Всеобщее стремление заиметь свой IT-бизнес напоминает повесть «Республика ШКИД», где в одной школе издавалось одновременно 60 газет. Читать уже времени не было.
Иметь свои карманные проекты, вести исследования, самообразовываться — очень хорошо, но давайте это называть своими именами. Или ты специалист, или ты предприниматель. Быть хорошим специалистом — очень почётно.
Это всё понятно.
Просто, когда твое мнение в меньшинстве, начинать пафосный скулёж про стадо и приспособленчество — беспроигрышный вариант.
Фоменковцы, ферматисты-любители, нетрадиционные лекари и пафосные эмо-подростки это давно усвоили :)
В «Разрушителях легенд» был эпизод про биометрическую систему с отпечатками пальцев, самую разрекламированную. (См. mythbusters fingerprint в Гугле).
Сперва они тренировались «на кошках»: следали свой сканер и пытались его обмануть. Получилось с какого-то раза, изготовив копию пальца из баллистического геля или чего-то в этом роде. Потом попробовали на этой супер-системе, тоже получилось. Когда стали искать нижнюю границу, выяснилось, что сработает и бумажка с ксероксом отпечатка.
Если забыть про стандартный грамматический подход, то интересный алгоритм разбора выражений с прописывал Грис в книге про компиляторы.
Заводятся два стека, на одном операции, на другом выражения. В определённый момент разбора с обоих стеков снимаются вершины, комбинируются и перекладываются на второй.
Почему просто не:
1) Выбрать проект, которому хочешь помочь (из тех, что сам используешь или собираешься)
2) Написать письмо в конфу разработчиков с предложением помощи
Тебе и определят, чем важнее заниматься.
Ну, в кратце — всё правда, и про детекторы лжи, и про тренинги командного духа каждое утро, и про штрафы и про физические наезды, и про использование компромата. Гиблое место.
> Кстати, человек, написавший статью о том как его увольняли, состоит на учете в псих диспансере (хотя по тексту это становится очевидным), так что это тоже не источник.
Прошу обратить внимание. Сперва Торвальдс называет кого-то "Masturbating Monkey". Вчера он назвал пользователей Digg "Wanking Walruses". Учитывая, что это происходит в контексте придумывания новой схемы именования версий ядра... ясно, к чему клоню?
После того, как введут и проверят пароль, будет сессия передаваться в куках. Заполучить её, конечно, несколько хуже, чем пароль, но тоже сойдёт.
Короче, в технической части мы, вроде, сошлись, а все уступки в безопасности, как Шнайер говорит, субъективны.
А потом тот, кто слушает трафик тупо возьмет куки сеанса и привет. :)
А ещё возможность подмены ключа через MITM (он же ничем не заверен). Можно много чего придумать, наверное, и в результате мы придём к реализации SSL на JS :)
Давайте воспользуемся бритвой Оккама: если есть чего защищать, то SSL. Если нет средств на SSL - нечего защищать.
Посмотрите внимательней: хеш пароля не нужен. Нужен хеш от нонса и пароля, а его без пароля не узнать.
(Но это так, справедливости ради. Идея страдает примерно так же, как и DIGEST, плюс ещё недостатки, упоминаемые самим автором).
Если я правильно понял, то тут предлагается передавать hash(nonce:pass) вместо пароля. Вариация на тему DIGEST, но там чуть иначе.
Мне только не понятно, предполагается ли хранить пароль в базе в открытую?