(no subject)

Внезапно пригодился генератор ругательств шекспировской эпохи, который когда-то доставленный [personal profile] el_d в Удел. Я на него перенаправляю незаконные запросы к API.



За последнее время много работаю с микрософтовым облачком, Azure - весь вокабуляр этого генератора очень хочется приложить к его, облачка, создателям. Там есть много что ругать - и невозможность переименовывать объекты, и скорость внесения изменений (вместе прекрасный эффект выходит: хочешь исправить опечатку - стирай-пересоздавай кучу всего, убей на это часа четыре) - но больше всего бесит сваливание ответственности за функционирование и безопасность платформы на пользователя.

Вот, к примеру, есть у них типа как изолированная среда для запуска веб-приложений, ASE. Заливаешь туда код сайта или вебсервиса, он автоматически размещается на каких-то закадровых виртуалках - и всё это в твоей изолированной сети. Сам регулируй доступ из и в эту сеть, направляй трафик по каким хошь маршрутам, ставь какие хошь фильтры - всё в твоих руках.

Звучит клёво. Да только при первой же попытке это построить натыкаешься на вот такущий список исключений, который ты обязан реализовать - и в раутинге, и в фильтрации - и все они относятся к общению между этим микрософтовским продуктом, ASE, и другими микрософтовскими же сервисами в том же Ажуре, и всё это общение должно почему-то проходить через твою типа частную сеть. Причём список этот максимально недружелюбен - не во всякий файерволл его и вобьёшь. Хочешь просто указать IP-диапазоны? - а хрен тебе. Нет, на тебе стопиццот хостнеймов, причём их один и тот же DNS-сервер будет резолвить в разное время в разный список IP-адресов. Мало тебе? - на ещё и wildcard-хостнеймы, которые файерволлу вообще указать нельзя, тут transparent proxy нужен. И причём отделить трафик собственно ASE от трафика живущих в нём приложений нельзя по определению - всё из того же сабнета.

А не реализуешь по списку - ну пожалуйста, либо у тебя дыра в безопасности будет, либо наш замечательный ASE возьмёт и сломается, сам будешь виноват, дурень.

И то же самое с каждым ихним изобретением - к каждому прилагается список УРЛов, без регулярного общения с которыми оно помрёт, хорошего вам настроения.

Какого чёрта? Почему я должен отвечать за связность микрософтовского продукта с микрософтовскими сервисами в микрософтовском же облаке? Почему нельзя вывести всю эту радость в отдельную сеть, оставив мне мой трафик? Доступ-то физических серверов к Windows Update вы же как-то осилили, не сбрасывая его организацию на клиентскую шею?

Подозрение, что это делается с целью заставить использовать Azure Firewall, не добавляет желания всем этим пользоваться. Файерволл, кстати, хороший, с фичей transparent proxy, частично удолетворяющих моим мечтаниям. Но есть и раздражающий момент: указать ему хостнейм, чтобы он сам его перевёл в IP-адрес или список адресов, нельзя. Фортигейт умеет, а он нет. Точнее, умеет, но лишь для тех протоколов, что поддерживает его proxy - HTTP(S) и MSSQL. А для всех остальных шиш, вбивайте по IP.

Ye roguish sour-faced cutpurses!

Breaking Bad

Отсмотрел сейчас от и до "Breaking Bad", должен признать, интересный опыт.

Раньше я думал, что нельзя выстроить интересный сюжет, если у читателя нет какой-то симпатии или солидаризации с его героями. Впервые на эту мысль натолкнула меня когда-то перумовская книжка "Алмазный меч, деревянный меч". Я честно пытался её осилить, но дело не шло, и посредине я осознал, почему: мне было абсолютно наплевать, кто там победит - маги ли императора, император ли магов. На чём я её и бросил.

Тут же от начала и до конца основной эмоцией, что вызывали у меня основные действующие лица, было "братва, постреляйте друг друга, причём как можно скорее и основательнее", а умнейшему и изобретательному главному герою ничего не хотелось пожелать, кроме как поскорее сдохнуть - а смотреть всё равно было интересно, и даже очень. Что уже о таланте авторов много говорит.

При этом не было ощущения, которым поразил "Бумажный дом" - что из тебя пытаются хоть мытьём, хоть катанием выжать сочувствие к разной сволочи. Хотя персонажи только и попадают из одной передряги в другую - нет впечатления, что тебя пытаются заставить ими восхищаться: мол, ах, какую стойкость, сообразительность, взаимовыручку проявляют перед лицом неблагоприятных обстоятельств эти симпатичные люди, да и кто бы из вас, господа присяжные заседатели, в схожих обстоятельствах не пришиб бы старушку? Нет. Трансформация характеров показана блистательно, но показана именно как последовательная деградация - причём по их же собственным неоднократным выборам.

