Так ведь человеку посередине достаточно подслушать на какие порты отправляются пакеты и повторить атаку. Тут надо хитрее, список портов должен зависеть от чего-то глобального, например от времени. Схема будет сложнее, зато безопаснее.
В стеганографии самое главное это качественно спрятать. Криптография и подписи это тоже понятно и обязательно, но по этой части информации намного больше. А вот сама стеганография в статьях обычно ограничивается играми с младшими битами в картинках и звуке. А хотелось бы услышать и про другие методы сокрытия данных, но почему-то их почти не описывают.
Самая главная причина — это то, что у нас сейчас гигантские возможности внутри страны
Ага, блокируют остатки интернета, включая VPN, импорт компьютерной техники рухнул так что аж серый пришлось разрешать, куча компаний ушла из страны, даже аутсорс и тот загибается, прямо сплошной рост возможностей, жалко только отрицательный…
Мы видим, что растет число аккредитованных IT-компаний. До конца года мы ожидаем, что в реестре независимых IT-компаний их будет около 35 тысяч
А то ж! Льготы-то все хотят, чего ж в реестр не записаться-то. Только вот на рынке IT это вряд ли скажется положительно. Давайте еще реестр IT-работников заведем и будем радоваться его росту, туда ради льгот и престижа может вообще полстраны запишется.
Причем айтишник вообще не привязан к какому-то конкретному месту работы или стране, важно, на какую компанию он работает и какой продукт создает.
Правильно, поэтому айтишник и выбирает, где условия лучше и стабильнее. Нельзя поставить жизнь на паузу и «потерпеть еще 10 лет» (цитата по президенту), потому что эти 10 лет хочется прожить по-человечески, а не в борьбе за «светлое будущее» по версии правительства.
Научить всех производителей писать софт уважительно — невозможно, поэтому индустрия пошла по пути жестких ограничений по API, разрешений, песочниц, виртуалок и т.д. Посмотрите как потихоньку закручивают гайки iOS/Android/ChromeOS/macOS и т.п. системы.
(при этом валютные обязательства перед клиентами банка никуда не денутся).
Вот стойкое впечатление, что никаких обязательств перед клиентами у наших банков нет. Стоит только возникнуть минимальной проблеме — она всегда решается за счет клиентов, так будет и сейчас.
Какая-то кнопка в высокоуровневой программе вряд ли будет надежно управлять чем-либо, тут надо на уровень (уровни) ниже спускаться, если не брать аппаратную сторону вопроса. Выключать API на уровне ядра, а то и на уровне DSP (если это телефон). Физически уничтожать микрофон или весь тракт — это звучит непрактично. Странно, что авторы решили перехватывать доступ на уровне VCA, а не на уровне API системы (Windows DirectSound/MMAPI например), это выглядит проще и надежнее, так уже работают программы записи звонков в системе.
По сути теперь телефон будет вместо паролей? Этакий менеджер паролей внутри, закрытый одним паролем или биометрией доступа к самому телефону. Но ведь уже есть куча разнообразных менеджеров паролей, чем еще один лучше их всех?
В 8086 было 20 адресных линий (до 1 мб), в 80286 — 24 (до 16мб). 320Кб не было ни у кого.
При всем уважении к работе, хотелось бы больше прочитать про «почему вы выбрали такие решения»? Почему именно такие дескрипторы в GDT? Где IDT? Как вы определяете размер памяти (ну где стек размещать)? Ну и т.д.
Да походу гос-во и ЦБ еще сами до конца не знают, как бы обустроить этот самый цифровой рубль (цр), вот и устраивают довольно бессмысленные опросы. Спрашивать надо когда этот ЦР уже какое-то время ходит в экономике среди обычных людей, а то пока его никто в глаза не видел, но многие его уже якобы хотят.
Неравноценное начисление баллов у вас. Получается, что при прочих равных сливающее всё подряд приложение и не сливающее отличаются всего 2-мя баллами, что ничтожно в общем зачёте, но очень существенно по сути, поскольку первое фактически ставит крест на безопасности.
Ну и далее по списку:
2. Да в принципе юрисдикция это последнее дело, если всё действительно шифровано и не утекает. А если нет, то она вряд ли спасет, хотя может немного помочь.
3. Наличие серверов само по себе делает систему очень уязвимой и поэтому небезопасной. Здесь всем по 10 баллов надо накидывать. Отдельным пунктом можно было бы рассмотреть наличие разных серверов по всему миру (ну хоть какая-то децентрализация).
