К сожалению, за написание статей на хабре мне не платили… И не платят. И пиарить себя здесь мне сейчас не с руки. Думаю, что будет достаточным пруфом то, что патчи приняли в ядро. К тому же в описании пулл-реквестов даны конкретные шаги, чтобы получить баг: можете попробовать на досуге.
А для опен-сурса важна именно популяризация.
Т.е. качество уже не играет роли? (:
Вы активно занимаетесь популяризацией — это хорошо. Я же одно время назад имел возможность немного повысить качество этого продукта, что я думаю, тоже не плохо.
Вы используете MODX по полной
Я лично никак не использую MODX. Все что меня с ним сейчас связывает это два пулл-реквеста к моему модулю, на внесение которых, у меня к сожалению сейчас нет времени.
Я тридцать пуллреквестов отправил в MODX, а не три, и не за деньги Фабрики.
Ну, очевидно, вы зарабатываете созданием сайтов на MODX. Следовательно ваш вклад в сообщество MODX оплачен заказчиками этих сайтов. (:
В любом случае сообщество MODX остается в плюсе — оплачивают ли вклад компании типа Фабрики или же заказчики сайтов. (:
Кстати, после этого фикса getResources начал справляться с выводом ресурсов для ShopKeeper'a как надо. (:
Ну и все это было багом MySQL 5.0, в 5.1 все работало гораздо лучше. Хотя с этим патчем еще процентов на 30 быстрее. (:
Тут написано, что ОС Fedora как-то связана с компанией RedHat. RedHat же, непосредственно, не является каким-либо из синонимов ядра Linux. Это грубо говоря, компания, которая выпускает свои сборки операционных систем с ядром Linux. Так что упоминания об использовании ядра Linux в ОС Fedora на главной странице сайта ОС Fedora, все же нет. (:
Рискуя быть заминусованным, все-таки выскажу свою точку зрения.
Я некоторое время назад работал на «Фабрике сайтов» в должности программиста. Я не могу сказать, что это был какой-то негативный опыт: в любой компании есть свои особенности, и Фабрика не исключение. Но здравомыслящий человек, который понимает что ему нужно, вполне может там работать и развиваться. Со своей стороны могу сказать, что у меня к Фабрике нет никаких претензий как к работодателю, а мне, поверьте, есть с чем сравнить.
С точки зрения ведения бизнеса, мне сложно что-то сказать, так как это не было связано с моей должностью. Но как бывшему фрилансеру мне понятно, что с одной стороны, не все клиенты «одинаково полезны», с другой — работая «на поток» всегда будут какие-то промашки и недовольства. Например, все ли довольны работой нашего общественного транспорта? Но при этом он делает большое дело за достаточно символическую плату.
Но главное о чем я хотел сказать, что я несовсем согласен с высказыванием о том, что
Действия Фабрики сайтов (и подобных компаний) нарушают интересы MODX-сообщества
и проаргументирую свою позицию тем, что за время моей работы на Фабрике, я и мои коллеги внесли некоторый вклад в сообщество MODX, например раз, два и три. Эти фиксы увеличивают производительность определенных частей ядра MODX в десятки, а в некоторых случаях и в сотни раз. Мой коллега исправил достаточно фундаментальную уязвимость в слое безопасности, в результате чего новая версия и патчи для тех, кто не может обновится, вышли через день-два после пулл-реквеста. Я уж не говорю про оупенсорс модуль для MODX, который я тоже написал, работая там. И все это было сделано в рабочее, оплачиваемое мне Фабрикой время.
В общем, я не хочу ни защищать ни нападать на кого-либо из участников данного процесса. Я просто призываю немного более объективно смотреть на вещи и удерживаться от необоснованных высказываний в чей-либо адрес.
Видимо все-таки не каждое копирование и продажа проекта с открытыми исходниками и GPL является нарушением этой лицензии…
От себя скажу, что GPL не запрещает продавать услуги по настройке софта. Думаю, что в договорах Фабрики именно это и прописано, а не то, что они продают вам свою CMS.
Думаю, имеет смысл как-то оповестить об этом Wosign. Но что-то я не нашел для этого подходящего способа, кроме как написать письмо на ящик help@wosign.com но за два дня ответа так и не получил.
Они никак не проверяют существование другого сертификата на этот же хост
Кстати, недавно пробовал получить второй сертификат на другие поддомены, и как ни странно у меня ничего не получилось (правда использовал тот-же имейл). Получил письмо с сообщением, что у вас что-то странное и мы с вами свяжемся. В результате никто не связался…
У WoSign тоже можно на один домен несколько сертификатов заказывать
Если пользоваться вашей аналогией, я скорее имею в виду, что не стоит на машине закрашивать замок краской цвета остальной двери, чтобы злоумышленник его не смог заметить. Замок-то все-равно есть.
У StartSSL можно с другого имейла заверифаить домен, и выписать новый сертификат.
Таким образом вы никак не улучшите ситуацию со скомпрометированным и неотозванным сертификатом. Разве что вы не используете Public Key Pinning для своих конечных сертификатов, что вроде как не очень рекомендуется…
А доменные имена можно и так при желании узнать при помощи брутфорс атаки по словарю.
Для этого даже писать ничего не надо, гугл выдает вагон софта по запросу «bruteforce subdomains»
StartSSL и WoSign имеют разные политики аннулирования сертификатов. У StartSSL — оно платное, у WoSign как мне кажется — нет.
