Двухфакторая аутентификация

Всё прочитанное вами в первой части касалось идентификации на основании того, что знает запрашивающий. Он знает свой адрес электронной почты, знает, как получить к ней доступ (т.е. знает свой пароль от электронной почты) и знает ответы на секретные вопросы.

«Знание» считается одним фактором аутентификации; двумя другими распространёнными факторами являются то, что у вас есть, например, физическое устройство, и то, кем вы являетесь, например, отпечатки пальцев или сетчатка глаза.

Дисклеймер:
Данная статья не несет в себе сведений ранее неизвестных читателям, знакомым с понятием CDN, а носит характер обзора технологии

Первая веб-страница появилась в 1990 году и имела размер в считанные байты. С тех пор контент масштабируется как качественно, так и количественно. Развитие ИТ-экосистемы привело к тому, что современные веб-страницы измеряются мегабайтами и тенденция к увеличению пропускной способности сетей с каждым годом лишь укрепляется. Как контент-провайдерам охватить большие географические масштабы и обеспечить пользователям повсеместно высокую скорость доступа к информации? С этими задачами должны справляться сети доставки и дистрибуции контента, они же Content Delivery Network или просто CDN.

В интернете все больше «тяжелого» контента. При этом многочисленные исследования показывают, что пользователи не хотят иметь дело с веб-сервисами, если те грузятся дольше 4-5 секунд. Слишком низкая скорость загрузки сайта чревата потерей аудитории, что непременно приведет и к уменьшению трафика, конверсии, а значит и прибыли. Сети доставки контента (CDN), в теории, позволяют избавиться от этих проблем и их последствий. Но на деле все как обычно решают детали и нюансы конкретного случая, коих в этой сфере предостаточно.

Недавно у меня появилось время снова поразмыслить над тем, как должна работать функция безопасного сброса пароля, сначала когда я встраивал эту функциональность в ASafaWeb, а потом когда помогал сделать нечто подобное другому человеку. Во втором случае я хотел дать ему ссылку на канонический ресурс со всеми подробностями безопасной реализации функции сброса. Однако проблема в том, что такого ресурса не существует, по крайней мере, такого, в котором описывается всё, что мне кажется важным. Поэтому я решил написать его сам.

Видите ли, мир забытых паролей на самом деле довольно загадочен. Существует множество различных, совершенно приемлемых точек зрения и куча довольно опасных. Есть вероятность, что с каждой из них вы много раз сталкивались как конечный пользователь; поэтому я попытаюсь воспользоваться этими примерами, чтобы показать, кто делает всё правильно, а кто нет, и на чём нужно сосредоточиться для правильной реализации функции в своём приложении.

Всем нам знаком традиционный офисный пакет — текстовый редактор, электронные таблицы, программа для создания презентаций, возможно, приложение для создания диаграмм или заметок. Всё это мы видим в Microsoft Office и в Google Docs. Все эти программы мощны и объёмны. Но каким будет минимальное количество кода, требуемое для создания офисного пакета?

Когда мы говорим о веб-валидаторах и оптимизации сайта под них, мы чаще всего имеем ввиду Lighthouse/Pagespeed Insights от Google, который давно стал де-факто стандартом для оценки производительности сайта. Кто-то стремится к заветным 100 баллам даже на прототипах и шаблонных приложениях в две кнопки, кто-то в шутку создает абсолютно недоступный сайт с идеальным рейтингом, но для всех фронтендеров лайтхаус предоставляет вменяемую, хоть и довольно поверхностную, аналитику производительности сайта и поиск бутылочных горлышек. Однако скорость загрузки — лишь один из множества параметров, которые стоит проверять на своём сайте, и для большинства других есть свои валидаторы и скоринговые алгоритмы. Мы рассмотрим инструменты для каждого из значимых направлений и составим список, по которому стоит прогонять свой сайт, чтобы в дальнейшем не отлавливать проблемы вручную.

Я часто встречаю, как тут ноют, что у хабра ужасная система кармы. Типа чтобы написать коммент, автор должен его одобрить, но авторы забивают на модерацию, и я лишен свободы высказаться, хотя написал содержательное и взвешенное мнение.

Вот я автор, и я забиваю на модерацию. Не потому что мне лень — моего жалкого разрабовского заработка не хватает на достаточно мощную машину, чтобы модерировать свои публикациях, где 1000+ коментов. Хабр работает в браузере, а наше общество ещё не настолько технологично, чтобы можно было вот так взять и вывести пару тысяч записей на экран. В браузере. Во всех остальных местах — легко. Но у хабра таких остальных мест нет, они сконцентрированы на веб версии для всего — для десктопа, планшета, айоса и андроида.

Я бы их обстоятельно поругал, но они просто следуют трендам. Где-то когда-то какой-то ооочень большой засранец взял да и сказал: «смотрите ка, если сделать сайт, и пользоваться им как приложением, получится почти то же самое!». И он был прав. Вот только это «почти» — гигантская непреодолимая пропасть.

