• Почему операторы испугались eSIM
    0
    Если заказывать iPhone XS в США, то там есть eSIM. Воспользоваться ей можно. В России вполне себе подключается и работает, но смысла мало, т.к. тарифы (например, 5Гб за $50) имеют смысл только в путешествиях. Но удобно, что за границей не надо искать местную симку и не нужно ничего вынимать/втыкать.
  • Интернет вещей подключат к СОРМ и изолируют внутри России
    0
    До тех пор, пока человек никого не убил, не обокрал, не принудил, и не нанес никакого ущерба чужой собственности — он не виновен.
    Строго говоря, человек признается виновным по решению суда, а не по факту совершения противоправного действия. Хотя и предполагается, что есть некая корреляция между указанными событиями, но на практике суд может выдавать ложноположительные срабатывания (ну и ложноотрицательные тоже).

    И никто не вправе «превентивно» ограничивать его свободу.
    Также, необходимо отметить, что суд, при наличии достаточных доводов следствия, имеет право выдавать судебные приказы, которые позволяют нарушать некоторые права человека, например, право на тайну переписки (связи). Насколько мне известно, такое практикуется не только в РФ.

    Права каждой отдельной личности >> права государства или толпы.
    В 17-й статье конституции РФ немного иначе сказано в пункте 3. И, так или иначе, за нее проголосовало большинство граждан.

    Я не поддерживаю то, что написано про IoT и СОРМ, но тут просто слишком много технических неточностей, не удержался :-)
  • Очередные странности в алгоритмах ГОСТ Кузнечик и Стрибог
    +1
    Лишний слой не мешает, только не надо его называть шифрованием (иначе придется обосновывать его). Вы можете делать любые преобразования данных для соответствия формату хранения/передачи, а потому уже полученный данные защищать сертифицированным средством. Можно и наоборот, защищать исходные документы сертифицированным средством, а потом проводить преобразования для соответствия формату передачи, например, IPsec с AES. Только зачем? Любые лишние преобразования тратят ресурсы системы.
  • Хрупкий кабель дисплея MacBook Pro: очередная ловушка, в которую загнали себя инженеры Apple
    +2
    Я закрываю, чтобы экран и клавиатура не пылились. Также как расширение рабочего пространства — ставлю чай сверху, когда фильм смотрю (на внешнем мониторе).
    А еще — так проще всего в сон отправить.

    Было бы здорово опрос к статье прикрутить — как часто люди открывают/закрывают крышку ноута.
  • Инфраструктура открытых ключей. Цепочка корневых сертификатов X509 v.3
    +1
    Во-первых, рекомендуемый на сайте ФНС криптопровайдер КриптоПРО CSP стоит 2700 руб.
    Во-вторых, я бы не хотел ставить в систему ПО, которое на низком уровне вмешивается в работу ОС. Решения от вендоров ОС вдоль и поперек исследуются экспертами со всего мира, чего мы не можем сказать об отечественных (или западных небольших) разработчиках. Кто исследует их ПО?

    Также стоит отметить, что ПО криптопровайдера скачивается по каналам, защищенным западными алгоритмами. Так от чего мы защищаемся? )
  • Инфраструктура открытых ключей. Цепочка корневых сертификатов X509 v.3
    +1
    Нет, не путаю. Посмотрите как устроена подпись документов в ФНС. www.nalog.ru/rn53/news/tax_doc_news/5750992

    Обратите внимание на «ключ электронной подписи хранится в «облаке» в защищенном хранилище ФНС России». Именно этот вариант работает, если у вас нет сертифицированного криптопровайдера на ПК.
  • Инфраструктура открытых ключей. Цепочка корневых сертификатов X509 v.3
    0
    Какой поддельный сертификат и как мне можно подсунуть?
    Нужно определиться от чего мы защищаемся используя ГОСТовые УЦ. Я смею предположить, что от западных спецслужб (от всего остального защищает PKI на западных алгоритмах). А поскольку они потенциально контролируют выпуск стандартных https сертификатов, то получать корневой ГОСТовый сертификат недоверенным способом (по западному https) по меньшей мере странно.

