А потом окажется, что те же трудящиеся, которые просили сделать 1% опциональным, попросят чтобы этот 1% не был доступен всегда, а ротировался вместе с остальными категориями, то выпадая, то нет. А ещё позже количество категорий тихо и незаметно снова сократят на одну.
Многоходовочка.
VPN-сервисы построены на архитектуре и решениях, не подразумевающих какую-то дополнительную маскировку данных от vpn-сервера и рассчитывать можно только на их совесть. Согласен, да-да-да.
1Password построен НЕ поверх OpenVPN/ipsec+ike v2/Wireguard/Cisco VPN, я в этом уверен. Тогда к чему всё это?
А вдруг 1Password заявляет что шлёт на сервер данные зашифрованными, а на самом деле шлёт не зашифрованными?
А вдруг 1Password заявляет одни алгоритмы шифрования а использует другие, более слабые?
А вдруг в архитектуре сознательно оставлены бэкдоры?
На то есть возможность посмотреть хоть и обфусцированный, но код браузерного расширения, которое умеет работать с серверами 1Password без прослойки в виде скомпилированного десктопного клиента, а в плане бэкдоров — довериться результатам нескольких независимых аудитов от разных фирм.
А вдруг коррумпированный инсайдер, когда ему понадобится, выпустит релиз с кодом, где специально отменено/ослаблено/итд шифрование?
Надеюсь, практики типа codereview, ответственность за релиз разных команд одновременно и всё такое помогут предотвратить такое развитие событий. Да и вашим собственным сервисам, в таком случае, доверять-то мне тоже нельзя. И вообще ничьим кроме собственноручно написанных, желательно ещё скомпилированных собственноручно написанным комплиятором, на собственноручно спаянном железе.
А вдруг помимо фио-карты-почты кто-то просто продаст заодно и зашифрованные данные пользователя?
Самое адекватное из "а вдруг". Я специализируюсь несколько на другом, поэтому надёжность решения сам оценить не могу, но на страже данных стоят AES-256-GCM, PBKDF2-HMAC-SHA256 with 100,000 iterations), и где-то там в процессе участвует ассиметричное шифрование с RSA-OAEP with 2048-bit moduli and a public exponent of 65537. И всё это на клиентах, в на серверы уезжает только результат применения всего этого на данных пользователя и не уезжают никакие данные для расшифровки.
Нет, обвинений сабжа в торговле данными пока в публичный интернет не поступало. Как и небыло пока ни одной новости о взломе, в отличии от одного популярного конкурента.
Мы либо верим, что 1Password работает по модели, описанной выше, либо заявляем что он врёт и часть данных отправляет себе на серверы не зашифрованными. А согласно PDF всё-таки всё шифруется перед передачей и тогда — имя, фамилия, email, разрешённый PCI DSS ко хранению кусок данных банковской карточки, вот и всё, чем можно торговать.
1Password несколько раз проходил независимый аудит, публикует описание работы всего чего только может и понять, есть ли у них возможность чем-то торговать, при условии что они придерживаются описанной архитектуры, вы можете и самостоятельно, если понимаете о чём они. https://support.1password.com/security-assessments/ — вот ещё ссылку забыл. https://1passwordstatic.com/files/security/1password-white-paper.pdf — и ещё одну.
Как отвечать на аргументы "а может быть они скрытно работают не так, как заявляют", не будучи инсайдером, я не очень понимаю.
Для простого персонального менеджера паролей — безумная. Для менеджера паролей с семейными аккаунтами, корпоративными, заигрывающего с нишей управления секретами приложений (привет hashicorp vault) — наверное нет.
А отрасль — это Хабр и его рекламодатели или всё-таки можно учитыввать разработчиков решений для букинга, ресторанов, онлайн-касс, заводов, внедренцев всего этого? Все сервисы вокруг туризма и перелётов наверное тоже передают привет.
