Научить всех безопасно хранить пароли остаётся невыполнимой задачей и в 2026. А ещё их замаешься проверять - нужно всякий раз ходить на/в базу. Поэтому внедрить OAuth мысль в принципе здравая. Но клиенты уже много лет упираются. Бизнесы так устроены, что пока не отключишь, ни кто шевелиться не станет.
Ну как блютуз колонка, оно очевидно будет работать до поломки, так как интернет для этого не нужен в принципе
В принципе он конечно не нужен. Но умные колонки регулярно просятся в интернет, чтобы проверить актуальность учетки и подписки - иначе работать отказываются.
В 2023 году в ssh была добавлена обфускация длительности нажатий на клавиши
Кроме проблем с перфомансом, от которых до сих пор всех колбасит, в изначальной реализации ObscureKeystrokeTiming спустя год был обнаружен баг CVE-2024-39894. Он оставлял возможность проводить timing attack в том замечательном случае, когда вывод нажатых символов в терминал отключен - т.е. при входе паролей.
Ну камон, технологичные цивилизации это не благо. Это как рак на теле планеты, который нарушает мировой порядок и уничтожает ресурсы. Логично, предположить наличие у Вселенной защитных механизмов, предотвращающих его распространение.
Не прошло и десятка лет с момента изобретения Интернета, как люди стали его фильтровать. Информационная гигиена это фундаментальный принцип.
Домены и сабдомены олицетворяют собой область проблем (problem space) - условно, что бизнесу нужно. А конкретные (частные) решения этих проблем называются Bounded Contexts. Они формируют solution space. Может мне показалось, что у вас они сильно перемешаны.
Часто отношение subdomain - bounded context выглядит как 1:1. Но бывает так, что одно решение закывает собой сразу несколько проблем. А бывает, что разные решают одну и ту же проблему, но делают это разными способами, или находятся в разных местах и т.п.
Документация дает представление обо всем об этом с нужных точек зрения, а также наводит мостики между ними. Поэтому чаще получается не дерево документов, а сеть. Попытка придумать какую-то одну универсальную иерархию обычно ни к чему хорошему не приводит. В той же Wikipedia все страницы находятся на одном уровне.
Но так как установить новый пин нельзя банки и печатали конверты, предполагая, что клиент тут же его поменяет в банкомате. А сейчас карты выдают без пина и для её активации надо самому задать пин в приложении банка, никаких больше конвертов.
Пин нужен для аутентификации человека, который встаил карточку в банкомат. Других способов аутентификации там нет. Дефолтный пин в конверте при выдаче карты это неизбежное зло такой схемы. Есть ненулевой риск, что в процессе транспортировки он станет известен третьим лицам. Поэтому его всегда рекомендуют поменять.
Аккаунт для банковского приложения регистрируется самим владельцем и защищается другими способами аутентификации: ключи, пароли, смс, биометрия и т.п. Поэтому дефолтный пин физической карточке можно больше не задавать - владельц сам его установит через приложение. А до этого ей никто не может воспользоваться.
Доверие это вопрос консенсуса. А все аудиты - эпизодические и в основном сугубо бумажные акции, для случаев где нужна бюрократия - в код может вообще ни кто не смотреть.
Вся статья - это фантазия автора с использованием ИИ.
Статья напоминает контент, которым закидывали англоязычные новостные сайты пару лет тому назад про Иран. Типичная история, где некий добрый аноним рассказывает как поднять Starlink на запретной территории для десятка своих знакомых. Без лишних подробностей, но так, чтобы все поняли.
Калининград произвёл очень сильное впечатление. Он будто постоянно держит тебя в лёгком архитектурном диссонансе. В одну сторону — готические соборы, брусчатка и аккуратные немецкие домики. В другую — совершенно не вписывающиеся в эту картину советские кварталы и типовые хрущёвки.
А если шифрование происходит на стороне клиента? Как у того же bitwarden?
"Our business is to help customers protect, store, and share their sensitive data." (c)
Технически они шифруют криптоконтейнер симметричным ключом, который шифруют ключем, основанным на пароле. С одной стороны это даёт возможность ротировать пароль без необходимости перешифровывать весь контейнер. А с другой, какие есть гарантии, что у криптоконтейнера всегда будет только один единичный ключ или используемый алгоритм генерации ключей не содержит закладок?
