Леонид Каганов Голосов: 2 Адрес блога: http://lleo.livejournal.com/ Добавлен: 2007-12-13 21:28:18 блограйдером Luber

ОБЕЩАНИЯ: сайт наблюдений за словом и делом

2015-02-12 16:10:50 (читать в оригинале)

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/02/12.html

Существует большая проблема (причем, общемировая), связанная с тем, что в наш век потоки информации огромны, а СМИ выбирают для новостной колонки лишь самое актуальное на сегодняшний день. Наступает другой день — там уже новые события. И зачастую никто не вспомнит, что было, никто не заинтересуется, чем кончилось. Вот ты читаешь новость, что-нибудь вроде «в госпитале Сан-Диего диагностировали эболу у медсестры, вернувшейся из миссии в Либерии». Проходит неделя, месяц, и ты вдруг вспоминаешь — как там бедная медсестра? Удалось победить инфекцию? Но информации нет, потому что диагноз быстрый и яркий, а излечение долгое и в новостях не освещается.

Особенно ярко потеря контроля над информацией происходит в тех областях, где люди дают обещания или делают прогнозы. Если помните, я как-то публиковал прогноз будущего на 30 лет вперед, который я в далеком детстве 30 лет назад каким-то чудом догадался вырезать из газеты и сохранить на антресолях. Это всегда очень интересный момент — сравнение новой реальности и старых обещаний. Но обычно у нас нет инструментов, чтобы это отслеживать.

Другая интересная проблема — ответственность за свои обещания. Пользуясь тем, что современный информационный хаос неконтролируем и любые обещания мгновенно забываются под горой событий, можно бросаться словами и не сильно заботиться, что тебя кто-то обвинит во лжи через много месяцев.

Я всегда проделываю такую шутку: если до меня доходит весть, что кто-то из моих друзей ждет ребенка, но еще не делал УЗИ, я с важным лицом даю обещание: «у вас будет мальчик! вспомните мои слова!» (иногда говорю «девочка», совершенно наобум). Юмор в том, что ты ничем не рискуешь: вероятность угадать 50%, как при бросании монетки. Но правда с монеткой выяснится мгновенно, а здесь пройдет месяцев 7-8. После такого долгого периода, наполненного множеством событий и хлопот, счастливые родители вспомнят этот прогноз только если он сбудется. Тогда он всплывет в их памяти с ощущением, будто я откуда-то это точно знал, раз заявлял с такой уверенностью. И можно заслужить славу предсказателя. А если прогноз не сбудется — никто о нем не вспомнит: мало ли кто там какого счастливого деторождения пожелал родителям в дружеской беседе?

В отличие от этой безобидной шутки, политики пользуются тем же принципом направо и налево. Кто же найдет и станет перечитывать листовку с предвыборными обещаниями через месяц после выборов? А через год? Через пять лет?

Но вот я вижу любопытный сетевой проект — http://obeschania.ru Это некая общественная «википедия» по фиксации и учету обещаний (и просто прогнозов) разных общественных деятелей с отслеживанием, выполнилось или нет.

В результате получается любопытная база, где можно искать выполненные или невыполненные обещания по темам (политика, происшествия, наука и т.д.), персонам или организациям. Вот два скриншота самых верхних выполненных и невыполненных обещаний или сбывшихся / не сбывшихся прогнозов:

Посетитель может сам проголосовать по любому событию, сделав прогноз, а потом в личной карточке отслеживать событие, совпал ли твой прогноз с реальностью. Если ты выбрал кнопку, оставив свое мнение, вместо кнопок появляется столбик статистики:

Можно отправить информационное событие самому. Я отправил пару штук:

Сообщения проходят премодерацию, а затем появляются на сайте в виде статьи — видно, что над ними проводится большая работа: изучается источник, делается подробный текст, снабжается ссылками на дополнительные материалы.

1. Глава МИД Великобритании пообещал в случае чего не допустить развала украинской армии в плане помощи оружием — опубликовано здесь Искренне надеюсь, что конфликт пойдет на убыль и нам не доведется узнать, выполнит МИД Великобритании свое обещание или нет.

