафов — это не то, что любят афишировать.
Я как-то пришёл в банк с найденной у них «дырой» — стали угрожать и чуть в полицию не сдали
Не так давно была статья на хабре о похожей ситуации. Просто они оказались не готовы и вас не поняли.
Эээ, у вас что-то с математикой, программист работает 8 часов в день, из которых результативно от 3 до 6 часов (остальное уходит на письма, совещания, или чтение хабра и т.п.). А вы отнимаете время совещаний уже от тех 3-4 часов на таску в день.
Не совсем так. Обычно программист может заниматься задачей не более 3-4 часов в день. Если его нагрузить какими-то дополнительными активностями на пару часов, то так и получится.
Программист не сможет эффективно работать больше 4 часов в день. Так что повышать эффективность использования рабочего времени имеет смысл только в части приближения к 4 часам.
ИМХО, достаточно разумное кол-во писем и совещаний в день на производительность сильно не влияет, а мотивировать (что я завтра на стенапе расскажу?) и держать руку на пульсе (чем занимаются остальные?) иногда помогает.
Да, конечно. Письма и совещания нужны. Не нужно только перебарщивать. Можно еще снижать количество переключений контекста. Например, как-то изолировать дни, когда программист занимается поддержкой старых проектов или отвечает на вопросы.
Хуже всего, последствия изменений процессов разработки может появится через много месяцев (разработчику сначала может работать по инерции, а через какое-то время без ежедневных стендапов может начать прокастинировать).
Никто не обещал, что будет легко. Вообще, я совершенно идеальной организации процесса нигде еще не встречал. Нет предела совершенству! :-)
Я в IT гораздо больше 20 лет, но не буду спорить. Не удивлюсь, если в каких-то областях, типа SEO информацию стараются не разглашать. Там это понятно — известные всем (или широкому кругу) приемы перестают работать, поскольку Яндекс/Гугл правят алгоритмы ранжирования, чтобы всякие «левые» методы не работали. Аналогично с хакингом — известные всем дыры оперативно закрываются. То есть в этих областях публикация методики равносильна прекращению ее работы.
Что касается методик управления, с закрытостью этого я не сталкивался. Если это «перевербовка» увольняемых сотрудников и засылка их к конкурентам, то это тоже понятно, поскольку пахнет уголовкой. Скажем так, я не сталкивался с тем, чтобы кто-то утаивал методики, которыми было бы не стыдно поделиться.
Но, разумеется, из того, что я лично с такими случаями не сталкивался и мне это кажется противоестественным, не следует, что этого не может быть в принципе. Может быть и есть где-то.
IT — это одна из немногих областей, где работают достаточно адекватные люди, чтобы не делать секрета из методик. Это просто не принято.
Хранить в тайне «секреты мастерства» — это глупость, оставшаяся со времен средневековых гильдий. И чем выше уровень образования и мастерства, тем с большей вероятностью человек это понимает.
В наше время «хранить секреты мастерства» по большей части вообще бессмысленно. Репутация «гуру» в какой-то области принесет неизмеримо больше денег и уважения, чем реализованное «конкурентное преимущество». А «секрет» так или иначе будет заново открыт в течение года-двух. Тогда «конкурентное преимущество» растворится в воздухе, а на славе первооткрывателя заработает другой. Вот и все.
Когда в одной компании, где я работал, изучали один из процессов разработки программ, то говорилось, что непосредственно на задачу программист тратит МАКСИМУМ 3-4 часа в день. Остальное время уходит на письма, согласования, совещания и прочие активности. Так что простейший вариант — Вася занимался какой-то фигней, на которую тратил еще 2 часа в день (ежедневные совещания, например). На задачу оставалось тоже 2 часа. С него сняли самую откровенную фигню, на работу стало оставаться не 2 часа в день, а 4.
И еще одно наблюдение. Если работать очень плотно над задачей, то есть сидеть и кодить нетривиальный код, то 8 часов в день это делать физически невозможно — высокую концентрацию невозможно поддерживать столько времени. Ну возможно, конечно, но 2-3 дня, а после этого надо отдыхать неделю.
А как же сессионные ключи? Такое впечатление, что HTTPS прямо так передаваемые данные и шифрует несимметричным алгоритмом. Не понятно только, откуда ключи берутся. А тот факт, что HTTPS обеспечивает не только сокрытие трафика, но и подлинность сайта (и это, на мой взгляд, даже важнее) даже не упомянуто.
Да и вообще идея центров сертификации и цепочек сертификатов, подтверждающих подлинность сайтов, не то что не раскрыта, даже не упомянута…
Ну теперь осталось только объяснить, откуда вообще взялась задача модификации ГПСЧ, кто ее поставил, на каком основании и где юнит-тесты, демонстрирующие правильность реализации.
