Отказоустойчивость и высокая доступность — большие темы, так что посвятим RabbitMQ и Kafka отдельные статьи. Данная статья о RabbitMQ, а следующая — о Kafka, в сравнении с RabbitMQ. Статья длинная, так что устраивайтесь поудобнее.

Рассмотрим стратегии отказоустойчивости, согласованности и высокой доступности (HA), а также компромиссы, на которые приходится идти в каждой стратегии. RabbitMQ может работать на кластере узлов — и тогда классифицируется как распределенная система. Когда речь заходит о распределенных системах, мы часто говорим о согласованности и доступности.

Эти понятия описывают, как система ведет себя при сбое. Сбой сетевого соединения, сбой сервера, сбой жесткого диска, временная недоступность сервера из-за сборки мусора, потеря пакетов или замедление сетевого соединения. Все это может привести к потере данных или конфликтам. Оказывается, практически невозможно поднять систему, одновременно и полностью непротиворечивую (без потери данных, без расхождения данных), и доступную (будет принимать операции чтения и записи) для всех вариантов сбоя.

Иллюстрация из статьи zhovner «Google Public DNS тихо включил поддержку DNS over TLS»

Mozilla и Google продолжают продвигать протокол шифрования DoH. Его уже внедрили в ранние альфы Firefox и Chrome. Шифрование DNS-запросов поддерживают Google Public DNS, Cloudflare DNS и другие резолверы.

Шифрование DNS-трафика с невозможностью слежки «человеком в середине», составлять и продавать профили пользователей — сильный удар по интернет-провайдерам, которые занимаются всем перечисленным. В отдельных странах это не понравится правоохранительным органам, которые затрудняют гражданам доступ к определённым ресурсам в интернете (например, в России заблокированы «Луркоморье», «Рутрекер» и 289 955 других ресурсов). Протокол DoH практически сводит на нет усилия властей.

Своё недовольство уже высказали провайдеры Великобритании, которые назвали Mozilla «главным злодеем интернета» якобы за подрыв системы блокировки сайтов с детской порнографией. На этой неделе стало известно о закулисной борьбе в коридорах законодательной власти США, где компании могут лоббировать свои интересы и легально «подкупать» депутатов.

TL;DR. Некоторые люди смотрят на мир иначе. Софтверная компания из Нью-Йорка решила использовать это как конкурентное преимущество. Её штат на 75% состоит из тестировщиков с расстройствами аутистического спектра. Удивительно, но необходимые аутистам вещи оказались полезными для всех: гибкий график, удалённая работа, общение в Slack (вместо личных встреч), чёткая повестка каждого совещания, отказ от открытых офисов, отмена собеседований, карьерная альтернатива повышению до менеджера и т. д.

Раджеш Анандан основал компанию Ultranauts (бывшая Ultra Testing) с соседом по комнате общежития в Массачусетском технологическом институте Артом Шектманом с одной целью: доказать, что нейрологическое разнообразие (neurodiversity) и аутизм сотрудников — это конкурентное преимущество в бизнесе.

«В аутистическом спектре невероятное количество людей, чьи таланты игнорируют по самым разным причинам,  — говорит Анандан.  — Им не дают честного шанса добиться успеха на работе из-за атмосферы, рабочего процесса и ”привычных” деловых практик, которые не слишком эффективны в принципе, а для людей с таким мышлением особенно вредны».

Относительная производительность CPU на один доллар после анонса нового поколения сравнительно дешёвых серверных процессоров Intel Cascade Lake-X (W-2200) в октябре 2019 года. Источник: Intel

AMD официально подтвердила, что высокопроизводительные процессоры Ryzen Threadripper 3-го поколения выйдут в ноябре 2019 года, но сохранила в секрете детали. В то же время Intel сообщила торговым партнёрам, что готова потратить на ценовую войну три миллиарда долларов. Intel подчёркивает, что чистая прибыль AMD за прошлый год составила всего $300 млн, и она не выдержит демпинга. Intel также оперативно выпустила семейство относительно дешёвых серверных процессоров семейства W-2200 (см. под катом) и относительно дешёвых игровых процессоров Core i9 10-го поколения.

В то же время планы AMD становятся яснее благодаря «мастер-плану», который компания случайно (или «случайно») выложила в открытый доступ (документ уже удалён, вот копия, интерес представляют страницы 550/558).

Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес или его большую часть, что можно легко объединить с другой информацией, чтобы установить вашу личность. Из статьи Лин Кларк «DoH в картинках»

На Хабре неоднократно рассказывали о протоколе DNS-over-HTTPS (DoH), недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.

