Компания GitHub объявила о решении до конца 2023 года перевести всех пользователей сервиса GitHub.com, участвующих в разработке кода, на обязательное использование двухфакторной аутентификации (2FA). По мнению GitHub получение злоумышленниками доступа к репозиториям в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка скрытых изменений в популярные продукты и библиотеки, используемые в качестве зависимостей...Подробнее: https://www.opennet.me/opennews/art.shtml?num=57137
Нужна шестифакторная аутентификация восьмифакторными токенами.
Можно чуть проще: "GitHub переходит на..."
> "GitHub идёт на..."Можешь не благодарить.
А можно было просто уйти из гитхаба на скрепный сервис анало-гов-нет, а не сквернословить и минусить новость
Если не смузихлёбствовать, то можно найти кучу других публичных нескрепных гитов.
гит - ненужно. Нужно общение разработчиков между собой. Гитхаб - это такая социалочка для них.
с цензуркой, dcma, неадекватными зомбями. и help ukraine на каждой страничке ^_^
Ща поха порвет
>Нужно общение разработчиков между собой.Если внимательно прочитать новость то именно общение не ограничивается, ограничена только отправка кода.
Как ты понимаешь, если общаться надо в одном месте, а код отправлять какими-то череззадничными способами через совсем другое отверстие - это несколько уменьшает желание окружающих с тобой общаться ни о чем.А поддерживать issues/pull req/прочую сосальную активность на шитхабе - и при этом героически копипастить все вручную в личный суперсекретный репо - желающих найдется крайне мало.
То есть так как раз устроены некоторые корпоративные разработки, и у них в общем все плохо с фидбэком и комьюнити - именно по этой причине.
Потому что раз написали, два написали - это проворонили, поскольку разработчики туда не ходят, а pr-манагер отвлекся или не понял написанного, третий раз ответили что об этом знают и даже линк на секретное место где знают прислали, пять лет без движения висит, и тебя перестают беспокоить.
А вот когда открытые проблемы маячат перед глазами каждый день - на них становится сложно не обратить внимание.
> гит - ненужно.А что нужно то, лол?
> Нужно общение разработчиков между собой. Гитхаб - это такая социалочка для них.
Общение разработчиков эффективнее всего происходит путем обмена коммитами. От того что ты потрындишь в чатике программа не улучшится, внезапно.
> От того что ты потрындишь в чатике программа не улучшится, внезапно.Внезапно может оказаться, что отказаться от очередного "улучшения" - лучший вариант для всех.
"Улучшатели" бывают весьма странными типами.
> Внезапно может оказаться, что отказаться от очередного "улучшения" - лучший вариант для всех.Ну, у меня для этого git revert есть.
> "Улучшатели" бывают весьма странными типами.
Это ревью кода лечится а не попытками огестапить всех и каждого в распределенной :) системе, заведомо обреченными на провал.
Прикинь, тупица, если мне не хочется иметь дело с гитхабом я спишусь с вон тем девом в частном порядке и попрошу его pull request сделать на мой патч :). Дальше он может пушить это в гитхаб, может пушить в шитфаб, нотабуг, кодберг, марсианское хранилище в вечной мерзлоте или что там еще - мне уже похрен, я свое дело сделал. А вот именно гитхаб как точка обмена стал неудобным и назойливым. Там еще вебмакаки мудасофта что-то поменяли и он стал дичайше грузить проц браузером по поводу и без, как будто майнит коины все время. И это случилось после покупки мудасофтом. До этого все отлично было. Эти люди еще будут мне тут про мутный код лечить, ага.
Собственно к чему я предыдущий комментарий написал, а ктому, что смысл от гитхаба как от соцсетки всё-таки есть - и разработчикам, и пользователям он знаком.
Понятно, что есть и другие соцсетки, но популярность их в таргет-группе не очень высока.
Опенсорс - это факту не только код, но и в определённом смысле общественное движение, если разработчики программ не будут это учитывать, то крупные компании в итоге победят и задушат опенсорс, у них есть понимание как работать с обществом.
> Собственно к чему я предыдущий комментарий написал, а ктому, что смысл от
> гитхаба как от соцсетки всё-таки есть - и разработчикам, и пользователям он знаком.Актуально в основном всяким корпоменеджерам. Ну их пусть и строят. Только разработчики покажут им факи и либо не будут пользоваться гитхабом, либо будут туда раз в полгода пушить мега-релиз, а вы там разбирайтесь. А чтоб больше програмить и меньше развлекаться с всякими 2FA и прочим мешающим булшитом.
> Понятно, что есть и другие соцсетки, но популярность их в таргет-группе не очень высока.
У таргет группы, если мы вообще о кодинге проектов, цель так то сделать проект. Потрындеть можно и в вон той ирке, как те 50К юзерей в фриноде. А обмен кодом - это обмен кодом.
> Опенсорс - это факту не только код, но и в определённом смысле
> общественное движение, если разработчики программ не будут это учитывать,Если какое-то сообщество решило что ему гитхаб мастхэв, для начала, из них очень условные опенсорсники получаются. Ибо лочатся на наглый проприетарный сервис. Большая часть опенсорсников вполне способны к пониманию таких вещей кстати.
> то крупные компании в итоге победят и задушат опенсорс, у них есть понимание
> как работать с обществом.Оно и видно на примере гитхаба. И оглушительного успеха codeplex'а. Знаете что, так называемое опенсорсное сообщество, если для вашей победы надо заглот майкрософту делать, от вашего исчезновения лично я не расстроюсь. Я уважаю сильных и самодостаточных, а не видал-сасунов отлизывающих мегакорпу. Такая пародия на опенсорц даром не упала - не достигает основных целей опенсорца, той же страховки от резких внезапных непопулярных решений. Ну вот как в этой новостии например.
upd: мы говорим фринода подразумеваем libera. Корейский принц может всем известным курсом...
>> гит - ненужно.
> А что нужно то, лол?Fossil же. в коробке имеет вики, форум, тикеты и даже чятег. всё кроме последнего — лежит в репозитории, и клонируется вместе с ним. в отличие от шитхаба, где ни тикеты толком не забрать, ни вику, ни потом это нормально не встроить в другое место.
> Fossil же.У гита преимущество в том что через него можно с окружающими перекидываться, врядли им придется учить что-то новое. А так иногда програмишь и не знаешь заранее - будет оно стоить чтобы с другими поделиться или эксперимент в утиль спишется. Удобно когда можно легко маневрировать в обе стороны.
> в коробке имеет вики, форум, тикеты и даже чятег.
Зачем мне куча третьесортных тулов? Если они мне реально нужны будут - я первосортные возьму. Ну там токс какой в качестве чатика куда как прикольнее :). Я на нем даже ботиков научился слегоница. Ну они и спамят меня всякими интересностями. А могут и вон той релюшкой клацнуть прям по команде в чатик от меня, врубив что-нить мощное. Апи кстати клевое если на сях прогать.
> всё кроме последнего — лежит в репозитории, и клонируется вместе с ним.
> в отличие от шитхаба, где ни тикеты толком не забрать, ни
> вику, ни потом это нормально не встроить в другое место.А для гита кто-то тоже довесок подобного плана сколхозил. Правда на игогошке. Хранит баги в объектах гита. Но как-то сложно слишком получилось.
>> Fossil же.
> У гита преимущество в том что через него можно с окружающими перекидываться,
> врядли им придется учить что-то новое.если человек не в состоянии освоить фоссил — я лично с ним не стану ничем перекидываться. это инвалид мозга.
>> в коробке имеет вики, форум, тикеты и даже чятег.
> Зачем мне куча третьесортных тулов? Если они мне реально нужны будут -
> я первосортные возьму.и пойдёшь плясать по граблям, пытаясь это всё как-то заставить вместе работать. а остальные будут плясать по граблям, если захотят получить локальную копию вики, форума и тикетов — чтобы там, например, удобно искать. а я просто возьму фоссил — и у меня всё уже есть, и уже работает.
>> всё кроме последнего — лежит в репозитории, и клонируется вместе с ним.
>> в отличие от шитхаба, где ни тикеты толком не забрать, ни
>> вику, ни потом это нормально не встроить в другое место.
> А для гита кто-то тоже довесок подобного плана сколхозил. Правда на игогошке.
> Хранит баги в объектах гита. Но как-то сложно слишком получилось.а в фоссиле просто. оно Просто Работает. из коробки. без проблем. хочешь — локально, хочешь — в интернеты вывешивай, тем же фоссилом. на всё про всё — один бинарь. автор SQLite, однако, имеет мозг и руки из нужного места потому что. да, Fossil — это от него.
> если человек не в состоянии освоить фоссил — я лично с ним
> не стану ничем перекидываться. это инвалид мозга.Ну, я просто поленюсь тратить мое время на "освоение" непонятно чего и зачем. Не потому что инвалид мозга а потому что предпочту это время потратить на проект который считаю интересным, например. У меня довольно длинная очередь того что я бы хотел (попытаться) накодить, на пределе возможностей, поэтому изучать хз что и зачем я таки не буду. Так и накроется взаимодействие.
> и пойдёшь плясать по граблям, пытаясь это всё как-то заставить вместе работать.
А таки модуляризация и деление на части штука полезная. Особенно в софтострое.
> а остальные будут плясать по граблям, если захотят получить локальную копию
> вики, форума и тикетов — чтобы там, например, удобно искать. а
> я просто возьму фоссил — и у меня всё уже есть, и уже работает.Я бы сказал что вика нужна далеко не каждому первому проекту. А единственной викой которую я всерьез редактил была википедия.
> а в фоссиле просто. оно Просто Работает. из коробки. без проблем.
Мне не надо решение для конченых юзеров, мне юниксвэй нравится, с модульностью и гибкостью. Гит в это неплохо вписывается. Да, я работаю с ним из командлайна сугубо. И уж точно не из-за вики с багтрекингом. Так что все это для меня очень такой условный плюс в vcs, уж точно не определяющий.
> хочешь — локально, хочешь — в интернеты вывешивай, тем же фоссилом. на
> всё про всё — один бинарь. автор SQLite, однако, имеет мозг
> и руки из нужного места потому что. да, Fossil — это от него.Может быть. Но mindset торвальдса хорошо маппится на мой - меня устраивает. А вики и багтреки для меня - довольно пофигистичны, если честно. Лучше пусть does one thing (version control) and does it well. А вот это не отнять.
>> если человек не в состоянии освоить фоссил — я лично с ним
>> не стану ничем перекидываться. это инвалид мозга.
> Ну, я просто поленюсь тратить мое время на "освоение" непонятно чего и
> зачем. Не потому что инвалид мозга а потому что предпочту это
> время потратить на проект который считаю интересным, например.собственно, предполагалось, что тебе уже интересно — иначе зачем ты вообще захотел что-то для проекта сделать. это отлично, но я хочу видеть ещё и минимальные шаги навстречу со сторны контрибутора. потому что лично я рассматриваю возможность что-то сделать в моём проекте как привилегию, которую я даю другим: так-то мой проект отлично без них жил до этого — проживёт и дальше. а если хочется в нём Странного… ну, show me your dedication. вот отсюда и моя фраза про инвалида мозга.
> Так и накроется взаимодействие.
ну и отлично: с учётом сказаного выше — у нас совершенно разное отношение к проекту, так что ничего хорошего из такого взаимодействия и не вышло бы. а так зато не поругаемся.
>> и пойдёшь плясать по граблям, пытаясь это всё как-то заставить вместе работать.
> А таки модуляризация и деление на части штука полезная. Особенно в софтострое.таки кто тебе запрещает добывать из фоссил-репы (которая просто SQLite база) нужные данные, и рисовать их чем угодно? у фоссила просто в коробке есть инструменты, чтобы не писать. но это никак не ограничивает тебя в использовании других. сам по себе фоссил не трактует всё это как-то особенно: текст везде текст, версионируется и складывается в репозиторий.
> Я бы сказал что вика нужна далеко не каждому первому проекту.
это ты говоришь потому, что в гите её нет встроеной. я тоже так говорил. а потом оказалось — это просто таки офигительно удобно. особенно с учётом того, что фоссил позволяет привязывать вики-странички даже к отдельным коммитам (да, явно) — где можно подробно расписать, например, неочевидное изменение, не захламляя код и commit message. и это описание никуда не потеряется, его будет сразу видно, оно легко доступно. ты просто не представляешь, насколько это удобно — потому что в гите нет ничего даже отдалённо похожего, и ты не пробовал.
>> а в фоссиле просто. оно Просто Работает. из коробки. без проблем.
> Мне не надо решение для конченых юзеров, мне юниксвэй нравится, с модульностью
> и гибкостью.да на здоровье. фоссил отлично работает из командной строки, там тоже масса всяких команд для всего. собственно, командная строка и есть основной режим, веб-гуй — это бонус. а ещё есть libfossil — реализация не от авторов фоссила, что помогает находить и устранять расхождения между спецификациями и реализацией.
> Может быть. Но mindset торвальдса хорошо маппится на мой - меня устраивает.
> А вики и багтреки для меня - довольно пофигистичны, если честно.
> Лучше пусть does one thing (version control) and does it well.
> А вот это не отнять.так в том-то и дело, что гит это делает очень плохо. там даже нормального поиска по времени коммитов назад нет. поиска по связаным коммитам нет. визуализации нормальной нет. там ничего, собственно, нет из удобных инструментов работы с таймлайном. там даже несчастных тикетов встроеных нет — а тикеты очень многофункциональная вещь. всё, что гит делает — он делает очень, очень плохо. но это можно понять только когда реально поработаешь с DVCS, которая делает это хорошо.
> собственно, предполагалось, что тебе уже интересно — иначе зачем ты вообще захотел
> что-то для проекта сделать. это отлично, но я хочу видеть ещё
> и минимальные шаги навстречу со сторны контрибутора.А с другой стороны линка это выглядит как "сделали неудобно, затребовав ставить экзотичный софт". А если проект делает мне неудобно - мое время лучше тратить в другом месте, на другие проекты. Проектов на планете много больше чем я физически могу кодить - и приходится придирчиво выбирать чего я буду кодить сегодня и почему именно это. При этом требование ставить кастомный софт с моей стороны сильно снижает вероятность что я этим займусь. Для этого проект должен быть мне позарез нужен, принципиально не иметь более дружественных мне аналогов, и ты точно уверен что у тебя именно вот оно? Потому что я не в курсе такой фигни.
> потому что лично я рассматриваю возможность что-то сделать в моём проекте
> как привилегию, которую я даю другим: так-то мой проект отлично без них жил
> до этого — проживёт и дальше. а если хочется в нём Странного… ну,
> show me your dedication. вот отсюда и моя фраза про инвалида мозга.А с моей стороны - я могу проявить немного альтруизма, но мазохистом точно не являюсь, доказывать кому-то что не верблюд, убивая на это мое время на разучивание ненужных мне по жизни тулов. И так то если мне ну вот реально надо - я так то познал прелести _D_VCS-а и могу и форкануть. В том числе вывесив не только свои улучшения но и более привычный VCS народу. Так уже и до takeover разработки недалеко.
Если б ты это про некоторые мои проекты брякнул, я бы еще подумал. Ну как, накодить вон тот фирмварапдейтер для той микропроцессорной вундервафли - потребует определенных специфичных знаний из экзотичной области. А большая часть тулов для этого вообще будет проприетарью под маздай, при таких стартовых условиях я даже могу слегка поверить в вон тот булшит. Но я искренне сомневаюсь что у тебя что-то хотя-бы настолько экзотичное и незаменимое. И даже так кто-то может свою альтернативу накодить. Почему нет?
> ну и отлично: с учётом сказаного выше — у нас совершенно разное
> отношение к проекту, так что ничего хорошего из такого взаимодействия и
> не вышло бы. а так зато не поругаемся.Консенсус - я вижу что проект явно не будет удобен мне и просто потрачу время на другие вещи. А если это что-то позарез нужное мне я таки и форкануть не обломаюсь, я так то умею плюсами опенсорса пользоваться. У меня есть эн проектов отфорканых от апстримов, некоторые довольно сильно перепаханы и иногда я cherri-pick'аю из апстрима некоторые фичи, но де факто это весьма отдельные ветки, где главной ауторити я и некоторые вещи относительно апстрима пересмотрены. Это такой гибридный метод - можно ресурсами апстрима пользоваться частично, но будет все же по моему. Опенсорс как-то так и должен быть :)
> таки кто тебе запрещает добывать из фоссил-репы (которая просто SQLite база) нужные
> данные, и рисовать их чем угодно?Я не DBA и не особый фан сиквеля. И если я этим займусь, то почти наверняка влеплю веселых вулнов, что для проекта оперирующего внешними данными достаточно фатально. Поэтому все это счастье я предоставлю кому-нибудь другому, имхо. Особенно с сиквелем.
> у фоссила просто в коробке есть инструменты, чтобы не писать. но это никак
> не ограничивает тебя в использовании других.А для гита так то люди накодили libgit всякие. Если мне ну вот реально станет надо что-то кастомное на основе тех технологий - для меня это будет намного более удачный интерфейс чем сиквельная база и все такое. И я скоорее сделаю что хотел через такой программный интерфейс.
А сиквель ни два ни полтора. Это уже не юниксвэй но еще не api либы в нормальном виде.
> сам по себе фоссил не трактует всё это как-то особенно: текст везде текст,
> версионируется и складывается в репозиторий.Ага, в сиквеле текст везде текст но, таки, имеющий местами специальные значения - и если этим плотно не заниматься и не знать все грабли - гамна имени Bobby Tables'а там на внешних данных можно откушать более чем. Я об этом догадываюсь и не рвусь что-то делать с сиквельными базами лишний раз.
> это ты говоришь потому, что в гите её нет встроеной. я тоже так говорил.
Это я говорю потому что прогеры ненавидят писать доки, минимизируя это занятие как неизбежное зло :). И врядли ты сделаешь там именно привычный мне медиавики, с 100% compat-ом синтаксиса и фич, это довольно дохрена кодить так то. Значит мне будет постоянно икаться. А инструмент постоянно отвешивающий мне оплеухи в задаче которой я вообще не очень хочу заниматься очень так себе, если честно. Да, медиавики большой монстр. Но если вика всерьез нужна, он таки крут, мощен и удобен. А мелкие пародии на него после него уже не то. Особенно когда я не ярый фанат докописательства чтобы получать пинки лишний раз когда оно привычный мне синтаксис не сожрет.
> а потом оказалось — это просто таки офигительно удобно.
Может быть, но см. выше.
> особенно с учётом того, что фоссил позволяет привязывать вики-странички даже к
> отдельным коммитам (да, явно) — где можно подробно расписать, например, неочевидное
> изменение, не захламляя код и commit message.А я таки вкатываю это в commit message, если надо, commit -F <file>. Так если кого-то коммит заинтересует, он сразу же именно там и найдет ответ, сразу гитом. А, еще я неочевидные места кода таки коментирую. И именно inline в релевантных местах. Это логичнее чем какая-то вика, где-то сбоку. Описание как что и почему делает код уместнее всего в этом коде.
> и это описание никуда не потеряется, его будет сразу видно, оно легко доступно. ты просто
> не представляешь, насколько это удобно — потому что в гите нет
> ничего даже отдалённо похожего, и ты не пробовал.Наверное я просто не настолько фанат вик, пользующийся ими эпизодически и уж точно не в контексте кодинга чего-то. ИМХО вики для долговременного стабильного знания, привязка к комитам и что там еще - как-то ортогональна этой идее.
А актуальные доки для кодеров на проект лучше имхо как txt или как максимум .md, чтобы они могли это в любимом текстовом эдиторе открыть. Синтаксис вик для такого - ну, так себе. Штуки типа .md лучше в такое применение вписались.
> да на здоровье. фоссил отлично работает из командной строки, там тоже масса
> всяких команд для всего. собственно, командная строка и есть основной режим,А как с этим соотносится всякая реклама багтрекеров и вик? Я вообще по умолчанию не хочу никакие сетевые сервисы на моих системах - покуда я явно не захотел обратного и не сконфигурил это самолично. Упомянутый шаг все-равно неизбежен из-за кастомной сетевой конфигурации, искаропки оно вообще никуда не попадет по сети.
> веб-гуй — это бонус. а ещё есть libfossil — реализация не
> от авторов фоссила, что помогает находить и устранять расхождения между
> спецификациями и реализацией.Так то и для гита есть libgit всякие. Не от авторов гита вроде, но какая мне нафиг разница. А конкретно скулайт когда я с ним возился что-то не порадовал меня особым перфомансом, а заодно вымахал в немелкую либу и не то чтобы я сильный фанат этого. Ну да, конкурентов с именно SQL особо и нет, но для себя я предпочитаю более простые вещи типа key-value просто.
> так в том-то и дело, что гит это делает очень плохо.
Я этого на себе совершенно не ощутил.
> там даже нормального поиска по времени коммитов назад нет. поиска по связаным
> коммитам нет. визуализации нормальной нет.А это все, внезапно, уже не контроль версий и я не понимаю при чем тут vcs, звучит как занятие для внешних тулзов если мы про юниксвей. Да и ходить туда не знаю куда, ища то не знаю что у меня лучше всего получается git bisect'ом, заодно сразу code fix причастному прилетает.
> там ничего, собственно, нет из удобных инструментов работы с таймлайном.
А какое практическое применение это все несет? Я ж не как цифровой археолог проекты клонирую и вот это знание мне в общем случае похрен, меня интересует кто что и когда сломал, либо кто фичу накодил, или как она эволюционировала. С этим никаких проблем нет а bisect еще и просто приколен. Позволяет гасить баги даже в коде в котором я ни в зуб ногой изначально и вообще понятия не имел что ищу. А treewalk бинарным деревом в целом эффективнее тыкания по датам наугад. С точностью до комита скажет где факап. У культурных людей я сразу вижу где лажа вплоть до того что могу code fix тут же выкатить.
> там даже несчастных тикетов встроеных нет — а тикеты очень многофункциональная вещь.
Кроме того что это - система тикетинга а не VCS. С фига ли это в VCS должно быть для меня вообще загадка.
> всё, что гит делает — он делает очень, очень плохо.
