Как стать автором
Обновить
4
0.1

Архитектор и разработчик ПО

Отправить сообщение

Бесит не только сам бесконечный скролл, но и когда страница перегружается (не всегда самим пользователем) - непонятно как вернуться на место, где ты был? Сразу прыгнуть нельзя, и опять надо мотать непонятно сколько времени.

Есть же способ несколько повысить стойкость за счет скорости - применить несколько шифров "конкурирующих стран" условно подряд. Разумеется тут есть свои тонкости (разбиение ключа, не все режимы годятся и т.д.), но принцип вполне рабочий. Подробности есть у Шнайера.

целиком не угонишь для создания новых, а вот если жертва не зайдет в систему то коды можно использовать

В этом случае это работает не хуже схемы с кодами из смс.

а как восстановить утерянный OTP? отправить смс на номер для альтернативного метода входа?

Ну если мошенники полностью угнали аккаунт - то OTP конечно не спасет, но просто так восстановить "потерянный OTP" не получится, там пароль от аккаунта нужен. Хотя конечно если в каком-то сценарии есть схема с отправкой волшебной смс - это дыра и надо ее исправлять. Вместе с OTP надо использовать резервные коды, как например в гугле, для таких случаев.

Используйте OTP для подтверждения входа в госуслуги. Это похоже на смс, но имеет ряд достоинств:

  • нет завязки на сотовую связь и оператора - соответственно меньше вектор атак

  • не все мошенники умеют работать с OTP, поэтому шанс их разоблачить повышается (хотя это временно)

  • OTP полностью под вашим контролем, будет работать даже если номер заблокируют или не будет сотовой связи вообще

  • действие кода короче, чем в смс, что усложняет атаки (чисто по времени)

  • OTP нельзя угнать даже узнав код (даже и несколько кодов подряд), а вот дубликат сим-карты мошенники могут попробовать выпустить

Единственный минус - для не подкованных родственников надо объяснить как это работает, поставить программы (полно свободных и бесплатных для компа и телефона), но это того стоит.

Интересно, а инженеры, которые это собирали и проверяли - не обращали внимание на подозрительный звук? Или как обычно тял-ляп и в серию, а премия сама себя не выпишет?

Вообще непонятно с чем идет борьба. Вроде как уже сейчас все строго по паспорту, но при этом есть карты на юрлиц, карты оформленные на "реальные" данные и тем более карты других стран (вообще анонимные), которые вполне работают в РФ, включая доступ в интернет. Так что злоумышленникам это вообще никак не помешает.

Обновление регулирования может привести к увеличению нелегального оборота сим-карт

Это и произойдет скорее всего, а честным людям жизнь опять усложнят: наверняка закон будет иметь обратную силу и опять заставят проходить перерегистрацию.

А где же темы наподобие "низкоуровневое и системное программирование, работа процессора и других компонентов"? Или вот еще "Алгоритмы, математика, теория информации"? Целые пласты упущены, в которых работают многие люди и делаются интереснейшие вещи.

Как человек тоже немного имеющий отношение, согласен с @DarkTiger.

Хочу добавить про более современные телефоны и тендении, что для того, чтобы не делиться никакими исходниками крупные производители (Mediatek, Samsung, Qualcomm) пошли по другому пути. Теперь ядро системы (линукс) содержит минимум правок относительно референса, очень многое перешло на модули, которые разумеется идут под закрытыми лицензиями и соответственно не попадают под GPL. Да и само ядро уже не является краеугольным камнем системы, получение исходников ядра даст очень мало свободы с плане модификаций. В современных телефонах у вас будет bios, гипервизор, трастзона, модем, видеочип, ИИ-чип и многое другое - это все не просто наглухо закрытое, оно еще и использует подписи и прочую криптографию, чтобы запретить даже патчить бинарный вид. А исходники ядра вам скорее дадут, некоторые даже регулярно выкладывают, просто все самое интересное потихоньку переезжает из открытого ядра в закрытые компоненты.

Фар всегда славился плагинами, поэтому вопрос - а планируется ли портирование плагинов из основной ветки (фар3: arclite, brackets, etc.), и возможно дополнительных плагинов других авторов? Вообще, насколько сложно портировать плагины к которым есть исходники (visren, hexitor, textconv, etc.)?

Роскомнадзор проверит информацию и внесёт IP-адреса компании в «белый список»

Ну вот и белые списки подъехали.

- название компании; - IP-адреса; - типы используемых VPN-сервисов и протоколов

а где же требование ключей для расшифровки трафика? как без них понять, что компания использует vpn строго по назначению?

Зачем каждый раз печатать эту "новость"? Смотреть надо на дела, а не на слова. Слов много, а дел (не считая административных) - нет. Значит, никакие люди на самом деле не нужны, а вот покричать в очередной раз хочется.

Гугл пытается бороться с фрагментацией путем закручивания гаек и переноса функционала из в целом открытой системы в свои сервисы с закрытыми исходниками кстати. И это мне кажется приводит к еще большей фрагментации. Логично было бы рассмотреть велосипеды, которые наплодили вендоры (как правило это недостающая функциональность, которой официально нет, но она нужна) и внедрить их в систему, но это делается удивительно медленно и неаккуратно, в результате имеем свои уже оформившиеся наборы костылей местами несовместимые между собой.