4. Да кто ж в этом сознается-то? Очень ненадежный критерий.
5. Всем по десятке — метаданные о логинах и активностях хранятся на серверах, а значит уже есть элемент слежки. Безопасная система подделывает метаданные на стороне клиента и обходится без централизованных серверов.
6,7 — не очень надежный критерий, на мой взгляд.
9 — все кто телефоны или почты требует для регистрации уже собирают данные.
12 — всем у кого выключено по сотне, нешифрованный трафик убивает всю идею, его слушают все подряд и вы даже не знаете кто именно.
13 — а причем тут SHA? нужен более четкий критерий для сравнения криптографических примитивов и протоколов
14 — всем у кого закрытый код по сотне, это опять же убивает всю идею на корню. Я бы добавил требование о возможности пересборки своего варианта приложения под моим контролем и возможность поднятия своего сервера, если мне не нравится штатный.
19 — если то что вы написали правда, то весь список приложений можно сразу выбрасывать как небезопасные, но мне кажется тут нужно уточнение и расследование
29 — очень важно понять какую именно 2-х факторку используют, если это телефон — то штраф за сбор данных, в идеале это должен быть otp-ключ
30 — сомнительная фича, даже при шифровании можно узнавать изменение объема метаданных для данного абонента, а это по сути утечка. Все бэкапы пользователь должен делать сам и не связывать их с приложением.
31 — это делают все, хотя бы для избежания атак и злоупотреблений, так что сомнительный критерий.
34 — сомнительно с точки зрения безпасности
сейчас ощущается нехватка терминалов и мобильных приложений, где люди могут сдать биометрические данные
Прямо очереди стоят, ага. Что-то ни разу не видел подобного, наоборот уговаривают (пока) всех подряд, но мало кто соглашается. А если и самостоятельная регистрация не прокатит, то следующий шаг — принудиловка?
Вдогонку хочется прокомментировать некоторые утверждения из статьи:
Основной язык программирования это С
Это выдается как недостаток? Непонятно чем вам так не угодил С, но даже если так, при решении задач можно и нужно использовать все возможные инструменты в зависимости от их эффективности. Например, для предварительных расчетов многочисленных таблиц (фильтры, кодирование, некоторые алгоритмы и т.п.) можно использовать python или что-то еще по вкусу. Ищите возможности.
В России программисты МК в основном работают в компаниях, которые делают госзаказ на военную технику
Это неправда. Коммерческих разработок тоже полно, просто наверное вам не повезло их найти, а может вы прошли мимо таких вакансий. Но даже если вы видите вокруг только госзаказ, всегда можно посмотреть на иностранных заказчиков, уж там работы по контроллерам еще больше.
Программисты МК в принципе не пишут больших программ. Размер проекта ограничен несколькими сотнями килобайт памяти Nor Flash(а).
Это смотря как считать. Сама прошивка для контроллера может занимать всего несколько килобайт, но код который ее обслуживает (и частично генерирует) — сотни мегабайт. Пример из практики: прошивка была 64К, весь проект — около 100Мб чисто исходников, причем скриптов там было сильно больше, чем кода на С/С++ (я уж молчу про всякие тесты и внешние зависимости/библиотеки и т.п.). И это была только одна прошивка, а их было в проекте пара десятков для разных модификаций железа.
Если вы программист МК, то скорее всего вы будете по уши в электронных платах. Вам придется не сколько программировать сколько исправлять разнородные аппаратные баги. Железо часто подводит.
Это отчасти так, хотя это и нельзя назвать «второстепенной работой», ведь вы делаете продукт в целом, а не только софт. Поиск компромиссов с «железячниками» — это само по себе интересное занятие помогающее глубже понять как и почему там все устроено. Тут каждому свое, мне было интересно находить баги даже в современных x86 и общаться с производителем по факту этого.
Даже не мечтайте про удалёнку из Тайланда
Все зависит от договоренности с работодателем и ваших желаний. Мелкие устройства можно брать на дом, если договориться, например. У меня опыт удаленки как раз так и начался, еще в доковидные времена.
Любое электронное устройство, которое вы будете делать скорее всего можно будет назвать одним словом: переходник.