У меня другие идеи на этот счет. Вот именно по версиям, именно исходников, он меня очень эффективно двигает. И никакие тикеты в эту хотелку уж точно не входят.
> но это можно понять только когда реально поработаешь с DVCS, которая делает это хорошо.
Я вообще не понимаю на самом концептуальном уровне почему это занятие для именно DVCS. И ты уж извини но даже тот же мантис как выделеный бактрекер не особо жирный, но при этом - все по делу. Вплоть до того что первая же страница встречает тебя не чем попало а вполне релеватным багтрекингу вью - показывающим именно то что может интересовать тех кто по части багов пришел. А вот всякие встроенные самопалы в этом плане - дикий ужас. Они багтрак делают до кучи и не парятся "do it well". Туда же и гитхаб идет - багтрекер там реально для галочки. В нем даже понимание актуальных самых жмущих проекту багов хрен получишь с наскока, за 5 минут - ну и какой это нафиг "багтрекер" вот так? Фича для галочки.
я сначала начал писать большой ответ — а потом мне стало лень, извини. это по сложности и эффективности — примерно как пытаться пояснить, что такое «сладко», человеку, который в жизни пробовал только «солёно» и «горько». большинство твоих непоняток именно от того, что гит нихрена вообще не умеет — и ты считаешь, что так и должно быть. ну, примерно как: «а зачем в редакторе поддержка регулярок? у меня grep и sed есть, а редактор должен делать только своё дело: добавлять и убирать буковки.» так-то вариант, и SAM даже как-то так примерно написан, но… после того, как с нормальным редактором поработал — не очень удобно.в общем, дело твоё, я просто поделился интерсным. когда будет настроение — можешь попробовать. конечно, потребует некоторых усилий на перестройку мозга — но лично у меня оно окупилось очень быстро.
p.s.: а SQLite, кстати — в том числе очень удобный кейвалуй. фоссил его и использует как кейвалуй для хранения манифестов и дифов — и оные манифесты с дифами можно в любом другом хранилище держать, оно не так важно. поверх этого там строится куча дополнительных таблиц для удобства — но это уже сервис, все эти таблицы создаются на основе манифестов, их можно выкинуть и построить заново в любой момент. и использовать их совершенно необязательно.
> что такое «сладко», человеку, который в жизни пробовал только «солёно»
> и «горько». большинство твоих непоняток именно от того, что гит нихрена
> вообще не умеет — и ты считаешь, что так и должно быть.Да вообще офигеть, мне от системы контроля версий надо контроль версий и чтобы типовые и частые операции удобно, быстро и интуитивно для меня - ну и потом с другими комитами перекидываться. Остальное в контексте VCS мне похрен.
А раскладывание по дирам - ну вот у меня несколько кернелов лежит. Это divirgent copy of одной и той же базы. Reflink сделал так что копии весом около 2 гигз каждая делались полсекунды и не занимали места (кроме фактических изменений). Но вот логика раскладки внезапно не "версии" а "архитектуры проца" вообще. У вас в ваших концепциях так не предусмотрано? А у меня и вот такая раскладка дико эффективна. Я не уверен но возможно оно даже блочный кеш юзает 1 раз на всю ораву (это продвинутый топик системной механики, я могу и не угадать, но было бы логично).
Я понимаю какие проблемы решает гит. А какие проблемы решают недо-вики и недо-багтреки - не очень, и это не специфично для фоссила. Я то же самое сказал и про (предсказуемо пустые) вики в шарпойнте. Оно либо медиавики, либо фан этого сам в 1 рыло все редактит. Так получилось. Пойнт мультиплеерного нотпада с 1 плеером мне не понятен.
> ну, примерно как: «а зачем в редакторе поддержка регулярок? у
> меня grep и sed есть, а редактор должен делать только своё
> дело: добавлять и убирать буковки.» так-то вариант,Типа того. Я совершенно не стесняюсь использовать *никсный шелл и у меня он всегда под рукой, как раз чтобы в него при случае oneliner вбить. Но вот редактирование буковок должно быть хорошим. Ну вот например блочное редактирование в geany - прикольно. Как именно редактирование. Когда поставить 4 пробела за присест можно сразу на 20 линиях, визуально выделив куда попадет. Или селекшн скопировать "квадратиком" из "региона" а не "строками". Регулярки этому не очень помогут и я бы совсем не хотел кодить или скриптить такое сам, особенно с привязкой к визуализации и UI.
> и SAM даже как-то так примерно написан, но… после того, как с нормальным
> редактором поработал — не очень удобно.Может быть. Но опять же - мне от редактора надо редактирование прежде всего. От програмерского - еще раскрас синтаксиса и быстрое оформление типовых конструкций. Бонус для относительно крупных проектов - навигация по всяким спискам определений, перехода к объявлениям и прочее. А всякие регулярки и прочие вещи я так то и сам скрою в шелле. Насколько это вообще часто надо и зачем бы это делать часто? Оптимизить имеет смысл частые операции а не заподвыподверты.
> в общем, дело твоё, я просто поделился интерсным. когда будет настроение —
> можешь попробовать. конечно, потребует некоторых усилий на перестройку мозга — но
> лично у меня оно окупилось очень быстро.Ну оно как бы да. Однако вики и багтреки для меня не особо понятный бенефит.
> p.s.: а SQLite, кстати — в том числе очень удобный кейвалуй.
Он довольно жирный, тормозной и безблагодатный кейвалуй, прущий с собой огромный скуль-парсер. Если хотелось именно это - даже какой-нибудь токийский кабинет будет поприятнее имхо.
> фоссил его и использует как кейвалуй для хранения манифестов и дифов —
> и оные манифесты с дифами можно в любом другом хранилище держать,
> оно не так важно. поверх этого там строится куча дополнительных таблиц
> для удобства — но это уже сервис, все эти таблицы создаются
> на основе манифестов, их можно выкинуть и построить заново в любой
> момент. и использовать их совершенно необязательно.Я все же не уверен что это удачное решение дизайна. Не, я понимаю что когда в руках молоток, все кажется гвоздями, а если кто автор скулайта, он его всюду и впихнет. Но что делать если я довольно среднего мнения о низкоуровневой части этого двигла бд?
> А всякие регулярки и прочие
> вещи я так то и сам скрою в шелле. Насколько это
> вообще часто надо и зачем бы это делать часто? Оптимизить имеет
> смысл частые операции а не заподвыподверты.то есть, нормальной поддержки регулярок в твоём редакторе тоже нет. да что ж такое то: за что ни хватишься — ничего нету?!
>> p.s.: а SQLite, кстати — в том числе очень удобный кейвалуй.
> Он довольно жирный, тормозной и безблагодатный кейвалуй, прущий с собой огромный скуль-парсер.
> Если хотелось именно это - даже какой-нибудь токийский кабинет будет поприятнее
> имхо.можно увидеть документальное подтверждение этих слов? тормозит по сравнению с *чем*? где бенчмарки, где юскейсы? потому что у меня картина несколько иная, и я поубирал из своих проектов как доморощеные кейвалуи, так и другие. и заменил на скулит.
> Но что делать
> если я довольно среднего мнения о низкоуровневой части этого двигла бд?рассказывать юзкейсы и показывать тесты, не? а то у меня создаётся впечатление, что твоё мнение основано на аллергии на буквы «SQL» (что тоже зря, кстати, потому что SQL крутой).
> то есть, нормальной поддержки регулярок в твоём редакторе тоже нет. да что
> ж такое то: за что ни хватишься — ничего нету?!Как я уже сказал - оптимизировать надо часто нужные вещи. А нужные раз в черти сколько я и oneliner'ом в консоли оформлю. В отличие от продвинутой блочной копипасты какой.
> я поубирал из своих проектов как доморощеные кейвалуи, так и другие.
> и заменил на скулит.Ну если подашь идею что забенчить реалистичного - могу попробовать. Только чуть позже и без жестких гарантий. Просто сколько я не смотрел на скулайт - он при профайлинге всегда светился и это меня анноило.
> рассказывать юзкейсы и показывать тесты, не? а то у меня создаётся впечатление,
> что твоё мнение основано на аллергии на буквы «SQL» (что тожеА также на тормозняках того что я с скулайтом пробовал делать :\
> зря, кстати, потому что SQL крутой).
Не люблю я бобби тэйблса, извини.
> Ну если подашь идею что забенчить реалистичного - могу попробовать.эм… я предполагал, что раз ты говоришь про тормоза — то ты сравнивал с чем-то. «светится в профайлинге» — это, извини, не критерий. особенно с учётом того, что скулит можно довольно гибко настраивать под разные применения, но почти никто этого делать не желает, потому что в документации многабукав.
> А также на тормозняках того что я с скулайтом пробовал делать :\
ну вот мне и интересно, что это было, что именно тормозило, и пытался ли ты читать документацию, чтобы выставить правильные прагмы, например.
p.s.: я, к примеру, местами даже доморощеные хэш-таблички в некоторых сишных проектах повыкидывал, потому что скулит справляется достаточно быстро. мой почтовик, например, вообще ничего не кэширует, а просто на каждую перерисовку экрана ходит в базу. и то, что я забыл отключить полную перерисовку экрана при любом движении мыши я заметил очень не сразу, потому что не тормозит (а тормоза были бы видны, потому что я рисую мышиный курсор битмапом в виртуальный экран, а не использую аппаратный). да, на базе под гигабайт. а ботоотсекалка, которая сидит перед моим веб-сервером, спокоино в состоянии обработать десятки тысяч коннектов с секунду — а она тоже активно ходит в базу, каждый раз читает оттуда кучу всего, и пишет туда логи на каждый чих почти. так что я слабо себе представляю, что у тебя за особенные задачи такие, где скулит тормозит — и мне неиронично интересно.
> эм… я предполагал, что раз ты говоришь про тормоза — то ты
> сравнивал с чем-то. «светится в профайлинге» — это, извини, не критерий.Для меня это как раз таки критерий. О его идеальности можно заспорить, но все же, это позволяет осмысленно наседать на проблемы перфоманса - понимая во что уперлось и в какую сторону копать.
> особенно с учётом того, что скулит можно довольно гибко настраивать под разные применения,Между нами, я очень не хочу крутить кучу tunables и становиться чем-то типа DBA - я хочу решить те или иные задачи и DB там лишь одно из звеньев. Чем меньше оно внимания к себе требует, при более забористом перфомансе и мизерном жраче ресурсов, тем я довольнее жизнью. При этом очень кстати если первая попытка знакомства покажет что-то клевое, а не унылый булшит.
И таки я не против накодить какойнить бенч ради лулзов - есть прикольные примеры юзежа скулайта как именно key-value? Желательно с произвольным ключом и значением, токийский кабинет приколен тем что жрет любое бинарное нечто как таковые с минимальными constraints на это все. Так что бобби тэйблс может любой ник брать а мне ничего не будет за юзеж оного как key, например. Мне нравятся такие апи.
> но почти никто этого делать не желает, потому что в документации многабукав.
В конечном итоге я решить задачу хочу, а чтение манов лишь некое техническое зло...
Просто на нижнем уровне насколько я помню движок скулайта вообще никаких интересных свойств не показывал. Я что-то пропустил? Ну, дай какие-нибудь интересные примеры чего-то низкоуровневого и быстрого на нем? Скуль мне не интересен как категория.
> ну вот мне и интересно, что это было, что именно тормозило, и
> пытался ли ты читать документацию, чтобы выставить правильные прагмы, например.Ну, я 100К и 1М записей добавлял в скулайт базы. Как минимум с сиквелем время получалось никакое даже при попытке группировки в 1 или несколько транзакций, даже при самой тривиальной структуре таблицы. При том попытки группировки еще и куча грабель. А если входные данные еще и абы что - это вообще задник.
> p.s.: я, к примеру, местами даже доморощеные хэш-таблички в некоторых сишных проектах
> повыкидывал, потому что скулит справляется достаточно быстро.У скулитовского бэка насколько я помню есть проблемы с масштабированием (файлы более 20 гигз ему вообще категорически противопоказаны) - и это, там есть что-то глядя на что я бы сказал вау? Допустим что SQL меня не интересует - а как key value он таки на первый взгляд нечто странное. Есть какие-то "эпичные" примеры как его в режиме key-value, без всякого скуля?
> мой почтовик, например, вообще ничего не кэширует, а просто на каждую перерисовку
> экрана ходит в базу.А будет ли он адекватно себя вести если у меня например почтовая база под 80 Гб с сотнями тысяч сообщений? Многим key-value сам по себе размер или число item'ов относительно пофиг, а у скулайта после ~20 гигз начинают тупить внутренние операции их двигуна с страницами и деревьями как я понял.
> и то, что я забыл отключить полную перерисовку экрана при любом движении мыши
> я заметил очень не сразу, потому что не тормозит (а тормоза были бы видны,
> потому что я рисую мышиный курсор битмапом в виртуальный экран, а не использую аппаратный).Странный ты тип, рисовать курсор самому битмапом но при этом скулем ворочать...
Лично мне нравится когда запросы к бд прямые, быстрые, и без ограничений на то что в ключе и значении, как бинарные данные, без преобразований.
> да, на базе под гигабайт.
Это, типа, много? И каком числе записей в базе?
> а ботоотсекалка, которая сидит перед моим веб-сервером, спокоино в состоянии
> обработать десятки тысяч коннектов с секунду — а она тоже активно ходит в базу,Оно как бы здорово - но опять же без хотя-бы данных профайлинга не говорит мне чуть менее чем ничего. Ибо сами по себе десятки тыщ конектов в секунду на современнном железе не есть что-то этакое.
> каждый раз читает оттуда кучу всего, и пишет туда логи на каждый чих почти. так что
> я слабо себе представляю, что у тебя за особенные задачи такие,
> где скулит тормозит — и мне неиронично интересно.Да даже просто bulk insert записей в солидном объеме мне хтонически не понравился. В том плане что вот это вот на key value имеет свойство быть сильно резвее. Да, конечно, можно порассуждать про фичи, гарантии и проч - но будем честны, я не люблю SQL и не намерен им пользоваться. А вот базы key-value иногда юзаю.
>> эм… я предполагал, что раз ты говоришь про тормоза — то ты
>> сравнивал с чем-то. «светится в профайлинге» — это, извини, не критерий.
> Для меня это как раз таки критерий. О его идеальности можно заспорить,
> но все же, это позволяет осмысленно наседать на проблемы перфоманса -
> понимая во что уперлось и в какую сторону копать.всё-таки в сторону чтения документации прежде всего.
>> особенно с учётом того, что скулит можно довольно гибко настраивать под разные применения,
> Между нами, я очень не хочу крутить кучу tunables и становиться чем-то
> типа DBAты и ключи компилятора тоже не используешь? ну, тебе же не надо экспертом по ключам становиться, тебе софт собрать? или всё-таки «это другое»? *любой* гибкий и сложный инструмент желательно настраивать под свои нужды, потому что вероятность того, что настройки по умолчанию заточены на «средние показатели в как можно более широкой области применений» близка к единице.
> При этом очень кстати если первая попытка знакомства
> покажет что-то клевое, а не унылый булшит.у каждого своё понятие «клёвого».
> И таки я не против накодить какоинить бенч ради лулзов - есть
> прикольные примеры юзежа скулайта как именно key-value?ну что значит «прикольные»-то?
> Желательно с произвольным ключом
> и значением, токийский кабинет приколен тем что жрет любое бинарное нечто
> как таковые с минимальными constraints на это все.ограничение скулита — 2^31 на одно значение в базе (будь то ключ, или блоб-валуй). потому что API использует инты; 64-бит апи тоже есть, но его добавили — по меркам SQLite — не так давно. впрочем, я не думаю, что кто-то тестировал его на ключах такого размера, так что полагаю, что более реальная мера — это где-то мегабайт для ключа. для валуя без разницы, там есть file-like API к ним. да, нули внутри этого никто не запрещает, и SQLite не поперхнётся.
>> но почти никто этого делать не желает, потому что в документации многабукав.
> В конечном итоге я решить задачу хочу, а чтение манов лишь некое
> техническое зло...ты же понимаешь, что этой фразой определяешь себя в ту же категорию, что и юзеры, которые хотят, чтобы им дали кнопку «сделай хорошо!»?
> Просто на нижнем уровне насколько я помню движок скулайта вообще никаких интересных
> свойств не показывал.ровно как и остальные хранилища. отвратительный токийский кабинет использует тупую хэш-таблицу, размер которой я должен задавать при создании базы, и автоматом ресайзить её не умеет. а если я количества записей заранее не знаю? ну, и будет там или куча неэффективной пустоты с page miss, или оно выродится в блуждание по связаным спискам, с теми же page miss. (да, я его читал.)
> Я что-то пропустил? Ну, дай какие-нибудь интересные примеры
> чего-то низкоуровневого и быстрого на нем?чего?
> Скуль мне не интересен как категория.
обычно такое говорят люди, которые не умеют применять SQL. в 99% случаев в их коде наблюдается какой-нибудь кейвалуй, на котором они пытаются сэмулировать то, что SQL умеет из коробки, и получается у них всегда откровенно хуже.
> Ну, я 100К и 1М записей добавлял в скулайт базы.
я же не зря просил юзкейсы. у тебя задача, у которой это основной режим работы? потому что если это было начальное заселение базы — никто не мешал тебе отключить к чёрту весь ACID и остальные «тяжёлые» механизмы на время заселения.
> У скулитовского бэка насколько я помню есть проблемы с масштабированием (файлы более
> 20 гигз ему вообще категорически противопоказаны)откуда дровишки? потому что мой *практический* опыт такого не демонстрирует.
> и это, там есть что-то глядя на что я бы сказал вау?
откуда я знаю, что для тебя «вау»?
>> мой почтовик, например, вообще ничего не кэширует, а просто на каждую перерисовку
>> экрана ходит в базу.
> А будет ли он адекватно себя вести если у меня например почтовая
> база под 80 Гб с сотнями тысяч сообщений?будет. ему абсолютно всё равно.
> Многим key-value сам
> по себе размер или число item'ов относительно пофиг, а у скулайта
> после ~20 гигз начинают тупить внутренние операции их двигуна с страницами
> и деревьями как я понял.не начинают. это раз. и два: а как у кейвалуев с выборкой типа: «хочу письма с тэгами abc и def, за период 'последний месяц', где в заголовке есть слово 'ЩАСТЕ', сортированые по дате, флажку 'important', и принадлежности к тредам»? мне вот это вот надо кодировать руками на каждый чих, или опять же руками пилить недо-sql, чтобы делать подобные выборки? а зачем, если у меня уже есть готовый SQL, который с подобными запросами справляется играючи?
(да, пример из жизни; я часто создаю подобные «виртуальные каталоги» по запросам. это всё ещё не тормозит.)
> Странный ты тип, рисовать курсор самому битмапом но при этом скулем ворочать...
однажды я понял, что хвалёные кейвалуи — это просто такие унылые хэш-таблички, и любую логику поверх них надо делать руками, после чего преимущества кейвалуев резко уходят в никуда. и что большинство моих требований отлично умеет SQL, и руками ничего писать не надо. и я стал просветлённый. хотя SQL пришлось учить, конечно.
> Лично мне нравится когда запросы к бд прямые, быстрые, и без ограничений
> на то что в ключе и значении, как бинарные данные, без
> преобразований.ну и отлично. если бы ты изволил почитать документацию по SQLite, ты бы с удивлением обнаружил…
>> да, на базе под гигабайт.
> Это, типа, много? И каком числе записей в базе?это типа я намекаю, что база не игрушечно-тестовая. а что значит «число записей», и что это за метрика — я не очень понимаю. это база данных, а не кейвалуй, она умеет более чем в одну таблицу. у меня там хранилище, словари, view-ы, и ещё много прикольных удобных штучек, и всё это совершенно бессмысленно считать тупым сложением (потому что при некоторых подсчётах может получиться вообще +inf).
>> а ботоотсекалка, которая сидит перед моим веб-сервером, спокоино в состоянии
>> обработать десятки тысяч коннектов с секунду — а она тоже активно ходит в базу,
> Оно как бы здорово - но опять же без хотя-бы данных профайлинга
> не говорит мне чуть менее чем ничего. Ибо сами по себе
> десятки тыщ конектов в секунду на современнном железе не есть что-то
> этакое.я не зря упомянул, что каждый коннект активно работает с базой.
>> каждый раз читает оттуда кучу всего, и пишет туда логи на каждый чих почти. так что
>> я слабо себе представляю, что у тебя за особенные задачи такие,
>> где скулит тормозит — и мне неиронично интересно.
> Да даже просто bulk insert записей в солидном объеме мне хтонически не
> понравился.см. выше про это.
> всё-таки в сторону чтения документации прежде всего.Ну вот не попадалось прикольных примеров для скулайта для быстрого старта. А плотно вштыривать - я не DBA и не готов на это столько сил сливать если оно решаемо иными методами.
> ты и ключи компилятора тоже не используешь? ну, тебе же не надо
> экспертом по ключам становиться, тебе софт собрать? или всё-таки «это другое»?В идеале - да, удобнее всего было бы запустить компилер и чтобы это был максимально компактный и быстрый код, все и сразу. Но у конкретно меня сборка софта бывает очень разнообразной. У фирмвари которая должна в 16 кил флехи влезть "хоть там что" приоритеты одни, а -10% скорости vs O2 обидно, но болт с ним: мы или успеваем в ралтайм, или нет. И если я уже тошнился в 10% от грани, я про@$#%лся на совсем других уровнях. А у вон той мегасофтины с 7-метровым бинарем исполняемого где надо максимальный перфоманс на том что есть, любой ценой, таки сильно разные приоритеты в кодогенерации. И чем ближе компилер к тому идеалу тем он лучше так то. В этом плане LTO например ацкий win: может урезать чуть не треть бинаря, ничего не теряя.
> *любой* гибкий и сложный инструмент желательно настраивать под свои нужды,...и ты кажется не понял что я хочу простой и тупой но быстрый движок бд, для случая когда мне надо немного этого :). При этом моему низкоуровневому мозгу сие как-то проще и приятнее.
