dxdt.ru: занимательный интернет-журнал

Оказывается, на dxdt.ru накоплено немало записок (1410, как говорит WordPress – нужно доделать книгу, наверное). Поэтому, небольшая подборка заметок из прошлых выпусков:

• Автомобильные охранные системы – защита связи;
• Сигнатуры, ПВО и утечки информации по побочным каналам;
• Механические замки в будущем;
• Активация аппаратных “закладок” в вычислительных системах;
• Военные дирижабли: надёжные и безопасные.

И, кстати, записка практически в этот же день (то есть, завтра), но год назад:

05.07.2009: Сетевая навигация по ЭМ-излучателям.

Кстати, а всё равно многие удивляются, услышав, что можно определить какой именно (физический) передатчик работает в радиоэфире, слушая передачу специальным оборудованием. Между тем, это всего лишь вопрос сбора сигнатур. И речь не о “стиле радиста”, конечно. А, например, о коротковолновой станции или о WiFi.

Каждый передатчик имеет свои физические особенности. Как известно, основная их часть лежит в, так сказать, частотной области: нелинейные процессы, связанные с преобразованием сигналов в электронных устройствах, лучше всего проявляются при преобразовании частот, генерации задающих “чистых” сигналов и т.п..

Фиксируя эти особенности специальным приёмником с достаточно высоким “разрешением”, можно построить сигнатуры, которые позже позволят понять, что в эфире работает другое устройство, даже если оно передаёт то же самое сообщение (тот же сигнал), что и предыдущий передатчик. Более того, передача повторов как раз делает узнавание передатчика более простым: сравнивать отличия динамических характеристик легче.

В отношении кириллицы в именах доменов часто используют аналогию с многоязычными именами файлов в операционных системах. Мол, вот ввели же кириллические (и многоязычные) имена файлов. Это плохая аналогия. Почему? Прежде всего потому, что домены – это не файлы. Их имена вводятся и используются иначе.

Во-первых, кириллические адреса вводятся не в DNS, а чисто на клиентской стороне. Так что сами доменные зоны как были “латинскими”, так и остались. Зато появился дополнительный уровень представления, который, к тому же, с точки зрения технического специалиста (админа, например), расщепляет множество доменных имён на два класса – “традиционные” и “в кракозябрах” (то есть, кодированные в Punycode).

Во-вторых, домены адресуют группы разнородных ресурсов, доступных для неопределённого круга “клиентов” (DNS – глобальная система). При этом сами интернет-ресурсы в своей работе постоянно используют доменные имена для “обратных” ссылок (базовые URL для веб-сайтов, адреса e-mail, доступ с терминалов и т.д., и т.п.). Файлы – это объекты более “локальные”, наружу, конечно, передаются, но обязательно через какой-то “шлюз” (например, через веб-сервер). Даже директории (вполне себе файлы, да), адресующие группы объектов в файловой системе, это не эквиваленты доменов в современном Интернете.

Практическое проявление описанных различий сейчас хорошо видно на веб-сайтах, которые бодро перешли на кириллицу в адресах. Например, документ с описанием домена РФ на сайте Координационного центра (администратора этого домена) имеет вот такой URL: http://кц.рф/ru/domains/domenrf/. Посмотрите сами, где здесь домены и где “файлы”, которые уже давно допускают использование многоязычия.

Это я не к тому, что адреса на кириллице плохо. Просто ситуация – сильно отличается от случая с именами файлов.

На сайте Координационного центра (это администратор доменов RU и РФ) читаем в новости замечательное (ключевой фрагмент я выделил):

По результатам тестирования работы первых кириллических доменов в разных браузерах были выявлены не только технические проблемы браузеров, но и зашитые в них бизнес-процессы, включая переадресацию написанных кириллицей слов на домен .COM или на страницу поиска вместо корректного отображения кириллического доменного имени.

Уж не знаю, что там за такое тестирование было, но новость, да, сногсшибательная. “Бизнес-процессы”, зашитые в браузеры. Вот как. Например, бухгалтерский учёт, зашитый в браузер. (Ну и вообще там понять что-то в тексте трудно. Даже браузеры названы с ошибками.)

В одной из прошлых заметок я писал (правда, больше в шутку) о скрытых (навязанных) вычислениях, которые могут проводить распространённые ОС в рамках процедуры получения обновлений. Результаты этих вычислений, понятно, могут использоваться производителями ОС: грех же не воспользоваться миллионами бесплатных часов машинного времени.

Интересно, что навязать пользовательскому компьютеру такие вычисления можно и без доступа к системе обновлений. Логичное решение – посещаемый веб-сайт. Конечно, можно что угодно запрограммировать на JavaScript и отправлять результаты подсчётов на сервер после загрузки страницы, или даже считать всё время, пока страница загружена, а результаты отправлять асинхронно, с помощью AJAX. Но JavaScript – медленный, да и решение получается слишком банальное.