Научить всех безопасно хранить пароли остаётся невыполнимой задачей и в 2026. А ещё их замаешься проверять - нужно всякий раз ходить на/в базу. Поэтому внедрить OAuth мысль в принципе здравая. Но клиенты уже много лет упираются. Бизнесы так устроены, что пока не отключишь, ни кто шевелиться не станет.
В принципе он конечно не нужен. Но умные колонки регулярно просятся в интернет, чтобы проверить актуальность учетки и подписки - иначе работать отказываются.
Gnome выглядит как macOS с похмелья.
Чтобы не только кликать, но и нажимать, нужна была мышь с пальцами. Но ее так ни кто и не выпустил.
Могли бы просто оформить европротокол и дальше ехать по своим делам.
Не рассчитали
Наоборот, это будет дороже - там даже кошелек переложить из одного кармана штанов в другой не могут без комиссии.
Было бы здорово покупать устройства, чтобы из их комбинаций строить нужные сценарии. А не под каждый сценарий брать отдельное устройство.
Обычно NDA заключают на определённый срок. Могли бы привязать строки к End Of Life продукта.
Кроме проблем с перфомансом, от которых до сих пор всех колбасит, в изначальной реализации ObscureKeystrokeTiming спустя год был обнаружен баг CVE-2024-39894. Он оставлял возможность проводить timing attack в том замечательном случае, когда вывод нажатых символов в терминал отключен - т.е. при входе паролей.
Здесь сказано, что депутат отметил, а не решил. Кто и с какой целью принимает такие решения это интересный вопрос.
Ну камон, технологичные цивилизации это не благо. Это как рак на теле планеты, который нарушает мировой порядок и уничтожает ресурсы. Логично, предположить наличие у Вселенной защитных механизмов, предотвращающих его распространение.
Не прошло и десятка лет с момента изобретения Интернета, как люди стали его фильтровать. Информационная гигиена это фундаментальный принцип.
Вы правы. Злоумышленник может воспользоваться украденным пином лишь после того, как карточку активировали.
Домены и сабдомены олицетворяют собой область проблем (problem space) - условно, что бизнесу нужно. А конкретные (частные) решения этих проблем называются Bounded Contexts. Они формируют solution space. Может мне показалось, что у вас они сильно перемешаны.
Часто отношение subdomain - bounded context выглядит как 1:1. Но бывает так, что одно решение закывает собой сразу несколько проблем. А бывает, что разные решают одну и ту же проблему, но делают это разными способами, или находятся в разных местах и т.п.
Документация дает представление обо всем об этом с нужных точек зрения, а также наводит мостики между ними. Поэтому чаще получается не дерево документов, а сеть. Попытка придумать какую-то одну универсальную иерархию обычно ни к чему хорошему не приводит. В той же Wikipedia все страницы находятся на одном уровне.
Пин нужен для аутентификации человека, который встаил карточку в банкомат. Других способов аутентификации там нет. Дефолтный пин в конверте при выдаче карты это неизбежное зло такой схемы. Есть ненулевой риск, что в процессе транспортировки он станет известен третьим лицам. Поэтому его всегда рекомендуют поменять.
Аккаунт для банковского приложения регистрируется самим владельцем и защищается другими способами аутентификации: ключи, пароли, смс, биометрия и т.п. Поэтому дефолтный пин физической карточке можно больше не задавать - владельц сам его установит через приложение. А до этого ей никто не может воспользоваться.
Доверие это вопрос консенсуса. А все аудиты - эпизодические и в основном сугубо бумажные акции, для случаев где нужна бюрократия - в код может вообще ни кто не смотреть.
Статья напоминает контент, которым закидывали англоязычные новостные сайты пару лет тому назад про Иран. Типичная история, где некий добрый аноним рассказывает как поднять Starlink на запретной территории для десятка своих знакомых. Без лишних подробностей, но так, чтобы все поняли.
Уточню, статья на вебархиве доступна из не РФ - как минимум с хабром и архивом на данный момент все в порядке.
Человечество давно научилось решать такие вопросы, когда философы заходят в тупик - при помощи грубой физической силы.
"Our business is to help customers protect, store, and share their sensitive data." (c)
Технически они шифруют криптоконтейнер симметричным ключом, который шифруют ключем, основанным на пароле. С одной стороны это даёт возможность ротировать пароль без необходимости перешифровывать весь контейнер. А с другой, какие есть гарантии, что у криптоконтейнера всегда будет только один единичный ключ или используемый алгоритм генерации ключей не содержит закладок?