Я расскажу про одну (довольно популярную) фотостудию. Называть не буду. Был их клиентом. Получил фотки после ретуши. Фотки скачиваются по URL, без всяких паролей (сам урл из загадочных букв-цифр вроде /path/ac2d43ef3f26cc74de242202e822ecb0.zip - это в каком-то смысле пароль). Вот только, как вы уже догадались, это просто md5 хеш. От номера заказа. То есть, зная свой номер заказа как ориентир я легко могу гулять по предыдущим и будущим заказам. Почему-то заказы есть не все, но какая разница? Если наш заказ #10200, то легко скриптом перебрать с 8 до 12 тысяч. На мои сообщения они не ответили. Ну и ладно.
Просто я же не один такой умный и хитрый, кто умеет считать хеши и скачивать файлы. Вся их коллекция софткорно-эротических фоток - открыта для всех желающих. Главная проблема была - место на диске, чтобы все это сохранить.
Я бы эту историю на первом уроке информатики в школе рассказывал, чтобы у пацанов глаза загорелись. После этого уже будет интерес к "а что такое md5? а что такое хеш? А что такое HTTP GET? А как написать цикл?"
Про графин не я писал. Но вы считаете что этим комментарием вы обсуждаете суть вопроса или вы намеренно пытаетесь отвернуть тему? Зачем? Это разве вы ломали челюсть конструктору? Ваш отец? Дед? Маловероятно же это...
Но зачем тогда? Что вас роднит с теми людьми, чьи преступления вы желаете как-то прикрыть, защитить?
Онлифанс давно транслирует и популяризирует красивых девушек с длинными ногами и большой грудью (некоторые из них даже не раздеваются), но что-то не всех это замотивировало, на улицах я вижу дофига страшненьких и кривоногих...
Сейчас макаки и малолетние дебилы подросли и шутят про "взрослый - это выживший мальчик" или "а вот в СССР мы ...." и смеются над изнеженными мягкими зумерами, которые пьют смузи и не катаются на колбасе трамвая.
Ну... кстати. Отчасти да. Да, в целом - дети дураки, да. Но... Всякие там испытания на глупость (синий кит, наркотики, злые взрослые pdf в сети, плохие компании) - это все достаточно широко распространено. Однако, вовлекаются далеко не все. МЫСЛЕННЫЙ эксперимент - что будет если повторить синий кит? Ну вот на спор кто-то (гипотетически!) напишет 100 школьникам и попытается убедить их самоубиться. Как вам кажется, сколько из них самоубьется? А если таки 1-2 все таки да, то не окажется ли, что они исходно двигались в этом направлении?
Я к тому, что почти всегда когда берут событие и называют причину - это всегда обман и манипуляция, потому что в нашей реальности причин всегда много, и каждое событие случается в результате их сочетания, и даже дети в большинстве вполне себе имеют некоторый иммунитет.
Дети - да, уязвимы, наивны, манипулируемы, если мы их будем сравнивать относительно взрослого и зрелого человека, но когда их выставляют пассивными и абсолютно безвольными покорными объектами (причем покорными незнакомцам, но железно непокорными родителям и учителям), с которыми можно делать что угодно, хоть развращать, хоть приказывать с крыши прыгать, хоть по команде на митинги выводить - это всегда обман.
Да хоть две вакансии. Если есть всего две ваканасии и их надо край закрыть, а вы единственный перлист - жизнь удалась! Важна не абсолютная величина, а соотношение.
Там суть не именно в циске, а в том, что древний перлист скорее всего кроме перла что-то еще знает. Один знает циску, другой оракл, третий - предметную сферу медицинского документооборота. Мне кажется сложным за много лет с тех времен, как перл был модным языком не выучить ничего кроме перла. А широкие знания (включающие перл среди прочего), мне кажется, всегда востребованы, и востребованы много где. Вы спрашиваете про перл как главный язык главного бизнес-проекта (ну раз привели в пример букинг). Но есть же не только такое применение. Да он используется, везде, где есть постфикс и его обвязка из spamassassin/amavis/policyd. Где есть MySQL/MariaDB (опять же обвязка на перле). Багзилла (да, это уже жесткое ретро, но еще используется ведь много где).
