Замечательная статья. Всё аргументированно, множество отсылок, вовлекающие картинки, дополнительные материалы (шаблоны), структурированность в виде шагов.
Если кого-то отпугивает длина и он задаётся вопросов - читать или не читать, рекомендую читать.
Вы думаете 25 лет назад BTC 8020 не вызывала вау эффект? Или maltron?
нет. Я помню как впервые увидел maltron. Увидив её мысли были именно "эрго". Типа клава для стариков с проблемами. (хотя тут я за себя не отвечаю, т.к. это было 10 лет назад). А вау-эффект современных сплитов - это: "почему так мало кнопок? а где стрелки? а где цифры? почему оно выглядит так стимпанково?"
клепали все кому ни лень, массовые производители
Вот именно, что массовые. А новая волна клепается инди-производителями. Любой вася может заказать платы на jlcpcb.com, детали с китая, спаять и выставить на продажу на любую платформу. И мало того, что они могут, так они это и делают!
вызывают вау-эффект, и контента по ним становится всё больше
просты в сборке, потому появляется всё больше производителей
поддерживаются сообществами, отчего модельный ряд пополняется с огромной скоростью
просты в гибкой настройке, т.е. открыл браузер и перенастроил кнопки (да, этим будут заниматься единицы, как и заменой рингтона на смартфоне, но сам факт такой возможности является продающим)
В академическом мире это называется моделью. Но цепляться к словам - это к лингвистам, так что ок, оценка доходов.
Тут речь идёт не о $2 млн +/-$50.000. Тут речь идёт о разнице в 2 раза. Вы начинаете работать в 20, к 40 доходите до пика доходов, а затем заканчивается рост, либо начинается снижение. Т.е. вместо средней зарплаты в 3000, у вас реально получится 2500 (если после 40 рост остановится) или 2000 (если после 40 пойдёт снижение)
Получается речь идёт не о $2 млн +/-$50.000, а о $2 млн +/-$300.000 или $2 млн +/-$500.000.
В мечтах о полёте на Марс я вас не ограничиваю. Я вас ограничиваю в мечтах о накоплении $2 млн, что бы через 40 лет потратить их на полёт на Марс. Разница в том, что в первом случае для достижения цели вы будете изучать Марс, полёты в космос, готовить тело, участвовать в конкурсах на тестовые наборы и т.д. А во втором случае, вы будете изучать "оценки доходов", финансовые метрики и показатели, банковское дело, финансовые рынки, способы борьбы с инфляцией и т.д. И... вроде как результат в итоге одинаковый, но во втором случае происходит самообман длиною в жизнь.
1) Рост доходов не равномерный (более того, с высокой вероятностью, после 40 доход вообще перестанет рости, и возможно даже пойдёт вниз)
2) Если считаете инфляцию для для "расходов", то надо её считать и в доходах (одно дело, когда у вас растёт зарплата из-за повышения квалификации, а другое, когда это обычная индексация)
3) Не надо мечтать о покупках на 40 лет вперёд. Даже ипотеку не дают на такой долгий срок.
Я вообще особо не понимаю как можно на пет-проектах деньги получать. Что бы подключить платёжку на свой проект - нужно юридическое лицо. Содержать юридическое лицо, ожидая всего 8 платных подписок - не выгодно. Да ещё и в большинстве рабочих договоров прописано, что пока работаешь на компанию, не имеешь право открывать свою компанию.
Полгода я тратил свободное от учёбы и работы время на свой проект, который не принес мне ничего, кроме опыта.
Это не трата времени, а развитие себя и создание чего-то
Что бы стать крутым спецом - это вообще часть жизни, пилить проекты, которые никому не нужны, попутно изучая новые технологии и расширяя понимание области
Писать свою либу для этого - это сложная затея. В примерах вы генерируете файлы, а потом читаете их же. Но в рельной жизни, вы генерируете файлы, а читает их кто-то другой (это ещё не страшно), а вот когда генерирует файлы кто-то другой, а вашей либе надо их прочитать - вот тут начинается веселье.
Календари крупных компаний вообще ушли от этих стандартов, и у них для синхронизаций есть собственные нативные API. Да, они поддерживают импорт и экспорт, но и у них не всё так гладко. При переносе ивентов с айфона на андройд или обратно, могут появляться артефакты.
