Я до сих пор использую 2.2.1. В свое время уходил на третью версию, но она более глючной была, а когда они эти глюки поправили - добавили всякую рекламу и другие нехорошие вещи...
Про tixati еще не слышал, остальные вроде бы все попробовал - и вот честно, они все ни по ресурсам, ни по интерфейсу просто не конкуренты uTorrent даже второй версии. Ну т.е. пока у тебя задача "скачать один торрент и закрыть" - то там всё ок. Но когда у тебя их тысяча и большая часть просто месяцами ждет сида - то нужны хотя бы нормальные категории/метки, чего в большинстве или нет, или крайне неудобно сделано. И вот с одной стороны - хочется уже на что-то новое уйти, там же всякое интересное изобрели за эти годы. А с другой - переходить просто не на что, всё кривое и неудобное. P.S.: Судя по картинкам в гугле - по интерфейсу tixati опять-таки на пару торрентов рассчитан...
Ну я их оба пробую использовать - исключительно ради фич поиска в dht и склеивания одинаковых файлов из разных торрентов. Но постоянно хочется материться. Особенно, когда рядом работает древний uTorrent с 2000+ торрентами и ему хватает 140 мб оперативки на всё...
На каждый форум доступ через OAuth Госуслуг? Если будет выбор зайти на Хабр по небезопасному имени-паролю или "удобно и безопасно через Госуслуги", я продолжу использовать первый способ.
Так суть в том, что сейчас у вас есть только один вариант - неудобно и небезопасно. А второго варианта вообще нет)
Зачем адрес доставки брать из Госуслуг вообще непонятно. Может я родителям жены или кому-то подарок заказываю.
Ну так а кто-то заказывает исключительно домой и ему давно уже надоело на каждом новом сайте один и тот же адрес вводить.
И вообще, идея же в том, что ваши данные не обязательно отдавать сервисам, которые их должны использовать - если эти сервисы всего лишь посредники, а не конечные в цепочке. Тогда и утекать при взломах будет просто нечему. Условно, вы точно так же можете передать вместо перс. данных их ид на сайт с мед.анализами, но реальные ваши данные будет знать только сайт больницы. Не упирайтесь только в адрес доставки )
Максимум - подтвердить, что да, входит тот самый человек, что создавал аккаунт. Даже имя-фамилию Госуслуги не должны передавать.
Должны - по моему желанию. Где-то я хочу реальные ФИО отобразить, где-то нет. Зависит от конечного сервиса же - где-нибудь на банковском сайте или в страховке довольно странно будет использовать ник вместо ФИО.
А уж имя/адресдля этого ID я в профиле на сайте сам укажу, причем какие сочту нужным.
Ну да. Никто ж и не предлагал всех теперь публично по реальным ФИО отображать)
Причем ID должен генериться на сайте и с ID на других сайтах не коррелироваться.
Само собой. Но с другой стороны, никто не должен мешать вам забить какой-то свой уникальный ID/ник в госуслугах и чтобы он автоматом мог подставиться при регистрации (по вашем желанию опять-таки, не принудительно).
Да что ж всех сразу уносит в сторону "запретим все остальные методы авторизации"?
Еще раз повторю: есть куча сервисов, где необходимо иметь жестко контролируемый доступ. Банки, госуслуги, налоговая, почта, телефон и т.д. и т.п. При этом популярные сегодня методы авторизации тупо неудобны вообще во всём (про безопасность я даже говорить не хочу).
Вон, на сайт налоговой сейчас можно через сертификат электронной подписи войти - но сам процесс ужасен же. Представьте, что вместо вот этого вот доп. софта (платного!) и возни с юсб-флешками вы просто прислоняете к универсальному считывателю ваш ключ - и всё, вы залогинены. Не надо ничего настраивать, не надо думать как оно там работает. Вам надо подписать документ? Вы прикладываете ключ к считывателю - и он подписан. Одно движение! А не как сейчас - сто тыщщ приседаний, причем на любом шаге что-то может сломаться. Причем никто же не запрещает на одной такой железке иметь несколько разных ключей - ещё и с разными провайдерами OAuth.
Ну и цифровой концлагерь давно уже тут: вы с кучи сервисов слезть не сможете, даже если очень хотите. Потому что альтернатив им или совсем нет, или они бесполезны.
