Вы серьезно? Я получил инвайт на Хабр исключительно за счет вот этого 15-минутного пошагового гайда по установке Outline (правда, он на английском — это была адаптированная версия университетского проекта по ИБ, а Хабр тогда как раз стремился развивать англоязычный контент). На ваш взгляд, там недостаточно доступно для простого юзера?
Самое интересное, что тому гайду уже семь лет, а Shadowsocks даже сейчас продолжает относительно успешно справляться с блокировками (по крайней мере, так сообщают мои пользователи в России; сам проверить не могу). Получается задача на пару часов: перевести текст на русский (там от силы несколько сотен слов, причем объяснять, зачем нужен VPN, уже не нужно — сегодня это понятно без слов) и добавить пару деталей (например, про оплату иностранных серверов). Я думал этим заняться еще несколько месяцев назад, но мне все казалось, что за такую примитивщину меня засмеют / заминусуют. А вы как считаете?
Попробуйте, конечно, но здесь будет сложно. ECC-ключ в теории можно сжать до 40–50 символов в Base64 (на «короткий» код не очень похоже), а RSA и вовсе почти не поддается сжатию. Для по-настоящему коротких кодов (как в гуглокартах) вам потребуется БД в качестве слоя-переводчика, а это и для вас расходы, и для пользователей новый вектор атаки (MITM).
А если прикрутить к этому RSA или ECC, чтобы можно было повесить свой публичный ключ в описании профиля или еще где-то (примерно как делают с PGP для почты)?
Конкретная иллюстрация в разделе про CSS какая-то неудачная: свойства в примере кода — это ведь не горизонтальное и вертикальное центрирование, а основная и ортогональная (перпендикулярная) оси; для смены направления используется flex-direction.
Можно согласиться с тем, что многие вещи во многих языках и библиотеках сделаны «нелогично». Но часть проблем решается сама собой, если не натягивать старые ожидания на новые инструменты. Вы же не ожидаете, что автомобиль нужно заправлять сеном.
Так в этом и все дело: в ВК знали про эту дыру десятилетиями, но и там ее не исправили, и в новый сервис притащили в таком же виде. Да и вообще кажется, что задача нового сервиса — плодить как можно больше подобных дыр в угоду простоте слежки и «закрытия» пользователей.
«Детские болезни молодого сервиса»? ВК (родительская компания «Макса») использует такую архитектуру с самого запуска. Казалось бы, можно было сделать выводы. Но нет.
А чем это принципиально отличается от архитектуры ВК? Или они просто скопировали 20-летнее решение со всеми его «фичами»?
В ВК, напомню, вся статика (картинки из личных сообщений, фото в закрытых постах и т.д.) просто заливается на CDN без какой-либо аутентификации. Несколько лет назад они прикрутили ключи доступа в query, но, как я понимаю, такие ссылки все равно формально являются публичными, потому что не привязаны к конкретной сессии (не уверен, что ключ в URL вообще когда-либо истекает). Ну и самое интересное: статика не удаляется никогда, так что даже если сообщения, поста или альбома больше нет, прямые ссылки продолжают работать. Копирайт, CSAM и подобные вещи ВК, очевидно, не беспокоят (сделал открытие, да).
Если позволите совет, я бы на вашем месте не слишком ломал голову насчет окончательного выбора профессии. Пока вы будете учиться в 10 и 11 классах, и отрасль в целом, и рынок труда в ней успеют заметно измениться. И это даже не говоря о том, что ваши собственные интересы и предпочтения (почти наверняка) будут меняться лет до 25. Да и оставаться в одной профессии всю жизнь у вас, скорее всего, уже не получится.
Это все к тому, что на каникулах вам стоило бы попробовать и разработку, и тестирование, и (условный) продакт-менеджмент (где больше про людей, чем про компьютеры), сделать выводы о том, что больше заинтересовало, но оставаться открытым к возможным (и даже вероятным) переменам в будущем.