> потому что вероятность того, что настройки по умолчанию заточены на «средние показатели
> в как можно более широкой области применений» близка к единице.Я как бы допускаю что мои хотелки отличаются от среднестатистических. Но даже они имхо могут хотеть резвый инсерт миллиона записей в базу. А хотя-бы для импорта/конверсии чего-то уже существовавшего.
> у каждого своё понятие «клёвого».
У меня это что-нибудь маленькое, простое, быстрое, ядреное, не жрущее ресурсы и при этом делающее что-нибудь интересное и полезное.
> ну что значит «прикольные»-то?
Простые, маленькие, быстрые как п@нос. Ну как у lwan например - полстранички на си и вот у вас уже скоростной вебсерв, с кастомными хэндлерами, можно GOпникам мастеркласс на тему микросервисов показывать.
> ограничение скулита — 2^31 на одно значение в базе (будь то ключ, или блоб-валуй).
Вообще, вполне нормально так то по описанию. А ключом может быть произвольный блоб без заморочек с эспейпингом и проч? Это удобно например чтобы чейто ник в виде как есть юзать как "ключ" и единственный критерий сам ник, а что за кал они туда записали - да пофиг. Ну вот не хочу я эскейпить и фильтрить бобби таблесов.
> потому что API использует инты; 64-бит апи тоже есть, но его добавили — по
> меркам SQLite — не так давно.Да я не собираюсь многогиговые блобы в базу пхать. Скорее всякие мессаги человеческого размера и тому подобное добро, от цать байтов до эн кб. С оговоркой что я - вообще совсем не text minded существо и у меня в байте 8 битов. Поэтому я хочу оперировать всем этим прозрачно без вебмакачьих причуд с эскейпингом и какой там еще "читаемостью". Вон тот умеет так и в ключе и в значении и по диску эффективен, запрос заканчивается за пару io операций.
> впрочем, я не думаю, что кто-то тестировал его на ключах такого
> размера, так что полагаю, что более реальная мера — это где-то
> мегабайт для ключа. для валуя без разницы, там есть file-like API
> к ним. да, нули внутри этого никто не запрещает, и SQLite
> не поперхнётся.А еще я не люблю оверинженерию. Не надо мне никаких file like api, если мне будет надо это, я таки умею файловой системой пользоваться. А делать что-то типа doc-файлов в мои планы не входит.
Ну то-есть если б у скулайта был вот реально лайт, где есть мини-версия с key-value двигуном отдельно от всяких файловых апи и скуля, я бы вероятно с ним познакомился сильно плотнее. А когда мне еще кучу мусора прут, мне оно не надо. Это только делает либ жирнее, медленнее, и уменьшает мое желание видеть это в depends.
> что и юзеры, которые хотят, чтобы им дали кнопку «сделай хорошо!»?
Конечно. И как-то так люди и работают :). Можно меня и обиднее пнуть, показав питонистов. Даже все так будет, НО есть нюансы: их код обычно медленный, кривой, с периодом полураспада год, падающий без обработки ошибок на каждый пук - и в конечном итоге я знаю что разработка софта все же комплексное мероприятие если хочется те соотношения как-то поприятнее.
> ровно как и остальные хранилища. отвратительный токийский кабинет использует
> тупую хэш-таблицу, размер которой я должен задавать при создании базы,Токийский кабинет дает выбор между хэштаблицей и б-деревом и я совершенно ок с этой тупизной, будучи в состоянии выбрать параметры и тип осмысленно, там даже RTFMимть особо не надо ибо это азы CS, не зная которые считать себя прогером может только наглый веьманки. Зато небольшая либа, относительно простое апи, минимум лимитов, которые просто держать в голове. А не огромный монстр с автоматической задовытиралкой для тупиц там где мне хотелось "немного базы". Не, скуля не хотелось - я не dba и не мегаархитект баз данных, это не мое. Совсем.
> и автоматом ресайзить её не умеет.
Мне в многих моих случаях это ок.
> а если я количества записей заранее не знаю?
B-деревьям IIRC похрен. Да, там иные соотношения, O(1) vs O(log(N)). Но оно вроде и у скулайта вылезает, что они, волшебники? Или там какой-то нии...цца прорыв в CS случился заслуживающий внимания?
> ну, и будет там или куча неэффективной пустоты с page miss,
У меня разные кейсы, включая и системы с лимитированой RAM так что я на page cache и прочие огромные кеши могу и не хотеть ориентироваться.
> или оно выродится в блуждание по связаным спискам, с теми же page miss. (да, я его читал.)
Page miss вот так по максимуму беспокоит .. не всех и не всегда.
> чего?
Ну там insert и retrieve произвольного блоба-ключа и значения с минимумом допущений. Ну, кроме размера.
> обычно такое говорят люди, которые не умеют применять SQL.
А я и не хочу это уметь. Мне может хотеться "немного базы" но - именно немного. А вот всяких эскейпингов-экранирований, мега запросов и прочее - ну, это не ко мне.
> в 99% случаев в их коде наблюдается какой-нибудь кейвалуй, на котором они
> пытаются сэмулировать то, что SQL умеет из коробки, и получается у них всегда
> откровенно хуже.Зато их не посетит боби тэйблс например. А если от него эффективно позатыкать все, начинается шоу, то какие-нибудь лимиты на буквы в никах, то экранирование с которым вечно лажа выходит. Усвой плиз, у меня байты 8-битные и я не хочу пытаться упихивать все как текст.
Ну например, у юзера токса уникальнй глобальный ID это 32 байта ключа. Технически это u8[32].
С этим бывают фееричные приколы. Скажем был мускул, я хотел в скулайт попробовать перегнать. База тривиальная но заполнена реальными юзерами. Агаблин, мускуль экспортирует свой чудный текст.. а дальше скуль то типа скуль, но здесь вам не тут - после тупняков полдня испорт таки завалился. Да, юзеры ввели очень странный булшит, и где-то на i++'ной записи оно сломалось, когда мнение мускула и скулайта об эскейпинге чего-то хитрого не совпали. Нюанс в том что я вообще совсем не хочу греть мой маленький мозг ПОДОБНЫМ БУЛШИТОМ. Совсем.
> я же не зря просил юзкейсы. у тебя задача, у которой это
> основной режим работы?Нет конечно, НО возможны burst'ы активности и кроме того - а почему это должно работать хреново, собссно?
> потому что если это было начальное заселение базы — никто не мешал тебе отключить
> к чёрту весь ACID и остальные «тяжёлые» механизмы на время заселения.Оно как бы да. Но все это напомнит о себе и при всплеске активности. И в принципе позволяет целенаправленно валить вон тот сервис вот этими запросами. В key-value я в принципе сильно меньше грею мозги такими вещами: там тормозить особо нечему. И если мне хотелось НЕМНОГО базы это не значит что я мечтал стать профессиональным DBA/девом умеющим в оптимизацию запросов и что там еще.
> откуда дровишки? потому что мой *практический* опыт такого не демонстрирует.
Да из их же мана насколько я помню. Но у них ман довольно здоровый и если я перепутал и источник другой - сорь.
> откуда я знаю, что для тебя «вау»?
См. выше. Ну да, сейчас это не модно. Но я люблю мелкий, шустрый, крутой, эффективный софт. Переклин на текстовом представлении в этом не помощник если что.
> будет. ему абсолютно всё равно.
Хм, может они что-то в движке переделали? Но раньше они не советовали за 20 гигз вылезать, что-то по части низкоуровневой механики как раз.
> не начинают. это раз. и два: а как у кейвалуев с выборкой типа: «хочу письма
> с тэгами abc и def, за период 'последний месяц', где в заголовке есть слово
> 'ЩАСТЕ', сортированые по дате, флажку 'important', и принадлежности к тредам»?Так хотелки разные бывают, с вот такой я понимаю нафиг тебе скуль. На чистом key value оно конечно канительно, самому индексы строить на все и вся. Это решаемо, но изобретение вела зайжет далековато. Но у меня обычно хотелки сильно проще.
> мне вот это вот надо кодировать руками на каждый чих, или опять же руками пилить
> недо-sql, чтобы делать подобные выборки? а зачем, если у меня уже есть готовый
> SQL, который с подобными запросами справляется играючи?Все так. Но у меня сильно более простые хотелки относительно баз.
> (да, пример из жизни; я часто создаю подобные «виртуальные каталоги» по запросам.
Оно как бы забавно но не думаю что мне сильно надо что-то такое.
> это всё ещё не тормозит.)
Ну как бы "не тормозит" без инфо по юзежу ресурсов мне ничего не говорит. Так то даже тяжелые и тормозные операции "не тормозят" если они где-то в фоне, но...
> однажды я понял, что хвалёные кейвалуи — это просто такие унылые хэш-таблички,
> и любую логику поверх них надо делать руками,Спасибо кэп. Только про b-деревья еще забыл. Да, совершенно никакой черной магии. И я хочу вот что-то такое, когда мне надо НЕМНОГО базы с простой, тривиальной схемой данных.
> после чего преимущества кейвалуев резко уходят в никуда.
Кроме того что с ними не придется "ну ты ручками отключи ACID" - и вообще RTFMай в оптимизацию запросов дескать. Ух, а в мои планы точно входило стать профессиональным DBA чтобы столько RTFMать? А может я хотел простого чатбота например накодить, с тупой как дрова "схемой хранения"? Или там вебфигню тривиальную где база настройки по юзерам помнит, с идентификатором юзера который везде напихан и "primary key" по любому, а остальное в value прекрасно ложится и больше мне там ничего и не надо. А вот оптимизить запрос на скорость мне совсем не хочется.
> и что большинство моих требований отлично умеет SQL, и руками ничего писать
> не надо. и я стал просветлённый. хотя SQL пришлось учить, конечно.Ну, мне вон те кейсы просто ни к чему. Я не пишу почтарь с поиском по 20 критериев за присест и виртуальными вью.
> ну и отлично. если бы ты изволил почитать документацию по SQLite, ты
> бы с удивлением обнаружил…Да, она здоровенная и всю ее я ессно не читал. И фич в нем архидофига. Если мне надо вбить гвоздь, я хочу молоток. А пригнать мне компрессор и супермолот позволяющий загвоздить все вокруг - избыточно. Чтение инструкции как его запускать займет больше времени чем взять обычный простой молоток и забить гвоздь. Да, в молотке нет совсем никакой магии. Это простой инструмент для решения простых задач. Те кто планирует застроить целый квартал найдут более эффективный инструмент и чтение мана на его использование окупится.
> это типа я намекаю, что база не игрушечно-тестовая. а что значит «число
> записей», и что это за метрика — я не очень понимаю.Ну то и значит.
> прикольных удобных штучек, и всё это совершенно бессмысленно считать тупым сложением
> (потому что при некоторых подсчётах может получиться вообще +inf).Так я и не утверждал что скуль для этого чем-то плох. Мне просто столько не надою.
> я не зря упомянул, что каждый коннект активно работает с базой.
А все равно без данных профайлинга и знания конфиги мало что говорит.
>> Да даже просто bulk insert записей в солидном объеме мне хтонически не понравился.
> см. выше про это.Ну да, ну да, я должен разучивать оптимизационные трюки даже для того чтобы просто базу сделать. Круто, всю жизнь мечтал почитать процедуру запуска навернутого компрессора при желании забить гвоздь.
>> всё-таки в сторону чтения документации прежде всего.
> Ну вот не попадалось прикольных примеров для скулайта для быстрого старта.ну, то есть, сайт скулита ты не читаешь принципиально, я так понимаю. особенно старательно избегаешь раздел с документацией.
>> ты и ключи компилятора тоже не используешь?
…skip…
ну, то есть, задрачивать компилятор не впадлу. а сделать то же самое с другим инструментом — всё, западло, остальное пусть само как-нибудь. я этого не понимат.>> *любой* гибкий и сложный инструмент желательно настраивать под свои нужды,
> ...и ты кажется не понял что я хочу простой и тупой но
> быстрый движок бд, для случая когда мне надо немного этого :).я понял, что ты путаешь тупые хэш-таблички, и базы данных. это две СОВЕРШЕННО разные вещи.
> При этом моему низкоуровневому мозгу сие как-то проще и приятнее.
но пишешь ты в основном отчего-то на сях, я думаю, а не на асме. это я к тому, что кейвалуй — это как раз асм для бд.
>> потому что вероятность того, что настройки по умолчанию заточены на «средние показатели
>> в как можно более широкой области применений» близка к единице.
> Я как бы допускаю что мои хотелки отличаются от среднестатистических.при чём тут это? они у всех разные. поэтому дефолтом идёт настройка: «среднехреново для всех». чего иногда хватает, а иногда нет.
> Но даже
> они имхо могут хотеть резвый инсерт миллиона записей в базу.если это твой обычный юзкейс, и ты при этом используешь кейвалуй — то я очень рад, что не видел такого софта. потому что я очень легко пугаюсь, а это ядерный ужас — дальше всё только хуже. а если нет, то я всё ещё не понимаю нужды в гипероптимизации операции, которая нужна раз в год на большой праздник.
>> у каждого своё понятие «клёвого».
> У меня это что-нибудь маленькое, простое, быстрое, ядреное, не жрущее ресурсы и
> при этом делающее что-нибудь интересное и полезное.это всё ещё ничего не описывает, увы. особенно в пунктах «интересное и полезное», которые у всех разные.
>> ну что значит «прикольные»-то?
> Простые, маленькие, быстрые как п@нос. Ну как у lwan например - полстранички
> на си и вот у вас уже скоростной вебсерв, с кастомными
> хэндлерами, можно GOпникам мастеркласс на тему микросервисов показывать.извини, но это же ужасная оверинжинирнутая дрянь. до нормального «большого» оно не дотягивает, а для «на коленке» слишком перенаворочено.
>> ограничение скулита — 2^31 на одно значение в базе (будь то ключ, или блоб-валуй).
> Вообще, вполне нормально так то по описанию. А ключом может быть произвольный
> блоб без заморочек с эспейпингом и проч?естественно.
> С оговоркой что я - вообще совсем не text minded
> существо и у меня в байте 8 битов. Поэтому я хочу
> оперировать всем этим прозрачно без вебмакачьих причуд с эскейпингом и какой
> там еще "читаемостью".оперируй на здоровье.
> Вон тот умеет так и в ключе и
> в значении и по диску эффективен, запрос заканчивается за пару io
> операций.шо, каждый раз пара i/o? отвратительно, никогда не используй такой ужас. ;-)
> А еще я не люблю оверинженерию. Не надо мне никаких file like
> api, если мне будет надо это, я таки умею файловой системой
> пользоваться. А делать что-то типа doc-файлов в мои планы не входит.не надо — не используй, бинди/читай просто кусок памяти, нет проблем.
> Ну то-есть если б у скулайта был вот реально лайт
оно есть. называется SQLite.
> мини-версия с key-value двигуном отдельно от всяких файловых апи и скуля,
> я бы вероятно с ним познакомился сильно плотнее.самое смешное, что такое тоже есть, но ты опять не читал документацию. проект SQLite4 был закрыт, как неудачный, но его хранилище доступно отдельно, и как библиотека, и как модуль для SQLite.
> А когда мне еще кучу мусора прут, мне оно не надо.
тебе дают один c-файл, и один h-файл. которые можно тупо скопипастить себе в дерево исходников и радоваться. так, например, делает фоссил.
>> ровно как и остальные хранилища. отвратительный токийский кабинет использует
>> тупую хэш-таблицу, размер которой я должен задавать при создании базы,
> Токийский кабинет дает выбор между хэштаблицей и б-деревоми поэтому я должен заранее угадывать или количество ключей, или размер ключа. а если вдруг я это захочу поменять… ой, нет, уже не хочу.
> будучи в состоянии выбрать параметры и тип осмысленно,
> там даже RTFMимть особо не надо ибо это азы CS, не
> зная которые считать себя прогером может только наглый веьманки.вообще-то любой инженер-практик тебе скажет, что выбрать заранее эти параметры осмысленно невозможно, вероятность ошибки 99.(9)%.
> Зато небольшая
> либа, относительно простое апи, минимум лимитов, которые просто держать в голове.два мегабайта кода у токийского кабинета, полная невозможность использовать это как полноценную бд. восень мегабайт кода у SQLite, позноценная бд. ни то, ни другое ты (как и я) читать не будем. у SQLite при этом есть официальная амальгама, у кабинета нет. а, и ещё SQLite живой, а кабинет давно мумифицирован.
> А не огромный монстр с автоматической задовытиралкой для тупиц там где
> мне хотелось "немного базы". Не, скуля не хотелось - я не
> dba и не мегаархитект баз данных, это не мое. Совсем.так ты и не пробовал, ты просто сразу, не разбираясь, решил, что НИНАДА. довольно неразумно, не находишь?
>> а если я количества записей заранее не знаю?
> B-деревьям IIRC похрен.зато там фиксированый размер ключей.
>> чего?
> Ну там insert и retrieve произвольного блоба-ключа и значения с минимумом допущений.
> Ну, кроме размера.на здоровье. SQLite вообще не занимается конвертацией чего-либо, если ты его явно не попросишь.
>> обычно такое говорят люди, которые не умеют применять SQL.
> А я и не хочу это уметь.что опять-таки неразумно.
> Мне может хотеться "немного базы"
> но - именно немного. А вот всяких эскейпингов-экранирований, мега запросов и
> прочее - ну, это не ко мне.я не знаю, откуда у тебя постоянно вылазят эти «эскейпинги-экранирования». попробуй разобраться с тем же SQLite не по руководствам для веб-макак, а по нормальной документации от авторов. есть мнение, что ты будешь приятно удивлён.
>> в 99% случаев в их коде наблюдается какой-нибудь кейвалуй, на котором они
>> пытаются сэмулировать то, что SQL умеет из коробки, и получается у них всегда
>> откровенно хуже.
> Зато их не посетит боби тэйблс например. А если от него эффективно
> позатыкать все, начинается шоу, то какие-нибудь лимиты на буквы в никах,
> то экранирование с которым вечно лажа выходит. Усвой плиз, у меня
> байты 8-битные и я не хочу пытаться упихивать все как текст.см. выше.
> Ну например, у юзера токса уникальнй глобальный ID это 32 байта ключа.
> Технически это u8[32].не вижу проблемы. храню в базе всякое, включая бинарные иды. всё работает. что такое это ваше «экранирование» — не знаю, и знать не хочу.
> С этим бывают фееричные приколы. Скажем был мускул, я хотел в скулайт
> попробовать перегнать. База тривиальная но заполнена реальными юзерами. Агаблин, мускуль
> экспортирует свой чудный текст.. а дальше скуль то типа скуль, но
> здесь вам не тут - после тупняков полдня испорт таки завалился.извини, но ты сейчас очень круто сравнил два инструмента с *совершенно* разной областью применения. SQLite shell — это отладочный инструмент, а не фронтэнд. потому что SQLite предназначена для использования прямиком из кода, через её API.
>> я же не зря просил юзкейсы. у тебя задача, у которой это
>> основной режим работы?
> Нет конечно, НО возможны burst'ы активности и кроме того - а почему
> это должно работать хреново, собссно?потому что это разные паттерны работы с данными. которые требуют разных подходов. в частности, SQLite из коробки настроен так, чтобы прозрачно и без дополнительных телодвижений поддерживать работу с одной базой одновременно из кучи приложений — поэтому он базу защищает. если тебе это не надо — это всё можно отключить, и оно будет сильно быстрее.
>> потому что если это было начальное заселение базы — никто не мешал тебе отключить
>> к чёрту весь ACID и остальные «тяжёлые» механизмы на время заселения.
> Оно как бы да. Но все это напомнит о себе и при
> всплеске активности.а подумать ДО того, как писать код — не?
> В key-value я в принципе сильно меньше грею
> мозги такими вещами: там тормозить особо нечему.охлол.
> И если мне хотелось
> НЕМНОГО базы это не значит что я мечтал стать профессиональным DBA/девом
> умеющим в оптимизацию запросов и что там еще.«не хочу учиться, а хочу жениться!» ;-) в подавляющем большинстве случаев для написания нормального запроса достаточно рабочего мозга и опыта функционального программирования. потому что query planner'ы довольно умные (даже в SQLite), и средней паршивости запрос вполне приемлемо разрулят. в глубокий оптимайз обычно надо если ты хочешь от базы СТРАННОГО. например, получить кучу данных со связями одним запросом, а не ходить в базу за отдельными кусками (и это имеет смысл, потому что часто так быстрее; в кейвалуе у тебя просто нет никакого выбора в этом случае).
>> будет. ему абсолютно всё равно.
> Хм, может они что-то в движке переделали? Но раньше они не советовали
> за 20 гигз вылезать, что-то по части низкоуровневой механики как раз.они и сейчас не советуют, потому что это не совсем область применения SQLite, и скорее всего, если у тебя базы таких размеров, и ты используешь SQLite, а не что-то серьёзней, то ты где-то сильно налажал. что не мешает пиплу спокоино ворочать скулитом базы далеко за 40 гигов, и оно вполне хорошо работает.
>> это всё ещё не тормозит.)
> Ну как бы "не тормозит" без инфо по юзежу ресурсов мне ничего
> не говорит. Так то даже тяжелые и тормозные операции "не тормозят"
> если они где-то в фоне, но...я не люблю потоки без нужды. «не тормозит» — значит именно то, что оно при использовании не тормозит безо всяких фоновых обработок. то есть, время отклика софта в среднем не выше 16 мсек. да, я привык мерять в FPS, и предпочитаю, чтобы 60. ;-)
> И я хочу вот что-то такое, когда мне надо НЕМНОГО базы
> с простой, тривиальной схемой данных.проблема в том, что кейвалуй — ни разу не база. бд позволяет запрашивать, сортировать и фильтровать данные по разным критериям, а не тупо по одному ключу.
>> после чего преимущества кейвалуев резко уходят в никуда.
> Кроме того что с ними не придется "ну ты ручками отключи ACID"да. потому что обычно никакого акцида тупо не дают. поэтому если вдруг я его захочу включить… ну, ой. предпочитаю иметь возможность его выключить, а не не иметь возможности его включить.
> и вообще RTFMай в оптимизацию запросов дескать.
ты опять откуда-то взял странное. я тебе говорю почитать официальную документацию по API.
