Задать вопрос

rPman

Комментарии

  • E2EE + WEB = поищем безопасность?

    @rPman
    whatsup это отличный пример, они переусложнили код и юзабилити, при этом полностью забив на собственно ради чего это делается... они все хранят у себя и ключи и информацию, ибо в законе от них это требуют.
    Написано

  • E2EE + WEB = поищем безопасность?

    @rPman
    при каждом "зависании инета" юзеры любят "обновлять"
    это потому что само приложение ничего для решения не делает.

    это фича браузера - окно это контекст, закрыл окно - закрыл приложение и ты точно знаешь что ничего в оперативной памяти (кроме кеша статичного контента и тот только для оптимизации) не останется и не будет запущено, итак у пользователя весь контроль отобрали, надеюсь ЭТО еще долго не отберут.

    потому то обновление и решает большинство проблем, потому что это сброс до начального состояния (на самом деле часть состояния можно хранить в ссылке, с помощью #xxx но это само собой не ваш случай)

    p.s. не храните на сервере пинкод/пароль пользователя, иначе все остальное в этом случае бессмысленно, зачем тогда мучиться то
    Написано

  • E2EE + WEB = поищем безопасность?

    @rPman
    угу, обновление страницы все убьет.
    он работает в контексте, либо страницы до ее обновления либо до webworker или sharedworker (несколько страниц с общим воркером, пока хотя бы одна страница существует воркер тоже существует)... если пользователь закрыл или обновил страницу, значит он это хотел, и нормально спросить ПОСЛЕ этого у него пароль заново.

    привыкайте к понятию SPA
    Написано

  • E2EE + WEB = поищем безопасность?

    @rPman 
    const storage = (() => {
  let SEED; // не глобальная, снаружи напрямую не доступна

  return {
    set(v) { SEED = v; },
    hashed(x) { return (x ^ SEED) | 0; }, // не воспринимай xor как что то надежное, мне тупо лень писать вычисление хеша с солью
  };
})();

storage.set(0x9e3779b9);
storage.hashed(123);
storage.SEED; // undefined

    повторюсь, через отладчик все можно вытащить, но это сложнее и требует иные скилы
    Написано

  • E2EE + WEB = поищем безопасность?

    @rPman
    зачем каждый раз вводить пароль? ключ хранить в памяти после ввода пароля, доступ к оперативной памяти гораздо сложнее чем доступ к данным в базе данных браузера.

    доп пинкод? никакой безопасности не повысит, а вот пользователи тебя возненавидят.

    Функционал с точки зрения usability не должен отличаться от типовых месседженеров, за исключением запрета забыть пароль от ключей шифрования или потери самих ключей.
    Написано

  • E2EE + WEB = поищем безопасность?

    @rPman
    шифруют паролем/пинкодом, типовая практика.

    барузер пользователя почти всегда разблокирован, поэтому если мы защищаемся от 'доступ злоумышленника к рабочему месту', то дополнительный уровень шифрования имеет смысл.. да есть еще отладчик, но его использование не такое простое как 'открыть консоль разработчика и вставить команду'.
    Написано

  • Есть ли программа, которая сравнит два диска на наличие дубликатов файлов (побайтно!) и покажет файлы, НЕ имеющие двойников?

    @rPman
    Такие задачи решают скриптами за 5 минут. И да, в вашем ТЗ есть неточности, нужно ли проверять файлы с разными именами и путями? нужно ли учитывать дубликаты в пределах одного диска (условный пример c:\path1\file.txt и c:\path1\subpath1\file.txt на одном диске но на другом диске нет этого файла, нужно ли проверять на дубликат, я могу догадаться что нет, и это даже вредно но мало ли)

    формируется правильная (отличная от изначальной) структура каталогов

    Еще беда в том что обычно нужны не файлы а их группы, условно инсталятор с кучей файлов, он должен рассматриваться как единое целое, а в другом каталоге просто набор картинок, каждый по отдельности? определить это автоматически не просто.

    p.s. я бы собрал хеши файлов на каждом диске, записывая их в два соответствующих файлика src.list и dst.list построчно - md5хэш пробел путь с именем файла (можно использовать любой другой хеш, на ваше усмотрение и вопрос паранои по поводу коллизий) а затем написал бы простой скрипт для сравнения этих файлов на предмет - какие хеши из второго файла отсутствуют в первом (в зависимости от выбранного языка это строк 5-10). Такой скрипт сейчас даже бесплатные ИИ пишут на ура
    Написано

  • Как отдать ответ клиенту без ожидания завершения скрипта?