Моя мысль как раз в том, чтобы создать отдельную компанию (как всякие яндексы и касперские «передали» свои аккаунты в App Store иностранным (швейцарским, кажется) «дочкам»), на нее зарегистрировать домены, которых нет в стоп-листах, и дальше анонимно выпустить для них сертификаты LE.
Все это время меня интересует вопрос: почему Сбербанк и Госуслуги не могут использовать Let’s Encrypt? Средний пользователь iOS, даже имея большое желание, замучается с установкой сертификатов (и, вероятно, не справится).
Наверняка есть какие-то внутренние политики против бесплатных сертификатов (как минимум упускается возможность распилить деньги на платных), но можно же, наверное, сделать гейтвей на отдельных хостах — все-таки это лучше, чем оставить пользователей совсем без доступа.
Если аудитория выросла с 999 млн до миллиарда, то, может, новые люди и не нужны (если все системы уже настроены на автоматическое масштабирование). Но если аудитория резко выросла в два, три, десять раз, то, скорее всего, вам понадобятся несколько (или полностью) другие подходы к самой архитектуре, потому что у каждого варианта есть свои лимиты, после которых или ложатся системы, или стоимость обслуживания улетает в космос.
В рамках второй волны увольнений за последние две недели Twitter закрыла офисы компании до 21 ноября и отключила доступ по бейджам в целях безопасности. Но что-то пошло не так. Как рассказал Алекс Коэн, который был уволен в пятницу днём и отвечал за доступ к бейджам в офисах Twitter, ему позвонил Маск спросил, может ли он срочно вернуться на работу, чтобы помочь им восстановить доступ к системе охраны в штаб-квартире, поскольку они отключили все бейджи и случайно заблокировали себя. Коэн пришёл и помог. Маск его поблагодарил за это.
История про бейджи — это шутка / фейк, а Маск, судя по всему, подыграл «Алексу Коэну». В аккаунте последнего описание: “Mostly parody account.” Да и твит про «закрытие офисов» уже удален.
For personal use, it’s secure enough, I think. However, I wouldn’t recommend running Outline for hundreds of users, unless you know how to secure the service further.
Speaking of content restrictions, in my tests I was able to watch region-specific Netflix titles just fine. It seems like you could access Indonesian content as well.
Вы серьезно? Я получил инвайт на Хабр исключительно за счет вот этого 15-минутного пошагового гайда по установке Outline (правда, он на английском — это была адаптированная версия университетского проекта по ИБ, а Хабр тогда как раз стремился развивать англоязычный контент). На ваш взгляд, там недостаточно доступно для простого юзера?
Самое интересное, что тому гайду уже семь лет, а Shadowsocks даже сейчас продолжает относительно успешно справляться с блокировками (по крайней мере, так сообщают мои пользователи в России; сам проверить не могу). Получается задача на пару часов: перевести текст на русский (там от силы несколько сотен слов, причем объяснять, зачем нужен VPN, уже не нужно — сегодня это понятно без слов) и добавить пару деталей (например, про оплату иностранных серверов). Я думал этим заняться еще несколько месяцев назад, но мне все казалось, что за такую примитивщину меня засмеют / заминусуют. А вы как считаете?
Попробуйте, конечно, но здесь будет сложно. ECC-ключ в теории можно сжать до 40–50 символов в Base64 (на «короткий» код не очень похоже), а RSA и вовсе почти не поддается сжатию. Для по-настоящему коротких кодов (как в гуглокартах) вам потребуется БД в качестве слоя-переводчика, а это и для вас расходы, и для пользователей новый вектор атаки (MITM).
А если прикрутить к этому RSA или ECC, чтобы можно было повесить свой публичный ключ в описании профиля или еще где-то (примерно как делают с PGP для почты)?
Конкретная иллюстрация в разделе про CSS какая-то неудачная: свойства в примере кода — это ведь не горизонтальное и вертикальное центрирование, а основная и ортогональная (перпендикулярная) оси; для смены направления используется
flex-direction.Можно согласиться с тем, что многие вещи во многих языках и библиотеках сделаны «нелогично». Но часть проблем решается сама собой, если не натягивать старые ожидания на новые инструменты. Вы же не ожидаете, что автомобиль нужно заправлять сеном.