> может я хотел простого чатбота например накодить, с тупой как дрова
> "схемой хранения"?с этим скулит справится даже без тюнинга. с огромным запасом.
>> и что большинство моих требований отлично умеет SQL, и руками ничего писать
>> не надо. и я стал просветлённый. хотя SQL пришлось учить, конечно.
> Ну, мне вон те кейсы просто ни к чему. Я не пишу
> почтарь с поиском по 20 критериев за присест и виртуальными вью.а это как с фоссилом: ты не умеешь в SQL, но уверен, что оно тебе не надо. скажу тебе по секрету, что мне оно тоже было не надо, а SQLite была жирной перегруженой бесполезной ерундой — ровно до того момента, как я осознал, что даже не попытался сначала разобраться в инструменте, и только потом его браковать. и разобрался. и вдруг случилось чудо: я повыкидывал остальные кейвалуи, а SQL мне стал прельстив.
> Да, она здоровенная и всю ее я ессно не читал.
именно поэтому на родном сайте есть не только API reference.
> И фич в нем архидофига.
и что самое прикольное: никто тебя не заставляет обязательно использовать каждую из них!
> Чтение инструкции как его запускать займет больше времени чем взять
> обычный простой молоток и забить гвоздь.но ты ведь даже не пробовал читать, ты просто решил, что многабукав.
>> это типа я намекаю, что база не игрушечно-тестовая. а что значит «число
>> записей», и что это за метрика — я не очень понимаю.
> Ну то и значит.это ничего не значит в контексте *базы* *данных*. эта метрика имеет смысл для какой-нибудь хэш-таблички.
>> я не зря упомянул, что каждый коннект активно работает с базой.
> А все равно без данных профайлинга и знания конфиги мало что говорит.ну так ты ж тоже этого не привёл, так что мы тут один фиг меряемся воображаемыми розовыми слонами. в частности я пытаюсь тебе впарить клёвого симпатичного слона с четырьмя ногами и хоботом вместо твоего одногого и с хвостом на лбу.
>>> Да даже просто bulk insert записей в солидном объеме мне хтонически не понравился.
>> см. выше про это.
> Ну да, ну да, я должен разучивать оптимизационные трюки даже для того
> чтобы просто базу сделать. Круто, всю жизнь мечтал почитать процедуру запуска
> навернутого компрессора при желании забить гвоздь.нет, тебе надо просто почитать документацию. это совсем небольно. в ней, например, можно найти рекомендации по тому, как делать bulk insert, и какие бывают подводные камни.
>>> гит - ненужно.
>> А что нужно то, лол?
> Fossil же. в коробке имеет вики, форум, тикеты и даже чятег. всёда хоть тот же phabricator поставь (не прибитый насмерть к единственноверному софту) - кто тебя найдет там, кто полезет обзаводиться стотыщепервым логином (кстати пароль будет 123 потому что "зае...достали вы миллиардпервой регистрацией ради щастья сообщить что у вас баг и исправляется вот этим одним символом в вот этой строке") и вообще разбираться в этом? Уверен ли ты что ты НАСТОЛЬКО важен и нужен людям как sqlite к примеру?
Шитхаб для того чтобы просто ткнуть тебе пальцем - в идеале даже не логинясь, потому что никуда и не выходил из любимой учетки. И тут же о тебе забыть навсегда и дальше своими делами заниматься, а не бережно дописывать стотыщедевятую учетку к статыщвосьмой.
ты как обычно: ничего не знаешь, но мнение имеешь.так, для информации: чтобы написать в фоссил, совершенно не обязательно заводить учётку. такие дела. но вряд ли тебя заинтересует эта информация, потому что тебя вообще не интересуют факты.
> так, для информации: чтобы написать в фоссил, совершенно не обязательно заводить учётку.ок, давай свой фоссил. Я тебе туда напишу миллионстотыщ предложений продажи кондомов секондхэнд и ссылок на гидру.
Не ожидал что ты тоже настолько феноменально т-пой, что не понимаешь, ЗАЧЕМ требуют регистрации.
я рад, что ты держишь марку, и продолжаешь писать о том, в чём не разбираешься.а то, что ты считаешь регистрацию единственным вариантом, показывает именно твою феноменальную тупость. спасибо, что не разочаровал меня в очередной раз.
p.s.: естественно, куча моих фоссил-репозиториев торчит в интернеты. но спамеры такие же тупые, как ты, и ниасилили. хотя лично ты для своего спокойствия можешь считать, что они просто не считают нужным меня спамить.
> GitHub переходит на...Вся суть MicroSoft, которую никакой индус не исправит.
Только раньше они это делали втихаря, быстро как Сапсан и резко как ... (ну вы поняли), а щас они решили оттянуть конец на полтора года.
Вся суть microsuxx'а - всех под дулом пистолета переходить в светлое будущее, а не то... а нето что, упыри? Гит распределенный, напугали ежей голым задом.
> использование двухфакторной аутентификацииДва "разных" фактора:
1) идентификация через интернет и
2) идентификация через интернет
Два разных фактора:
1) Идентификация по чему-то что ты знаешь (пароль).
2) Инентификация по чему-то что ты имеешь (твой телефон, который локально, без доступа в интернет генерирует коды аутентификации).
2) Инентификация по чему-то что ты имеешь (твой телефон, который локально, без доступа в интернет генерирует коды аутентификации).телефон
локально
без доступа в интернетУгу.
Почитай про алгоритм TOTP (Time-based one-time password algorithm) и удивись. Всё локально и без интернета. И приложений для телефона навалом, помимо Google\Microsoft Authenticator. Хоть своё собственное пиши, если не доверяешь существующим.
только, что вот мне делать, если оно мне нахрен не надо, и у меня рандомный пароль с большой энтропией?а телефон это лишний гаджет, да еще может сесть, разбиться и тд.
а если малпа не может адекватный пароль на аккаунт поставить, и локальную систему админить, так может не надо ей софт писать?
что тогда будет в более сложных кейсах внутри приложения?гитхаб - сорс-контрол для домохозяек, браво мелкософт
TOTP плагин есть для Keepass.
Поэтому это детское использование телефона в качестве токена - ниоч.
придумать проблему, чтобы потом искать решение? )))двухфакторку можно было оставить включенной по умолчанию, это было бы разумно и устроило бы всех, кроме плятских индусов
А еще это очередной ненужный плагин и вектор атаки.
я всё ещё не понимаю, почему озаботиться собственной безопасностью не могут безмозглые макаки, а проблемы из-за этого создают мне. у меня почему-то есть странное убеждение, что если у кого-то проблемы с безопасностью — то их НЕ НАДО решать за мой счёт.
Двух факторуку вводят не для вашей секурности.
Лишь бы номера телефонов не запрашивали, а так хорошая инициатива.
Жалко что если отвалятся нужные, но уже никем не поддерживаемые проекты.
> а так хорошая инициативаДля кого, для рекламодателей (и АНБ), чтобы было легче персонализировать, связывать разные профили в разных соцсетях и площадках?
а как такой фокус можно повернуть с otp?
> otpЭто 2-этапная аутентификация, а не 2FA.
Сперва обмениваются общим секретным ключом. Потом на основе этого ключа генерят временные пароли. При надежном канале между сервером и клиентом (например tls), совершенно лишний этап.Я думал, подразумевается недо-2FA, когда аутентификация не только в github, но еще в другом провайдере аутентификации (фейсбук, вк, и тп).
> При надежном канале между сервером и клиентом (например tls), совершенно лишний этап.а при отсутствии - феерически бесполезный. Ну, ms'овским индусам этого не объяснишь.
> Лишь быРади этого все и затевается.
вроде предлагают любой TOTP клиент использовать.
про телефон и смс ни слова
> про телефон и смс ни словаЭто пока.
99% всяких сайтов и сервисов предлагают двухфакторку через приложение в телефоне. Номер телефона просят единицы, я даже не вспомню кто, разве что МАйкрософт с Гуглом, но ведь анонимы не пользуются их услугами.
> приложение в телефоне
> Номер телефонаКакая разница?
Номер телефона оформляется по паспорту. TOTP можно настроить не только в приложении от гугл или майкрософт но и в keepassxc. Разница есть. В keepassxc паспортные данные не надо указывать ;-)
Хотя лично я не вижу никаких проблем в том что приложение от гугла генерирует числа для двухфакторки.
Ну попробуй, забавы для, в эмуляторе запустить энное приложение да поделать действия..
Например, в случае с регистрацией гуглоплчты, она блокируется практически сразу за «подозрительные действия. Необходима проверка с использованием номера телефона»
Так все кто без анальных зондов подозрительные. Яндекс тоже вечно пихает проверку, но там хоть буквами отделаться можно. Эти корпорации все любят делать через задницу.
А кроме электронной почты от гугла и майкрософта двухфакторку больше негде использовать по твоему? Если напишешь что тебе она не нужна, как уже один написал ниже, то это либо лицемерие, либо далекие от ИТ люди.
В любом случае, я не хочу предоставлять свои ФИО и подтверждённые элящик и номер телефона первому встречному, который вправе творить с ними что пожелает без какой-либо ответственности за что-либо( привет, сша - земля не свободы а полного беспредела корпов )
Поисковик "хернЯ" требует номер телефона для "усиления защиты".
>вроде предлагают любой TOTP клиент использовать.Судя по комментариям у меня сложилось впечатление, что анонимы не понимают разницы между привязкой номера телефона и ТОТР. Мне кажется они не знают что можно не только через приложение на телефоне но и через keeepassxc. Они наверное и не знают про keepassxc, а хранят пароли в браузерах.
> они не знаютА ведь и правда не знают, посмотрел в keepassDX оказывается тоже есть TOTP, теперь я стану 2Аноним, и уже точно не найдут.
Спасибо.
Это обычная история. Когда Мозилла вводила обязательный 2FA в AMO там авторы тоже истерили про "приватность", хотя Мозилла ограничилась простым TOTP. Как приватность может быть нарушена генератором ключей вроде FreeOTP мне неясно. Самые историчные могут использовать генераторы даже без смартфона, в линуксе такие есть.
Другой вопрос, что МНОГИЕ сервисы при включении 2FA первым делом требуют телефон, ну и подтверждение входа СМСкой это тоже 2FA, только хреновая.
> МНОГИЕ сервисы при включении 2FA первым делом требуют телефонВ том-то и дело.
Я ни одного такого не знаю кроме почтовых сервисов.
Сайт любого банка и мобильного оператора
Не пользуюсь банками, что я делаю не так? ЗП наличными, покупки наличными.
Ну.. тыж один такой герой, и те пофиг что остальные так не могут.
> Ну.. тыж один такой герой, и те пофиг что остальные так не могут.Вообще люди так то тысячелетиями вообще без банков жили. И ничего, не умирали. То-есть, конечно, умирали - но совсем не из-за отсутствия банков.
А тут вдруг приспичило благодетелям доиться, лошиться, отчитываться, разрешения как свои деньги тратить спрашивать, проценты платить и что там еще.
> Сайт любого банка и мобильного оператораСайт банка нужен 1-2 раза в жизни, параметры настроить. Остальное можно через банкомат или офис банка. И еще можно позвонить в саппорт банка, если сайт не нравится.
Мобильный оператор - чисто технически номер знает. Ему это надо для выполнения его функций. А вот корпорации Майкрософт все это знать для выполнения функций не требуется. Такая ерунда.
> про телефон и смс ни словаОднако уже сейчас они начинают иметь юзеров с двухфакторкой - вы там чота браузер сменили, нука подтвердите-ка ваш телефон...
У дискорда подключение через ойпи не из белого списка сразу блокирует акк и требует привязать телефон, даже если купил прем картой.
Короче, всем нужен твой телефон, и чтобы ты постоянно был на связи c хозяином любого "соц ботнета".
> У дискорда подключение через ойпи не из белого списка сразу блокирует аккКак хоорошо что я этим не пользуюсь.
> Короче, всем нужен твой телефон,
Остается вопрос кто из них нужен мне. Если вдруг кто-то ну вот и правда позарез нужен - есть такая фишка, temporary phone number. И много чего еще. Кто ищет тот найдет, а тем кто не парится - и поделом.
Ну это пока можно любой.Например для аккаунта Microsoft любой клиент не разрешают
Нужно ставить их собственное приложение на телефон.
>Жалко что если отвалятся нужные, но уже никем не поддерживаемые проекты.
>нужные
>никем не поддерживаемые
>нужные
>не поддерживаемыеЭто получается ненужные.
В 99% сервисов есть двухфакторка без номера телефона, через приложение на телефоне.
Только параноики с опеннета сразу начинают думать, что их вычислят по номеру телефона и узнают заказывали такси и переписывались в Вацапе в бабушкой.
>В 99% сервисов ... без номера телефонаА ВК, например, без номера телефона в принципе не зарегистрироваться!
> А ВК, например, без номера телефона в принципе не зарегистрироваться!Человеку с мозгом в вк вообще делать нечего.
По номеру телефона уже много кого и чего вычисляют, непараноик.
Но когда ты завопишь "а меня-то за шо" - будет уже поздно.
> По номеру телефона уже много кого и чего вычисляют, непараноик.
> Но когда ты завопишь "а меня-то за шо" - будет уже поздно.Прикольно когда раки сами на себя досье пишут. Некоторые заходят дальше, зарепортив высокоточные координаты и/или состав преступления, вплоть до самлично снятого мувика.
>Лишь бы номера телефонов не запрашивали, а так хорошая инициатива.Жаль расстраивать, но github давно уже запрашивает номер телефона. Причём в самой тупой манере из всех возможных: не при регистрации, а спустя некоторое время. Блокирует доступ и требует номер. Номер, который до этого нигде указан не был. Технологии Майкрософт.
Bait and switch в действии. Что, ты тоже браузер посмел сменить? Залогинился с другого компа? DIE, DIE, DIE!
Это зря они. Многие уйдут от них.
Не думаю. Куда?
Да и вполне логичная мера против факапов со взломом репозиториев популярных проектов, заливкой вредоносного кода и нытья "ай-яй-яй нас взломали, как же так" - приучить девелоперов использовать 2FA.
Тем более телефон никто не просит, любой TOTP клиент подойдет.
У меня так давно уже 2FA включена и далеко не только на GitHub - лучше минимизировать риск взлома, чем бороться с последствиями. Спасение утопающих - дело рук самих утопающих.
>приучить девелоперов
>приучить
>девелоперовПускай себе сами знаете что приучают.
> Не думаю. Куда?На GitLab или любой из маргинальных хостингов.
> Да и вполне логичная мера против факапов со взломом репозиториев популярных проектов, заливкой вредоносного кода и нытья "ай-яй-яй нас взломали, как же так"
И что, много их было?
> приучить девелоперов использовать 2FA.
Не спасёт. Это неудобство, а неудобство, особенно программистами, будет обходиться - например, сейчас у меня пароль от gh в браузере заполнен и когда он спрашивается я просто нажимаю "ok". А будет расширение которое заполняет одноразовый пароль таким же образом. Безопасности не прибавится, неудобств прибавится.
GitLab так то тоже отжег недавно сменив ToS в одностороннем порядке. Еще одна дирмакорпа не сильно лучше майкрософта, и то что они сорц вываливают - вы реально будете в этом энтерпрайз треше копатьтся? Форкнуть? Ага, все разработчики этой кривой гадости - в той корпе, и оно такая блоатварь что на вкуривание самому уйдет дофига.
> сменив ToS в одностороннем порядкеА как его надо было менять? Спросить разрешения у каждого персонально? Опеннетчики такие опеннетчики…
корпофилы такие корпофилы
> А как его надо было менять?Можно было и не менять. Но кому-то шлея под хвост попала оптимизнуть процессы, раздоив лохов.
>приучить девелоперов использовать 2FAЭто не поможет. Нужно не приучать разработчиков юзать 2fa, а приучать разработчиков не тянуть в рот каку, как в npm и cargo любят.
>Куда?Альтернатив вагон и маленькая тележка. Уже уходят. С их санкциями - пошли они лесом тогда. От мелкомягких добра не жди.
> со взломом репозиториев популярных проектовВот только _популярные_ проекты пусть и принуждают к [Infinity]FA.
> У меня так давно уже 2FA включена и далеко не только на GitHub - лучше минимизировать риск взлома, чем бороться с последствиями.
А можно взглянуть на ваш сверхценный аккаунт? Есть ли там что-то, ради чего стоит взламывать?
>Вот только _популярные_ проекты пусть и принуждают к [Infinity]FA.++1
>Куда?
Ага, сейчас все белки истерички как возьмут, как побегут поднимать селфхост репозитории. Вы сами то задумываетесь над тем, что пишите.
Как тебе сказать? Вон та инициатива сильно нагибает удобство использования хостинга и теперь залпивать туда домашку по информатике станет неудобно.А более серьезные разработчики догадываются о том что гит распределенный а перекидываться кодом вот именно через гитхаб вообще не обязательно. В этом месте коса эффективного менеджера из M$ находит на камень. Гитхабом можно пользоваться как площадкой для пиара и не более того. Хотя если принципиально хочется сделать заглот MS - кто ж запретит? Но зачем создавать себе неудобства из-за очередного менеджера перечитавшего булшита?
>Вон та инициатива сильно нагибает удобство использования хостинга и теперь залпивать туда домашку по информатике станет неудобно.Прогнись - и будет удобно. Не хочешь прогибаться - получай заслуженное наказание. ToS читали? Вам там никто ничего не должен, это вы там M$ должны.
Да чего ты ко мне пристал - я на другие хостинги проекты выкладываю, а гитхаб как максимум зеркало. И то я на половину акков уже пароль забыл.
> и теперь залпиватьЗапивать? Залипать? Заплевать? )
Таки, проекты от ухода только выиграют.
Юзеры расслабились. У них недостаточно геморроя. Им нечем заняться.
Надо регулярно подбрасывать им какие-нибудь нововведения, чтобы держать в тонусе.
Сейчас только ёжики там будут сидеть.
А код показывать по отпечатку пальцев... а то ходят всякие, смотрют...
Майкрософт и днк бы сканил, если б мог...
Ты не поверишь...
https://www.w3.org/TR/webauthn-2/#user-verification
Вы мне лучше скажите, кто из вас не использует двухфакторку, там где это предусмотрено? Просто интересна мотивация. Не хотите через приложение в телефоне от гугла или майкрософт, можно TOTP в keepassxc настроить.
У меня двухфакторка по смс только для банка, притом хожу я всегда через комп а смс всегда на мобилу падает.Профиль на гитхубе, ящег в гугле и уж тем более ящики в щитмаилру не представляют никакой ценности чтобы заморачиватся даже просто со сложным паролем, не говоря уже про утруждение себя двухфакторкой.
Более того, у меня часть репозиториев просто зеркалится В гитхуб ИЗ моей локальной гитеи, те даже если внезаптно кто то что то поменяет - изменения потрутся автоматом при следующем моём пуше.
>ящег в гугле и уж тем более ящики в щитмаилру
>заморачиватся даже просто со сложным паролем,Я понимаю ты как сознательный гражданин не хочешь усложнять жизнь товарищу М.
> gpgмейл пока не банит за такое, но яндекс и гугля требует мобилу после нескольких писем.
Есть понятие ценности актива, так вот учётки это не ценность, их потеря - небольшая проблема и минимум проблем.Если мне потребуется реально что то ценное по почте гонять - я подниму сам сервер и куплю домен, так что всем товарищам придётся либо ко мне же обращатся за чтением моей переписки либо как то получать физический доступ до самих серверов.
Что же до гугла и щитмелару, то это те активы от которых я планирую избавится, как только поборю лень.
Есть другие интересные бесплатные почтовые сервера с pop3/imap, где не просят мобилу, я на их поиск как то целый день убил.
У меня на одном таком щас доча себе 100500 ящиков завела, ей 100500 адресов надо чтобы во всяких онлайн играх кучу акков зачем то иметь.
>другие интересные бесплатные почтовые сервера с pop3/imap, где не просят мобилу, я на их поиск как то целый день убил.Помогите сэкономить хотя бы полдня - выдайте пару названий )
gmx, eclipso
> У меня на одном таком щас доча себе 100500 ящиков завела, ей
> 100500 адресов надо чтобы во всяких онлайн играх кучу акков зачем то иметь.Мультибоксеры не палятся :))
> Я понимаю ты как сознательный гражданин не хочешь усложнять жизнь товарищу М.Товарищ М напрямую в ящик мыла или гмыла слазит, ему похрен на 2FA.
> через приложение в телефонеНу вот у меня, например, телефон кнопочный, не смартфон. И да, это осознанный выбор. Хотя может вообще не быть мобильного телефона.
Людей, которые даже спать и с***ть ходят со своим любимым "тилибончиком" я не понимаю. Требование для каждого человека иметь смартфон как паспорт - тоже.
У меня тоже кнопочный, написал утилитку на баше для totp (можно и через keepassxc). Ключи храню в файле, шифрую aes. Тулза расшифровывает и рассчитывает код. Брат жив. Подключаю totp где только можно. Раздражают только сервисы, которые велосипед изобретают и требуют для двухфакторки приложение установить - такие сразу нафиг.
Одна из причин почему я не использую смартфон - это то что он считает себя доверенным устройством. А у меня только контактный.
У меня рутованные смарты, я им вполне доверяю.
В том плане что они сами ничего по своей инициативе делать не будут, а так понимаю что там зиродеи есть и это не панацея.
> В том плане что они сами ничего по своей инициативе делать не будутА здоровенная RTOS на отдельном процессорном ядре сотового модема живущая своей жизнью в курсе? В хучшем случае она заодно и доступ в всю периферию/линух имеет, если архитектуркой чип не вышел.
Заодно поинтересуйся куда GPSник прицеплен - алсо man RRLP. Просто для понимания, вольные хлебопашцы например опубликовали в открытом доступе IMEI/IMSI (их два) главного тикторера всея руси. С чего ты взял что с тобой так же нельзя?
>Заодно поинтересуйся куда GPSник прицепленНа это говно дрова найти и заставить работать под нестоковой ОС - большая проблема.
