Насколько я понимаю, для подавляющего большинства дело не в качестве звука как таковом, а в три-дэ-плюшках, за которые деньги плочены и которые перестали работать.
Вы так уверенно говорите, как будто вы сотрудник специализирующегося на ИТ кадрового агентства.
А я лично немного в теме, так уже года три нанимаю людей на работу по специальности веб-программист. Кандидатуры без знания РНР я просто не рассматриваю, я просто не верю, что можно разбираться в вебе и совсем не знать РНР. При этом я никого не заставляю его любить, пожалуйста, для себя пишите на чем хотите — хоть на асме вприсядку.
Так вот, из этих 2200 резюме порядка 2000 на данный момент работают, просто хотят или зарплату повыше, или ждут предложений от какого-нибудь яндекса. Да, половина из них ничего не умеет, но все оставшиеся — вполне годные программисты, а 10% даже хорошие.
:) С моей точки зрения, писать интернет-магазин что на Си, что на Лиспе — занятие исключительно для знающих толк в извращениях.
Правда жизни в том, что сегодня писать интернет-магазин вообще извращение, независимо от языка. Примерно как писать свой Ворд или Эксель, когда вам поставлена задача сделать из компьютера «офисную пишущую машинку».
Коробочные решения сегодня достигли того уровня, когда их нужно просто настроить и натянуть дизайн; ну максимум, в сложных ситуациях, дописать какой-нибудь плагин или очень слегка доработать напильником.
И да, я не теоретик, моя студия запускает магазины за 10-15 часов работы с момента утверждения дизайна, силами одного «грамотного верстальщика».
И вот среди наших клиентов очень многие — жертвы велосипедистов с сайтами не пойми на чем.
С одной стороны, эти пострадавшие меня кормят, с другой — я все же всячески агитирую любителей изобретать велосипеды уйти из профессии и устроиться куда-нибудь, где их желания будут в тему. Мне чисто по-человечески жалко людей, которые полезли в интернет-бизнес и сразу же напоролись на такие детские грабли. Вроде и заплатили нормально, но не тем.
Я правильно понимаю, вы — автор части описываемого в этой ветке комментов велосипеда? И вы только что назвали 2000 незнакомых вам человек говном только за знание РНР?
Ну, как и ожидалось, ни одного преимущества кроме того, что вам так захотелось, вы предоставить не смогли.
Пункт 1 — бездоказательно. Сделайте такой же магазин на чистом Си и предъявите результаты тестов. Тогда будем говорить.
Пункт 2 — простота для кого? По базе job.ru в default city ищут работу 2221 программиста РНР и всего 54 программиста на Lisp. Переучивание с первого на второе есть процесс долгий и никак не соотносится с «простотой добавления новый возможностей» (с точки зрения владельца магазина). Аналогично с пунктами 5 и 6 — вы просто подсадили заказчиков на себя, любимого, лишив их права себя уволить. Потому что заменить вас некем. «Вы» в данном случае — это вы двое, вместе с вашим помощником.
Пункт 3 почти никак не зависит от платформы разработки, это всего лишь функция от количества нанятых программистов и графика их работы. Если вы взяли рюкзак и умотали на месяц кормить комаров в тайге, а ваш напарник заболел — все, в случае ошибки сайт встал. Независимо от платформы.
Пункт 4, возможно, облегчает жизнь лично вам, но ни на что не влияет для заказчика.
Я ни в коем случае не нападаю на Лисп или что-либо еще. Я выступаю против использования самопальных программ, на чем бы они не были написаны, там, где есть обкатанные, проверенные и работающие решения.
Ваш пункт 5 — это прямой обман. Вы просто подставили своего работодателя, заставив платить вам за поддержку и развитие сайта в будущем. Вы любите скрытые платежи от вашего сотового оператора? Здесь то же самое.