Не повезло вам. У меня по опыту переходников было может 10-15% (обычно это всякое тестовое оборудование), остальные были вполне себе независимые вещи или с достаточной самостоятельностью, чтобы делать что-то большее, чем перекладывание байтов из одного места в другое.
Программирование микроконтроллеров это на 80-70% электротехника и только на 20-30% программирование.
Это уж что вам больше нравится и как вы себя позиционируете на работе. Даже если вы в одном лице и схемотехник и программист, то соотношение слишком перекошенное у вас. По опыту платы диагностировать приходилось конечно, но это все равно больше про программирование, чем про электротехнику. Тесты всякие, программирование КПА это все же больше про программирование тоже. Может у вас схемотехника в штате не было просто?
Для программирования микроконтроллеров надо очень хорошо ориентироваться в множестве официальных документов.
Я вам больше скажу, вообще для программирования как и для любой другой профессиональной деятельности надо уметь читать большое количество документов. При чем тут именно контроллеры — неясно.
Если у вас есть выбор и вы хотите программировать на разных языках и быть в теме классической программной теории, если вам 20..24 и вы решаете как орешки олимпиадные задачи с LeetCode и хотите использовать в работе современные и классические алгоритмы и структуры данных, то программирование MK вам едва ли подойдет.
Не согласен. Все вышеперечисленное я лично (и мои коллеги в разных компаниях тоже) делал для контроллеров. Я бы даже сказал, что разнообразие задач здесь огромное, да еще есть поправки на предельную эффективность — вот где пригодятся все знания по математике и алгоритмике. В общем, просто хочу сказать, что ищите возможности для развития, а интересная работа есть и среди контроллеров.
Опросы некорректные, нет возможности множественных ответов, что если я программировал под несколько платформ?
А что по статье — ну видимо автору не повезло и этот путь не для него. Как программист микроконтроллеров (но не только их) с некоторым стажем и опытом работы как на «госзаказ», так и на «коммерцию», могу сказать, что описанное слабо соответствует действительности. Опыт в процессе работы приобретается интересный, приходит понимание как устроена как вычислительная техника на разных уровнях, так и отдельные ее части (датчики, связь и т.п.), в программировании тоже приходится решать интересные задачи связанные с ограниченными ресурсами и/или временем, частенько с погружением в математику. В общем я ни разу не пожалел об этом.
Но когда мне становится известно, что кто-то хочет что-то сделать с целыми числами, превышающими разрядность процессора (пусть даже просто сложить), я отчетливо слышу этот незаметный для всех щелчок затвора.
Красивые, нестандартные вопросы всегда вызывают интерес, это тем более логично для программиста-профи, разумеется на них сразу же ищется ответ — это ж вызов :)
Кстати, про возведение в степень: все ведь не так просто даже для обычных целых чисел. Есть «классический» алгоритм быстрого возведения через умножения по степеням двойки, но проблема в том, что он не дает минимальный по действиям (умножениям и месту для хранению промежуточных результатов) результат. А вот поиск такой минимальной последовательности действий есть непростая задача, и я не смог придумать ничего лучше оптимизированного перебора. Есть и более простая похожая задача про быстрое умножение на константу через сложения и сдвиги, но там решения более-менее известны.
А теперь дайте пользователям сайт, позволяющий делать всё то же самое и даже лучше, и у Ютуба появится опасный конкурент.
Не появится. Где вы столько разнообразного международного видео возьмете-то? Где вы его хостить будете?
И да, главное преимущество youtube которое перекрывает все недостатки его интерфейса и API — это огромное число редкого видео со всего мира, которое собиралось десятилетиями. Ни у какого другого видео хостинга такой «коллекции» нет.
интерфейс взаимодействия с радио со стороны самой ОС, устроены так, что можно выбрать ИЛИ только старые стандарты связи, ИЛИ новые + старые, но почему-то нельзя выбрать конкретно только новые
Официально это для «совместимости», потому что вдруг роуминг какой-нибудь будет или еще что. А неофициально все это выключается на многих андроид телефонах, надо только копнуть чуть глубже (зависит от производителя модема). Только это мало кому надо, как впрочем и вся эта безопасность, поэтому в телефонах очень много сомнительных решений по части безопасности…
p.s. бывает сами операторы идут навстречу, у некоторых нет 2G в принципе, типа tele2 в Мск.