2. Путин в 2009 обещал, что к 2015 треть россиян сможет купить собственное жилье — опубликовано здесь, к новости добавили данные современной статистики и присвоили статус «не выполнено».

Насколько объективен сайт и действует ли он в чьих-то интересах? Хороший вопрос. Необъективности или симпатий к какой-то одной точке зрения я пока не заметил. Из персон представлены почти все, вот я сделал скриншоты невыполненных обещаний Путина и Навального:

А вот скриншоты выполненных:

Очень любопытный проект, рекомендую. Еще раз порекламирую ссылку: http://obeschania.ru

---

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/02/12.html

---

удобнейшая авторизация от TeddyId.com

2015-02-09 10:04:30 (читать в оригинале)

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/02/09_teddyid.html

Сегодня расскажу про крайне полезный сервис teddyid.com, который я изучил и привинтил к движку в своем блоге. Это - двухфакторная система авторизации, которая позволяет забыть о паролях (и их утечках) не только на сайтах, где эта система установлена (например, на моем), а вообще на любых сайтах интернета (плагин к браузеру). А для банков, организаций и юрлиц это еще специальный сервис: цифровые подписи, ведение некоторой документации и учета.

Идея в том, что одним из гарантов индентификации является не только компьютер, с которого производится действие, но и личный смартфон, с которым система в нужный момент выходит на связь и запрашивает подтверждение (а также сайт может задавать по API и произвольные вопросы, получая от пользователя ответ со смартфона). Забегая вперед, скажу, что в в такой системе важна реализация и юзабилити, и здесь это на высоте: все происходит быстро и удобно.

предыстория

Существующая система паролей в интернете, мягко говоря, устарела. Время от времени где-то чей-то аккаунт ломают, и пользователь начинает громко жаловаться на "подобранный" пароль. Чего в реальности практически не бывает, потому что пароли уплывают после взлома компьютера или методами социальной инженерии. Но дело не в этом. Разработчики систем, напуганные жалобами пользователей, начинают изобретать методы усложнения паролей: и чтоб не менее 8 символов, и чтоб разного регистра буквы, и чтоб была хотя бы одна цифра или спецсимвол... В результате пароль получается таким, что запомнить его нереально (особенно если активно живешь в сети и постоянно где-то регистрируешься). Соответственно, пользователь начинает запоминать пароль в браузере, записывать на бумажке над рабочим столом, соответственно риск угона возрастает... замкнутый круг.

С проявлением мобильников в качестве личного аксессуара некоторым (в первую очередь платежным системам) стала приходить в голову идея двухфакторной авторизации - когда при логине система просит подтверждение с использованием личного мобильника. Однако это обычно оставалось на уровне "дождитесь SMS с кодом и введите его сюда".

Создатели проекта teddyid.com пошли дальше - они предложили избавиться от паролей вообще, забыв их как страшный грех.

В настоящее время система teddyid.com предлагает несколько полезных вещей: для простого пользователя, для разработчика сайтов и для корпорации. Расскажу по порядку.

TeddyId для рядового пользователя

Меденджер паролей от TeddyId работает для любого сайта - даже если сайт ничего не знает о TeddyId. Смотрим короткий ролик:

Как это устроено технически? Плагин к браузеру, который взаимодействует с приложением teddyid на смартфоне. Плагин активизируется при наличии на странице любого сайта формы INPUT/password ввода пароля. При первом вводе плагин предлагает запомнить пароль в системе teddyid (можно отказаться). Далее пароль преобразуется современными криптографическими методами на две шифрованные части. Одна часть запоминается на сайте teddyid, другая - в локальном хранилище браузера и копия в смартфоне. Всё, пароля больше нет нигде. Заполучив лишь одну часть, расшифровать его нельзя. С тех пор при посещении этого сайта плагин будет предлагать ввести пароль через teddyid - достаточно нажать "да" на смартфоне, и пароль введен (собран из двух кусков, дешифрован и подставлен в форму). Что будет, если вы переустановили браузер, Local Store очистилось и половина шифропароля утерялась? Не проблема, она сохранилась в смартфоне, всё будет восстановлено при логине. Что будет, если украли смартфон или он сменился? Не проблема, на сайт teddyid можно войти по-старинке, через код, а в своем аккауте отключить старый смартфон и активизировать новый- данные снова запишутся. Ну, разумеется, если одновременно убить и браузер и смартфон, пароли будут утеряны, но это ж надо постараться.