А данные, врутри этих файлов далеко уходят за спецификацию календарей. Чего только стоит одно только переименование Kiev в Kyiv. Ещё не факт что вам нормально удастся читать все часовые поеса всех операционных систем.
Чем субъективная оценка отличается от очень субъективной?
Разница субъективна :D
Но, я вложил в это понятие какую-то нотку нетерпимости к чужому мнению.
Что-то типа: эта статься ужастна, потому что автор - араб, ведёт заметки справа налево, хотя все остальные авторитетные авторы, ведут заметки правильно - слева направо.
Раньше было легче найти материал на основе которого ты мог что-то сделать, попробовать. Сейчас же приходится продираться через материалы, которые в лучшем случае ничего не дают и в худшем вводят в заблуждение.
Так тут проблема не в качестве материалов, а в вашей копетентности. Раньше, нормальные видео про obsidian длились по 3 часа, где автор разжовывал каждый плагин, систему и метод работы со всем этим делом. По сути было длинно и примитивно. Это создавало какой-то порог входа, и в обсидиане небыло "криэйтеров". Если вы уже прошли через это, конечно вам будет не интересно смотреть то же самое, но укомплектованное в 15-минутку, где автор вскольз говорит нажимать ctrl+n, опуская "важные детали".
А вы попробуйте найти какой-то старый материал, настолько крутой, как ваша предыдущая статься про GTD в обсидиане. Раньше такого и близко небыло. Это уже сравнимо с тем, как в своё время в майнкрафте делали эмуляторы процессоров :D
Вот и получается, что среди нового материала всё сложнее отрыть что-то интересное, потому что вы уже и так всё знаете, и сами стали локомотивом интересного материала.
Кстати, из относительно недавнего мне ещё понравился этот парень. По сути, пользы там мало, но оч красиво получается :D
Очень субъективная оценка. Автор оценивает не "качество" материала, а полезность этого материала по отношению к самому себе.
Подборка сильно уходит за рамки Obsidian, и больше относится к ведению заметок в целом.
Автор считает, что раньше материал был лучше, но признаёт, что это может звучать как "гундёж" старого человека. Думаю, материал стал лучше, просто материала стало много, и от изобилия можно вертеть носом.
Безумие :) Я даже в заключении сравниваю это дело с шапкой из фольги.
Вдохновлением на эти размышления мене послужил Путин, у которого нет девайсов.
Мне стало интересно, а может ли обычный человек не иметь девайсов, при этом иметь онлайн приватность, получая к ней доступ через публичные устройства.
Будто хиппи, живущий в лесу и питающийся солнцем и улыбками, который в любой момент может в халате придти в библиотеку, сесть за публичный компьютер и оплатить налог за собственную землю.
Ну да, суть кейса именно в том, чтобы авторизоваться через взломанное устройство в неизвестной для нас сети. Кейс такой, что хакеры видят и трафик, и нажатия, и клипборд, и вообще всё, что только можно (включая видео с вебки, и видео с камер видеонаблюдения в помещении, где вы используете устройство.
При этом, после авторизации нам надо либо прочитать какие-то данные, которые нам нужны в данную минуту, либо отправить куда-то какие-то данные. Да, хакеры смогут прочетать тот кусок, который мы будем читать, но не смогут прочитать остальные данные. Да, хакеры смогут увидеть данные, которые мы отправляем, но они не смогут сами отправлять данные от нашего лица без нашего ведома.
Пример из реальной жизни - поход на вершину горы, где вы не берёте с собой ничего лишнего, что бы выжить, но пользуетесь общественными девайсами в точках лагерей. Другой пример, - путешествие на коробле, через море, где выход в интернет строго контролируется. Хотя, по сули, в обоих случаях можно иметь при себе физический TOTP токен, который весит всего пару грам.
В схеме с одноразовым словарём из какого-нибудь текста, меня смущает 2 вещи:
надо помнить какие слова уже использовались, а какие ещё нет
после 5-ой авторизации, слов может быть достаточно, что бы найти исходный текст
На случай, если Хабр недоступен глобально, сервер тоже это увидет, и может переключиться на другой резервный портал. Если же, серверу Хабр доступен, а вам - нет, то тут сложнее.
