В очередной раз убеждаюсь, что в нашей стране все органы, кроме ФСБ и прокуратуры, — нагибаемы по закону. Нужно только шевелить тухесом.
Автору топика бесконечные плюсы в карму, в меру возможностей.
Ну, ок, каким образом картинка на хабре, пусть даже с фишингового сайта, может повлиять на безопасность вашей кредитки? Вам покажут сиськи и предложат перечислить деньги на счет номер такой-то?
В данном случае гугл хром утверждает, что, если вы посмотрите картинку с подозрительного сайта, на ваш компьютер может быть установлено какое-то злобное ПО. В хроме под убунту.
Гугл, по крайней мере в плане хрома, идет проторенной дорожкой от MS.
Мы в России здесь пока этого не ощущаем и для нас такие закидоны вновинку, наш русский гугл мягок, пушист и ниочем. Но в странах победившей демократии гугл — это тоталитарный монстр, настоящая корпорация зла, решающая кому жить, а кому нет.
Объясняю на пальцах, что не так с хромом.
Во-первых, то, что делает гугл, называется цензура. Пока отложим вопрос, из каких побуждений эта цензура, но факт остается фактом — он блокирует доступ к неугодному — по мнению гугла — контенту.
Во-вторых, блокируются сайты не только в хроме, но и в поисковой выдаче. А вот это уже намного серьезнее, особенно для стран, где у гугла нет серьезных конкурентов-поисковиков.
В-третьих, гугл сознательно обманывает пользователей. Хром заявляет, что «google has found that malicious software may be installed on your computer if proceed» — «гугл выяснил, что вредоносное ПО может быть установлено на ваш компьютер, если вы продолжите (смотреть этот сайт)». В данном конкретном случае никакое ПО не может быть установлено, так как здесь всего лишь картинка, а поведение браузера известно гуглу. Это настолько очевидно, что это же доказывает, что никто из гугла на самом деле ничего не выяснял — то есть человек участия в этом вообще не принимал. То есть в одном предложении содержится два заведомо лживых факта.
В четвертых, и это общеизвестно, что гугл активно следит за пользователями, и в частности знает людей, которые все-таки наплевали на запрет и таки посмотрели главную хабра.
Об этих пользователях они знают все, так как большинство юзеров хрома ведут в гугле почту, все контакты и т.п. И поверьте, вся эта консолидированная информация накапливается и никогда не удаляется.
Резюме: гугл по надуманным предлогам блокирует доступ к неугодным сайтам. Далее, обманывая пользователей, он убеждает их подчиняться цензуре, а также записывает всех, кто нарушает запрет.
Пока все делается ради «безопасности», но это лживые отмазки. Картинка с левого сайта на хабре никак не влияет на безопасность.
Все, конечно, мрачновато и параноидально, но увы так оно и есть.
Никаким корпорациям нельзя давать право вводить цензуру. Ни под каким предлогом.
Насколько я понимаю, для подавляющего большинства дело не в качестве звука как таковом, а в три-дэ-плюшках, за которые деньги плочены и которые перестали работать.
Вы так уверенно говорите, как будто вы сотрудник специализирующегося на ИТ кадрового агентства.
А я лично немного в теме, так уже года три нанимаю людей на работу по специальности веб-программист. Кандидатуры без знания РНР я просто не рассматриваю, я просто не верю, что можно разбираться в вебе и совсем не знать РНР. При этом я никого не заставляю его любить, пожалуйста, для себя пишите на чем хотите — хоть на асме вприсядку.
Так вот, из этих 2200 резюме порядка 2000 на данный момент работают, просто хотят или зарплату повыше, или ждут предложений от какого-нибудь яндекса. Да, половина из них ничего не умеет, но все оставшиеся — вполне годные программисты, а 10% даже хорошие.
:) С моей точки зрения, писать интернет-магазин что на Си, что на Лиспе — занятие исключительно для знающих толк в извращениях.
Правда жизни в том, что сегодня писать интернет-магазин вообще извращение, независимо от языка. Примерно как писать свой Ворд или Эксель, когда вам поставлена задача сделать из компьютера «офисную пишущую машинку».
Коробочные решения сегодня достигли того уровня, когда их нужно просто настроить и натянуть дизайн; ну максимум, в сложных ситуациях, дописать какой-нибудь плагин или очень слегка доработать напильником.
И да, я не теоретик, моя студия запускает магазины за 10-15 часов работы с момента утверждения дизайна, силами одного «грамотного верстальщика».
И вот среди наших клиентов очень многие — жертвы велосипедистов с сайтами не пойми на чем.
С одной стороны, эти пострадавшие меня кормят, с другой — я все же всячески агитирую любителей изобретать велосипеды уйти из профессии и устроиться куда-нибудь, где их желания будут в тему. Мне чисто по-человечески жалко людей, которые полезли в интернет-бизнес и сразу же напоролись на такие детские грабли. Вроде и заплатили нормально, но не тем.
Я правильно понимаю, вы — автор части описываемого в этой ветке комментов велосипеда? И вы только что назвали 2000 незнакомых вам человек говном только за знание РНР?
