Вообще, насколько я понимаю, механизм достаточно абстрактен и универсален. Даром, что даже на SQL запросах и на HTML разметке работает. Ему же, по сути, только Psi модель нужна.
Так что, если решарпер строит эту модель для C#, то и механизм сможет спокойно по нему работать.
Просто всё это выводит средства фиксации биометрии на такой уровень сложности, что становится непонятно какие такие преимущества даёт весь этот огород, что ради этого имеет смысл заморачиваться? Причём сразу в массовом порядке?
Я бы понял, если бы это просто на уровне исследований и экспериментов было. Но оно же сразу на живых людях начинает проверяться. Что как-бы совсем не комфортно для "подопытных".
Алгоритмы-то можно сколько угодно менять. Но если биометрия утекла (особенно оригинал, а не трансформированный вариант), это что-же, ждать что алгоритм смогут подтюнить так, чтобы украденным нельзя было воспользоваться и молиться, что воспользоваться не успеют? И есть сильное подозрение, что проблема будет не в алгоритмах а в железе. И тогда время на изменение будет сильно больше. И всё это время непонятно кто сможет делать непонятно что… И потом опять и опять гонят людей заново снимать биометрию?
При том, что пароль я могу сменить не вставая со стула.
А в той-же Эстонии и цифровую подпись можно не выходя из дома сменить в любой момент времени. Они вообще красавчики. Хоть и тоже не с первой попытки смогли всё правильно организовать.
Всё-таки я согласен с мыслью, что все эти технологии — неадекватная мера. Ни по сложности реализации, ни по масштабу возможных проблем.
Ну и да. Всё идёт к тому, что выбор-то перестанет быть индивидуальным. Что тоже очень сильно напрягает.
Приходишь в Сбер, а тебя пытаются на биометрию развести. Ну ок. Сам сдавать не буду, но в целом чем бы банк не баловался. Пусть себе экспериментирует.
А потом заходишь на ГосУслуги и тебе в рожу баннер: "Снимите свои биометрические данные! Зайдите в ближайшее отделение банка!"
Оп-па!!! То-есть Сбер даже не у себя в БД биометрию хранит! А если БД глобальная, значит и всех остальных будут заставлять на неё подсаживаться. А значит эти данные — чёртов джек-пот для всего криминала планеты, блин! Т.е. просто поставив коробочку в любом торговом центре, можно натырить биометрии и быть уверенным, что к ней точно привязана вкусняшка.
И не надо тут про сложность такого съёма. Ради такого можно и раскошелиться на любую технику. Уж коли даже последние модели банкоматов заинтересованные исхитряются доставать, то что уж тут говорить.
И да. Социальная инженерия всегда была и останется королевой взлома. И пока у меня такое впечатление, что массовая биометрия — просто манна небесная для социнженеров...
Если бы я был Москвичём — то напугало бы. Зная как такие системы строятся...
Меня вообще подобные вещи настораживают. И не потому, что наслушался. А потому, что попадал в ситуации и понимаю, что некоторые вещи обратно уже не вернёшь. Причём ошибка даже была не моя и ничего с этим сделать не мог...
Хм… Любопытно…
Есть только один вопрос: а насколько уважаемый Александр Дремин инженер? В том смысле, что мои вопросы сугубо инженерные и не получу ли я в ответ одни отговорки?
Ну и просто задать вопрос в воздух и надеяться, что на него ответят… А у меня вопросов мно-о-о-го. В том числе и уточняющих… Эх… Вот подискутировать с кем либо из тех, кто это лоббирует я был бы не против :)
Ну и да. Уж что-что а социальная инженерия с биометрией упростится просто в разы. Про пин код с карты ещё хоть как-то можно объяснить, что никому не показывать, а вот биометрия… Ну откуда бабульки (или даже мне) знать для каких целей меня сейчас снимают: чтобы подтвердить мою личность или чтобы украсть?
Я в своё время тоже не задумывался о том, что можно с 10 метров восстановить папиллярный рисунок. Однако-же...
Проблемы безопасности тем и примечательны, что решения часто изобилуют неочевидностью. И именно это меня в биометрии больше всего и пугает. Как не изгаляйся, а всё равно найдётся кто-то более ловкий, который найдёт способ получить желаемое.
Как говорится: любое решение безопасности хорошо ровно настолько, насколько хорош его автор. И не более.