    @rPman
    да я не против, я сам такие решения генерирую, говнокод это не повод для расстройства, просто нужно это держать в голове

    простота решения - плюс
    скрытые проблемы - минус (не каждый сразу поймет почему сервер перегружен зависшими процессами)
    Написано

  • Планшет на Windows -> планшет на РЕД ОС реально ли?

    @rPman
    иногда проще использовать android, с установленным на него чем то типа debia-no-root, на сколько я знаю там и xserver запилили что проблем с воспроизведением видео больше нет и вообще работает все шикарно.
    Написано

  • Как отдать ответ клиенту без ожидания завершения скрипта?

    @rPman
    рекомендуется пользоваться этим с осторожностью, каждый оставленный запущенным такой процесс будет занимать воркер веб сервера, считается говнокодом, но да, решает задачу буквально как поставлено автором вопроса и вполне подходит, если к примеру единственный кто вызывает скрипт - это ты же, т.е. контролируешь частоту запросов.
    Написано

  • E2EE + WEB = поищем безопасность?

    @rPman
    база данных есть в браузере, штатная web storage api.
    еще раз, сервер формально не очень нужен, он нужен только на старте подключения пользователя к чату - webrtc signaling server, и stun/turn сервера для тех кого заперли за NAT, но этих публичных даже полно, начиная с гугловского.

    если вам нужно убедить клиентов в безопасности вашего клиента и то что он не крадет приватную информацию, вам нужно - обеспечить доступ к исходникам, и главное обеспечить возможность запуска на контролируемых мощностях (так как проконтролировать что там ваш веб сервер возвращает невозможно) и главное ни в какой форме не хранить приватные ключи пользователей на сервере... этот момент убивает все фишки удобства для большинства неофитов, привыкших что для доступа к чату им достаточно своего номера телефона.
    p.s. одна из форм приватной информации - факт общения конкретного пользователя с другим конкретным пользователем, даже без расшифровки сообщений, дать гарантии того что эта информация не собирается очень и очень технически сложно
    Написано

  • E2EE + WEB = поищем безопасность?

    @rPman
    удобство и безопасность обычно не совместимы.
    но если очень грамотно подойти к разработки usability то все возможно.

    историю хранить могут все ото всех и погдружать при подключении (вырожненный случай - блокчейн, но не нужно)
    Написано

  • Какой отлдачик для Python поставить новичку?

    @rPman
    idle работает из того окружения, которое было активировано (или того окружения откуда python был запущен)
    tronny может работать глобально, но я сильно не изучал вопрос, кажется будут глюки, поэтому так же рекомендуется что бы он работал (и был установлен) в требуемом виртуальном окружении.

    Более взрослые ide типа msvs code или pycharm умеют работать глобально, выбирая venv в настройках проекта.
    Написано

  • Настройка и выбор сервера для обхода белых списков?

    @rPman
    фраза 'вайт лист' вам не понятна? это белые списки разрешенных сервисов. Если ваш vds под эти правила не попадают, ему либо нет доступа либо ограничена скорость.

    плюс каждый провайдер ломает интернет в меру своих способностей и оборудования, плюс там исторически наворочено столько, что... в общем интернет сломан нахрен
    Написано

  • Существует ли менеджер виртуальных окружений для python, который хранит все пакеты в одном месте?

    @rPman
    SmeliyR, осторожно со ссылками, обновишь пакет в версии на которую ссылки идут, и у тебя все поедет.

    нужно оригинальные файлы складывать в отдельном каталоге,.. и как то вручную их мониторить на предмет использования или нет, в общем геморно
    Написано

  • В последнее время постоянно попадаются флешки, которые портят файлы, в чем дело?