Я поставил себе, разумеется, и это оказалось ОЧЕНЬ удобно. Особенно меня бесил сайт Aliexpress, который разрывает сессию через полчаса после ухода со страницы, и требует вводить пароль заново.

Что надо сделать простому пользователю, чтобы обезопасить себя от кражи пароля (шифропароль из двух частей украсть не в пример сложнее) и облегчить себе жизнь? Три простых шага:

1) Установить на свой смартфон приложение, оно есть под все мыслимые мобильные платформы (а для безнадежно старинных есть даже java-приложение):

    

2) Завести аккаунт на https://teddyid.com Там все просто. Причем, со смартфона достаточно из приложения сфоткать QR-код на экране, и все само сконнектится.

3) Установить в браузер плагин Teddyid. Плагины тоже есть для любого браузера, кроме Opera (и тот скоро будет): Chrome, Firefox, Explorer, Safari.

Плагин первые 30 дней бесплатный, далее если понравился, его можно одноразово купить за 0.99$. Этот плагин лишь одна из вариаций. Система логина для сайта (например, моего), о которой пойдет речь ниже, бесплатна в непромышленных количествах.

TeddyId для разработчика сайтов

Если вы хотите, чтобы ваши пользователи (независимо от того, установлен ли у них плагин) могли логиниться через эту систему, вы можете установить ее себе на сайт. сделать это очень просто, достаточно вставить в код одну строку:

<script src="https://www.teddyid.com/js/teddypass.js" defer></script>

И смело рисуйте на странице свою форму ввода пароля - браузер посетителя отреагирует так же, словно в нем установлен плагин, описанный в предыдущем разделе.

Способ со вставкой одной строки прост и эффективен, но для серьезного проекта конечно есть более грамотный: API авторизации. Оно подробно описано и не сложно в реализации (есть и готовая библиотека PHP, но я по привычке рисовал код сам).

Помимо простого логина, API позволяет еще много интересных вещей. Например, делать запросы на мобильник и получать ответ "да" или "нет". Что позволяет делать безопасные вещи в разных сетевых проектах. "Вы действительно хотите удалить свой фотоальбом или маленький братишка играется у забытого ноутбука?" - да, нет? "Вы хотите открыть свой архив личной переписки или это жена включила комп и открыла ваш аккаунт в соцсети?" - да, нет? Невероятное количество проблем можно было бы решить, будь подобная настройка (по желанию) на всех крупных проектах.

У меня сайт сейчас умеет через TeddyId (если его подключить и выставить соответствующие галочки в настройках):
- подтверждение любых изменений в личной карточке (смена пароля, юзерпика - кстати, загрузку и смену юзерпика я вчера сделал тоже, welcome :)
- подтверждение входа в архив личных сообщений (жена не должна лезть в переписку мужа)

А также оповещения:
- оповещение о новом личном сообщении
- оповещения об ответе на ваш комментарий
- оповещения об ответе автора блога на ваш комментарий

В оповещениях мил тот факт, что они приходят на смартфон, когда вы не за компьютером. Отвечать на них "да" или "нет" не надо. При этом надо учесть, что оповещения - штука ненадежная, они могут не прийти вообще, а при появление следующего оповещения предыдущее затирается. Кроме того, оповещения не личные, а массовые ("всем читателям: вышла новая заметка!") делать нельзя. Во-первых, это запрещено политикой, например, Apple. Во-вторых, достаточно во-первых, и сервис TeddyId массовым рассылкам рад не будет, отключат.