И куда все эти освободившиеся специалисты перераспределяется — это ещё смотреть надо. Часть осядет в менее проблемных направлениях, часть и правда может утечь зарубеж или только мозгами, или ещё и физически.
> Удивительно, но за 14 лет существования системы кармы на Хабре так и не врубился, как она работает. С математическим, блин, образованием. Нравится — плюс, не нравится — минус
Не касаясь остальной дискуссии, тут могу заметить, что хоть и концепция «у каждого поста, комментария и пользователя есть плюсики и минусики, на которые можно жать и это зачтётся» действительно не менялась с открытия Хабра, но формула подсчёта рейтинга пользователей на основании полученных плюсов и минусов менялась неоднократно.
Apple с момента открытия App Store разделила API на публичные методы и непубличные. Apple с самого начала сказала, что приложения, использующие непубличные методы, не будут допускаться к публикации.
Electron видимо в какой-то момент достаточно хорошо научился скрывать использование непубличных методов или начал использовать их недавно. Apple это выявила и закономерно теперь не допускает к публикации приложения на «плохих» версиях Electron.
Но тут врывается Оуэн Вилльямс, стукнутый чем-то, раз не помнит всю историю, и заявляет, что принижают конкретно web-технологии. Молодец, Оуэн Вилльямс.
P.S. А вот лично я на законодательном уровне запретил бы Electron. Обернули какой-то веб-сайт в оболочку, которая по сути представляет из себя webkit без UI браузера, и «какие же мы крутые, у нас теперь есть приложение под десктоп и мобилочки!». Есть и исключения, но с «desktop-приложения» от WhatsApp я долго смеялся.
Дискуссии пользователя
А потом окажется, что те же трудящиеся, которые просили сделать 1% опциональным, попросят чтобы этот 1% не был доступен всегда, а ротировался вместе с остальными категориями, то выпадая, то нет. А ещё позже количество категорий тихо и незаметно снова сократят на одну.
Многоходовочка.
VPN-сервисы построены на архитектуре и решениях, не подразумевающих какую-то дополнительную маскировку данных от vpn-сервера и рассчитывать можно только на их совесть. Согласен, да-да-да.
1Password построен НЕ поверх OpenVPN/ipsec+ike v2/Wireguard/Cisco VPN, я в этом уверен. Тогда к чему всё это?
А вдруг 1Password заявляет что шлёт на сервер данные зашифрованными, а на самом деле шлёт не зашифрованными?
А вдруг 1Password заявляет одни алгоритмы шифрования а использует другие, более слабые?
А вдруг в архитектуре сознательно оставлены бэкдоры?
На то есть возможность посмотреть хоть и обфусцированный, но код браузерного расширения, которое умеет работать с серверами 1Password без прослойки в виде скомпилированного десктопного клиента, а в плане бэкдоров — довериться результатам нескольких независимых аудитов от разных фирм.
А вдруг коррумпированный инсайдер, когда ему понадобится, выпустит релиз с кодом, где специально отменено/ослаблено/итд шифрование?
Надеюсь, практики типа codereview, ответственность за релиз разных команд одновременно и всё такое помогут предотвратить такое развитие событий. Да и вашим собственным сервисам, в таком случае, доверять-то мне тоже нельзя. И вообще ничьим кроме собственноручно написанных, желательно ещё скомпилированных собственноручно написанным комплиятором, на собственноручно спаянном железе.
А вдруг помимо фио-карты-почты кто-то просто продаст заодно и зашифрованные данные пользователя?
Самое адекватное из "а вдруг". Я специализируюсь несколько на другом, поэтому надёжность решения сам оценить не могу, но на страже данных стоят AES-256-GCM, PBKDF2-HMAC-SHA256 with 100,000 iterations), и где-то там в процессе участвует ассиметричное шифрование с RSA-OAEP with 2048-bit moduli and a public exponent of 65537. И всё это на клиентах, в на серверы уезжает только результат применения всего этого на данных пользователя и не уезжают никакие данные для расшифровки.
