@kallekn we also have the same menacing black clouds covering all the sky. but still no rain or lighnings.

@vtag так это самое... если они хоть раз читали книги о второй мировой, то должны были заметить, что борьба с коридорами доставки - это главная стратегия в любой войне.
и гораздо проще пускать под откос состав с боеприпасами, чем потом бороться против применения этого вооружения.

@vtag это история про длительные и близкие взаимоотношения жабы и гадюки.

@shuro я не спец в лисапетах, но сдаётся мне, что и там всё пошло по накатанной дорожке копроэкономики: херовые шины и камеры потребитель будет покупать гораздо чаще.

@shuro @wthinker @limping >Смысл OAuth как раз в том, чтобы не давать приложениям твой основной пароль
так юзер один фиг будет хранить этот пароль в приложении. но всё это помножится на большое колиечество уязвимостей из-за bearer-токена.
потоиму что нормальный логин действует до конца сессии. а токен к сессии вообще не привязан. он даже к адресу не привязан. это лишняя ненужная и очень высокая степень уязвимости. при этом он аболютно ничего не добавляет к уже установленной TLS-сессии, кроме ненужного трафика.

@wthinker @limping >А вот token будет для него бесполезен.
как раз ровно наоборот. применение токена вообще ничем не ограничено. можно с другого адреса вообще лезть с ним и сервер даст доступ.

@shuro @wthinker @limping >удачи настроить почту через OAuth в консоли безгуевого хоста
тогда он тем более не нужен, прямо вот вообще.

@vtag >Путин потратил 26 миллиардов долларов, чтобы раскрыть секрет бессмертия или хотя бы долголетия
он бы ещё вечный двигатель начал изобретать. но ему всё равно не поможет: чтобы долго и счастливо жить, не надо быть злобным мудаком. а злобные мудаки типа путлера долго никогда не живут. и это не зависит от количества наворованного бабла. все диктаторы плохо кончили, несмотря на многомиллиардное личное имущество.

@shuro @wthinker @limping >Подозреваю, что по той же причине - устали от проблем клиентов.
я думаю, что это притянуто за ущи. а реальная причина - тащмайор.
потому что никаких надуманных "проблем клиентов" не было. и никто не мешает сделать это опциональной фичей. но что-то мешает. что-то ненормальное, нездоровое. и это государство, я так полагаю.
ну и ещё впаривание "приложений". по крайней мере, в банках для физиков. постоянно пытаются втюхать эти анальные зонды везде, где только можно.
последний раз, когда я была в банке, оператор с подозрением посмотрела на мой кнопочный телефон и многозначително спросила: а ДРУГОГО телефона у вас нет? ясказала, что нет, потому что не нужен. она явно обломалась с предложением впарить мне "приложение".

@shuro @wthinker @limping чота мой ответ не отправился. напишу ещё раз.
проблема не только в переусложнении. проблема в том, что токен - это такая хрень, которая даёт полный доступ к твоему аккаунту любому, кто им владеет. это ключ на предъявителя. и не нужна ни сессия, ни пароли, ничего вообще. это, фактически, перенос защиты данных из уровня кернела, который обычно работает с криптографией сессии, на уровень приложения, причём на уровень 7, в конечный юзерский софт. и тут возникает масса угроз. во-перых, в проприетарщине, включая смертьфоны, этот токен тривиально могут стащить. во-вторых, сервер, который генерит токен, может также его сгенерить без всякого твоего пароля и прочего, от балды. и выдать его тащмайору, например, "по запросу". или вообще кому попало. это не авторизация в полном смысле. это суррогат. причём непонятно вообще, нафиг он нужен. с точки зрения сервера TLS сессии вполне достаточно для обеспечения безопасной передачи данных. зачем наверчивать сбоку эту херню с токеном - непонятно абсолютно. она ничего не добавляет к криптографии, зато даёт целый горизонт возможных утечек и неправомерного применения.

@shuro @wthinker @limping чота мой ответ не отправился. напишу ещё раз.
проблема не только в переусложнении. проблема в том, что токен - это такая хрень, которая даёт полный доступ к твоему аккаунту любому, кто им владеет. это ключ на предъявителя. и не нужна ни сессия, ни пароли, ничего вообще. это, фактически, перенос защиты данных из уровня кернела, который обычно работает с криптографией сессии, на уровень приложения, причём на уровень 7, в конечный юзерский софт. и тут возникает масса угроз. во-перых, в проприетарщине, включая смертьфоны, этот токен тривиально могут стащить. во-вторых, сервер, который генерит токен, может также его сгенерить без всякого твоего пароля и прочего, от балды. и выдать его тащмайору, например, "по запросу". или вообще кому попало. это не авторизация в полном смысле. это суррогат. причём непонятно вообще, нафиг он нужен. с точки зрения сервера TLS сессии вполне достаточно для обеспечения безопасной передачи данных. зачем наверчивать сбоку эту херню с токеном - непонятно абсолютно. она ничего не добавляет к криптографии, зато даёт целый горизонт возможных утечек и неправомерного применения.

@shuro @wthinker @limping да там ничего "развивать" не нужно. для особо тупых можно сделать интерфейс с одной кнопкой, который дёрнет openssl, сгенерит клюи выдаст его в виде текста в буфер, который надо вставить в какое-то поле на сервере, например. в куче мест есть применение таких ключей и ничего, юзеры как-то пользуются.