Что такое вишинг?

Vishing (voice phishing, голосовой фишинг) — это вид атаки, при котором жертву пытаются убедить раскрыть ценную личную информацию по телефону. Хотя по описанию это похоже на старый добрый скам, вишинг-атаки имеют элементы хай-тека: например, в них применяется технология автоматизированной симуляции голоса, или для упрощения задачи скаммер может использовать персональную информацию о жертве, собранную во время предыдущих кибератак.

За последний год продажи планшетов немного выросли. При сравнении продаж за второй квартал 2019 и 2020 года, отгрузка увеличилась на 6 млн девайсов и составила в общей сложности 38,6 млн штук по всему миру. При этом значительную долю рынка получили устройства Samsung — сейчас, по отчетам, они на втором месте с долей в 22% рынка. Больше только у Apple. Компания из Купертино доминирует на рынке планшетов, на ее долю приходится около 60% всех продаж в этом году.

Однако эти цифры показывают только одно — временный всплеск спроса на фоне эпидемии Covid-19 и абсолютный тупик, в который зашли производители. Кажется, что производство планшетов — это просто инертное движение и игра на выдержку между Apple и Samsung. Для первых планшеты важны: у них не так много устройств для потребителей, которые бы можно было продать. Samsung же, кажется, просто создает конкурентную среду, выцарапывая для себя часть рынка у своего извечного соперника на мобильном сегменте.

О стагнации планшетов как концепции очень ярко свидетельствуют статистические данные. Давайте посмотрим на долю ПК, смартфонов и планшетных устройств:


Кликабельно. Статистика рынка за последние 8 лет

Лучший показатель был у планшетов в сентябре 2014 года — 6,8% рынка по сравнению со смартфонами и десктопами (ноутбуками). Сейчас эта цифра составляет 2,62% и продолжает падать.

Позвольте мне рассказать техническую историю.

Много лет назад я разрабатывал приложение со встроенными в него функциями совместной работы. Это был удобный экспериментальный стек, в котором использовался полный потенциал раннего React и CouchDB. Он в реальном времени синхронизировал данные по JSON OT. Его использовали во внутренней работе компании, однако широкая применимость и потенциал в других сферах были очевидными.

Пытаясь продать потенциальным клиентам эту технологию, мы столкнулись с неожиданным препятствием. В демонстрационном видео наша технология выглядела и работала отлично, тут никаких проблем. Видео показывало именно то, как оно работает, и в нём ничего не имитировалось. Мы придумали и закодировали реалистичный сценарий применения программы.

Во время ранней разработки набор инструментов Windows Admin Center носил название «Проект Гонолулу» (Project Honolulu)

В рамках услуги VDS (Virtual Dedicated Server) клиент получает виртуальный выделенный сервер с максимальными привилегиями. На него можно поставить любую ОС со своего образа или воспользоваться готовым образом в панели управления.

Предположим, пользователь выбрал Windows Server в полной комплектации или поставил образ усечённой версии Windows Server Core, которая занимает примерно на 500 МБ меньше оперативной памяти, чем полная версия Windows Server. Давайте посмотрим, какие инструменты нужны для управления таким сервером.

Организация совместной работы в приложении всегда кажется большим геморроем и отметается на этапе планирования большинства приложений. По сути, сейчас принято пилить реалтайм-взаимодействие только там, где это часть обязательного функционала, в качестве дополнительной фишки его не встретить. Разработчики из Anwendo хотят исправить эту ситуацию и представляют okdb — библиотеку и сервис, позволяющие снять с себя львиную долю проблем и сложности, связанных с организацией совместных рабочих сессий.

Приветствую, Хабр! Сегодня мы поговорим о состоянии рынка труда в Украине на октябрь 2020 года. Какая динамика и что произошло за полгода карантина. Будем говорить как о соискателе, так и о работодателе. Устраивайтесь поудобнее, поехали.

США все туже закручивает гайки в отношении Китая, стремясь остаться мировым лидером в технологическом секторе, включая полупроводниковую промышленность. Но и Китай не собирается подвергать себя угрозе технологической блокады со стороны Соединенных штатов. По данным Bloomberg, Пекин несколько недель назад заявил о намерении поддержать создание промышленности, которая способна с нуля производить так называемое третье поколение полупроводников. План рассчитан на пять лет, то есть к 2025 году у Китая должны появиться крупнейшие предприятия, производящие самые современные компоненты электронных устройств.

КНР до сих пор сохраняет пятилетний горизонт планирования, текущая пятилетка уже 14-я в истории страны. В октябре план должен быть утвержден лидерами страны, после чего на реализацию проекта развития отечественной полупроводниковой инфраструктуры выделят более триллиона долларов США. По мнению аналитиков, Китай хорошо понимает, что страна, которая владеет технологией производства современных чипов, если не правит всем остальным миром, то в состоянии оказывать сильнейшее давление на другие государства.

