Хм. Подозрительно мало стоят новые iPhone сейчас на Авито, в первые часы продаж.

Максимальную модель можно купить всего за 190-200 тысяч, это всего ~65 тысяч рублей наценки.

Раньше такие цены устанавливались лишь спустя несколько дней после старта. В первые часы обычно стоит рассчитывать на ~400 тысяч рублей.

Сразу можно понять, что светские круги модель не очень оценили. 7 понтов из 10.

😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎😎

Выдала мне моя дорогая В. свой ноут, пока мой в ремонте.

Пытаюсь клонировать git'ом проект в терминале, но git'a нет. macOS тут же радостно выплёвывает окошко "Хей, расслабься, нажми сюда и я тебе полный набор разработческих утилит поставлю".

Установила Android Studio, открыла проект.

Не обнаружен Android SDK 24, но вы не переживайте, нажмите сюда, мы всё поставим.
Не обнаружен Build Tools 27, но вы не переживайте, нажмите сюда, мы всё поставим.
Не обнаружен Android NDK, но вы не переживайте, нажмите сюда, мы всё поставим.
NDK-то есть, а CMake не нашёлся! Ну ничего, нажмите сюда, всё будет хорошо.
Ой, библиотека не нашлась, но сейчас я всё за вас выкачаю.

Вспоминаю времена, когда IDE и OS не настраивали за нас окружение, не выкачивали библиотеки, не писали за нас код. Когда интерфейс приложений описывался подходом Code First, потому что редакторов не было.
Сегодня разработчику не остаётся ничего, кроме как думать о логике продукта, всё остальное делается за него автоматически.
Может, это уже не так романтично, может, это балует нас, но, надо признать, жить стало проще.

P.S. vim'ерам привет :>

О, отличная статья на Хабре, как раз раскрывающая подробнее то, что я писала в старом посте. Весь секрет, конечно, в человеческом факторе, от которого до сих пор зависит безопасность большинства информационных систем.

Когда прочитаете, посмотрите здесь закреплённое сообщение и карту себе оформите, иначе я обижусь!

https://habr.com/post/423947/

Давно пользуюсь CleanMyMac, а в последней версии появилась вот такая суперфункция. Интересно, что она вообще делает? В следующей версии добавят снижение уровня радиации, излучаемой дисплеем?..

АЛО, ЭПОЛ, ЭТО РЕЛИЗ!!! Что с фоном в программе Сообщения?! Посмотрите на этот текст справа.

Никогда не травилась шаурмой в Москве.
Второй раз подряд травлюсь шавермой в Санкт-Петербурге.

Ой, это не твиттер?

Только ко мне вернулся любимый ноутбук из ремонта, как я умудрилась сломать зарядный кабель от него. Что ж, придётся новый покупать.

Видите, какая у меня кошка счастливая и жизнерадостная? Это потому что она посмотрела в закреплённый пост на моём канале и сделала, что там сказано. Повторяйте за ней и будете такие же счастливые 😎

Огромное спасибо, Озон, за перенос сроков доставки заказа в пункт выдачи (казалось бы, логистика такого рода должна быть отлажена вплоть до минут?)😜😜👍👍

Двойное спасибо за то, что даже не сообщили об этом, позвонила и узнала сама 👍👍😜😜

CloudFlare делает очень большой шаг в борьбе за свободный интернет: они анонсировали SNI Encryption. Использование TLS 1.3 и SNI Encryption делает DPI (их используют для ограничения доступа к заблокированным сайтам) бесполезными.

Подробное объяснение тут: https://blog.cloudflare.com/esni/

Когда SNI Encryption и TLS 1.3 станут стандартом и будут широко поддерживаться, российская система блокировок перестанет работать. Останутся всего два варианта — блокировать по IP, как сейчас делают небольшие провайдеры, и навязывать клиентам использование провайдерского DNS.

Но ведь DNS всегда можно сменить 1.1.1.1 или 8.8.8.8 (блокировать протокол они вроде как не собираются, да и страшно представить, сколько всего поломается, если они попробуют). А менять IP-адереса сейчас не составляет никакого труда (Telegram всё ещё работает, да?), да и IPv6 потихоньку развивается.

Это прекрасная новость!

Всегда боялась, что SNI Encryption очень нескоро увидит свет, что он лишь в стадии обсуждения спецификаций и всего такого, поэтому сейчас приятно удивлена, что первая масштабная реализация уже близко.

Попросили рассказать об SNI подробнее.

Все ведь понимают, что на одном веб-сервере с одним IP-адресом может размещаться любое количество сайтов?
Эта возможность называется "виртуальные хосты" и существует благодаря заголовку Host в HTTP-запросах. Сервер понимает по этому заголовку, какой контент нужно отдать браузеру.

О хитрости с заголовком Host при использовании https, которая называется domain fronting, я уже писала (t.me/theyforcedme/51) в статье про магию Telegram. Сейчас не об этом.

Дело в том, что когда вы обращаетесь к сайту по https, все запросы, включая заголовки, заворачиваются в протокол TLS и шифруются. Проверка подлинности при этом осуществляется с помощью сертификатов SSL, которые привязываются к доменным именам. После рукопожатия и установления шифрованного соединения, третьи стороны не могут понять, что именно вы передаёте и получаете в запросах. Секурити!