Он зачастую прицеплен к процу cell modem а не процу с линуксом. Чтобы сотовый модем мог прецизионные координаты с точностью до метров по запросу RRLP в сеть слить, вообще независимо от того что там линукс делает. Да даже если он не загружен похрену если сотовая фирмварь при этом стартует и в сети регится. На это нет никаких подтверждений юзера - прямо по спекам на "фичу", они общедоступны.Всякие пермишны для приложений - вы же понимаете что нижний уровень всегда имеет верхний? Х толку с ваших галочек в ведре, если фирмварь сотового модема вообще напрямую в обход этого всего координаты в сеть пульнет? И рут в линухе этому ортогонален - может и не давать особый доступ в проц сотового модема. А может и давать. По разному бывает.
То что нестандартный драйвер... чтобы линух вообще мог доступиться до данных GPS если тот к процу сотового модема приделан, он должен получить от проца нибудь пакет данных с этим через какой-то межпроцесорный интерфейс. Ясен хрен это нестандартно и специфично для soc/производителя.
В принципе спецификации на протоколы сотовых сетей открыты, можно сделать свой модем на fpga.
> В принципе спецификации на протоколы сотовых сетей открыты, можно сделать свой модем на fpga.Некоторые типа osmoco примерно это и делают. Еще как вариант свои прошивки какому-то железу делают, но облом в том что специфичная для cell modem периферия не документирована вообще совсем никак. Равно как и вспомогательный DSPщник с экзотичным набором команд, для которого даже компилер нарулить - уже за счастье.
Просто оно получается специфичное, дорогое и не особо массовое. По крайней мере пока. И с полной поддержкой LTE например - достаточно тяжко. Навороченная штука, как ни крути.
Вот конкретно RRLP проще заткнуть прицепив к своему апликушному процу с линем (и GPS если хочется) модуль сотового модема на относительно безобидный интерфейс. Там даже если б сотовый модем и захотел по RRLP ответить - где б ему точные координаты взять? Из проца с линуксом? А вот он совершенно не обязан это делать, он же не мутная проприетарная фирмвара с заведомо специфицированной бэкдор-фичой.
Более лайтовый вариант: прицепить такой модуль к микроконтроллеру. Совсем чайниковский вариант - к ардуине. Даже ардуинщик может сделать эрзац кнопочной звонилки если захочет :). Правда чтобы звонить было потребно лучше это все же на нормальной плате и в какой-то корпус, неудобно по клубку проводов звонить однако :)
>> В принципе спецификации на протоколы сотовых сетей открыты, можно сделать свой модем на fpga.
> Некоторые типа osmoco примерно это и делают.
>...
> Просто оно получается специфичное, дорогое и не особо массовое. По крайней мере
> пока.Я сходил на сайт osmoco первое что мне выдала утка это производитель медицинского оборудования, само osmoco я нашёл только по запросу "osmoco modem".
Ну и ни одного предлагаемого к продаже устройства на сайте, то есть серийного выпуска устройств нет, не удивительно что дорого.
Вот делали бы платки и продавали без прошивок, ну или хотябы готовые наборы, типа налепил компоненты и засунул в духовку, чтобы они не считались модемами, то глядишь и денег бы каких заработали.>И с полной поддержкой LTE например - достаточно тяжко. Навороченная
> штука, как ни крути.Возможно, но имхо тут имхо в проекте не хватает рациональной и хозяйственной кухарки которая правильно расставит приоритеты.
В первую очередь надо обеспечить передачу интернет трафика, тем более что операторы сетей потихоньку переходят на VoLTE.
стоит ли делать поддержку СМС, так как это всегда риск при взломе получить или отправить юридически и коммерчески значимое СМС. Если их и делать, то имхо только работающими через отдельный порт или клавиатуру с экранчиком, чтобы получать или отправлять СМС для регистрации во всяких месенжерах и сервисах.
Насколькодля криптопанка вообще имет смысл делать голосовые звонки по сетям соотвого оператора, если он скорее всего всё равно использует работающие через интернет месенжеры?Наверняка после такой рационализации и расстановки приоритетов работы по программированию станет намного меньше.
У меня нет столь могущественных врагов :)
Я же написал что не предполагаю целевых атак на себя, ни зиродеями ни вот такими очень дорогими и сложными методами.Мои цели это:
- избежать попадания в базы всяких рекламных сетей
- сильно затруднённый трекинг меня для бигкорпов
- усложнённый показ мне рекламы в браузере
- F-Droid который сам обновляет приложения
- максимальная стабильность аппарата и его предсказуемость, а не так что этот кусок гна там лежит и зачем то высасывает батарею и мобильный трафик
- отсутствие назойливых оповещений и прочего булщита от вендора и гуглаУ нас же на аппаратах не только всё вычищено один раз, там ещё скрипт в кроне, который приодически грохает всякие файлики от рекламных SDK с уникальными идентами девайса.
Те лично у меня скрипт в холостую пашет в мобиле тк почти весь софт с фдройда, а у ребёнка полно мусорного софта с плеймаркета который эти иденты настойчиво пытается на девайс прописать.А вообще, у нас есть средства для противодействия подобным атакам: роутеры на базе OpenWRT где модем или по юзби или через mini pci, там и GPS просто аппаратно нет и общается он с хост системой как сетевуха.
Хотя конечно искушённый атакующий может наверное добавить чтото и прикинутся ещё скажем ком портом или клавой и попытатся получить доступ к консоли OpenWRT. Хз что там с паролем, и даже если туда пробится дальше там WiFi до мобилок и планшетов, от чего ни разу не легче.В целом ко мне проще подойти с гаечным ключём чем заниматся всеми этими извратами. )
> У меня нет столь могущественных врагов :)Прошли времена когда враги анонсировали "иду на вы". Эффективность снижает, не модно. Вы всегда и всем нравитесь? Это врядли. К тому же в сложных цифровых системах творится черт знает что, обитает черт знает кто, черт знает почему, а косплеить бога соблазнительно. Если инструмент есть - может быть использован. Не факт что так как вы это возомнили.
> Я же написал что не предполагаю целевых атак на себя, ни зиродеями
> ни вот такими очень дорогими и сложными методами.На чем это предположение основано? Вы полный овощ, с самым сложным вопросом "где бухаем завтра?" и маршрутом от сельпо до хаты? А зиродей может и автоматика прислать, сейчас спрос на ддосы и прокси сильно увеличился почему-то, способствует.
> - избежать попадания в базы всяких рекламных сетей
При юзеже мобли и инета с нее "как есть" - операторы свойство подшивать интересные хидеры с IMSI/IMEI/номером куче "партнеров" по куче поводов. Сам по себе рут к этому очень боком...
> - сильно затруднённый трекинг меня для бигкорпов
Бигкорпы используют довольно продвинутые средства. Вон например банк честно пишет что если вы поставите их приложуху то они отстроят ваш профайл шлепания по наэкранке. Клево, да? (когда все это не у меня)
> - усложнённый показ мне рекламы в браузере
Вот это не отнять, только рут к этому достаточно косвенно относится.
> - F-Droid который сам обновляет приложения
Если вообще совсем сам, по расписанию - есть уверенность что те кто его содержат непогрешимы и никогда не будут взломаны?
> - максимальная стабильность аппарата и его предсказуемость, а не так что этот
> кусок гна там лежит и зачем то высасывает батарею и мобильный трафикАндроид и софт под него этой цели не особо помогает. Разве что культурную обезгугленую сборку от кого-то и только открытый софт, но даже это не дает полный контроль над системой где на процессорном ядре рядом крутится огромная многомеговая фирмварь делающая хз что. В некоторых случаях они с линуксом играют в довольно интересную игру, вплоть до того что основательно подпатченый линукс делает что-то типа сисколов в недра проприетари, и реальный драйвер - там.
Эффективно и гарантированно это устраняется юзанием системы которую можно самому пересобрать или хотя-бы от сообщества которому вы доверяете, и без блобов. А вы точно настолько экстремал?
> - отсутствие назойливых оповещений и прочего булщита от вендора и гугла
Это так то хорошо, но переиграть гугл в системе которую они же и делают - затея не особо простая. Мягко говоря.
> ещё скрипт в кроне, который приодически грохает всякие файлики от рекламных
> SDK с уникальными идентами девайса.Вы умеете в эффективный randomize всех идентификаторов? И если да то каких именно? Простой sanity check:
1) Andoroid device ID
2) wifi mac?
3) IMEI?
4) IMSI?
5) Вы знаете что многие банки делают скан портов JS'ом с сайта, чтобы понять ваше сетевое окружение? (оно достаточно уникальное)
6) Даже если не знать точно - можно точки доступа вокруг посканить и геолокацию хапнуть например.Приложуха так то может unique id считать по куче параметров, сколько из них скрипт менять умеет?
> Те лично у меня скрипт в холостую пашет в мобиле тк почти весь софт с фдройда
Почти - не считается.
> а у ребёнка полно мусорного софта с плеймаркета который эти иденты настойчиво
> пытается на девайс прописать.Учить постепенно культуре информационной безопасности, видимо. Прикольно думать что добрые дяди раздают клевые ништяки бесплатно потому что они такие хорошие, но это слишком хорошо чтобы быть правдой.
> базе OpenWRT где модем или по юзби или через mini pci,
> там и GPS просто аппаратно нет и общается он с хост
> системой как сетевуха.Я тоже так делаю :). В них gps никто не будет паять чисто для compliance.
> Хотя конечно искушённый атакующий может наверное добавить чтото и прикинутся ещё скажем
> ком портом или клавой и попытатся получить доступ к консоли OpenWRT.Ну да, у большей части модемов на борту тот же линукс, которым они и показывают "типа сетевуху" (см кто такой g_ether, так и самому можно, на железе с usb-device контроллером). Но у openwrt может не оказаться модуля клавы - зачем клава роутеру по жизни?
> Хз что там с паролем, и даже если туда пробится дальше
> там WiFi до мобилок и планшетов, от чего ни разу не легче.Линуксный девайс полностью пропускающий через себя ваш траф так то в принципе недурная точка атаки. И защиты тоже, некоторые даже пихают прямо на модем впн или шифрованый проксь с адблокером.
> В целом ко мне проще подойти с гаечным ключём чем заниматся всеми
> этими извратами. )Это очень сильно зависит от географических факторов.
Я вам ещё раз повторяю: у меня нет цели построения защиты от целенаправленной атаки.
Зиродеями никто не раскидывается на автомате, это дорогой ресурс.
Бэкдоры тоже никто не палит, это ещё более дорогой ресурс, за который прилетит многим если спалится.Цель - не быть бараном в стаде, которого выпасают все кому не лень, и жить с комфортом.
Поэтому ненужно софт от гугла и вендора выкинут, и юзается большей частью софт из F-Droid, и попутно Drowser прибивает всё что не должно висеть в фоне, не важно с фдройда или с гуглага.
Во встроенном софте меня даже не приватность напргяет а то что оно жрёт мои ресурсы за мои же деньги и при этом в лучшем случае ничего полезного для меня не делает а в худьшем ещё и тупыми ведомлениями на уровне рекламы надоедает. А я не люблю когда меня мобила тревожит просто так, меня это бесит намного больше чем мысль что гугл зачем то собирает данные о моих перемещениях.Грохание всяких файлов с идентами нужно не только для приватности и анонимности но и просто для наведения порядка в системе.
Нет, я не интересовался как генерить фейковые иденты, мне пофик, потому что я стараюсь юзать просто чистые приложения. Из грязных у меня такси от ситимобила, которому всё равно пришлось слить номер мобилы.И да, я овощь, у которого в мобиле переписка внутри семьи, фотки семьи, и OSM с точками где я или мы бывали/бываем. Ничего ценного я в мобиле не держу, тк этот девайс легко может перейти в руки третьих лиц, а всякое шифрование и блокировки паролями/отпечатками - мне ни разу не интересны.
> Я вам ещё раз повторяю: у меня нет цели построения защиты от
> целенаправленной атаки.Грань тонкая. Когда фичи есть, начинают строить базы, "на всякий случай". Потом их сливает не очень честный стафф и прочее фсб - спрос есть, платежеспособный. И вот уже сайтик барыжит записями на что угодно, всего несколько баксов за тушку.
> Зиродеями никто не раскидывается на автомате, это дорогой ресурс.
А таки не зря говорят что то что знает двое - знает и свинья.
> Бэкдоры тоже никто не палит, это ещё более дорогой ресурс, за который
> прилетит многим если спалится.Новости на опеннетике про ОБНАРУЖЕННЫЕ БЭКДОРЫ не подтвержюают эту идею :)
> Цель - не быть бараном в стаде, которого выпасают все кому не лень,
Это хорошая цель - но не очень простая. Ну вот например сотовые операторы баранов выпасают и базы строят. Правда вроде обычно все же только до Cell ID, высокточный часто обновляемый GPS трек строить паливно и батарейку наверное посадит быстро на постоянные передачи данных. Но для некоторых целей и этого хватит.
> и жить с комфортом.
Говорят, комфорт и безопасность живут по разные стороны улицы, а безопасность бывает всего 2 уровней.
> софт из F-Droid, и попутно Drowser прибивает всё что не должно
> висеть в фоне, не важно с фдройда или с гуглага.Идея прибить фоновую малварь - забавна, конечно, это какое-то стремное решение проблемы :))
> лучшем случае ничего полезного для меня не делает а в худьшем
> ещё и тупыми ведомлениями на уровне рекламы надоедает.Ну да. Производители вообще обнаглели. Просто слупить денег им уже мало - хотят еще и в рабство получать лоха, делая ему мозг за его же деньги. При том тренд очень заразный, вон автопроизводители тоже стали хотеть подписывать нелохов на свои услуги с регулярной дойкой сервисов "помощников" и чего там еще. Скоро так унитаз начнет денег требовать и продвигать улуги правильных сантехников - из компании заплатившей за рекламу (кажется я только что слил отличный бизнесплан для стартапа!)
> больше чем мысль что гугл зачем то собирает данные о моих перемещениях.
Я даже согласен что это хамство.
> Грохание всяких файлов с идентами нужно не только для приватности и анонимности
> но и просто для наведения порядка в системе.Куча идентов не обязательно в системе находятся. А софт таки может там копаться. Хотя при наличии именно рута это в принципе можно довольно жестко на...ть во многих случаях. Особенно если свой кернел запустить реально.
> от ситимобила, которому всё равно пришлось слить номер мобилы.
Может я олдскульный но такси до сих пор вызывается просто тупым звонком, приезжая чере за те же считаные минуты если оно надо. И все что они при этом получают - номер. А в моих системах и данных копаться для подачи такси им совершенно незачем, имхо.
> семьи, и OSM с точками где я или мы бывали/бываем.
Я иногда сильно паливные точки подчищаю, а то что я был в 2018 году вон там на природе, круто, но там камер не было а если б и были кто и где будет записи по 4 года хранить?
> Ничего ценного я в мобиле не держу, тк этот девайс легко может
> перейти в руки третьих лиц, а всякое шифрование и блокировки паролями/отпечатками
> - мне ни разу не интересны.Ну да. Тем не менее - ну вон уже были прецеденты когда некоторых расстреляли на месте за непонравившееся содержимое. Новые технологии на службе человечества, блин - написать на себя досье и быть по нему же и расстреляным. В принципе darwin awards за такое стоило бы давать - если б не было столь банально и распостранено.
Накроется телефон - придётся предъявлять паспорт. Не нужна мне такая двухфакторка.
Открой для себя чудесный KeepassXS с поддержкой ТОТР.
> Накроется телефон - придётся предъявлять паспорт. Не нужна мне такая двухфакторка.Это просто ппц...
А причем здесь телефон и TOTP ???
rfc6238 в помощь !
Не нравится програмка на телефоне, которая делaет тупую калькуляцию не лазя в тырнет, ну так юзайте oathtool на компе... человек вам даже подсказал что в KeePass это уже даже встроенно...
> тырнет, ну так юзайте oathtool на компе... человек вам даже подсказал
> что в KeePass это уже даже встроенно...Это случайно не та шляпа которая дотнет, ой, пардон, моно требует для себя вкрячить? А, ну это же майкрософт...
>> тырнет, ну так юзайте oathtool на компе... человек вам даже подсказал
>> что в KeePass это уже даже встроенно...
> Это случайно не та шляпа которая дотнет, ой, пардон, моно требует для
> себя вкрячить? А, ну это же майкрософт...Я смотрю здесь даже гугло яндексами пользоваться не умеют или просто не знают что значит расширение срр в файлах...
Где ты, о великий специалист опеннета нашел в KeePassXC моно ???
> Вы мне лучше скажите, кто из вас не использует двухфакторку, там где это предусмотрено?Вообще-то это те кто используют должны рассказать нахрена им (и, что важнее, нам) это нужно.
Может ты ещё и пароли в браузере хранишь?
Вы вот такие умные и ироничные сперва бравируете "фи, наличность", а затем не знаете, чем в ресторане расплатиться -- "приходится кушать дома".А жизнь-то от многих иллюзий избавляет.
PS: хотя не, тут я мог с оценкой промахнуться.
> А жизнь-то от многих иллюзий избавляет.
> PS: хотя не, тут я мог с оценкой промахнуться.Сдается мне, что очень многие с иллюзиями так и не расстаются до конца своих дней.
"Это же так сладко верить в сказки..."
В моём профиле нет чего-либо настолько ценного, что я готов терпеть постоянные неудобства ради "секурности" своих великов.А теперь ты нам расскажи, _для_чего_ ты используешь двухфакторку? У тебя есть особо популярные проекты? Или просто синдром Неуловимого Джо?
У тебя кроме гитхаба аккаунтов в сети интернет нет? Или ты на полном серьезе хочешь убедить, что не так уж они и важны для тебя?
я не использую: пока что мне никто так внятно и не пояснил, зачем я должен делать лишние усилия. почти 30 лет не использую, полёт отличный, ни одного угнанного аккаунта нигде. ЧЯДНТ?
Ты оскорбителен!!1PS: привет :)
> ЧЯДНТ?У вас телефон или компьютер никогда не угоняли ? На которых доступ к дорогой инфе хранится
>> ЧЯДНТ?
> У вас телефон или компьютер никогда не угоняли ? На которых доступ
> к дорогой инфе хранитсянет, конечно. за все мои 30+ лет использования техники — ни разу. абыдна, да?
> Вы мне лучше скажите, кто из вас не использует двухфакторку, там где это предусмотрено? Просто интересна мотивация. Не хотите через приложение в телефоне от гугла или майкрософт, можно TOTP в keepassxc настроить.Сдается мне что супер-сверх-специалисты опеннета не втыкают что вы сказали, раз так заминусовали.
Судя по всему народ даже понятия не имеет что TOTP - это не про телефон и его (TOTP) можно даже на баш скрипте сделать
> Судя по всему народ даже понятия не имеет что TOTP - это
> не про телефон и его (TOTP) можно даже на баш скрипте
> сделатьнарод понятие имеет. но народу в лице меня, например, это совершенно неинтересно: из-за того, что какая-то безмозглая макака не умеет в свою личную секурити, дополнительные усилия отчего-то должен совершать я. перечитай старый текст про хакера и солонки в столовой, пожалуйста.
> что какая-то безмозглая макака не умеет в свою личную секурити, дополнительные усилия отчего-то должен совершать я.Прям таки все макаки, правда? А мозглые не слышали про взлом далеко не макаких аккаунтов ? Аккаунтов которые используются в большом продакшене.
> текст про хакера и солонки в столовой, пожалуйста.
Ну, если ваш проект сравним с солонкой, то проще хостить свою gitea, чем перется на международную площадку, где как выяснилось макак больше всех и их надо хоть как то защищать от браконьеров
> Прям таки все макаки, правда? А мозглые не слышали про взлом далеко
> не макаких аккаунтов ? Аккаунтов которые используются в большом продакшене.опять проблемы у какого-то «продакшена», а неудобно из-за этого хотят сделать мне. если вдруг всё ещё не дошло, то я повторю: я не вижу ни одной причины, по которой чужие проблемы безопасности надо решать за мой счёт.
> Ну, если ваш проект сравним с солонкой, то проще хостить свою gitea,
> чем перется на международную площадку, где как выяснилось макак больше всех
> и их надо хоть как то защищать от браконьеровну, примерно поэтому я и перестал использовать гитхаб — сервис для макак в итоге очень неудобен для людей.
> а неудобно из-за этого хотят сделать мне.Неужели так сильно неудобно потратить на несколько секунд больше чтоб быть уверенным, что не только свое не упрут, но и то, что подтянули в зависимостях ? Или вы как большинство опеннетовцев пишите исключительно все с нуля, без зависимостей
> я не вижу ни одной причины, по которой чужие проблемы безопасности надо решать за мой счёт.
Можно на счет взглянуть? Сдается мне что вы цените свои несколько секунд больше чем Билл Гейтс
>> а неудобно из-за этого хотят сделать мне.
> Неужели так сильно неудобно потратить на несколько секунд больше чтоб быть уверенным,
> что не только свое не упрут, но и то, что подтянули
> в зависимостях ?30+ лет этого не делал, ни одной проблемы до сих пор. и тут вдруг мне начинают рассказывать, что проблемы есть, просто я их не вижу. но сами проблемы не показывают, только пытаются впарить решение. именно так и торгуют змеиным маслом.
> Или вы как большинство опеннетовцев пишите исключительно все
> с нуля, без зависимостейты просто не поверишь — но да, я умею программировать, а не только складывать из чужих библиотек полурабочие паззлы. а также не имею привычки тащить в проекты что попало без проверки, и потом обновлять на авось. это Утеряные Умения Древних, но мне повезло, я застал Отцов, и меня научили.
>> я не вижу ни одной причины, по которой чужие проблемы безопасности надо решать за мой счёт.
> Можно на счет взглянуть? Сдается мне что вы цените свои несколько секунд
> больше чем Билл Гейтсмоё время бесценно. именно поэтому я предпочитаю сам решать, на что его тратить, а на что нет. а твоё, видимо, не стоит ничего, поэтому ты с удовольствием выполнишь любую команду любого дяди. потому что дядя умнее тебя и лучше знает.
