Как стать автором
Обновить

Комментарии 133

мы включили keep-alive

Почему Вы его включили только сейчас? Это один из из базовых принципов уменьшения времени загрузки тяжелых страниц.
Большой нужды не было. Установка соединения не была узким местом. А с приходом SSL место стало значительно уже. Handshake требует гораздо больше времени, потому надо было приблизить скорость загрузки к предыдущим значениям.
Т.е. трудозатраты ранее были меньше профита.
Конечно же, больше профита :)
Продолжай, не останавливайся!
Конечно! Пока не придумал, чем продолжить :)
«Конечно же, не профита, а ВИГОДЫ!», например? ;)
Потому что нашу главную страницу обрабатывает наш собственный асинхронный сервер, написанный тогда, когда nginx'а еще даже в проекте не было, а keep alive еще только только начинал поддерживаться браузерами.
Как вы изящно завуалировали фразы «потому что так склалось» и «мы использовали свой велосипед, а он keep-alive не умел» =)
Свой велосипед был изобретен до появление общего велосипеда. И с тех пор оброс большим количеством проприетарного функционала, кип-элайв среди которого до последнего времени не являлся критически необходимым. Если вы не работали в интернет-компании, обслуживающей десятки миллионов юзеров в сутки, то мне трудно вам объяснить, что это вполне нормальная практика.
А я вас и не обвиняю, я тоже не безгрешен.
Формулировка понравилась.
Ok :) Но я, правда, не пытался оправдываться. Просто рассказал как оно на самом деле. Писать, что все с самого начала было продумано, — это звучало бы странно. Если бы человечество все бы придумало с самого начала, то тогда не было бы смысла жить :)
НЛО прилетело и опубликовало эту надпись здесь
Я, как человек, запускавший HTTPS много раз и много где, ответственно скажу, что запустить его на высоконагруженном сервисе — это супернепростая задача. Тот же Яндекс не может все еще запустить его на главной странице тоже неспроста.
А что именно непростого? Описанное в статье вроде не сильно сложно.
Очень много мелочей. Все должно работать под большой нагрузкой, без дополнительного железа, и очень быстро. И не должно появляются страниц с «желтым замочком https» — это когда на страницу пролезает небезопасный контент. Надо на все графики, мониторинги, надо разбираться даже с проблемой у 0.1% пользователей. В общем, как обычно, дьявол в деталях.
Проблема с включением в страницу внешних ресурсов, которые отдаются не по https, ясна.

А кроме этого есть какие-то сложности? По нагрузкам какие конкретно проблемы?

Как-то общо всё слишком.
Ну особых-то проблем и нет. Поддержали keep alive и все стало быстро. Просто, еще раз, много-много мелочей. Надо все учесть. Если для вас все это выглядит просто, и вы умеете раскалывать миллион мелочей быстро и четко, умеете договариваться с 10ью отделами, организовывать быстро выкатки, мотивировать людей на генерацию технических идей, то приходите работать к нам менеджером проектов за большие деньги :)
Если для вас все это выглядит просто

Без детализации проблематики для меня это действительно выглядит просто.

и вы умеете раскалывать миллион мелочей быстро и четко

В топике описана лишь пара мелочей. Две мелочи можно расколоть быстро и просто. (Ну поддержка keep alive в самописном сервере это не совсем прям просто, допустим).

умеете договариваться с 10ью отделами, организовывать быстро выкатки, мотивировать людей на генерацию технических идей

Административная часть проблемы меня волнует меньше всего. Я технической реализацией интересуюсь =).

то приходите работать к нам менеджером проектов

Спасибо, но административная работа ну ваще не интересна =).
Посмотрите в вершину треда — я начал объяснять, что это не просто в контексте ответа на сообщение, где между строк читалось «it's about fucking time». С технической точки зрения еще интересной задачей было заточить баннерную систему под SSL. В этой статье мы упомянули про эти лишь вскользь, но в нашей статье 2ух летней давности про SSL на Почте чуть больше деталей: habrahabr.ru/company/mailru/blog/158603/. Но, в целом, соглашусь с вами, — это с технической точки зрения не нечто неподьемное. Просто надо аккуратно сделать много вещей. Аккуратно за всем проследить. Это, знаете, если бывали за границей (в западных странах), то, наверное, удивлялись двум вещам: а) как у них все чисто и удобно б) в этом же ничего сложного, почему у нас не так?! :)
Денис, (привет!) а со SPDY не баловались? Есть смысл?
Женя, привет! Давно не виделись :)
Пока не баловались, но очень хотим и планируем. Смысл однозначно есть, потому что этот протокол лечит многие родовые травмы http.
Кстати, вопрос ко всем: есть ли какая-либо небольшая простая библиотека для работы с spdy в открытом доступе (С)?
Скорее про клиентскую. Есть задумка просто для разминки написать свой lynx с б&ш, думал добавить spdy.
Спасибо за ссылку, там действительно поинтересней.
То то Гугл только в прошлом году стал активно переводить свои сервисы на HTTPS.