Уникальные решения нужны в уникальных проектах. Интернет-магазины к ним не относятся. Простите, что немного жестко вышло в ваш адрес, просто не надо забивать гвозди микроскопами. Хотите делать микроскопы — так идите работать в соответствующую организацию.
Если вам действительно нужна секьюрность https — да. Либо просите ваш cdn отдавать свой контент через https. Либо поставьте у себя на сервере проксю https->http (это 15 строк на пыхыпы, гугл в помощь). Либо сделайте на https только вход и генерацию сеансовых ключей, а далее шифруйте что вам нужно сами и разбирайте на клиенте javascript-ом.
Ну так уж устроен https. Скажем, те же google maps и другие сервисы можно подключить по https, но это стоит уже больших денег.
Да, от прослушки без врезки https защитит даже с самоподписанным сертификатом.
Только таких ситуаций (когда слушать существенно легче, чем врезаться) достаточно мало, я так сходу даже не скажу. Открытый wifi, сниффинг своего сегмента ethernet… пожалуй все?
Снифать в своем сегменте локалки — идея плохая, обычно не гадят там, где спят. Сидеть в макдаке с ноутбуком и ловить лохов… ну не знаю, много имхо не выловишь. А все остальные варианты man-in-the-middle предполагают либо взлом маршрутизаторов, либо сговор с админами, либо физическую врезку в канал.
Вот как раз нет, или все HTTPS или все HTTP.
HTTPS не позволяет никаких внешних элементов, получаемых по http, это нарушение секьюрности. Ну, то есть технически конечно все сработает, но браузер будет грязно ругаться.
Сам факт обращения к картинке может говорить например о том, что пользователь посетил какую-то конкретную страницу; или это фото человека, которого вы «шифруете»; или какой-то объект имеет статус, который отображается этой картинкой. В-общем, это тоже канал утечки информации. Так что шифруется обязательно вообще все.
Действительно. Тогда получается что хотят переложить на провайдеров ответственность за установление ситуации с авторскими правами. С одной стороны копирасты, с другой недовольные клиенты, обещающие накапать и лишить лицензии.
Самое смешное — у трети хостеров, в том числе пары крупных, вход в контрольную панель закрыт самоподписанными сертификатами. Вот уж, казалось бы, кому как не им…
Браузеры выдают предупреждения, но во всех браузерах это предупреждение можно обойти или добавить исключение.
За статью аплодирую стоя.
Вот только есть вопрос — просветите чайника, чем плохи два дефолтных маршрута с разными метриками, ежели у меня допустим два алпинка, которыми командует программный роутер?
Пожалуйста, добавьте в пункт про HTTPS обязательность использования настоящих сертификатов. Да, получение нормального сертификата это даже не столько деньги, сколько бюрократическая тягомотина, но без нее все технические действия лишены смысла.
Из-за лени, непонимания принципов и интеллектуального скудоумия очень, очень многие считают, что https будет работать и с самоподписанными сертификатами. Подобное, к сожалению, встречается сплошь и рядом даже на сайтах небедных организаций.
Протокол HTTPS защищает от атак вида «человек посредине» (man-in-the-middle), когда чувствительные данные передаются по открытому каналу, к которому злоумышленник может теоретически получить физический доступ.
Краткий ликбез по SSL сертификатам.
Итак, организация генерирует пару ключей — публичный и приватный. Приватный прячется и никому не показывается. Открытый ключ и мета-информация (название организации, адрес веб-сайта, фио админа и т.п.) отправляются в сертифицирующую организацию (SA). Это называется запрос сертификата.
SA проверяет, что запрос пришел действительно от тех, кто указан в метаданных, и что они действительно числятся как владельцы домена. Если все закорючки в норме, открытый ключ вместе с метаданными подписывается секретным ключом SA. Этих самых SA в мире очень немного, их открытые ключи известны всем браузерам.