Тоже об этом думал. Предположил, что можно внедрить что-то вроде временного кэша. Т.е. авторизоваться можно по любой статье за последние 5 минут. Но вообще, это проблема, если использовать блокировку при 2-3 неправильных вводах.
Да, токен MFA - это саое безопастное и удобное решение.
Зачем тогда придумывать всё это? - что бы избавиться от зависимостей. Токен надо тоскать с собой. Токен не везде можно подключить (например в публичных компах, где в целях безопасности отключен USB). Токен можно забыть или потерять. Токен можно украсть, после того, как кейлоггер запишет ваш пин :D В общем, шапка из фальги нужна...
Я слукавил, сказав, что "удалил приложение". Это предустановленное приложение. Телефон не рутованный и удалить его нельзя, можно только "отключить". Спрос к заводским настройкам, наоборот, включит и установит это приложение. И вероятно, эта несанкционированная установка - какая-то ошибка какого-нибудь менеджера приложений, которое, не знаю... включила приложение? :D
Просто, чем больше я копаюсь в интернет-безопасности, чем больше читаю о приватности, тем больше осознаю, что "безопасных" устройств нет.
Тем более, продвинутый шпионский софт, явно не будет заниматься такой ерундой, как установкой приложения социальной сети.
Постулат: отсутствие информации об алгоритме шифрования не повышает его критостойкость
Если речь идёт о шифровании, то да. Но в данном случае в конечном варианте идеи - хэширование. А в центре внимания - не шифровка данных, а авторизация. Если авторизироваться не так часто, то у второй стороны не соберётся достаточно данных для реверс инженеринга. А попытки брутфорса приведут к блокировки.
Но вообще, я с вами согласен, потому и опубликовал статью (раскрыл алгоритм) :)
Chicago Manual of Style - это платный стандарт?
А какие ещё бывают списки, кроме нумерованных и ненумерованных?
И какие символы используются?
1.2.3. или 1)2)3)?
А в ненумерованных тире или точки?
Замечательная статья. Всё аргументированно, множество отсылок, вовлекающие картинки, дополнительные материалы (шаблоны), структурированность в виде шагов.
Если кого-то отпугивает длина и он задаётся вопросов - читать или не читать, рекомендую читать.
Стандартизации там много. Они все в одном репозитории не просто так.
Да по сути нигде. Мне нравится ваша проекция на прошлое, и то, как вы поделились опытом. Просто уровень входа стал ниже.
Вот автор начитался статей, захотел - получил. Т.е. со времинем и доступность выше и цены ниже. Хотя из вашего опыта, это выглядит не так.
нет. Я помню как впервые увидел maltron. Увидив её мысли были именно "эрго". Типа клава для стариков с проблемами. (хотя тут я за себя не отвечаю, т.к. это было 10 лет назад).
А вау-эффект современных сплитов - это: "почему так мало кнопок? а где стрелки? а где цифры? почему оно выглядит так стимпанково?"
Вот именно, что массовые. А новая волна клепается инди-производителями. Любой вася может заказать платы на jlcpcb.com, детали с китая, спаять и выставить на продажу на любую платформу. И мало того, что они могут, так они это и делают!
Вот насколько огромный. Соседний комментарий подтверждает
Современные сплит-клавиатуры:
вызывают вау-эффект, и контента по ним становится всё больше
просты в сборке, потому появляется всё больше производителей
поддерживаются сообществами, отчего модельный ряд пополняется с огромной скоростью
просты в гибкой настройке, т.е. открыл браузер и перенастроил кнопки (да, этим будут заниматься единицы, как и заменой рингтона на смартфоне, но сам факт такой возможности является продающим)
Все эти факторы влияют на популяризацию и снижение цены.
Пруф: в статье 3 года назад автор приобретал подобную клавиатуру за 140 евро. В этой статье цена уже упала до 60 евро.
В академическом мире это называется моделью. Но цепляться к словам - это к лингвистам, так что ок, оценка доходов.
Тут речь идёт не о $2 млн +/-$50.000. Тут речь идёт о разнице в 2 раза. Вы начинаете работать в 20, к 40 доходите до пика доходов, а затем заканчивается рост, либо начинается снижение. Т.е. вместо средней зарплаты в 3000, у вас реально получится 2500 (если после 40 рост остановится) или 2000 (если после 40 пойдёт снижение)
Получается речь идёт не о $2 млн +/-$50.000, а о $2 млн +/-$300.000 или $2 млн +/-$500.000.