    Это из какой-то потусторонней действительности.
    Из потусторонней действительности то, что мой приватный ключ подписи налоговой декларации хранится у потенциального нарушителя (он генерируется и хранится на сайте ФНС) и доступ к нему осуществляется по обычному паролю (!) через канал связи, защищенный западными алгоритмами. Такая система «защиты» ничего, кроме недоумения не вызывает.
  • UX/UI дизайн новой VS 2019
    +1
    В черно-белом режиме монитора логотип студии сложно отличить от логотипа московской биржи. Надеюсь, в следующей версии студии (2021) логотипу уделят больше внимания.
  • Эпизод 1. Стоимость Hack’а
    0
    Судя по тестам внешняя видеокарта Blackmagic eGPU очень даже прилично работает. Причем теперь ускоряется графика и на встроенном мониторе. Один недостаток — стоит она 700 баксов.
  • Семь проблем внедрения Scrum, о которых мы не знали
    +2
    при возникновении таких проблем, их надо сразу говорить менеджеру, чтоб это становилось его головной болью

    Суть в том, чтобы при возникновении проблем, они оперативно решались внутри команды, а не становились головной болью менеджера.

    Кстати, именно поэтому в Scrum отсутствует такая роль (менеджер). Человек, у которого постоянно болит голова, никак не помогает выпуску продукта.
  • Микрофильм будет существовать половину тысячелетия
    0
    Вы ведь и сейчас можете подключить 8" дисковод времен Аполлона к современному компьютеру

    Я уже давно пытаюсь, но пока не смог найти действующий 8" дисковод. Так что нет, вы не можете его подключить.

    Возможно, они в дефиците из-за того, что до сих пор используются в американской автоматизированной стратегической системе управления ядерными силами и сроки отказа от старого оборудования все время сдвигают (по последним доступным данным ждем 2020 года).
  • Как интернет-магазины теряют деньги из-за адреса в форме заказа
    +1
    Микрорайоны — это совсем не улицы в Зеленограде, внутри микрорайона может быть несколько проездов без названия. Я постоянно с этим проблему имею при вводе адреса на отечественных сервисах, приходится что-то выдумывать, чтобы ублажить робота. В Зеленограде номер корпуса однозначно кодирует здание на карте. Из примера, корпус 1204 — это можно расшифровать как 12 микрорайон, дом 04. Для людей совершенно нет никакого смысла дублировать номер микрорайона. Форма записи из примера — это для роботов. В разговоре никто не скажет «Я живу в микрорайоне 12, корпус 1204.», говорят «Я живу в корпусе 1204» и все всё понимают.

    Кстати, на зарубежных сайтах проблем с вбиванием адреса на практике никогда не встречал. Из примера получается такой адрес (если номер квартиры 01):

    Index: 124460. City/Region: Moscow, Address Line 1: Zelenograd, 1204 — 01. Address Line 2: оставляем пустой.

    И почта всегда доходит. Мне кажется, такой формат формы ввода адреса больше для людей подходит. Но недавно в Зеленограде начали давать названия проездам, чтобы их можно было использовать на сайтах. Так жизнь в одном городе меняется в угоду роботам.
  • Неделя обратной связи в Crossover
    0
    Спасибо за ссылку. В комментариях там нашел ответ на мой вопрос про работу архитектора. На всякий случай приведу цитату:
    Честно говоря сам решал это тыкая одну кнопочку левой рукой и рисуя на листочке правой.

