Прекрасная аккумуляция накопленного знания! Это я об этой статье.
Мой личный опыт привёл меня к мысли о наименьшем завязывании на групповые политики. Факт остаётся в том, что они очень медленные по скорости реакции на событие и распихивать ими действительно можно только ссылочки на файлик конфигурации на уровне всей клиентской машины для всех пользователей.
Эта статья о полном захвате власти над управлением списком баз 1С админом. В AD вы не пустите 1С разработчика, и не будете его обучать, как ей пользоваться… А лопатить всё самому за них — права, не стоит.
Я сделал всё проще. Я так же разграничил доступ к файлам на уровне парав пользователей AD в файловой системе, и совершенно не засирал AD лишней информацией о группах, базах и прочей хрени. Просто даёте права правки изменения на каталог с конфигурационными файлами 1С разработчику или группе этих оболтусов, обучаете основному принципу, как это работает, и забываете об этом, как о страшном сне.
Так нужно сделать по уже описанным выше комментариям… 1С разработчик, в большинстве компаний — он же и админ 1С баз, серверов, техподдержка пользователей в части 1С…
Вот единственный ключевой момент о котором стоит позаботиться сразу, так, это ссылка на шару с конфигурационными файлами на клиента обязательно должна быть ссылкой в dns на реальный адерс. И тогда, вам вообще не нужно будет использовать GPO для изменения ссылки на конфигурационную шару. Всё правление перемещается в DNS. Если вы, вдруг вздумаете перенести шару на другой сервер, то вам всего лишь достаточно поменять DNS запись синонима. Это прорывная идея, я вам скажу, которой я очень горжусь.
Вообще хотел обновление своей статьи сделать, часть 2 — так сказать. Но времени нет вырисовывать всё это. Поэтому решил отписаться самым ядром идеи здесь в комментарии.
Поверьте не стоит засирать AD этим мусором, который вы не разгребёте с увеличивающимся количеством пользователей, баз, 1С разработчиков, кластеров. Просто отдайте эту кухню им и скажите, что у них есть все возможности для манипуляции с доступом к базам. Это куда продуктивней. А ваша работа должна сводиться к следующим моментам:
— Создать конфигурационную шару,
— набить конфигурационными файлам,
— раздать права ответственным,
— на все компьютеры клиентские в общепользовательский каталог напихать ссылку на ссылку в DNS на запись о конфигурационной шаре.
— обучить «этих бездельников» работать с этим.
Единственная работа которая вас ждёт в дальнейшем с этим, это перенос конфигурационной шары на другой сервер. Тогда, вам, прямо, предстоит титанический труд:
— скопировать шару с правами, как есть,
— изиминить ссылку на шару в DNS.
Вот это будет дичайшая автоматизация процесса. Это с позиции Админа.
С позиции 1С разработчика, тоже всё удобно, они сами рулят тем, чем рулили, только в более полной мере, и им не нужно повышать права в системе хоть на сколько нибудь.
P.S. «Бездельники» взяты в кавычки… Не нужно подымать рёв. Я не считаю 1С разработчиков бездельниками… Может, лентяями, но не бездельниками. Об их тяжёлом труде я знаю не по наслышке — сам сейчас работаю 1С программистом.
Глупо вешать всё на админа, когда можно настоить и передать 1С'нику. Суровые реалии нашего рынка диктуют другие условия.
1С разработчик, он же по совместительству и админ 1С, он контролирует заведение пользователей в 1С, он принимает решение об переносе функционала в отдельную базу, конфигурацию. И нужно лишь ему немножко помочь, чтобы он в очередной раз не мучил тебя просьбой подключить кому-то каую-то базу, а потом её отключить… или поменять настройки подключения к базе… Эта кухня не нужна админу… И во многих организациях, даже ооочень крупных, админы почти не занимаются администрированием 1С. Это я взял не из головы, а практика, которую я вижу.
А к вашим словам, что 1С'ник не может создать базу своими руками… Он очень легко может наколхозить под пользователем сотрудника, придя за компьютер… И вот тут, вы пятнадцать раз пожалеете, что не научили этого колхозника работать со списком баз правильно, и не дали его в руки инструпент для правильной работы. Это тоже личный опыт. Потому что он сначала навертит, а потом, когда неполучится, придёт к вам, и вы будете всё это говно разгребать, как админ всия компании!
