Category: технологии

me, default, computer

Request for Like

Пост из серии «какие мы старые». Первый rfc, практически понадобившийся мне для работы, тогда еще не отличающейся от хобби, имел порядковый номер 976. Он был опубликован в феврале 1986 года, т.е. за предыдущие 17 лет (начиная с rfc0001) вниманию технологического сообщества было представлено 976 документов формата «request for comments».

А тут мельком увидел порядковый номер какого-то rfc и слегка офигел от 8-тысячного числа. За следующие 33 года их наклепали дополнительных 7696 штуки! По-моему, времени и ресурсов комментировать не осталось не только на фейсбучеках, но и в IETF.

Предлагаю новый формат rfl — "Request for Like". Данный текст считать за rfl0001.

me, default, computer

Докажи, что это ты

Google asking to prove you is you
Google asking to prove you is you

Достаточно скромно, без громких речей и парадов, мы перешли от строгих правил, выученных банковскими безопасниками на компьютерных курсах в их ПТУ — пароли минимум 8, но максимум 14 символов, строчные и прописные буквы, цифры и спецсимволы, непохожесть на словарные слова и предыдущие 1050 паролей — к авторизации всего и вся по СМС. Правда, на тех же курсах безопасности требовали различать идентификацию и аутентификацию, но кого это волнует во времена, когда для демонстрации роста сервисов новых потребителей котиков в интернетах надо уже набирать среди неграмотных африканских племен?

Специально для них 2-й фактор (где он есть и востребован) также завязывают на телефон, что есть полнейшая профанация, но не считая единичных скандалов  с кражами аккаунтов и крайне наплевательского отношения к безопасности, биржевая стоимость компаний не упадет из-за правил авторизации ни на цент. «Пипл хавает» (с) во всех смыслах.

Завязывание всего и вся на телефон приводит к «интересным» ситуациям. Чтобы заблокировать SIM у пропавшего смартфона на сайте сотового оператора, надо залогиниться на сайте оператора при помощи... СМС-кода! Только подумайте, 10500 работников не самой лоу-тековой сферы ни разу не симулировали ситуацию, при которой они не могут позвонить себе же в службу поддержки для блокировки SIM-а, ибо телефон пропал или украден, и тем более не могут получить СМС для захода на сайт с планшета или лэптопа.... угадают ли с 3-х раз почему? Нет, ни за что не догадаются, блеать!

Или вот Гугл. Смартфон пропал у младшей дочки в Польше, у ее Гугл-аккаунта нет ни второго фактора, ни бэкап-телефона. Есть только пароль, который я и ввел на новом телефоне. Гугл ответил прикрепленной к посту картинкой: а докажи, что это ты! Ну девочка, ну ёб твою мать! (с) Как же я докажу, что это я, если правильно введенного сложного пароля оказалось недостаточно, а с нового девайса я зашел исключительно потому, что старый оказался недоступным?! Угадают ли с 3-х раз почему? Смешнее всего то, что Гугл типа «угадал»! На третьей попытке ввода пароля (я просто потерял надежду и растерянно пытался войти еще раз, не зная в какую рельсу бить) Гугл меня авторизовал. По-видимому, система милостиво принимает трижды произнесенный ответ «мамой клянусь!», поскольку настоящие взломщики не бывают настолько настойчивыми.

Единственная надежда была когда-то на биометрию, но упрощение логинов для леммингов с одной стороны и перенос на единый телефон вообще всех способов аутентификации (включая неотзываемые) с другой — приводят не к упрощению, а к путанице и совершенно нулевой безопасности. Вполне возможно, что мы согласимся с нулевой безопасностью во имя удобства, но тогда кому нужны телодвижения с СМС и тупейшей, непрошеной, красивой только на презентации, геозащитой «Ёпта,  ты сейчас в Польше, значит это не ты». Вы же все обещаете знать о том, что я собрался в Польшу еще до того, как я купил билет!

me, default, computer

Спецслужбы

Или спиц-службы? Спицы врагам в колеса вставлять.
Или спит’с службы? — Мол, спит’с на службе-то? — Никак нет, вашсокородь!

Но я не о фонетике-лингвистике.

