ссылки для программистов (англ.)

May. 28th, 2013 12:44 pm
avva: (moose)
[personal profile] avva
Немного из недавнего и накопившегося:

  • Learning to Program: What are the best sites for learning programming?

    Неплохой обзор сайтов с подробными уроками программирования (где видеоуроками, где просто) для тех, кто совсем не умеет и хочет научиться.


  • Data Compression Explained.

    Нечто среднее между очень длинным FAQ'ом и небольшой книгой. Краткое введение в основы сжатия данных и подробный обзор основных подходов и алгоритмов. Написано, по-моему, ясно и аккуратно, но несколько сжато для совсем неопытного в программировании читателя. Не требует знаний об алгоритмах сжатия.


  • You Are Dangerously Bad At Cryptography.

    Отличная запись о том, почему опасно самому наивно использовать криптографические алгоритмы, с несколькими наглядными примерами.

    В дискуссии на HN есть тоже немало интересного. В частности, Томас Птачек напоминает, что его компания Matasano продолжает предлагать широкой публике Crypto Challenges - набор упражнений по прикладному криптоанализу, не требующих предварительных знаний в криптографии. Я сам не пытался пока делать Crypto Challenges, не нашел на это времени, но несколько моих знакомых, которым я доверяю, очень и очень их хвалят. Думаю, что всем, кому хочется больше знать в этой области, стоит попробовать.
  • Add Memory
  • Share This Entry
Page 1 of 3 << [1] [2] [3] >>
Threaded | Top-Level Comments Only

Date: 2013-05-28 09:57 am (UTC)
From: [identity profile] blacklion.livejournal.com
Каткое введение в основы сжатия данных и подробный обзор основных подходов и алгоритмов. Написано, по-моему, ясно и аккуратно, но несколько сжато

Вы это специально, да? :)

Date: 2013-05-28 10:43 am (UTC)
From: [identity profile] kray-zemli.livejournal.com
Мне б кто научил программы под Windows писать, с этими его сраными BeginPaint'ами, CompatibleBitmap'ами и прочим ужасом.

Date: 2013-05-28 10:46 am (UTC)
From: [identity profile] evgeniya-nice.livejournal.com
Никто тут не пробовал Crypto Challenges? Интересны впечатления.

Date: 2013-05-28 11:15 am (UTC)
From: [identity profile] trueblacker.livejournal.com
>Отличная запись о том, почему опасно самому наивно использовать криптографические алгоритмы, с несколькими наглядными примерами.

с довольно возмутительным ампломбом, выдающем "человека-не-в-теме" в самом же начале:

>The user makes API requests over HTTP/HTTPS (it doesn't matter).

it DOES.
Я не перестаю поражаться повсеместному игнорированию clientAuth в SSL/TLS.
Ну т.е. я понимаю, что "он имел в виду особый случай", но это довольно странный способ изложения проблемы, кмк.

Date: 2013-05-28 11:51 am (UTC)
From: [identity profile] 109518.livejournal.com
Я после 10 лет веба заставил себя взятся за виндовс. Сначала с#, потом c/c++. Вначале было трудно, потом как то пошло. Но интерфейсы всё таки делаю на html пока :))

Date: 2013-05-28 12:03 pm (UTC)
From: [identity profile] kray-zemli.livejournal.com
через встроенный в прогу веб-сервер чтоли?

Date: 2013-05-28 12:06 pm (UTC)
cat_mucius: (Default)
From: [personal profile] cat_mucius
Классный пост про криптографию - правда, мне там прежде всего бросилось в глаза, что все три приведённые схемы подвержены replay attack. :-)

Date: 2013-05-28 12:08 pm (UTC)
From: [identity profile] asox.livejournal.com
MFC сразу учите. ;))
(Хотя сам периодически пытаюсь WinApi освоить...)

Date: 2013-05-28 12:11 pm (UTC)
cat_mucius: (Default)
From: [personal profile] cat_mucius
Я не перестаю поражаться повсеместному игнорированию clientAuth в SSL/TLS.

Вы имеете в виду использование клиентских сертификатов? Но в таком случае приведённая там схема с MAC-ом просто не нужна.

Date: 2013-05-28 12:16 pm (UTC)
From: [identity profile] kray-zemli.livejournal.com
раньше был owl, сейчас вот mfc. А что нового он даёт? А то раньше ООП часто ругали за то, что его пихают куда надо и куда не надо.

Date: 2013-05-28 12:25 pm (UTC)
From: [identity profile] trueblacker.livejournal.com
именно так.
Но товарищ утверждает, что использование HTTPS ничего не меняет. Меняет и ещё как.

Date: 2013-05-28 12:30 pm (UTC)
From: [identity profile] migmit.livejournal.com
MFC - это уже не "сейчас".

Но я, кстати, тоже предпочитаю встроенный веб-сервер и гуй в браузере.