Ну, как и ожидалось, ни одного преимущества кроме того, что вам так захотелось, вы предоставить не смогли.
Пункт 1 — бездоказательно. Сделайте такой же магазин на чистом Си и предъявите результаты тестов. Тогда будем говорить.
Пункт 2 — простота для кого? По базе job.ru в default city ищут работу 2221 программиста РНР и всего 54 программиста на Lisp. Переучивание с первого на второе есть процесс долгий и никак не соотносится с «простотой добавления новый возможностей» (с точки зрения владельца магазина). Аналогично с пунктами 5 и 6 — вы просто подсадили заказчиков на себя, любимого, лишив их права себя уволить. Потому что заменить вас некем. «Вы» в данном случае — это вы двое, вместе с вашим помощником.
Пункт 3 почти никак не зависит от платформы разработки, это всего лишь функция от количества нанятых программистов и графика их работы. Если вы взяли рюкзак и умотали на месяц кормить комаров в тайге, а ваш напарник заболел — все, в случае ошибки сайт встал. Независимо от платформы.
Пункт 4, возможно, облегчает жизнь лично вам, но ни на что не влияет для заказчика.
Я ни в коем случае не нападаю на Лисп или что-либо еще. Я выступаю против использования самопальных программ, на чем бы они не были написаны, там, где есть обкатанные, проверенные и работающие решения.
Ваш пункт 5 — это прямой обман. Вы просто подставили своего работодателя, заставив платить вам за поддержку и развитие сайта в будущем. Вы любите скрытые платежи от вашего сотового оператора? Здесь то же самое.
Уникальные решения нужны в уникальных проектах. Интернет-магазины к ним не относятся. Простите, что немного жестко вышло в ваш адрес, просто не надо забивать гвозди микроскопами. Хотите делать микроскопы — так идите работать в соответствующую организацию.
Если вам действительно нужна секьюрность https — да. Либо просите ваш cdn отдавать свой контент через https. Либо поставьте у себя на сервере проксю https->http (это 15 строк на пыхыпы, гугл в помощь). Либо сделайте на https только вход и генерацию сеансовых ключей, а далее шифруйте что вам нужно сами и разбирайте на клиенте javascript-ом.
Ну так уж устроен https. Скажем, те же google maps и другие сервисы можно подключить по https, но это стоит уже больших денег.
Да, от прослушки без врезки https защитит даже с самоподписанным сертификатом.
Только таких ситуаций (когда слушать существенно легче, чем врезаться) достаточно мало, я так сходу даже не скажу. Открытый wifi, сниффинг своего сегмента ethernet… пожалуй все?
Снифать в своем сегменте локалки — идея плохая, обычно не гадят там, где спят. Сидеть в макдаке с ноутбуком и ловить лохов… ну не знаю, много имхо не выловишь. А все остальные варианты man-in-the-middle предполагают либо взлом маршрутизаторов, либо сговор с админами, либо физическую врезку в канал.
Вот как раз нет, или все HTTPS или все HTTP.
HTTPS не позволяет никаких внешних элементов, получаемых по http, это нарушение секьюрности. Ну, то есть технически конечно все сработает, но браузер будет грязно ругаться.
Сам факт обращения к картинке может говорить например о том, что пользователь посетил какую-то конкретную страницу; или это фото человека, которого вы «шифруете»; или какой-то объект имеет статус, который отображается этой картинкой. В-общем, это тоже канал утечки информации. Так что шифруется обязательно вообще все.
Автору топика бесконечные плюсы в карму, в меру возможностей.
Хотите, чтобы вам утирали сопли — обратитесь к сертифицированной воспитательнице детского сада.
Мы в России здесь пока этого не ощущаем и для нас такие закидоны вновинку, наш русский гугл мягок, пушист и ниочем. Но в странах победившей демократии гугл — это тоталитарный монстр, настоящая корпорация зла, решающая кому жить, а кому нет.
Объясняю на пальцах, что не так с хромом.
Во-первых, то, что делает гугл, называется цензура. Пока отложим вопрос, из каких побуждений эта цензура, но факт остается фактом — он блокирует доступ к неугодному — по мнению гугла — контенту.
Во-вторых, блокируются сайты не только в хроме, но и в поисковой выдаче. А вот это уже намного серьезнее, особенно для стран, где у гугла нет серьезных конкурентов-поисковиков.
В-третьих, гугл сознательно обманывает пользователей. Хром заявляет, что «google has found that malicious software may be installed on your computer if proceed» — «гугл выяснил, что вредоносное ПО может быть установлено на ваш компьютер, если вы продолжите (смотреть этот сайт)». В данном конкретном случае никакое ПО не может быть установлено, так как здесь всего лишь картинка, а поведение браузера известно гуглу. Это настолько очевидно, что это же доказывает, что никто из гугла на самом деле ничего не выяснял — то есть человек участия в этом вообще не принимал. То есть в одном предложении содержится два заведомо лживых факта.
В четвертых, и это общеизвестно, что гугл активно следит за пользователями, и в частности знает людей, которые все-таки наплевали на запрет и таки посмотрели главную хабра.