Про инвентаризации… Если у вас есть настолько дешёвые ресурсы админа, что ему больше заняться не чем, как инвентаризировать срач плодящийся регулярно, то пожалуйста. Или у вас текуча бешенная среди админов, которым приходится, регулярно лазить и раскапывать эту фигню, связываться с 1С'никами и вызнвать, какая тут хрень для чего нужна, в то время, когда этим ребятам нужно спешить, и некогда учиться летать, поэтому документации даже своей служебной они не пишут. Это тоже личный опыт.
Вообще идея состоит в том, что 1С нужно знать только удалённый файлик .cfg в удалённом каталоге, а дальше всё понимается 1С кой на уровне прав доступа AD к файлам конфигурации.
Глупо прописывть одну и ту же строчку каждому пользователя. А так вы делаете ссылку, смотреть там — всё…
Если сеть из нескольких распределённых офисов и серверов 1С, то оптимальный путь до конфигурационной шары меняется только с переездом компьютера. Вообще на клиентском компьютере больше ничего не нужно делать в плане конфигурационных файлов списков баз.
Исправлять нужно ситуацию в плане поддержки и продажи. Я скольким ни писал в России по поводу цены платного решения, в конечном итоге завязался с зарубежным представительством, которые перенаправили моё письмо в Российскую компанию, которая занимается внедрениями. Не помню названий уже. Суть в том, что на вопрос о цене внедрения платной версии, человек потерялся на долгие недели. И, я уже не помню, был ли в конечном итоге ответ. И это было в начале этого года. Так что, могу сказать, не по наслышке — За Zimbra не слыхал.
С документацией тоже надо что-то делать. Там чёрт ногу сломит в статьях. У большинства статей стоит маркер устаревшей.
Для новичков продукт шикарен. Но, по ходу разбирательства в технологиях, хочется спросить, за чем так делали… И всё хочется перекроить…
Весьма интересная статья, очень хорошо иллюстрирующая ключевой момент в адресации в интернет.
И очень хорошо иллюстрирует то, как программисты любят решать задачи системных администраторов.
Вы придумали защиту от дурака. Красавцы! В идеале — во все браузеры и программы встроить ваш модуль DNSCrypt!.. Так что ли?!..
Такие случаи, как описано выше имеют место быть из-за несовершенства законодательства касаемо компьютерных сетей (в отделе «К» рады только заявлениям с детской порнографией, с такими вопросами, как описаны здесь, туда лучше не приходить — проверено), а также из-за лени и недобросовестности, а, порой и из-за отсутствия времени, системных администраторов ответственных за свои участки сети и ресурсы. (Кому отвечал системный администратор, ответственный за домен, за сеть, из которой идёт срач?.. Вы не писали?.. А я писал. В большинстве случаев не отвечают.)
Что мне мешает в вашем DNSCript на уровне доверенного сервера заниматься тем же самым безобразием? Проще говоря, ваш DNSCrypt тоже научатся обходить и использовать со злым умыслом. А вот вы ещё добавили одно усложнение системы.
Подписанный SSL-сертификат гарантирует мне, что сертификат получен от авторитетного удостоверяющего центра, который проверил, что такой ресурс существует, ну и, может быть проверил, что такая организация существует, на которую был зарегистрирован домен. А теперь внимание вопросы:
— Чем это предприятие занимается?
— Что делает этот ресурс?
Не знаете?.. Зато в строке браузера значёк зелёный, значит можно ему доверять…
Это я сейчас об обычных неквалифицированных пользователях. И неквалифицированных администраторах корпораций, которые готовы отдать большие деньги за SSL сертификат, не понимая, что он им даёт. А он даёт зелёненький значёк в браузере и отсутствие в предупреждении, что с сайтом что-то не так. Псевдобезопасность…
И вы тем же самым решили заняться. Не тратьте на это время. Ни своё, ни наше…
А если это просто ради самой разработки и процесса конструирования браузера и больше других идей нет, то пожалуйста.
P.S.:
Вы попробуйте хотя бы один день прослушать случайный DNS-сервер на предмет передачи важной информации, проанализировать его, и что-то сделать противоправное с финансовой выгодой для себя… А когда это сделаете, расскажите в очередной статье, на сколько это затратно, на сколько окупается, на сколько это выгодно злоумышленникам так делать.