Ну я склоняюсь к идее аппаратного ключа. Что-то в формате кольца или пластиковой карты. Выпускает это государство, как паспорт. Ну и, соответственно, авторизация/регистрация тоже идет через единый государственный OAuth (это не значит, что другие способы авторизации/регистрации надо запретить!). Оно же передает сервисам отдельные перс данные - причем что именно передавать сертифицируется отдельно и, например, чтобы добраться до адреса доставки, сервис должен пройти соотв. проверки со стороны гос.структур - ну, в смысле надежности хранения и обращения с этими данными. Причемчасть данных можно передавать только в виде ид так, чтобы, например, интернет-магазин адрес доставки не видел (т.к. сертификацию не прошел), но мог его передать дальше в службу доставки (которая эту сертификацию прошла).
Я смотрю всякое очень сильно разное - поэтому подписок много. Проблема рекомендательных алгоритмов в том, что они не учитывают категории того, что смотрит пользователь и воспринимают любой контент одинаково, не пытаясь предлагать его одновременно из разных категорий. Это не только на ютубе так, это везде. В итоге и получается, что сегодня я смотрел китайский сериал в подписках - и теперь у меня все рекомендации перекошены в сторону этих каналов, а завтра я подписался на каналы про пулеметы и теперь у меня вообще нет сериалов и всё в пулемётах.
При этом, в теории, я всё ещё могу зайти в раздел "Подписки", но там те же китайские каналы в сутки добавляют реально сотнями видео (и это только с парочки каналов!) - поэтому я и перестал этим разделом пользоваться, там просто тонны мусора, среди которых есть хорошее, но добраться до него нельзя. Ну, или надо всеми днями только ролики в подписках и смотреть.
По большей части тут заслуга самого ютуба - подписки там работают крайне криво. Если идти в общую папку с подписками, то там 100500 роликов в день и перебрать их чисто физически невозможно. А если смотреть рекомендации с главной, то там они постоянно мигрируют по текущим интересам полностью забивая на старые подписки.
все предлагаемые сейчас схемы безопасности - отвратительны, неудобны и не безопасны. Причем каждое новое "улучшение" этих схем безопасности по факту безопасность только снижает (вспомним переход с паролей на "безопасные" 4-значные пин-коды в банковских приложениях или в винде)
за корректность работы схемы безопасности ответственности не несет вообще никто. Т.е., в принципе, внутри якобы безопасного сервиса может сидеть софт десятилетней давности с кучей известных дырок - и никто вообще в принципе за это не отвечает и даже государство сегодня не сможет такой сервис принудить что-то исправить
А еще можно вспомнить, что люди всегда идут исключительно по самому легкому пути, поэтому вот это ваше предложение "не включать" фишечки - оно не сработает у большинства...
И попробую сформулировать по-другому: одно дело когда у вас, например, почта в начале 2000х была "просто прикольной штукой", потеря которой ни на что не влияла вообще. И совсем другое, когда на почтовый аккаунт оказываются завязаны куча критичных и дорогих сервисов (причем в некоторых даже емейл сменить нельзя) - от банков, до того же Стима, где у некоторых библиотека на 100к руб и более (я уж не говорю про всякие ММО, где персонаж в лям ценой - не что-то прям необычное). Или вот я ещё помню времена, когда люди просто постоянно телефонные номера меняли - разные операторы, разные тарифы и все бегали за выгодой. Сегодня такие тоже есть, но их мало - и телефонный номер уже сам по себе стал ценной собственностью, которую нельзя потерять.
При всем при этом, отношение к безопасности этих базовых сервисов по-прежнему как в начале 2000х. Имхо, давно уже пора с этим хоть что-то делать - и за такие вещи все-таки должно отвечать государство, а не частник (которому важнее прибыль).
Ну так по-отдельности каждая пара сайтов с этими способами восстановления доступов выглядит нормально. Но когда ты начинаешь смотреть на всю эту кучку скопом, то получается какая-то фигня...
Вообще, давно уже пора на критичных сервисах (банки, госуслуги, почта) авторизовываться аппаратным ключом, выдаваемым госорганами так же, как паспорт. С контролем этой авторизации соответствующими гос.органами - которые будут активно ловить любого, кто хотя бы попытается этот сервис авторизации пощупать на предмет взлома.
Все эти вот подходы с паролями или смс по факту больше не работают и не являются надежными. Это же просто вопрос времени, когда твой пароль утечет с какого-то из сайтов или этот сайт просто взломают через какую-нибудь дырку. Причем потеря доступов в почту или телефонного номера - это ж фактически потеря вообще всего ценного, что у вас есть. Через них сейчас можно попасть вообще куда угодно, на любой сервис.
Причем сайтов дофига, делать уникальные пароли для каждого - нереально. Использовать спец.софт для этого - создавать себе проблемы при переходе между железками, а если этот софт использует облачную синхронизацию, то мы опять-таки получаем одну-единственную точку отказа.