Об этих пользователях они знают все, так как большинство юзеров хрома ведут в гугле почту, все контакты и т.п. И поверьте, вся эта консолидированная информация накапливается и никогда не удаляется.
Резюме: гугл по надуманным предлогам блокирует доступ к неугодным сайтам. Далее, обманывая пользователей, он убеждает их подчиняться цензуре, а также записывает всех, кто нарушает запрет.
Пока все делается ради «безопасности», но это лживые отмазки. Картинка с левого сайта на хабре никак не влияет на безопасность.
Все, конечно, мрачновато и параноидально, но увы так оно и есть.
Никаким корпорациям нельзя давать право вводить цензуру. Ни под каким предлогом.
А я лично немного в теме, так уже года три нанимаю людей на работу по специальности веб-программист. Кандидатуры без знания РНР я просто не рассматриваю, я просто не верю, что можно разбираться в вебе и совсем не знать РНР. При этом я никого не заставляю его любить, пожалуйста, для себя пишите на чем хотите — хоть на асме вприсядку.
Так вот, из этих 2200 резюме порядка 2000 на данный момент работают, просто хотят или зарплату повыше, или ждут предложений от какого-нибудь яндекса. Да, половина из них ничего не умеет, но все оставшиеся — вполне годные программисты, а 10% даже хорошие.
Правда жизни в том, что сегодня писать интернет-магазин вообще извращение, независимо от языка. Примерно как писать свой Ворд или Эксель, когда вам поставлена задача сделать из компьютера «офисную пишущую машинку».
Коробочные решения сегодня достигли того уровня, когда их нужно просто настроить и натянуть дизайн; ну максимум, в сложных ситуациях, дописать какой-нибудь плагин или очень слегка доработать напильником.
И да, я не теоретик, моя студия запускает магазины за 10-15 часов работы с момента утверждения дизайна, силами одного «грамотного верстальщика».
И вот среди наших клиентов очень многие — жертвы велосипедистов с сайтами не пойми на чем.
С одной стороны, эти пострадавшие меня кормят, с другой — я все же всячески агитирую любителей изобретать велосипеды уйти из профессии и устроиться куда-нибудь, где их желания будут в тему. Мне чисто по-человечески жалко людей, которые полезли в интернет-бизнес и сразу же напоролись на такие детские грабли. Вроде и заплатили нормально, но не тем.
Пункт 1 — бездоказательно. Сделайте такой же магазин на чистом Си и предъявите результаты тестов. Тогда будем говорить.
Пункт 2 — простота для кого? По базе job.ru в default city ищут работу 2221 программиста РНР и всего 54 программиста на Lisp. Переучивание с первого на второе есть процесс долгий и никак не соотносится с «простотой добавления новый возможностей» (с точки зрения владельца магазина). Аналогично с пунктами 5 и 6 — вы просто подсадили заказчиков на себя, любимого, лишив их права себя уволить. Потому что заменить вас некем. «Вы» в данном случае — это вы двое, вместе с вашим помощником.
Пункт 3 почти никак не зависит от платформы разработки, это всего лишь функция от количества нанятых программистов и графика их работы. Если вы взяли рюкзак и умотали на месяц кормить комаров в тайге, а ваш напарник заболел — все, в случае ошибки сайт встал. Независимо от платформы.
Пункт 4, возможно, облегчает жизнь лично вам, но ни на что не влияет для заказчика.
Я ни в коем случае не нападаю на Лисп или что-либо еще. Я выступаю против использования самопальных программ, на чем бы они не были написаны, там, где есть обкатанные, проверенные и работающие решения.
Ваш пункт 5 — это прямой обман. Вы просто подставили своего работодателя, заставив платить вам за поддержку и развитие сайта в будущем. Вы любите скрытые платежи от вашего сотового оператора? Здесь то же самое.
Уникальные решения нужны в уникальных проектах. Интернет-магазины к ним не относятся. Простите, что немного жестко вышло в ваш адрес, просто не надо забивать гвозди микроскопами. Хотите делать микроскопы — так идите работать в соответствующую организацию.
Ну так уж устроен https. Скажем, те же google maps и другие сервисы можно подключить по https, но это стоит уже больших денег.
Только таких ситуаций (когда слушать существенно легче, чем врезаться) достаточно мало, я так сходу даже не скажу. Открытый wifi, сниффинг своего сегмента ethernet… пожалуй все?
Снифать в своем сегменте локалки — идея плохая, обычно не гадят там, где спят. Сидеть в макдаке с ноутбуком и ловить лохов… ну не знаю, много имхо не выловишь. А все остальные варианты man-in-the-middle предполагают либо взлом маршрутизаторов, либо сговор с админами, либо физическую врезку в канал.
HTTPS не позволяет никаких внешних элементов, получаемых по http, это нарушение секьюрности. Ну, то есть технически конечно все сработает, но браузер будет грязно ругаться.
Сам факт обращения к картинке может говорить например о том, что пользователь посетил какую-то конкретную страницу; или это фото человека, которого вы «шифруете»; или какой-то объект имеет статус, который отображается этой картинкой. В-общем, это тоже канал утечки информации. Так что шифруется обязательно вообще все.