Хм, кажется сто лет назад тоже писали, что нынешние доживут до 100 с лишним. Нет, отдельные особи может и до 120 доживут, но средняя продолжительность растет очень медленно, а в некоторых странах так и падает вообще, поэтому в целом я думаю прогноз сомнительный.
Ага, блокируют остатки интернета, включая VPN, импорт компьютерной техники рухнул так что аж серый пришлось разрешать, куча компаний ушла из страны, даже аутсорс и тот загибается, прямо сплошной рост возможностей, жалко только отрицательный…
А то ж! Льготы-то все хотят, чего ж в реестр не записаться-то. Только вот на рынке IT это вряд ли скажется положительно. Давайте еще реестр IT-работников заведем и будем радоваться его росту, туда ради льгот и престижа может вообще полстраны запишется.
Правильно, поэтому айтишник и выбирает, где условия лучше и стабильнее. Нельзя поставить жизнь на паузу и «потерпеть еще 10 лет» (цитата по президенту), потому что эти 10 лет хочется прожить по-человечески, а не в борьбе за «светлое будущее» по версии правительства.
Вот стойкое впечатление, что никаких обязательств перед клиентами у наших банков нет. Стоит только возникнуть минимальной проблеме — она всегда решается за счет клиентов, так будет и сейчас.
Ну так в соседней новости многих руководителей внесли в черный список МИД, как же они вернутся-то? Правая рука не ведает что творит левая?
В 8086 было 20 адресных линий (до 1 мб), в 80286 — 24 (до 16мб). 320Кб не было ни у кого.
При всем уважении к работе, хотелось бы больше прочитать про «почему вы выбрали такие решения»? Почему именно такие дескрипторы в GDT? Где IDT? Как вы определяете размер памяти (ну где стек размещать)? Ну и т.д.
Ну и далее по списку:
2. Да в принципе юрисдикция это последнее дело, если всё действительно шифровано и не утекает. А если нет, то она вряд ли спасет, хотя может немного помочь.
3. Наличие серверов само по себе делает систему очень уязвимой и поэтому небезопасной. Здесь всем по 10 баллов надо накидывать. Отдельным пунктом можно было бы рассмотреть наличие разных серверов по всему миру (ну хоть какая-то децентрализация).
4. Да кто ж в этом сознается-то? Очень ненадежный критерий.
5. Всем по десятке — метаданные о логинах и активностях хранятся на серверах, а значит уже есть элемент слежки. Безопасная система подделывает метаданные на стороне клиента и обходится без централизованных серверов.
6,7 — не очень надежный критерий, на мой взгляд.
9 — все кто телефоны или почты требует для регистрации уже собирают данные.
12 — всем у кого выключено по сотне, нешифрованный трафик убивает всю идею, его слушают все подряд и вы даже не знаете кто именно.
13 — а причем тут SHA? нужен более четкий критерий для сравнения криптографических примитивов и протоколов
14 — всем у кого закрытый код по сотне, это опять же убивает всю идею на корню. Я бы добавил требование о возможности пересборки своего варианта приложения под моим контролем и возможность поднятия своего сервера, если мне не нравится штатный.
19 — если то что вы написали правда, то весь список приложений можно сразу выбрасывать как небезопасные, но мне кажется тут нужно уточнение и расследование
29 — очень важно понять какую именно 2-х факторку используют, если это телефон — то штраф за сбор данных, в идеале это должен быть otp-ключ
30 — сомнительная фича, даже при шифровании можно узнавать изменение объема метаданных для данного абонента, а это по сути утечка. Все бэкапы пользователь должен делать сам и не связывать их с приложением.
31 — это делают все, хотя бы для избежания атак и злоупотреблений, так что сомнительный критерий.
34 — сомнительно с точки зрения безпасности
Прямо очереди стоят, ага. Что-то ни разу не видел подобного, наоборот уговаривают (пока) всех подряд, но мало кто соглашается. А если и самостоятельная регистрация не прокатит, то следующий шаг — принудиловка?
Это выдается как недостаток? Непонятно чем вам так не угодил С, но даже если так, при решении задач можно и нужно использовать все возможные инструменты в зависимости от их эффективности. Например, для предварительных расчетов многочисленных таблиц (фильтры, кодирование, некоторые алгоритмы и т.п.) можно использовать python или что-то еще по вкусу. Ищите возможности.
Это неправда. Коммерческих разработок тоже полно, просто наверное вам не повезло их найти, а может вы прошли мимо таких вакансий. Но даже если вы видите вокруг только госзаказ, всегда можно посмотреть на иностранных заказчиков, уж там работы по контроллерам еще больше.