А вы знали, что можно запустить командную строку Linux на устройстве iOS? Возможно, вы спросите: «Зачем мне пользоваться текстовыми приложениями на iPhone?» Справедливый вопрос. Но если вы читаете Opensource.com, то, вероятно, знаете на него ответ: пользователи Linux хотят иметь возможность работать с ним на любом устройстве и хотят пользоваться собственными настройками.

Но больше всего они жаждут решения сложных задач.

У меня есть семилетний iPad 2 Mini, который по-прежнему неплохо подходит для чтения электронных книг и других задач. Однако я хочу использовать его и для доступа к командной строке приложений с моим набором программ и скриптов, без которых не могу работать. Мне нужно окружение, к которому я привык, а также моя стандартная среда разработки. И вот как мне удалось этого добиться.

Веб-сервер на Raspberry Pi

Чтобы выложить информацию в открытый доступ, необязательно покупать аккаунт у хостинг-провайдера. Существует много альтернативных вариантов, в том числе бесплатных. Есть бесплатные хостинги для текста, картинок и файлов, начиная с Github Pages.

А если мы хотим держать сайт полностью под своим контролем, то можем разместить веб-сервер на домашнем компьютере, одноплатнике Raspberry Pi или даже на мобильном телефоне. Главное, чтобы устройство всё время было в онлайне.

Mozilla сейчас находится в состоянии полного упадка: высокие накладные расходы, снижение доли пользователей Firefox, спорные источники прибыли, а теперь, в условиях уменьшения доходов, ещё и снижение затрат на разработку.

Недавно Mozilla объявила о том, что увольняет 250 сотрудников. Это четверть её штата, а значит, увольнение значительно уменьшит и выполняемый объём работ. Среди жертв отдел документации MDN (это документация по веб-стандартам, которая всем нравится больше, чем w3schools), компилятор Rust и даже сокращения в отделе разработки Firefox. Как и большинство людей, я хотел бы, чтобы у Mozilla всё было хорошо, но эти три проекта являлись почти всем тем, в чём, по моему мнению, и есть смысл Mozilla, поэтому подобные новости стали большим разочарованием.

Синхронизация мессенджера с контактами из адресной книги (contact discovery) — очень удобная функция. Когда новый человек ставит приложение, то в него автоматически добавляется большой список контактов, а если кто-то впервые установил мессенджер, то уведомление об этом приходит всем его знакомым. К сожалению, данную функцию могут использовать государственные службы и другие злоумышленники для выслеживания людей. Существующие методы защиты пока не очень эффективны.

Масштаб утечек оценили специалисты из Вюрцбургского университета и Дармштадтского технического университета (Германия), который провели самое масштабное в истории исследование с краулингом телефонных номеров в трёх мессенджерах: WhatsApp, Telegram и Signal. Результаты неутешительные: WhatsApp и Signal сливают номера пользователей в большом масштабе.

Хотя у Telegram очень жёсткие лимиты на количество запросов к API, он тоже не полностью защищён.

Blacklight — это инспектор конфиденциальности веб-сайтов, выполняющий проверку в реальном времени.

Этот инструмент эмулирует способы наблюдения за пользователем, просматривающим веб-страницы. Пользователи вводят в Blacklight нужный URL, инспектор переходит на веб-сайт, сканирует известные типы нарушений конфиденциальности и сразу же возвращает анализ конфиденциальности исследованного сайта.

Принцип работы Blacklight заключается в посещении каждого веб-сайта headless-браузером (браузером без графического интерфейса), в котором запущено специализированное ПО, созданное The Markup. Это ПО отслеживает, какие скрипты на сайте потенциально могут наблюдать за пользователем, выполняя семь тестов, каждый из которых исследует отдельный известный способ наблюдения.

Многие не любят Microsoft за ее непростое прошлое и решения, которые принимались Гейтсом, Балмером и даже Наделлой, когда они руководили компанией в разные годы. Microsoft сделала много ошибок за десятилетия своего существования, но в отличие от большинства людей, причастных к IT-индустрии, я никогда по-настоящему не испытывал ненависти к этой компании. Ну все ненавидят Microsoft, да и я буду ненавидеть, что уж тут, отбиваться от коллектива?



В этот момент многие олдовые фанаты Linux потянулись за ружьем, но давайте будем объективны: в последнее десятилетие Microsoft дает все меньше поводов для ненависти. Да, Windows 10 с каждым патчем все больше и больше выводит из себя. Да, Microsoft бросила на произвол судьбы малое, но крайне преданное сообщество фанатов их мобильной платформы.

Но при этом я, как человек, внимательно наблюдающий за новыми продуктами и вообще, за новостями компании, понимаю, что руководство Сатьи Наделлы войдет в историю Microsoft, как эпоха мечтателей и визионеров. И сейчас я постараюсь объяснить, почему я пришел к подобным выводам.