На работе до не давнего времени стоял сквид (с LDAP-ом), который после некоторого лимита резал весь HTTP-трафик.
Спасался https-ом.
Сквид его толком готовить не умеет.
Если при загрузке страницы требовалось получить что-нибудь по http-протоколу, вылезало окно авторизации.
В общем, без дополнения Request Policy, врагов колоть жмякать на «Отмену» рука уставала.
Тот же самый Яндекс открывается по https и перевел львиную долю своих проектов на https, зачем же вы так.
Просветите, как он открывается по https? joxi.ru/vAWYgvZUgQZ3mW
Откопали таки https у Яндекса. И как оно защитит те миллионы пользователей, которые ходят на www.yandex.ru?
1. Пользователь видит что Яндекс не использует https.
2. Пользователь огорчается и продолжает пользоваться Google.
3. ???
4. PROFIT Пользователь защищён.

Остаётся лишь надеяться что в ближайшем будущем Яндекс станет доступен по https по умолчанию.
НЛО прилетело и опубликовало эту надпись здесь
Поиск открывается по https. Но главная страница открывается по http. В этом есть уязвимость — злоумышленник может подменить сайт и ссылку на авторизацию, и вы введете пароль, думая, что в Яндекса, но на самом деле не в Яндекс.

Кликните вторую ссылку. Там у человека вообще не работает https нигде, в тч в Google, из-за Касперского.
НЛО прилетело и опубликовало эту надпись здесь
я правильно поняла, что у вас закончились аргументы и вы решили перейти на личности? какой ответ на вопрос — почему вы до сих пор не осилили запустить https на главной? я не услышала, сорри…
НЛО прилетело и опубликовало эту надпись здесь
Владимир, насколько я поняла из описания атаки SSLstrip (в самом начале публикации), это вас не спасает в случае авторизации пользователя с главной страницы.
И по-прежнему интересно услышать от вас ответ на вопрос: почему в вас нет https по умолчанию на главной? Вы считаете в этом нет необходимости? Или не можете справиться технически?
И последнее, не очень поняла, зачем вы попытались меня обидеть в вашем первом комментарии, но, пожалуйста, не надо этого делать. Во-первых, иногда мне правда обидно, а во-вторых, я сразу узнаю вас в одном из анонимусов на роем.ру ;)
НЛО прилетело и опубликовало эту надпись здесь
Володя, чтобы было понятно, в яндексе пароли сейчас ровно также не защищены, как если бы паспорт был не httpsным. Рассказываю сценарий:

1. Ты заходишь на www.yandex.ru
2. Злоумышленник подменяет www.yandex.ru своим сайтом, который looks and feels exactly как Яндекс, за исключением одной маленькой детали — введенный пароль отправляется на сервер злоумышленника
3. Вводишь, ни о чем не подозревая, свой пароль
4. Теряешь свой пароль

Т.е. еще раз, пользователи Яндекса, которые авторизуются на главной странице Яндекса (а таких, я полагаю, абсолютное большинство), рискуют потерять свои пароли гораздо сильнее, чем пользователи Mail.Ru, которые этим рискуют только при заходе на главную страницу Mail.Ru первый раз в жизни, по причине того, что еще не было первого редиректа на https (по правде говоря, у них и пароля в этот момент еще нет, они ящик даже не зарегистрировали).
НЛО прилетело и опубликовало эту надпись здесь
Теперь ты понимаешь, насколько важно заsslить весь портал, а не только паспорт и почту? Причем, начинать надо именно с тех мест, где пользователи чаще всего вводят пароли. В нашем случае это морда. В вашем, полагаю, что тоже морда. my.mail.ru в этом смысле тоже уязвим, но, слава богу, что пользователи my.mail.ru вводят пароли непосредственно на этом сайте гораздо реже, чем на морде. И этот сайт сейчас в первом приоритете по переводу на https.
НЛО прилетело и опубликовало эту надпись здесь
И ты был прав :) Делаю теперь в Mail.Ru то, что не успел сделать в Яндексе :)
Владимир, представь, что злоумышленник подменяет www.yandex.ru другим сайтом, который looks and feels exactly как Яндекс, но на котором авторизация ведет к ему, злоумышленнику, в логово. Что будет тогда с твоим паролем? Если хочешь узнать, то приезжай к нам в офис, зайди на главную страницу Яндекса, введи там свой логин и пароль, а мы покажем тебе скриншот твоего почтового ящика :)