(Но и настоящий герой в сериале тоже есть, хоть и на второстепенной роли. Причём авторы его специально несколько закамуфлировали, чтобы не ложился в привычную схему типа "отважный красавец коммисар Каттани". Это довольно непрезентабельной внешности мужик, лысый и с пивным пузом, довольно тупым нижепоясным юмором, довольно противным отношением к окружающим, самодовольный и не очень далёкий - никакого сравнения с эрудированным и интеллигентным главным персонажем. Тем не менее, это самый что ни на есть без дураков герой.)

Тем не менее, одна вещь показалась достаточно натянутой: авторы явно намеренно всячески избегали высказывания прямым текстом мысли, что наркоторговля - дело не просто нелегальное и сопряжённое с разнообразными рисками для самих торговцев и их близких - но ещё и само по себе предельно гадостное. На протяжении всего очень объёмного действия её не озвучил никто, даже когда это напрашивалось. И это подчас производило странное впечатление. Помощник главного героя, Джессе, показан наиболее гуманным из всей остальной кодлы. Он всячески старается избегать жестоких решений и на него производит очень тяжкое впечатление разрушительное действие наркомании, особенно когда от неё опосредствованно страдают дети. Тем не менее, это ничуть не мешает ему варить метамфетамин. Возмущение "как ты можешь нажираться наркотиками, когда у тебя маленький ребёнок!" и желание забить кучу бабок на этих же самых наркотиках ничуть не пересекаются в его сознании, мысль о собственной ответственности не закрадывается ни разу, хотя персонаж он ни разу ни тупой.

Самое близкое к прямому высказыванию звучит уже ближе к завязке, когда тот же Джессе всё же говорит: такое уж ли достижение построение наркоимперии, чтобы им гордиться? Но тут их прерывают и фраза остаётся без ответа, что конечно же неслучайно.

Словно сценаристы боялись, что стоит вот так вот грубо назвать корыто корытом - и всё, их магия перестанет работать окончательно, на эти активно и изобретательно действующие лица зритель без отвращения уже не взглянет.

Но в целом - отличная получилась вещь.
  • Current Music
    Puddle Of Mudd - She Hates Me
  • Tags

(no subject)

Наблюдал сегодня забавное и сюрное зрелище: местную полицию, пытающуюся задержать тусующихся на городском газоне коров. Вообще говоря, если в Галилее коровы - обычная часть пейзажа, то в Беер-Шеве они смотрятся примерно как верблюды в Подмосковье. Как-то видел, как бедуины перегоняли по руслу местной высохшей речки стадо - долго глаза тёр, тем более что дело было в разгар лета и понять, чем это стадо питается, было невозможно: то, что там росло, травой нельзя было назвать даже из вежливости.

Но в данном случае было как раз понятно чем: газоном. Хозяев коров рядом не просматривалось, а о пастушьих навыках, как и общем уме-сообразительности беер-шевской полиции, говорит уже тот факт, что они решили подкатить к нарушительницам прямо по траве на служебном джипе. Естественно, бурёнки поддали копытами и унеслись в газонную даль.

Ментов было даже немного жалко, поскольку и в моём кратком пастушьем опыте в далёком детстве аналогичный случай был: надо было развести стадо по дворам. И вдруг последняя клиентка решила, что она мустанг, перешла на стремительную рысь, пересекла дорогу и скрылась в лесу. Я за ней - да какое там.
Я был в таком ужасе, что даже не решился никому об этом сказать и просто тихо свалил. Но судя по тому, что к скандалу это не привело и показаться в деревне я по прежнему мог, искательницу приключений никто в лесу не съел и она сама вернулась в родное стойло.
  • Current Music
    Suzanne Vega - Neighborhood Girls
  • Tags

(no subject)

Если у вас как-нибудь зародится идея использовать Фортигейт в качестве балансировщика нагрузки - сделайте себе одолжение и придушите её сразу. Сэкономите себе много часов со сниффером в обнимку.

Для разбрасывания TCP-соединений по серверам он ещё годится - когда он не пытается умничать и просто пересыпает потоки байт из одной трубы в другую. Ещё SSL-терминацию можно: шифрованные соединения в обычные переводить, их и распределять. А для аппликативных протоколов - нафиг, нафиг. Глюк на глюке, замучился считать.

Из свеженького - в HTTP-запросах типа "multipart/form-data" эта сволочь попросту не пересылает последние два байта.

  • Current Music
    Soggy Bottom Boys - I Am A Man Of Constant Sorrow
  • Tags

(no subject)

А ведь надо заметить, что при всей устарелости и неудобстве паролей, они как раз являются оптимальным методом аутентификации в случае wetware virtualization юзера (см. случай Билли Миллигана и фильм "Split").

