Интересно, кому-то аппрувнули акк? На главной есть даже знакомые лица, однако, еще 25 октября пришло письмо с заголовком "Ваша анкета на рассмотрении. YNDX Family помнит о вас". И тишина. Видать, все же забыли. Кажется, у ребят не взлетело. Может, Яндекс неожиданно запротестовал против использования своего внутреннего Staff в таких целях?
Если не секрет, почему в кабинетах где парнопрограммируют, кресла развернуты друг от друга на 90 градусов? Это фишка такая? Неудобно ведь немного вместе на один и тот же код смотреть.
Присоединяюсь к вопросу про JCOP-карты, интересно.
Про JCOP я ответил чуть выше.
А вообще, посоветуйте, с каких ресурсов начинать как новичку в мире java карт?
Сложно сказать. Я начинал с мануала по картам egate. Они были достаточно примитивны, а мануал — достаточно верхнеуровнев, чтобы зайти в качестве helloworld. Потом я переключился на доку по GlobalPlatform, однако, карты иногда по-своему реализуют некоторые части стандарта, так что мануал рядом держать все равно стоит.
Можно в Амазоне поискать книжки по программированию смарт-карт, но я не читал ни одну, так что не могу тут ничего посоветовать. Есть шанс, что книга с названием "Smartcard programming" или что-то в этом роде будет совсем не про те карты, что у вас на руках.
Честно говоря, никогда не работал с такими. Я уже достаточно давно не имею дела с картами в целом. Для меня это уже в прошлом. Могу попробовать высказать догадки.
В частности, интересует, как их программировать
Полагаю, что обычным способом. Бесконтактный интерфейс — суть транспортный протокол. Его сложность должна скрываться драйверами ридеров.
насколько полный есть доступ к радиоинтерфейсу
Думаю, будет зависеть от ридера. Я не помню, чтобы в WinAPI было хоть что-то для работы с радиоинтерфейсом напрямую.
как выглядит эмуляция mifare
Если мне не изменяет память, в картах, с которыми работал я, ее не было вообще. Нужно смотреть в доку по конкретному варианту карт. JCOP — это ведь не модель карты, а только стандарт их разработки.
можно ли перезаписывать апплеты через бесконтактный интерфейс
Опять же, думаю, все будет зависеть от ридера. Ограничений программного уровня я тут не вижу. Протокол связи с картой не имеет значения. Для ее программирования в нее нужно посылать команды сильно похожие на те, что предназначены просто для общения с ней.
Я верно понимаю, что вы только что фактически выложили в открытый доступ личные адреса проживания огромного количества ни в чем не повинных людей? Вы дали компании только пятницу на закрытие уязвимости из-за не слишком сообразительного сотрудника в службе поддержки?
Уязвимость касается режима работы в роли клиента Wi-Fi. Я думаю, для семейства кинетиков последует фикс, но позже. Все же некоторые модели работают как клиенты Wi-Fi.
Еще было бы неплохо, если бы заработал полнотекстовый поиск по переписке. В процессе поиска кандидатов пишешь очень много и часто. А потом сложно найти именно того, кто нужен. В "избранное" ведь чат не добавишь....
1) Правильно я понимаю, что вы используете схему криптосистемы, как в bcrypt, где перебор хэшей затрудняется путём усложнения хэш-функции таким образом, что время её расчёта становится намного дольше?
Используется схема криптосистемы как в bcrypt, где перебор хешей усложняется таким образом, чтобы время расчета группы таких хешей на GPU максимально приближалось ко времени расчета хешей на CPU. Яндекс при логине пользователя всегда считает хеши на CPU. Посчитать нужно 1 хеш на пользователя. Хакеры считают на GPU сразу много, чтобы было быстрее. Профит в затруднении расчетов хешей именно на GPU для хакеров.
вы действительно разработали криптосистему
Яндекс не является разработчиком криптосистемы Аргон. Об этом написано в статье.
Но первая глобальная проблема для любого более-менее серьёзного проекта — то, что у вас нет доступа к серверным логам вследствие политики безопасности. Иногда вообще нет никакого доступа. А иногда можно попросить участок, но надо ждать. Иногда это 30 минут, иногда день.
Мне кажется, на более-менее серьезных проектах такие проблемы недопустимы. У вас может не быть непосредственного доступа на сервер, но доступ к логам быть обязан. Для этого можно агрегировать логи в ELK стек. Или как-то еще централизованно хранить. Но ситуации, при которой логов нужно ждать ДЕНЬ(!) возникать в работе не должно. А если такая ситуация возникает с пугающей регулярностью, надо все бросать и немедленно принимать меры.
YNDX Family: рассказываем, что это такое, зачем и почему сейчас
Интересно, кому-то аппрувнули акк? На главной есть даже знакомые лица, однако, еще 25 октября пришло письмо с заголовком "Ваша анкета на рассмотрении. YNDX Family помнит о вас". И тишина. Видать, все же забыли. Кажется, у ребят не взлетело. Может, Яндекс неожиданно запротестовал против использования своего внутреннего Staff в таких целях?
Аэрохоккей, моббинг и котики — коворкинг разработчиков Мир Plat.Form (НСПК)
Если не секрет, почему в кабинетах где парнопрограммируют, кресла развернуты друг от друга на 90 градусов? Это фишка такая? Неудобно ведь немного вместе на один и тот же код смотреть.
Использование Java смарт-карт для защиты ПО. Глава 4. Пишем первый апплет
Про JCOP я ответил чуть выше.