26 июля 2019 года компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней до 397 дней (около 13 месяцев), то есть примерно вдвое. Google считает, что только полная автоматизация действий с сертификатами позволит избавиться от нынешних проблем с безопасностью, которые часто объясняются человеческим фактором. Поэтому в идеале нужно стремиться к автоматизированной выдаче короткоживущих сертификатов.

Вопрос поставили на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия.

И вот 10 сентября объявлены результаты: члены консорциума проголосовали против предложения.

Цепочка доверия. CC BY-SA 4.0 Yanpas

Инспекция трафика SSL (расшифровка SSL/TLS, анализ SSL или DPI) становится все более горячей темой обсуждения в корпоративном секторе. Идея расшифровки трафика вроде бы противоречит самой концепции криптографии. Однако факт есть факт: всё больше компаний используют технологии DPI, объясняя это необходимостью проверки контента на предмет зловредов, утечек данных и т. д.

Что ж, если принять за факт, что необходимо внедрять такую технологию, то следует хотя бы рассмотреть способы сделать это наиболее безопасным и хорошо управляемым способом. Хотя бы не полагаться на те сертификаты, например, которые вам даёт поставщик системы DPI.

Есть один аспект реализации, о котором не все знают. На самом деле многие действительно удивляются, когда слышат о нём. Это частный центр сертификации (ЦС). Он генерирует сертификаты для дешифровки и повторного шифрования трафика.

Программа Surveillance Detection Scout обнаружила знакомого человека и предлагает кадры из архива с его лицом

Правительства многих стран разворачивают системы слежки за населением через сеть видеокамер. Но граждане могут использовать этот инструмент и в своих целях.

Исследователь безопасности Трумэн Кейн (Truman Kain) на хакерской конференции DEF CON представил любопытный мод для автомобиля Tesla под названием Surveillance Detection Scout (слайды презентации, демо). С его помощью автомобиль превращается в настоящую платформу видеонаблюдения на колёсах. Он распознаёт номера машин на дороге и лица людей в реальном времени.

Осциллограф Rohde & Schwarz RTO2044 с поддержкой Ethernet и LXI

В июне 2019 года некоммерческий Консорциум LXI (LAN eXtensions for Instruments) выбрал GlobalSign в качестве «провайдера идентификации» для устройств, совместимых со стандартом LXI, а фирменную IoT Identity Platform сделали практически интегральной частью протокола безопасности. Что это значит для свободного стандарта LXI? И зачем вообще контрольно-измерительной технике цифровые сертификаты?

Вчера на Stack Overflow задали странный вопрос: почему загрузка страницы Stack Overflow инициирует аудиоконтент? Что за звук на текстовом сайте?

Скриншот из инструментов разработчика:



Ответ оказался интереснее, чем можно было предположить.

Разработчики сканера IoT Inspector периодически проводят рутинную проверку прошивок разных производителей. Иногда находят уязвимости в устройствах Интернета вещей. Но последняя находка особенно удивительна. В прошивке маршрутизатора Cisco SG250 сканер нашёл несколько сертификатов и соответствующий секретный ключ сотрудника Futurewei Technologies, американской дочерней компании Huawei Technologies, по имени Гарри Ву (Garry Wu) с электронным адресом gary.wu1@huawei.com.

Но как они попали в прошивку маршрутизатора Cisco?

Личная приватность или общественная безопасность

В начале июля Ассоциация интернет-провайдеров Великобритании (ISPA-UK) подвела итоги ежегодной номинации «главный герой» и «главный злодей» интернета. В число «главных злодеев» попала организация Mozilla.

Это неожиданное решение. Широко известны Манифест и 10 принципов, в соответствии с которыми Mozilla обещает бороться за здоровье Интернета: «Открытый, глобальный Интернет — это самый мощный из известных нам ресурсов коммуникации и сотрудничества. Он воплощает наши самые глубокие надежды на прогресс человечества. Он предоставляет новые возможности для обучения, взаимопонимания и решения глобальных проблем».

Mozilla — одна из немногих организаций, которая ставит своей целью не получение прибыли, а именно развитие интернета и защиту пользователей. За что же ей присудили звание «главный злодей»? Оказывается, именно за это, то есть за «излишнюю» защиту пользователей. Яблоком раздора стал протокол DoH (DNS-over-HTTPS).

30 июля компания Google выпустила Chrome 76 с улучшенным режимом инкогнито. Теперь браузер обходит «пейволы», которые ставят читателям лимит на «несколько статей в месяц», а потом требуют подписку или регистрацию.