GitFlic через Госуслуги не хочет ввести аутентификацию? ;)
А вот ты зря смеешся. Пару лет тому назад поползновения в сторону "а давайте-ка сделаем на сайтах "подтверждение учетной записи" через ГосУслуги". Хотели начать с Авито, мол мошенников много. А дальше сами знаете, сначала подтверждение добровольное, потом обязательное, а потом убирают регистрацию не через госуслуги.
Ну а другой стороны что плохого в госуслугах, громе может того что налоги попросят заплатить с продажи. Или мошенников нет на авито?
> что плохого в госуслугахТы это сейчас серьёзно? Или это уже всё местное ойти мозги в облака сдало?
Если все пользователи Авито будут обязаны верифицировать профиль через госуслуги, то мошенников должно быть меньше, не?
Скорее, станет больше баз данных из-за роста спроса на них.
нужна обязательная вакцинация
Ещё больше нужен QR-код и паспорт вакцинации.
Криокамера протекает? Вакцинация и куаркоды не в моде. Вирус внезапно исчез с началом спецоперации. Сейчас правильность расы, ой, национальность, то есть, гражданство проверяют.
Если все пользователи Авито будут обязаны верифицировать профиль через госуслуги, то мошенников должно быть меньше, не?
Нет, лет 8 лохов до сих пор кидают с переводами на карту, как-то банкам пофиг, что ты перевел мошеннику.
> Нет, лет 8 лохов до сих пор кидают с переводами на карту,
> как-то банкам пофиг, что ты перевел мошеннику.С мошенниками понятно.
Но то что касается банков вообще - СМС на самом деле спасают от банковского произвола,
т.е. когда для входа и совершения операций требуются СМС, то недобросовестным сотрудникам банка довольно сложно без твоего ведома переводить деньги с твоего счёта в неизвестном направлении. Т.к. подобные переводы успешно оспариваются в суде - клиент банка заявляет, что не получал СМС и таким образом не подтверждал операцию, а сотовый оператор выдаёт письменное подтверждение, что СМС не присылались.
Собственно банкам эта ситуация и не нравится, их действия слишком легко оспорить. Поэтому (хотя и н не только поэтому) всеми силами навязывают использование приложений/пуши/google authenticator, т.к. в суде уже нечего будет представить в качестве доказательства, что операция осуществлена не пользователем клиентом банка, а неустановленным лицом.
Если у мошенника друган в полиции, то как поможет верифицированный профиль?
> Если у мошенника друган в полиции, то как поможет верифицированный профиль?Полканы из фсб смотрят на вас как на дилетантов.
> Криокамера протекает? Вакцинация и куаркоды не в моде. Вирус внезапно исчез с
> началом спецоперации.Когда рослый полярный лис сменяется еще более рослым, более крупный перехватывает внимание на себя. Никакого мирового заговора в этом нет, всегда так работает.
GitHub fuck you.
Скажем спасибо notabug'у, codeberg'у и sourcehut за то что они - есть.А так - git push в зеркало то они не запретят, ну и оставить прожект на гитхабе чисто для саморекламы, зеркалом.
ноабаг или кодеберг не осилили настроить автоматическое обслуживание репозитория, те там банальный git gc даже не запускается, в итоге у меня при зеркалировании портов на один из них дикая задержка и маты что пора сделать git gc.
Такие вопросы решаются пингом их админов и объяснением проблемы. С другой стороны это комьюнити а не корп - с другими ожиданиями. Как в минус так и в плюс.
> git push в зеркало то они не запретятКак знать, как знать...
Может, на хостингах-конкурентах скоро появится резкий всплеск "расизьма, харассьмента, экскремизьма, тероризьма" (ТМ)...
> Как знать, как знать...Это катит только для приватных репов мегакорпов, что с ними случится всем похрен.
> Может, на хостингах-конкурентах скоро появится резкий всплеск "расизьма, харассьмента,
> экскремизьма, тероризьма" (ТМ)...Git сам по себе вообще плевать на хостинги хотел. Он комитами оперирует. Ну замержит Васян комиты от петьки в свое дерево и пушнет это на гитхаб. Петьке вообще аккаунт гитхаба для этого не требуется, он хоть флоппинетом мог эти комиты Васяну дать. Гитхаб начнет режектить пуши с мержами? Ну тогда он умрет, резко саботировав работу кучи проектов.
Честно говоря, после того как github попросту отжал проект у его автора (после того как тот его осознанно поломал) - доверия им нет никакого.А вообще кажется действует план Microsoft'а по медленному выживанию всех присосавшихся "халявщиков" и замены их на платящих enterprise-клиентов. Напрямую выгнать нельзя ибо скандал, а так потихоньку выкручивая яйки - это пожалуйста.
Этож микрософтовская классека:
https://ru.wikipedia.org/wiki/Embrace,_Extend,_and_Extinguish
Не надо паниковать на ровном месте. Про обязательный номер телефона ничего не указано. Настройте уже TOTP (keepassxc, oathtool и т.д.) и всё.
> Настройте уже TOTP (keepassxc, oathtool и т.д.) и всё.Зачем?
Безопаснее, чем отсутствие totp. Почему ты так сопротивляешься активации totp?
Если ты боишься, что гитхаб сломают, раздавай сырцы со своего сайта.
Это нормально - ставить ТОТР везде где можно.
> Это нормально - ставить ТОТР везде где можно.Слушай, за пару десятилетий мне ни 1 аккаунт не сломали - без всяких totp'ов. Может тебе просто нафиг пройти с твоими ритуалами ради ритуалов, а? Или что для меня должно типа-улучшиться? Трекинг меня майкрософтом? Вот уж спасибо, ценно и нужно.
да тут даже не столько в трекинге дело, а в продолжении тенденции отупления.во-первых, пытаются сделать вещи с защитой от самого последнего дурака — из-за чего нормальным людям этими вещами пользоваться всё неудобней.
во-вторых, дурак всё равно всегда найдёт способ обойти защиту от него.
а в-третьих, есть ещё такой нюанс: когда дураки привыкают, что кто-то другой заботится об их безопасности, они становятся ещё безалаберней, и в итоге надо ещё больше защит от дурака. этот процесс не имеет конца, единственный вариант его остановить — это прекратить делать защиты от дурка вообще. опасный быт — он дисциплинирует. тех, кто выжил, конечно.
> да тут даже не столько в трекинге дело, а в продолжении тенденции отупления.А также перепихивания своих проблем на чужие головы.
> нормальным людям этими вещами пользоваться всё неудобней.
Ну так они и создают для себе подобных более потребные хостинги так то :)
> во-вторых, дурак всё равно всегда найдёт способ обойти защиту от него.
Да кто б сомневался. И таки меня анноят вебмакаки которые люьят ходить строем под мегакорпами. Поразвелось "типа-программистов".
> заботится об их безопасности, они становятся ещё безалаберней, и в итоге
> надо ещё больше защит от дурака. этот процесс не имеет конца,Ну да. В результате получается стремная система костылей и подпорок, которая истошно свистит, пердит и рыгает. Заодно саботируя работу каждые полчаса. Но это майкрософт, у его эффективных менеджеров бывают свои тараканы в голове. И вообще это фирменный метод - заявить "%s это круто" и начать остервенело заталкивать это в глоту. Фирменный стиль, уже апробирован на дотнетчиках. Правда, в результате большая часть адекватных прогеров с винды как раз и свалили. От чего они в WSL и вдарились. Видимо бэкдорить и нагревать хомячков не очень интересно.
> Ну так они и создают для себе подобных более потребные хостинги так
> то :)или просто берут Fossil.
> или просто берут Fossil.Да пусть берут. Если я уже умею гит и те кому мой код может быть интересен тоже - ну и смысла мне разучивать какой-то фоссил? Я все-равно гитом по более 9000 поводов пользуюсь, попользоваться им еще и для себя мне не обломно вообще совсем. А какие там багтрекеры и вики для меня так то в лучшем случае - опциональщина/good to have, в хучшем бесполезный мусор.
У меня довольно забитый мозг, даташиты большие, железо сложное, держать в бошке 2 VCS если можно одну мне как-то очень уж субоптимально. Лучше этот ресурс потратить на запоминание чего-то помогающее рюхнуть интересную задачу как по мне. Да, я могу загонять себя вплотную к лимитам. Мозг брыкается но постепенно понимает что от него не отстанут. Адаптируется. Становится мощнее. Как-то так.
ну вот я тоже кучу лет фоссил игнорил. а потом решил попробовать. и теперь у меня своих проектов на гите не осталось, все в фоссил конвертнул. для скорбных-ленивых же фоссил умеет автоматически делать push в гит-зеркало.кстати, кидать фоссиловые бандлы лично мне тоже удобней, чем какие-то невнятные «пулл-реквесты» на гитхабе, или портянки патчей мылом. бандл — это такая кучка патчей в одном файле, которую можно удобно развернуть себе в репу, попробовать как оно, и принять или выкинуть.
а ещё у фоссила есть абсолютная киллер-фича: возможность открыть репозиторий в куче разных каталогов, каждый на своём коммите. и фоссил не запутается, он умный. надо ли пояснять, насколько это удобно, когда у тебя есть какой-нибудь stable бранч, в другом каталоге bleeding edge, в третьем багфикс к LTS можно тестировать — и не надо постоянно делать чекауты и всё уныло пересобирать заново, если активно между этим всем переключаешься. и всё это вдобавок совершенно не нужно настраивать, оно Просто Работает.
> ну вот я тоже кучу лет фоссил игнорил. а потом решил попробовать.
> и теперь у меня своих проектов на гите не осталось, все
> в фоссил конвертнул. для скорбных-ленивых же фоссил умеет автоматически делать push
> в гит-зеркало.У меня соображения простые:
1) Я не всегда знаю, будет ли интересен проект окружающим, поэтому решение публиковать его или нет мне удобно принимать в "run time". Гит это упрощает, если такое решение будет, все в нативном виде, без левака с гейтованием.
2) Мне неохота изучать 2 инструмента одного и того же - отказаться от гита я все-равно не готов т.к. активно используется для кучи проектов и взаимодействия с ALL.
3) Багтреки и вики для меня очень слабый аргумент в топике про _VCS_.> кстати, кидать фоссиловые бандлы лично мне тоже удобней, чем какие-то невнятные «пулл-реквесты»
В гите тоже можно бандлы как отдельные файлики с дельтой делать, если мы про это. И вообще немало вариантов как данными перекинуться. Я даже паре кодеров именно так отсылал наборы комитов со всеми метаданными (кто чего куда вкомитил, агрегация с нескольких человет). Тезис что это достоинство по сравнению с гит как-то сильно пролетает.
> на гитхабе, или портянки патчей мылом. бандл — это такая кучка
> патчей в одном файле, которую можно удобно развернуть себе в репу,
> попробовать как оно, и принять или выкинуть.Гит тоже это умеет, если надо. Он вообще штука гибкая. Хоть флопинетом шли. Вопрос договоренности между кодерами, не более. В этом месте мелкосакс - нарывается. Реально их потуги нагнут только слащавых корпоменеджеров, и даже эти половина свалят нахрен: они UX ценят а мс его напалмом выжигает.
> а ещё у фоссила есть абсолютная киллер-фича: возможность открыть репозиторий в куче
> разных каталогов, каждый на своём коммите. и фоссил не запутается,Зато запутаюсь я. Да ну нафиг. Я обычно активно редактирую таки head или некую стабильную версию если не облажался по жесткому и не занят разруливанием. А отредактить тухлую ветку и потом трахаться с бэкпортом - обидно! Я проверял.
> он умный. надо ли пояснять, насколько это удобно, когда у тебя есть
> какой-нибудь stable бранч, в другом каталоге bleeding edge, в третьем багфикс
> к LTS можно тестировать — и не надо постоянно делать чекаутыЕсли мне вон то надо - я могу и cp --reflink сделать на дерево. Займет полсекунды, места на диске не сожрет почти, даже если 20 линукс кернелов разложу, вместе с их гитом. Так что есть бесконечно способов реализовать фичу. Но это чревато тем что выше. И плотно лочиться мне удобно на что-то одно, во избежание ЭТОГО. Я или танцую от head, или уж от стабильной версии. Не нравится мне телепать разные версии одновременно. Провоцирует ошибки. Ну вот было пару раз, плотно редактил - уй, блин, дира не та, уй, блин, на ту версию канительно портить. Так что это уж точно не та фича ради которой я напрягусь. Особенно если она не умеет в рефлинки, так что скорость и жрач места будет ни в какое сравнение с моими собственными вариантами. А проблемы гребаных хомяков и их неумения в продвинутые фичи ос это проблемы хомяков, меня ниипет и от хомяков мне ничего не надо. А людям разумным я несколько хинтов разгона эффективности могу и подкинуть в частном порядке, если вижу что с вон тем легко пойдет. Это ж не строить всех на использование тула, а пара мелких хинтов человеку разумному...
> и всё уныло пересобирать заново, если активно между этим всем переключаешься.Я умею делать операции эффективными и не унылыми. И совсем не обязательно что вообще все должен именно VCS делать. А проблемы хомячков меня - вот честно - не #$%т! Вообще совсем. Я вообще не хочу при кодинге с ними дело иметь. Странно, да?
> и всё это вдобавок совершенно не нужно настраивать, оно Просто Работает.
Да я и git так то не особо настраивал, кроме некоторых мелочей. Но вот Просто Работает, без настроек? Искаропки? Сорян. У меня искаропки софт в сеть сунуться не может - и это специально, если что. В общем ты рекламируешь не ту фичу не тому человеку, вообще совсем не угадал - я предпочитаю контролировать мое окружение и не обламываюсь настроить если надо.
да на здоровье, я же тебя не агитирую прямо утром перекатываться. я просто описываю свой личный опыт с фоссилом — который по итогу лично мне оказался намного удобней гита. хотя до этого я тоже смотрел на него как владельцы айфонов на копипасту: «ну, нет фичи — и не нужна, значит.» просто имей в виду, что оценить полезность чего-то чисто умозрительно — довольно сложно. и, конечно, без массы вещей можно обойтись — но нужно ли?
Ну я как бы копипастом пользуюсь, каждый день, и это было до гитов и ифонов. А виками - вот реально редактирование чего-то кроме википедии длля меня скорее исключение, и багтрекеры я предпочитаю отдельные, все же does one thing, does it well имхо работает.
это вопрос определения того, что такое «одна вещь». мне вот нужна как раз несложная система управления проектами, а не тупая версионка — так что в эту «одну вещь» входит много чего. и мне категорически лень собирать для этого какое-то дикое лего (и поднимать веб-сервер для вики и тикетов в том числе).
> это вопрос определения того, что такое «одна вещь». мне вот нужна как
> раз несложная система управления проектами, а не тупая версионка — так
> что в эту «одну вещь» входит много чего. и мне категорически
> лень собирать для этого какое-то дикое лего (и поднимать веб-сервер для
> вики и тикетов в том числе).А я вобще довольно прохладно к groupware отношусь, самое сильное что в юниксвее есть это модуляризация и деление на части. Если этим не пользоваться нахрен тогда юниксподобные системы? :)
идея довольно узкого применения, как по мне. рулят открытые документированые форматы данных. а искусственное разбиение софта на куски ради мифической «модульности» так же overrated, как и code reuse.
> идея довольно узкого применения, как по мне. рулят открытые документированые форматы данных.
> а искусственное разбиение софта на куски ради мифической «модульности» так же
> overrated, как и code reuse.Для меня unix way таки в целом работает. Конечно не всегда, не везде и с энными оговорками. Но вот overrated его я бы не назвал, очень крутой концепт, если без фанатизма и с пониманием лимитов. Git вполне себе один из юниксвэйных тулов. И куча aux фич не относящихся напрямую к контролю версий мне там - в лучшем случае, мелкий опциональный ништяк. Это не game changer.
В конечном итоге я vcs использую для 1) разработки софта и 2) возможно обмена и агрегации патчей с окружающими. Всякие вики и багтрекеры мне при этом...
> В конечном итоге я vcs использую для 1) разработки софта и 2)
> возможно обмена и агрегации патчей с окружающими. Всякие вики и багтрекеры
> мне при этом...ты только что написал взаимоисключающие параграфы — и сам этого не заметил. потому что в твоём инструменте нет удобной возможности на кончиках пальцев это использовать. поэтому в твоё понятие разработки софта его документирование, например, если и входит — то где-то внизу списка, как «необходимое зло», и «ну, доксигеном как-нибудь, все так делают».
я, например, очень слабо понимаю, как ты ведёшь разработку без тудушек и списка незакрытых багов. если это не «приветмир» — ты не сможешь все баги чинить сразу, будет немного накапливаться. то же самое с тудушками. и ты сейчас будешь мне рассказывать, что «обычные текстовые файлы справляются», да? так в фоссиле это ещё и удобно версионировано, встроен редактор, и автоматические кросс-ссылки на *любой* артефакт в репозитории. но ты такой удобный инструмент никогда не использовал, потому что у тебя его нет. я тоже считал, что «нинужна». пока у меня инструмент не появился — и оказалось очень даже нужно, очень даже удобно. я не зря приводил пример с копипастой на айфоне.
> ты только что написал взаимоисключающие параграфы — и сам этого не заметил.
> потому что в твоём инструменте нет удобной возможности на кончиках пальцев это использовать.Я не люблю мегакомбайны - как раз за то что там все фичи урезаны и хреновы, "для галочки". Все же когда фича отдельный продукт, ее придется сделать выше среднего, иначе продукт просто не будет иметь смысла.
> поэтому в твоё понятие разработки софта его документирование, например,
> если и входит — то где-то внизу списка, как «необходимое зло»,Как и у 99% прогеров. И таки да, я считаю что многим вещам хватит текстового кодер-ориентированого описальника с неочевидными вещами + коментированого кода. А что-то сверх того имеет смысл сильно местами. И уж тем более я не хочу разучивать кастомный недосинтаксис недовики.
> и «ну, доксигеном как-нибудь, все так делают».
Типа того. Я реально не хочу писать вику, особенно самопальную, для мелкого проектика. Который вообще возможно в утиль пойдет как неудачный эксперимент. Я ж не бог, заранее не знаю получится оно стояще или нет. Часто надо по факту накодить и посмотреть как оно себе и/или окружающим.
> я, например, очень слабо понимаю, как ты ведёшь разработку без тудушек и
> списка незакрытых багов.Вот так и веду: пишу // FIXME: или // TODO: в сорец. Это сильно быстрей чем полноценный баг себе заводить. А, ну конечно вручную я не ищу это потом, у того же geany как впрочем и у многих других есть для этого примочки, вью строить. А если даже и нет, греп у меня всяко под рукой. К тому же оно сразу в контекст вписано. Если мне не нравится вон та функция, оно прямо там и будет. Для более крупных проектов это может и не катить, но у них и тулсы для этого обычно есть.
> если это не «приветмир» — ты не сможешь все баги чинить сразу,
Это не мешает жить разметке FIXME в коде. Ну да, для больших проектов это уже неудобно, но вот у них будет уже и нормальный багтрек, а может и вика, если желающие это редактить есть.
> будет немного накапливаться. то же самое с тудушками.
Накопление багов и тудушек сводится к желанию програмера, имхо. Если прогеру впадлу ты хоть тресни и обложись виками и багтреками, толку буй.
> и ты сейчас будешь мне рассказывать, что «обычные текстовые файлы справляются», да?
Ну, справляются же. И трекаются обычным гитом.
> так в фоссиле это ещё и удобно версионировано, встроен редактор,
Мне никакие встроенные редакторы даром не нужны. Я все делаю через редакторы которые мне привычны, удобны и понятны и как раз вот тут простой текст имеет свое преимущество - можно отрихтовать удобным _мне_ а не _кому-то_ тулом.
> и автоматические кросс-ссылки на *любой* артефакт в репозитории.
Наверное это круто, но как бы это применял я мне не очевидно.
> но ты такой удобный инструмент никогда не использовал, потому что у тебя его
> нет. я тоже считал, что «нинужна». пока у меня инструмент не
> появился — и оказалось очень даже нужно, очень даже удобно. я
> не зря приводил пример с копипастой на айфоне.Я не люблю оверинженерию и интеграцию все и вся в одного монстра. И могу иметь свое мнение насчет удобства мне тех или иных тулсов. Тебе вон и скулайт с более 9000 фич нравится, а я недолюбливаю такие инструменты. Этим системщик от апликушника и отличается - я хочу свой путь, и чтобы на нем не стояли всякие клевые, фичастые, активно мешающиеся на этом пути. Те кто делал юниксвэй этот момент очень хорошо понимали...
> Я не люблю мегакомбайны - как раз за то что там все
> фичи урезаны и хреновы, "для галочки". Все же когда фича отдельный
> продукт, ее придется сделать выше среднего, иначе продукт просто не будет
> иметь смысла.поэтому — по такой логике — ты никогда не будешь использовать велосипед: ведь он даже до ста км/час не разгонится? ну камон, у каждого инструмента есть область применения, и полировать его имеет смысл только до определённого предела. фоссил как раз и придуман для разработки масштаба от «лично» до «небольшая сплочённая команда единомышленников». и его инструменты заточены как раз на этот уровень.
>> поэтому в твоё понятие разработки софта его документирование, например,
>> если и входит — то где-то внизу списка, как «необходимое зло»,
> Как и у 99% прогеров.и это в основном потому, что удобных инструментов нет. я вот ненавидел писать юниттесты, пока не начал использовать дишечку, где это удобно оформляется `unittest`-кодоблоками, например. и документацию к функциям ненавидел писать, потому что доксиген придумали безмозглые макаки — пока в дишечке не обнаружил ddoc. который тоже не сахар, но на порядок лучше. а если удобного инструмента нет — то логично, что человек не хочет лишнего геморроя. а когда я перешёл на фоссил — оказалось, что и для сопровождения проекта есть нормальные интструменты. и я сразу полюбил атомную бомбу.
> И таки да, я считаю что многим
> вещам хватит текстового кодер-ориентированого описальника с неочевидными вещами + коментированого
> кода.что забавно: фоссил отлично умеет рендерить маркдаун-документы из дерева исходников. это там называется embedded docs.