В любой компании где есть условный squirrelmail или roundcube, найдутся люди, которые могут (если будет необходимость) заглянуть в сорцы и понять какую-то странность или даже написать небольшой патчик под свои нужды (потому как пхпшников - как собак нерезаных). А вот с перлом так не пройдет - я сам вроде считал себя перлистом, а сейчас в сорцы заглядываю и ужас пробирает - уж шибко он страшный :-)
Но вот для человека, который знает исключительно Perl или там исключительно Pascal - тут, действительно, ситуация гораздо сложнее.
Вы же про "разоблачения кровавых злодеяний" с сарказмом говорите? Или нет? Жила-была нормальная страна, и вдруг в один момент оказалось, что народ-то в ней говно, в каждой сибирской деревне то шпион, то вредитель?
Страной правил человек не слишком-то образованный, но который зато имел другой козырь - умел легко расходовать жизни других людей, не спотыкался на этом как. Поэтому выстроена была система сохранения власти, когда власть удерживается за счет перемалывания всей страны сверху-донизу. Репрессии снизу всегда постепенно доходят и до верха, потому что для диктатора крестьянин из Сибири, конечно, немного опасен, но гораздо более опасен товарищ Ягода, который этого крестьянина расстреливает и с наганом ходит рядом с самим Солнцеликим.
После-сталинская оттепель была не от того, что со смертью Сталина (совпаденьице) - кончились шпионы и злодеи в алтайской или уральской деревнях (а до этого все никак не кончались), а потому что Сталин умер. А элита, при открывшийхся возможностях, решила, что схема, когда любого из них могут вдруг схватить и посадить/расстрелять, им как-то не очень нравится. (Конечно, можно сказать, что это было сделано из общих гуманных соображений, но когда одновременно есть общие гуманные соображения и собственная шкура, второе чаще бывает определяющим).
Конечно. Отбор так работает. Захочешь - можно наполнить органы эстетами и поэтами. А захочешь - людоедами без тормозов. Как в ТЗ будет - так и построится. Поэтому в этой ситуации в самом безымянном НКВДшнике я не вижу вообще никакой значимости, он просто винтик. Не он был бы там - ну был бы другой взаимозаменяемый винтик, система бы сама подобрала. Но кто-то же создал такую систему, которая сама себя собирает именно вот из таких винтиков. В Камбодже в свое время был процент таких событий, в СССР - другой, а где-нибудь во Франции - третий.
В оправдание НКВДшника я даже еще скажу - что каким бы говном он себя не проявил, возможно что в других обстоятельствах мы бы прожили жизнь рядом с ним и знали бы его с лучшей стороны, потому что другая система провоцировала бы проявлять себя иначе.
Да и пусть узнает. В случае с аптекой - пароль нужен чтобы два человека с именем Вася не заходили оба по ошибке в один акк Vasya и не было путаницы. Поэтому примитивный пароль часто вполне достаточнен. Пусть даже 123456 допускать. Второй Вася не будет его перебирать, и вспомнит, что он был Vasya007.
Но и аргумент про "один телефон" (а так же, украденный телефон, а так же пассворд менеджер с пасскеями от компании которая закрылась или бойкотирует страну), и аргумент про болезни, которые не хочется афишировать - это все имеет смысл. Мне вот - пустяк, если кто-то 8 бонусов сопрет или узнает, что я, сопляк, капли от носа покупаю. А кому-то - не пустяк. Кому-то любой странный и валоважный (на наш взгляд) аргумент - в его ситуации очень важен. Поэтому:
Неправильный подход: Ну у нас 7 лет назад сайт делали, там программисты сделали вот так. Почему они решили именно так - мы даже и не знаем, они уже не работают с нами.
Правильный подход: Пользователь сам должен выбирать свои настройки. Можно предложить ему дефолт какой-то, но он сам под себя должен подкручивать безопасность. Хочет - с пасскеем, хочет без, хочет с SMS 2FA, хочет с TOTP (у каждого из двух вариантов свои плюсы), хочет - сложный пароль, а хочет простой.
