Не все инициативы как из дурдома. Иногда для отвода глаз публикуют годные инициативы, но они никогда не проходят. Например, инициатива о самообороне. Только её не примут. А ведь именно несоразмерность и должна останавливать преступников, а не страх перед "неотвратимостью" наказания.
Дать одну фотографию без истории - это как на кофейной гуще делать предположения. "На одном из телескопов... однаружена птица" намекает на то, что на других телескопах птица не обнаружена. Отсюда логичный вывод, что проблема в... телескопе?
Разработчики опасаются недобросовестной конкуренции, потери технологической независимости страны и сокращения инвестиций в российский IT-сектор
"О России думаю!" и чуть чуть о сокращении инвестиций, а то ведь потребитель хочет качества, которое мы делать не хотим, поэтому и будем говорить, что конкуренция нечестная. Лавры Автоваза не дают покоя.
Это связано с возможностью использования иностранного пиратского, то есть бесплатного, софта
Интересно не то, что пиратский софт бесплатен, а то, что пиратят качественные и востребованные продукты, а не потому что они иностранного производства. А "не вот это всё". (Почему-то китайцы пиратят мерседесы и бмв, а не поделия автоваза) Напомню отечественным производителями, что иностранные разработчики ПО очень много лет терпели убытки от пирачения их софта, в итоге убедили большинство покупателей платить честно и вот теперь на расчищенную поляну влезают какие-то отечественные разработчики иностранных аналогов и лопочут, что они не хотят в конкуренцию, а инвестиции они хотят.
Такое впечатление, что преступники - это кого надо преступники, потому что по отношению к ним нет никаких инициатив. А виноваты, как обычно, сами граждане!?
В расследовании самое главное - не выйти на самих себя! Очевидно, что в таком случае надо сделать виноватой саму жертву, а не искать мошеннические схемы и других причастных.
Статья написана чатом. Промпт примерно был такой: "Напиши небольшую статью на тему "как сайт может отличить человека от бота"?
Скрытый текст
Как сайт может отличить человека от бота?
В эпоху цифровых технологий сайты ежедневно сталкиваются с множеством автоматизированных программ — ботов, которые могут нарушать работу сервисов: рассылать спам, пытаться взломать аккаунты или искажать статистику. Чтобы защититься, разработчики внедряют разные методы для распознавания, кто заходит на сайт — человек или бот. Вот основные из них:
1. CAPTCHA и reCAPTCHA
Один из самых известных способов — это проверка с помощью CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Пользователя просят решить задачу, с которой сложно справиться боту: распознать и ввести искажённый текст, выбрать картинки с определёнными объектами или поставить галочку "Я не робот". Google reCAPTCHA использует поведенческий анализ, отслеживая движение мыши, время реакции и другие признаки, чтобы сделать проверку менее навязчивой.
2. Поведенческий анализ
Сайты могут анализировать, как пользователь взаимодействует с интерфейсом: насколько естественно двигается курсор, как быстро заполняются поля формы, нажимаются ли клавиши с реалистичной задержкой. Боты часто действуют с нереалистичной точностью и скоростью.
3. Отслеживание IP-адресов и заголовков
Боты могут использовать подозрительные IP-адреса (например, из известных дата-центров или прокси-серверов). Кроме того, сайты могут анализировать заголовки HTTP-запросов: у браузеров людей они выглядят определённым образом, а у ботов часто отсутствуют или сгенерированы некорректно.
4. Анализ JavaScript и Cookies
Многие боты не обрабатывают JavaScript или не сохраняют cookies. Сайт может отправить небольшой скрипт и проверить, вернул ли браузер ожидаемый результат. Если нет — вероятно, это бот.
5. Временные ограничения и ограничения по частоте
Если пользователь выполняет слишком много действий за короткий промежуток времени (например, отправляет сотни форм или делает десятки запросов в секунду), сайт может заподозрить автоматизацию и временно заблокировать такие действия.
Вывод: Борьба с ботами — это постоянная гонка между разработчиками сайтов и создателями автоматических систем. Современные методы становятся всё более изощрёнными, стараясь не мешать обычным пользователям, но эффективно фильтровать вредоносную активность.
Не часто попадаются такие объёмные статьи по keycloak. Очень много полезной информации.
Мне кажется, что хорошо бы явно указать, что вы пользуетесь токенами JWT. Из контекста статьи это не очень понятно, т.к. есть и другие способы. У меня на работе тоже пользовались токенами JWT, но идея перевести web-приложения на Cookies мне кажется более практичной (или более близкой к типу аутентификации типа NTLM/Kerberos в корпоративной среде). JWT скорее всего нужно там, где Cookies не применимы, например, вне контекстов браузеров, в приложениях mobile/desktop. Кстати, использование только cookies для web-приложений позволяет избежать лишних проверок/нагрузок на сервер keycloak - если cookie есть, то пользователь аутентифицирован, а если что, то сессию всегда можно удалить на сервере и кука станет невалидна и пользователь не сможет ничего сделать без повторной аутентификации.