Например, The New York Times позволяет читать десять статей в месяц, а Wired — четыре. На долю "metered paywalls" приходится 33% пейволов в онлайновых медиа. Пользователей в режиме «инкогнито» там встречают недружелюбно:



В Chrome 76 обход пейволла упростился до предела: достаточно нажать на ссылку правой кнопкой мыши и выбрать «Открыть ссылку в окне в режиме инкогнито». Теперь браузер не распознает, что вы находитесь в «приватном режиме». Счётчик прочитанных статей в «инкогнито» не работает из-за отсутствия куков.

Несколько дней назад компания GlobalSign открыла портал для разработчиков IoT Developer Portal. Здесь можно бесплатно зарегистрироваться (только по корпоративным адресам), выбрать API для интеграции, бесплатно получить сертификаты X.509 и протестировать свою систему идентификации IoT. Пока что GlobalSign остаётся единственным центром сертификации, который выдаёт сертификаты устройствам в масштабе IoT с идентификатором устройства на основе инфраструктуры открытых ключей (PKI).

Если вкратце сформулировать суть, то новый портал — это централизованная локаль, где предоставляется демонстрационный доступ ко всем инструментам, необходимым для успешной интеграции device identity. Тут руководства по интеграции, инструменты тестирования, спецификации продукта, примеры кода, RESTful API и т.д.

Кому это нужно?

У многих в браузере установлены расширения. Как минимум, блокировщик рекламы. Но при установке расширений следует проявлять осторожность: не все они полезны, а некоторые и вовсе используются для слежки.

Даже если конкретное расширение прямо сейчас не «ворует» никакой информации, нет никакой гарантии, что оно не начнёт это делать в будущем. Это системная проблема.

Недавно специалисты вскрыли деятельность «аналитической» компании Nacho Analytics, которая предлагает сервис под амбициозным девизом «Режим бога для интернета» (“God mode for the Internet”), отслеживая действия миллионов пользователей через расширения Chrome и Firefox почти в реальном режиме времени (с часовой задержкой).

Во многих IT-системах действует обязательное правило периодической смены паролей. Это, пожалуй, самое ненавистное и самое бесполезное требование систем безопасности. Некоторые пользователи в качестве лайфхака просто меняют цифру в конце.

Такая практика вызывала массу неудобств. Однако людям приходилось терпеть, ведь это ради безопасности. Теперь этот совет совершенно не актуален. В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот официальное заявление в блоге со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу Dropping the password-expiration policies that require periodic password changes). Сами правила и системные политики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесены в комплект Microsoft Security Compliance Toolkit 1.0.

Можете показать эти документы начальству и сказать: времена изменились. Обязательная смена паролей — архаизм, теперь практически официально. Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows).

7 июня 2019 года на Хабре развернулось бурное обсуждение ситуации, которая сложилась вокруг небольшого интернет-провайдера «Фирма Связь» из города Ейск Краснодарского края (5000 клиентов, годовая выручка 20 млн руб.). Провайдер отказался выполнять требование Роскомнадзора по закону Яровой — закупить оборудование, которое еще не прошло сертификацию — и стал оспаривать результаты проверки. Роскомнадзор подал в суд. При этом, суд, допустив процессуальные нарушения, принял решение через семь рабочих дней после поступления заявления РКН, что нарушает конституционное право на судебную защиту. В Минкомсвязи признали наличие пробела в законодательстве и пообещали устранить «законодательную лакуну».

Мы попросили прокомментировать ситуацию юриста, представляющего интересы «Фирмы Связь», гендиректора компании «Ордерком» Дмитрия Галушко.

Он рассказал, что после вступления в силу закона Яровой на рынке сложилась плачевная ситуация. Малым провайдерам установка оборудования обходится в 50–70% годовой выручки. Многие уходят с рынка в чёрные или серые схемы, или вынуждены продаваться.

Адаптировано из обсуждения 2015 года. Здесь Common Lisp служит лишь одним из многих наглядных примеров


Будущее JavaScript?

Я с 2007 года работаю в комитете по стандартам JavaScript (TC39). Мы ценим простоту языка, но со временем утратили бдительность. Сложность стала неконтролируемо расти. Нам следует разобраться, почему так происходит естественным образом, какова цена и что с этим делать. Эта статья адресована не только коллегам из TC39, но и всем, кто хочет повлиять на траекторию разработки JavaScript или любого стандарта, столкнувшегося с аналогичным давлением. Учитесь на наших ошибках!