Если уж и выписывать разные сертификаты, то к разным ключам и эти ключи должны соответствовать разным группам безопасности доменов. Таким образом, если будет скомпрометирован ключ тех доменов, по которым ходят пользователи, то трафик, например, администраторов останется в безопасности.
Тире, если мне не изменяет память, в русском языке в данном случае трактуется как «это есть».
Странно, но википедия считает иначе
К сожалению, за написание статей на хабре мне не платили… И не платят. И пиарить себя здесь мне сейчас не с руки. Думаю, что будет достаточным пруфом то, что патчи приняли в ядро. К тому же в описании пулл-реквестов даны конкретные шаги, чтобы получить баг: можете попробовать на досуге.
Т.е. качество уже не играет роли? (:
Вы активно занимаетесь популяризацией — это хорошо. Я же одно время назад имел возможность немного повысить качество этого продукта, что я думаю, тоже не плохо.
Я лично никак не использую MODX. Все что меня с ним сейчас связывает это два пулл-реквеста к моему модулю, на внесение которых, у меня к сожалению сейчас нет времени.
Ну, очевидно, вы зарабатываете созданием сайтов на MODX. Следовательно ваш вклад в сообщество MODX оплачен заказчиками этих сайтов. (:
В любом случае сообщество MODX остается в плюсе — оплачивают ли вклад компании типа Фабрики или же заказчики сайтов. (:
Ну и все это было багом MySQL 5.0, в 5.1 все работало гораздо лучше. Хотя с этим патчем еще процентов на 30 быстрее. (:
Я некоторое время назад работал на «Фабрике сайтов» в должности программиста. Я не могу сказать, что это был какой-то негативный опыт: в любой компании есть свои особенности, и Фабрика не исключение. Но здравомыслящий человек, который понимает что ему нужно, вполне может там работать и развиваться. Со своей стороны могу сказать, что у меня к Фабрике нет никаких претензий как к работодателю, а мне, поверьте, есть с чем сравнить.
С точки зрения ведения бизнеса, мне сложно что-то сказать, так как это не было связано с моей должностью. Но как бывшему фрилансеру мне понятно, что с одной стороны, не все клиенты «одинаково полезны», с другой — работая «на поток» всегда будут какие-то промашки и недовольства. Например, все ли довольны работой нашего общественного транспорта? Но при этом он делает большое дело за достаточно символическую плату.
Но главное о чем я хотел сказать, что я несовсем согласен с высказыванием о том, что
и проаргументирую свою позицию тем, что за время моей работы на Фабрике, я и мои коллеги внесли некоторый вклад в сообщество MODX, например раз, два и три. Эти фиксы увеличивают производительность определенных частей ядра MODX в десятки, а в некоторых случаях и в сотни раз. Мой коллега исправил достаточно фундаментальную уязвимость в слое безопасности, в результате чего новая версия и патчи для тех, кто не может обновится, вышли через день-два после пулл-реквеста. Я уж не говорю про оупенсорс модуль для MODX, который я тоже написал, работая там. И все это было сделано в рабочее, оплачиваемое мне Фабрикой время.
В общем, я не хочу ни защищать ни нападать на кого-либо из участников данного процесса. Я просто призываю немного более объективно смотреть на вещи и удерживаться от необоснованных высказываний в чей-либо адрес.
От себя скажу, что GPL не запрещает продавать услуги по настройке софта. Думаю, что в договорах Фабрики именно это и прописано, а не то, что они продают вам свою CMS.
Почему-то RedHat не судится с CentOS ну и Торвальдс с RedHat тоже.
В любом случае, платность отзыва в StartSSL меня лично не очень устраивает. Хотя при серьезной атаке, отзыв сертификата вроде как не очень поможет…
Кстати, недавно пробовал получить второй сертификат на другие поддомены, и как ни странно у меня ничего не получилось (правда использовал тот-же имейл). Получил письмо с сообщением, что у вас что-то странное и мы с вами свяжемся. В результате никто не связался…
Подтверждаю.
Не думаю…
Если пользоваться вашей аналогией, я скорее имею в виду, что не стоит на машине закрашивать замок краской цвета остальной двери, чтобы злоумышленник его не смог заметить. Замок-то все-равно есть.
Таким образом вы никак не улучшите ситуацию со скомпрометированным и неотозванным сертификатом. Разве что вы не используете Public Key Pinning для своих конечных сертификатов, что вроде как не очень рекомендуется…
Для этого даже писать ничего не надо, гугл выдает вагон софта по запросу «bruteforce subdomains»
Так это и есть obscurity, разве не так?
StartSSL и WoSign имеют разные политики аннулирования сертификатов. У StartSSL — оно платное, у WoSign как мне кажется — нет.
Если уж и выписывать разные сертификаты, то к разным ключам и эти ключи должны соответствовать разным группам безопасности доменов. Таким образом, если будет скомпрометирован ключ тех доменов, по которым ходят пользователи, то трафик, например, администраторов останется в безопасности.
Судя по тому, что где-то у вас nginx ругался на неверный «Content-Type» ответа OSCP сервера, в этом ответе был текст ошибки. Попробуйте выполнить
и посмотреть что в нем.
Если ответ правильный, то должно быть