Так вот, с главной страницей Mail.Ru такое невозможно, потому что там всегда https и, разумеется, hsts.

P.S.

И не обижай, пожалуйста, Анну. Она отлично знает что к чему.
Статья получилась какая-то чрезвычайно капитанская и со вкусом ваших местечковых проблем.

Через пару лет ждём статью «Как мы реализовали SPDY на главной странице портала Mail.Ru» и рассказ в комментариях о том «что в далёком 2015 он еще только только начинал поддерживаться браузерами.»
Ну так это и отлично. Мы как раз хотели эту сложную задачу описать очень простыми и кэповскими словами.
Эта первая и единственная хорошая вещь от Mail.ru…
Это всё уже давно было у gmail.

У меня первый ящик был именно у mail.ru но с течением времени (когда я узнал что интернет большой) я перешел на gmail. лично мне не нравиться в mail.ru следующее:

1) Спам который идет со всех щелей
2) Долгое время отсутствовал нормальный метод синхронизации (c push уведомлениями)
3) Лимиты на место
4) Навязывание совершенно не нужных мне сервисов
5) Сервера в России
Вы не правы. Не все. Просмотра архивов в вебе у них нет. Только что переслал zip-архив на гмейловский ящик. Все что я могу с ним сделать — это скачать его или сохранить в драйве. В онлайне смотреть нельзя.

И ваша информация про 1,2,3,4 сильно устарела.
Вы не правы. Не все. Просмотра архивов в вебе у них нет. Только что переслал zip-архив на гмейловский ящик. Все что я могу с ним сделать — это скачать его или сохранить в драйве. В онлайне смотреть нельзя.


googleappsupdates.blogspot.ru/2011/07/preview-zip-and-rar-files-from-your.html
Только что посмотрел несколько писем с zip архивами — прекрасно смотрится через веб интерфейс на gmail.com. Через inbox.google.com правда не работает, но это другая история.
А вложенные в архивы картинки у вас просматриваются?
Нет, вложенные в архивы картинки у меня не просматриваются ввиду отсутствия таких архивов, возможно, мои адресанты знают о бессмысленности архивации изображений.
Вы удивитесь, но в один и тот же архив можно положить и текстовые файлы и картинки. Что совсем не бессмысленно. Но ваши адресаты, наверное, так никогда не делают.
Вкладывают скришноты в Word'овские файлы)))
Вы таки путаете сжатие и архивацию.
Ок, вы исправили 1-4 пункты, но в связи с последними событиями — последний пункт наиболее важный — ваши сервера в России, по первому запросу от кого угодно вы будете передавать любые данные, компания Российская.
У нас есть проект myMail/my.com. Это почта + почтовый клиент. Все сервера там в Голландии.

Передавать не по первому запросу от кого угодно, а все в соответствии с законом. Если бы мы хотя бы раз передали что-то кому-то без решения суда или без законных оснований, то про это бы весь Интернет уже гудел.
Когда деревья были большими, а я — школьником, играл я в браузерные деньгокачалки. А они требовали ящика от mail.ru. А поскольку денег у меня не было, я заводил мультов.

Но вопрос не в измерении количества совести у школьников и у разработчиков браузерных игр, а в том, что мои мульты быстро начали слать спам друг другу на почту. Очевидно, неизвестный спамер принял эти аккаунты за аккаунты родственников, и слал сообщения якобы с одного ящика на другой подменяя адрес отправителя.