Есть ли у крутых(тм) спецслужб внедренные профессионалы, или хотя бы планы внедрения агентов в коммерческий топ-менеджмент врага? Вот Штирлиц в коридорах РСХА — это понятно. А как насчет штирлица-гика в свитере с оленями в качестве руководителя бизнес-юнита в FAANG-е или VP Яндекса? На первый взгляд — невероятно перспективное, стратегическое внедрение. Даже «принципиальные» низовые инженеры, особенно кто близко к бигдате сидит или к промышленной электронике, могут оказаться ключевыми фигурами в будущей информационной войне.

Насколько я знаю, этим никто особенно не заморачивается. Или я просто не на том уровне, чтобы знать, что этим заморачиваются?
me, default, computer

The big brother is watching you

Амазон встретил меня особым для Prime Day разделом "Рекомендации для тебя, Игорь". Спасибо, дорогой Амазон. За годы покупок, отзывов, wish-листов, бесчисленного поиска информации о характеристиках гаджетов (нахожу Амазон чрезвычайно удобным для быстро посмотреть технические параметры, разброс цен и отзывы живых покупателей), со всей новомодной Бигдатой™ и прочая, и прочая, ты подобрал удивительнейший список! Прям "широко жил партизан Боснюк"™! Правда же вы узнаете в этом списке меня? Степлер, кастрюли, левые наушники, табуретки и джинсовое платье — рекомендация персонализирована донельзя. И столь же "эффективна".

Думается мне, большинство евангелистов биг даты — шарлатаны похуже условного кашпировского.  Где-то там петабайты заботливо сохраненной обо мне информации превращаются в тупой белый шум из которого потом рандомально выбирается категория для "персонального" предпочтения. Теперь уже я, как потребитель, мечтаю заплатить посильную сумму для того, чтобы узнать чем же я заслужил предолжение кастрюль, не говоря о платье....  Кстати, эффективность гуглов-фейсбуков, запрети им тривиальный трэкинг, становится аналогично нулевой и унылой.

Купить, что ли, степлер, чтобы окончательно свести систему с ума?
me, default, computer

Мечтают ли андроиды о торговых войнах

Бан Huawei Гуглом в очередной раз доказывает полнейшую несостоятельность схемы с глобальным и централизованным предоставлением услуг. С одной стороны я несказанно этому рад, так как являюсь противником глобализации в ее существующей форме. С другой стороны один поставщик услуги, умеющий именно эту услугу (будь это гигантский магазин, операционная система, каталог приложений, облачный диск и т.п.) и умеющий ее хорошо — это было по-пользовательски удобно.

Техническая цивилизация сильно пострадает из-за дурацких президентских указов ради сиюминутных торговых войн, но местные хайтек-сообщества могут их только приветствовать. Пилить больше собственных андроидов с го и гейшами, собственных чипов и приложений, что может быть лучше для нашей профессии?

Больше всего в этой истории мне странно решение Гугла.  Да-да, executive order, обязательность к исполнению, бла-бла, я все это знаю. С другой стороны есть еще дофига обязательных к исполнению вещей (например, платить налоги), которые Гугл с разной степенью успешности обходит, кладя свой ирландский, русский и прочие международные болты попеременно, когда какой нужнее. Впрочем, это не первое тупое решение компании и даже не первое тупое, о котором я писал. Фирма, всеми силами стремящаяся перенести к себе всю цифровую активность человека, и в то же время делающая свои сервисы максимально нестабильными и ненадежными, вызывает у меня когнитивный диссонанс.

Уж корову-то Андроида, стабильную и модерново-классически завоеванную (опен соурс, донт би ивил, все дела, а  потом раз! — всех схватить за яйца), можно было доить еще долгое время. Корейцы и китайцы, конечно, пытались запилить что-то свое, но делали это с ленцой и слабым финансированием. Им нужно было большие мотивации, больше!

