И еще о гугле и https

[vitus_wagner]

На слешдоте опубликовали небольшой пост с аргументами против HTTPS Everywhere. Пост немного наивный, но в чем-то автор прав.

Его основные пункты:

• The web is an open platform, not a corporate platform.
  
• It is defined by its stability. 25-plus years and it's still going strong.
  
• Google is a guest on the web, as we all are. Guests don't make the rules.
  

Последний пункт, увы, неправда. Гугль уже не гость в вебе а хозяин 60% клиентских браузеров. Поэтому может вытворять что угодно.

Но какое же там рубилово в комментах началось! Это же прямо зоопарк какой-то. Прям как у Сапожника, Ми3ча ли еще каких политических блоггеров в ЖЖ.

Comments

[angry_elf]

Странная боязнь выпасть из гугля со старыми архивами непойми чего. Гугль уже сейчас индексирует только то, что считает нужным, а не всё подряд. Что там их внутренний скайнет считает нужным - известно одному скайнету. Конечно, они это всё прикрывают "всеобщим благом".

Слава аллаху, ничего секретного нет ни в их поиске, ни в браузере. Стоит гуглю только пукнуть не в ту сторону, народ массово свалит с него. Например, в те же оверлейные сети, которые, как правило, из коробки умеют end-to-end шифрование без заморочек клиента и сервера (по-моему, гораздо более грамотное решение, чем "https-everywhere, иначе выкинем из поиска").

[vitus_wagner]

Боязнь отнюдь не странная. "Кто владеет прошлым,тот владеет будущим". Я тут давеча решил вспомнить какой именно металлургический завод в Донбассе был основан при Екатерине II стал искать "Гаскойн", а мне вместо жизнеописания изобретателя карронады и великого организатора производств какого-то футболиста показывают.

[angry_elf]

Витус, вы стучитесь в открытую дверь :)
Я как раз и говорю, что бояться поздно, пора бороться.

[vitus_wagner]

Вопрос в том - как тут борться? Бороться надо с хромом и андроидом. Но как победить системы, которые рарабатывают толпы высокооплачиваемх специалистов, причем явно не только по программированию, но и по психологии пользователся?

[angry_elf]

Не пользоваться одним и другим. Меня устраивает ios и хромиум (как вивальди юзабельным станет, можно и на него свалить). У ios своя огороженность, но хотя б без претензий на всеобще благо.

[vitus_wagner]

Используя chromium или vivaldi ты поддерижвает экосистему chrome.
Потому что codebase та же самая.

Я б еще понял если бы речь шла о Firefox или dillo. Еще помнится есть webkit, только я не помню браузеров на нем кроме Safari

[angry_elf]

Запрещают http не на уровне движка, всё-таки. Ну и движок их только условно. И шпионские плагины не в движке, а в самом хроме только. Так что норм, по-моему.

[avnik]

у вебкита и хромиума внутри общие blink/wtf/v8 и прочие кишки

[slobin]

// причем явно не только по программированию, но и по психологии пользователся?

Оффтопик: это да. Причём забавно, что мы как-то привыкли считать пользователями только, ну скажем, пользователей хрома, или гуглепоиска. Но я чем дальше проникаюсь, тем больше тащусь с того, насколько классные специалисты ОБЕИХ ТИПОВ работали над продвижением языка Go. Мы просто как-то не привыкли считать программистов пользователями языка. Ну то есть даже привыкли, но всё равно пропускаем мимо сознания идею, что специалисты по психологии пользователя и здесь поработали. И нет, это ни в коем случае не умаление роли специалистов по программированию: говорю же, обеих типов в равной степени.

P.S. Предыдущей такой кампанией была Джава 20+ лет назад, но у Гугля специалисты лучше, чем у Сана. Лучше таргетируют аудиторию. Ну так Сан в итоге и вымер.

... День тавтолога ...

[vitus_wagner]

Думаю. что и Гугль тоже вымрет. Не через двадцать лет, так через сорок. Ибо ничто не вечно под Луной. Конечно, IBM уже 120-летний рубеж перешагнула, но...

[kostix]

А я с Вами не согласен (разглашаю: на своей $dayjob я пишу на Go фултайм): у них реальная стратегия продвижения Go в корпоративной среде появилась в этом году, была представлена 26 апреля (https://blog.golang.org/go-brand), и породила яркие "срачи в комментах" во всех комьюнити, куда эта новость попала.

С моей точки зрения Go "выстрелил" вовсе не из-за того, что это продукт гугля. То есть безусловно наличие гугла имеет тут определённый вес: когда ЯП только что родился, всегда стоит вопрос "инвестиций" в него со стороны потенциальных программистов — ясно, что с наколенной поделкой студента можно поиграться на выходных, но если писать что-то "для продакшена", то хочется быть достаточно уверенным в том, что через 10 лет данный ЯП останется на плаву.) Просто язык получился удачным, и те, кто раньше мудохался с питоном/пхп/нодой на бэкенде внезапно получили нечто такое же простое (местами — проще), но существенно более быстрое. Ну и далее — стандартная волна хайпа, которая генерится сама собой без всякого гугла.

При том для многих (включая меня) причина любви к Go состоит просто в том, что это "Си для сложных проектов". С ним хватает проблем, но решает он таковых существенно больше, чем создаёт.