Как же быть, если на одном сервере несколько виртуальных хостов? Например, веб-сервер имеет адрес 185.88.181.6, а на нём крутятся сайты vk.com, 2ch.hk, fsb.ru, каждый из которых работает по https. Так как сертификаты привязываются к доменам, у каждого сайта будет свой, поэтому сервер должен как-то понять, какой сайт хочет пользователь.

Заголовок Host здесь не подходит, его сервер получит только после рукопожатия и установления зашифрованного соединения. Значит нужно сообщить серверу о нужном нам домене прямо в процессе рукопожатия. Для этого и был придуман апгрейд протокола TLS, называющийся Server Name Indication, SNI.

Проще говоря, ваш браузер, стучась на сервер, сразу говорит ему, что хочет получить сертификат для домена, например, 2ch.hk, передавая доменное имя в поле SNI.

Беда здесь в том, что происходит это в открытом виде, шифрование ведь ещё не установилось. А значит, операторы связи могут с помощью DPI перехватить это поле и выяснить, куда стучится пользователь, несмотря на то, что он планирует использовать защищённый канал. И если, например, государство считает сайт запрещённым, оператор может оборвать соединение.

Таким образом, операторы и прочие третьи лица могут:
а) получать информацию о том, на какие https-сайты ходит пользователь, несмотря на то, что получить содержимое запросов они не могут
б) блокировать соединения с конкретными доменами. Например, 2ch.hk можно заблокировать, а vk.com и fsb.ru останутся доступны.

Дальше напишу про SNI Encryption, который призван решить эту проблему.

Нужно ли так подробно разъяснять принципы работы технологий?
anonymous poll

Да, для меня это новая и интересная информация – 591
👍👍👍👍👍👍👍 94%

Нет, я и так отлично разбираюсь в базовых принципах работы сети – 40
▫️ 6%

👥 631 people voted so far.

ESNI, он же Encrypted SNI, он же — решение вышеописанной проблемы. Или вовсе не решение?..

В августе в RFC 8446 был описан TLS версии 1.3, в котором появилось шифрование поля server_name, где передаётся доменное имя.

Теперь браузер при рукопожатии не будет посылать доменное имя в открытом виде, оно будет зашифровано и доступно только веб-серверу.
Это означает, что третьи лица, включая операторов связи, не смогут:
а) получать информацию о https-сайтах, которые посещает пользователь. Всё, что у них останется — IP-адрес.
б) блокировать https-сайты по конкретным доменам. Блокировать смогут только весь сервер по IP-адресу, но на одном сервере вместе с неугодным регулятору сайтом могут располагаться десятки "добрых" сайтов. У Cloudflare, кстати, на одном IP-адресе могут располагаться тысячи сайтов. Мало кто пойдёт на такие потери ради блокировки одного "вредителя". Насколько я знаю, некоторые IP-адреса Cloudflare всё-таки полностью заблокированы в России, но у Роскомнадзора смелости не занимать.

Звучит всё круто, но как же работает это шифрование? Как сервер сможет расшифровать server_name? Обмен ключами.
Браузер и сервер обмениваются ключами и формирует секретную строку, которой браузер шифрует server_name, а сервер расшифровывает.
В этом есть неприятная загвоздка, сейчас вы все расстроитесь.

Дело в том, что браузер получает публичный ключ сервера из TXT-поля домена. А это DNS. А все DNS-запросы у нас ныне отправляются открытым текстом... Почему надо расстроиться? Потому что злой оператор связи может перехватить DNS-запрос браузера, предназначенный для получения публичного ключа, и подменить ответ на пустоту, например.
Браузер не получит публичный ключ и не сможет зашифровать server_name, произойдёт откат до старой версии TLS и server_name будет отправлен в открытом виде. ESNI полностью ломается и мы возвращаемся к проблеме из прошлого поста.

Чтобы решить и эту проблему, нужно переходить на шифрованные DNS-запросы, например, с помощью DNSSEC или DNS, завёрнутого в TLS (там уже могут возникнуть свои проблемы). Поддержка этих штук вряд ли предвидится в ближайшее время, так что ESNI будет сломан Роскомнадзором и прочими регуляторами сразу же, когда начнёт широко применяться.

Ох, я ещё не сказала, что для работы ESNI нужна поддержка на уровне браузеров и веб-серверов, а единственный браузер, который вот-вот выкатит ESNI — Mozilla Firefox.

В общем, порадовались немного и хватит. Полностью обезопасить веб-трафик от вмешательства лишних глаз мы сможем ещё не скоро.

Спасибо Павлу Жовнеру за подсказку о проблеме с зависимостью ESNI от DNS. <3

Ух, пографоманила, теперь можно снова два месяца молчать, изредка постить мемы и просьбы регнуть Рокетбанк по моей ссылке.

Кстааати, посмотрите в закреплённый пост! Зачем дарить девушкам цветы, если можно пользоваться их рефералкой? Я буду рада.