    @rPman
    Замечал это при работе на множестве разных компьютеров, на флешках любых объемов и производителей, даже на самых казалось бы надежных древних на 256 МБ (SLC которые были). То есть, сбои не зависят от конкретных ПК или флешек. Безопасное отключение тоже роли не играет по моим наблюдениям.
    этот момент нужно конкретизировать, если на разных компьютерах и разных устройствах происходит одно и то же то вариантов остается не много.

    нужно найти ситуацию, когда проблема не появляется.

    нужно проверить что общего, когда проблема появляется.

    Например, это одна и та же сеть? компьютеры настраивал один и тот же человек? возможно это такой вирус (маловероятно но почему нет, проблема явно программная, если проявляется на разных флешках)

    Или наоборот, вы пользуетесь одним и тем же картридером, а он в свою очередь что то ломает с передаваемыми данными.
    Написано

  • Почему в самописном приёмнике данные не принимаются без Serial.print()?

    @rPman
    тут отпишитесь
    Написано

  • Почему не работает передача контекста между приложениями?

    @rPman
    хендл окна будет недостаточен, что бы контекст gl работал, его нужно использовать из процесса его владельца, т.е. инжектить в другой процесс свою библиотеку и работать, на win10 и выше это работает плохо (или совсем не работает, в одних случаях это работает в других нет, и похоже требует специфических настроек безопасности)
    Написано

  • Почему в самописном приёмнике данные не принимаются без Serial.print()?

    @rPman
    не ответом, потому что это не мое, мне просто интересно как на такие задачи отвечает современный ИИ.
    openai:chatgpt5.2 api
    У вас «приём» сделан чистым битбангом: вы сэмплируете линию по delayMicroseconds(), предполагая, что попадаете примерно в середину каждого бита и что между передатчиком/приёмником нет рассогласования по фазе/времени. В такой схеме любой лишний/недостающий микросекундный сдвиг быстро приводит к чтению «на границе бита» и к ошибкам (особенно заметным на коде Хэмминга, т.к. один сдвиг ломает весь байт).

    Serial.print() “лечит” это случайно, потому что радикально меняет тайминги вашего цикла (и на RP2040 ещё и через USB/прерывания), т.е. вы непреднамеренно добавляете паузы/джиттер, и сэмплы начинают попадать ближе к центру битов или вы чаще попадаете на следующий пакет.
    ...
    весь ответ
    на мой не искушенный взгляд это выглядит как реальная причина.
    Пожалуйста ответь, так ли это.
    Написано

  • Как сделать дизайн + верстку с помощью ИИ?

    @rPman
    Дмитрий, это генератор картинок, для его создания требуется меньше понимание чем для верстки
    Кстати, openai:chatgpt5.2 по просьбе на твою картинку верстку делает, но не уверен что тебе нужно именно это. Помимо картинки нужно уметь делать ее адаптивной в т.ч. к контенту, а в догонку еще и кроссбраузерной (хотя бы ПК/android/iphone) так там требуются очень специфические скилы, я не уверен что в обучающей выборке там вообще это лежит.. хотя использование различных (читай тяжелых) фреймворков для верстки оно конечно знает, и на простую задачу такого может наворотить.

    Любой вопрос на сложную задачу разработки начинай с просьбы помоч составить техническое задание, пусть модель задает тебе вопросы а ты на них отвечай, типа
    помоги создать техническое задание на ....текст задачи ... Если в задаче есть неточности и неоднозначности, или о чем то я забыл упомянуть, задавай наводящие вопросы до тех пор, пока задание не станет достаточным для того что бы начать разработку.

    а затем, таская это ТЗ в шапке и проси дальше:
    проанализируй это задание и предложи методы и технологии, с помощью которых ее можно решить. По каждому выдай основные достоинства и недостатки..

    выбираешь из предложенных технологии, просишь составить план разработки и т.п.. так шаг за шагом получишь результат.

    А вот в один короткий запрос ты получшь случайное говно.
    Написано