Акцентирую внимание на самом важном (в дополнение к сказанному turbanoff), цена может ЗНАЧИТЕЛЬНО отличаться от ожидаемой вами. Поэтому, когда имеете дело с биржей – всегда ставьте лимитированные заявки. Если есть хоть одна причина по которой нужно пользоваться ценой по рынку – надеюсь меня поправят :)
А вам не кажется, что к оригинальному вопросу ожидался не совсем такой ответ. Возможно там хотели услышать в том числе и про накладные расходы всего стека?
В рекламе используют понятие инфоповод. На мой взгляд плохой получился инфоповод, бессмысленный.
Проблема разобьётся о задержки на разных уровнях, которые как мы знаем не константа. Как правильно заметили, нет смысла сравнивать cleartext пароли. Что-то более длинное не даст вам точного понимания, где именно в строке ошибка, в 18 или 24 символе? Вектор есть, но уж очень лабораторные условия должны быть для его реализации.
Единственное, как я могу повлиять на этот спойлер я сделал. Хотя вы, вероятно, не знакомы со значением слова спойлер.
И да, я пишу этот комментарий, а статью не читал.
Вроде никто не спорит. Можно и синтаксисом SQL всё сделать.
Дропать данные врядли вы будете, имея хоть малую надежду того, что эти данные возможно еще понадобятся. Скорее всего эти данные будут как то преобразованы, перенесены, конвертированы, выгружены в конце концов. Именно это и позволяет сделать миграция, описать всё это используя Ruby (в случае Rails). Кстати SQL код тоже вполне работает в миграциях.
А вот организацию работы, особенно в команде, с вашим подходом я себе представляю очень напряженно. Понятно, что можно, но не так удобно. Ведь по сути вы будете делать тоже самое, просто удобным вам способом. Вы ведь будете хранить состояние базы в определенный момент времени. А где-то даже сами данные, судя по тому, что вы пишете.
а что при этом делать с самими данными? В миграции рельсы можно прописать как будут вести себя данные при прохождении этой самой миграции как в одну, так и в другую сторону. Мне кажется рано или поздно с дампами вы сами себя обмануть можете, а не вы, так кто-то из команды.
Человеческий фактор и невнимательность, судя по скринам.
Если не паниковать во время получения подобных сообщений, можно реагировать адекватно, обращая внимание на детали: доменные имена, SSL ключи (их наличие и путь до сертификационных центров), номера телефонов и email адреса.
Иначе говоря этот взлом мало чем отличается от sms типа: «Ваш сын попал в полицию, нужно 100500 рублей перевести на телефон такой-то», это сработает на людях либо не имеющих ценных данных, либо потерявших страх.
Страх будет приобретен обратно, как я и писал выше, только ПОСЛЕ потери. И внимание вернется и параноик включится.
Часто взлом и расчитан на простака.
Linux-ботнет — открытый ssh для root и слабый пароль. Сломанный WiFi — слабенький ключик. Сайт на Wordpress стандартный адрес админки и перебор логина admin (хотя по вторичным факторам найти действующих пользователей может быть проще). Это всё нацеленно на массовость. Понятно, если возьмутся целенаправленно мало кто выстоит, но на массовости можно проскочить незамеченным. Пока ты незаметный :)
Внутренний контроллируемый параноик это ведь хорошо, научиться с ним жить можно, зато он лишний раз маякнет если чего его смущает. Проще называть это интуицией, тогда не так болезненно звучит.
Я не параноик. Я человек с развитой интуицией.
Как и написали выше я нигде не пишу про то, что НУЖНО привязывать к телефону, двухфакторная ≠ sms, она может быть через ключ One Time Password (OTP) аппаратный или в виде приложения. Печаль в том, что по всей видимости нужно носить при этом 2 телефона. 1 обычный, а второй с ключами, чтоб если основной заблокируется/украдется – воспользоваться вторым было возможно, а вот аппаратные не понятно где использовать и как.
Вот есть у меня OTP устройство, генерирует пароли, но это банковская игрушка, остальные ее не особо то и поддерживают. Яндекс позволяет включить генератор только через свое приложение Яндекс.Ключи, если я правильно помню.