Да, не позволяйте на себя кричать начальству. Предложите ему вариантом решения проблемы уволить вас, если он вас считает некомпетентным, отработайте положенных две недели и уходите со спокойной душой. Если начальник так спокойно вас отпустит, значит он полный дебил. А ещё нового админа найти за две недели, вменяемого очень сложно. А ещё, вряд ли он разберётся во всём хозяйстве быстрей чем за два месяца. И после вот такого вот урока, я вас уверяю, с вами будут разговаривать по другому. А ещё, скорей всего, вас попросят вернуться обратно, потому что работа встала.
В сети потому так много спама, что кто-то «разбирается» с проблемой — лишь бы не уволили…
Последнее время набирают обороты закрытые почтовые сети. Как вы думаете почему?..
А ещё этот генеральный захочет на почту пароль 12345, и вы ему тоже не сможете отказать… Если действовать по шаблону, вами описанному.
Можно аргументировать генеральному, что снижение строгости фильтрации писем зановесит спамом сервер и он вообще работать не сможет… Совсем… Генеральные очень быстро смягчаются, когда им ещё худшую альтернативу поставишь.
В обсуждении типичная ошибка технарей в погружении в детали вопроса. Хотя страдает концепция.
У каждой системы есть свой админ. Безопасность у любого it продукта заканчивается на разработчике и администраторах предлагаемого сервиса.
Концепция протокола состоит в том, что он предлагает способ связи. Это главный момент. Протокол должен быть прост, расширяем, универсале…
Мне казалось идея статьи в необходимости использования общего протокола (коим является XMPP). Почему почтовый протокол используется и будет использоваться?.. Потому что его легко масштабировать: можно в пределах компании, двух, трёх…, а можно и в пределах страны. Зачем не ограничиваемый всепролазиющий messanger? Для чего вы будете его использовать? И будете ли вы его использовать, зная что он для всех, а не строго между вами? Я для своей компании использовал бы messanger, который только между моими сотрудниками. И если у меня появится хороший партнёр, которому я доверяю на 100%, быть может, я и для его компании открою свой messanger. И вот тут нам понадобится общий протокол с которым будут работать те клиентский приложения, в которых я привык работать, и те клиентские приложения, в которых привык работать мой партнёр. Смекаете?
А история с террористами использующими какой-то messanger — PR ход! Эти террористы не более грамотные, чем среднестатистический человек. И они уж точно не анализируют криптостойкость messanger'ов. И децентрализованность им не нужна. А если им нужен совсем закртый канал связи, то можно поднять свой xmpp на amazon, даже без домена, но со всеми приблудами шифрования. Потом, сделать своё грязное дело. Потом грохнуть всё это. И никакой информации о переписки нет. И телефон можно купить, попользоваться и сжечь. Это для параноиков. Но даже если бы они делали всё через irc канал созданный на любой популярной ноде. Спецслужбы скорей всего узнали об этом слишком поздно.
А если вы системный администратор, то вы знаете, чтобы не допустить протечек описанных в статье, вам нужно поднять свой сервис и локализовать его до своего круга лиц. А если вам нужно просто кинуть смс-ку: «Я купил хлеба, мама» — то мне не обязательно это отправлять через Tox… Для этой цели подойдёт ICQ. Так вот суть мысли в том, что протокол он, как бы, транспорт, он с разными уровнями безопасностями.
Знаете по какому протоколу я сижу в скайп?.. Есть надстройка в pidgin, которая позволяет по http через веб-сервис skype писать сообщения пользователям скайп. И у меня в этом pidgin корпоративный xmpp. И у меня в этом pidgin xmpp учётка на яндексе, который является открытым xmpp, и у меня в этом pigin насдтройка для использования telegram. А если мне нужно передать пароль от очень важной учётки моему сослуживцу админу в локальной сети в одном помещении, то я для этих целей использую Bonjour сервис через тот же pidgin, а потом удаляю у себя историю сообщений на компьютере по этой учётке. И я так уверен, что это сообщение увидит только этот человек, а прослушать трафик в моей сети может только Петя и Вася, которые так-же отвечают за безопасность в этой сети. Вот это хорошая безопасность без сомнений прозрачная и ясная. А универсальный messanger типа Tox для фантазёров, которые слабо подкованы в сетях и в этих же протоколах…
И, когда у вас утечёт что-то из-за использования Tox, потому что кто-то там чего-то напутал. В моей Bonjour'ке через Pidgin соседу, меньше колен и слабых мест безопасности.