Я, вообще, не спорю, что в принципе, спецслужбы вполне в состоянии внедрить уязвимости в код продукта. Только в большинстве случаев не получится провести это мимо руководства компании. Процедуры, которые призваны обеспечить качество продукта, скорее всего сработают и естественным образом отвергнут уязвимость.
То есть в результате в компании будет как минимум 5-6 человек (а не один), которые знают о внедренной уязвимости.
Что-то идеальное я редко встречал, но рассчитывать, что какая-то спецоперация не сорвется именно потому, что компания и люди не идеальные и в данном конкретном случае конкретные люди выполнят свои профессиональные обязанности плохо, я бы не стал.
То что техническая возможность есть, не означает что ей будут всегда пользоваться. Или пользоваться внимательно.
Я писал немного о другом. Дело в том, что в крупных компаниях не существует технической возможности внести исправления в код продукта так, чтобы эти исправления не изучили еще минимум 2 человека.
Кроме того, для того, чтобы вообще хоть что-то изменить, должна быть создана задача в системе, которая должна быть приоритезирована и назначена на исполнителя.
Степень внимательности изучения — это другой вопрос, но код «неучтенного» бэкдора уж точно бросится в глаза.
Таким образом, надо договориться с человеком, который создаст задачу «внедрить бэкдор», с человеком, который включит ее в очередной релиз, с программистом, который ее заимплементит, с двумя ревьюверами, которые ее просмотрят и с руководителем тестеров, который исключит ее из тестирования, чтобы не договариваться еще и с тестерами.
Понимаю хабровчан, не всем интересны основы, для кого-то они выглядят совершенно скучными
Дело не в том, что «не всем интересны основы». И не в скуке дело. От статьи с подобным названием на Хабре ожидается описание вариантов атак и вариантов методов отражения атак. Какие-то примеры подобных атак. Определение «заказчика» и цели. Какие-то советы, что надо делать, что не надо, поскольку бесполезно и делает еще хуже, что дорого, что дешево, что в каких случаев эффективно, что не эффективно. Как работает и какими средствами располагает «внешняя» компания по управлению репутацией.
Даже критерии выбора специалистов по управлению репутаций никак не упомянуты, написано только, что незнание этих критериев «приводит к дилетантам».
То есть статья выглядит как текст от копирайтера-дилетанта на каком-то «тематическом» сайте, написанный исключительно для «придания объема» — очевидные фразы с нулевым полезным эффектом. Реакция сообщества в виде голосования за статью и карму автора наглядное этому подтверждение.
А теперь, внимание, вопрос! Как вы оцените профессионализм борца за репутацию, который размещает на неком ресурсе статью с неявной рекламой своих услуг (а как еще можно эту статью расценивать?), которая предсказуемо и однозначно вызовет резко отрицательную реакцию сообщества?
Нет. Там всего два !«отягчающих обстоятельства»: темное время суток и школа. Может еще какие-то есть, но я не видел других табличек.
Но вот если обогнать стоящий школьный автобус, который вывесил знак «стоп», то лучше сразу застрелиться. Тут уже расстреляют на месте и даже глазом не моргнут.
Вы не цените человеческого отношения. Все мои попытки найти хоть что-то разумное в ваших рассуждениях и попробовать показать вам в чем вы ошибаетесь разбились о вашу тупость, хамство и самоуверенность.
Даже если налог не прогрессивный, то 13% от 10 тысяч — это 1300 руб, а 13% от 100 тысяч, это 13000 руб. С прогрессивным налогом, конечно, еще круче.
Прогрессивный налог в России был в 90-х годах. Все порываются вернуть.
А вообще, в РФ налоги даже в каком-то смысле регрессивные. Отчисления в размере 22% в пенсионный фонд идут только до какой-то суммы годового дохода (около 800 тысяч), а сверх этого по «льготной» ставке — 10%. Если рассматривать пенсионные отчисления как налог, то получается даже регрессивная ставка.
Меня тоже как-то раз отпустили с формулировкой «больше так не делай». Но в целом, такое случается крайне редко.
Я живу за городом и каждый день езжу через МКАД. Пока еще не ликвидировали посты на пересечениях, меня часто останавливали и искали к чему бы придраться. Последние разы это был грязный номерной знак в дождливую осеннюю погоду. Было очевидно, что ГАИшникам надо просто количество штрафов добить до нужного показателя.
Но вообще согласен. Индивидуальные различия очень большую роль играют.
Похоже вы потеряли связь с темой. Я просто ответил примером на комментарий, в котором говорилось что в законе об Рунете, якобы подразумеваются свобода действий на блокаду Рунета.