Изящное решение могло бы быть вот каким: навязанная вычислительная задача “зашивается” в рендеринг веб-страниц. Например, когда браузер размещает в окне визуальные блоки, определяемые специально подготовленным CSS-ом (таблицами разметки страниц), он решает задачи, близкие к комбинаторным (ведь позиционирование блоков может быть относительным и абсолютным, с разной глубиной, с разным выравниванием и т.п.).

CSS-ы можно генерить разные при каждом обращении браузера. В каждый экземпляр CSS-ов транслируется кусочек задачи, кусочек навязанных вычислений. Получить информацию об итоговом расположении блоков сложнее, нужно привязывать всё к каким-нибудь фоновым картинкам. Возникают вопросы: кто-то уже такое делал? Выгодно ли это в вычислительном плане, относительно затрат на формирование CSS-ов?

Интересно, что “Яндекс” мог бы первым из крупных проектов выкатить полностью кириллическую адресацию. Вот у них в “Словарях” уже можно кириллицу использовать в URLе (http://slovari.yandex.ru/слово/), и есть домен яндекс.рф, в том числе с поддоменом словари.яндекс.рф. Но пока почему-то там редиректы понаставлены. А пора бы уже запустить полноценную версию.

На видео, которое доступно про ссылке ниже, испытания F-35 с коротким взлётом. При внимательном просмотре там можно увидеть некий небольшой предмет, который c большой скоростью вылетает из-под самолёта. Как пишут в блоге The DEW Line, реактивная струя двигателя F-35 выбила из полосы и подняла в воздух резиновое уплотнительное кольцо от осветителя – посадочного огня. Такой вот очередной пример старых сложностей с эксплуатацией самолётов вертикального взлёта: даже неплохо державшиеся на своих местах раньше вещи улетают в неожиданных направлениях. Понятно, что такая резинка может сильно повредить самолёт, если залетит, например, в воздухозаборник, или застрянет в элементах шасси. Видео:

В продолжение темы про привязку авторизации к адресам e-mail. Как должна работать правильная напоминалка пароля от того или иного интернет-сервиса по e-mail?

Очевидно, нельзя высылать почтой пароль (новый/старый) в открытом виде. Высылать нужно специальную ссылку на интерфейс смены пароля. Ссылка работает по https и содержит одноразовый ключ, действующий определённое время. К счастью, эта схема уже фактически стала стандартным вариантом. Тем не менее, иногда можно от разработчиков услышать возражения такого типа: какая разница, что высылать, сам пароль или ссылку? если кто-то посторонний читает почту, то он одинаковым образом сможет получить и то, и другое. Возражение ошибочное. Схема со ссылкой существенно безопаснее. Судите сами.

Ссылка – одноразовая (там одноразовый ключ). Значит, если её первым использует легитимный получатель, то для злоумышленника она бесполезна. Использованные ссылки можно смело сохранять в почтовых архивах. Сравните с хранением письма, содержащего пароль в открытом виде (а часто письма как раз сохраняются месяцами и годами). Разовое использование ссылки (или, что эквивалентно, её устаревание) гарантированно делает безопасными все “следы” этой ссылки в тех многочисленных логах, в которых она могла засветиться.

Если же первым в применении ссылки окажется злоумышленник, то добросовестный пользователь получает шанс узнать об этом, когда попытается задействовать ссылку второй раз. (Интерфейс напоминалки должен быть устроен таким образом, что нельзя имитировать повторную работу со ссылкой.) Более того, логирование записей о запросах к напоминалке и об использовании выданных ссылок, позволяет получить дополнительную информацию для проведения расследования.

А в дополнение к одноразовым ссылкам нужна капча в самом интерфейсе смены пароля.

Ещё один существенный оффтопик. Думаю, читателям dxdt.ru хорошо известно, что есть категории людей, которые, в силу рода деятельности, избегают использовать слово “последний”, в значении времени события, в определённых контекстах. При этом для “людей нормальных” слово “последний” в этих же смыслах/контекстах смотрится естественно. Примеры: нельзя говорить “последний прыжок” или “последний полёт” и т.п., хоть и имеется в виду лишь последний по времени. Ну, вы сами знаете. В этих случаях принято говорить “крайний”, а не “последний”.

Вот интересно в этом разрезе читаются тексты на российском сайте компании Mitsubishi. Они там почему-то пишут именно “последний”, но так, что, на фоне проблем авторынка, и не догадаться, в каком они значении “последний” используют. Например, в описании “обновок” про L200 читаем буквально следующее:

Новинка получила оригинальные фары, решетку радиатора и бампер. В последних автомобилях модели L200 будет возможность выбрать один из двух типов кузова – Double Cab и Club Cab.

Или вот, про непонятный автомобильчик Mitsubishi ASX на официальном сайте пишут совсем уж многозначительно:

Mitsubishi ASX – это последний автомобиль, разработанный на средней платформе проекта MMC “Project Global”.

Действительно – последний? А ссылка с “последний автомобиль” – на страницу новинок ведёт. Оригинально.

Так ли хороши дела у Mitsubishi? А ограничения на использование слов, они ж не на пустом месте появляются, да.

Всё, больше сегодня оффтопиков не будет. Этот – крайний.