Тонкость еще в том, что полезный объем всегда меньше. Например, сметану из круглого пластикового стаканчика я скорее всего почти всю смогу съесть (чуть-чуть совсем останется). А вот из картонного тетрапака - уже нет, на стенках гораздо больше останется. Соответственно, в идеале, 500гр в тетрапаке можно уравнивать с 470 например.
Я за слабые пароли. Очень часто сильные не нужны. Риск забыть свой пароль и понести сопутствующие потери-расходы - более опасная угроза, чем если кто-то взломает мой акк на сайте аптеки чтобы потратить там мои бонусы на 8 рублей.
А больше всего раздражает, что вот эти требования к паролям у всех разные. Одни хотят 8 символов, другие 10. Одни разрешают символы, а другие запрещают (да, так бывает! видимо, такая домашняя защита от SQL injection). Даже к логинам требования бывают странные. Один банк требует, чтобы в логине были цифры (представляю, сколько там юзеров с 0 или 1 в конце логина). Телега не разрешает ники с цифрами в начале. С чего бы? Просто программистая привычка, что идентификатор не может начинаться с цифры? Так это оправдано в коде программы, а ник юзера - это не переменная в коде, там нет тех ограничений.
И требования к смене паролей - ужас. (Опять же, для банка я это допускаю, но не для аптеки или сайта по ЖКХ). К слову, новые рекомендации NIST наконец-то начали отговаривать от этого.
Безопасность должна быть удобной для пользователя. Если она неудобна - пользователь найдет способ, как ее извратить и сделать удобной.
Мое давнее наблюдение: Ответственные задачи привлекают безответственных исполнителей.
Еще "в детстве" я думал, что это только там где я вижу, там безопасность "так себе", а есть серьезные огранизации. Финансовые, например - и там все будет прямо фанатично безопасно. Там, наверное, все так хорошо, что таких как я туда даже не подпустят, там вообще киноперсонажи вроде 007 и Шелдона Купера занимаются безопасностью.
Когда довелось поработать с ними - понял, как я ошибался. Оказалось, наоборот. Код для безопасности пишут те же программисты, которым место - писать фронтенд для зоомагазина. И в этом есть логика - человек, который параноидально-маньячески относится к безопасности он не захочет этим заниматься, потому что он видит, что сроки маленькие, ресурсов нет и у него повышенная тревожность и ответственность от того, что он что-то сделает, а потом вдруг взломают.... Это же стыд-то какой!
А "веб программист", ему сказали "сделай аутентификацию", он берет и делает. О том, какие недостатки в его решении - он не то что не знает, не может представить, нет, хуже - он даже думать про это не хочет. Сделал, тикет в Jira закрыли, доволен. Он не проснется ночью в ужасе, что "блиииин, я же для генерации рандомной соли инициализирую PRNG через time()".
Пример с Королевым очень "неудобный". Вот когда один советский человек ударом сапога ломает другому советскому человеку челюсть - сложно в этой ситуации увидеть что-то со словами "советские люди в едином порыве". Нет, в этой ситуации явно нет единения между ними, а явно есть некоторый конфликт. Эти два человека явно по разные стороны одного сапога. И каждый, кто про эту историю думает - вынужден выбрать свой сторону, на какой стороне сапога он себя ощущает.
Очень многие выбирают сторону НКВДшника. Но признать это вслух тяжело - слишком уж ужасно звучит, поэтому отворачиваются от этой неловкой ситуации, меняют ракурс, чтобы не видеть ситуацию, в которой все полутона исчезли и все видно очень четко и явно.
Сурдин про это хорошо выразился, но он говорил про полеты на луну ("мы" - в значении "земляне"). Мы летали на луну. Слетали несколько раз и перестали. Цель достижимая, но мы больше к Луне не летаем, хотя летать умеем лучше. Потому что это дорого и зачем? Первые полеты были во многом спортом, шоу. И как мы видим (история про луну - это все-таки американская) - "спортом" увлекаются все, всем нравится ставить рекорды.
Но чем слабее страна, чем меньше у нее реальных успехов - тем больше будет спортивных достиженией. Чем хуже живут в деревнях, тем шире и чище будут проспекты в Пхеньяне, потому что исправить страну - тяжело и дорого, а вложить в чистоту одной центральной улицы больше, чем вкладывают на Манхеттене - на это все-таки можно найти деньги.