Наоборот. Все обсуждение тут показывает, что в принятом законе нет по факту ничего, что было бы необходимо для улучшения устойчивости работы рунета и что декларируемая угроза — внешняя блокировка, таковой не является.
Но вместо этого в законе предусмотрены все действия, которые позволят заблокировать Интернет изнутри и заодно обеспечить более продвинутые внутренние блокировки.
в законах о машине не написано что машина должна сбивать людей. Ну нет такого в законе. Тем не менее, машиной убивают людей.
Именно так! В законах о машине написано, что машина НЕ должна сбивать людей. И прописаны правила (механизм реализации), которые не позволят машинам этого делать. Также в законе о машинах прописаны наказания за нарушения правил, не позволяющих машинам сбивать людей.
В отличие от закона об изоляции рунета, в котором нет явных указаний о том, что устанавливаемое оборудование не может использоваться для ограничения связности сети или трансграничного трафика. И даже более того, написано, что пользователь не имеет права жаловаться, если в результате «работы оборудования» ему нанесен ущерб.
Если брать вашу аналогию с машинами, то это как если бы вместо нынешней формулировки, что включив сирену и мигалку водитель автомобиля со спецсигналом должен убедиться в безопасности маневра, в ПДД было бы написано, что если вас сбила машина с мигалкой, то это ваши личные проблемы и компенсации вы не получите.
Согласен. Все незаконные вещи надо пресекать в оффлайне. Блокировка сайта — это показатель того, что соответствующие органы не могут справиться с нарушением закона и вместо этого пытаются скрывать его последствия.
Я не о конкретных продуктах, а о методиках: ООП, ФП, скрам, аджайл, CI…
Я немного не о том. В случае SEO прием — дыра в алгоритме ранжирования, которая позволяет вывести сайт в топ несмотря на то, что он не соответствует критериям поиска, которые были в голове у авторов этого алгоритма. Он после широкого распространения перестает действовать не относительно, а абсолютно. Дыра закрывается.
Проприентарный софт и протоколы — это нормально. Это конкретный продукт. Не нормально секретить методики. Например, ООП или Скрам.
Это да. Но не думаю, что это основа построения процесса. К тому же, сам факт наличия штрафов — это не то, что любят афишировать.
Не так давно была статья на хабре о похожей ситуации. Просто они оказались не готовы и вас не поняли.
Не совсем так. Обычно программист может заниматься задачей не более 3-4 часов в день. Если его нагрузить какими-то дополнительными активностями на пару часов, то так и получится.
Программист не сможет эффективно работать больше 4 часов в день. Так что повышать эффективность использования рабочего времени имеет смысл только в части приближения к 4 часам.
Да, конечно. Письма и совещания нужны. Не нужно только перебарщивать. Можно еще снижать количество переключений контекста. Например, как-то изолировать дни, когда программист занимается поддержкой старых проектов или отвечает на вопросы.
Никто не обещал, что будет легко. Вообще, я совершенно идеальной организации процесса нигде еще не встречал. Нет предела совершенству! :-)
Что касается методик управления, с закрытостью этого я не сталкивался. Если это «перевербовка» увольняемых сотрудников и засылка их к конкурентам, то это тоже понятно, поскольку пахнет уголовкой. Скажем так, я не сталкивался с тем, чтобы кто-то утаивал методики, которыми было бы не стыдно поделиться.
Но, разумеется, из того, что я лично с такими случаями не сталкивался и мне это кажется противоестественным, не следует, что этого не может быть в принципе. Может быть и есть где-то.
Хранить в тайне «секреты мастерства» — это глупость, оставшаяся со времен средневековых гильдий. И чем выше уровень образования и мастерства, тем с большей вероятностью человек это понимает.
В наше время «хранить секреты мастерства» по большей части вообще бессмысленно. Репутация «гуру» в какой-то области принесет неизмеримо больше денег и уважения, чем реализованное «конкурентное преимущество». А «секрет» так или иначе будет заново открыт в течение года-двух. Тогда «конкурентное преимущество» растворится в воздухе, а на славе первооткрывателя заработает другой. Вот и все.
И еще одно наблюдение. Если работать очень плотно над задачей, то есть сидеть и кодить нетривиальный код, то 8 часов в день это делать физически невозможно — высокую концентрацию невозможно поддерживать столько времени. Ну возможно, конечно, но 2-3 дня, а после этого надо отдыхать неделю.
Да и вообще идея центров сертификации и цепочек сертификатов, подтверждающих подлинность сайтов, не то что не раскрыта, даже не упомянута…
www.youtube.com/watch?v=BRn1zumcFh0
Я, вообще, не спорю, что в принципе, спецслужбы вполне в состоянии внедрить уязвимости в код продукта. Только в большинстве случаев не получится провести это мимо руководства компании. Процедуры, которые призваны обеспечить качество продукта, скорее всего сработают и естественным образом отвергнут уязвимость.
