1. Потому что можно ногами бегать и платёжки относить на бумаге, и исковое в суд подавать, и бухдоки на бумаге выдавать, и в налоговую какие-то отчёты на бумаге, но страна в целом взяла курс на ЭДО, налоговая всё в электронном виде принимает, суд в электронном виде и уже обещают процессы по видеосвязи и уже даже есть такие, почему банк должен быть исключением, особенно, что сам банк нам выдал ЭЦП и откровенно злоупотребляет правом.
2. Потому что Covid-19. У нас в офисе последний рабочий день был 13 марта. И мы до сих пор на удалёнке, кроме круглосуточных дежурных дата-центра.
3. Мы покупаем опыт недорого. Всего 8000р госпошлина. Этот опыт может пригодиться в деле с суммой в миллионы рублей.
4. Отстаивание законности. Если в законе сказано, что счёт банк обязан закрыть, значит надо отстоять это право и не позволять игнорировать закон.
Суд такого не устанавливал. Суд установил, что нет соглашения между нами и ВТБ о том, что через интернет-банк мы можем направить письмо о закрытии счёта. Но с нашей точки зрения в пункте 1 ст. 859 ГК РФ не сказано ничего про то, что такое соглашение должно быть. Да хоть по электронной почте. Если банк признаёт переписку с нами по электронной почте, то он обязан признать и заявление на закрытие счёта. Аналогично и с телефоном и любым другим средством связи.
Ну и в финальный вывод, который процитирован в статье мне кажется нелогичным. Суд не говорит, что банк не идентифицировал нас. Он говорит, что поскольку такая обязанность есть, то в иске отказать.
То что вы предлагаете выходило за рамки моего исследования. Всё же версия HTTP присутствует непосредственно в ответе сервера и указывается при отправке HTTP-запроса. И это может быть реальной проблемой, когда на хостинге нет поддержки HTTP/2, например, в штатных пакетах CentOS 7 по умолчанию.
Last-Modified может быть подвержен глюкам связанным с неправильной настройкой временных зон, отсутствием этой настройки, переходом на летнее, зимнее время, перенастройкой временной зоны.
Время относительный параметр, а ETag абсолютный.
Ну и сервис тестирует заголовки независимо друг от друга. Его задача не рейтинг ТОП-100 сгенерить, а обратить внимание. С этой задачей он и справляется раз вы внимание обратили. А дальше уже вам решать, добавлять ETag или и так сойдёт.
Я и не говорил, что она есть. Но проверка должна мотивировать запретить использовать HTTP→HTTP, что она и делает.
Нет, ничего. Где вы увидели, что за Server оценка снижается? Везде, где снижается, там пишется. А про Server просто предупреждение подумать.
Пузомерка не только про безопасность. inline CSS-стили тоже не имеют. И до недавнего времени Яндекс.Метрика требовала unsafe-inline. Я написал в Яндекс, что это неправильно. Они месяц работали и переписывали код Метрики. Переписали и сегодня ответ прислали, что исправили.
Кодировка win-1251 плохо уже совместима с жизнью. Она не может воспроизводить все символы, что есть в UTF-8. То есть можно просто потерять часть контента при вставке откуда-то. Например у меня на сайте иконки ошибки, предупреждения — это не графические иконки, а UTF-8 символы.
UTF-8 всё ширится и ширится. Ну и что будет с графическими символами при копировании их в кодировку win-1251?
1. Да почти всё ни на что не влияет. Выше же сказано, что это просто наше, а больше даже моё мнение. Знать что происходит не так полезно. А можно и не знать. 99.99% в логи не заглядывают. 99% на w3c валидаторе не проверяют. И работает.
2. Это завязка на другое условие. Сегодня это есть, а завтра нет. Выберите другой вариант, который не допускает передачи реферера при HTTP→HTTP и всё.
3. Приведите конкретику. Пока это сводится только к тому, что там чуть мягче, а у меня чуть жёстче. Они менее требовательны. Тут нет абсолютной истины.
developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
Send the origin, path, and querystring when performing a same-origin request, only send the origin when the protocol security level stays the same while performing a cross-origin request (HTTPS→HTTPS), and send no header to any less-secure destinations (HTTPS→HTTP).
Под это HTTP→HTTP тоже подпадает. А мы исходим из того, что HTTP абсолютное зло. Его используют собянинские рукожопы для отправки персональных данных. Поэтому рукожопость лучше отсечь во всех возможных вариантах.
Там несколько разные только требования по N кондеев, ИБП, ДГУ и прочего. Задумка статьи красивая, но упрощено и по сути приравняли кондеи к ИПБ и ДГУ. Ну и две бутылки пива раньше было ни о чём. :) Явно не хватит.
Поддержка качественная на нашем рынке у многих, вы тут не одни. Конкуренция большая.
И многие остальные сектора просто сосут. Надо чем-то другим заниматься. :) Вот буквально вчера.
«Добрый вечер.
Получила ответ от нашего технического директора:
«Этот заголовок настоятельно рекомендуется к использованию на новых продуктах. Объемные и долгоживущие проекты, такие как Юздеск, требуют существенных доработок, поэтому допускается отсутствие поддержки. Мы сейчас не можем в существующий план разработки добавить столь объемную задачу, как испекция и рефакторинг виджета. Возможно, через 2-3 месяца, у нас на это появятся свободные ресурсы.»»