Остальные либо вовсе непригодны (биометрия, асимметричные ключи, генераторы одноразовых паролей, SMS), либо не масштабируются (асимметричные ключи с парольной защитой). А ведь мы знаем, что где сегодня два инстанса, там завтра тридцать, надо быть готовым к внезапной популярности этой технологии, work is never over.

Есть ли лучшие решения?
  • Current Music
    Pomplamoose - Harder, Better, Faster, Stronger
  • Tags

(no subject)

Хочет кто в викторину поиграть? Тема - рок и поп-музыка 20-ого века, буквы соответствуют именам либо музыкантов, либо групп.
Особенно интересуют товарищи на C, R и Y, остальных вроде опознали.



Апдейт: и наконец ответы!
Collapse )
  • Current Music
    Chris Rea - The Road To Hell
  • Tags

(no subject)

Приснилось давеча, что я гуглю английское слово, означающее что-то вроде "человек, ожидающий от будущего хороших сюрпризов и готовый ими незамедлительно воспользоваться", а Гугл меня услужливо переспрашивает:
- Did you mean "дурак"?

Так выпьем же в день дурака за то, чтоб в дураках оказался он.
  • Current Music
    Skyclad - Swords of a Thousand Men
  • Tags

(no subject)

Задумался вот. Допустим, пишем мы вебсайт, к которому есть такое интересное требование - non-repudiation. То есть если юзер выполняет на нём некое действие - он не должен иметь возможности отрицать, что он его совершил, даже если сайт вместе со своей датабазою взломан вдребезги и пополам.

На первый взгляд, всё довольно тривиально - даём юзеру смарт-карту с секретным ключом, им подписывается тело любого POST- или PUT-запроса на сайт. Запросы сохраняются в лог и хранятся там, пока релевантность не отпадёт.

На второй - немного сложнее. Насколько я понимаю, не существует никакой возможности обращаться к ключам на смарткартах, TPM, Windows store и т.д. из бегущего в браузере JavaScript-а. И по хорошей причине - такая возможность дала бы недобросовестным сайтам выполнять операции с юзерскими ключами (подписывать или расшифровывать что-то) без ведома юзера. Даже если юзер должен разрешить доступ к ключу введением кода - ему неоткуда знать, как именно ключ используется, приходится полагаться на приложение.

Существует "Web Cryptography API", но он, насколько я понимаю, не позволяет обращаться к смарткартам и прочим устройствам PKCS#11 - он позволяет генерить ключи прямо в браузере и хранить их в local storage и т.д. Защитой, необходимой для non-repudiation, такие ключи не обладают.

Существует также проект "Web eID", который позволяет это ограничение обойти за счёт установки расширений к браузеру - но он предполагает, насколько опять же понимаю, доверие к сгруженному с сервера Джаваскрипту, а нам именно это Заратустра и не позволяет.

Таким образом выходит, что клиентская часть должна быть обычным десктопным приложением и её логика не должна задаваться на серверной стороне. Так ведь?



Ну а для контента, выдаваемого сервером, организовать non-repudiation не в пример легче, и не дорого - генерим неизвлекаемый ключ в каком-нибудь online HSM, скажем, в том же Azure Key Vault, и подписываем отсылаемые файлы.



То, что смарт-карта не должна позволять экспорт ключей, тривиально - а вот есть ли смарт-карты, не разрешающие также и импорт? Чтобы ключ можно было бы сгенерировать лишь в ней, и быть уверенным, что он существует лишь в единственном эксземпляре?
Это свойство и для аутентификации полезно, но для non-repudiation - особенно.



Даже и в этом случае хитрый юзер мог бы отпираться "я не я и корова не моя" - мало ли что в сертификате написано, может, админ CA сам его себе на моё имя выписал. А смарткарту и потерять можно. Способ это побороть - заставить расписаться (ручкой по бумажке) при получении смарткарты, с указанием thumbprint сертификата - для каждого ключа уникального. Ну или использовать такие карты, от которых особо не пооткрещиваешься, типа нового израильского "биометрического" удостоверения личности - хоть там косяков и полно.
  • Current Music
    Машина времени - Рыбак рыбака
  • Tags
    ,

(no subject)

Сходил и с огромным отвращением проголосовал (за тот же Мерец, точнее Мерец-Гешер-Аводу, если кому интересно). Нет, не потому с отвращением, что третьи выборы. А потому, что я впервые вижу настолько откровенно наплевательское отношение к избирателям со стороны партий.

По демократической теории, партии должны за избирателей бороться. Должны искать к ним ключик, обещать каждому что-то ему близкое и важное, демонстрировать свою компетентность во всех вопросах, или хотя бы в наиболее важных, хвастаться интеллектуальным багажом. Стараться впечатлить, затмить друг друга, подчёркивать свою серьёзность. Так по идее должно быть, но так не происходит.