И похоже дальше фрагментация будет расти только по нарастающей, и приведет к "балканизации" андроида (собственно почти уже, Китай - хороший пример).

стоит ли ждать новых версий ОС и когда обновление с ней придёт на ваш смартфон? Я считаю, что нет.

Да каждый год почти выходит мажорная версия, но нового для пользователей там довольно мало, видимо гугл забил на масштабные улучшения и просто "доит" рынок, понимая что роста как прежде уже не будет, а вот лишнюю копеечку от вендоров можно и заработать.

Эксперты по информационной безопасности не раз говорили о возможных киберрисках

но Григоренко поручил ускорить их реализацию

Куда так торопимся?

ЕБС хранит лишь слепки лица и голоса — в ней нет такой информации, как ФИО, адрес, паспорт

а в чем смысл хранить слепок без привязки? наверное в соседней таблице хранится и ФИО и все остальное?

В ЦБТ уверяют, что риски использования сервисов на сегодняшний день сведены к нулю.

подменяем якобы "обезличенные" данные и кто-то другой имеет кучу плюшек, ну или кучу проблем, и доказать будет ничего нельзя.

Ставка на "все номера строго по паспорту" - не работает. Есть куча стран, где мобильные номера анонимные и при этом они работают в РФ (включая мобильный интернет), и всякие телеграмы на эти номера тоже отлично регистрируются. Получается, чтобы это запретить, придется разрывать соглашения о роуминге со всеми странами? Хотя если планируется блокировка интернета, почему бы не быть блокировки сотовой связи тоже?

Очень часто вижу ситуацию когда "сениоры" вместо разработки (то есть создание фичей) скатываются в "помогательство".

Так это из-за "инфляции" синьоров. Во многих местах им дальше просто некуда расти в техническом смысле, вот люди и переключаются на менторство, архитектуры и т.п. И если в компании таких должностей формально нет, а по факту они есть - это повод пересмотреть организационную сетку.

если еще не подавали уведомление в РФ о наличии иностранного ВНЖ – разумно его подать

Интересно, просто разрешение на работу более 6 месяцев является ВНЖ? Если да, то как подать его находясь за границей, ведь его подлинник не в РФ? Или надо делать заверенную копию в консульстве и высылать ее в РФ?

Советы можно условно объединить в один - развивайтесь многогранно. При этом у вас не будет жесткой специализации, но зато будет время на математику, историю, другие языки и много чего другого, заодно придется научиться слушать других и объяснять им.

Интересно, как на ARM, догадается clang применить условное перемещение и даст ли это выигрыш?

К сожалению это только верхушка айсберга. Дядя Ляо конечно продаст вам партию телефонов с вашим шильдиком и даже с принципиальной схемой, которая не сильно отличается от референса, но основу всего составляет SoC, а условное SDK/DDK для них (возьмем любого из тройки MediaTek, Qualcomm, Samsung для примера) - очень закрытое и у вас не будет даже исходников многих компонентов, и в этом будет основная проблема: вы даже произвольную версию ядра линукс не поставите на свой телефон. Никаких исходников RTOS, гипервизора, видеоускорителя вы не получите вообще. От модема и трастзоны - частично, зависит от заплаченных денег (могут вообще не дать). У вас даже ключа не будет для подписи некоторых компонентов прошивки, вам их выдадут в бинарном виде и выбросить их нельзя, потому что на них многое завязано. Понятно что возможности глубоко лезть в потроха у вас просто не будет, либо придется отключать целые узлы системы, если это вообще возможно. И да, все это добро выдается по подписке, либо на конкретную версию (диапазон) андроида, и версию выбираете не вы.

Проблема в том, что 99% "вторичных" производителей (которые сидят на готовых решениях дяди Ляо) телефонов устраивает такая практика - они не лезут в систему вообще, а кастомизация заключается в настройке "нескучных обоев" и региональных ограничениях в софте и настройках. И видя это производители SoC перестают выдавать даже документацию на отдельные компоненты - зачем, если никому не нужно в итоге. Сравните SDK пятилетней давности и сегодняшний например.

Эх, делали же раньше устройства, можно было свои прошивки писать с нуля, а сейчас все заколочено наглухо и надо преодолевать большое число препятствий чтобы хоть что-то там сделать. Можно прямо статьи писать, как приходится реверсить ключи и прочую криптографию чтобы иметь возоможность хотя бы патчить компоненты. Сейчас же в телефонах полный набор: траст-зона, гипервизор, несколько ОС (включая RTOS) работающих одновременно, аппаратные ключи и подписи ну и почти полное отсутствие даже доков, не говоря уж об исходниках. Ну и конечно такой адский труд получается никому особо не нужный, разве что для развлечения, потому что производители последовательно и жестко отбивают желание что-то делать, продолжая закрывать все что только можно.

Информация

В рейтинге
2 858-й
Зарегистрирован
Активность

Специализация

Software Architect, Low level system programming
Lead
От 5 000 $
Git
English
Research work
Software development
Programming microcontrollers
Assembler
C
C++
Specialists recruitment
Interview