> А что-то сверх того имеет смысл сильно местами. И уж
> тем более я не хочу разучивать кастомный недосинтаксис недовики.не учи. используй маркдаун — я в основном так и делаю. хотя у фоссил-вики особо синтаксиса-то и нет: возможность упрощённо делать ссылки, пара вдохновлённых маркдауном фич, и остальное — сабсет html.
>> и «ну, доксигеном как-нибудь, все так делают».
> Типа того. Я реально не хочу писать вику, особенно самопальную, для мелкого
> проектика.потому что — повторюсь — у тебя нет для этого удобных инструментов.
> Который вообще возможно в утиль пойдет как неудачный эксперимент. Я
> ж не бог, заранее не знаю получится оно стояще или нет.
> Часто надо по факту накодить и посмотреть как оно себе и/или
> окружающим.у тебя просто неправильный подход к документированию: ты рассматриваешь документацию как необходимое зло, которое — возможно — придётся, сцепив зубы, делать «как-нибудь потом». вместо того, чтобы рассматривать её как вид комментариев к коду, и делать непосредственно в процессе. например, быстренько накидать документ с общей архитектурой, добавить поддокументы с идеями по реализации отдельных частей, закинуть в тикеты отдельным разделом далеко-идущие-планы, и так далее. один фиг ты в голове это делаешь — так отчего бы и не оформить сразу в текст, хотя бы конспективно? это как с отступами в коде: сначала кажется, что глупость все эти пробельчики, а потом уже не понимаешь, как раньше без этого обходился. ;-)
>> я, например, очень слабо понимаю, как ты ведёшь разработку без тудушек и
>> списка незакрытых багов.
> Вот так и веду: пишу // FIXME: или // TODO: в сорец.
> Это сильно быстрей чем полноценный баг себе заводить.потому что у тебя нет для этого удобного инструмента. именно это ты только что и сказал.
>> если это не «приветмир» — ты не сможешь все баги чинить сразу,
> Это не мешает жить разметке FIXME в коде. Ну да, для больших
> проектов это уже неудобноэто точно так же неудобно и для маленьких. потому что или ты пишешь в коде сочинения, почему и что именно надо фиксми, или ты потом мучительно вспоминаешь, что же именно ты тут пофиксить собирался. оба варианта плохие. или у тебя есть тикет, где красиво написано, что, где, зачем, как и почему — и оно не мешает читать код. а в коде наблюдается только FIXME с id-ом тикета. который никогда никуда не потеряется, потому что живёт в том же самом репозитории, и от него неотделим.
>> будет немного накапливаться. то же самое с тудушками.
> Накопление багов и тудушек сводится к желанию програмера, имхо. Если прогеру впадлу
> ты хоть тресни и обложись виками и багтреками, толку буй.см. выше про инструменты. к сожалению, подавляющее большинство существующих инструментов — тупо неудобны для *личного* *применения*. поэтому программеры их и избегают. опять же говорю из личного опыта.
>> и ты сейчас будешь мне рассказывать, что «обычные текстовые файлы справляются», да?
> Ну, справляются же. И трекаются обычным гитом.а тикеты трекаются обычным фоссилом. только у меня ещё и нормальный поиск есть, кроссрефы (я могу без лишних усилий посмотреть «окрестности»), статусы, и мне для этого не надо поднимать никаких дополнительных сервисов.
>> так в фоссиле это ещё и удобно версионировано, встроен редактор,
> Мне никакие встроенные редакторы даром не нужны.не хочешь — не используй, редактируй внешним. делов-то.
>> и автоматические кросс-ссылки на *любой* артефакт в репозитории.
> Наверное это круто, но как бы это применял я мне не очевидно.потому что гит в принципе не умеет нормально показывать таймлайны.
> Я не люблю оверинженерию и интеграцию все и вся в одного монстра.
именно поэтому фоссил не пытается делать *всё*. он делает только то, что надо. ;-)
> И могу иметь свое мнение насчет удобства мне тех или иных
> тулсов.да можешь, конечно, разве ж я против? но ты отчего-то хочешь иметь мнение даже не попробовав эти самые тулзы использовать — и вот это мне уже непонятно. тебе не кажется, что это костность мышления: «я не хочу пробовать ничего нового, меня всё устраивает!» ну да, бросаться на каждую новинку смысла нет. но и ничего нового не пробовать — тоже. во-первых, пробовать новое просто интересно. а во-вторых, одна удача обычно поможет в дальнейшем сэкономить достаточно времени, чтобы окупить неудачные пробы.
> Этим системщик от апликушника и отличается
это ты сейчас человека, который больше всего любит писать низкоуровневые штуки и библиотеки, а прикладной софт пишет себе только потому, что его тупо не устраивает существующий, «аппликушником» обозвал?! ;-)
> я хочу свой путь, и чтобы на нем не стояли всякие
> клевые, фичастые, активно мешающиеся на этом пути. Те кто делал юниксвэй
> этот момент очень хорошо понимали...т-с-с-с, наклонись поближе, я тебе сейчас секрет скажу! этот самый юниксвэй в огромной степени родился из того, что более-менее сложный софт тупо не влазил в память техники. ;-)
а ещё я тебе имею сказать, что гит — это нифигасебекомбайн, вообще-то. который зачем-то сделали в виде рассыпухи разных файлов, но всё равно никто никогда не использует их отдельно, все работают через фронтэнд-команду "git". так это… фоссил — то же самое. только рассыпуха собрана в один бинарь.
> Безопаснее, чем отсутствие totp. Почему ты так сопротивляешься активации totp?«граждане, входить без надетого противогаза запрещено! в противогазе безопасней, почему вы так сопротивляетесь?»
намного более интересный вопрос — это почему *ты* так активно подмахиваешь.
А также не забываем каску, мало ли, кирпичи летающие. И перчатки - ковид же. Как, вы все еще ходите без бронежилета? И парашют с собой не взяли? И спасательный жилет? Ну тогда не надо этого лоха спасать, пусть тонет.
О, ещё больше неудобств во имя призрачной и неуловимой безопасности. Больше ущемления, больше неудобства - должны страдать ВСЕ!Но мне всё-таки видится, как эти инициативщики открывают каждую дверь по 2fa, а ещё ходят в туалет тоже по 2-fa, а ещё залезают на своих баб тоже по 2-fa (но тут должно быть 2 бумажки - разрешение врача на каждый акт + ноториальное согласие каждой из сторон, тоже отдельное на каждый акт).
Чтобы эти поборникам мнимой безопасности на любое бытовое действие пришлось иметь дело в 2-fa, и чтобы это нельзя было обойти.
>безопасностибезопасТности
Смысл тут в том, чтобы когда на других сайтах стали пользователя на кукан WebAuthn сажать, он меньше сопротивлялся, ведь под Micro$oft он уже прогнулся, что трепыхаться: один раз - уже прогибас. Чтобы другим сайтам было больше профита у себя WebAuthn так же принудительно внедрить. Чтобы вендоры WebAuthn больше пользователей получили. Угадай, какая компания является одним из вендоров WebAuthn?
Yubico главный производитель ключей. Гугл тоже делает, но он лишь один из многих. А так есть еще Hupersecu, Feitian и прочие. Даже Аладдин делает уже.
Ключ не обязан быть через USB, он может быть встроен в само устройство. И сервер сам решает, чьи ключи принимать, а чьи - отклонять. Например, можно принимать исключительно ключи, выпущенные на своей фабрике. А кому не нравится - пусть утираются, мой сайт, я монополист, что хочу - то и делаю.
Вообще было бы удобно его в пользователя встроить, чтобы реализация 1984 была более эффективной.
Предлагаю начать операцию по дедвухфакторизации гитхаба...
Начинай, разрешаю.
Где вы видели чтобы авторы подобных предложений сами в них участвовали? Нее..
Это Micro$oft так свою WebAuthn через TEE-powered (SGX/Pluton) Windows Hello продвигает.
Верно, Микрософты пропихивают свой "платформенный аутентификатор" на базе TPM, НО серви долже поддерживать так же и roaming аутентификаторы вроде usb свистков.
>НО сервис должен поддерживать
>сервис
>долженТы уверен, что сервис именно тебе должен, а не ты - сервису?
>>НО сервис должен поддерживать
>>сервис
>>должен
> Ты уверен, что сервис именно тебе должен, а не ты - сервису?По спекам сайт\сервер может спрашивать браузер какой там тип аутентификатора (причем браузер не обязан отвечать честно, ФФ может отвечать то что ты ему скажешь отвечать), но блокировать на основании "а я хочу вот это" не должен.
Прости майкрософт но мне больше нравится сервис Windows Goodbye :)
Прощаю)
У меня еще 999999999 баранов осталось
Я почитал что там предлагают.
"2FA via a TOTP mobile app or via SMS"
https://docs.github.com/en/authentication/securing-your-acco...А дальше типа можно аппаратный ключ привязать.
Радует что смс не единственная опция.
Но понятно чья это инициатива: АНБ через МС, как обычно хотят точно знать кто где и когда это был, плюс поддерживают ненужно мобильных операторов.Типа бизапаснасть цепочек поставок нужна корпоратам а с ключами сексоватся теперь обычным пользователям, чей софт и без того на халяву юзают корпораты.
Потом до них доползет что git оказывается распределенный и никто не обязан комитить через гитхаб и только так :). В общем если безопасность цепочек волнует - надо читать комиты, а не...
SMS у них иногда сутками не доходят.
TOTP же есть. Они даже сами не рекомендуют СМС использовать.
У меня сложилось такое впечатление, что здеся обитают люди которые не используют 2fa TOTP и хранят пароли в памяти какого-нибудь прости господи Гугл Хрома.Но при этом очень боятся что ух номера телефонов узнают.
Я представляю что смартфон с Google Authenticator можно потерять и придется восстанавливаться из резервных кодов. Но можно же настроить TOTP в KepassXS, сохранить базу в отдельный файл и хранить его в любом подходящем месте.
Где скачать KepassXS для Nokia 5228?
У меня сложилось такое впечатление, что ты в своих репах на гитхабе хранишь пароли, раз так дергаешься за безопасность акка.
Мир сложнее чем вам кажется :)У меня пароли хранятся в текстовом файле, а генерирую я их через HMAC от моего пароля и логина@домен.
У меня нет проблемы с утерей аппарата, тк там внутри ничего ценного нет, а его копия снятая через rsync лежит на моём домашнем сервере, и при желании она раскатывается на другие аппараты.
Номер телефона не хотят светить по многим причинам, не только потому что это лишает анонимности, но и даёт доступ к трекингу владельца в реальном времени и позволяет связать его аккаунты в очень разных местах.
И вообще уже бесит что требуют наличия номера мобилы.
Не хочу я номер, не хочу чтобы мне звонили, мне инета достаточно.
>У меня пароли хранятся в текстовом файлеВ принципе больше не о чем разговариваь.
>>У меня пароли хранятся в текстовом файле
> В принципе больше не о чем разговариваь.что характерно — ты прав. но вовсе не по тем причинам, по которым тебе это кажется.
Правильно, зачем человеку с мозгом (тебе) разговаривать с цитатником маркетингового булшита корпов (тем анонимом)? Все что он умеет это истошно доказывать что рация - на бронетранспортере!
Менеджер паролей - удобная цель, потому что атакующий всегда точно знает какие они есть и как они работают.
Остаётся только упереть пару файлов и пароль отснифать при вводе.Это отличается от ситуации где надо найти неизвестный файл среди нескольких сотен тысяч других файлов, однако при этом не очень понятно что и где искать, а при неудачном критерии можно получить очень много ненужных файлов и умереть на получении или задолбатся сортировать.
Да ещё и формат записи паролей в том файле не очень машиночитаемый.
Те это требует таргетированной атаки, которая очень плохо скриптуется.Про облачные манагеры паролей я даже начинать не хочу писать :)
храню пароли в обычном текстовом файле. а телефона у меня вообще нет, никакого. ой.
А живешь ты в лесу?
> А живешь ты в лесу?и молюсь колесу, ага.
> А живешь ты в лесу?С другой стороны, ему при пиковой ситуации, в отличие от, свичблейд (или какой там аналоговнет) не бошку не прилетит по геолокации.
Кстати, ядерными ракетами лес тоже никто бомбить не будет. Актуально однако - в случае чего сможет поржать с секурно испарившихся хипстеров и планктош.
Прощай прощай гитхап, пришло твое время умирать, тсссс
Embrace, Extend, --> Вы находитесь здесь <-- Extinguish.
Корпоративные сервисы с их обсессией "безопасностью" (фингерпринтинг и требование смс на живой незасвеченный номер на каждый чих) просто напросто становятся настолько неудобными, что даже при желании их использовать — это сделать не получается.Недавно в YouTube хотел залогиниться, пароль/e-mail правильные, но нет, подавай ему sms. В итоге просто никак, вообще.
Android давно без гуглоакка и с альтернативным стором использую.
В общем, спасибо людям за NewPipe, Nitter, Bibliogram, прокси к гуглоплею. Хоть в них и нет возможности каких-то интеракций, но хотя бы заглянуть в эти корпоративные сады позволяют.
Гигантские, сидящие на миллиардах денег корпорации, а производят такой навоз.
>В общем, спасибо людям за NewPipe, Nitter, Bibliogram, прокси к гуглоплею. Хоть в них и нет возможности каких-то интеракций, но хотя бы заглянуть в эти корпоративные сады позволяютЭто пока они в таком же авторитарном порядке, как M$ сделала, не решат, что все, кто без TEE-DRM-анклава от платформы, утираются. Время бесплатного сыра закончилось, пришло время с лихвой окупать инвестиции. Те, кто пользовались проприетарными платформами нахаляву, думая, что они самые умные и обманули систему, начали понимать, насколько они лоханулись, но уже поздно.
>В общем, спасибо людям за NewPipe, Nitter, Bibliogram, прокси к гуглоплею.Peertube, Mastadon, Matrix я не знаю.
Подсел на крючок корпораций, но не нравится что глубоко насаживают.
Мне вот интересно смотреть ролики про работу чпу-станков. Сколько ты их таких напиртубил, чтоб я мог их там глянуть?
> Мне вот интересно смотреть ролики про работу чпу-станков. Сколько ты их таких
> напиртубил, чтоб я мог их там глянуть?А в чем проблема позырить их на ютубе или даже скачать их оттуда? Для таких вещей как ютуб есть полезные штуки, вебфайрфолы, так даже эта змеюга - белая, пушистая, а произведенный яд уходит на лекарства.
И зачем мне тогда пиртуб? Я и так их на ютубе зырю...
> Гигантские, сидящие на миллиардах денег корпорации, а производят такой навоз.этот навоз, между прочим, потребители массово жрут и нахваливают. так что, это мы тут — не от мира сего какие-то…
> этот навоз, между прочим, потребители массово жрут и нахваливают. так что, это
> мы тут — не от мира сего какие-то…И как, много софта эти потребители разработали, чтобы их вообще учитывать на сайтах для разработчиков софта? :) Но майкрософту невпервой. Факапнуть более 80% юзеров это так по мудасофтовски.
Даёшь деанонимизацию для каждого анонима!
> По статистике GitHub в настоящее время двухфакторной аутентификацией пользуются только 16.5% активных пользователей сервис83.5% заблудившихся в айти.
Скорее, 100% помимо тех, кто имеет на гитхабе зеркало для тех, кто действительно заблудился в айти до состояния "git = github".
Ну вот когда будет хостинг кода уровня GitHub от богаделен вроде FSF, вот тогда git и будет ≠ github. А пока git без github почти бесполезен.
> А пока git без github почти бесполезен.Вот те раз, а я то не в курсе и потому им для локальных проектов пользуюсь даже если они никуда вообще не выложены. А чего, версию отмотать при факапе удобно же.
>потому им для локальных проектов пользуюсьЯ же говорю - бесполезно. Локальные сдохнут вместе с твоим жёстким диском/SSD. Или если тебя автобус собьёт. Такая большая работа - и всё насмарку.
я тебе сейчас сообщу Ломающую Новость: система контроля версий — это не замена архиватору. у неё намного больше применений.когда ты осознаешь этот факт (лет через триста) — приходи, продолжим урок.
Что поделать, мерзкософтовские боты настолько тугие что даже в бэкапы не умеют. Зато это умею я. Ух ты, а так можно было. И да, на вшешний, отключаемый диск. Так что случайно не сотрется и даже не пыхнет при отказе питальника. Впрочем благодаря гиту многие вещи есть на нескольких компах. Логично синхрить разработку на ноуте, десктопе и проч используя VCS, да?! И никакой гитхаб с своими авторизациями для этого не уперся.
> когда ты осознаешь этот факт (лет через триста) — приходи, продолжим урок.Да он и так с AS##### пишет -- думает, что уже умный.
PS: хотя посмотрел подробней -- как будто два разных почерка оттуда.
> Я же говорю - бесполезно. Локальные сдохнут вместе с твоим жёстким диском/SSD.На все что считалось мной минимально ценным у меня бэкапы так то есть.
А наиболее стоящие эксперименты показавшиеся интересными иногда оказываются и у ALL, почему нет. Но далеко не каждая штука того стоит. А некоторые я в принципе наружу не отдам - из соображений минимизации вреда на планете, например. И уж конечно я не буду заглот MS делать, соряныч. Я что, вебмакака перед наглым корпом на цыпочках танцевать?
> Или если тебя автобус собьёт. Такая большая работа - и всё насмарку.
Если меня собьет автобус то и код имплементящий мои хотелки мне уже ни к чему. Problem solved. Сие однако не мешает использовать гит для разгона своей эффективности. Системы контроля версий так то для улучшения эффективности кодинга, а не делания заглота корпам. Это работает и в 2 руки, и в 4, и в N, какая нафиг разница.
зачем ты сюда пришёл? у тебя очередная уязвимость в пакете из npm, беги проект патчить!
> 83.5% заблудившихся в айти.Несколько опечаток в "16.5% предпочли делать глубокий заглот". К айти это отошения не имеет, обычные отношения в стиле master-slave.
Двухфакторка это средство безопасности на уровне среднестатистического пользователя.
Если айтишник пренебрегает элементарными средствами безопасности, то о какой уровне квалификации может идти речь? И это не от крутости а от глупости. Я не удивлюсь что большинство анонимов хранят пароли от всего подряд в аккаунте Гугл Хрома. Некоторые особо "продвинутые" кичатся что хранят на листочке бумаги.
> Двухфакторка это средство безопасности на уровне среднестатистического пользователя.Я вообще не хочу иметь дело с "среднестатистическим пользователем" при занятии програмизмом.
> Если айтишник пренебрегает элементарными средствами безопасности, то о какой
> уровне квалификации может идти речь?Если у меня за 20 лет не хакнули ни 1 аккаунт - я посчитаю ваши ритуалы и мантры бесполезными для меня. А если б и хакнули, раз в 20 лет я все же переживу. И на этом фоне делать мозг вашими ритуалами смысла для меня - ровно ноль. И ваше мнение о моей квалификации для меня не сильно много значит. А вы вообще кто? Какой-то анонимный ламер с опеннета делающий заглот мегакорпу? Ну, для меня было бы лучше всего если бы вы горели в аду на медленном огне. Вместе с менеджерами майкросовта. Это доносило бы до вас мое мнение в понятном вам формате.
> И это не от крутости а от глупости.
Есть уверенность что у тебя IQ выше чем у меня?
> Я не удивлюсь что большинство анонимов хранят пароли от всего подряд
> в аккаунте Гугл Хрома.В этом плане тебя будет ждать нефиговое обломинго. Я чуть иной подход предпочитаю. Да, кстати, даже если сюда кто-то вломится - его будет ждать довольно интересные сюрпризы. Потому что за пару десятков лет я все же разучил некоторые интересные фокусы. И знаючи как атаковать прикинул и как сделать это довольно неудобным.
> Некоторые особо "продвинутые" кичатся что хранят на листочке бумаги.
А таки листочек бумаги хаксор ремотно не сопрет :)
> Если айтишник пренебрегает элементарными средствами безопасности...то обычно становится ещё и "оппозиционером", неся вполне характерную фигню, по моим наблюдениям.
А всё от untrusted user input и исполнения чего попало на собственной подкорке.
Что такое гитхаб? Это как инстаграм, но для фронтендеров. Неудивительно, что и обращаются с фронтендерами как с посетителями инстаграма. А то скачают крякер гитхаба на лайки и уведут у них значимый нодопакет.
Там много далеко не фронтенд проектов :/
>обязательной двухфакторной аутентификации
>обязательнойМикрософтовский зонд всё глубже.
Программистам из заблокированных на гитхабе стран труднее будет обойти блокировку.
К тому же многим просто не нравится сливать свои личные данные, поэтому они свалят.
Это мощный удар микрософта по свободному софту. Даже многие дистры линукса, забыв про предупреждения Столлмана, подсели на несвободный гитхаб.
Когда слышу «наш сервис переходит на двухфакторную аутентификацию для обеспечения Вашей безопасности», перевожу на русский «нам нужно точнее понимать, кто на другом конце провода, реклама и заработок — наша цель, и нам плевать что ты об этом думаешь».
Все и всегда начиается с заботы о твоей безопасности.. но это вторая стадия "этожетакудобно".
Двухфакторка не дает дополнительной безопасности, а часто даже снижает ее (если с телефоном).
По гео банят, двухфакторную авторизацию ввели, что дальше? Тест цвета кожи и гендерной принадлежности?
Скан днк, чтение мыслей, высылка одноразового дрона если вы не понравились роботам, ...
В смысле банят по гео? Ты про санкции что ли?
> В смысле банят по гео? Ты про санкции что ли?Выборочный бан репозиториев из РФ.
Вы все не в теме.1. Авторизация при внесении изменений в репозитории должна быть двух факторная:
1.1 логин/пароль
1.2 подписанный цифровой подписью авторизованного по логину/паролю пользователя патч.2. И все релизы тоже должны быть подписаны цифровыми, PGP подписями разработчиков.
3. Вот если M$ чуть бабла отстегнет и договорится с https://nitrokey.com о БЕСПЛАТНОЙ раздачи аппаратных хранилищ ключей всем разрабам свободного софта - будет просто отлично.
https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...
https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-...
https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f...
(мечтательно) как только построят хоть как-то нормально функционирующий межпланетный корабль — залезу хоть тушкой, хоть чучелом, и подальше от этой планеты. тут уже нечего и некого спасать.
