Share this page!

Андрей Ситник Profile picture
Twitter logo
3 Feb, 4 tweets, 2 min read
Жена подарила новый браслет-чётки для моего ключа YubiKey — цвета символизируют планеты Солнечной системы.

А на фоне NFC-приёмник, чтобы не разнашивать USB-разъём. Я часто пользуюсь ключом для GPG-подписи гит-тегов и чтения программой одноразовых aTOTP-кодов.
Мне любые браслеты не удобны. Эти чётки — аналог брелка. Делают ключ больше, чтобы не потерять, например, в ранце.

Заодно во время раздумий можно теребить как чётки.
У меня Андроид. TOTP-код прочитать или авторизоваться через WebAuthn могу через USB-C.

Для Айфона есть NFC.
Приватный GPG-ключ или секрет для генерации одноразовых TOTP-кодов лежат в специальном чипе откуда их нельзя прочитать.

По NFC или по USB-C ты просишь чип сгенерировать одноразовый код или подписать файл — но эта операция будет идти на самом чипе.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Андрей Ситник

Андрей Ситник Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @andrey_sitnik

Андрей Ситник Profile picture
3 Feb
Как человек с большим опытом споров, хочу рассказать как переубеждать своих родителей, родственников и других сторонников Путина из вашего окружения.

К сожалению, очень часто это наша вина, что они нас не слышат.

Тред ↓ Image
Главная ошибка — использовать те аргументы, что смотрим мы сами.

Переубеждать противника и поддерживать сторонника — это два разных мира.

Для переубеждения надо использовать другие слова, чем в вашем инфополе сторонников.
Вторая ошибка — в нашем инфополе мы привыкаем, что все вокруг согласны.

Как только мы начинаем общаться с противниками, слышать их аргументы и видеть их картину мира, мы к этому не готовы.

Часто начинаем психовать, оскорблять их или их убеждения. В итоге они и закрываются.
Read 37 tweets
Андрей Ситник Profile picture
1 Jun 20
Тут неправильно выделять лишь 2 группы. Логично выделить 3:
1. Полиция
2. Протестующие
3. Мародёры, которые пользуются конфликтов первых двух
Конечно, там даже больше групп:

1. Полицеские-садисты
2. Полицейские, которые бьют за любое неповиновение, чтобы люди боялись и подчинялись
3. Полицейские которые не хотят никого бить, но своих не сдают
4. Те, кто реально пытаются что-то изменить
К сожалению, в США ситуация чуть сложнее, чем «есть несколько копов, которые убили людей».

В полиции есть принцип очень жёстко реагировать на любой акт неподчинения, чтобы люди всегда боялись полицию и слушались.

Так что это проблема системы и кульутры, а не отдельных людей.
Read 5 tweets
Андрей Ситник Profile picture
31 Mar 20
Если вы желаете 2FA — не делайте SMS. Лучше сделайте поддержку двух технологий: TOTP (6-значные ключи) и FIDO/WebAuthn (аппаратные ключи).

Не забывайте про WebAuthn. TOTP тоже не очень безопасен.
Давайте начнём с терминологии.

Одноразовые пароли. Когда у вас есть программа или устройство, которое генерирует разные коды. Перехватив код нельзя понять какие коды будут идти дальше.

Такая штука защищает не только от перехвата, но и от плохих привычек пользователей с паролями
2FA (двухфакторная) — вы подтверждаете себя на сайте двумя вещами из трёх: знание (пароль), обладание предметом (аппаратным ключом с одноразовыми паролями), биометрия.

Каждый фактор требует разной атаки (цифровой взлом, кража) и сложно найти специалиста сразу в обоих областях.
Read 15 tweets
Андрей Ситник Profile picture
18 Feb 20
ES-модули в JS — крутая функция, но грустный пример сложного внедрения.

На самом деле нет одних ES-модулей — есть 3 разных технологий: модули в браузере, в Node.js и в сборщиках. И они не очень совместимы между собой.

Тред про всю правду о ES-модулей ↓
Вокруг ES-модулей есть много заблуждений типа:
— «с ESM нам не нужны сборщики»
— «с ESM можно использовать npm-пакеты сразу в браузере»
— «ESM уже готовы для использования в npm-пакетах»

Попробую объяснить их текущие ограничения в этом треде.
Начнём с правды про ES-модули в браузерах. Этот код не будет работать в браузерах:

import { throttle } from 'throttle-debounce'

Модули в браузере загружаются только по прямому пути:

import { throttle } from './node_modules/throttle-debounce/index.mjs'
Read 20 tweets
Андрей Ситник Profile picture
5 Dec 19
Первая версия сайта с документацией @logux_io готова. Проверйте:
logux.io

Само собой сайт построен не на популярных реакт-решениях. В треде расскажу об экспериментах, которые удалось в нём реализовать.
github.com/logux/logux.io
@logux_io В сайтах с документацией обычно мало работы с DOM — поэтому нам не нужна библиотека автоматического изменения DOM. Нет смысла использовать Реакт (и Gatsby), Vue.js, Preact или Svelte.

Вот весь JS-код сайт (меньше, чем многие даже микро-библиотеки).
@logux_io Метрики logux.io в Google Lighthouse.

Ещё при разработке я смотрел на observatory.mozilla.org, который проверяет настройку безопасности (XSS не так опасен для статичного сайта, но хорошие практики лучше ввести в привычку).
Read 32 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @andrey_sitnik has new unrolls!

Check out other threads from @andrey_sitnik!

Read all threads by @andrey_sitnik