Соответственно пара вопросов в сравнении с аутентификацией NTLM/Kerberos:
1.Хотелось бы узнать ваше мнение по поводу работы по cookies для web-приложений.
2.У вас написано, что "Если токена нет или он просрочен — редиректим на страницу входа". Это хорошо работает, когда у вас в форме на странице один-два параметра, которые не трудно ввести повторно, но если параметров в форме, например, несколько десятков, то как тогда бороться с этими неожиданными перенаправлениями на аутентификацию? (пользователь же вынужен покинуть страницу с исходной формой ввода). Т.е. для одностраничного web-приложения использование JWT создаёт неудобства (это и пользователю создаёт проблему из-за непредсказуемых переходов и разработчику web-приложения - всё время надо контролировать/проверять ответы от сервера + ещё и следить, что вдруг какой-то админ/друг_админа выдал себе бессрочный JWT-токен, то попробуй поймай его с таким токеном).
P.S. Немного маловато про realm-ы написано. Realm-ы позволяют автоматически аутентифицировать пользователей в других приложениях этого realm, если пользователь аутентифицирован хотя бы в одном приложении конкретного realm. Это очень удобная фича, которая существенно упрощает аутентификацию в web-приложениях в корпоративной среде. Например, если в двух вкладках одного браузера открыты две формы ввода логина и пароля, то при вводе credentials в одной вкладке произойдёт автоматический вход в приложение в другой вкладке (при открытом окне ввода логина и пароля):
Пример аутентификации пользователя в разных приложениях одного realm без прямого перехода в keycloak (в диалоговом окне на странице приложения через iframe. На экране кастомный диалог keycloak [диалоги аутентификации в keycloak можно кастомизировать])
Опять эта дата - 2030 год! Только за сегодня это второй или третий раз уже. Никто не забыл ещё, что будет в 2030 году? Такая интрига! Чтобы ещё притянуть за уши к 2030 году?
Директор по проектной деятельности Yadro (входит в «ИКС Холдинг») Александр Понькин считает, что такое решение повысит качество российской продукции
Сразу вспоминаю российский сыр. Как только запретили ввоз импортных сыров, так сразу выросла... цена на "отечественные" сырные продукты. И больше ничего! А конкурировать между собой отечественные производители не стали вообще.
Никто не забыл, что будет в 2030 году? Давно не напоминали, что будет в 2030 году! Что-то давно не было анонсов 2030 года. Новость и интрига 2030 года нарастает с каждым днём.
Может кольцо горячего разделения?
Не все инициативы как из дурдома. Иногда для отвода глаз публикуют годные инициативы, но они никогда не проходят. Например, инициатива о самообороне. Только её не примут. А ведь именно несоразмерность и должна останавливать преступников, а не страх перед "неотвратимостью" наказания.
Дать одну фотографию без истории - это как на кофейной гуще делать предположения. "На одном из телескопов... однаружена птица" намекает на то, что на других телескопах птица не обнаружена. Отсюда логичный вывод, что проблема в... телескопе?
"О России думаю!" и чуть чуть о сокращении инвестиций, а то ведь потребитель хочет качества, которое мы делать не хотим, поэтому и будем говорить, что конкуренция нечестная. Лавры Автоваза не дают покоя.
Интересно не то, что пиратский софт бесплатен, а то, что пиратят качественные и востребованные продукты, а не потому что они иностранного производства. А "не вот это всё". (Почему-то китайцы пиратят мерседесы и бмв, а не поделия автоваза) Напомню отечественным производителями, что иностранные разработчики ПО очень много лет терпели убытки от пирачения их софта, в итоге убедили большинство покупателей платить честно и вот теперь на расчищенную поляну влезают какие-то отечественные разработчики иностранных аналогов и лопочут, что они не хотят в конкуренцию, а инвестиции они хотят.
Такое впечатление, что преступники - это кого надо преступники, потому что по отношению к ним нет никаких инициатив. А виноваты, как обычно, сами граждане!?
Как обычно - сбой в матрице. Телескопа.
В расследовании самое главное - не выйти на самих себя! Очевидно, что в таком случае надо сделать виноватой саму жертву, а не искать мошеннические схемы и других причастных.
Искать мошенников? Не, слишком сложно! Чтобы ещё такого придумать, чтобы и дальше не делать ни хрена?
Не пора ли добавлять к таким новостям хаб #2030 ? А то читаешь новость и думаешь, а в чём подвох? А оказывается про 2030 год надо напомнить!
1 день без происшествий, 0 дней без упоминания 2030«Скажи друг и войди»
Статья написана чатом. Промпт примерно был такой: "Напиши небольшую статью на тему "как сайт может отличить человека от бота"?
Скрытый текст
Как сайт может отличить человека от бота?