Можно сделать "свой ютуб", "свой смартфон", "свой самолет". Но важно отличать экономические достижения от спортивных. Спортивные требуют огромных вложений и дают малый выхлоп. И умирают сразу, как только отключают аппарат вентиляции легких.
Разговор же про нишевые сферы. Там по определению спрос ниже, чем на питонистов или похапе. Но важно, что гораздо ниже и предложение. А цена - на их пересечении, так что хороший перлист, которых в стране 1000 на 2000 вакансий может (кмк) получать больше, чем питонист, которых в стране 200 000 на 100 000 вакансий.
А второе замечание - перлист будет скорее всего не перлистом, а генералистом, который умеет и перл и С и пайтон и циску и оракл.
А что там недоделано? Немного через *опу, но работает. Мы все ресурсы для внутреннего применения перевели на клиентский сертификаты, WAF сразу успокоился, меньше стал истерить. Там единственная проблема была, что PEM сертификаты не принимаются, надо в .p12, и под линуксом ставить надо в системное хранилище, а не в хром-браузер. (в случае с Firefox, можно в браузер, у FF свое хранилище).
До сих пор немало проектов (супер-популярных, в топе в своей сфере) написанных на Perl. Например, многое из обвязки к postfix. Кто сейчас Perl учит? Да никто.
Ну вот - еще и ноду светанул и связь между хабраакком и нодой. Сейчас есть риск, что начнется и индексация и всякий дата-майнинг. Совсем другое дело было бы (если доживем!) лет через 10-15, когда прежние динозавры уйдут на пенсию, а в айтикомпаниях останутся всякие зумеры, (которые там смузи, скейтборд и дип-пёпл на сони-уокмане). Вот тогда для них фидонет будет более инопланетным чем даркнет.
Я расскажу про одну (довольно популярную) фотостудию. Называть не буду. Был их клиентом. Получил фотки после ретуши. Фотки скачиваются по URL, без всяких паролей (сам урл из загадочных букв-цифр вроде /path/ac2d43ef3f26cc74de242202e822ecb0.zip - это в каком-то смысле пароль).
Вот только, как вы уже догадались, это просто md5 хеш. От номера заказа. То есть, зная свой номер заказа как ориентир я легко могу гулять по предыдущим и будущим заказам. Почему-то заказы есть не все, но какая разница? Если наш заказ #10200, то легко скриптом перебрать с 8 до 12 тысяч. На мои сообщения они не ответили. Ну и ладно.
Просто я же не один такой умный и хитрый, кто умеет считать хеши и скачивать файлы. Вся их коллекция софткорно-эротических фоток - открыта для всех желающих. Главная проблема была - место на диске, чтобы все это сохранить.
Я бы эту историю на первом уроке информатики в школе рассказывал, чтобы у пацанов глаза загорелись. После этого уже будет интерес к "а что такое md5? а что такое хеш? А что такое HTTP GET? А как написать цикл?"
Про графин не я писал. Но вы считаете что этим комментарием вы обсуждаете суть вопроса или вы намеренно пытаетесь отвернуть тему? Зачем? Это разве вы ломали челюсть конструктору? Ваш отец? Дед? Маловероятно же это...
Но зачем тогда? Что вас роднит с теми людьми, чьи преступления вы желаете как-то прикрыть, защитить?
да, в теорию заговора поверить проще, чем в то, что бюрократы могут плохо выполнять свою работу.
Онлифанс давно транслирует и популяризирует красивых девушек с длинными ногами и большой грудью (некоторые из них даже не раздеваются), но что-то не всех это замотивировало, на улицах я вижу дофига страшненьких и кривоногих...
Сейчас макаки и малолетние дебилы подросли и шутят про "взрослый - это выживший мальчик" или "а вот в СССР мы ...." и смеются над изнеженными мягкими зумерами, которые пьют смузи и не катаются на колбасе трамвая.
Ну... кстати. Отчасти да. Да, в целом - дети дураки, да. Но...