В мечтах о полёте на Марс я вас не ограничиваю. Я вас ограничиваю в мечтах о накоплении $2 млн, что бы через 40 лет потратить их на полёт на Марс. Разница в том, что в первом случае для достижения цели вы будете изучать Марс, полёты в космос, готовить тело, участвовать в конкурсах на тестовые наборы и т.д. А во втором случае, вы будете изучать "оценки доходов", финансовые метрики и показатели, банковское дело, финансовые рынки, способы борьбы с инфляцией и т.д. И... вроде как результат в итоге одинаковый, но во втором случае происходит самообман длиною в жизнь.
Чувствую себя теперь как инфоциганин :D
Очень плохая модель.
1) Рост доходов не равномерный (более того, с высокой вероятностью, после 40 доход вообще перестанет рости, и возможно даже пойдёт вниз)
2) Если считаете инфляцию для для "расходов", то надо её считать и в доходах (одно дело, когда у вас растёт зарплата из-за повышения квалификации, а другое, когда это обычная индексация)
3) Не надо мечтать о покупках на 40 лет вперёд. Даже ипотеку не дают на такой долгий срок.
Я вообще особо не понимаю как можно на пет-проектах деньги получать. Что бы подключить платёжку на свой проект - нужно юридическое лицо. Содержать юридическое лицо, ожидая всего 8 платных подписок - не выгодно. Да ещё и в большинстве рабочих договоров прописано, что пока работаешь на компанию, не имеешь право открывать свою компанию.
Это не трата времени, а развитие себя и создание чего-то
Что бы стать крутым спецом - это вообще часть жизни, пилить проекты, которые никому не нужны, попутно изучая новые технологии и расширяя понимание области
Писать свою либу для этого - это сложная затея. В примерах вы генерируете файлы, а потом читаете их же. Но в рельной жизни, вы генерируете файлы, а читает их кто-то другой (это ещё не страшно), а вот когда генерирует файлы кто-то другой, а вашей либе надо их прочитать - вот тут начинается веселье.
Календари крупных компаний вообще ушли от этих стандартов, и у них для синхронизаций есть собственные нативные API. Да, они поддерживают импорт и экспорт, но и у них не всё так гладко. При переносе ивентов с айфона на андройд или обратно, могут появляться артефакты.
А данные, врутри этих файлов далеко уходят за спецификацию календарей. Чего только стоит одно только переименование Kiev в Kyiv. Ещё не факт что вам нормально удастся читать все часовые поеса всех операционных систем.
Разница субъективна :D
Но, я вложил в это понятие какую-то нотку нетерпимости к чужому мнению.
Что-то типа: эта статься ужастна, потому что автор - араб, ведёт заметки справа налево, хотя все остальные авторитетные авторы, ведут заметки правильно - слева направо.
Так тут проблема не в качестве материалов, а в вашей копетентности. Раньше, нормальные видео про obsidian длились по 3 часа, где автор разжовывал каждый плагин, систему и метод работы со всем этим делом. По сути было длинно и примитивно. Это создавало какой-то порог входа, и в обсидиане небыло "криэйтеров". Если вы уже прошли через это, конечно вам будет не интересно смотреть то же самое, но укомплектованное в 15-минутку, где автор вскольз говорит нажимать ctrl+n, опуская "важные детали".
А вы попробуйте найти какой-то старый материал, настолько крутой, как ваша предыдущая статься про GTD в обсидиане. Раньше такого и близко небыло. Это уже сравнимо с тем, как в своё время в майнкрафте делали эмуляторы процессоров :D
Вот и получается, что среди нового материала всё сложнее отрыть что-то интересное, потому что вы уже и так всё знаете, и сами стали локомотивом интересного материала.
Кстати, из относительно недавнего мне ещё понравился этот парень. По сути, пользы там мало, но оч красиво получается :D
Очень субъективная оценка. Автор оценивает не "качество" материала, а полезность этого материала по отношению к самому себе.
Подборка сильно уходит за рамки Obsidian, и больше относится к ведению заметок в целом.
