При этом nginx как прозрачный прокси еще и позволяет приблизить конфиги на дев-машине к боевым… (т.к. не так уж и редко используется связка nginx+httpd, кроме популярного nginx+php-fpm)
А вот еще было бы интересно узнать мнение хабрасообщества по поводу https://www.sslforfree.com/. (в предположении что у нас современный браузер с поддержкой Web Crypto API).
Соглашусь, Cloudflare — это скорее способ убрать некоторые виды атак/спамеров, чуть снизить нагрузку на сайт за счет кэширования статики, скрыть реальный IP сервера (в некоторых случаях), и — при правильной настройке — повысить скорость для клиентов по всему миру (опять же, при настроенном кэшировании). От серьёзного DDoS нужны другие решения.
Все зависит от того, для чего его использовать. Если это обычный блог, то использование CF вполне оправдано (при этом пароли от админки вполне можно пускать в обход cloudflare). Для более-менее серьезного проекта служба ИБ просто не даст добро на использование сторонних фронтэндов/прокси.
Не знаю как у вас, но в моем окружении в неформальном разговоре чаще всего самоподписанными называют именно ситуацию с СА, о чем я и написал выше. Одиночные сертификаты, не содержащие подписей, используют значительно реже из-за неудобств с их отзывом, поддержанием большого списка исключений в браузере и т.д. Лично я серт без ЦП от СА не видел уже давно…
И да, все люди при этом грамотные и «формально строгие» определения прекрасно знают :)
установить себе в систему СА, подписавшее «самоподписанный» сертификат, как доверенное. Включить certificate pinning каким-нибудь расширением браузера.
Под самоподписанным сертификатом чаще имеют в виду «свое СА, не входящее в списки глобально доверенных».
По ссылке говорится, что Apple забанит только WoSign, про StartCOM ни слова.
Также интересно, что будет с платными сертификатами от StartCOM, исключат из списка доверенных или нет, — они, насколько я помню, подписаны другой цепочкой.
В целом — в прошлом году StartCOM приятно порадовал изменениями и политикой (стало возможным получать бесплатные сертификаты для коммерческих целей), не так давно стало понятно, с чем это связано…
Реакция Mozilla бесспорно важна, но финальным аргументом для CA, имхо, станет мнение Google. Если 2 популярных браузера перестанут доверять сертификатам, это должно заставить их задуматься.
То есть, таким образом можно идентифицировать, что происходит внутри VPN?
Что будет, если внутри VPN одновременно активно передают данные несколько приложений?
Пробовал D3.js, но столкнулся с низкой производительностью для больших графов. В итоге остановился на vivagraph, т.к. она написана с использованием WebGL и заметно быстрее. Будет интересно услышать, есть ли еще более быстрые решения.
В итоге получается, что случай, приведенный мной выше, анализатор пропускает, а при выполнении программы в редких кейсах размер вектора становится равным нулю, и все падает…
Было бы неплохо все же иметь хоть какую-то опцию, вроде «расширенная проверка деления на ноль», по умолчанию отключенную для удобства.
Вопрос не совсем по теме: умеет ли PVS-studio находить ошибки вида
auto average = total / x.size();
?
Имеется в виду: (1) возможное деление на ноль и (2) отсутствие проверок в коде на (1)?
Пробная версия, к сожалению, эти места не обнаружила. Если такого функционала нет, я думаю, есть смысл его добавить — подобный код встречается не так уж и редко…
URL Redirect — это не совсем DNS, это хак с отдельным сервером.
Лучше поднять у себя сервер, слушающий домен с www на 80 и 443 портах, и переадресовывающий 301 редиректом
шифрование действительно реализовано end-to-end, но apple контролирует каталог ключей и выдает их вашему устройству. В теории никто не мешает им передать еще один третий «нужный» ключ, наряду с ключами айфона и айпада вашего друга. Ваш телефон зашифрует и отправит сообщение для всех трех ключей. К сожалению, на текущий момент этот процесс никак не контролируем пользователем, в чем их не раз упрекали EFF и другие организации.
Все это легко можно нагуглить по запросу " imessage encryption details ", на Хабре тоже не раз писали на эту тему.
E2E в iMessage давным-давно используется (правда, контроль за ключами пока на стороне Apple).
APFS не планируется к повседневному использованию, об этом сегодня была статья на хабре, поэтому включать ее в список нововведений для пользователей — слишком громко.
Уважаемые копирайтеры, я понимаю, что вы не технические специалисты, но — пожалуйста — давайте спецам статью на проверку перрд публикацией. Это все-таки Хабрахабр, а не второсортный портал.
А вот еще было бы интересно узнать мнение хабрасообщества по поводу https://www.sslforfree.com/. (в предположении что у нас современный браузер с поддержкой Web Crypto API).
Можно ли ему доверять? :)
На практике от возможного MITM до cloudflare можно защититься, проверяя клиентский сертификат cloudflare — чуть ниже есть и такая настройка.
И да, все люди при этом грамотные и «формально строгие» определения прекрасно знают :)
Под самоподписанным сертификатом чаще имеют в виду «свое СА, не входящее в списки глобально доверенных».
Также интересно, что будет с платными сертификатами от StartCOM, исключат из списка доверенных или нет, — они, насколько я помню, подписаны другой цепочкой.
В целом — в прошлом году StartCOM приятно порадовал изменениями и политикой (стало возможным получать бесплатные сертификаты для коммерческих целей), не так давно стало понятно, с чем это связано…
Реакция Mozilla бесспорно важна, но финальным аргументом для CA, имхо, станет мнение Google. Если 2 популярных браузера перестанут доверять сертификатам, это должно заставить их задуматься.
Что будет, если внутри VPN одновременно активно передают данные несколько приложений?
Пробовал D3.js, но столкнулся с низкой производительностью для больших графов. В итоге остановился на vivagraph, т.к. она написана с использованием WebGL и заметно быстрее. Будет интересно услышать, есть ли еще более быстрые решения.
Было бы неплохо все же иметь хоть какую-то опцию, вроде «расширенная проверка деления на ноль», по умолчанию отключенную для удобства.
?
Имеется в виду: (1) возможное деление на ноль и (2) отсутствие проверок в коде на (1)?
Пробная версия, к сожалению, эти места не обнаружила. Если такого функционала нет, я думаю, есть смысл его добавить — подобный код встречается не так уж и редко…
Лучше поднять у себя сервер, слушающий домен с www на 80 и 443 портах, и переадресовывающий 301 редиректом
Все это легко можно нагуглить по запросу " imessage encryption details ", на Хабре тоже не раз писали на эту тему.
E2E в iMessage давным-давно используется (правда, контроль за ключами пока на стороне Apple).
APFS не планируется к повседневному использованию, об этом сегодня была статья на хабре, поэтому включать ее в список нововведений для пользователей — слишком громко.
Уважаемые копирайтеры, я понимаю, что вы не технические специалисты, но — пожалуйста — давайте спецам статью на проверку перрд публикацией. Это все-таки Хабрахабр, а не второсортный портал.