Так проблема не в OAuth, а в том, что тут, по сути, второй фактор уже исчезает - достаточно влезть хотя бы в один сервис в цепочке, чтобы получить доступы вообще во все остальные, т.к. они все друг на друга завязаны для восстановления этих доступов.
Т.е. госуслуги будут использовать для восстановления пароля почту, для восстановления которой нужен доступ на госуслуги, я правильно понял? ) Безопасно... А если ещё вспомнить, что доступы в ЛК мобильных операторов - тоже через те же самые госуслуги...
Тут есть другой нюанс: например, на ксеонах время переключения в режим турбобуста в разы больше, чем на десктопных процессорах. Если у нас "холодный" процессор - то, значит, и нагрузки на нём, считай, нет. Т.е. в итоге на таком малонагруженном сервере с очень короткими всплесками нагрузки на процессор получится так, что он будет постоянно сидеть на базовой частоте, которая очень маленькая на ксеонах. В общем, и греть нельзя и не греть нельзя)
Да-да, теперь осталось только выяснить, какую же именно из версий этого стандарта поддерживают устройства с обоих сторон кабеля и сам этот кабель. Причем просто визуально это не определить.
Ага, Яндекс бы нагнуть. Отключал "бесплатно" подключенный Плюс, который они мне даже не спрашивая прям сходу впихнули - устал по страницам перемещаться, подтверждать, что "да, точно отключаем". И каждый раз кнопочка как можно незаметнее и подальше спрятана. Причем они потом еще письмами догоняли, ну типа вдруг я всё-таки случайно отключил, ага.
С таким подходом эта компания вряд ли от меня когда-нибудь деньги получит. Ну только если прям совсем альтернатив не будет, даже более дорогих.
Ну про историю шаттлов и SLS рекомендую почитать. Там как раз прям наглядно показаны именно эти последствия такого подхода.
Еще мне истории про индустриальных археологов в США нравятся - как они пытаются выяснить, как вообще устроен работающий завод. При том, что компании, которая его спроектировала не существует уже лет 60, а бОльшая часть тех старых разработчиков на пенсии или уже умерли. Ну и остатки документации созданы по стандартам, которые за прошедшие годы много раз поменялись, поэтому те старые чертежи уже никто не может прочитать.
Имхо, США вот прям наглядно демонстрируют, почему в некоторые вещи государство обязательно должно лезть и контролировать, как бы все не возмущались.
Я до сих пор использую 2.2.1. В свое время уходил на третью версию, но она более глючной была, а когда они эти глюки поправили - добавили всякую рекламу и другие нехорошие вещи...
Про tixati еще не слышал, остальные вроде бы все попробовал - и вот честно, они все ни по ресурсам, ни по интерфейсу просто не конкуренты uTorrent даже второй версии. Ну т.е. пока у тебя задача "скачать один торрент и закрыть" - то там всё ок. Но когда у тебя их тысяча и большая часть просто месяцами ждет сида - то нужны хотя бы нормальные категории/метки, чего в большинстве или нет, или крайне неудобно сделано.
И вот с одной стороны - хочется уже на что-то новое уйти, там же всякое интересное изобрели за эти годы. А с другой - переходить просто не на что, всё кривое и неудобное.
P.S.: Судя по картинкам в гугле - по интерфейсу tixati опять-таки на пару торрентов рассчитан...
Да вон, NFC есть же. В общем, с запитыванием чипа в момент взаимодействия со считывателем - как в тех же банковских картах при оплате.
Ну я их оба пробую использовать - исключительно ради фич поиска в dht и склеивания одинаковых файлов из разных торрентов. Но постоянно хочется материться. Особенно, когда рядом работает древний uTorrent с 2000+ торрентами и ему хватает 140 мб оперативки на всё...
И двоеточие! Правильно писать "P.S.: ..."
Ну он хотя бы не выжирает 3+ гб оперативки и не начинает дико лагать пока его не перезапустишь, как BiglyBT...
Так суть в том, что сейчас у вас есть только один вариант - неудобно и небезопасно. А второго варианта вообще нет)
Ну так а кто-то заказывает исключительно домой и ему давно уже надоело на каждом новом сайте один и тот же адрес вводить.
И вообще, идея же в том, что ваши данные не обязательно отдавать сервисам, которые их должны использовать - если эти сервисы всего лишь посредники, а не конечные в цепочке. Тогда и утекать при взломах будет просто нечему. Условно, вы точно так же можете передать вместо перс. данных их ид на сайт с мед.анализами, но реальные ваши данные будет знать только сайт больницы. Не упирайтесь только в адрес доставки )
Должны - по моему желанию. Где-то я хочу реальные ФИО отобразить, где-то нет. Зависит от конечного сервиса же - где-нибудь на банковском сайте или в страховке довольно странно будет использовать ник вместо ФИО.