Теперь вопрос: откуда у спамера была информацию о «родственности» аккаунтов? Это был не вирус, потому что почтовые ящики в других системах такой болезнью не страдали.
А как давно это было?
2005й
Ну Ок, давайте мочить mail.ru за огрехи 10 летней давности. Я тут работаю техническим директором 4 года. И за эти 4 года ситуация с количеством спама стала гораздо и гораздо лучше.
Я просто отвечаю на вот это высказывание:
Если бы мы хотя бы раз передали что-то кому-то без решения суда или без законных оснований, то про это бы весь Интернет уже гудел.
Этот раз был.
Дайте пруф, плиз
К сожалению, ящиков тех не сохранилось.
Да, было тоже самое. На свежезареганный ящик с рандомным названием повалил спам. Ящик нигде не светился.
Как давно?
Возможно 2008.
Если я правильно понял описанное то мульты mail.ru использовались на определенных деньгокачалках которые этого требовали сами. Так как это были мульты то предполагаю что регистрировались они в деньгокачалках с маленьким промежутком времени, возможно даже в рамках одной сессии а следовательно вас вполне могли «по айпи вычислить» :) ну точнее деньгокачалка могла сохранять айпи адреса с которых проводилась регистрация аккаунтов с указанием email. Ну а больше никаких данных и не надо чтоб сопоставить с некоторой вероятностью родственность e-mailов.
Вы забываете, что браузерные игры, требующие логина mail.ru, так или иначе все принадлежат mail.ru. Иначе бы они не требовали такого логина.
Они могут иметь профит ограничивая регистрацию ящиком mail.ru, но принадлежать mail.ru они не обязаны, наподобие установок яндексбара при установке какого-либо ПО. Хотя в целом закон кармы никто не отменял, вы наделали мультов обманув браузерные игрушки, браузерные игрушки обманули вас наслав вам спама, очередной раз убеждаюсь что в мире все взаимосвязано :)
И все-таки Жуки@mail.ru и Троецарствие именно mail.ru и принадлежали.

По поводу же «закона кармы» — я все-таки обманул их больше. Ведь я этими ящиками, на которые шел спам, не пользовался :)
попытался зарегиться — говорят, ник должен быть от 6 символов. не зарегился (.
а вам именно меньше 6 надо? :)
а почему нельзя меньше шести?
Чтобы не заваливало спамом потом
Какая связь между длиной ника и спамом?
Перебирать 5символьные ники в, грубо говоря, 40 раз быстрее чем 6символьные. Чем меньше размер ника, тем более вероятно, что все адреса будут автоматом в базе спамеров. Если было бы 5, то спросили бы почему не 4 и тд. Даже в GMail'е ограничение в 6 символов.
Бесят такие ограничения.
Лучше бы антиспам хороший делали, чем синдром вахтёра вот такой.
Ну вы же живете в реальном мире. GMail тоже не может победить до конца спам, и у него ровно такое же ограничение. Когда-нибудь эта проблема будет решена и можно будет регистрировать хоть односимвольные ящики.
Изменение пароля
Некорректно заполнены поля:

Новый пароль. Длина пароля должна быть от 6 до 40 символов


Почему 40, а не 41, 42 или 50?

Вообще, почему 40, а не 255?
Каждый символ в email'е имеет приблизительно 40 вариантов: 26 букв + 10 цифр + еще несколько знаков.
А, простите, я думал вы еще про 40 раз быстрее :)

Длина пароля ограничена сверху, потому что чем пароль длинее, тем труднее его запомнить. Соответственно, вы будете его не запоминать, а записывать на бумажку. Бумажку вы либо потеряете (и тогда вам придется его восстанавливать), либо кто-то другой ее у вас найдет. И то и другое плохо. Пароли надо хранить в голове.
чем пароль длинее, тем труднее его запомнить

Что?!

Предыдущий пароль моей матери к почте: gjcvjnhb^drfrjvrhfcbdjvljvtns;bd\im%zdxthfgjitkpfGbdjv-ghzvjj,jvktk. 67 символов, за 5 лет не был забыт ни разу. Почта — не mail.ru, конечно же.

Для сравнения, security.mail.ru/#passgen мне сгенерировал пароль oZ0#oFvQ1psA. В нём всего 12 символов, но я вам обещаю: моя мама такой пароль запишет на бумажку.
В среднем, труднее. Понятно, что пароль qwerty… (и так 5 раз)… qwerty запоминается достаточно легко.
В среднем, 40 символов запоминаются ничуть не лучше, чем 180. Перестаньте уже думать за пользователя и заставлять его быть «средним».
Не нашёл на этой странице ничего про максимальную длину пароля.