Google Authenticator к ним привязать не удалось.
Альфабанк позволяет использовать подобное приложение, но платно. Получается уже 3 разных приложения.
Причем Google Authenticator открывается без пароля, не знаю как у Альфы дела обстоят с этим.
У гугла мне политика меньше нравится чем у Яндекса, я не нашел способ дополнительной защиты (про iOS речь) приложения почты, Inbox или тот же GA. Они просто открываются и работают. Большая часть людей использует 4х значный пин-код устройства (причем далеко не все отличаются фантазией), который можно подсмотреть и получить доступ к почте и критичным данным.
Да что говорить, постоянно вижу людей в магазине, которые расплачиваясь картой совершенно открыто вводят пин-код.
Мне там выше задавали вопрос, зачем я это пишу? Еще один жизненный пример. Краем уха услышал разговор. Из сумки вытащили документы, теперь ношу с собой только копии, потому что замучалась восстанавливать. Люди шевелятся только ПОСЛЕ события.
Я из города Сочи, там есть ОПГ – цигане. Я их в лица уже знаю почти всех и вижу как их дети вырастают и приходят на помощь родителям. Они работают по одной схеме уже много лет, практически в одних и тех же местах, пытаясь скрыться более современной атрибутикой, но их всё равно видно, по взгляду, по стилю, по поведению. Пользуются глупостью и не внимательностью людей. Последнее время они на столько борзо себя вели, что приходилось людям (потенциальным жертвам) показывать, что они сами подставляются. Да и от себя отгонял их неоднократно. Но задумываться сами люди начнут, скорее всего, ПОСЛЕ потери чего то ценного. Такие «цигане» есть в любом курортном городе, местные люди обычно стараются предупредить. В барселоне мне официант как то сказал: «Не держи фотик на столе и телефон спрячь, пробегают и забирают». Это ведь просто, но не всегда очевидно. Курорт дополнительно расслабляет людей. А сколько можно потратить нервов?
согласен, сталкивался с радномными вопросами из анкеты, но все они вполне предсказуемы и однотипны. В том плане, что если мошенники пользовались этим банком какое то время они с вероятностью 99% будут знать все возможные вопросы оператора. Про голос не знал, интересно как быть с охрипшим голосом или плохой связью.
последний кат вы точно не читали, но в целом он повторяет второй. Дело не в профите. У меня нет самоцели продвижения на хабре, цель лишний раз напомнить и предостеречь людей.
Я вот себя параноиком считал, однако почта яндекса и Mail.ru была без дополнительной защиты. Mail.ru и сейчас, кстати, там тупо не включилась двухфакторка :) поле ввода пароля работает если ввести неверный – ругается. И ничего не делает если ввести верный пароль, хотя я ответ сервера не смотрел, может там понятное.
Статей про то как настроить безопасность много, а действовать начинают обычно живые примеры, которые рядом или с тобой происходят. Все 3 произошли рядом со мной, на расстоянии 1 руки, это и побудило напомнить.
Некоторые мои друзья (далеко не все), прочитавшие эту статью — включили дополнительную аутентификацию, а значит цель моя достигнута.
ни в коем разе к телефону. Это скорее от безысходности, когда больше ничего нет :) нормально это как нибудь не очевидно для окружающих. Я вот думал, что удобно было бы если бы сотруднику банка показывалась часть кодового слова, а приходилось бы называть другую часть. Или показываем рандомных 3 слова, сотрудник их читает, а ты называешь цифрой верное. Ну в таком ключе. Я не специалист по безопасности и не знаю так ли эти варианты надежны, но интуиция подсказывает, что они более безопасны чем стандартный метод.
увы, я сейчас сам с брелком на руках, а везде внедряют поддержку Google Authenticator, а он на телефоне. Как раньше прям, драйвера от модема на диске, драйвера от cd-rom в интернете…
под открытием я имел ввиду то, о чем написал в начале сообщения, вариант типа swfxml для самого файла swf. Парсеры эт конечно хорошо, но зачем они если будет нормальный формат, который можно было бы открыть архиватором и получить нужное или отредактировать и запаковать обратно.