В эпоху цифровых технологий сайты ежедневно сталкиваются с множеством автоматизированных программ — ботов, которые могут нарушать работу сервисов: рассылать спам, пытаться взломать аккаунты или искажать статистику. Чтобы защититься, разработчики внедряют разные методы для распознавания, кто заходит на сайт — человек или бот. Вот основные из них:
1. CAPTCHA и reCAPTCHA
Один из самых известных способов — это проверка с помощью CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Пользователя просят решить задачу, с которой сложно справиться боту: распознать и ввести искажённый текст, выбрать картинки с определёнными объектами или поставить галочку "Я не робот". Google reCAPTCHA использует поведенческий анализ, отслеживая движение мыши, время реакции и другие признаки, чтобы сделать проверку менее навязчивой.
2. Поведенческий анализ
Сайты могут анализировать, как пользователь взаимодействует с интерфейсом: насколько естественно двигается курсор, как быстро заполняются поля формы, нажимаются ли клавиши с реалистичной задержкой. Боты часто действуют с нереалистичной точностью и скоростью.
3. Отслеживание IP-адресов и заголовков
Боты могут использовать подозрительные IP-адреса (например, из известных дата-центров или прокси-серверов). Кроме того, сайты могут анализировать заголовки HTTP-запросов: у браузеров людей они выглядят определённым образом, а у ботов часто отсутствуют или сгенерированы некорректно.
4. Анализ JavaScript и Cookies
Многие боты не обрабатывают JavaScript или не сохраняют cookies. Сайт может отправить небольшой скрипт и проверить, вернул ли браузер ожидаемый результат. Если нет — вероятно, это бот.
5. Временные ограничения и ограничения по частоте
Если пользователь выполняет слишком много действий за короткий промежуток времени (например, отправляет сотни форм или делает десятки запросов в секунду), сайт может заподозрить автоматизацию и временно заблокировать такие действия.
Вывод:
Борьба с ботами — это постоянная гонка между разработчиками сайтов и создателями автоматических систем. Современные методы становятся всё более изощрёнными, стараясь не мешать обычным пользователям, но эффективно фильтровать вредоносную активность.
Это так не работает. /s
Странно, что не с полицией. Или с депутатами, которые понавводили законов для борьбы с мошенниками?
Не часто попадаются такие объёмные статьи по keycloak. Очень много полезной информации.
Мне кажется, что хорошо бы явно указать, что вы пользуетесь токенами JWT. Из контекста статьи это не очень понятно, т.к. есть и другие способы. У меня на работе тоже пользовались токенами JWT, но идея перевести web-приложения на Cookies мне кажется более практичной (или более близкой к типу аутентификации типа NTLM/Kerberos в корпоративной среде). JWT скорее всего нужно там, где Cookies не применимы, например, вне контекстов браузеров, в приложениях mobile/desktop. Кстати, использование только cookies для web-приложений позволяет избежать лишних проверок/нагрузок на сервер keycloak - если cookie есть, то пользователь аутентифицирован, а если что, то сессию всегда можно удалить на сервере и кука станет невалидна и пользователь не сможет ничего сделать без повторной аутентификации.
Соответственно пара вопросов в сравнении с аутентификацией NTLM/Kerberos:
1.Хотелось бы узнать ваше мнение по поводу работы по cookies для web-приложений.
2.У вас написано, что "Если токена нет или он просрочен — редиректим на страницу входа". Это хорошо работает, когда у вас в форме на странице один-два параметра, которые не трудно ввести повторно, но если параметров в форме, например, несколько десятков, то как тогда бороться с этими неожиданными перенаправлениями на аутентификацию? (пользователь же вынужен покинуть страницу с исходной формой ввода). Т.е. для одностраничного web-приложения использование JWT создаёт неудобства (это и пользователю создаёт проблему из-за непредсказуемых переходов и разработчику web-приложения - всё время надо контролировать/проверять ответы от сервера + ещё и следить, что вдруг какой-то админ/друг_админа выдал себе бессрочный JWT-токен, то попробуй поймай его с таким токеном).
P.S.
Немного маловато про realm-ы написано. Realm-ы позволяют автоматически аутентифицировать пользователей в других приложениях этого realm, если пользователь аутентифицирован хотя бы в одном приложении конкретного realm. Это очень удобная фича, которая существенно упрощает аутентификацию в web-приложениях в корпоративной среде. Например, если в двух вкладках одного браузера открыты две формы ввода логина и пароля, то при вводе credentials в одной вкладке произойдёт автоматический вход в приложение в другой вкладке (при открытом окне ввода логина и пароля):
Считаю, что не пора. А куда делись проценты, которые платят вообще все?
Закон Яровой? Анальное сканирование сетчатки при покупке симки? А, не! они же для чего-то другого!?
Опять эта дата - 2030 год! Только за сегодня это второй или третий раз уже. Никто не забыл ещё, что будет в 2030 году? Такая интрига! Чтобы ещё притянуть за уши к 2030 году?
Сразу вспоминаю российский сыр. Как только запретили ввоз импортных сыров, так сразу выросла... цена на "отечественные" сырные продукты. И больше ничего! А конкурировать между собой отечественные производители не стали вообще.
отличный рассказ на тему «Как впихнуть невпихуемое».
Никто не забыл, что будет в 2030 году? Давно не напоминали, что будет в 2030 году! Что-то давно не было анонсов 2030 года. Новость и интрига 2030 года нарастает с каждым днём.