Нет, обвинений сабжа в торговле данными пока в публичный интернет не поступало. Как и небыло пока ни одной новости о взломе, в отличии от одного популярного конкурента.
Мы либо верим, что 1Password работает по модели, описанной выше, либо заявляем что он врёт и часть данных отправляет себе на серверы не зашифрованными. А согласно PDF всё-таки всё шифруется перед передачей и тогда — имя, фамилия, email, разрешённый PCI DSS ко хранению кусок данных банковской карточки, вот и всё, чем можно торговать.
1Password несколько раз проходил независимый аудит, публикует описание работы всего чего только может и понять, есть ли у них возможность чем-то торговать, при условии что они придерживаются описанной архитектуры, вы можете и самостоятельно, если понимаете о чём они.
https://support.1password.com/security-assessments/ — вот ещё ссылку забыл.
https://1passwordstatic.com/files/security/1password-white-paper.pdf — и ещё одну.
Как отвечать на аргументы "а может быть они скрытно работают не так, как заявляют", не будучи инсайдером, я не очень понимаю.
https://support.1password.com/1password-security/
https://1password.com/soc/
Для простого персонального менеджера паролей — безумная. Для менеджера паролей с семейными аккаунтами, корпоративными, заигрывающего с нишей управления секретами приложений (привет hashicorp vault) — наверное нет.
Я человек простой. Вижу новость о Самсоновой — вспоминаю твит https://twitter.com/toniasamsonova/status/496295103217278976 и всё жду, когда же.
Описание достаточно похоже на принципы работы API от Google и Apple, надеюсь это оно и будет.
А отрасль — это Хабр и его рекламодатели или всё-таки можно учитыввать разработчиков решений для букинга, ресторанов, онлайн-касс, заводов, внедренцев всего этого? Все сервисы вокруг туризма и перелётов наверное тоже передают привет.
И куда все эти освободившиеся специалисты перераспределяется — это ещё смотреть надо. Часть осядет в менее проблемных направлениях, часть и правда может утечь зарубеж или только мозгами, или ещё и физически.
> Удивительно, но за 14 лет существования системы кармы на Хабре так и не врубился, как она работает. С математическим, блин, образованием. Нравится — плюс, не нравится — минус
Не касаясь остальной дискуссии, тут могу заметить, что хоть и концепция «у каждого поста, комментария и пользователя есть плюсики и минусики, на которые можно жать и это зачтётся» действительно не менялась с открытия Хабра, но формула подсчёта рейтинга пользователей на основании полученных плюсов и минусов менялась неоднократно.
О, «ну и память» я умею и практикую. Вот Олег Тиньков мне смузи бесплатно так и не предоставил ( https://twitter.com/olegtinkov/status/577227200518324224 ), ну и где теперь он?
Не вижу смысла слушать человека, который однажды уже соврамши: после https://twitter.com/toniasamsonova/status/496295103217278976 получилось всего лишь https://twitter.com/toniasamsonova/status/496380443550576640
Apple с момента открытия App Store разделила API на публичные методы и непубличные. Apple с самого начала сказала, что приложения, использующие непубличные методы, не будут допускаться к публикации.
Electron видимо в какой-то момент достаточно хорошо научился скрывать использование непубличных методов или начал использовать их недавно. Apple это выявила и закономерно теперь не допускает к публикации приложения на «плохих» версиях Electron.
Но тут врывается Оуэн Вилльямс, стукнутый чем-то, раз не помнит всю историю, и заявляет, что принижают конкретно web-технологии. Молодец, Оуэн Вилльямс.
P.S. А вот лично я на законодательном уровне запретил бы Electron. Обернули какой-то веб-сайт в оболочку, которая по сути представляет из себя webkit без UI браузера, и «какие же мы крутые, у нас теперь есть приложение под десктоп и мобилочки!». Есть и исключения, но с «desktop-приложения» от WhatsApp я долго смеялся.