June 2nd, 2010

moth

Спонтанность или планирование?

Маленький опрос. В силу технических причин, вопросы и варианты ответа вынесены вверх (ЖЖ не позволяет такие длинные тексты в опросах). Если для вас "желаемый" вариант отличается от "фактического", прошу выбрать "фактический". Если вы по-разному действуете с разными людьми, выберите наиболее естественный и логичный для вас вариант.

1. Что для вас даёт больше чувства свободы и комфорта?

a. Встреча с друзьями, начинающаяся в 7:00 (строго вовремя) и заканчивающаяся в 10:30.

b. Встреча, назначенная примерно на 7, но все приходят как получится, в течение часа, при необходимости можно созвониться. Домой - как получится.

2. Если вам говорят "собираемся в 7", что вы подразумеваете?

a. Что все придут ровно в 7, и вы тоже придёте в 7, плюс-минус 5 минут. В случае задержек сразу позвоните.

b. Что все придут в каком-то интервале между 7 и 8:30, скорее, ближе к 8.

3. Вы назначили короткую встречу с 1:30 до 2:30 на дату, которая 3 недели в будущем. Человек вас будет ждать в условленном месте, прийдёт в 1:30 и уйдёт в 2:30.

a. Нет существенной разницы между такой встречей и встречей в тот же день. Подтверждать ничего не нужно, что за глупости? Если я нажал на "accept", значит, я приду.

b. Встреча в календаре, значит, произойдёт. Надо лишь подтвердить в тот же день утром, ибо я не уверен, что второй человек так же ответственно относится к календарю, как и я.

c. Я зарезервирую время, но за пару дней нужно созвониться и подтвердить. Кроме того, есть риск, что у меня появятся другие планы.

d. Я могу предварительно согласиться с фактом необходимости встречи, но договариваться конкретней нужно ближе к делу.

e. Это не про меня. Я не способен (или не желаю) назначать такую встречу. Да и вообще, я не верю, что человек таки придёт чёрт-знает-в-какой день в 1:30.

1

a
13(41.9%)
b
18(58.1%)

2

a
23(74.2%)
b
8(25.8%)

3

a
3(10.0%)
b
11(36.7%)
c
6(20.0%)
d
9(30.0%)
e
1(3.3%)
moth

Анонимность в интернете

Статья о том, как хакнули сообщество girls-only. http://globalvoicesonline.org/2010/05/23/girls_only/

От кого-то, говорят, уже муж ушёл, прочитав о пост о том, что он сам стирает носки (типа, стыдно перед пацанами). (Правда, я лично думаю, такой муж пусть уходит, это хорошее дело.)

Я, вот, думаю, почему бы им не написать скрипт (неужели там нет девчонок-программеров?), который сначала отфрендит всех, а потом будет обратно зафренживать по одному, постить и смотреть на зеркало. Если зеркало не manage'ится, и в нём нет серьёзных задержек, то, типа, за сутки, можно было бы идентифицировать все хакнутые account'ы (при поддержке команды ЖЖ, которая должна будет временно снять защиту от роботов, чтобы этот скрипт быстро отработал).

Оставшихся в живых юзеров - обязать сдать тест на умение составлять правильной сложности пароли и секьюрить свой домашний компьютер. Сертификатами о сдаче теста обменяться лично, по иерархии доверия.

Ещё - можно обязать мемберов время от времени, по личной цепочке доверия, передавать информацию о том, что их аккаунт не хакнули. В случае отсутствия регулярного позывного - удалять мембера. От единоразвого слива это не защитит, но от регулярного слива - запросто.

А чтобы хорошо защититься от единоразового слива, мне кажется, необходимо просто удалять посты старее определённой давности. Я вот теперь сам задумался: может, мне такую практику ввести.

* * *

Кстати, друзья, а у вас достаточно криптостойкий пароль? Надеюсь, ни у кого нет пароля типа qwerty123? Вы ставите регулярные обновления на ваш софт и ОС? Вы используете разные учётные записи для разных членов семьи и для гостей?

* * *

Посмотрел сообщество girls-only, и увидел инициативу "приостановление новых членов". Совершенно бессмысленный шаг. Мне как программисту очевидно, что произошло следующее (с вероятностью 99%): хакер написал скрипт, перебирающий существующих членов сообщества и пытающийся взломать их пароль. Среди многих тысяч пользователей обязательно найдутся некоторые, у кого пароль слаб, и он поддастся взлому. Таким образом, слив, вероятнее всего, происходит через десятки или сотни существующих членов. Новые члены - все с намного большей вероятностью - реальные люди, чем существующие.

Чтобы защититься, можно сделать, например, следующее:

1. Обязать всех заново пройти процедуру личных referral'ов. Кто не прошёл - удалять. Это позволит закрыть источник слива. Вероятно, полезно будет время от времени повторять эту процедуру...

2. Ввести практику удаления старых записей. Вроде "автор поста обязан его удалить через месяц, иначе штраф - исключение из сообщества (с возможностью добавиться заново через стандартную процедуру)". Это позволит ограничить impact от потенциального слива в будущем.

* * *

Update: я не подумал о варианте мужа, который "протащил" своё членство уже давно, за-referr'ив его из-под аккаунта жены, и сидел долго выжидал. Сложно придумать, как можно было бы защититься от подобного случая. Обязать членов завести себе вируталов и никогда не логиниться под ними, находясь дома?

Update: получается, я ошибся, сказав, что "приостановление новых членов" - бессмысленная инициатива. Если это один из мужей, кто давно уже "порекомендовал" себя в сообщество, зайдя под юзером жены, то защититься от такого варианта очень сложно. Любой технически подкованный муж может это сделать, если (а) жена не всегда дома, и (б) жена хоть раз логинилась с домашнего компьютера в girls-only. Соответственно, сейчас, на волне ажиотажа по этой теме, многие мужья захотят себе завести такие "подпольные" account'ы, чтобы в будущем, когда зеркало прибьют, иметь возможность продолжать читать. Таким образом, да, ограничение новых членов - разумный шаг.