Когда браузер устанавливает HTTPS соединение, он сразу получает от сервера его сертификат. Зная открытый ключ SA, браузер проверяет цифровую подпись на сертификате. Дальше браузер шифрует свой ответ открытым ключом из сертификата. Расшифровать этот ответ сможет только тот, кто владеет соответствующим сертификату секретным ключом. Именно на этом держится вся защита HTTPS.
Если же сертификат самоподписанный, то тогда имеющий доступ к каналу передачи данных злоумышленник может сделать разрез канала и вставить в него прозрачный прокси-сервер. Этот сервер будет подсовывать жертвам свой собственный самоподписанный сертификат, и такие жертвы никак не смогут отличить этот поддельный сертификат от «как бы настоящего», и поверят злоумышленнику. Он расшифрует все данные, установит собственное соединение с атакуемым сервером и перенаправит их туда. Таким образом, у злоумышленника легким движением руки окажутся весь обмен информацией в расшифрованном виде. То есть все затраты на HTTPS, связанные с дорогостоящим шифрованием трафика, окажутся напрасными. Более того, атакованные даже не узнают о самом факте такой атаки до тех пор, пока злоумышленник не перейдет к активным действиям.
Самоподписанные сертификаты можно использовать, только если вы разворачиваете собственную инфраструктуру PKI и устанавливаете свой корневой сертификат у всех клиентов, например, в локальной сети организации. Ну или для целей тестирования. Но ни в коем случае — не для HTTPS на рабочем сайте.
В 64-битных системах практически нет смысла использовать беззнаковые числа именно как числа.
То есть в полностью 64-битных языках будут отдельно «целые числа» (знаковые) с арифметическими операциями, отдельно «действительные числа» (один тип, то что сейчас double), и отдельно, без возможности конверсии — типы данных «набор из 16/32/64 бит» с булевыми операциями. То есть кесарю кесарево, слесарю слесарево, а все попытки их смешать ошибочны по своей сути.
Ну может конверсию и оставят, но явно не автоматическую. Как сейчас есть Math.round() для конверсии из действительных в целые.
Весь трюк в том, насколько точно определяется первоисточник информации.
Очень многие «крутые» сайты берут чужой контент, в том числе легально.
Например, у человека есть свой отдельно стоящий бложик, но он транслирует его в ЖЖ, чтобы его друганы могли читать его мегамысли через френдленту.
По новым правилам, этот отдельный бложик с точки зрения гугла будет состоять из копипасты чуть более чем полностью (потому что ЖЖ индексируется нонстопом, а бложик раз в две недели), соответственно бложик из выдачи выкинут. Если такая ситуация реально произойдет, то предвкушаю потоки нечистот в Мэтта Каттса.
Я просто к тому, что грань провести очень сложно и я не представляю, как это сделать автоматически.
С другой стороны, те же статьи с хабра — можете проверить — моментально разлетаются по нескольким десяткам сайтов, но уже с продажными ссылками. Да и вообще интернет на 99% состоит из ГС, и это путь в никуда.
А я лично немного в теме, так уже года три нанимаю людей на работу по специальности веб-программист. Кандидатуры без знания РНР я просто не рассматриваю, я просто не верю, что можно разбираться в вебе и совсем не знать РНР. При этом я никого не заставляю его любить, пожалуйста, для себя пишите на чем хотите — хоть на асме вприсядку.
Так вот, из этих 2200 резюме порядка 2000 на данный момент работают, просто хотят или зарплату повыше, или ждут предложений от какого-нибудь яндекса. Да, половина из них ничего не умеет, но все оставшиеся — вполне годные программисты, а 10% даже хорошие.
Правда жизни в том, что сегодня писать интернет-магазин вообще извращение, независимо от языка. Примерно как писать свой Ворд или Эксель, когда вам поставлена задача сделать из компьютера «офисную пишущую машинку».