А что делать обычным пользователям, не админам?.. Не заморачиваться этими вопросами, как и раньше, и полагаться на админов сервисов, которые они используют, и наслаждаться «смайликами, как в iPhone».
У Tox мне не ясна бизнес-модель. Безопастность — это не бизнес модель. На это никто не клюнет. Корпорации не клюнут, потому, что его нельзя локализовать. Админы не клюнут, потому, что понимают всё суть сетевой модели и не будут рисковать в том сервисе, устройство которого им до конца не известно (а админы не всезнайки и устройство многих вещей им до конца не известно, а безопасность строится на отрубании лишних концов). Пользователи не клюнут, потому что безопасность у них не в приоритете, а функционал бедный в сравнении с Telegram, WhatsApp. Чем эти ребята, и кого они хотят завоевать?.. Таких как я они завоюют. Только из моего окружения нет больше таких же параноиков. А лишнее приложение в памяти телефона им не нужно.
Идея у Yota прекрасная с бесплатным безлимитным медленным интернетом.
И прекрасная идея с динамическим изменением скорости тарификации.
Обижает только тот факт, что дурят… В своё время, когда переехал жить на съёмное жильё, решил взять Yota-модем, т.к. не знал, как долго проживу на одном месте. Я — человек с очень скромными запросами, поэтому минимальный тариф за 400 р./мес. на скорости 320 Кб/с меня с лихвой устраивал… Проработала эта прелесть ровно первое тестовое время. Потом — стало всё медленно. Я проявил терпение, и продлили и на следующий месяц услугу на тех же условиях скорость 64 Кб/с. Иногда конечно прыгало до 120-150 Кб/с, но в основном было так. Связался с техподдержкой, спросил, нет ли проблем в моей местности по перегрузу оборудования. Меня вежливо уведомили, что проблемы есть, что ближайшее время устранят, о чём уведомят, и уведомление было. Терпеть такую скорость было не выносимо даже для меня, поэтому провёл проводной Ростелеком на самом минимальном тарифе 250 Кб/с. Прожил так год.
Наступила пора съезжать… Написал заявление на отключение в Ростелеком, и меня отключили в тот же день. И не важно, что мне ещё 19 дней как-то прожить в квартире надо. Вспомнил про Yota-модем. Беру опять минимальный тариф — картина точь-в-точь повторяется. Сначала чуть было не заплакал от отчаяния… Обидно до боли!.. Потом вспомнил, что тариф динамически меняется и 400 руб. за 19 дней можно потратить на скорости в 2,5 Мб/с. Так и поставил… Как вы думаете, какая была скорость?.. (для интриги подождите 3 минуты до чтения следующего предложения)… Скорость была 1,5 Мб/с стабильно. Что меня очень обрадовало и я таки дожил в этой квартире остатки дней с весьма комфортным интернетом.
Похвалу я выразил в начале, а вот в конце замечу, что презрение вы моё заслужили!
Статья обзорная, классная, мне очень понравилась. Я так же сторонник открытых систем типа Linux и мне очень интересно идея, как организовать работу бухгалтерии на linux без использования технологий MS. Благодарность автору. Когда подрасту в карме, обязательно его плюсану.
Я откровенно говоря недолюбливаю 1С за её ориентированность больше на MS инфраструктуру.
Но в технологической организации там очень много изящных моментов и вариантов её использования.
Отличная статья. На днях залез в OpenBSD впервые. Впечатления от этой системы такие же, как у автора — очень понравилась. Документация очень хорошо продумана.
Я рискую испортить себе карму. Но не могу понять, почему так мало людей упоминают в комментариях, что такой способ генерации ключа не работает на openssh серверах. Сгенерировав ключ таким образом, как описано в этой статье и многих других, не получится подключиться к openssh серверу. Необходимо создавать ключ в openssh сервере, а потом импортировать его с конвертацией в putty. Только тогда openssh сервер принимает авторизацию от putty-клиента по ключу. А от kitty-клиента и так не принимает. Я лично, читая такие статьи потратил уйму времени на то, чтобы выяснить эту банальность. А комментаторы не заостряющие внимание на этом момента, попросту, либо не делали этого по этой инструкции, либо не внимательно читали эту статью. Потому что по буквам этой статьи вы не сможете подключиться к openssh-серверу. Если конечно, вы не умеете читать между строк…
Ну, не работает оно так. Как в инструкции в статье, как вы пишите делаю, не работает. По ключу не пускает на OpenSSH сервер.