Грубо говоря, я пришёл к этому ЯП примерно по той же причине, что ESR, на посты которого на данную тему тут Виктор уже ссылался: http://esr.ibiblio.org/?p=7804 + ссылки там.

[vitus_wagner]

Стратегия продвижения в корпоративной среде - это специалисты третьего типа.

Насколько я понимаю, изначально go позиционировался как язык для внутренних проектов гугля. И публиковался в основном ради того, чтобы получить дармовых тестеров и контрибьюторов.

Но вот в дизайне языка, стандартной библиотеки и тулчейна там явно учтены все дурные привычки современных программистов, избалованных пакетными менеджерами и привыкших к разработке серверных систем, которые деплоятся ровно дважды - на staging и на production.

[hungry_ewok]

>Стоит гуглю только пукнуть не в ту сторону, народ массово свалит с него.

Хорошая шутка, да.

Если вы параноик, это не значит, что за вами не гонятся

[beldmit]

Ну как тебе сказать. Гугль гуглем, а PRISM - PRISM-ом. И DNS, гоняемый plaintext-ом - тоже.

То есть пароль и номера кредиток плейнтекстом передавать негоже. И видимо, auth-куки. И javascript, который до соседних вкладок дотянется при дыре в браузере, надо не дать подменить. И скорее всего ещё дофига всего.

Почта тут так, эпизод.

"Здравствуйте. Вы запросили напоминание пароля по электронной почте. К сожалению, Ваш почтовый провайдер не поддерживает режим STARTTLS, поэтому мы не можем предоставить Вам способы доступа к Вашему аккаунту".

PS. Нет, это я из головы придумал.

Re: Если вы параноик, это не значит, что за вами не гонятс

[vitus_wagner]

Давно же есть digest authenication и прочие challenge-response методы.

javascript не имеет смысла шифровать, его надо подпиывать. Но почему-то в массовом сознании "информационная безопасность" ассоциируется с шифрованием, а не с MAC-ами и подписью.

Хотя, пожалуй я бы согласился на то, чтобы браузер отказывался выполнять скрипты, переданные не по https, и сабмитить форму, содержащую поле типа password.

Re: Если вы параноик, это не значит, что за вами не гонятс

[beldmit]

Чем подписывать? В случае HTTPS понятно чем. В случае HTTP привязанную подпись перезапишут.

Про MAC-и да, нету их в массовом сознании. Вот, например https://www.opennet.ru/opennews/art.shtml?num=48883

Re: Если вы параноик, это не значит, что за вами не гонятс

[beldmit]

А также CSS. А также встроенные скрипты. А также flash-хреновины (так закопайте его во Христе) и много всякого прочего, без чего современный web не живёт.

Re: Если вы параноик, это не значит, что за вами не гонятс

[vitus_wagner]

Так речь-то про несовременный веб. Про старые сайты, информация на которых ценна, но Куковлева, который позаботится об ее доступности на них нет. Пожалуйста, пришла страница по http, урезаем функциональность до уровня html 4.0 без скриптов, Но текст покажите
и поискать по нему дайте.

Re: Если вы параноик, это не значит, что за вами не гонятс

[beldmit]

За старым web-ом, боюсь, не в Google, а в Web Archive. Link Rotten никто не отменял.

Re: Если вы параноик, это не значит, что за вами не гонятс

[vladimir000]

> Хотя, пожалуй я бы согласился на то, чтобы браузер отказывался выполнять скрипты, переданные не по https, и сабмитить форму, содержащую поле типа password.

А я - нет. Максимум - чтобы перед выполнением таких процедур браузер требовал от пользователя продтверждения своих действий, с внятной расшифровкой а не "нам что-то не понравилось, у уверены что хотите продолжать? " ;)

Но у юзера должно быть право заоверрулить любые решения системы (у юзера - в рамках юзерских прав, админа - админских и т.д.)

Re: Если вы параноик, это не значит, что за вами не гонятс

[avnik]

на что 95% пользователей ответят "да и больше меня не спрашивайте"

Re: Если вы параноик, это не значит, что за вами не гонятс

[vladimir000]

Во-первых, я как рз в этом случае за то чтобы опции "и больше меня не спрашивайте" в этом конкретном случае не было:)

А во-вторых, лошадь можно привести к водопою, но нельзя заставить напиться.

Проблемы тех, кто ответит "да" не читая - это, в конце концов, их проблемы.

[vlad_suh]

А что делать с провайдерами, которые пихают свою рекламу прямо в передаваемые странички, когда те незашифрованы

[vitus_wagner]

Давить рублем - уходить к другим провайдерам.

[beldmit]

Чаще всего при этом оказывается, что другие - маргинальны.

[fhunter]

Жаловаться Роскомнадзору? Насколько я помню подобное вмешательство банально незаконно. Вот и пусть работают по основной специальности. В крайнем случае - VPN.

(Правда выловить соответствующую статью в 126-ФЗ я что-то не могу сходу).

[vlad_suh]

Мегафон же ссылаются на пункт 14.14.2 "Условий оказания услуг связи", который гласит, что "Подписывая Договор, Абонент соглашается на весь срок его действия на получение рекламы при использовании Услуг

Все мобильные операторы развлекаются вставкой рекламы в страницы года с 2012. Жалобы на них в ФАС никакого результата не имели.
Сейчас мне почти не встречаются сайты без https, поэтому пока не проявляется.