Для иллюстрации примера запроса API я сделал вот эту кнопку:

<input ... >

Каждый, кто залогинился на моем сайте через teddyid, может нажать эту кнопку и увидит вышеописанную пикантную фотку. Остальным - радость недоступна :)

Чтобы залогиниться на моем сайте через teddyid, просто откройте личную карточку и нажмите кнопочку "добавить" в строчке "teddyid". Это дополнительный способ логина в добавок к местному паролю и соцсети (можно логиниться любым из трех методов).

Для владельцев моего движка - обновитесь с lleo.me/dnevnik (на остальные источники я пока обновления не накатил), а в config.php добавьте две строки: номер учетки, полученный при регистрации вашего сайта в личном кабинете на teddyid.com ("узлы"-"настольное приложение") и секретный ключ, который вы вбили там же при регистрации, у меня это так:

$teddyid_nodeid='488';
$teddyid_secretkey="Vereshagin, uhodi s barkasa 12345!";

TeddyId для организаций

Поскольку основная монетизация проекта идет с организаций (сервис бесплатен для простых пользователей и сайтов с количеством регистраций до 1000 в сутки), для организаций здесь сделано особенно много - системы документооборота, ведения документов, учет сотрудников и цифровая электронная подпись. Что тоже несказанно удобно, потому что все это работает по двухфакторной системе через смартфон. Для банков, организаций, офисов эта система будет очень полезна, потому что не только решает вопросы безопасности, но и дает удобный деловой сервис. Я зарегистрировался там как ИП, осталось пройти подтверждение:

Интервью с разработчиками

В процессе освоения системы я много переписывался с разработчиками и даже слал предложения и идеи разной степени глупости. В итоге я даже попросил Антона Чурюмова ответить на несколько вопросов специально для блога:

Кто разработчики?

Команда небольшая, всего 4 человека сейчас.

Как пришла идея?

Меня давно достали пароли, запоминать их невозможно, а процесс копирования из парольного менеджера был слишком трудоемким. В то же время я работал тогда над платежным агрегатором Platron.ru, где требовалась усиленная безопасность, которую не может обеспечить даже самый сложный пароль. Хотелось сделать двухфакторную защиту, но без неудобств, характерных для существовавших тогда реализаций двухфакторной защиты. В итоге придумал ту схему, которая легла в основу Teddy ID. Но главная причина, почему идею захотелось реализовать (одного наличия идеи для этого мало), это то, что нам удалось разрушить стереотип о том, что улучшение безопасности возможно только ценой уменьшения удобства. Нам удалось убить двух зайцев - усилить безопасность и сделать логин удобнее. Мне нравятся такие моменты когда рушится старый стереотип.

Столкнулись ли с какими-то трудностями в реализации?

В технической реализации особых сложностей не было. Были разные проблемы, но они все решались. Продвижение на рынок оказалось сложнее, чем я ожидал. Обычное недоверие к новым неизвестным компаниям, особенно в области безопасности, здоровый консерватизм пользователей (буду логиниться как привык, как везде), проблема курицы и яйца (пока почти нет сайтов, которые принимают TeddyID, зачем заморачиваться установкой приложения, и обратно: пока нет пользователей, ...), и неготовность и даже часто неспособность многих пользователей самостоятельно ставить на свой телефон вообще какие-либо приложения, кроме предустановленных.

Что-то планируется добавить в проект в будущем?

Планируем решить проблему логина на том устройстве, где установлено приложение. Множество небольших изменений, которые улучшат user experience в некоторых сценариях использования. Будем смотреть за пользователями и адаптироваться под то, что им нужно.

Каким видится основной пользователь?

Компании, использующие облачные сервисы (Google Apps, Salesforce, ...) и желающие иметь удобную двухфакторную защиту доступа к корпоративным данным для своих сотрудников. Также компании, использующие разделяемые между несколькими сотрудниками пароли для доступа к другим сервисам и желающие навести порядок в этом хозяйстве (прекращение доступа для уволенных сотрудников, автоматическое предоставление доступа новым сотрудникам).