    По моему мнению, это какое-то издевательство.
  • Неделя обратной связи в Crossover
    +2
    Всегда было интересно, как при работе под надзором трекера учитывается время, когда надо подумать над задачей. Например, архитектор ПО может думать довольно долго лежа на диване, иногда что-то рисуя на бумажке, выбрасывая их и заново рисовать. Получается, что такая деятельность не будет засчитана как активная работа?
  • Пишем свой протокол поверх UDP
    0
    1. Ок, но я доклад не смотрел. А в расшифровке доклада упустили про режим шифрования.
    2. Синхропосылка — это «nonce» в терминах AES-CTR. Должно быть уникально.
    3. crc32 защищает только от случайных искажений. Для защиты от нарушителя нужно считать имитовставку, либо использовать режим AES-GCM, где имитовставка считается одновременно с шифрованием пакета.
    4. Для публичного стрима достаточно считать имитовставку (шифровать вообще не нужно) для защиты от подмены в канале, если такая угроза рассматривается. Для непубличного необходимо шифровать все данные и тогда предположительно генерировать групповой ключ, чтобы не перешифровывать для каждого пира. Из текста я так понял, что сами фреймы не шифруются.
    5. Понятно.
  • Пишем свой протокол поверх UDP
    0
    AES — это просто алгоритм, а шифрование происходит в конкретном режиме (они описаны, например, в NIST SP 800-38A).

    На вскидку что с AES можно сделать не так:
    1. Использовать режим AES-ECB (поищите фразу «ecb penguin» в интернете).
    2. Использовать одинаковую синхропосылку для всех пакетов.
    3. Не считать целостность пакетов.
    4. Шифровать только данные, которые не обязательны для восстановления видео потока. Например, шифровать только заголовки.
    5. Не защищаться от replay attack. Например, если номер пакета не шифруется, то злоумышленник легко сможет повторно посылать старые (даже зашифрованные) данные вместо новых. Как в фильмах, где посылается видео пустого коридора, а в это время там кто-то ходит.

    Если вы не защищаетесь от нарушителя уровня спецслужб, то это пока все для начала.
  • Пишем свой протокол поверх UDP
    0
    Я хотел узнать как шифруются пакеты, как часто меняется ключ, как считается нагрузка на ключ, что происходит при потере пакетов, есть ли защита от replay attack, ну и все такое )

    Просто у меня сложилось впечатление (возможно неверное), что шифрование тут сделано для галочки в отсутствии сформулированной модели угроз и не защищает от несанкционированного просмотра видео, например.

    Использование функций шифрования не означает автоматического получения защиты данных.
  • Пишем свой протокол поверх UDP
    0
    Тут не хватает реализации ProtocolBase и UDPPacket. Видимо там скрыта работа с шифрованием пакетов.
  • Пишем свой протокол поверх UDP
    0
    Делаем самый простой вариант — Diffie-Hellman на эллиптических кривых

    Вы потом выводите для каждого пакета новый ключ или просто мешинг делаете? Тогда как клиенты выводят ключи при потерях пакетов? Или каждый пакет независимо шифруете на сессионном ключе?

    Если последнее, то, насколько я понимаю, управляющие пакеты довольно похожи и, с учетом меняющейся синхропосылки, можно довольно быстро подобрать ключ.
  • «Яндекс» и Сбербанк создадут «русский Амазон» за $1 млрд
    0
    Сейчас да, но
    Если вдруг Amazon придет в РФ, то цены у них вполне может будут выше

    И вполне возможно сам же Amazon начнет тогда лоббировать введение пошлин на доставку и ограничит деятельность мейлфорвардеров (например, перестанет отправлять на их адреса в США).

    Я имею ввиду, что корпорации в первую очередь зарабатывают деньги. И если они придут в РФ, то халява может закончится.
  • «Яндекс» и Сбербанк создадут «русский Амазон» за $1 млрд
    +1
    Про «дешевизну Amazon» слегка преувеличили. На своем рынке он вовсе не самый дешевый, да и цены у них указаны без налогов, поэтому напрямую с РФ нельзя сравнивать.

    Если вдруг Amazon придет в РФ, то цены у них вполне может будут выше, чем на том же Маркете сейчас. Сравните официальных дилеров Apple в РФ и в US — цены в РФ на Маркете сейчас бывают и пониже.