С одной стороны вроде как и нет, а с другой стороны — выдвигает требования к архитектуре библиотеки, из-за которых даже тривиальные вещи становятся намного более громоздкими в выполнении.
Так что лично мне подход автора весьма импонирует.
Но если у вас camel — то тогда экономить на спичках уже смысла нету, да :)
Я не автор статьи, но могу сказать, что когда-то использовали MVEL, но отказались из-за его плохого масштабирования под нагрузкой и глючности. Может с тех пор что и изменилось...
Тогда перешли на JXPath, но со временем стало понятно, что и у него тоже под нагрузкой всё печально. Так что теперь опять приходится искать альтернативу.
Скажите, а это специально зависимость на JUnit не как тестовая добавлена?
Ну и использование в Maven диапазонов версий тоже приводит к весьма некомфортным последствиям, к сожалению: выкачивание всех доступных pom.xml, попадающих в указанный диапазон.
После прочтения данной статьи только укрепился в мысли, что во всех этих конструкциях есть один лишний элемент — сама биометрия. Всё тоже самое точно так же работает и с традиционными способами аутентификации.
С той лишь разницей, что вы скорее всего даже не заметите как вашу биометрию заснимут с расстояния 5-10-20 метров. Или вообще восстановят по публичным материалам. Как это уже проделывали. И не раз. И все эти ухищрения, как в этой статье — просто упражнения для ума математиков. Но с точки зрения реальной безопасносьи — яйца выеденого не стоит.
Да. Заработало.
Но лично мне плагин пока нравится больше, т.к. даёт больше полезной информации именно для написания скриптов в фильтрах.
Но всё равно спасибо!
Ого! Век живи — век учись!
Но это уже не для рядовой разработки, я так понимаю. Иначе так глубоко не прятали бы.
А это точно не плагином каким-нибудь делается? У меня нету такого пункта меню...
О! А это действительно может немного облегчить жизнь. Спасибо!
Хотя от необходимости справки это не избавляет. Но хотя бы упрощает понимание структуры.
По описанию выглядит как тоже самое.
Вообще, насколько я понимаю, механизм достаточно абстрактен и универсален. Даром, что даже на SQL запросах и на HTML разметке работает. Ему же, по сути, только Psi модель нужна.
Так что, если решарпер строит эту модель для C#, то и механизм сможет спокойно по нему работать.
Просто всё это выводит средства фиксации биометрии на такой уровень сложности, что становится непонятно какие такие преимущества даёт весь этот огород, что ради этого имеет смысл заморачиваться? Причём сразу в массовом порядке?
Я бы понял, если бы это просто на уровне исследований и экспериментов было. Но оно же сразу на живых людях начинает проверяться. Что как-бы совсем не комфортно для "подопытных".
И при этом там уже начали случаться коллизии биометрии между совершенно независимыми людьми. И это при далеко не полном охвате планеты биометрией.
И то, что они не отменяют… Ну там логика вообще не частый гость. Больше лобби рулят, а не логические доводы...
Алгоритмы-то можно сколько угодно менять. Но если биометрия утекла (особенно оригинал, а не трансформированный вариант), это что-же, ждать что алгоритм смогут подтюнить так, чтобы украденным нельзя было воспользоваться и молиться, что воспользоваться не успеют? И есть сильное подозрение, что проблема будет не в алгоритмах а в железе. И тогда время на изменение будет сильно больше. И всё это время непонятно кто сможет делать непонятно что… И потом опять и опять гонят людей заново снимать биометрию?
При том, что пароль я могу сменить не вставая со стула.
А в той-же Эстонии и цифровую подпись можно не выходя из дома сменить в любой момент времени. Они вообще красавчики. Хоть и тоже не с первой попытки смогли всё правильно организовать.
Всё-таки я согласен с мыслью, что все эти технологии — неадекватная мера. Ни по сложности реализации, ни по масштабу возможных проблем.
Ну и да. Всё идёт к тому, что выбор-то перестанет быть индивидуальным. Что тоже очень сильно напрягает.
Приходишь в Сбер, а тебя пытаются на биометрию развести. Ну ок. Сам сдавать не буду, но в целом чем бы банк не баловался. Пусть себе экспериментирует.
А потом заходишь на ГосУслуги и тебе в рожу баннер: "Снимите свои биометрические данные! Зайдите в ближайшее отделение банка!"