Всякие там испытания на глупость (синий кит, наркотики, злые взрослые pdf в сети, плохие компании) - это все достаточно широко распространено. Однако, вовлекаются далеко не все.
МЫСЛЕННЫЙ эксперимент - что будет если повторить синий кит? Ну вот на спор кто-то (гипотетически!) напишет 100 школьникам и попытается убедить их самоубиться. Как вам кажется, сколько из них самоубьется? А если таки 1-2 все таки да, то не окажется ли, что они исходно двигались в этом направлении?
Я к тому, что почти всегда когда берут событие и называют причину - это всегда обман и манипуляция, потому что в нашей реальности причин всегда много, и каждое событие случается в результате их сочетания, и даже дети в большинстве вполне себе имеют некоторый иммунитет.
Дети - да, уязвимы, наивны, манипулируемы, если мы их будем сравнивать относительно взрослого и зрелого человека, но когда их выставляют пассивными и абсолютно безвольными покорными объектами (причем покорными незнакомцам, но железно непокорными родителям и учителям), с которыми можно делать что угодно, хоть развращать, хоть приказывать с крыши прыгать, хоть по команде на митинги выводить - это всегда обман.
Да хоть две вакансии. Если есть всего две ваканасии и их надо край закрыть, а вы единственный перлист - жизнь удалась! Важна не абсолютная величина, а соотношение.
Там суть не именно в циске, а в том, что древний перлист скорее всего кроме перла что-то еще знает. Один знает циску, другой оракл, третий - предметную сферу медицинского документооборота. Мне кажется сложным за много лет с тех времен, как перл был модным языком не выучить ничего кроме перла. А широкие знания (включающие перл среди прочего), мне кажется, всегда востребованы, и востребованы много где. Вы спрашиваете про перл как главный язык главного бизнес-проекта (ну раз привели в пример букинг). Но есть же не только такое применение. Да он используется, везде, где есть постфикс и его обвязка из spamassassin/amavis/policyd. Где есть MySQL/MariaDB (опять же обвязка на перле). Багзилла (да, это уже жесткое ретро, но еще используется ведь много где).
В любой компании где есть условный squirrelmail или roundcube, найдутся люди, которые могут (если будет необходимость) заглянуть в сорцы и понять какую-то странность или даже написать небольшой патчик под свои нужды (потому как пхпшников - как собак нерезаных). А вот с перлом так не пройдет - я сам вроде считал себя перлистом, а сейчас в сорцы заглядываю и ужас пробирает - уж шибко он страшный :-)
Но вот для человека, который знает исключительно Perl или там исключительно Pascal - тут, действительно, ситуация гораздо сложнее.
Вы же про "разоблачения кровавых злодеяний" с сарказмом говорите? Или нет? Жила-была нормальная страна, и вдруг в один момент оказалось, что народ-то в ней говно, в каждой сибирской деревне то шпион, то вредитель?
Страной правил человек не слишком-то образованный, но который зато имел другой козырь - умел легко расходовать жизни других людей, не спотыкался на этом как. Поэтому выстроена была система сохранения власти, когда власть удерживается за счет перемалывания всей страны сверху-донизу. Репрессии снизу всегда постепенно доходят и до верха, потому что для диктатора крестьянин из Сибири, конечно, немного опасен, но гораздо более опасен товарищ Ягода, который этого крестьянина расстреливает и с наганом ходит рядом с самим Солнцеликим.
После-сталинская оттепель была не от того, что со смертью Сталина (совпаденьице) - кончились шпионы и злодеи в алтайской или уральской деревнях (а до этого все никак не кончались), а потому что Сталин умер. А элита, при открывшийхся возможностях, решила, что схема, когда любого из них могут вдруг схватить и посадить/расстрелять, им как-то не очень нравится. (Конечно, можно сказать, что это было сделано из общих гуманных соображений, но когда одновременно есть общие гуманные соображения и собственная шкура, второе чаще бывает определяющим).