Расскажите, что там такого ещё нужно добавить. Искренне в толк не возьму. И соплеменников моих не работает.
Беру свои слова обратно. Я поторопился с комментарием. Жене показал она видит бело-золотистое платье.
Я попросил показать ту первую картинку, я стал ее видеть сине-черным. Так что один и тот же человек в разное время может видеть это платье по разному. Ох, уж эти мозги…
Закрадывается вопрос не разные ли платья нам показывают?
Это платье на моем маке синее с черным. И жена так же видит. А на iPohne жены в другом месте это же платье показывается золотистое с серым. И жена так же видит. Хрень какая-то. И про мозги не нужно валить. Кто-то, кого-то наяривает.
Только, это достаточно крупные компании, чтобы иметь свой вес в общественном мнении олигархии.
Если они не отстаивают свои интересы, значит мне безразлична реакция всего русского сегмента рынка. Это неуважение к своим потребителям.
А теперь вопрос к патриотично настроенным людям — Не ужели ли вы будете пользоваться продуктом тех людей, которые вас за людей не считают?..
Может хватит спонсировать своих убийц?..
Я на клиентских компьютерах с виндой поставил часовой пояс другой страны, но тот же по расположению.
У нас только администраторы смотрят GLPI, поэтому это оказалось наиболее быстрым и простым решением.
Все претензии к компании Microsoft обращайте. Вы же не будете исправлять скрипт на всех сайтах, которые используют эту технологию?..
Мой личный опыт привёл меня к мысли о наименьшем завязывании на групповые политики. Факт остаётся в том, что они очень медленные по скорости реакции на событие и распихивать ими действительно можно только ссылочки на файлик конфигурации на уровне всей клиентской машины для всех пользователей.
Эта статья о полном захвате власти над управлением списком баз 1С админом. В AD вы не пустите 1С разработчика, и не будете его обучать, как ей пользоваться… А лопатить всё самому за них — права, не стоит.
Я сделал всё проще. Я так же разграничил доступ к файлам на уровне парав пользователей AD в файловой системе, и совершенно не засирал AD лишней информацией о группах, базах и прочей хрени. Просто даёте права правки изменения на каталог с конфигурационными файлами 1С разработчику или группе этих оболтусов, обучаете основному принципу, как это работает, и забываете об этом, как о страшном сне.
Так нужно сделать по уже описанным выше комментариям… 1С разработчик, в большинстве компаний — он же и админ 1С баз, серверов, техподдержка пользователей в части 1С…
Вот единственный ключевой момент о котором стоит позаботиться сразу, так, это ссылка на шару с конфигурационными файлами на клиента обязательно должна быть ссылкой в dns на реальный адерс. И тогда, вам вообще не нужно будет использовать GPO для изменения ссылки на конфигурационную шару. Всё правление перемещается в DNS. Если вы, вдруг вздумаете перенести шару на другой сервер, то вам всего лишь достаточно поменять DNS запись синонима. Это прорывная идея, я вам скажу, которой я очень горжусь.
Вообще хотел обновление своей статьи сделать, часть 2 — так сказать. Но времени нет вырисовывать всё это. Поэтому решил отписаться самым ядром идеи здесь в комментарии.
Поверьте не стоит засирать AD этим мусором, который вы не разгребёте с увеличивающимся количеством пользователей, баз, 1С разработчиков, кластеров. Просто отдайте эту кухню им и скажите, что у них есть все возможности для манипуляции с доступом к базам. Это куда продуктивней. А ваша работа должна сводиться к следующим моментам:
— Создать конфигурационную шару,
— набить конфигурационными файлам,
— раздать права ответственным,
— на все компьютеры клиентские в общепользовательский каталог напихать ссылку на ссылку в DNS на запись о конфигурационной шаре.
— обучить «этих бездельников» работать с этим.
Единственная работа которая вас ждёт в дальнейшем с этим, это перенос конфигурационной шары на другой сервер. Тогда, вам, прямо, предстоит титанический труд:
— скопировать шару с правами, как есть,
— изиминить ссылку на шару в DNS.