    Но я буду покупать на Amazon в РФ, если им пользоваться будет также удобно как в US, и ассортимент будет сопоставим. Особенно мечтаю о доставке overnight. Фишка Amazon не в ценах, а в сервисе. Если Яндекс сможет сделать такой же сервис в РФ, то почему нет? Хотя я заранее не очень верю в это, т.к. начинать надо с малого и постепенно развиваться — тогда компания будет правильно реагировать на запросы пользователей. А если сразу по крупному и привлечением «эффективных менеджеров», то может выйти как с Кинопоиском.

    P.S. Сначала тоже подумал, что хотят аналог AWS сделать )
  • Сколько математики нужно, чтобы подписать многоугольник в JS API Яндекс.Карт
    +2
    Когда-то давно (лет 15 назад) решали подобную задачу для подписи проекций областей видимости видеокамер на карту местности. Такая проекция (в конкретной реализации) — это почти выпуклый многоугольник, который состоит не более, чем 255 вершин. Как он получается — это отдельная история и там много нюансов (например, если стоит здание, то часть области на условную поверхность земли не проецируется, а уходит в бесконечность). Почти — это значит, что геометрический центр всегда будет внутри многоугольника, хотя многоугольник при этом может и не быть выпуклым.

    В математических терминах нужно было найти максимальный прямоугольник вписанный в такой «почти выпуклый» многоугольник. Использовали градиентный спуск для поиска максимума функции, начиная от геометрического центра. Нужно было искать и максимальный размер прямоугольника и оптимальную точку размещения его центра. Визуально результат был хорошим, но для большого количества объектов на карте, которые к тому же меняются со временем (камеры поворачиваются), алгоритм оказался не оптимальным и пришлось идти на некоторые ухищрения с кэшированием.

    Уже позже случайно нашел научную статью, где такая задача решена за время, зависящее от количества вершин многоугольника. Но переписывать уже не стали, потому что и так все работало, да и процессоры стали быстрее.

    Так, казалось бы простая задача, потребовала необычных исследований и расчетов. Было интересно.
  • Глава Минкомсвязи предлагает отслеживать потребителей незаконного контента вместо блокировок сайтов
    0
    Если это про «Билет на планету Транай», то там как раз наоборот — «ошейник» был у правителя.
  • Добываем Wi-Fi соседа стандартными средствами MacOS
    +1
    Если совсем грубо, рукопожатия представляют собой обычный хэш типа md5.
    Это правда совсем грубо. Ключ там получается путем 4096 раундов SHA1. Если быть точным, то формула такая: Key = PBKDF2(HMAC−SHA1, passphrase, ssid, 4096, 256)

    Кстати, можно заметить, что замешивается название точки, поэтому при уникальном названии предвычисления не помогают. И это аргумент за то, чтобы менять название точки на свое.
  • 640 КБ на самом деле хватит всем
    0
    Некоторое время назад тоже решил разобрать старые диски и даже комп 286 приобрел под это дело. Какие-то проекты удалось восстановить с дискет и их код попал на GitHub. Вот, например, редактор шрифтов под DOS, написанный на Паскале: github.com/codeatcpp/Font-Editor

    Интересно, что дискеты до сих пор читаются, но на запись уже работают не идеально. Наверное процесс восстановления данных, особенно с 5'' дискет или с кассет DC600A — это отдельная тема.
  • Запускаем сервис зарплат на «Моём круге»
    0
    Архитектор работает в Enterprise Architect, а ведущий разработчик в Visual Studio. Ну это условно, инструменты конечно везде разные.
  • Запускаем сервис зарплат на «Моём круге»
    0
    Не нашел специализации «Архитектор ПО» или что-то в таком духе.
  • Как ты реализуешь аутентификацию, приятель?
    +1
    Забавно (а скорее печально) тут то, что это — знакомый пример двухшаговой аутентификации (2-step verification — 2SV), которую часто ошибочно считают двухфакторной (2FV). И такая ошибка в переводе более существенна, чем безобидное расширение списка компаний.