«Тут так заведено» — это не ответ. У отраслевого стандарта должно быть обоснование, или это не отраслевой стандарт. Зачем делать пользователям неудобно? Кто захочет короткий пароль, тот сам его себе сделает.
Сорри, на этой странице они уже не пишут про ограничение. Ограничение 100 символов. Попробуйте, проверьте на регистрации.

Обоснование простое: чем длиннее пароль, тем более вероятно его забыть. Я понимаю, что вы, как и любой другой человек, уверены, что никогда пароль не забудете, но, тем не менее пароли забываются, и в некоторых случаях не восстанавливаются никак.
Я предпочёл унести дальнейшее обсуждение на Фейсбук, если хотите — можете поучаствовать :-)
Спасибо за https! Но, пожалуйста, верните все же большие размеры места на cloud, и сделайте, пожалуйста, сделайте на нем webdav. Не всем нужно делать точную копию компа в облаке (и на других устройствах), зато очень полезно было бы иметь место (даже и небыстрое, но — надежное), куда можно сложить старые, не сильно нужные сейчас, занимающие место (тем более в эпоху маленьких SSD дисков и некрупных карточек в телефонах/планшетах), но памятные файлы.

Синхронизация всего со всем — увы, не всегда нужна. Если я наснимал на телефоне видео, слил его в cloud (увы, у вас еще и «суперлимиты» на размер файла есть), а потом забрал с компа дома из облака — это удобно. Но если я потом я на телефоне видео удаляю, а оно назад втягивается — это уже мимо кассы. Если я дома залил в облако фотографии с выпускного (им *дцать лет, но стирать — зачем?, а в «просто» фотоальбом на вебе не положить raw-ы), а потом телефон с ужасом стал их всасывать — тоже не комильфо имеем на выходе.

В общем, сделайте из cloud удобный внешний жесткий диск. А для этого webdav — самое то будет.

Пожалуйста!
Не всем нужно делать точную копию компа в облаке (и на других устройствах)
Синхронизация всего со всем — увы, не всегда нужна

Золотые слова просто! Я даже начал думать, что со мной что-то не так… С моей точки зрения вездесущая синхронизация всего и вся на облачном хранилище — бесполезная фича.
Настройки аккаунта Steam? Да! Вкладки и пароли браузера? Да! Облачное хранилище? Нет конечно! Я отчасти для этого его и завел, чтобы память на девайсе экономить)
Поддерживаю, очень не хватает webdav.
НЛО прилетело и опубликовало эту надпись здесь
Пользуйтесь. Только пароль на главной странице Яндекса лучше не вводите :)
Еще пара сокращений места в Облаке — и Я.Диск в бесплатной версии станет большим по размеру, чем Cloud@Mail.ru.

Поначалу было интересно: имеешь 120 Гб SSD, к ней еще 1Тб в Облаке — и в него скидываешь все данные. В поездке — очень удобно, тем более хранится этот Тб надежно. Webdav не хватало, но обещали.

Потом места стали давать 100 Тб, т.е. аккурат скопировать SSD-ку. Webdav все ждали, хотя смысла в нем стало бы и поменьше, если бы синхронизатор работал как программка от dropbox — в смысле, надежно и тщательно.

Теперь вроде дают еще меньше.

Жду, что будет дальше. Подозреваю, что сделают по 5Гб на нос, уже тогда включат Webdav, а потом отрапартуют, что им никто особо и не пользуется — мол, чего было возиться, когда «так хотели, так хотели», а по факту — особо и никто.

Про имидж компании говорить не буду. Очередной раз решил, что громким словам «сделаем вам хорошо, и навсегда — вы верьте нам!» верить не всегда стоит.
Не станет бесплатный Диск больше нас. Мы не враги сами себе, постоянно мониторим рынок и следим за тем, чтобы наше предложение было самое выгодное.

Места мы давали сразу 100Гб, когда запустились в бете. 1Тб — это была ограниченная акция на месяц. О чем мы достаточно четко сообщили. Вот, например, тут это хорошо видно: habrastorage.org/getpro/habr/post_images/3c0/c8a/3e4/3c0c8a3e44118110c437341168ea167d.png

1Тб был, действительно, навсегда. Также как и 100Гб. У вас никто не отнимет ваше место.