Конечно. Отбор так работает. Захочешь - можно наполнить органы эстетами и поэтами. А захочешь - людоедами без тормозов. Как в ТЗ будет - так и построится. Поэтому в этой ситуации в самом безымянном НКВДшнике я не вижу вообще никакой значимости, он просто винтик. Не он был бы там - ну был бы другой взаимозаменяемый винтик, система бы сама подобрала. Но кто-то же создал такую систему, которая сама себя собирает именно вот из таких винтиков. В Камбодже в свое время был процент таких событий, в СССР - другой, а где-нибудь во Франции - третий.
В оправдание НКВДшника я даже еще скажу - что каким бы говном он себя не проявил, возможно что в других обстоятельствах мы бы прожили жизнь рядом с ним и знали бы его с лучшей стороны, потому что другая система провоцировала бы проявлять себя иначе.
Да и пусть узнает. В случае с аптекой - пароль нужен чтобы два человека с именем Вася не заходили оба по ошибке в один акк Vasya и не было путаницы. Поэтому примитивный пароль часто вполне достаточнен. Пусть даже 123456 допускать. Второй Вася не будет его перебирать, и вспомнит, что он был Vasya007.
Но и аргумент про "один телефон" (а так же, украденный телефон, а так же пассворд менеджер с пасскеями от компании которая закрылась или бойкотирует страну), и аргумент про болезни, которые не хочется афишировать - это все имеет смысл. Мне вот - пустяк, если кто-то 8 бонусов сопрет или узнает, что я, сопляк, капли от носа покупаю. А кому-то - не пустяк. Кому-то любой странный и валоважный (на наш взгляд) аргумент - в его ситуации очень важен. Поэтому:
Неправильный подход: Ну у нас 7 лет назад сайт делали, там программисты сделали вот так. Почему они решили именно так - мы даже и не знаем, они уже не работают с нами.
Правильный подход: Пользователь сам должен выбирать свои настройки. Можно предложить ему дефолт какой-то, но он сам под себя должен подкручивать безопасность. Хочет - с пасскеем, хочет без, хочет с SMS 2FA, хочет с TOTP (у каждого из двух вариантов свои плюсы), хочет - сложный пароль, а хочет простой.
Тонкость еще в том, что полезный объем всегда меньше. Например, сметану из круглого пластикового стаканчика я скорее всего почти всю смогу съесть (чуть-чуть совсем останется). А вот из картонного тетрапака - уже нет, на стенках гораздо больше останется. Соответственно, в идеале, 500гр в тетрапаке можно уравнивать с 470 например.
Я за слабые пароли. Очень часто сильные не нужны. Риск забыть свой пароль и понести сопутствующие потери-расходы - более опасная угроза, чем если кто-то взломает мой акк на сайте аптеки чтобы потратить там мои бонусы на 8 рублей.
А больше всего раздражает, что вот эти требования к паролям у всех разные. Одни хотят 8 символов, другие 10. Одни разрешают символы, а другие запрещают (да, так бывает! видимо, такая домашняя защита от SQL injection). Даже к логинам требования бывают странные. Один банк требует, чтобы в логине были цифры (представляю, сколько там юзеров с 0 или 1 в конце логина). Телега не разрешает ники с цифрами в начале. С чего бы? Просто программистая привычка, что идентификатор не может начинаться с цифры? Так это оправдано в коде программы, а ник юзера - это не переменная в коде, там нет тех ограничений.
И требования к смене паролей - ужас. (Опять же, для банка я это допускаю, но не для аптеки или сайта по ЖКХ). К слову, новые рекомендации NIST наконец-то начали отговаривать от этого.
Безопасность должна быть удобной для пользователя. Если она неудобна - пользователь найдет способ, как ее извратить и сделать удобной.
Мое давнее наблюдение: Ответственные задачи привлекают безответственных исполнителей.
Еще "в детстве" я думал, что это только там где я вижу, там безопасность "так себе", а есть серьезные огранизации. Финансовые, например - и там все будет прямо фанатично безопасно. Там, наверное, все так хорошо, что таких как я туда даже не подпустят, там вообще киноперсонажи вроде 007 и Шелдона Купера занимаются безопасностью.
Когда довелось поработать с ними - понял, как я ошибался. Оказалось, наоборот. Код для безопасности пишут те же программисты, которым место - писать фронтенд для зоомагазина. И в этом есть логика - человек, который параноидально-маньячески относится к безопасности он не захочет этим заниматься, потому что он видит, что сроки маленькие, ресурсов нет и у него повышенная тревожность и ответственность от того, что он что-то сделает, а потом вдруг взломают.... Это же стыд-то какой!