У кого ресурсы тот и заправляет, каждый доит коровку со своей стороны :) мне бы вообще хотелось видеть какой нибудь SWFXML формат, аля DOCX или .app у маков, и контейнер есть и удобно ковырять в случае необходимости, так что мысленно шлю лучи в Adobe на открытие «умирающего» формата людям.
Не понимаю зачем мне делать удивленное лицо и широко раскрывать рот знакомым вещам :) ну про конкретно svg не в курсе был, но что экспортируется формат хорошо это не новость.
Никто не говорит про смерть флеша, это не вам, не мне и даже не Envato решать, а Adobe. За них пусть говорят они сами. Лично для меня флеш был большой частью жизни, первые работы в вебе я делал именно на нем, когда еще это было у Macromedia всё, но, опять же, лично для меня, флеш сейчас практически пропал. Я его выключаю в браузерах по-умолчанию и включаю только по требованию, а работаю сейчас совсем над другими вещами. Профаны они или нет покажет время. Чего мы то с вами спорим? Если рынку так нужен Flash/SWF или еще что из этой экосистемы — найдутся люди, которые захотят открыть альтернативу (а возможно уже есть что-то, я не искал) и никто ничего не потеряет. За год слить все свои проекты сможет каждый как со стороны покупателей, так и со стороны продавцов. Чего вы негодуете? Вы так пишете, как будто я принял это решение :)
ну большую часть уже без флеша вполне реально сделать на сколько знаю, одна проблема кросс-платформенность и кросс-браузерность, всё же все эти замены то там то там становятся занозой в одном месте. Сам по себе Flash наверное никуда пока не денется, пока будут игры и прочие проекты сами в себе с необходимостью защиты ресурсов (не знаю так ли всё плохо в Canvas/WebGL решениях), хорошая плотформа, чего там. Но не для 90% интернета, как это было раньше. Когда логотипы анимировали, меню, сайты делали целиком, которые поисковики до сих пор нормально не смотрят. Flash займет заслуженную нишу или окончательно трансформируется во что-то новое. Но очевидно, что продажи уже не те, о чем и пишут австралийцы.
Торговать по рынку категорически нельзя. Лимитные заявки и только они, иначе у вас рано или поздно появятся проблемы :)
Проблема разобьётся о задержки на разных уровнях, которые как мы знаем не константа. Как правильно заметили, нет смысла сравнивать cleartext пароли. Что-то более длинное не даст вам точного понимания, где именно в строке ошибка, в 18 или 24 символе? Вектор есть, но уж очень лабораторные условия должны быть для его реализации.
И да, я пишу этот комментарий, а статью не читал.
Дропать данные врядли вы будете, имея хоть малую надежду того, что эти данные возможно еще понадобятся. Скорее всего эти данные будут как то преобразованы, перенесены, конвертированы, выгружены в конце концов. Именно это и позволяет сделать миграция, описать всё это используя Ruby (в случае Rails). Кстати SQL код тоже вполне работает в миграциях.
А вот организацию работы, особенно в команде, с вашим подходом я себе представляю очень напряженно. Понятно, что можно, но не так удобно. Ведь по сути вы будете делать тоже самое, просто удобным вам способом. Вы ведь будете хранить состояние базы в определенный момент времени. А где-то даже сами данные, судя по тому, что вы пишете.
Если не паниковать во время получения подобных сообщений, можно реагировать адекватно, обращая внимание на детали: доменные имена, SSL ключи (их наличие и путь до сертификационных центров), номера телефонов и email адреса.
Иначе говоря этот взлом мало чем отличается от sms типа: «Ваш сын попал в полицию, нужно 100500 рублей перевести на телефон такой-то», это сработает на людях либо не имеющих ценных данных, либо потерявших страх.
Страх будет приобретен обратно, как я и писал выше, только ПОСЛЕ потери. И внимание вернется и параноик включится.
Часто взлом и расчитан на простака.