Date: 2013-05-28 12:37 pm (UTC)
cat_mucius: (Default)
From: [personal profile] cat_mucius
Ну как сказать. Если мы полностью доверяем надёжности SSL-трубы между нами и сервером, то можно не заморачиваться с хэшами и просто пароль пихать в трубу открытым текстом. Но его пойнт, очевидно, в том, что настолько полагаться на HTTPS не стоит и пароль надо защитить дополнительно. И я с этим согласен, в общем-то.

А клиентские сертификаты, к сожалению, особенно не в ходу, потому что управление ключами и защита их от утечек - дело геморройное.

Date: 2013-05-28 12:43 pm (UTC)
From: [identity profile] 109518.livejournal.com
System.Windows.Form.Webbrowser и немного javascript'а

Date: 2013-05-28 12:47 pm (UTC)
From: [identity profile] kray-zemli.livejournal.com
щас есть всякие OpenGL, GDI+, и даже всякие Direct2D и DirectWrite. Даже не знаешь, что выбрать для изучания. Хотя, конечно, GDI -- это классика.

Date: 2013-05-28 12:53 pm (UTC)
From: [identity profile] trueblacker.livejournal.com
>о его пойнт, очевидно, в том, что настолько полагаться на HTTPS не стоит и пароль надо защитить дополнительно

нет, его поинт, очевидно, не в этом. Его поинт в том, что HTTPS (якобы) защищает клиента, а не сервер, поэтому использование HTTPS ничем не поможет серверу защититься от хакера, имитирующего запросы валидных пользователей.

>А клиентские сертификаты, к сожалению, особенно не в ходу, потому что управление ключами и защита их от утечек - дело геморройное

согласен в части "к сожалению". А что приводит к большему геморрою - использование надёжного, но трудного метода или попытки придумать костыль "для нашего простого случая" - вопрос открытый.

Гугл что-то в последнее время часто упоминает token-based аутентификацию. Авось что-нибудь сдвинется в этом направлении. Хотя, подозреваю, выльется в очередную профанацию.

Date: 2013-05-28 12:57 pm (UTC)
From: [identity profile] trueblacker.livejournal.com
что касается ссылки на ваш блог и тему про защиту пароля, то эта "проблематика" как раз отпадает при использовании clientAuth TLS уже потому, что никакого пароля просто не существует

Date: 2013-05-28 01:03 pm (UTC)
From: [identity profile] meshko.livejournal.com
Я им написал, мне не ответили.

Date: 2013-05-28 01:08 pm (UTC)
From: [identity profile] meshko.livejournal.com
Да и вообще это "don't do crypto you'll fuck it up" уже набило оскомину. Сколько можно уже, за 30 лет можно было бы хотя бы для самых распространненых случаев придумать решения, которые Тупые Разработчики моглы бы использовать сами.

Date: 2013-05-28 01:09 pm (UTC)
From: [identity profile] meshko.livejournal.com
Чем защита клиентского сертификата принципиально легче защиты пароля?

Date: 2013-05-28 01:11 pm (UTC)
From: [identity profile] trueblacker.livejournal.com
классическими преимуществами криптографии с открытым ключом по сравнению с использованием симметричных секретов

Date: 2013-05-28 01:12 pm (UTC)
From: [identity profile] trueblacker.livejournal.com
хотя, возможно я неправильно понял ваше "легче". Поясните?

Date: 2013-05-28 01:14 pm (UTC)
From: [identity profile] meshko.livejournal.com
Ну если я пишу, скажем, сервис, а не интерактивное приложение, которое пользуется фотосервисом как бекэндом. Значит мне нужно хранить какой-то секрет как часть моей конфигурации. В этой ситуации клиентский сертификат особо ничем ситуацию не улучшает (и, насколько я знаю, хорошего решения нет).

Date: 2013-05-28 01:19 pm (UTC)
From: [identity profile] trueblacker.livejournal.com
1. Вам не нужно хранить сертификаты пользователей, достаточно хранить сертификаты, их удостоверяющие (CA)
2. Никакого секрета, известного двум сторонам в криптографии с открытым ключом нет. Сертификат не является секретом и если злоумышленик его перехватит, это ему ничем не поможет.

Клиентский сертификат кардинально улучшает ситуацию по сравнению с паролем, однако требует, как было верно отмечено выше, "дополнительного геморроя" в управлении ключами.

Date: 2013-05-28 01:21 pm (UTC)
From: [identity profile] trueblacker.livejournal.com
30 лет - большой срок. За это время и криптоалгоритм сломать можно. В частности, DES 30 лет назад был вполне ещё торт.
  • Add Memory
  • Share This Entry
Page 1 of 3 << [1] [2] [3] >>
Threaded | Top-Level Comments Only

Profile

avva: (Default)
avva
Website

December 2025

S M T W T F S
  123 4 56
78 9 10 11 1213
1415 1617181920
21 22 23 24 2526 27
28293031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Dec. 29th, 2025 01:44 pm
Powered by Dreamwidth Studios