А "веб программист", ему сказали "сделай аутентификацию", он берет и делает. О том, какие недостатки в его решении - он не то что не знает, не может представить, нет, хуже - он даже думать про это не хочет. Сделал, тикет в Jira закрыли, доволен. Он не проснется ночью в ужасе, что "блиииин, я же для генерации рандомной соли инициализирую PRNG через time()".
Пример с Королевым очень "неудобный". Вот когда один советский человек ударом сапога ломает другому советскому человеку челюсть - сложно в этой ситуации увидеть что-то со словами "советские люди в едином порыве". Нет, в этой ситуации явно нет единения между ними, а явно есть некоторый конфликт. Эти два человека явно по разные стороны одного сапога. И каждый, кто про эту историю думает - вынужден выбрать свой сторону, на какой стороне сапога он себя ощущает.
Очень многие выбирают сторону НКВДшника. Но признать это вслух тяжело - слишком уж ужасно звучит, поэтому отворачиваются от этой неловкой ситуации, меняют ракурс, чтобы не видеть ситуацию, в которой все полутона исчезли и все видно очень четко и явно.
Сурдин про это хорошо выразился, но он говорил про полеты на луну ("мы" - в значении "земляне"). Мы летали на луну. Слетали несколько раз и перестали. Цель достижимая, но мы больше к Луне не летаем, хотя летать умеем лучше. Потому что это дорого и зачем? Первые полеты были во многом спортом, шоу. И как мы видим (история про луну - это все-таки американская) - "спортом" увлекаются все, всем нравится ставить рекорды.
Но чем слабее страна, чем меньше у нее реальных успехов - тем больше будет спортивных достиженией. Чем хуже живут в деревнях, тем шире и чище будут проспекты в Пхеньяне, потому что исправить страну - тяжело и дорого, а вложить в чистоту одной центральной улицы больше, чем вкладывают на Манхеттене - на это все-таки можно найти деньги.
Можно сделать "свой ютуб", "свой смартфон", "свой самолет". Но важно отличать экономические достижения от спортивных. Спортивные требуют огромных вложений и дают малый выхлоп. И умирают сразу, как только отключают аппарат вентиляции легких.
Разговор же про нишевые сферы. Там по определению спрос ниже, чем на питонистов или похапе. Но важно, что гораздо ниже и предложение. А цена - на их пересечении, так что хороший перлист, которых в стране 1000 на 2000 вакансий может (кмк) получать больше, чем питонист, которых в стране 200 000 на 100 000 вакансий.
А второе замечание - перлист будет скорее всего не перлистом, а генералистом, который умеет и перл и С и пайтон и циску и оракл.
А что там недоделано? Немного через *опу, но работает. Мы все ресурсы для внутреннего применения перевели на клиентский сертификаты, WAF сразу успокоился, меньше стал истерить. Там единственная проблема была, что PEM сертификаты не принимаются, надо в .p12, и под линуксом ставить надо в системное хранилище, а не в хром-браузер. (в случае с Firefox, можно в браузер, у FF свое хранилище).
До сих пор немало проектов (супер-популярных, в топе в своей сфере) написанных на Perl. Например, многое из обвязки к postfix. Кто сейчас Perl учит? Да никто.
Процитирую Калугина:
А, кстати, всё логично, оцените момент:
В стране - демократия, Путин - президент,
Зюганов - коммунист, ну, значит,
Боря Моисеев - артист.
(было написано, когда Боря Моисеев был еще жив, заслуженный и член ЕР)
Ну вот - еще и ноду светанул и связь между хабраакком и нодой. Сейчас есть риск, что начнется и индексация и всякий дата-майнинг.
Совсем другое дело было бы (если доживем!) лет через 10-15, когда прежние динозавры уйдут на пенсию, а в айтикомпаниях останутся всякие зумеры, (которые там смузи, скейтборд и дип-пёпл на сони-уокмане). Вот тогда для них фидонет будет более инопланетным чем даркнет.