Сколько помню израильскую предвыборную агитацию, она всегда производила впечатление, что её авторы обращаются к умственно отсталым детям, но запомнилось мне и исключение. На выборах 1992-ого года, когда во всех партийных роликах пели оптимистические песенки (Исраэль мехака ле-Рабииин!) и показывали счастливых младенцев и девушек в бело-голубом, в роликах Цомета генерал Рафуль стоял с указкой у карты и показывал - вот, если мы отступим с Западного берега, то ракеты с него будут долетать туда-то и туда-то. Это была, безусловно, агитация через запугивание, а не аналитика, но уже тот факт, что партийный лидер делился с избирателями какими-то рациональными соображениями, прямо как с разумными людьми, производил такой контраст со всеми прочими, что партия Цомет, ко всеобщему офигению, набрала восемь мандатов - при том, что предрекали ей от силы три, а в Кнессете предыдущего созыва у неё было два.

Казалось бы, после такого несомненного успеха все конкуренты должны были ухватиться за такое волшебное ноу-хау и попытаться повторить фокус? Казалось бы, но не произошло. Более того, не пыталась повторить его и партия Цомет. На выборах 1996-ого они шли общим блоком с Ликудом и Гешером, и их телеагитация, как и у всех остальных, представляла из себя обычную жвачку в бело-голубых цветах.

Ну хорошо, телеагитация в любом случае жанр дебильный, но в наш век есть и официальные сайты, а на них партийные программы и всё такое? Верно, и до последнего времени так и было. Я обычно так и определялся - в день выборов сидел и их читал.

Но при том в 2015-м меня неприятно удивило, что "Сионистский лагерь" часть своей программы выпячивал, а часть несомненно прятал. Ещё более удивительным оказалось, что у Ликуда никакой программы не было вообще. У бессменно правящей с 2009-ого года партии программа сводилась исключительно к "In Bibi we trust".

Но с тех пор всё стало ещё значительно хуже. Вот, изволите ли видеть, ивритский сайт "Кахоль-Лаван". Засеките, сколько у вас уйдёт времени разыскать на нём ссылку на партийную программу (программисты, чур кнопку F12 не использовать). Русский сайт, как ни странно, содержательней - обычно наоборот - зато с с выскакивающей рекламой. На прочих языках стараться что-то писать? - нафиг надо.

Вот это сайт аж трёх партий - блока Мерец-Гешер-Авода. С https://meretz.org.il на него ведёт редирект. Да, это всё, что на нём есть. Это даже не сайт-визитка.

Вот это - сайт Аводы. Попытайтесь найти на нём программу. Мне не удалось.

Сайт НДИ выглядит содержательней, но та их агитация, что до меня долетала, сводилась исключительно к "арабы и харедим наступают, ааа!" Вот типичный образец, я его получил.

Ликудовская была ровно такой же, минус харедим. Мессаджем "если победит КЛ, то будут арабы в правительстве, оужас!!!" они задрали настолько, что хотелось уже пойти и проголосовать за Объединённый арабский список чисто этим бездарям и сволочам назло. У правящей партии не было практически нечего сказать избирателю кроме осточертевшего "если не Биби, то Тиби", весь их обильный спам сводился исключительно к этому. Для того, чтобы узнать, что они похваляются ещё и программой развития дорог (вполне заслуженно, кстати), мне пришлось специально идти искать телеагитацию на ютюбе - но и там это было исключением на фоне запугивания зловещим Тиби. А если меня не пугает зловещий Тиби - всё, вам больше нечего мне сообщить?

Я реально не понимаю, почему так. Почему партиям что в коалиции, что в оппозиции, так откровенно влом стараться для заполучения симпатий избирателей. Почему они ведут себя так, словно их доля голосов у них заведомо в кармане, лень нагибаться за всякой мелочью. Словно никакой конкуренции между ними на самом деле не существует.
  • Current Music
    Skyclad - The Parliament of Fools
  • Tags

Мартовское

Перелетные птицы осенней порой
Не летают на юг по одной,
И олени, гуляя оленьей тропой
Тоже ходят по ней толпой.
И я был бы рад остаться с тобой,
Но твои, как всегда, правы;
И только кошка гуляет сама по себе
Стучаться в двери травы.

Твоя мать наливает мне сладкий чай,
Но отвечает всегда о другом,
А отец считает свои ордена
И считает меня врагом
(Лишь в стаде баран доверяет судьбе,
За что он и признан скотом), -
И только кошка гуляет сама по себе,
Или просто идёт в гастроном.

Я видел в небе тысячу птиц,
Но они улетели давно.
Я видел тысячу зорких глаз,
Что смотрят ко мне в окно,
Ведь люди, что век коротают в борьбе,
Понимают, что легче гуртом -
И только кошка гуляет сама по себе
И лишь по весне - с котом.