Вот это будет дичайшая автоматизация процесса. Это с позиции Админа.
С позиции 1С разработчика, тоже всё удобно, они сами рулят тем, чем рулили, только в более полной мере, и им не нужно повышать права в системе хоть на сколько нибудь.
P.S. «Бездельники» взяты в кавычки… Не нужно подымать рёв. Я не считаю 1С разработчиков бездельниками… Может, лентяями, но не бездельниками. Об их тяжёлом труде я знаю не по наслышке — сам сейчас работаю 1С программистом.
1С разработчик, он же по совместительству и админ 1С, он контролирует заведение пользователей в 1С, он принимает решение об переносе функционала в отдельную базу, конфигурацию. И нужно лишь ему немножко помочь, чтобы он в очередной раз не мучил тебя просьбой подключить кому-то каую-то базу, а потом её отключить… или поменять настройки подключения к базе… Эта кухня не нужна админу… И во многих организациях, даже ооочень крупных, админы почти не занимаются администрированием 1С. Это я взял не из головы, а практика, которую я вижу.
А к вашим словам, что 1С'ник не может создать базу своими руками… Он очень легко может наколхозить под пользователем сотрудника, придя за компьютер… И вот тут, вы пятнадцать раз пожалеете, что не научили этого колхозника работать со списком баз правильно, и не дали его в руки инструпент для правильной работы. Это тоже личный опыт. Потому что он сначала навертит, а потом, когда неполучится, придёт к вам, и вы будете всё это говно разгребать, как админ всия компании!
Про инвентаризации… Если у вас есть настолько дешёвые ресурсы админа, что ему больше заняться не чем, как инвентаризировать срач плодящийся регулярно, то пожалуйста. Или у вас текуча бешенная среди админов, которым приходится, регулярно лазить и раскапывать эту фигню, связываться с 1С'никами и вызнвать, какая тут хрень для чего нужна, в то время, когда этим ребятам нужно спешить, и некогда учиться летать, поэтому документации даже своей служебной они не пишут. Это тоже личный опыт.
Глупо прописывть одну и ту же строчку каждому пользователя. А так вы делаете ссылку, смотреть там — всё…
Если сеть из нескольких распределённых офисов и серверов 1С, то оптимальный путь до конфигурационной шары меняется только с переездом компьютера. Вообще на клиентском компьютере больше ничего не нужно делать в плане конфигурационных файлов списков баз.
С документацией тоже надо что-то делать. Там чёрт ногу сломит в статьях. У большинства статей стоит маркер устаревшей.
Для новичков продукт шикарен. Но, по ходу разбирательства в технологиях, хочется спросить, за чем так делали… И всё хочется перекроить…
И очень хорошо иллюстрирует то, как программисты любят решать задачи системных администраторов.
Вы придумали защиту от дурака. Красавцы! В идеале — во все браузеры и программы встроить ваш модуль DNSCrypt!.. Так что ли?!..
Такие случаи, как описано выше имеют место быть из-за несовершенства законодательства касаемо компьютерных сетей (в отделе «К» рады только заявлениям с детской порнографией, с такими вопросами, как описаны здесь, туда лучше не приходить — проверено), а также из-за лени и недобросовестности, а, порой и из-за отсутствия времени, системных администраторов ответственных за свои участки сети и ресурсы. (Кому отвечал системный администратор, ответственный за домен, за сеть, из которой идёт срач?.. Вы не писали?.. А я писал. В большинстве случаев не отвечают.)
Что мне мешает в вашем DNSCript на уровне доверенного сервера заниматься тем же самым безобразием? Проще говоря, ваш DNSCrypt тоже научатся обходить и использовать со злым умыслом. А вот вы ещё добавили одно усложнение системы.
Подписанный SSL-сертификат гарантирует мне, что сертификат получен от авторитетного удостоверяющего центра, который проверил, что такой ресурс существует, ну и, может быть проверил, что такая организация существует, на которую был зарегистрирован домен. А теперь внимание вопросы:
— Чем это предприятие занимается?
— Что делает этот ресурс?