Теперь же, когда мы вышли из беты, мы даем 25Гб всем новым пользователям. Это по прежнему лучше чем у наших конкурентов. Тем же, кто учавствовал в бета-тестировании и помогал нам делать сервис лучше, быстрее, надежнее, мы в благодарность за это оставляем их 100Гб и 1Тб навсегда, как и обещали изначально. Все честно.
Ну это правда. Только тренд не радует: 25
Странно было бы, если бы после бетатестирования мы бы давали больше места всем тем, кто в бетатестировании не участвовал.
Странно, парсер предыдущий коммент у меня съел. Там был символ, который как "«" выглядит («много меньше»): 25 — это много меньше, чем 1000. Сначала сделали 100 (как раз после выхода из теста), потом — 25.

Но поинт не в этом. Спасибо и на том, ок. Но обещали же webdav — годами (!) обещали, может, все же сделаете. А то про «честность» разговор как-то не складывается )

А про место — если вы пишете, что 1000 никто не забивает, и даже 100 никто — так вы можете и 10 000 давать, все равно по факту в среднем будет забит 1% от этого размера. Зато кому надо, смогут попробовать, имея webdav и много места, жить с небольшим диском и хранить все документы как файлы на у вас как на диске (а не как бекап документов в облаке). Я говорю именно о другой модели использования, которая, собственно, предполагает другие размеры хранения.
Мы конкретные сроки по webdav никогда не называли.

Еще раз все по порядку

1. Сначала было 100. Это подарок тем, кто бетатестил нас.
2. Потом была временная акция на месяц — 1Тб.
3. Потом вышли из беты и всем новым стали раздавать 25. Меньше чем 100? Да. 100 — это был подарок бетатестерам. Все равно мало, хотели бы, если хоть не 100, то больше 25? Я ваше желание понимаю. Я сам хочу все, сразу и бесплатно :) Но все равно 25 — это больше, чем у конкурентов.

1Тб, все же, не никто не забивает, а большинство не забивает. Но чем больше размер бесплатного места, тем больше средний размер (проверено нами на опыте с акцией в 1Тб).
Да, размер у вас даже сейчас заметный. Вопрос правда в том, что его еще надо умудриться использовать: лимит по размеру файла порой мешает, особенно когда речь идет именно о бекапе к вам каких-то данных.

Про сроки… много раз слышалось «скоро», и было это года полтора назад. Сколько для вас это скоро — правда, вы не говорили. Скажите прямо: разговор об одном-двух месяцах, или вы «завтраками» планируете кормить почти бесконечно, поскольку обещали, а делать по факту не хотите? Сказать свою точную позицию (скажем «нас не устраивает профиль использования наших хранилищ, поэтому мы будем все сводить к тому, чтобы Облаком было пользоваться не слишком удобно, и юзеры с нами бы предпочитали сильно не завязываться» или «мы очень хотим сделать все „для людей“, но у нас не хватает рук, поэтому пока план такой: webdav для облакаmail.ru сделаем к весне, версионность — к осени, потом подумаем над платными аккаунтами, хоть при этом бесплатные лимиты всегда сохранятся») было бы только честно, а Вы же о честности выше говорили?

Скажите, а почему все же решили файлы лимитировать 2 Гб? Поймите, что имидж mail.ru как бы намекает, что данные неплохо хоть по минимуму шифровать, а самое простое — это хранить их в криптованной форме, и вот здесь удобнее работать с крупными файлами. А вы, дергая условия, только против имиджа своего же работаете, т.е. льете воду на мельницы тех, кто крипто очень хочет.
Мы традиционно не раскрываем своих планов и запусков. Как и все наши конкуренты.

Пока количество пользователй в Облаке только растет, причем большими темпами, поэтому не похоже, чтобы мы работали против себя.

Насчет имиджа. Нам доверяют свои почту 100 миллионов активных пользователей в месяц. И опять же, их количество только растет. Согласитесь, не лучший ли это показатель, что нам и личные файлы можно доверить? Тем более, что почтовые ящики уже давно превратились в самые настоящие хранилища личных файлов (документов, картинок и проч).
«То, что я параноик, еще не значит, что за нами никто не наблюдает» :)

Тем более что разговоров про mail.ru ходит много, так что береженного… сами знаете.