Впрочем, это все игры больших ребят с тугими кошельками. А нам, простым людям, остается тихо напомнить о том, что никогда нельзя полагаться на 3-ю сторону в вопросах хранения или предоставления важных данных. Ни на гуглы, ни на дропбоксы, ни на эпплы, неважно насколько крутой, стабильной и привлекательной не выглядит компания. Сотрут или обрежут в момент, по желанию левой пятки продакт менеджера, чиновника или политика.
me, default, computer

Отказник S

Профессору Ади Шамиру не дали визу в США для участия в конференции RSA  (1/3 имени себя) в СФ. Не иначе как представляет угрозу national security! Еще, чего доброго, алогоритм напечатает на футболке и вывезет зарубеж...

Мда, дубовость американской бюрократии отточена до таких высот, что это начинает вызывать уважение.

Источник:
https://www.themarker.com/technation/1.6998580?fbclid=IwAR0kKL8vx_iAC_9iA2s4ykw-kFY_97Nmy45_2b_Y-miTeZ1PG3gLgAMksYw
me, default, computer

ЛосПил

Лос-анджелеское РОНО (The Los Angeles Unified School District), замутившее инициативу "каждому школьнику — по айпэду" ценой в $1.3 млрд., решило слить. Решение внезапно пришло на следующий день после того, как ФБР нагрянуло в округ с расследованием контракта, по которому  $500 миллионов уходило на собственно айпэды, а $800 миллионов - на зарплаты, интернеты и прочие расходы. Вот это размах, российские чиновники тихо курят в сторонке. Теперь несчастным латиносам школьникам никто айпэдики не купит и они останутся ниграматными.
me, default, computer

Бойцы невидимого фронта (к предыдущему посту)

Вот он, наш герой. Консультант по безопасности, инструктор, вице-президент Yahoo по безопасности, старший директор LinkedIn по инжинирингу и безопасности, 12 лет опыта только на должностях со словом "security"  в названии. На одном поле сра очень, очень солидная фигура. И пароли без соли хранил. Просто нет слов. Как жалко, что не выгоняют из цеха с позором и волчьим билетом! И ходят эти факин директора и прочие манагеры из фирмы в фирму, с должности на должность, оставляя за собой хвост тупейших технических решений, неудачных проектов, просирания всех бюджетов и прочих заслуг. Но никуда не деваются, вот что самое обидное. В израильском и американском хайтеке таких – пруд пруди.

Конечно, просравший Novell Эрик Шмидт может в следующий раз преуспеть в качестве гендиректора Гугла, а просравший Эппл Стив Джобс – вернуться с триумфом. Только исключения лишь подвтержают правило. Любой принимающий случайные решения (не говоря уж о хоть сколь-нибудь обоснованных) имеет ненулевой шанс сорвать джек-пот, а в случае неудачи перебраться куда-нибудь еще. На крайний случай – поруководить технологическим центром в Индии.
me, default, computer

О взломе LinkedIn

После чтения 20-го подряд перепоста о краже базы данных паролей LinkedIn, я тоже выскажусь. Дорогие товарищи. Кража базы паролей известного сервиса конечно же доставляет сама по себе. Можно сказать, ужас-ужас, хотя мы долго живем и многое успели повидать. Но вот что самое страшное – LinkedIn хранил простые хэши паролей, без соли (на профессиональном жаргоне – специальная случайная добавка к паролю в базе, затрудняющая подбор пароля перебором или при помощи специальных таблиц) и вообще без каких-либо контрмер. Вот где настоящий ужас! За такое ставят двойку даже на факультативном уроке информатики для умственно-отсталых в заборостроительном ПТУ.

Публичная компания, вся такая крутая и модная, с P/E 640 (мама мия). Так и вижу как они тщательно набирают персонал, с десятком интервью, с требованием PhD начиная с младшего помощника сисадмина,  с консультантами уровня не ниже Ади Шамира, с безвкусно скопированными у Гугла футуристическими офисами (последнее относится к Фейсбуку, но и LinkedIn, я уверен, нам еще похвастается парой сотен диванчиков и десятком столовых) и прочей распальцовкой. А на деле как были сляпанным на коленке эникейщиками сайтом, так и остались.

Пароли там менять обязательно всем, тут даже двух мнений быть не может. И если вы используете один пароль для нескольких сервисов, самое время придумать уникальный пароль, для LinkedIn уж точно.