Не знаете?.. Зато в строке браузера значёк зелёный, значит можно ему доверять…
Это я сейчас об обычных неквалифицированных пользователях. И неквалифицированных администраторах корпораций, которые готовы отдать большие деньги за SSL сертификат, не понимая, что он им даёт. А он даёт зелёненький значёк в браузере и отсутствие в предупреждении, что с сайтом что-то не так. Псевдобезопасность…
И вы тем же самым решили заняться. Не тратьте на это время. Ни своё, ни наше…
А если это просто ради самой разработки и процесса конструирования браузера и больше других идей нет, то пожалуйста.
P.S.:
Вы попробуйте хотя бы один день прослушать случайный DNS-сервер на предмет передачи важной информации, проанализировать его, и что-то сделать противоправное с финансовой выгодой для себя… А когда это сделаете, расскажите в очередной статье, на сколько это затратно, на сколько окупается, на сколько это выгодно злоумышленникам так делать.
В сети потому так много спама, что кто-то «разбирается» с проблемой — лишь бы не уволили…
Последнее время набирают обороты закрытые почтовые сети. Как вы думаете почему?..
Можно аргументировать генеральному, что снижение строгости фильтрации писем зановесит спамом сервер и он вообще работать не сможет… Совсем… Генеральные очень быстро смягчаются, когда им ещё худшую альтернативу поставишь.
У каждой системы есть свой админ. Безопасность у любого it продукта заканчивается на разработчике и администраторах предлагаемого сервиса.
Концепция протокола состоит в том, что он предлагает способ связи. Это главный момент. Протокол должен быть прост, расширяем, универсале…
Мне казалось идея статьи в необходимости использования общего протокола (коим является XMPP). Почему почтовый протокол используется и будет использоваться?.. Потому что его легко масштабировать: можно в пределах компании, двух, трёх…, а можно и в пределах страны. Зачем не ограничиваемый всепролазиющий messanger? Для чего вы будете его использовать? И будете ли вы его использовать, зная что он для всех, а не строго между вами? Я для своей компании использовал бы messanger, который только между моими сотрудниками. И если у меня появится хороший партнёр, которому я доверяю на 100%, быть может, я и для его компании открою свой messanger. И вот тут нам понадобится общий протокол с которым будут работать те клиентский приложения, в которых я привык работать, и те клиентские приложения, в которых привык работать мой партнёр. Смекаете?
А история с террористами использующими какой-то messanger — PR ход! Эти террористы не более грамотные, чем среднестатистический человек. И они уж точно не анализируют криптостойкость messanger'ов. И децентрализованность им не нужна. А если им нужен совсем закртый канал связи, то можно поднять свой xmpp на amazon, даже без домена, но со всеми приблудами шифрования. Потом, сделать своё грязное дело. Потом грохнуть всё это. И никакой информации о переписки нет. И телефон можно купить, попользоваться и сжечь. Это для параноиков. Но даже если бы они делали всё через irc канал созданный на любой популярной ноде. Спецслужбы скорей всего узнали об этом слишком поздно.
А если вы системный администратор, то вы знаете, чтобы не допустить протечек описанных в статье, вам нужно поднять свой сервис и локализовать его до своего круга лиц. А если вам нужно просто кинуть смс-ку: «Я купил хлеба, мама» — то мне не обязательно это отправлять через Tox… Для этой цели подойдёт ICQ. Так вот суть мысли в том, что протокол он, как бы, транспорт, он с разными уровнями безопасностями.
Знаете по какому протоколу я сижу в скайп?.. Есть надстройка в pidgin, которая позволяет по http через веб-сервис skype писать сообщения пользователям скайп. И у меня в этом pidgin корпоративный xmpp. И у меня в этом pidgin xmpp учётка на яндексе, который является открытым xmpp, и у меня в этом pigin насдтройка для использования telegram. А если мне нужно передать пароль от очень важной учётки моему сослуживцу админу в локальной сети в одном помещении, то я для этих целей использую Bonjour сервис через тот же pidgin, а потом удаляю у себя историю сообщений на компьютере по этой учётке. И я так уверен, что это сообщение увидит только этот человек, а прослушать трафик в моей сети может только Петя и Вася, которые так-же отвечают за безопасность в этой сети. Вот это хорошая безопасность без сомнений прозрачная и ясная. А универсальный messanger типа Tox для фантазёров, которые слабо подкованы в сетях и в этих же протоколах…
И, когда у вас утечёт что-то из-за использования Tox, потому что кто-то там чего-то напутал. В моей Bonjour'ке через Pidgin соседу, меньше колен и слабых мест безопасности.