А что клиенты к вам идут, то это объяснимо. Я никогда не забуду, как мне человек один незнакомый свой телефон диктовал: «пиши, говорит, номер 1310242». Я уточнил, что за номер, то ли городской, то ли мобильный, на что он удивленно ответил — «ну, это же МТС, у всех же МТС, зачем эти 8-911 диктовать?» Вот так и на mail.ru люди ящики заводят («все же на mail.ru»), хотя, вроде как, предыдущее, в прошлом (говорю так, потому что сейчас вы прямо семимильными шагами в будущее век идете — и уже почти пришли, а кое-где и обогнали многих) общение с mail.ru служило источником печали для многих. Но, к вашему спокойствию, ежикам грызть кактус в России вообще как вид спорта можно считать. Особенно в глубинке, где локальные провайдеры такое с почтой творят, что спокойнее ее на mail.ru держать было — и это еще до обновления UI почты!

Вам я могу только успехов пожелать: сильный игрок на рынке — польза всем, в т.ч. и конкурентам. Но, сказавши «а», говорите и «б», а то про webdav вас (компанию) спрашивают часто, и каждый раз либо вопрос без ответа, либо отписка «работаем, скоро, сроков нет».

Может, статью написали бы, как кошерно с вашим облаком работать, как вы сценарии видите? А во второй ее части — кратко изложить, в чем ваши затруднения в реализации webdav, только, как Вы выше писали, «честно»?
Спасибо, что оценили! Приятно :)

Про вебдав и затруднения, поймите, не можем ничего писать. Мы не можем раскрывать планы.
Понимаю. Просто впечатление, что и планов-то нет, а на вопросы — стандартная «отмазка», чтобы просто не говорить «нет», когда однажды уже сказано «да», и когда вебдав даже уже когда-то работал.

А все же — почему вы делаете «облако» в смысле место для синхронизации данных с локальным диском, а не «облачный диск» в смысле места, куда можно по своей воле скопировать часть своих файлов? Это же как второй диск в зеркальном raid-е против второго диска в машине, на который первого можно что-то скопировать, а можно и нет — задачи разные, так вот я ваши подходы хочу понять.

Тем более что в облако (если уж про него) надо и не только файловые данные копировать. Скажем, с телефона хочется и контактную книгу в зашифрованном виде скопировать, и нефайловые данные, такие, как настройки.
Вы говорите абсолютно правильные вещи. Мы над всеми над ними думаем. Спасибо за ваш фидбек! :) Просто по разным причинам мы не можем все и сразу сделать моментально. Хотя мы живем, разумеется, в конкурентном мире, и это заставляет нас быть всегда в тонусе, думать быстро и делать тоже быстро :)
А все же Webdav будет? Без него забить 1Тб достаточно непросто, к тому же с ограничением 2гб для загрузки файлов :)
Урезать бесплатное место для новых пользователей это еще куда ни шло, но вот установить максимальный размер файла в 2 гб для всех пользователей — это уже ни в какие ворота не лезет.

Образа дисков, образа трукрипта и аналогов, большие фильмы — «всем этим пользуются менее 1% наших пользователей, поэтому мы уберем эту возможность».
восстановил доступ к старой почте, там в облаке всего 25Гб. А еще на эту почту как и у vaslobas спам валил сразу же после регистрации аккаунта.

Зы, негативное отношение к mail.ru в принципе. В свое время требовал от техподдержки соблюдения EULA (по одной из игр) и был за это забанен.
Ну так это же естественно. Вы Облаком не пользовались, когда было бета-тестирование. Т.е. для Облака вы такой же новый пользователь, как и все другие пользователи, которые первый раз пришли в него в этом году.

Насчет спама сразу после регистрации, можете вспомнить, какой это был год?
2007 год
Жаль, что более свежего примера нет?
Кстати раньше было ограничение 30гб на один файл, теперь 2гб.
Спасибо что включили https на своей главной, а на Одноклассниках когда включите? Из-за того, что они без поддержки https, счетчик да или виджет от них на защищенную страницу не вставить.

apiok.ru/wiki/pages/viewpage.action?pageId=42476656
На данный момент доступен только по http. В планах есть исправления для https.
Ну так, когда? А то «планам» год уже.
Все эти оптимизации (keep-alive, уменьшение запросов на получение пользовательских данных) можно было сделать и для http, к https они не имеют никакого отношения. Поэтому по факту вы не сделали ничего такого, что бы снизило нагрузку на сервер именно для https-протокола. Жаль, что нет какого секретика, позволяющего ускорить обработку https.