Сложно сказать. Я начинал с мануала по картам egate. Они были достаточно примитивны, а мануал — достаточно верхнеуровнев, чтобы зайти в качестве helloworld. Потом я переключился на доку по GlobalPlatform, однако, карты иногда по-своему реализуют некоторые части стандарта, так что мануал рядом держать все равно стоит.
Можно в Амазоне поискать книжки по программированию смарт-карт, но я не читал ни одну, так что не могу тут ничего посоветовать. Есть шанс, что книга с названием "Smartcard programming" или что-то в этом роде будет совсем не про те карты, что у вас на руках.
Использование Java смарт-карт для защиты ПО. Глава 4. Пишем первый апплет
Честно говоря, никогда не работал с такими. Я уже достаточно давно не имею дела с картами в целом. Для меня это уже в прошлом. Могу попробовать высказать догадки.
Полагаю, что обычным способом. Бесконтактный интерфейс — суть транспортный протокол. Его сложность должна скрываться драйверами ридеров.
Думаю, будет зависеть от ридера. Я не помню, чтобы в WinAPI было хоть что-то для работы с радиоинтерфейсом напрямую.
Если мне не изменяет память, в картах, с которыми работал я, ее не было вообще. Нужно смотреть в доку по конкретному варианту карт. JCOP — это ведь не модель карты, а только стандарт их разработки.
Опять же, думаю, все будет зависеть от ридера. Ограничений программного уровня я тут не вижу. Протокол связи с картой не имеет значения. Для ее программирования в нее нужно посылать команды сильно похожие на те, что предназначены просто для общения с ней.
Использование Java смарт-карт для защиты ПО. Глава 4. Пишем первый апплет
Этот апплет — "пример", как и указано в его заголовке. Поэтому, конечно, в прод его пускать не нужно.
Вычисляем точный адрес любого пользователя по номеру телефона или адресу электронной почты
Я верно понимаю, что вы только что фактически выложили в открытый доступ личные адреса проживания огромного количества ни в чем не повинных людей? Вы дали компании только пятницу на закрытие уязвимости из-за не слишком сообразительного сотрудника в службе поддержки?
Предметно-ориентированные языки для бизнес-приложений — пользовательские интерфейсы
Какое отношение SQL имеет к проектированию UI, пусть и для данных?
SQL Server поддерживает регулярные выражения при проверке ограничений, не всегда нужны триггеры
Не понимаю, зачем выдавать LIKE шаблон за регулярку? Попробуйте вкус фейла, воспользовавшись любой фичей регулярок, выходящей за список.
Обнаружены критичные уязвимости в протоколе WPA2 — Key Reinstallation Attacks (KRACK)
Уязвимость касается режима работы в роли клиента Wi-Fi. Я думаю, для семейства кинетиков последует фикс, но позже. Все же некоторые модели работают как клиенты Wi-Fi.
Ускоряем vagrant shared-folder на Windows хосте (UPD. не всё так гладко)
RSync механизм попробуйте: https://www.vagrantup.com/docs/synced-folders/rsync.html
Улучшаем связь между работодателями и соискателями на «Моём круге» (переписка + контактные лица компании)
Еще было бы неплохо, если бы заработал полнотекстовый поиск по переписке. В процессе поиска кандидатов пишешь очень много и часто. А потом сложно найти именно того, кто нужен. В "избранное" ведь чат не добавишь....
Так ли легко переехать в Германию? Моя личная статистика поиска работы
Ну так статья ж не про это ;)
Как правильно хешировать пароли в высоконагруженных сервисах. Опыт Яндекса
Используется схема криптосистемы как в bcrypt, где перебор хешей усложняется таким образом, чтобы время расчета группы таких хешей на GPU максимально приближалось ко времени расчета хешей на CPU. Яндекс при логине пользователя всегда считает хеши на CPU. Посчитать нужно 1 хеш на пользователя. Хакеры считают на GPU сразу много, чтобы было быстрее. Профит в затруднении расчетов хешей именно на GPU для хакеров.
Яндекс не является разработчиком криптосистемы Аргон. Об этом написано в статье.
Как правильно хешировать пароли в высоконагруженных сервисах. Опыт Яндекса
Они, по-моему, пока ревертнули этот коммит: https://github.com/php/php-src/pull/1997/commits/1bc381848add707db42671b3c33e1082aa3e7f93
Как правильно хешировать пароли в высоконагруженных сервисах. Опыт Яндекса
Нельзя сказать, что устарел полностью, но Аргон его в какой-то степени превосходит: https://crypto.stackexchange.com/questions/30785/password-hashing-security-of-argon2-versus-bcrypt-pbkdf2
Мнение PHP-мэйтейнеров красноречиво: https://wiki.php.net/rfc/argon2_password_hash#resolved_inclusion_on_74
Управление разработкой технологически сложных интернет-приложений в условиях острой нехватки времени
Не статья, а золотая скрижаль. Большое спасибо!
Paraquire, или Перестаньте доверять библиотекам
Вы не анализировали изменения в быстродействии скриптов с paraquire и без?
Как мы ловим Deadlock`и на PostgreSQL и чиним их
… но через день после запроса?
Как мы ловим Deadlock`и на PostgreSQL и чиним их
Но ведь ее можно удалить из логов перед отправкой, верно?
Как мы ловим Deadlock`и на PostgreSQL и чиним их
Мне кажется, на более-менее серьезных проектах такие проблемы недопустимы. У вас может не быть непосредственного доступа на сервер, но доступ к логам быть обязан. Для этого можно агрегировать логи в ELK стек. Или как-то еще централизованно хранить. Но ситуации, при которой логов нужно ждать ДЕНЬ(!) возникать в работе не должно. А если такая ситуация возникает с пугающей регулярностью, надо все бросать и немедленно принимать меры.