Ну это смотря с чем сравнивать. Если сравнивать Ember и Angular, то первый намного проще. А сравнивать его с React — вообще смысла нет, тут уж скорее React и Knockout сравнивать стоит. Плюс, юзать Реакт в связке с Эибером довольно удобно.
Баг-репорт. Если выбрать темную тему, то при загрузке поста экран вначале загорается ярким светом на какое-то заметное время. Днем не проблема, но в темноте сильно раздражает.
Ну что вы все в самом деле? Ребята делали, старались. Чувакам на Meego или S40/Asha тоже предложите возмущаться, что приложения под их платформу нет? У большинства пользователей iOS стоит 7я версия операционки. Поддерживать много вариантов сложно.
Парни и так вон молодцы какие: iOS7 + iPad-версия в разработке, Win Phone 7-8.1, Android 4+. Другие на их месте выкладывают одну версию под последний айфончик и все (Instagramm тот же). Остальное допиливают долгими месяцами.
На приложениях свет клином не сошелся: есть браузер. Есть удобная мобильная версия для чтения: m.habr.ru Открыли, почитали. Если захотелось покомментировать, стерли в адресной строке буковку m и загрузили полную версию статьи. А еще есть сторонние клиенты itunes.apple.com/ru/app/touchhabr/id769441982
Ну, сложно сказать однозначно. У Windows старших версий можно доставлять компонент, отвечающий за POSIX-совместимость. И они даже сертифицировались где-то.
Другое дело, что POSIX — это только часть UNIX-окружения, и большинство программ, написанных под Unix, используюут API, которые нигде не стандартизированы, но де-факто присутствуют во всех *nix-системах.
Что делать, если от OCSP не придет ответ? Режектить по умолчанию — режим hard-fail — или пропускать — режим soft-fail? Hard-fail неюзабелен. Тут я с автором согласен: прожив с hard-fail режимом пару дней, я убедился, что интернет становится абсолютно непригодным к использованию, т.к. постоянно то для одного, то для другого сертификата проверка не проходит и может не проходить часам. Жить без Гугла или Википедии по полдня жутко неудобно.
В режиме Soft-fail эти проверки также абсолютно бесполезны. Чтобы воспользоваться украденным сертификатом, злоумышленнику придется перенаправлять ваш трафик на его сервер. Значит, трафик он контролирует, и значит, все запросы по OCSP он может блокировать. Браузер такие блокировки в режиме soft-fail проигнорирует и пустит вас на сайт злоумышленника. В своем посте автор описывает еще возможные варианты обхода злоумышленником проверок вплоть до того, что он может зарегистрировать свой сервер у CA и тогда CA будет отдавать валидный OSCP-ответ для этого сервера.
Самое главное: чтобы провести на вас атаку, злоумышленник должен работать на довольно высоком уровне — уровне государств и крупных провайдеров. Как всегда, правильным решением для вашей защиты — для тех, кто рискует жизнью (вы дисидент или революционер, или еще что-то в том же духе) — может быть VPN-сервер с сертификатом, который вы проверили сами и сами добавили себе в список доверенных. Если вы просто ходите в Гугл и платите в интернете картой, то вам это в целом не нужно.
Напомню, что Федор — человек не случайный в этом деле. Много лет он является одним из членов команды разработки Node.js и работает в основном над криптографическим API и в частности TLS. Именно благодаря его коммиту, отключившему поддержку heartbeat-расширения, Node по счастливой случайности оказался защищенным от этой атаки.
Его работа в этом направлении не ограничивается ядром Node. Некоторые наверняка помнят его модуль для ускорения работы с SSL — TLSnappy, модули поддержки SPDY-протокола для Node и iOS, а также его SSL-терминатор Bud.
Ну знаете, есть такая плоскость сравнения, когда решают, на чем писать новый проект. Говорят «над Java, или на .NET, или на Python, или на Rails, или на Node.js, или еще на чем-то». Да, можно до хрипоты спорить, что Java и Python — языки, .NET и Node.js — среды выполнения, а Ruby on Rails — фреймворк. Все равно в момент, когда обсуждают, на чем писать, все понимают, что именно имеется в виду.
Сравнивают экосистемы в целом: Rails vs Node — это
Статистика выглядит так, потому что в свое время из репозитория вынесли несколько элементов в отдельные зависимости. В первую очередь, это Libuv и HTTP Parser.
Кроме того, есть идеи побанить VPN, разрешить трафик только в пределах страны, запретить внутри страны SSL. Хрен с ней, с электронной коммерцией — все равно российский рынок — это копейки. А вместо интернет-банкинга наши люди могут и в очередях постоять.
Вешний траффик только по разрешениям. Для спецслужб — неограниченный, а для бизнеса хватит пары сотен мегабайт в месяц — электронная почта и отправка отчетности.
Можно собирать бумажки с подписями президентам других стран. Дорогой чиновник, ты заблокировал Интернет в своей стране? — ой, и почему это твой счет в нашем банке заморожен, а тебя самого к деткам в Австрию не пускают?
[IDE name] license is permanent and includes one year of free product upgrades since the purchase date, including even major version upgrades.
Т.е. если купили семерку, то ей вы можете пользоваться и год получать все апдейты бесплатно, в том числе и мажорные. Например, вышла восьмерка через девять месяцев после покупки — вы можете на нее обновиться. Прошел год — либо остаетесь на той версии, какая у вас есть, либо платите еще за один год апгрейдов и получаете в перспективе 10 и 11, например.
Рефакторить удобно: выделил все названия переменной и сразу переименовал. Или есть общее выражение в трех местах, выделил его везде, заменил на вызов функции, а само выражение перенес в тело функции.
Скажете, можно для этого среду разработки использовать. Оно, конечно, да. Но что делать, если среда не поддерживает тот язык на котором я пишу в данный момент? Можно 2-3 среды поставить, но тогда нужно не забывать их открывать и переключаться из одной в другую. А тут чик-чик по-быстрому, и все.
Парни и так вон молодцы какие: iOS7 + iPad-версия в разработке, Win Phone 7-8.1, Android 4+. Другие на их месте выкладывают одну версию под последний айфончик и все (Instagramm тот же). Остальное допиливают долгими месяцами.
На приложениях свет клином не сошелся: есть браузер. Есть удобная мобильная версия для чтения: m.habr.ru Открыли, почитали. Если захотелось покомментировать, стерли в адресной строке буковку m и загрузили полную версию статьи. А еще есть сторонние клиенты itunes.apple.com/ru/app/touchhabr/id769441982
Другое дело, что POSIX — это только часть UNIX-окружения, и большинство программ, написанных под Unix, используюут API, которые нигде не стандартизированы, но де-факто присутствуют во всех *nix-системах.
Основной его довод:
Что делать, если от OCSP не придет ответ? Режектить по умолчанию — режим hard-fail — или пропускать — режим soft-fail? Hard-fail неюзабелен. Тут я с автором согласен: прожив с hard-fail режимом пару дней, я убедился, что интернет становится абсолютно непригодным к использованию, т.к. постоянно то для одного, то для другого сертификата проверка не проходит и может не проходить часам. Жить без Гугла или Википедии по полдня жутко неудобно.
В режиме Soft-fail эти проверки также абсолютно бесполезны. Чтобы воспользоваться украденным сертификатом, злоумышленнику придется перенаправлять ваш трафик на его сервер. Значит, трафик он контролирует, и значит, все запросы по OCSP он может блокировать. Браузер такие блокировки в режиме soft-fail проигнорирует и пустит вас на сайт злоумышленника. В своем посте автор описывает еще возможные варианты обхода злоумышленником проверок вплоть до того, что он может зарегистрировать свой сервер у CA и тогда CA будет отдавать валидный OSCP-ответ для этого сервера.
Самое главное: чтобы провести на вас атаку, злоумышленник должен работать на довольно высоком уровне — уровне государств и крупных провайдеров. Как всегда, правильным решением для вашей защиты — для тех, кто рискует жизнью (вы дисидент или революционер, или еще что-то в том же духе) — может быть VPN-сервер с сертификатом, который вы проверили сами и сами добавили себе в список доверенных. Если вы просто ходите в Гугл и платите в интернете картой, то вам это в целом не нужно.
Его работа в этом направлении не ограничивается ядром Node. Некоторые наверняка помнят его модуль для ускорения работы с SSL — TLSnappy, модули поддержки SPDY-протокола для Node и iOS, а также его SSL-терминатор Bud.
Федор — очень талантливый парень и есть на Хабре
Сравнивают экосистемы в целом: Rails vs Node — это
— Ruby + Rails + Bundler + Rubygems +…
против
— JavaScript + Node.js + npm +…
Интересно, что если выкинуть зависимости и папку /tools, то статистика будет совсем другой: чисто в самом ноде намного больше JS:
А если сиключить тесты, то получим:
Получается, что 2/3 JS-кода в Node.js — это тесты.
Слишком много нод?
6. Баним IPv6.
Кроме того, есть идеи побанить VPN, разрешить трафик только в пределах страны, запретить внутри страны SSL. Хрен с ней, с электронной коммерцией — все равно российский рынок — это копейки. А вместо интернет-банкинга наши люди могут и в очередях постоять.
Вешний траффик только по разрешениям. Для спецслужб — неограниченный, а для бизнеса хватит пары сотен мегабайт в месяц — электронная почта и отправка отчетности.
Т.е. если купили семерку, то ей вы можете пользоваться и год получать все апдейты бесплатно, в том числе и мажорные. Например, вышла восьмерка через девять месяцев после покупки — вы можете на нее обновиться. Прошел год — либо остаетесь на той версии, какая у вас есть, либо платите еще за один год апгрейдов и получаете в перспективе 10 и 11, например.
Скажете, можно для этого среду разработки использовать. Оно, конечно, да. Но что делать, если среда не поддерживает тот язык на котором я пишу в данный момент? Можно 2-3 среды поставить, но тогда нужно не забывать их открывать и переключаться из одной в другую. А тут чик-чик по-быстрому, и все.
Compact! — 4.3 дюйма.
Б*яяяяяяя!..