Основываясь на вашем опыте использования огромного парка железа, ориентировочно на сколько процентов возрастает нагрузка на сервер при включении https? Речь идет о самом простом случае — сервер раздачи статического контента.
Мы сделали еще несколько оптимизаций, о которых рассказывали в другой статье двухлетней давности, когда включали https на почте. Можете почитать: habrahabr.ru/company/mailru/blog/158603/.

Если речь про эффективный сервер, отдающий только статику (типа nginx или его самописный аналог), то нагрузка на процессор увеличивается где-то в 1,5 раза. В остальных случаях, как вы сами понимаете, зависит от текущего потребления процессора сервисом. Скажем, если это perl + apache/fastcgi, то увеличение потребления процессора в нашем случае +2-3%. Если это легкий сишный демон, построенный на epoll, то в нашем случае где-то +20-30%. Т.е., грубо говоря, если вы перешли на https, а нагрузка на процессор не выросла вообще, даже на 1%, то это означает, что вам стоит обратить внимание на оптимизацию вашего сервиса.
Вашу предыдущую статьи читал в свое время. Очень рад за вас, в правильно направлении идете. Но наделся, что в этой статье вы что-то этакое расскажете. Однако все равно молодцы.

Спасибо за данные по росту нагрузок. Я долго вдумывался в вашу последнюю фразу и, наконец, понял: если после ввода https рост нагрузки не заметен, то это значит, что ваш сервис настолько сильно тормозит, что нагрузка https — это капля в море.
Да, именно так :)
А что можете рассказать на тему HSTS, ssl session tickets и OCSP stapling? Всё же на техническом ресурсе статью размещаете, хочется больше технических деталей.
(например, он сохранил в закладках http-адрес страницы – httр://mail.ru/ и попытается зайти на главную страницу по этой ссылке), а злоумышленник – очень настойчивым, – так вот, даже в этом случае данные пользователя будут защищены благодаря технологии Strict Transport Security.
Простите, но как HSTS поможет защититься от очень настойчивого злоумышленника, если этот злоумышленник в HTTP-ответе на httр://mail.ru/ выкинет HSTS заголовок и оставит пользователя на HTTP? На мой взгляд, httр://mail.ru/ в закладках — это неисправимая проблема безопасности (в автоматическом режиме).
Первый клик по этой закладке заставляет браузер навсегда запомнить, что на это сайт надо ходить по https. Перехватить первый клик пользователя — это, согласитесь, не то же самое, что перехватить любой клик пользователя.
Ещё. Нашел ссылку на
http://my.mail.ru?from=splash
c главной страницы, на страницу, которая не защищена и содержит форму входа. Хотя HTTPS на той странице поддерживается.
Не на всем портале еще поддержан https. Но скоро и my.mail.ru за https уберем.
У меня один вопрос, почему не EV?
Эта тема заслуживает отдельного поста, но если кратко, то польза EV-сертификатов сильно переоценена: они не улучшают защиту от MiTM-атак, а польза их в защите от фишинга в нашем случае тоже сильно ограничена.
Это не означает, что EV-сертификат не нужно покупать, просто это не такой просто вопрос как кажется на первый взгляд.
По теме могу порекомендовать вот эту презентацию: www.blackhat.com/presentations/bh-usa-09/ZUSMAN/BHUSA09-Zusman-AttackExtSSL-SLIDES.pdf
У EV в текущем виде есть одно преимущество — если он будет скомпрометирован и вам придется его отозвать, даже такие браузеры как Chrome не будут принимать отозванный сертификат, в отличие от обычного, который может быть использован атакующим еще долго из-за особенностей работы механизма CRLsets.
Ещё вопрос: были ли какие-то проблемы с совместимостью с клиентами?
Может какие-то экзотичные браузеры криво поддерживают что-то?
Была проблема с IE6. Он требовал устаревшего и дырявого SSL v3.0. Пришлось отказаться от IE6 вообще (всем кто пришел на главную страницу этим браузером мы выводим статическую страничку с предложением загрузить любой другой браузер).
Ура!
Уважемый mail.ru, когда ждать от вас трехколоночного интерфейса с областью просмотра справа, чтобы список писем был виден всегда при чтении сообщений? В Gmail это есть, в Outlook.com, на «Яндексе», почте Yahoo и даже у почты «Рамблера»… В нынешней двухколоночной раскладке приходится совершать лишние клики. Спрашивал об этом в данном блоге полтора года назад — ответа не последовало…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий