Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 5
×
Co-Founder в Artellence
  • Математика і розробка: які знання допоможуть програмувати краще

    Добре, що вашу модесь світу поділяють лише обмежена кількість людей ... інакше ми б досі жили б в печерах і відправляли б поштових голубів.

  • ❗️ Декілька додаткових слів про кібербезпеку

    Про Дія.Підпис — згоден з вами. Хоч там є ще PIN, але якось я не переконаний в захищеності приватного ключа.

    Щодо Id-карти ... не користувався — не знаю.

    Щодо даних ФОП і монобанк — це щось дуже дивне ... ні одна ні інша підтримка мені не сказали навіщо ці дані запитуються/передаються. Але тут скоріше вразливість server2server. Авторизація в додатку не мала б давати доступ до цих «clientId».

    Ну і тут авторизація через bankId — дуже зручно, але, по суті, зникає контроль за авторизацією, і яка кінець-кінцем прив’язана до номеру телефона, що є дуууже погано.

    В цьому всьому є лиш один «позитивний момент». Хоч я і прихильник КЕП в файликах, але люди часто не дуже безпечно їх зберігають та паролі від них (аж у файлі, що лежить поряд). І тут, хоч і суто математично захист слабший, але він кращий, ніж безвідповідальне поводження з ключами.
    На жаль, при цьому страждають і люди, що адекватно зберігають паролі.

    Про вибори ... не знаю як вони збираються це робити, адже як забезпечити прозорість, анонімність та непідкупність для мене не очевидно (без використання «довіреного сервера»). Це хоч взагалі математично можливо?

  • ❗️ Декілька додаткових слів про кібербезпеку

    Відстоюючи свою позицію потрібно старатись бути об’єктивним і, як мінімум, слідкувати за своїми аргументами. В цьому інтерв’ю експерт моментами перегинає палицю.

    Те, що впорядкування баз даних є тривалим процесом не означає, що не можна почати з чогось простішого. Влесне, у Дії зробили те, що змогли і з тим що було: показали не всі паспорти, не всі права, а лише ті, що могли. Це НЕ є погано.

    Самі паспортні дані не є чимось сакральним. Паспорт — це «сертифікат», що по своїй суті є публічним... в ньому немає нічого секретного. І навіть якщо вся б база паспортів населення планети стала б публічною — це нічого б не зламало. Відповідно, заходи безпеки у дії, звісно, необхідні... але agile — тут норм.

    Кредит по паспорту — це проблема не Дії, а тих хто його видає... адже при видачі варто було б звірити хоча б фотку з обличчя та отримати підпис звичайний чи КЕП.

    Сам факт того, що отримали доступ до Дії на чуже ім’я — то дуже поганий прецедент — тут питаннь немає. Але це не означає, що Дію треба закривати. Сам факт того, що за півтора роки роботи цей прецедент одиничний — це вже добре. З такими прецедентами треба, просто, адекватно працювати.(що, схоже, не було зроблено — саме на цьому є сенс акцентувати увагу)

    В контексті Дії є купа державних послуг (та ж реєстрація ФОП), але тут все спирається на існуючу інфраструктуру КЕП. Додаткових ризиків, яких би не існувало раніше, я не бачу.

    Відповідно, питання можуть бути щодо ДіяПідпис. В інтерв’ю про це не було дискусії, ... єдине, що можу тут сказати, що я особисто вважаю, що наша система з ЄЦП/КЕП — має серйозні вади. А саме те, що ключі не є спеціалізовані (чому ключем, який використовується для звітності по ФОПу, можна «взяти кредит»?). Як на мене, в саму інфраструктуру варто було б додати можливість для кожного ключа видати сертифікат для іншого ключа з підмножиною повноваженнь ... таку собі довіреність. ... але це окрема дискусія.

    Щодо bug bounty і решту... єдине, що хотів би сказати це те, що публікація вихідного коду державних систем — це те, до чого ми маєм прийти. Це складно, це відповідальність, але це рівень ... до якого нам ще далеко (((

  • Как создать безопасную авторизацию пользователей с помощью UUID

    1. HMAK => HMAC

    2. Для токенів немає сенсу притримуватись стандарту UDID. UrlSafeBase64(sha256(secure random)) — це ок.

    3. Питання корисності refresh token-ів не розкрито: stackoverflow.com/...​access-and-refresh-tokens

    4. Так, ви перевинайшли серверні сесії. Але ви розібрали в цьому механізмі краще, ніж 90% тих, хто роками цю стратегію використовуює ... і це круто.

    5. Питання statefull та stateless хоч і розкрито, але неявно. JWT придумали щоб серверу не потрібен був redis для сесій ... коли користувачів мільярди, а серверів тисячі, тримати один редіс для токенів — то є проблема (хоча, шардування ще ніхто не скасовував)

    Підтримав: Petro Sasnyk
  • Математика і розробка: які знання допоможуть програмувати краще

    Доведення вивчають з двохи причин:
    1. Ключові доведення показують нові способи «якими можна думати»
    2. Для того, щоб математика не перетворилась в релігію, а підручник — в біблію. Якщо ви не вірите в будь-яку теорему, завжди можна почитати її доведення і або знайти помилку, або переконатися у вірності.

    ПС. Відчуваю себе людиною, що ведеться на хитрого троля. Ви дійсно вірите в тези, що пишите, чи це вкиди для розігріву дискусії?

    Підтримали: Michael Budash, Богдан
  • Математика і розробка: які знання допоможуть програмувати краще

    Схоже, у вас якесь досить бінарне уявлення про математику: аля її можна знати повністю(включаючи доведення теореми Ферма) або не знати ніяк.

    Боюсь вас розчарувати ... людей, що вивчили ВСЮ відому математику ... ну ... якщо вони взагалі існують то їх одиниці. Я особисто бачив дуже крутого матаніста (по світовим міркам), що трохи плавав в мат. статистиці. І це нормально.

    Це знаєте ... як прочитати всю відому художню літературу )) Навіть, якщо хтось це зробив, то більшість переказати не зможе.

    Тільки на відміну від художньої літератури, математична література — це найбільша в історії людства система несуперечливих тверджень та висновків з них. І деякі тексти читаються одна сторінка в годину ... і це ще якщо пощастить.

    А щодо доведення великої теореми Ферма ... я не пробував його читати, але підозрюю, що на освоєння тієї сотні сторінок може піти декілька років в середнього рівня математика.

  • Математика і розробка: які знання допоможуть програмувати краще

    Якщо ви хотіли потролити, доречніше було б згадати про проблеми з аксіомою вибору та теореми про неповноту.

    Якщо на них подивитися, можна взагалі прийти до висновку, що більша частина математики — то псевдонаука. А якщо так — то який сенс її взагалі вивчати? )

  • Математика і розробка: які знання допоможуть програмувати краще

    Як завжди ... всі, хто щось знають, кажуть що математика потрібна ... всі, хто неосилив, кажуть, що щасливі без неї. І примирити ці дві точки зору не зможе ніхто ))

  • ❗️ Декілька додаткових слів про кібербезпеку

    > application не доповнює операційну систему
    Чому ні? Практично всі програми зараз використовують купу api до ОС: UI, мережа, залізо. Самі по собі вони всі не є самостійними.... такі собі додатки до ОС )) Звісно, модуль чи розширення — сюди теж підходить, але за цими термінами закріпились інші значення.

    Я не претендую на абсолютну істину тут. Я лиш стверджую, що термін «додаток» має свою логіку і має право на життя... а як воно правильно ... як приживеться, так і буде.

  • ❗️ Декілька додаткових слів про кібербезпеку

    Вірно чи не вірно — то питання дуже суб’єктивне.

    Якщо чесно, мені завжди було дивним нащо program називати application. Але з часом звиклося з тлумаченням що перше — це більш технічна одиниця, а друге — це програма чи комплекс програм, що доповнює операційну систему для виконання end user задачі.

    Так ось сам факт доповнення дає право на життя терміну «додаток» — додаток до ОС для тієї чи іншої задачі.

    А застосунок — складне у вимові слово, що є намаганням прямо перекласти application, що від apply — застосувати.

    Чому ви вважаєте, що якщо перекласти «корінь» слова і спробувати його перетворити, то вийде гарний переклад?

    -----
    Щодо ua/uk — я з вами повністю згоден. Але знову ж, це якщо керуватися ISO, на що часто не претендують ) Ще краще буде uk_UA ))

    З іншої сторони, ua — немає такої мови, але є така країна. І в нас мова одна — uk. Тому тут двозначності не виникає.

    Теоретично, ще може бути ru_UA, але в нас немає навіть спроб нормувати якийсь локальний варіант російської... нормативно російська нормується тільки москалями... тому ru_UA — це рудимент.

    Підтримав: anonymous
  • Парсинг, валідація та обчислення формул за допомогою LL(1) граматики

    en.m.wikipedia.org/...​/Recursive_descent_parser

    Завжди парсери пишу за допомогою цього підходу.

    Для простих граматик, BNF практично в сліпу можна переписати в код, що його парсить.

    Для чогось складнішого, думаю, є сенс дивитись генератори.

  • Первинні документи: акти, інвойси і т.д. — якщо їх банки не вимагають, можливо можна про них забути?

    Сумно це все... презумпцією невинності якось тут і не пахне. Замість того, щоб доведення невідповідності кведу мала робити податкова, чомусь його відповідність має доводити підприємець.

    Більше того ... сама вимога відповідати кведам — це якось дивно ... якщо фоп не перевищив ліміт і заплатив з цього податок, то яка кому різниця як людина на життя заробляє ... якщо, звісно, це не діяльність, що оподатковується/ліцензується додатково.

  • «Она либо есть, либо ее нет». Нужна ли креативность в программировании

    Математика кажется скучной:

    Якось вам не так її готували.

    Математика дуже потребує як раз «out of the box» мислення. Адекватний викладач завжди готує завдання так, що кожна наступна задача вимагає вийти за рамки всіх попередніх — придумати щось, чого раніше не знав і не бачив — чистої води креатив.

  • Чи варто довіряти Telegram?

    Міняємо Signal на Telegram Secret Chats — і суть не змінюється

    Секретні чати в телеграмі об’єктивно не зручні, як мінімум із-за того, що немає синхронізації мобілка-десктоп. Із-за цього користуються ними дуже рідко. Тут, навпаки, той факт, що людина часто користується секретними чатами є маркером того, що «щось не так». А це не підвищує privacy аж ніяк.

    Це питання довіри

    В мене немає якихось твердих фактів щодо того як і де там зберігаються дані. Це лише припущення.

    Щодо заяв телеграму ... якщо повірити, що видалення профілю видалить всю історію — може і так. Але загальну картину це не міняє, як на мене.

    Я особисто вірю, що оренда або придбання серверів коштує дорожче ніж ті дані, які там начеб то повинні зберігатись

    І так і ні... завжди є певний баланс між ціною та доцільністю.

    Якщо ми віримо в те, що телеграм нічого на ліво не віддає, тоді можна припустити, що бази час від часу чистяться ... хоч і інколи простіше може бути просто тупо зберігати все, ніж писати процедури очистки, що звільнять «5%» місця.

    З іншох сторони, якщо телеграм має однією з цілей бути шпигунським інструментом, ресурсів на архіви там не пошкодують.

    Підтримав: Сергій Ласкавий
  • Чи варто довіряти Telegram?

    Якщо ви про телеграм ... ви знаєте, варто визнати, що автори телеграма проробили титанічну роботу ... цей месенджер зробили дійсно дуууже зручним в багатьох аспектах. І ці фічі, що ви згадуєте — це круто та зручно.

    Але, повірте, ваші повідомлення не видаляються ... практично ніколи. Те що ви не бачите їх в чаті, означає лиш те, що на сервері воно помічене як «видалене». Все що ви колись написали в телеграм, хтось при потребі зможе прочитати .... це питання довіри до авторів/адміністраторів/тощо.

    З іншого боку, в тому ж Signal повідомлення бачать лише кінцеві пристрої. І поки ви довіряєте коду додатку (а він open source і ви можете провести аудит), ви можете бути впевнені в приватності переписки. Хоча тут теж не все так просто ... але то вже окрема дискусія.

  • Чи варто довіряти Telegram?

    Ви занадто близько до серця сприймаєте цю дискусію )
    Відповім лише на деякі тези ...

    хмарне зберігання ніяк не заважає E2EE

    Мова не про синхронізацію. Справа в тому, що якщо повідомлення зберігаються в хмарі зашифрованими, а у вас зламався телефон, розшифрувати ви їх не зможете. Так це працює в Signal. У Viber для цього є «бекап», але він ламає E2EE. В Telegram ваші чати зберігатимуться стільки, скільки на серверні диски влізе.

    як наявність такого вибору співвідноситься з примусовим E2EE

    Не бачу проблеми... ви ж не розраховуєте, що будь-яку телефону (чи живу) розмову зможете прослухоти ще раз? чому ж розраховуєте на історію в чатах? .... Ще раз зазначу, що історія втрачається при втраті ключів, що є більше виключенням, ніж правилом.

    Протягом якогось часу, ми в компанії користувалися безкоштовною версією Slack ... там є обмеження на кількість повідомленнь. Інколи, звісно, було не зручно, коли хтось якийсь урл кинув тиждень тому, а зараз це повідомлення не доступне. Але в цілому, нічого блокуючого в цьому не було. Необхідність «вічної» історії переписки — то лише справа звички.

    Доречі, щодо вибору ... суто технічно, думаю, можна зберігати історію, яка певним чином зашифрована паролем (чи якоюсь альтернативою ... в криптовалют тут є наробки), тому тут більше питання пропозиції цієї фічі тими чи іншими месенджерами.

  • Чи варто довіряти Telegram?

    Справедливе зауваження.

    Skype, Discord, Slack, Hangouts, WeChat, Snapchat, LINE, Facebook

    Я б їх відніс до маргінальних ))) Хоча це суб’єктивно. Discord, Slack — хоч і чат, але орієнтований на замкнене коло осіб, а не на маси ... я не відношу їх до месенджерів. Skype — як на мене живе по інерції більше зараз. Решта — тут ви праві, там end to end толком нема.

    Примусове E2EE створює
    незручності

    Це вірно, але це ціна. Але справа не в одному клієнті ... то лише в телеграм так зробили. В Signal все норм з цим. Ціна полягає в іншому ... з end to end потрібно чат сприймати як чат, а не як стенограму. Тобто, потрібно розуміти, що історія чату може в будь-який момент зникнути.

    А телеграм ж так всіх привчив, що можна знайти хто там що писав три роки тому. Тому якщо хочеться історії — треба жертвувати приватністю. Хочеться приватності — треба жертвувати історією і все важливе десь окремо нотувати.

  • Чи варто довіряти Telegram?

    Якщо чесно, я не робив детальний аналіз цих чатів ... але ті самі viber та whatsapp заявляють про end-to-end by default. Signal — взагалі, задає тон в сфері месенджерів.

    Коли телеграм появлявся зі своїми шифрованими чатами — це була новинка ... такого не було ні в кого. Але зараз end-to-end є в усіх. Не без особливостей (наприклад, бекапи у viber), але є.

    Підтримав: Артем Бебик
  • Чи варто довіряти Telegram?

    Telegram — це месенджер, який піарився як найбільш захищений.

    Сьогодні, коли практично всі месенджери ввели end-to-end шифрування, telegram, по суті є найбільш НЕ захищений.

  • Внести собственные улучшения в проекта заказчика? — Нет

    Ми тут ходимо по колу )) І дискусія вже трохи поплила від оригінальної теми.

    Моя теза полягає в тому, що потрібно притримуватись в цьому питанні якогось здорового глузду.

    Тихо пиляти фічу тиждень і нікому не казати — НЕ ок.

    Зробити за дві години якийсь експеримент/proof of concept/рефакторинг (без мержа в мастер) і потім винести на дискусію (бо натхнення прийшло) — цілком ОК.

    Мої коментарі вище — це не так оцінка того, що ТС пише, як реакція на те, що коментатори пропонують сидіти і не висовуватися.

    Ініціатива — це круто і вірно і це треба заохочувати, а не подавляти.
    Звісно, що це має мати межі здорового глузду і робитися «при світлі дня», а не «під столом, поки ніхто не дивиться».

    Підтримав: anonymous
← Сtrl 1... 45678...29 Ctrl →