Коробочные решения сегодня достигли того уровня, когда их нужно просто настроить и натянуть дизайн; ну максимум, в сложных ситуациях, дописать какой-нибудь плагин или очень слегка доработать напильником.
И да, я не теоретик, моя студия запускает магазины за 10-15 часов работы с момента утверждения дизайна, силами одного «грамотного верстальщика».
И вот среди наших клиентов очень многие — жертвы велосипедистов с сайтами не пойми на чем.
С одной стороны, эти пострадавшие меня кормят, с другой — я все же всячески агитирую любителей изобретать велосипеды уйти из профессии и устроиться куда-нибудь, где их желания будут в тему. Мне чисто по-человечески жалко людей, которые полезли в интернет-бизнес и сразу же напоролись на такие детские грабли. Вроде и заплатили нормально, но не тем.
Пункт 1 — бездоказательно. Сделайте такой же магазин на чистом Си и предъявите результаты тестов. Тогда будем говорить.
Пункт 2 — простота для кого? По базе job.ru в default city ищут работу 2221 программиста РНР и всего 54 программиста на Lisp. Переучивание с первого на второе есть процесс долгий и никак не соотносится с «простотой добавления новый возможностей» (с точки зрения владельца магазина). Аналогично с пунктами 5 и 6 — вы просто подсадили заказчиков на себя, любимого, лишив их права себя уволить. Потому что заменить вас некем. «Вы» в данном случае — это вы двое, вместе с вашим помощником.
Пункт 3 почти никак не зависит от платформы разработки, это всего лишь функция от количества нанятых программистов и графика их работы. Если вы взяли рюкзак и умотали на месяц кормить комаров в тайге, а ваш напарник заболел — все, в случае ошибки сайт встал. Независимо от платформы.
Пункт 4, возможно, облегчает жизнь лично вам, но ни на что не влияет для заказчика.
Я ни в коем случае не нападаю на Лисп или что-либо еще. Я выступаю против использования самопальных программ, на чем бы они не были написаны, там, где есть обкатанные, проверенные и работающие решения.
Ваш пункт 5 — это прямой обман. Вы просто подставили своего работодателя, заставив платить вам за поддержку и развитие сайта в будущем. Вы любите скрытые платежи от вашего сотового оператора? Здесь то же самое.
Уникальные решения нужны в уникальных проектах. Интернет-магазины к ним не относятся. Простите, что немного жестко вышло в ваш адрес, просто не надо забивать гвозди микроскопами. Хотите делать микроскопы — так идите работать в соответствующую организацию.
Ну так уж устроен https. Скажем, те же google maps и другие сервисы можно подключить по https, но это стоит уже больших денег.
Только таких ситуаций (когда слушать существенно легче, чем врезаться) достаточно мало, я так сходу даже не скажу. Открытый wifi, сниффинг своего сегмента ethernet… пожалуй все?
Снифать в своем сегменте локалки — идея плохая, обычно не гадят там, где спят. Сидеть в макдаке с ноутбуком и ловить лохов… ну не знаю, много имхо не выловишь. А все остальные варианты man-in-the-middle предполагают либо взлом маршрутизаторов, либо сговор с админами, либо физическую врезку в канал.
HTTPS не позволяет никаких внешних элементов, получаемых по http, это нарушение секьюрности. Ну, то есть технически конечно все сработает, но браузер будет грязно ругаться.
Сам факт обращения к картинке может говорить например о том, что пользователь посетил какую-то конкретную страницу; или это фото человека, которого вы «шифруете»; или какой-то объект имеет статус, который отображается этой картинкой. В-общем, это тоже канал утечки информации. Так что шифруется обязательно вообще все.
Браузеры выдают предупреждения, но во всех браузерах это предупреждение можно обойти или добавить исключение.
Вот только есть вопрос — просветите чайника, чем плохи два дефолтных маршрута с разными метриками, ежели у меня допустим два алпинка, которыми командует программный роутер?