Ну да. Никто ж и не предлагал всех теперь публично по реальным ФИО отображать)
Само собой. Но с другой стороны, никто не должен мешать вам забить какой-то свой уникальный ID/ник в госуслугах и чтобы он автоматом мог подставиться при регистрации (по вашем желанию опять-таки, не принудительно).
Да что ж всех сразу уносит в сторону "запретим все остальные методы авторизации"?
Еще раз повторю: есть куча сервисов, где необходимо иметь жестко контролируемый доступ. Банки, госуслуги, налоговая, почта, телефон и т.д. и т.п. При этом популярные сегодня методы авторизации тупо неудобны вообще во всём (про безопасность я даже говорить не хочу).
Вон, на сайт налоговой сейчас можно через сертификат электронной подписи войти - но сам процесс ужасен же. Представьте, что вместо вот этого вот доп. софта (платного!) и возни с юсб-флешками вы просто прислоняете к универсальному считывателю ваш ключ - и всё, вы залогинены. Не надо ничего настраивать, не надо думать как оно там работает. Вам надо подписать документ? Вы прикладываете ключ к считывателю - и он подписан. Одно движение! А не как сейчас - сто тыщщ приседаний, причем на любом шаге что-то может сломаться. Причем никто же не запрещает на одной такой железке иметь несколько разных ключей - ещё и с разными провайдерами OAuth.
Ну и цифровой концлагерь давно уже тут: вы с кучи сервисов слезть не сможете, даже если очень хотите. Потому что альтернатив им или совсем нет, или они бесполезны.
Ну я склоняюсь к идее аппаратного ключа. Что-то в формате кольца или пластиковой карты. Выпускает это государство, как паспорт. Ну и, соответственно, авторизация/регистрация тоже идет через единый государственный OAuth (это не значит, что другие способы авторизации/регистрации надо запретить!). Оно же передает сервисам отдельные перс данные - причем что именно передавать сертифицируется отдельно и, например, чтобы добраться до адреса доставки, сервис должен пройти соотв. проверки со стороны гос.структур - ну, в смысле надежности хранения и обращения с этими данными. Причемчасть данных можно передавать только в виде ид так, чтобы, например, интернет-магазин адрес доставки не видел (т.к. сертификацию не прошел), но мог его передать дальше в службу доставки (которая эту сертификацию прошла).
Я смотрю всякое очень сильно разное - поэтому подписок много. Проблема рекомендательных алгоритмов в том, что они не учитывают категории того, что смотрит пользователь и воспринимают любой контент одинаково, не пытаясь предлагать его одновременно из разных категорий. Это не только на ютубе так, это везде. В итоге и получается, что сегодня я смотрел китайский сериал в подписках - и теперь у меня все рекомендации перекошены в сторону этих каналов, а завтра я подписался на каналы про пулеметы и теперь у меня вообще нет сериалов и всё в пулемётах.
При этом, в теории, я всё ещё могу зайти в раздел "Подписки", но там те же китайские каналы в сутки добавляют реально сотнями видео (и это только с парочки каналов!) - поэтому я и перестал этим разделом пользоваться, там просто тонны мусора, среди которых есть хорошее, но добраться до него нельзя. Ну, или надо всеми днями только ролики в подписках и смотреть.
По большей части тут заслуга самого ютуба - подписки там работают крайне криво. Если идти в общую папку с подписками, то там 100500 роликов в день и перебрать их чисто физически невозможно. А если смотреть рекомендации с главной, то там они постоянно мигрируют по текущим интересам полностью забивая на старые подписки.
Проблем две:
все предлагаемые сейчас схемы безопасности - отвратительны, неудобны и не безопасны. Причем каждое новое "улучшение" этих схем безопасности по факту безопасность только снижает (вспомним переход с паролей на "безопасные" 4-значные пин-коды в банковских приложениях или в винде)
за корректность работы схемы безопасности ответственности не несет вообще никто. Т.е., в принципе, внутри якобы безопасного сервиса может сидеть софт десятилетней давности с кучей известных дырок - и никто вообще в принципе за это не отвечает и даже государство сегодня не сможет такой сервис принудить что-то исправить
А еще можно вспомнить, что люди всегда идут исключительно по самому легкому пути, поэтому вот это ваше предложение "не включать" фишечки - оно не сработает у большинства...