Автор считает, что раньше материал был лучше, но признаёт, что это может звучать как "гундёж" старого человека. Думаю, материал стал лучше, просто материала стало много, и от изобилия можно вертеть носом.
Безумие :) Я даже в заключении сравниваю это дело с шапкой из фольги.
Вдохновлением на эти размышления мене послужил Путин, у которого нет девайсов.
Мне стало интересно, а может ли обычный человек не иметь девайсов, при этом иметь онлайн приватность, получая к ней доступ через публичные устройства.
Будто хиппи, живущий в лесу и питающийся солнцем и улыбками, который в любой момент может в халате придти в библиотеку, сесть за публичный компьютер и оплатить налог за собственную землю.
Хм... да... смогут. Причём, в теории, в момент получения куки или токена, они могут отключить меня от интернета, и я даже не смогу сделать logout...
Пожалуй да, тут всё зависит от модели угроз. От чего-то может это и поможет, но вероятно затраты усилий не окупятся
Ну да, суть кейса именно в том, чтобы авторизоваться через взломанное устройство в неизвестной для нас сети. Кейс такой, что хакеры видят и трафик, и нажатия, и клипборд, и вообще всё, что только можно (включая видео с вебки, и видео с камер видеонаблюдения в помещении, где вы используете устройство.
При этом, после авторизации нам надо либо прочитать какие-то данные, которые нам нужны в данную минуту, либо отправить куда-то какие-то данные. Да, хакеры смогут прочетать тот кусок, который мы будем читать, но не смогут прочитать остальные данные. Да, хакеры смогут увидеть данные, которые мы отправляем, но они не смогут сами отправлять данные от нашего лица без нашего ведома.
Пример из реальной жизни - поход на вершину горы, где вы не берёте с собой ничего лишнего, что бы выжить, но пользуетесь общественными девайсами в точках лагерей. Другой пример, - путешествие на коробле, через море, где выход в интернет строго контролируется. Хотя, по сули, в обоих случаях можно иметь при себе физический TOTP токен, который весит всего пару грам.
В схеме с одноразовым словарём из какого-нибудь текста, меня смущает 2 вещи:
надо помнить какие слова уже использовались, а какие ещё нет
после 5-ой авторизации, слов может быть достаточно, что бы найти исходный текст
На случай, если Хабр недоступен глобально, сервер тоже это увидет, и может переключиться на другой резервный портал. Если же, серверу Хабр доступен, а вам - нет, то тут сложнее.
Тоже об этом думал. Предположил, что можно внедрить что-то вроде временного кэша. Т.е. авторизоваться можно по любой статье за последние 5 минут. Но вообще, это проблема, если использовать блокировку при 2-3 неправильных вводах.
Да, токен MFA - это саое безопастное и удобное решение.
Зачем тогда придумывать всё это? - что бы избавиться от зависимостей. Токен надо тоскать с собой. Токен не везде можно подключить (например в публичных компах, где в целях безопасности отключен USB). Токен можно забыть или потерять. Токен можно украсть, после того, как кейлоггер запишет ваш пин :D В общем, шапка из фальги нужна...
Я слукавил, сказав, что "удалил приложение". Это предустановленное приложение. Телефон не рутованный и удалить его нельзя, можно только "отключить". Спрос к заводским настройкам, наоборот, включит и установит это приложение. И вероятно, эта несанкционированная установка - какая-то ошибка какого-нибудь менеджера приложений, которое, не знаю... включила приложение? :D
Просто, чем больше я копаюсь в интернет-безопасности, чем больше читаю о приватности, тем больше осознаю, что "безопасных" устройств нет.
Тем более, продвинутый шпионский софт, явно не будет заниматься такой ерундой, как установкой приложения социальной сети.
Попытался найти, в итоге нашёл это. Всё скомпрометировано! :D
Google
Если речь идёт о шифровании, то да. Но в данном случае в конечном варианте идеи - хэширование. А в центре внимания - не шифровка данных, а авторизация. Если авторизироваться не так часто, то у второй стороны не соберётся достаточно данных для реверс инженеринга. А попытки брутфорса приведут к блокировки.
Но вообще, я с вами согласен, потому и опубликовал статью (раскрыл алгоритм) :)