В одной из статей он рассказывал, что в его время (на его курсе?) мало кто из студентов не играл на каком-нибудь инструменте. Сокрушался, что студент уже не торт.
Последнюю неделю интернет чуть менее, чем полностью нерабочий.
Точка доступа одна-единственная, трижды в день к ней по стремянке лазают сотрудники (перезагружать?) Кстати, в часы пик, когда на станции находится порядка 40-50 человек, скорость доступа и качество связи оставляет желать очень сильно лучшего.
Провайдер один-единственный, и вдруг повезло, что на прошлой неделе у него был blackout на полдня.
0. Вся коммуникация между мобильным клиентом и сервером шифруется (SSL).
1. На сервере во всех логах отключено сохранение IP-адресов отправителей запросов.
2. Параметр X-Device-ID вычисляется на клиенте как односторонняя хэш-функция от уникальных для каждого устройства констант, и передается на сервер, где хранится ограниченное время и отдельно от добавляемой взятки, и только в целях защиты от спама (чрезмерного количества обращений с одного и того же устройства).
3. Благодаря посту мы обратили внимание, что автоматически создавались стандартные PHP-сессии (кука PHPSESSID) — они ни для чего не использовались, сейчас все стерты и отключены.
Таким образом, by design, сервис не собирает и не хранит никаких данных, которые бы могли так или иначе скомпрометировать его пользователей.
Прямо дома стоит? А что с надежностью? По-моему, в плане накладных расходов на администрирование перебор получается. Меня в свое время постепенно перестало радовать оставлять включенный электроприбор в пустой квартире, где может и электричество погаснуть, и т.п.
Угу. Вобщем, при такой схеме никакое гмыло лучше не использовать (мало ли, что он там «удаляет», когда я его прошу), а хостить свою почту на своем сервере на своем домене. У другого, что ли, хостера? ;)
Письмо же со ссылкой на сброс я открою в течение 1 минуты, после чего оно потеряет актуальность. Вероятность успешного перехвата — по-моему, мизерная, если разве кто-то в ней не начнет городить автоматику по перехвату парольных писем от популярных служб.
Так работает большинство известных мне сервисов, плюс они форсят одноразовость того, что высылается на почту. По-моему, это принципиальный момент (все открытое — одноразовое), но с шифрованными каналами между почтовиками вы меня озадачили :)
Точка доступа одна-единственная, трижды в день к ней по стремянке лазают сотрудники (перезагружать?) Кстати, в часы пик, когда на станции находится порядка 40-50 человек, скорость доступа и качество связи оставляет желать очень сильно лучшего.
Провайдер один-единственный, и вдруг повезло, что на прошлой неделе у него был blackout на полдня.
Так трудно поставить еще пару точек?
Так трудно завести хотя бы Yota-роутер на backup?
По порядку.
0. Вся коммуникация между мобильным клиентом и сервером шифруется (SSL).
1. На сервере во всех логах отключено сохранение IP-адресов отправителей запросов.
2. Параметр X-Device-ID вычисляется на клиенте как односторонняя хэш-функция от уникальных для каждого устройства констант, и передается на сервер, где хранится ограниченное время и отдельно от добавляемой взятки, и только в целях защиты от спама (чрезмерного количества обращений с одного и того же устройства).
3. Благодаря посту мы обратили внимание, что автоматически создавались стандартные PHP-сессии (кука PHPSESSID) — они ни для чего не использовались, сейчас все стерты и отключены.
Таким образом, by design, сервис не собирает и не хранит никаких данных, которые бы могли так или иначе скомпрометировать его пользователей.
Спасибо!
structя еще на что-то надеялся ;)Увы.
Хранить не буду, сотру, да.
А вот в плане передачи в открытом виде, почтовой службе (и всем промежуточным узлам) — и впрямь не доверяю, также как и ОПСОСу, передающему SMS-ки.
Поэтому что почтой, что SMS-ками — стоит передавать только одноразовые и короткоживущие секреты.
Я не то что бы прям криптоаналитик, просто вижу, что подобная схема внедряется чуть менее, чем везде вокруг (веб-сервисы, банки).