Здравствуйте, k0d3r, Вы писали:
S>>На колу мочало, начинай сначала. Нет, не разобрались. С технической точки зрения эта штука не защищает от злонамеренного разработчика, а только злонамеренные разработчики и пишут малварь.

K>Эта штука защищает диск пользователя от малварей и спайварей.

Нет.

K>Малвари и спайвари которые не имеют доступа к диску пользователя — гораздо менее опасны.

Мы уже долго обсуждали, что не нужен доступ ко всему диску пользователя. Ценность разных файлов (и вообще, разных данных) сильно разная.

K>Эта штука обеспечивает на множестве платформ тот МИНИМУМ безопасности для пользователя, который до сих пор без монопольного стора не был доступен.

Этот минимум безопасности еще со времен Windows XP обеспечивается набором простых правил — не суйся в интернет с прямым IP, ставь апдейты, не качай всякого дерьма, не лазь по левым сайтам, и пользуйся адблоком. И всё.

S>> Цукерберг, скажем, и его Кембриджская Аналитика.

K>И что? То что Фейсбук у себя на серверах накосячил — это по вашему аргумент?

Да, конечно. Это же самая мякотка — денежки. Специалисты по безопасности склонны думать про всякие технологические фичи, и забывать про денежки и прочие человеческие пороки. Фалко, без сомнения, может рассказать об этом с соответствующими цитатами, и будет прав.

K>Гугл и Майкрософт — отдельная тема. Это монопольные держатели платформ, которые могут собирать вообще всё что хочешь. Но при чём здесь PWA?

При том, что PWА защищает от угроз, которые кончились десять лет назад, типа вируса "Петя".

S>> Или right9ctrl с его воровством биткоинов. Все эти атаки, заметим, существующие и успешные, и никакое техническое PWA их не предотвращает.

K>Ну объясните как можно украсть биткоины с диска пользователя через PWA?

1. затроянить библиотеку, которая реализует Stream,
2. дождаться, пока она будет включена в программу кошелька биткоина,
3. собрать пароли, номера кошельков, или что там нужно.

K>Вам просто потроллить хочется? Я уже не понимаю смысла разговора.

Смысл разговора состоит в том, что ты рекламируешь достоинство технологии, которого нет. А я тебе на примерах объясняю, что технология защищает (хорошо защищает, да) от атак, которые были актуальны примерно десять лет назад.

S>>Незнание истории не освобождает от отвестственности — сказано же, шифровать данные при записи и расшифровывать обратно при чтении. Делай бэкапы или нет — через какое-то время никакой разницы не остаётся.

K>При скачивании бэкапа достаточно пользоваться утилитой для проверки валидности данных.

И много народу, практически, видело когда-то валидатор для PSD?

Здравствуйте, k0d3r, Вы писали:
S>>На колу мочало, начинай сначала. Нет, не разобрались. С технической точки зрения эта штука не защищает от злонамеренного разработчика, а только злонамеренные разработчики и пишут малварь.

K>Эта штука защищает диск пользователя от малварей и спайварей.

Нет.

K>Малвари и спайвари которые не имеют доступа к диску пользователя — гораздо менее опасны.

Мы уже долго обсуждали, что не нужен доступ ко всему диску пользователя. Ценность разных файлов (и вообще, разных данных) сильно разная.

K>Эта штука обеспечивает на множестве платформ тот МИНИМУМ безопасности для пользователя, который до сих пор без монопольного стора не был доступен.

Этот минимум безопасности еще со времен Windows XP обеспечивается набором простых правил — не суйся в интернет с прямым IP, ставь апдейты, не качай всякого дерьма, не лазь по левым сайтам, и пользуйся адблоком. И всё.

S>> Цукерберг, скажем, и его Кембриджская Аналитика.

K>И что? То что Фейсбук у себя на серверах накосячил — это по вашему аргумент?

Да, конечно. Это же самая мякотка — денежки. Специалисты по безопасности склонны думать про всякие технологические фичи, и забывать про денежки и прочие человеческие пороки. Фалко, без сомнения, может рассказать об этом с соответствующими цитатами, и будет прав. И здесь важно, что Фейсбук не косячил. Они сделали ровно то, что хотели сделать.

K>Гугл и Майкрософт — отдельная тема. Это монопольные держатели платформ, которые могут собирать вообще всё что хочешь. Но при чём здесь PWA?

При том, что PWА защищает от угроз, которые кончились десять лет назад, типа вируса "Петя".

S>> Или right9ctrl с его воровством биткоинов. Все эти атаки, заметим, существующие и успешные, и никакое техническое PWA их не предотвращает.

K>Ну объясните как можно украсть биткоины с диска пользователя через PWA?

1. затроянить библиотеку, которая реализует Stream,
2. дождаться, пока она будет включена в программу кошелька биткоина,
3. собрать пароли, номера кошельков, или что там нужно.

K>Вам просто потроллить хочется? Я уже не понимаю смысла разговора.

Смысл разговора состоит в том, что ты рекламируешь достоинство технологии, которого нет. А я тебе на примерах объясняю, что технология защищает (хорошо защищает, да) от атак, которые были актуальны примерно десять лет назад.

S>>Незнание истории не освобождает от отвестственности — сказано же, шифровать данные при записи и расшифровывать обратно при чтении. Делай бэкапы или нет — через какое-то время никакой разницы не остаётся.

K>При скачивании бэкапа достаточно пользоваться утилитой для проверки валидности данных.

И много народу, практически, видело когда-то валидатор для PSD?