Насколько надежно защищен сервис от взлома, DDOS-атак, аварий? Сервера только в России?

Сервера только в Германии :) Чтобы уберечься от аварий дата-центров, мы держим два одинаковых сервера в разных дата-центрах. Проходим регулярное сканирование на уязвимости, но в целом строим архитектуру так, чтобы как можно меньше интересной для взломщиков информации хранилось у нас.

В общем, рекомендую. Если какие-то вопросы по использованию, API, его работе, встраиванию, программированию) - спрашивайте, я неделю в эту систему въезжал в мельчайших деталях и достаточно подробно разобрался (и с разработчиками много беседовал), так что подскажу, объясню. Может, в комментариях и сами разработчики будут, ответят на вопросы.

---

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/02/09_teddyid.html

---

Гребаная техника атакуе!

2015-02-06 07:47:19 (читать в оригинале)

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/02/06.html

Купил новый винт 2TB для квартирного сервера. Старый был 3.5", ощутимо медленный, грелся и гудел вентилятором, а по S.M.A.R.T. сообщал, что пока ничего, но риски близятся.

Короче, стал я переливать с винта на винт всё (всё моё и моих близких), шо нажито непосильным трудом с 1991 года (у меня все данные исправно хранятся год за годом от компьютера БК0010). Поскольку у меня дома нет десктопа, куда можно было бы вставить оба винта и часа за 4 перелить, то переписывание винтов приобретает психоделический оттенок. Будучи подключенными к ноутбуку по USB, они давали скорость копирования 800кб/сек. Причем, тормоза в основном из-за старого, новый-то быстрый. Нашел способ: воткнул старый винт в медиаплеер, тот расшарил его по сетке. Трое суток (ТРОЕ БЛЯТЬ СУТОК!) ноутбук переливал 2TB данных со скоростью около 4мб/сек при помощи mc.

Когда все закончилось, я на всякий случай сверил размеры папок, и обнаружил ад. Типичные случаи:
— Кое-где какие-то группы файлов не переписались: остальные в той папке переписались, а несколько штук — нет.

— Если в папке попадаются два файла с именами в разном регистре типа TEXT.txt и text.txt, то mc записывает две копии лишь одного из них.
— Наконец я обнаружил, что некая фотка типа DSC_0041.JPG записалась не той, что была, а какая-то другая фотка — из архива, но не понять, откуда — в исходной папке точно такой нет даже по размеру файла.

Три дня работы компа — и непонятно что с этим делать, потому что руками рыскать по папкам, что там не переписалось, и переписывать блохи, это ад. А оставить архив в таком ненадежном виде я не могу. На всякий случай сейчас снова вынул диск из медиаплеера, подключил к ноуту и чекаю fsck -p /dev/sdc1

Вопрос: что это может быть за фигня? Это уже мост какой в ноуте потихоньку сбоит? Или медиаплеер на Андроиде путает берега, отдавая файло по сетке? Или это mc (Midnight Commander 4.8.11) в сборках последних лет приобрел нетрадиционную ориентацию? (rsync не предлагать — у него шифрование потока, тормозить будет совсем адово).

В общем, в недоумениях. Скока можно и когда все крахи закончатся?

Да, а для совсем технических специалистов, кто дочитал жалобы до этого места и не уснул, вопрос другого плана: мне (лично) нужна по дружбе консультация грамотного специалиста по сетевой безопасности и взломам серверов. Это вопрос сугубо к вами, читателям моего дневника, посторонних (не знакомых со мной) не стану беспокоить вопросами.