Оп-па!!! То-есть Сбер даже не у себя в БД биометрию хранит! А если БД глобальная, значит и всех остальных будут заставлять на неё подсаживаться. А значит эти данные — чёртов джек-пот для всего криминала планеты, блин! Т.е. просто поставив коробочку в любом торговом центре, можно натырить биометрии и быть уверенным, что к ней точно привязана вкусняшка.
И не надо тут про сложность такого съёма. Ради такого можно и раскошелиться на любую технику. Уж коли даже последние модели банкоматов заинтересованные исхитряются доставать, то что уж тут говорить.
И да. Социальная инженерия всегда была и останется королевой взлома. И пока у меня такое впечатление, что массовая биометрия — просто манна небесная для социнженеров...
Если бы я был Москвичём — то напугало бы. Зная как такие системы строятся...
Меня вообще подобные вещи настораживают. И не потому, что наслушался. А потому, что попадал в ситуации и понимаю, что некоторые вещи обратно уже не вернёшь. Причём ошибка даже была не моя и ничего с этим сделать не мог...
Хм… Любопытно…
Есть только один вопрос: а насколько уважаемый Александр Дремин инженер? В том смысле, что мои вопросы сугубо инженерные и не получу ли я в ответ одни отговорки?
Ну и просто задать вопрос в воздух и надеяться, что на него ответят… А у меня вопросов мно-о-о-го. В том числе и уточняющих… Эх… Вот подискутировать с кем либо из тех, кто это лоббирует я был бы не против :)
Ну и да. Уж что-что а социальная инженерия с биометрией упростится просто в разы. Про пин код с карты ещё хоть как-то можно объяснить, что никому не показывать, а вот биометрия… Ну откуда бабульки (или даже мне) знать для каких целей меня сейчас снимают: чтобы подтвердить мою личность или чтобы украсть?
Я в своё время тоже не задумывался о том, что можно с 10 метров восстановить папиллярный рисунок. Однако-же...
Проблемы безопасности тем и примечательны, что решения часто изобилуют неочевидностью. И именно это меня в биометрии больше всего и пугает. Как не изгаляйся, а всё равно найдётся кто-то более ловкий, который найдёт способ получить желаемое.
Как говорится: любое решение безопасности хорошо ровно настолько, насколько хорош его автор. И не более.
Пароль я сменить могу, а вот биометрию — нет...
С одной стороны вроде как и нет, а с другой стороны — выдвигает требования к архитектуре библиотеки, из-за которых даже тривиальные вещи становятся намного более громоздкими в выполнении.
Так что лично мне подход автора весьма импонирует.
Но если у вас camel — то тогда экономить на спичках уже смысла нету, да :)
Ситуации бывают разные. У нас есть места где никакого байткода не хватит. Да и устраивало бы всё в JXPath, если бы не было косяков с синхронизацией.
А мерить да надо. Просто была мысль написать свою балалайку. А тут глядь — уже кто-то сделал. Ну и стало интересно.
Вместо диапазонов версий гораздо удобнее использовать dependabot, коли уж исходники на GitHub.
Я не автор статьи, но могу сказать, что когда-то использовали MVEL, но отказались из-за его плохого масштабирования под нагрузкой и глючности. Может с тех пор что и изменилось...
Тогда перешли на JXPath, но со временем стало понятно, что и у него тоже под нагрузкой всё печально. Так что теперь опять приходится искать альтернативу.
Скажите, а это специально зависимость на JUnit не как тестовая добавлена?
Ну и использование в Maven диапазонов версий тоже приводит к весьма некомфортным последствиям, к сожалению: выкачивание всех доступных pom.xml, попадающих в указанный диапазон.
После прочтения данной статьи только укрепился в мысли, что во всех этих конструкциях есть один лишний элемент — сама биометрия. Всё тоже самое точно так же работает и с традиционными способами аутентификации.
С той лишь разницей, что вы скорее всего даже не заметите как вашу биометрию заснимут с расстояния 5-10-20 метров. Или вообще восстановят по публичным материалам. Как это уже проделывали. И не раз. И все эти ухищрения, как в этой статье — просто упражнения для ума математиков. Но с точки зрения реальной безопасносьи — яйца выеденого не стоит.
Или просто в интерфейсе запутался и подумал, что голосую за RSCPP-30242, а проголосовал за CPP-1536 и только потом к ней перешёл :facepalm:
Спасибо!
За CPP-1536 я уже даже проголосовал когда-то, оказывается :)