    ГОСТ на эту тему сейчас только разрабатывается, но есть же NIST SP 800-63b, где про это очень хорошо написано. И Mail.ru стоило бы более грамотно подходить к этому вопросу, в переводах в том числе.
  • «Без лишних слов»: самые короткие научные статьи
    0
    Для написания коротких статей есть также и финансовая мотивация. Для публикации в серьезных изданиях, в том же Nature, надо платить немалые деньги за каждую публикуемую страницу. Другое дело, что попасть в Nature непросто, а со статьей в одну страницу — тем более.
  • Совбез России и ФСБ работают над системой идентификации пользователей онлайн-игр
    0
    Кстати, запретить клеить спам на заборах было бы хорошей идеей.
  • Как я создавал прибыльный глобальный SaaS проект, от разработки до продаж
    0
    Надо просто продавать одноразовые стаканчики со встроенным в верхнюю часть стенки чаем. Как только чуть отпил, то сразу процесс заваривания прекращается. Ну т.е. степень заварки автоматически определяется процессом начала использования.
  • Как мы искали и нашли ошибку в Visual Studio C++
    0
    Очень похоже на ошибку, которую мы обнаружили еще в VS2008 и она проявлялась во всех последующих версиях компилятора. На текущий момент она все еще в статусе Active.
  • ZX Spectrum: 35-летний юбилей
    0
    Не один год просидел в ZEUS. Недавно начал писать тулзу, чтобы перетащить свой z80-код со старых 5" дисков в читаемом виде. Если интересно, код тулзы можно посмотреть на github. В Visual Studio Code результат выглядит так:
    Заголовок спойлера
    image
  • Как найти партнера для практики английской речи бесплатно
    0
    Кстати да. А если приглашают на face-to-face interview, то еще и за их счет можно побывать в разных странах. Ну а если совсем повезет, то получите контракт, по которому вам будут еще и платить за то, что вы там погружаетесь в англоязычную среду.
  • Как Google заблокировал сам себя
    0
    Интересный факт, но на страничке приложения Яндекс.Ключ нет версии для Windows Mobile. Также его нет в магазине приложений Microsoft. Вы работаете в Яндексе и у вас есть бета? )
  • Как Google заблокировал сам себя
    0
    Может и лучше, но у меня Lumia, а Google свое приложение только под Android и iOS выпускает.
  • Как Google заблокировал сам себя
    0
    Кстати, идея по телефоны имеет смысл. Я сразу подключил второй шаг аутентификации с участием телефона, что в данной ситуации (стойкий пароль, который больше нигде не используется) не улучшает безопасность, но дает гуглу новую информацию про меня.
  • Почему не нужно сваливать на неточность O-оценок свои проблемы
    0
    Большое спасибо за статью и радует ее положительный рейтинг. А то, увидев множество одобрительных комментариев в статье про память, я уж испугался, что на Хабре начинается эра Indiana Pi Bill, но нет — все в порядке, можно выдохнуть )
  • Сценарии как инструмент аналитика, и как они помогают работать с требованиями
    0
    Пример сценария, который приводится в статье, вовсе не предназначен для продвижения продукта и является исключительно внутренним документом компании. Поэтому никак не может являться мотивом для приобретения продукта. Как я указал, данный подход помогает упорядочить требования и продать вижен продуктовой команде на этапе предпроектной работы.
  • Впервые зарегистрированы гравитационные волны: теперь официально
    +1
    О да, а Росчтототамнадзор будет вводить фильтрацию нейтрино для того, чтобы террористы не могли бесконтрольно перемещаться. Но сообществом будут разработаны лучи на нейтрино малых энергий, которые остановить ничуть не проще, чем нынешний интернет-трафик. Но Росчтототамнадзор будет пугать обычных пользователей, что малоэнергетические лучи могут повредить психику и не стоит ими пользоваться.