Linux-ботнет — открытый ssh для root и слабый пароль. Сломанный WiFi — слабенький ключик. Сайт на Wordpress стандартный адрес админки и перебор логина admin (хотя по вторичным факторам найти действующих пользователей может быть проще). Это всё нацеленно на массовость. Понятно, если возьмутся целенаправленно мало кто выстоит, но на массовости можно проскочить незамеченным. Пока ты незаметный :)
Внутренний контроллируемый параноик это ведь хорошо, научиться с ним жить можно, зато он лишний раз маякнет если чего его смущает. Проще называть это интуицией, тогда не так болезненно звучит.
Я не параноик. Я человек с развитой интуицией.
Вот есть у меня OTP устройство, генерирует пароли, но это банковская игрушка, остальные ее не особо то и поддерживают. Яндекс позволяет включить генератор только через свое приложение Яндекс.Ключи, если я правильно помню.
Google Authenticator к ним привязать не удалось.
Альфабанк позволяет использовать подобное приложение, но платно. Получается уже 3 разных приложения.
Причем Google Authenticator открывается без пароля, не знаю как у Альфы дела обстоят с этим.
У гугла мне политика меньше нравится чем у Яндекса, я не нашел способ дополнительной защиты (про iOS речь) приложения почты, Inbox или тот же GA. Они просто открываются и работают. Большая часть людей использует 4х значный пин-код устройства (причем далеко не все отличаются фантазией), который можно подсмотреть и получить доступ к почте и критичным данным.
Да что говорить, постоянно вижу людей в магазине, которые расплачиваясь картой совершенно открыто вводят пин-код.
Мне там выше задавали вопрос, зачем я это пишу? Еще один жизненный пример. Краем уха услышал разговор. Из сумки вытащили документы, теперь ношу с собой только копии, потому что замучалась восстанавливать. Люди шевелятся только ПОСЛЕ события.
Я из города Сочи, там есть ОПГ – цигане. Я их в лица уже знаю почти всех и вижу как их дети вырастают и приходят на помощь родителям. Они работают по одной схеме уже много лет, практически в одних и тех же местах, пытаясь скрыться более современной атрибутикой, но их всё равно видно, по взгляду, по стилю, по поведению. Пользуются глупостью и не внимательностью людей. Последнее время они на столько борзо себя вели, что приходилось людям (потенциальным жертвам) показывать, что они сами подставляются. Да и от себя отгонял их неоднократно. Но задумываться сами люди начнут, скорее всего, ПОСЛЕ потери чего то ценного. Такие «цигане» есть в любом курортном городе, местные люди обычно стараются предупредить. В барселоне мне официант как то сказал: «Не держи фотик на столе и телефон спрячь, пробегают и забирают». Это ведь просто, но не всегда очевидно. Курорт дополнительно расслабляет людей. А сколько можно потратить нервов?
Я вот себя параноиком считал, однако почта яндекса и Mail.ru была без дополнительной защиты. Mail.ru и сейчас, кстати, там тупо не включилась двухфакторка :) поле ввода пароля работает если ввести неверный – ругается. И ничего не делает если ввести верный пароль, хотя я ответ сервера не смотрел, может там понятное.
Статей про то как настроить безопасность много, а действовать начинают обычно живые примеры, которые рядом или с тобой происходят. Все 3 произошли рядом со мной, на расстоянии 1 руки, это и побудило напомнить.
Некоторые мои друзья (далеко не все), прочитавшие эту статью — включили дополнительную аутентификацию, а значит цель моя достигнута.
Никто не говорит про смерть флеша, это не вам, не мне и даже не Envato решать, а Adobe. За них пусть говорят они сами. Лично для меня флеш был большой частью жизни, первые работы в вебе я делал именно на нем, когда еще это было у Macromedia всё, но, опять же, лично для меня, флеш сейчас практически пропал. Я его выключаю в браузерах по-умолчанию и включаю только по требованию, а работаю сейчас совсем над другими вещами. Профаны они или нет покажет время. Чего мы то с вами спорим? Если рынку так нужен Flash/SWF или еще что из этой экосистемы — найдутся люди, которые захотят открыть альтернативу (а возможно уже есть что-то, я не искал) и никто ничего не потеряет. За год слить все свои проекты сможет каждый как со стороны покупателей, так и со стороны продавцов. Чего вы негодуете? Вы так пишете, как будто я принял это решение :)