Это смотря как считать. Сама прошивка для контроллера может занимать всего несколько килобайт, но код который ее обслуживает (и частично генерирует) — сотни мегабайт. Пример из практики: прошивка была 64К, весь проект — около 100Мб чисто исходников, причем скриптов там было сильно больше, чем кода на С/С++ (я уж молчу про всякие тесты и внешние зависимости/библиотеки и т.п.). И это была только одна прошивка, а их было в проекте пара десятков для разных модификаций железа.
Это отчасти так, хотя это и нельзя назвать «второстепенной работой», ведь вы делаете продукт в целом, а не только софт. Поиск компромиссов с «железячниками» — это само по себе интересное занятие помогающее глубже понять как и почему там все устроено. Тут каждому свое, мне было интересно находить баги даже в современных x86 и общаться с производителем по факту этого.
Все зависит от договоренности с работодателем и ваших желаний. Мелкие устройства можно брать на дом, если договориться, например. У меня опыт удаленки как раз так и начался, еще в доковидные времена.
Не повезло вам. У меня по опыту переходников было может 10-15% (обычно это всякое тестовое оборудование), остальные были вполне себе независимые вещи или с достаточной самостоятельностью, чтобы делать что-то большее, чем перекладывание байтов из одного места в другое.
Это уж что вам больше нравится и как вы себя позиционируете на работе. Даже если вы в одном лице и схемотехник и программист, то соотношение слишком перекошенное у вас. По опыту платы диагностировать приходилось конечно, но это все равно больше про программирование, чем про электротехнику. Тесты всякие, программирование КПА это все же больше про программирование тоже. Может у вас схемотехника в штате не было просто?
Я вам больше скажу, вообще для программирования как и для любой другой профессиональной деятельности надо уметь читать большое количество документов. При чем тут именно контроллеры — неясно.
Не согласен. Все вышеперечисленное я лично (и мои коллеги в разных компаниях тоже) делал для контроллеров. Я бы даже сказал, что разнообразие задач здесь огромное, да еще есть поправки на предельную эффективность — вот где пригодятся все знания по математике и алгоритмике. В общем, просто хочу сказать, что ищите возможности для развития, а интересная работа есть и среди контроллеров.
А что по статье — ну видимо автору не повезло и этот путь не для него. Как программист микроконтроллеров (но не только их) с некоторым стажем и опытом работы как на «госзаказ», так и на «коммерцию», могу сказать, что описанное слабо соответствует действительности. Опыт в процессе работы приобретается интересный, приходит понимание как устроена как вычислительная техника на разных уровнях, так и отдельные ее части (датчики, связь и т.п.), в программировании тоже приходится решать интересные задачи связанные с ограниченными ресурсами и/или временем, частенько с погружением в математику. В общем я ни разу не пожалел об этом.
Красивые, нестандартные вопросы всегда вызывают интерес, это тем более логично для программиста-профи, разумеется на них сразу же ищется ответ — это ж вызов :)
Кстати, про возведение в степень: все ведь не так просто даже для обычных целых чисел. Есть «классический» алгоритм быстрого возведения через умножения по степеням двойки, но проблема в том, что он не дает минимальный по действиям (умножениям и месту для хранению промежуточных результатов) результат. А вот поиск такой минимальной последовательности действий есть непростая задача, и я не смог придумать ничего лучше оптимизированного перебора. Есть и более простая похожая задача про быстрое умножение на константу через сложения и сдвиги, но там решения более-менее известны.
Не появится. Где вы столько разнообразного международного видео возьмете-то? Где вы его хостить будете?
И да, главное преимущество youtube которое перекрывает все недостатки его интерфейса и API — это огромное число редкого видео со всего мира, которое собиралось десятилетиями. Ни у какого другого видео хостинга такой «коллекции» нет.
Официально это для «совместимости», потому что вдруг роуминг какой-нибудь будет или еще что. А неофициально все это выключается на многих андроид телефонах, надо только копнуть чуть глубже (зависит от производителя модема). Только это мало кому надо, как впрочем и вся эта безопасность, поэтому в телефонах очень много сомнительных решений по части безопасности…
p.s. бывает сами операторы идут навстречу, у некоторых нет 2G в принципе, типа tele2 в Мск.