А что делать обычным пользователям, не админам?.. Не заморачиваться этими вопросами, как и раньше, и полагаться на админов сервисов, которые они используют, и наслаждаться «смайликами, как в iPhone».
У Tox мне не ясна бизнес-модель. Безопастность — это не бизнес модель. На это никто не клюнет. Корпорации не клюнут, потому, что его нельзя локализовать. Админы не клюнут, потому, что понимают всё суть сетевой модели и не будут рисковать в том сервисе, устройство которого им до конца не известно (а админы не всезнайки и устройство многих вещей им до конца не известно, а безопасность строится на отрубании лишних концов). Пользователи не клюнут, потому что безопасность у них не в приоритете, а функционал бедный в сравнении с Telegram, WhatsApp. Чем эти ребята, и кого они хотят завоевать?.. Таких как я они завоюют. Только из моего окружения нет больше таких же параноиков. А лишнее приложение в памяти телефона им не нужно.
И прекрасная идея с динамическим изменением скорости тарификации.
Обижает только тот факт, что дурят… В своё время, когда переехал жить на съёмное жильё, решил взять Yota-модем, т.к. не знал, как долго проживу на одном месте. Я — человек с очень скромными запросами, поэтому минимальный тариф за 400 р./мес. на скорости 320 Кб/с меня с лихвой устраивал… Проработала эта прелесть ровно первое тестовое время. Потом — стало всё медленно. Я проявил терпение, и продлили и на следующий месяц услугу на тех же условиях скорость 64 Кб/с. Иногда конечно прыгало до 120-150 Кб/с, но в основном было так. Связался с техподдержкой, спросил, нет ли проблем в моей местности по перегрузу оборудования. Меня вежливо уведомили, что проблемы есть, что ближайшее время устранят, о чём уведомят, и уведомление было. Терпеть такую скорость было не выносимо даже для меня, поэтому провёл проводной Ростелеком на самом минимальном тарифе 250 Кб/с. Прожил так год.
Наступила пора съезжать… Написал заявление на отключение в Ростелеком, и меня отключили в тот же день. И не важно, что мне ещё 19 дней как-то прожить в квартире надо. Вспомнил про Yota-модем. Беру опять минимальный тариф — картина точь-в-точь повторяется. Сначала чуть было не заплакал от отчаяния… Обидно до боли!.. Потом вспомнил, что тариф динамически меняется и 400 руб. за 19 дней можно потратить на скорости в 2,5 Мб/с. Так и поставил… Как вы думаете, какая была скорость?.. (для интриги подождите 3 минуты до чтения следующего предложения)… Скорость была 1,5 Мб/с стабильно. Что меня очень обрадовало и я таки дожил в этой квартире остатки дней с весьма комфортным интернетом.
Похвалу я выразил в начале, а вот в конце замечу, что презрение вы моё заслужили!
Я откровенно говоря недолюбливаю 1С за её ориентированность больше на MS инфраструктуру.
Но в технологической организации там очень много изящных моментов и вариантов её использования.
Расскажите, что там такого ещё нужно добавить. Искренне в толк не возьму. И соплеменников моих не работает.
Я попросил показать ту первую картинку, я стал ее видеть сине-черным. Так что один и тот же человек в разное время может видеть это платье по разному. Ох, уж эти мозги…
Это платье на моем маке синее с черным. И жена так же видит. А на iPohne жены в другом месте это же платье показывается золотистое с серым. И жена так же видит. Хрень какая-то. И про мозги не нужно валить. Кто-то, кого-то наяривает.
Фигею! Как нужно себя не уважать, чтобы терпеть такое?!
Если они не отстаивают свои интересы, значит мне безразлична реакция всего русского сегмента рынка. Это неуважение к своим потребителям.
А теперь вопрос к патриотично настроенным людям — Не ужели ли вы будете пользоваться продуктом тех людей, которые вас за людей не считают?..
Может хватит спонсировать своих убийц?..
У нас только администраторы смотрят GLPI, поэтому это оказалось наиболее быстрым и простым решением.
Все претензии к компании Microsoft обращайте. Вы же не будете исправлять скрипт на всех сайтах, которые используют эту технологию?..