Я тоже хочу на луну.
> тут уже нечего и некого спасать.Да есть кого и Кому.
> 1. Авторизация при внесении изменений в репозитории должна быть двух факторная:В распределенной системе то? Ну удачи. А что они будут делать с мержами которые вон тот дев на своей машине сделал и потом пушнул? :)
> 1.1 логин/пароль
> 1.2 подписанный цифровой подписью авторизованного по логину/паролю пользователя патч.И таки даже это все ничего особо не гарантирует.
> 2. И все релизы тоже должны быть подписаны цифровыми, PGP подписями разработчиков.
И еще надо минет топу майкрософта сделать видимо, за право релизиться на их мегасервисе. Опять тут какие-то евнухи-евангелисты мерзкософта их маркетинговый булшит продвигают. Вам было мало профаканого кодплекса, решили повторить успех? Вы на верном пути - останется у вас полтора корпа и кучка ms-ботов с домашкой - и хватит с вас. Остальным домашку по информатике лить туда станет слишком канительно, а более мощные фигуры в гитхабе вообще не нуждаются, они понимают что гит распределенный.
> 3. Вот если M$ чуть бабла отстегнет и договорится с https://nitrokey.com о
> БЕСПЛАТНОЙ раздачи аппаратных хранилищ ключей всем разрабам свободного софта - будет
> просто отлично.Тю, предлагается еще какому-то корпу заглот делать? Э не, мы так то гитом пользуемся как раз потому что он РАСПРЕДЕЛЕННЫЙ и можно им пользоваться никаких мудакорпов вообще не спрашивая.
Тот кто делает комит в основную ветку репозитория должен его подписать PGP ключом. Git репозитории и github.com поддерживают подписи комитов PGP ключом. Пуш реквесты, клиенты, переписка - подписываются по желанию. Архивы релизов, для скачивания, подписывать PGP ключом,- обязательно!Здесь о аппаратных хранилищах приватный ключей: https://www.linux.org.ru/forum/security/16488016
Сегодня выбор стоит между: немецким производителем железа и китайским. Прошивки, свободные, прошедшие аудит есть.
3. Покупать китайский noname, компилять и заливать прошивку самому.
4. Кто еще знает каких производителей открытых аппаратных хранилищах приватных ключей со свободными прошивками?
> раздачи аппаратных хранилищ ключей
> будет просто отличноЭксперты по безопасТности.
Ключи должны быть свои, а не чужие.
Также подумайте чьими ключами обмениваются на первом этапе TOPT. На деле - это не безопасность, а раздача уникальных идентификаторов.
> Ключи должны быть свои, а не чужие.Ме-е-е-е-естным ыкспертам по безопасности:
1. Аппаратные хранилища приватных ключей, это девайс, в котором хранится, созданный тобой лично, приватные ключи.
2. Аппаратные хранилища ключей необходимы, для усложнения воровства приватных ключей с OS.
3. Пример как защитить Linux от воровства приватных ключей: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...
4. Приватный ключ это и есть уникальный идентификатор. Такова сама цель подписи комитов и релиза - привязка к уникальному, неподдельному, идентификатору разработчика.
а вот это — выше — яркий пример хипстора, друзья. основной контингент всякого змеиного масла: такому можно что угодно скормить — схавают, и будут просить ещё.
Аргументируй:Чем открытые аппаратные хранилища приватных ключей с прошедшими аудит свободными прошивками плохи?
хипсторы не в курсе, что доказывать надо необходимость введения новой сущности. ничего удивительного.
1. https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...2. Закинуть кейлогер для воровства пароля и взять ключи с ~/.gnupg
Аппаратные хранилища ключей на аппаратном уровне изолируют приватные ключи от операционной системы. Ключ и все операции шифрования/расшифровки проводятся внутри хранилища ключей. Есть доказательства невозможности извлечения ключа с хранилища. Есть независимые аудиты.
то есть, разницы между «как работает» и «зачем надо» ты не понимаешь. неудивительно.а ещё у меня для тебя есть очень-очень плохие новости: если тебе надо защищаться от своей собственной ОС, то никакие «аппаратные хранилища ключей» тебе уже не помогут.
Хотябы приваьный ключ не украдут и чего плохого от моего имени не подпишут.А ОС можно переустановить, или сменить..
то есть, ты вообще не понял, о чём я. что опять-таки совершенно не удивительно.
Аппаратное хранилище приватных ключей защищает только ключи. Данные в OS и саму ОС, в общем случае, не защищает.Не зависимо от защиты OS стоит использовать аппаратные хранилища ключей. И не зависимо от использования аппаратных хранилищ ключей необходимо применять меры по защите OS.
слушай, а у тебя вообще рабочий мозг есть? вопрос риторический.
Какихто признаков сознания у тебя не увидел.
Но понял, что PGP, деятельности твоих хозяев мешает.
> Какихто признаков сознания у тебя не увидел.я понимаю, тебе тяжело быть инфузорией: слишком интеллектуальная работа. но хвалю, что стараешься.
Туфелькой здесь есть ты.
Ме-е-е-е-естные бызопасники требовали доказательств необходимости systemd, dbus, polkit+JS, JIT, ..., прочей гадости?Здесь на русском:
https://habr.com/ru/post/487748/
https://habr.com/ru/post/496946/
https://3-info.ru/post/12877
> Здесь на русском:про твой уровень технического понимания всё ясно.
Читая твои вопросы подумал что у тебя проблема с английским и специально выгуглил ссылки на русском.Смотря с каким рвением ты боролся против внедрения цифровых подписей комитов и релизов пакетов, можно предположить, что ты самый злобный вирусописатель и вредитель репозиториев свободного софта.
ясно. читать ты тоже не умеешь. ну, бывает — сейчас кодомакакам это умение не нужно всё равно.
Технические аргументы закончились?Ты бекдоришь репы? Воруешь ключи и подписывает протрояненый софт?
зачем тебе какие-либо аргументы, если ты в принципе не способен читать текст, и разговариваешь вместо этого с «радио 'марс'»? не пропускай приём таблеточек, однако!
Ты не интересен в общении. Не отработал должное против подписи PGP коммитов в репозитариях и релизов пакетов. Надо бы твоим работодателям нанять троля поумнее. Но видать уже негде.
ты всё-таки не принял таблеточки. ну, дело твоё.
А твои хозяйва тебя с калес не спускают?
> калесмда. кажется, я поторопился: ты ещё не дорос до инфузории.
Да тебя, туфелька, хозяйва натягивают по полной программе, рез здесь так против OpenPGP выступаешь.
ради интереса, лживая рекламная инфузория: давай процитируй хотя бы одно моё сообщение, где я выступал против этого.
Зеленая туфелька писала:https://www.opennet.me/openforum/vsluhforumID3/127426.html#283
Ты выступала против открытых аппаратных хранилищ ключей со свободными прошивками, прошедшими аудит.
молодец, инфузория, ты научился в поиск. но на мой вопрос ты так и не ответил. твоё утверждение: я выступаю против цифровых подписей. приводи цитату, где я это делаю. то, что ты путаешь цифровые подписи и змеиное масло — это твои личные проблемы. доказать нужность змеиного масла ты не удосужился, цитату, где я выступаю против цифровых подписей, не привёл. пока что у тебя даблфэйл.
У тебя логика отсутствует.https://www.opennet.me/openforum/vsluhforumID3/127426.html#287
Без аппаратных хранилищ ключей использования подписей PGP будет дискридитировано. Их будут воровать и подписывать вирусы.
Скажу больше, использование цифровых подписей сегодня итак дискридитировано. Пробной подписи организаций Тайваня верить нельзя:
ASUS
JMicron
Realtek
подписывают вирусные биосы, прошивки и драйвера!!!
однако ты мощного уровня дурак: не понимаешь в предметной области не просто ничего, а *абсолютно* ничего.
Туфелька зеленая свой уровень знаний предметной области здесь показала.Альтернатива аппаратным хранилищем ключей? ОС без дыр? Флешка? ...?
> Туфелька зеленая свой уровень знаний предметной области здесь показала.Слушай, отвали уже от Кэпа с этой лабудой? Он делом доказал что не одноклеточное. Он наверное в отличие от тебя даже в курсе азов информационной безопасности, алгоритмов и способен реалистично оценивать риски и действия, а не только цитировать маркетинговый булшит, с аргуметом "с открытой прошивкой!!!111". А вот твой мыслительный процесс не видно. Его нет. Цитирование маркетингового булшита без способности аргументировать свою точку зрения это фэйл.
> Альтернатива аппаратным хранилищем ключей? ОС без дыр? Флешка? ...?
Слышь, тормоз, если у тебя систему хакнули так что аппаратное хранилише возымело смысл - знаешь что хакер сделает? Как показал пример комодохакера - если сильно надо можно и крутое аппаратное хранилище оболванить, это раз. Два - можно просто поменять тебе сорец немного. Почем ты знаешь, сам ты его так или не сам? При этом хранилище можно и не хакать, ты сам же и подпишешь все как надо.
...а если такого доступа в систему не было, от чего защищаемся? От сферической хни в вакууме? Модель угроз какая? И почему это вообще работает и что улучшается? Так то если кто сп...ть ключи может - то и сорц поправить сможет пожалуй. А то что я буду git diff дотошно читать от и до до комита как бы 50/50, да и есть всякие BadSource поразвлечься на этот счет.
> Модель угроз какая?ты же его без ножа режешь этим вопросом!
> ты же его без ножа режешь этим вопросом!Что поделать, я умею вызывать hardfault. Частично связано с тем как я работаю: пытаюсь понять мыслительный процесс, какие данные на вход, как их обработали, почему получилось именно так. Но в данном случае процесс принятия решений не отслеживается. Только цитаты маркетинга. Хиловато так то для расклейки лэйблов про амеб :)
Добавлю еще, что отрицательно отношусь к хранению личных ключей в TPM. Для ключей Integrity TPM годно. И то в рабочем режиме в TPM должны быть только публичные ключи Integrity. Секретные ключи Integrity при работе должны быть только офлайн. Хочу личные, приватные ключи, иметь по большей части времени офлайн, а TPM с проприетарный фирмварью постоянно доступно онлайн для взлома.Прятать, на время, ключ в регистры CPU. Его от туда достать можно. И при застывании в регистры CPU все равно в ОС будет ключ и пароль к нему.
Альтернативы аппаратным хранилищем ключей пока не вижу. Как увижу скажу;)
> уникальный идентификаторКем/чем сгенерированный? Тобой, твоим (доверенным) железом?
gnupg
При чём тут gnupg?
Предлагается "раздача аппаратных хранилищ ключей" от третьего лица.
От какого третьего?https://www.opennet.me/openforum/vsluhforumID3/127426.html#213
По ссылкам там видно условия сделки, аппаратные ключи не раздают третьи лица. Они только принимают участие в сделке с нирокей. А хранилища ключец конечные пользователи получают напрямую от нитрокея бесплатно, по запросу.
Билу Гейцу не надо раздавать ключи, надо только с нитрокеем заключить сделку, объяснить что это благотворительная акция, бесплатной раздачи аппаратных хранилищ ключей разработчикам бесплатного, свободного ПО с github.com Нитрокей тогда даст их почти за даром. Верификация пользователей была по домену почты.
gnupg можно генерить ключи, которые потом заливать в аппаратное хранилище. Иначе у тебя не будет бекапа приватного ключа. Если ключ создастся аппаратным хранилищем ты его для бекапа уже не выковыряешь.
> gnupg можно генерить ключиЭто не ты говорил, что кейген ворует приватные ключи gnupg?
> Если ключ создастся аппаратным хранилищем ты его для бекапа уже не выковыряешь.
Ты уж определись: аппаратное хранилище или бекап.
Ты какой-то генератор противоречий.
Противоречий нет. Дело в организации работы с ключами:Ключи создают на чистом компе, без подключения к инету.
Созданные ключи добавляют в аппаратное хранилище ключей и создают их бекап.
При необходимости операций с ключами, на компе с инетом, к нему, на время, подключают аппаратное хранилище ключей.
Дело хозяйское, можно ключи генерить в аппаратном хранилище и жить без их бекапа.
> При чём тут gnupg?при том, что оно не понимает разницы. вон выше тоже: «нихочешь чужая жилезка? фсё, ты протиф подписеф, гав!» это явно пиарщик-продажник, очень уж усердно пытается впарить, и отказывается объяснять, зачем оно надо. спрашиваешь: «а зачем?» — оно вон выше отвечает рекламными текстами: «этахарашо!» мозга ноль, только алгоритм, который на курсах молодого впаривателя дали.
А ты против PGP подписей? Подменяешь пакеты? Портишь репы? Воруешь приватные ключи?И кого я по твоему рекламирую: ГНУкей, нитрокей, солокей?
К стати: ГНУкей == нитрокей старт.
Да, можно сказать что я пропагандирую использование для аппаратных хранилищ ключей открытое железо с свободными прошивками прошедшими аудит.
> И кого я по твоему рекламируюневажно, ты всё равно отлично справляешься. всегда приятно смотреть на безмозглого за работой, это так умиляет.
> неважноНет, именно это как раз важно:
"пропагандирую использование для аппаратных хранилищ ключей открытое железо со свободными прошивками прошедшими аудит."
но такой как ты зеленой туфельке этого не понять:
> ты всё равно отлично справляешься
А ты нет. Полный провал антипиара использовать зования OpenPGP для подписи реп и релизов пакетов. Хозяйка за такой провал могут зарплату урезать или вообще погнать.
рекламный бот всё ещё не в курсе, что железки, которые он пытается впарить, никакого отношения к цифровым подписям не имеют. впрочем, полезность у рекламного бота таки есть: от тех, кто повёлся, надо держаться как можно дальше.
Для GNUk подходят следующие железки:FST-01 (Flying Stone Tiny ZERO-ONE)
Olimex STM32-H103
STM32 part of STM8S Discovery Kit
STBee
STlink V2 compatibles
Nitrokey Start
Если на них зальть прошивку GNUk, то получите хранилище ключей.
А проприетарными, закрытыми железками с закрытой фирмварью, специально сделано под ключи, пользоваться не рекомендую.
> А проприетарными, закрытыми железками с закрытой фирмварью, специально сделано под ключи,
> пользоваться не рекомендую.что, серьёзно, да? окей, где скачать схемы и инструкции по воспроизведению железа, которое ты рекламируешь? ведь оно же не проприетарное, правда? и всё это доступно. не так ли? или ты просто лживый рекламный бот, который бегает и впаривает очередную проприетарь?
> что, серьёзно, да? окей, где скачать схемы и инструкции по воспроизведению железа,
> которое ты рекламируешь? ведь оно же не проприетарное, правда? и всё
> это доступно. не так ли? или ты просто лживый рекламный бот,
> который бегает и впаривает очередную проприетарь?В специализироманном железе вероятность наличия бекдора для извлечения ключа очень высока. В generic железе такой бекдор производитель железа не мог предусмотреть, т.к. не знал заранее как железо будет применяться.
то есть, нигде не скачать, от ответа ты увиливаешь. что и требовалось доказать: ты рекламный бот, впаривающий проприетарь под видом «открытого».
Зеленая туфля, выше пост не я писал, но с выводами согласен. В специализированном массовом железа для хранения ключей есть бекдоры по их извлечению. Так всегда было, так есть и так всегда будет: https://m.fishki.net/3233388-chtoby-chitaty-sekrety-120-stra...> то есть, нигде не скачать, от ответа ты увиливаешь.
Качай наздоровья, может в гараже производство откроешь:
This is Nitrokey-PRO PCB design for KiCAD: https://github.com/Nitrokey/nitrokey-pro-hardware
окей, что-то есть. оценить, насколько это полное и воспроизводимое, я не могу, так что будем считать, что оно открытое. всё ещё бесполезное змеиное масло, но приношу извинения: рекламный бот впаривает как минимум одно открытое устройство.
На, туфля зеленая, держы вторую:Our keys share open source hardware and firmware, because we believe that security should be more open. Our keys are verified, trustworthy and hide no secrets.
https://github.com/solokeys/solo2-hw
This repo contains the schematic and layout for Solo v2. Specifically, it contains the Kicad source files for the "module" PCB which contains all of the relevant circuitry.
> насколько это полное и воспроизводимое
Кажись оно достаточно, для воспроизводства в гараже клонов.
Другой вопрос, проверить отсутствие бекдора в готовой купленной плате?!! Плата не прошивка, которую можно у себя переводить и сверить хеши, сделать diff -a
FIX: Плата не прошивка, которую можно у себя скомпилить и сверить хеши, сделать diff -a
> FIX: Плата не прошивка, которую можно у себя скомпилить и сверить хеши,
> сделать diff -aВообще отсканить топологию и прочекать решаемо. Да и открытые тулсы типа KiCad есть, если что. Ну и в топологию платы бэкдор не очень просто сунуть, что вы такого с STM32 собираетесь сделать чтобы это еще и прокатило? Я даже могу придумать пару странных вещей но это будет криво и паливно, если кто заморочился железкой, он имхо быстро заметит что его наели.
> отсканить топологию и прочекать решаемо.Прочекай: https://solokeys.com/collections/all/products/somu-tiny-secu...
> Да и открытые тулсы типа KiCad есть, если что.
Как они помогут в верификации железа? Тема интересует, пока не разбирался, ссылки приветствуются.
> что вы такого с STM32
Все что угодно можно засунуть, при желании.
https://solokeys.com/pages/faqCan I use Solo for GPG?
Not yet, but we are actively working on an update to support this.Так что пока с открытого, с поддержкой OpenPGP есть GNUk и nitrokey.
> В специализироманном железе вероятность наличия бекдора для извлечения ключа очень высока.
> В generic железе такой бекдор производитель железа не мог предусмотреть, т.к.
> не знал заранее как железо будет применяться.Оно как бы да, но и STM32 таки досталось малость на орехи. По части безопасности, ага. Правда в HSM модуле это все может и не быть огромной проблемой.
Тем не менее, требование отдельной железки, на довольно мощном и не массовом MCU который не сказать что дешевый - так то ну вот не массовое развлечение. Самому спаять такое дорого и канительно а лизать зад корпу веря что то что они отгрузят именно то что обещали - ну тоже так себе. И вот уже решая одни проблемы - сделали десять новых проблем. Лучше ли оно чем старые - да хз.
Алсо криптоалгоритмы так то тоже со своими граблями. Более-менее доверять можно симметричному крипто, и то не всему и не всегда. Но мы же не про него. А остальное крипто так то вилами по воде писано, особенно при перспективе квантовых компьютеров.
Всякий хлам типа RSA здоровый, тяжелый, с неочевидным местом для лажи, а квантовые компьютеры его еще и поимеют к тому же, если это работает. И в целом соотношение долботни и затрат к результату - а оно точно того стоит?
Для шитхаба мне будет проще их просто не использовать с их требованиями. А, да, так мой аккаунт уж точно не взломают, кстати. И от кривозадости мс индусов это не зависит, эти так то исторически вулнов лепили дай боже. И никакой модуль от этого не спасет.
> А проприетарными, закрытыми железками с закрытой фирмварью, специально сделано под ключи,
> пользоваться не рекомендую.Разумная рекомендация. Есть, конечно, нюанс - generic железо скорее всего очень легко взломать при наличии физического доступа к нему.
А в специализированном наверняка сидят бекдоры для удаленного извлечения ключей товмайороми, и врятли только нашими...Google с другими пилят проект titan где будет типа эмулятор для верификатора создающий видимость аппаратной безбекдорности.
В этом деле каждая страна должна производить свое аппаратное хранилище ключей. Тогда только свой товмайор будет ключи воровать.
> Разумная рекомендация. Есть, конечно, нюанс - generic железо скорее всего очень легко
> взломать при наличии физического доступа к нему.Да, но при физическом доступе можно и код допечатать малость, не? Или предлагается прогера в камеру одиночку запереть для эффективного контроля? :)
> при физическом доступе можно и код допечатать малость, не?Есть такое понятие как воспроизводимость сборки:
Качаешь исходники, проверяешь их подписи, компилишь прошивку.
Дампиш прошивку с устройства и сверяешь результат с собраний из исходных текстов.
Для аппаратных хранилищ ключей эта операция в принципе обязательна.
https://wiki.debian.org/GNUK
Может кто не понял какова конечная цель.Пользователь должен иметь возможность проверить аутентичность и целостность скачанного ПО. Что он скачал именно то ПО которое написал разработчик, гарантировать отсутствие сторонних закладок.
Пример подписи релиза пакета:
https://github.com/Nitrokey/nitrokey-app/releases
https://github.com/Nitrokey/nitrokey-app/releases/download/v...
https://github.com/Nitrokey/nitrokey-app/releases/download/v...Проверка аутентичности и целостности скачанного пакета:
gnupg --verify nitrokey-app-v1.4.2.tar.gz.sig nitrokey-app-v1.4.2.tar.gz
да, я не понял. не понял, зачем ты сюда пришёл, рекламный бот.
Держи троля.
Он еще и вирусню в репах наверняка распространяет.
> Держи троля.
> Он еще и вирусню в репах наверняка распространяет.что, бедняша, опять скачал из npm фигню, и теперь у тебя зарплаты не будет? а мама тебе не зря говорила, что твоё призвание — дворник.
Я не ты, никакого овна с npm не использую.
> Я не ты, никакого овна с npm не использую.ниасил? понимаю, сложно, многа букав. ну ничего, лет через сорок научишься запускать.
Обхожу овно стороной. А ты и через 40лет будешь в нем дальше ковыряться сидя на сыстемдЫ.
> Обхожу овно стороной.как ты можешь обходить стороной то, в чём живёшь и чем питаешься? всё-таки не пропускай приём таблеточек.
В npm не живу и им не питаюсь, а ты, туфля зеленая, не бери овно больше в рот.
> В npm не живу и им не питаюсьэто потому что у тебя мозга даже на асиливание npm не хватает. это ты тут успешно продемонстрировал много раз.
У меня мозга хватает не прикасаться к этому овну и тебе советую выплюнуть это и больше в рот его не брать.Технические аргументы у зеленой туфли закончились?