---

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/02/06.html

---

Стаськины книжки

2015-02-05 04:11:17 (читать в оригинале)

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/02/05.html

Арфа как-то принесла для Стаськи чудесную книжку, у нее ребенок школьник уже почти совсем средних классов, и он ее давно прошел. Книжка электронная — встроенное под бумажной обложкой устройство с микроэкранчиком рисует номер вопроса и требует ввести правильный ответ из четырех предложенных. Правильный ответ, разумеется, лишь один. Станислав Леонидович (у него, кстати, именно сегодня день рождения — 7 лет) с книжкой справляется бойко, хотя некоторые вопросы вызывают у него недоумение, которое он даже выразил у себя в Фейсбуке. Признаться, у меня тоже некоторые вопросы вызывают недоумение. Поэтому сегодня мы со Стаськой предлагаем вам ответить на них. Правильный ответ, напоминаю, лишь один. И он указан в конце книжки. Но мы вам его не скажем, иначе будет не интересно. Докажите, что вы развитый не по годам взрослый:

<td align="left">

Уже проголосовали: 63

Монитор

4% (3)

Модем

60% (38)

Принтер

0% (0)

Сетевая карта

34% (22)

Ракета-носитель

96% (61)

Торпеда

1% (1)

Шаттл

1% (1)

Космический зонд

0% (0)

Флеш-карту

96% (61)

Мышку

1% (1)

Видеокарту

0% (0)

Дисковод

1% (1)

Магнитофон

1% (1)

Микрофон

88% (56)

Ксилофон

3% (2)

Мелофон

6% (4)

Тепловой экран

41% (26)

Тепловая подушка

3% (2)

Тепловой щит

25% (16)

Тепловая оболочка

30% (19)

Ксерокс

4% (3)

Телефон

0% (0)

Факс

1% (1)

Сканер

93% (59)

</td>

спасибо, что проголосовали!

Для тех, кто честно ответил на все вопросы, дополнительное задание: нарисуйте цветными карандашами автора книжки.

---

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/02/05.html

---

Ахтунг: следилка от провайдера

2015-01-29 04:11:56 (читать в оригинале)

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/01/29.html

Настраивая свой сайт (некую погодную станцию, о которой расскажу позже), случайно обнаружил, что за мной по пятам бегает некто WebIndex 92.242.35.54. Ну, то есть буквально: я создал и открыл никому прежде не ведомую страницу, и следом за мной в ту же секунду на нее ломится робот! Владелец робота-бегунка откровенно невнятен:

$ whois 92.242.35.54
inetnum: 92.242.35.48 — 92.242.35.63
netname: DTLN-CUSTOMERS
descr: Mir Telematiki, llc
person: Chayanov Petr
address: Moscow, Obolenskiy per., 10
phone: +7(903)1499639
abuse-mailbox: ulp@hostkey.ru

Первая мысль была, что в браузере завелся какой-то левый плагин, который сдает все посещенные адреса. Но оказалось, что то же самое происходит и в Firefox, и в Chrome, и даже при запросе консольным wget с указанием адекватного для браузеров user-agent (например, wget --user-agent="Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.34 (KHTML, like Gecko) Chrome/34.0.217.99 Safari/537.36"), обычный wget робота не привлекает).

Более того, робот прибегает и на каждое изменение GET-параметров! Я бы подумал, что мой комп или даже прошивка роутера заражена чем-то, но нет — следилка тупо на стороне провайдера! Я отключил роутер, подключил напрямую к проводу свежайший ноут со свежепоставленной Убунтой (другу как раз ставил), и словил тот же эффект.

Простейшее гугление обнаружило дивный пост человека, который умудрился реально пострадать от этого робота — запрограммировал для себя какой-то скрипт очистки баз, а ночью пришел робот и своим заходом запустил повторно: http://kkirsanov.livejournal.com/404721.html А из поста по ссылке мы узнаем отгадку: некая частная фирма договорилась с провайдерами (Акадо, ТТК, РосТелеком, ЭрТелеком, Qwerty, NetByNet и так далее), чтобы те ей сдавали все запросы клиентов! Просто так, для любопытства, самообразования, анализа сетевой активности и поисковых (вау!) запросов: http://sporaw.livejournal.com/347832.html И вот это уже прекрасно, товарищи. Куда мы ходим по интернету, уже следит не просто СОРМ, а вообще кто попало!

PS: Как думаете, может это повод уйти из qwerty в onlime? Или onlime тоже сдает? Проверьте там кто-нибудь, кто умеет.

---

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2015/01/29.html