То есть в результате в компании будет как минимум 5-6 человек (а не один), которые знают о внедренной уязвимости.
Я писал немного о другом. Дело в том, что в крупных компаниях не существует технической возможности внести исправления в код продукта так, чтобы эти исправления не изучили еще минимум 2 человека.
Кроме того, для того, чтобы вообще хоть что-то изменить, должна быть создана задача в системе, которая должна быть приоритезирована и назначена на исполнителя.
Степень внимательности изучения — это другой вопрос, но код «неучтенного» бэкдора уж точно бросится в глаза.
Таким образом, надо договориться с человеком, который создаст задачу «внедрить бэкдор», с человеком, который включит ее в очередной релиз, с программистом, который ее заимплементит, с двумя ревьюверами, которые ее просмотрят и с руководителем тестеров, который исключит ее из тестирования, чтобы не договариваться еще и с тестерами.
То есть минимум 6 человек.
Это обманутые ожидания. :-)
Дело не в том, что «не всем интересны основы». И не в скуке дело. От статьи с подобным названием на Хабре ожидается описание вариантов атак и вариантов методов отражения атак. Какие-то примеры подобных атак. Определение «заказчика» и цели. Какие-то советы, что надо делать, что не надо, поскольку бесполезно и делает еще хуже, что дорого, что дешево, что в каких случаев эффективно, что не эффективно. Как работает и какими средствами располагает «внешняя» компания по управлению репутацией.
Даже критерии выбора специалистов по управлению репутаций никак не упомянуты, написано только, что незнание этих критериев «приводит к дилетантам».
То есть статья выглядит как текст от копирайтера-дилетанта на каком-то «тематическом» сайте, написанный исключительно для «придания объема» — очевидные фразы с нулевым полезным эффектом. Реакция сообщества в виде голосования за статью и карму автора наглядное этому подтверждение.
А теперь, внимание, вопрос! Как вы оцените профессионализм борца за репутацию, который размещает на неком ресурсе статью с неявной рекламой своих услуг (а как еще можно эту статью расценивать?), которая предсказуемо и однозначно вызовет резко отрицательную реакцию сообщества?
Но вот если обогнать стоящий школьный автобус, который вывесил знак «стоп», то лучше сразу застрелиться. Тут уже расстреляют на месте и даже глазом не моргнут.
Больше я не буду тратить на вас свое время.
RIP.
Прогрессивный налог в России был в 90-х годах. Все порываются вернуть.
А вообще, в РФ налоги даже в каком-то смысле регрессивные. Отчисления в размере 22% в пенсионный фонд идут только до какой-то суммы годового дохода (около 800 тысяч), а сверх этого по «льготной» ставке — 10%. Если рассматривать пенсионные отчисления как налог, то получается даже регрессивная ставка.
Я живу за городом и каждый день езжу через МКАД. Пока еще не ликвидировали посты на пересечениях, меня часто останавливали и искали к чему бы придраться. Последние разы это был грязный номерной знак в дождливую осеннюю погоду. Было очевидно, что ГАИшникам надо просто количество штрафов добить до нужного показателя.
Но вообще согласен. Индивидуальные различия очень большую роль играют.
Если же на том сайте продают наркотики в какой-то заграничной стране, то это проблема тамошних спецслужб, а не наших.
Наоборот. Все обсуждение тут показывает, что в принятом законе нет по факту ничего, что было бы необходимо для улучшения устойчивости работы рунета и что декларируемая угроза — внешняя блокировка, таковой не является.
Но вместо этого в законе предусмотрены все действия, которые позволят заблокировать Интернет изнутри и заодно обеспечить более продвинутые внутренние блокировки.
Именно так! В законах о машине написано, что машина НЕ должна сбивать людей. И прописаны правила (механизм реализации), которые не позволят машинам этого делать. Также в законе о машинах прописаны наказания за нарушения правил, не позволяющих машинам сбивать людей.
В отличие от закона об изоляции рунета, в котором нет явных указаний о том, что устанавливаемое оборудование не может использоваться для ограничения связности сети или трансграничного трафика. И даже более того, написано, что пользователь не имеет права жаловаться, если в результате «работы оборудования» ему нанесен ущерб.
Если брать вашу аналогию с машинами, то это как если бы вместо нынешней формулировки, что включив сирену и мигалку водитель автомобиля со спецсигналом должен убедиться в безопасности маневра, в ПДД было бы написано, что если вас сбила машина с мигалкой, то это ваши личные проблемы и компенсации вы не получите.