Это ответ на претензию, что у люде inline стили нарушают политику HTTP Content-Security-Policy. Это коммерческий продукт. Два дня думали прежде чем послать подальше. И это повсеместно: в банках, в крупных компаниях. У всех, кто сидит на потоках.
Из карантина не наведается. Наведается, если авиасообщение восстановят. Но так все страны его сейчас закрывают. Так что Китай сделает то, что должны были сделать другие в декабре — закроет авиасообщение. Или всех прилетевших на 14 дней в карантин будет сажать.
Странно почему так мало дата-центров и нет itsoft.ru/data-center/colocation там всегда цены были, уже лет 15 как, даже никакие письма писать не нужно было, всё на сайте.
2. Потому что Covid-19. У нас в офисе последний рабочий день был 13 марта. И мы до сих пор на удалёнке, кроме круглосуточных дежурных дата-центра.
3. Мы покупаем опыт недорого. Всего 8000р госпошлина. Этот опыт может пригодиться в деле с суммой в миллионы рублей.
4. Отстаивание законности. Если в законе сказано, что счёт банк обязан закрыть, значит надо отстоять это право и не позволять игнорировать закон.
Ну и в финальный вывод, который процитирован в статье мне кажется нелогичным. Суд не говорит, что банк не идентифицировал нас. Он говорит, что поскольку такая обязанность есть, то в иске отказать.
Интерфейс русский.
Внизу страницы есть Настройки языка. Если там переключиться на английский тогда habr.com/en/post/504990 — такой будет урл.
Метод HEAD указать нужно. 296М это всё же перебор, чтобы качать такой контент.
То что вы предлагаете выходило за рамки моего исследования. Всё же версия HTTP присутствует непосредственно в ответе сервера и указывается при отправке HTTP-запроса. И это может быть реальной проблемой, когда на хостинге нет поддержки HTTP/2, например, в штатных пакетах CentOS 7 по умолчанию.
Сейчас пробую прикрутить проверку TLS, но
Возвращает контент для сервера, который не поддерживает TLS 1.3.
Попробую разобраться, найти надёжный метод проверки поддержки версий TLS и добавим.
Время относительный параметр, а ETag абсолютный.
Ну и сервис тестирует заголовки независимо друг от друга. Его задача не рейтинг ТОП-100 сгенерить, а обратить внимание. С этой задачей он и справляется раз вы внимание обратили. А дальше уже вам решать, добавлять ETag или и так сойдёт.
Я и не говорил, что она есть. Но проверка должна мотивировать запретить использовать HTTP→HTTP, что она и делает.
Нет, ничего. Где вы увидели, что за Server оценка снижается? Везде, где снижается, там пишется. А про Server просто предупреждение подумать.
Пузомерка не только про безопасность. inline CSS-стили тоже не имеют. И до недавнего времени Яндекс.Метрика требовала unsafe-inline. Я написал в Яндекс, что это неправильно. Они месяц работали и переписывали код Метрики. Переписали и сегодня ответ прислали, что исправили.
Кодировка win-1251 плохо уже совместима с жизнью. Она не может воспроизводить все символы, что есть в UTF-8. То есть можно просто потерять часть контента при вставке откуда-то. Например у меня на сайте иконки ошибки, предупреждения — это не графические иконки, а UTF-8 символы.
UTF-8 всё ширится и ширится. Ну и что будет с графическими символами при копировании их в кодировку win-1251?
2. Это завязка на другое условие. Сегодня это есть, а завтра нет. Выберите другой вариант, который не допускает передачи реферера при HTTP→HTTP и всё.
3. Приведите конкретику. Пока это сводится только к тому, что там чуть мягче, а у меня чуть жёстче. Они менее требовательны. Тут нет абсолютной истины.
Вы не обрабатываете отчёты. См. developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
Send the origin, path, and querystring when performing a same-origin request, only send the origin when the protocol security level stays the same while performing a cross-origin request (HTTPS→HTTPS), and send no header to any less-secure destinations (HTTPS→HTTP).
Под это HTTP→HTTP тоже подпадает. А мы исходим из того, что HTTP абсолютное зло. Его используют собянинские рукожопы для отправки персональных данных. Поэтому рукожопость лучше отсечь во всех возможных вариантах.
Продолжайте смотреть. :) Буду рад замечаниям.
Вот таблица сравнений детальная Tier II и Tier III по резервированию отдельных компонентов дата-центра.
И многие остальные сектора просто сосут. Надо чем-то другим заниматься. :) Вот буквально вчера.
«Добрый вечер.
Получила ответ от нашего технического директора:
«Этот заголовок настоятельно рекомендуется к использованию на новых продуктах. Объемные и долгоживущие проекты, такие как Юздеск, требуют существенных доработок, поэтому допускается отсутствие поддержки. Мы сейчас не можем в существующий план разработки добавить столь объемную задачу, как испекция и рефакторинг виджета. Возможно, через 2-3 месяца, у нас на это появятся свободные ресурсы.»»
Это ответ на претензию, что у люде inline стили нарушают политику HTTP Content-Security-Policy. Это коммерческий продукт. Два дня думали прежде чем послать подальше. И это повсеместно: в банках, в крупных компаниях. У всех, кто сидит на потоках.
Тут любое уменьшение контактов уменьшает и риск заболеть. Если раз в неделю ходить в магазин, то риски минимальны.
Опять же, смотрим на Китай. Там всего 80 000 случаев, т.е. меньше 1%. Они победили.
Посмотрим на другие страны, которые не победят. Хотя при 1% заболевших и они сдадутся и перейдут на жёсткий карантин, я думаю.