И попробую сформулировать по-другому: одно дело когда у вас, например, почта в начале 2000х была "просто прикольной штукой", потеря которой ни на что не влияла вообще. И совсем другое, когда на почтовый аккаунт оказываются завязаны куча критичных и дорогих сервисов (причем в некоторых даже емейл сменить нельзя) - от банков, до того же Стима, где у некоторых библиотека на 100к руб и более (я уж не говорю про всякие ММО, где персонаж в лям ценой - не что-то прям необычное). Или вот я ещё помню времена, когда люди просто постоянно телефонные номера меняли - разные операторы, разные тарифы и все бегали за выгодой. Сегодня такие тоже есть, но их мало - и телефонный номер уже сам по себе стал ценной собственностью, которую нельзя потерять.
При всем при этом, отношение к безопасности этих базовых сервисов по-прежнему как в начале 2000х. Имхо, давно уже пора с этим хоть что-то делать - и за такие вещи все-таки должно отвечать государство, а не частник (которому важнее прибыль).
Ну так по-отдельности каждая пара сайтов с этими способами восстановления доступов выглядит нормально. Но когда ты начинаешь смотреть на всю эту кучку скопом, то получается какая-то фигня...
Вообще, давно уже пора на критичных сервисах (банки, госуслуги, почта) авторизовываться аппаратным ключом, выдаваемым госорганами так же, как паспорт. С контролем этой авторизации соответствующими гос.органами - которые будут активно ловить любого, кто хотя бы попытается этот сервис авторизации пощупать на предмет взлома.
Все эти вот подходы с паролями или смс по факту больше не работают и не являются надежными. Это же просто вопрос времени, когда твой пароль утечет с какого-то из сайтов или этот сайт просто взломают через какую-нибудь дырку. Причем потеря доступов в почту или телефонного номера - это ж фактически потеря вообще всего ценного, что у вас есть. Через них сейчас можно попасть вообще куда угодно, на любой сервис.
Причем сайтов дофига, делать уникальные пароли для каждого - нереально. Использовать спец.софт для этого - создавать себе проблемы при переходе между железками, а если этот софт использует облачную синхронизацию, то мы опять-таки получаем одну-единственную точку отказа.
Так проблема не в OAuth, а в том, что тут, по сути, второй фактор уже исчезает - достаточно влезть хотя бы в один сервис в цепочке, чтобы получить доступы вообще во все остальные, т.к. они все друг на друга завязаны для восстановления этих доступов.
Т.е. госуслуги будут использовать для восстановления пароля почту, для восстановления которой нужен доступ на госуслуги, я правильно понял? ) Безопасно... А если ещё вспомнить, что доступы в ЛК мобильных операторов - тоже через те же самые госуслуги...
Тут есть другой нюанс: например, на ксеонах время переключения в режим турбобуста в разы больше, чем на десктопных процессорах. Если у нас "холодный" процессор - то, значит, и нагрузки на нём, считай, нет. Т.е. в итоге на таком малонагруженном сервере с очень короткими всплесками нагрузки на процессор получится так, что он будет постоянно сидеть на базовой частоте, которая очень маленькая на ксеонах.
В общем, и греть нельзя и не греть нельзя)
Да-да, теперь осталось только выяснить, какую же именно из версий этого стандарта поддерживают устройства с обоих сторон кабеля и сам этот кабель. Причем просто визуально это не определить.
Ага, Яндекс бы нагнуть. Отключал "бесплатно" подключенный Плюс, который они мне даже не спрашивая прям сходу впихнули - устал по страницам перемещаться, подтверждать, что "да, точно отключаем". И каждый раз кнопочка как можно незаметнее и подальше спрятана. Причем они потом еще письмами догоняли, ну типа вдруг я всё-таки случайно отключил, ага.
С таким подходом эта компания вряд ли от меня когда-нибудь деньги получит. Ну только если прям совсем альтернатив не будет, даже более дорогих.
Да все давно уже поняли, что нам надо всем 145+ млн просто собраться и уехать в другую страну /s
Ну про историю шаттлов и SLS рекомендую почитать. Там как раз прям наглядно показаны именно эти последствия такого подхода.
Еще мне истории про индустриальных археологов в США нравятся - как они пытаются выяснить, как вообще устроен работающий завод. При том, что компании, которая его спроектировала не существует уже лет 60, а бОльшая часть тех старых разработчиков на пенсии или уже умерли. Ну и остатки документации созданы по стандартам, которые за прошедшие годы много раз поменялись, поэтому те старые чертежи уже никто не может прочитать.
Имхо, США вот прям наглядно демонстрируют, почему в некоторые вещи государство обязательно должно лезть и контролировать, как бы все не возмущались.