Так в этом и все дело: в ВК знали про эту дыру десятилетиями, но и там ее не исправили, и в новый сервис притащили в таком же виде. Да и вообще кажется, что задача нового сервиса — плодить как можно больше подобных дыр в угоду простоте слежки и «закрытия» пользователей.
«Детские болезни молодого сервиса»? ВК (родительская компания «Макса») использует такую архитектуру с самого запуска. Казалось бы, можно было сделать выводы. Но нет.
А чем это принципиально отличается от архитектуры ВК? Или они просто скопировали 20-летнее решение со всеми его «фичами»?
В ВК, напомню, вся статика (картинки из личных сообщений, фото в закрытых постах и т.д.) просто заливается на CDN без какой-либо аутентификации. Несколько лет назад они прикрутили ключи доступа в query, но, как я понимаю, такие ссылки все равно формально являются публичными, потому что не привязаны к конкретной сессии (не уверен, что ключ в URL вообще когда-либо истекает). Ну и самое интересное: статика не удаляется никогда, так что даже если сообщения, поста или альбома больше нет, прямые ссылки продолжают работать. Копирайт, CSAM и подобные вещи ВК, очевидно, не беспокоят (сделал открытие, да).
Если позволите совет, я бы на вашем месте не слишком ломал голову насчет окончательного выбора профессии. Пока вы будете учиться в 10 и 11 классах, и отрасль в целом, и рынок труда в ней успеют заметно измениться. И это даже не говоря о том, что ваши собственные интересы и предпочтения (почти наверняка) будут меняться лет до 25. Да и оставаться в одной профессии всю жизнь у вас, скорее всего, уже не получится.
Это все к тому, что на каникулах вам стоило бы попробовать и разработку, и тестирование, и (условный) продакт-менеджмент (где больше про людей, чем про компьютеры), сделать выводы о том, что больше заинтересовало, но оставаться открытым к возможным (и даже вероятным) переменам в будущем.
Надо полагать, под QA вы понимаете только ручное тестирование?
А еще есть всякие свадьбы и разводы, после которых может поменяться имя 🤷🏼♂️
Зато на Хабре AI-слоп цветет и пахнет…
Thanks for your feedback! I’m even surprised a bit the tips in the post still work after almost four years.
Спасибо за ссылки!
Моя мысль как раз в том, чтобы создать отдельную компанию (как всякие яндексы и касперские «передали» свои аккаунты в App Store иностранным (швейцарским, кажется) «дочкам»), на нее зарегистрировать домены, которых нет в стоп-листах, и дальше анонимно выпустить для них сертификаты LE.
Все это время меня интересует вопрос: почему Сбербанк и Госуслуги не могут использовать Let’s Encrypt? Средний пользователь iOS, даже имея большое желание, замучается с установкой сертификатов (и, вероятно, не справится).
Наверняка есть какие-то внутренние политики против бесплатных сертификатов (как минимум упускается возможность распилить деньги на платных), но можно же, наверное, сделать гейтвей на отдельных хостах — все-таки это лучше, чем оставить пользователей совсем без доступа.
Если аудитория выросла с 999 млн до миллиарда, то, может, новые люди и не нужны (если все системы уже настроены на автоматическое масштабирование). Но если аудитория резко выросла в два, три, десять раз, то, скорее всего, вам понадобятся несколько (или полностью) другие подходы к самой архитектуре, потому что у каждого варианта есть свои лимиты, после которых или ложатся системы, или стоимость обслуживания улетает в космос.
История про бейджи — это шутка / фейк, а Маск, судя по всему, подыграл «Алексу Коэну». В аккаунте последнего описание: “Mostly parody account.” Да и твит про «закрытие офисов» уже удален.
А что Титов?
For personal use, it’s secure enough, I think. However, I wouldn’t recommend running Outline for hundreds of users, unless you know how to secure the service further.
Speaking of content restrictions, in my tests I was able to watch region-specific Netflix titles just fine. It seems like you could access Indonesian content as well.