Из-за лени, непонимания принципов и интеллектуального скудоумия очень, очень многие считают, что https будет работать и с самоподписанными сертификатами. Подобное, к сожалению, встречается сплошь и рядом даже на сайтах небедных организаций.
Протокол HTTPS защищает от атак вида «человек посредине» (man-in-the-middle), когда чувствительные данные передаются по открытому каналу, к которому злоумышленник может теоретически получить физический доступ.
Краткий ликбез по SSL сертификатам.
Итак, организация генерирует пару ключей — публичный и приватный. Приватный прячется и никому не показывается. Открытый ключ и мета-информация (название организации, адрес веб-сайта, фио админа и т.п.) отправляются в сертифицирующую организацию (SA). Это называется запрос сертификата.
SA проверяет, что запрос пришел действительно от тех, кто указан в метаданных, и что они действительно числятся как владельцы домена. Если все закорючки в норме, открытый ключ вместе с метаданными подписывается секретным ключом SA. Этих самых SA в мире очень немного, их открытые ключи известны всем браузерам.
Когда браузер устанавливает HTTPS соединение, он сразу получает от сервера его сертификат. Зная открытый ключ SA, браузер проверяет цифровую подпись на сертификате. Дальше браузер шифрует свой ответ открытым ключом из сертификата. Расшифровать этот ответ сможет только тот, кто владеет соответствующим сертификату секретным ключом. Именно на этом держится вся защита HTTPS.
Если же сертификат самоподписанный, то тогда имеющий доступ к каналу передачи данных злоумышленник может сделать разрез канала и вставить в него прозрачный прокси-сервер. Этот сервер будет подсовывать жертвам свой собственный самоподписанный сертификат, и такие жертвы никак не смогут отличить этот поддельный сертификат от «как бы настоящего», и поверят злоумышленнику. Он расшифрует все данные, установит собственное соединение с атакуемым сервером и перенаправит их туда. Таким образом, у злоумышленника легким движением руки окажутся весь обмен информацией в расшифрованном виде. То есть все затраты на HTTPS, связанные с дорогостоящим шифрованием трафика, окажутся напрасными. Более того, атакованные даже не узнают о самом факте такой атаки до тех пор, пока злоумышленник не перейдет к активным действиям.
Самоподписанные сертификаты можно использовать, только если вы разворачиваете собственную инфраструктуру PKI и устанавливаете свой корневой сертификат у всех клиентов, например, в локальной сети организации. Ну или для целей тестирования. Но ни в коем случае — не для HTTPS на рабочем сайте.
То есть в полностью 64-битных языках будут отдельно «целые числа» (знаковые) с арифметическими операциями, отдельно «действительные числа» (один тип, то что сейчас double), и отдельно, без возможности конверсии — типы данных «набор из 16/32/64 бит» с булевыми операциями. То есть кесарю кесарево, слесарю слесарево, а все попытки их смешать ошибочны по своей сути.
Ну может конверсию и оставят, но явно не автоматическую. Как сейчас есть Math.round() для конверсии из действительных в целые.
Очень многие «крутые» сайты берут чужой контент, в том числе легально.
Например, у человека есть свой отдельно стоящий бложик, но он транслирует его в ЖЖ, чтобы его друганы могли читать его мегамысли через френдленту.
По новым правилам, этот отдельный бложик с точки зрения гугла будет состоять из копипасты чуть более чем полностью (потому что ЖЖ индексируется нонстопом, а бложик раз в две недели), соответственно бложик из выдачи выкинут. Если такая ситуация реально произойдет, то предвкушаю потоки нечистот в Мэтта Каттса.
Я просто к тому, что грань провести очень сложно и я не представляю, как это сделать автоматически.
С другой стороны, те же статьи с хабра — можете проверить — моментально разлетаются по нескольким десяткам сайтов, но уже с продажными ссылками. Да и вообще интернет на 99% состоит из ГС, и это путь в никуда.