LINUX.ORG.RU

Gitter становится частью сети Matrix

 , , ,


2

3

Компания Element приобретает Gitter у GitLab, чтобы адаптировать сервис для работы в условиях федеративной сети Matrix. Это первый крупный мессенджер, который планируется прозрачно перенести в децентрализованную сеть вместе со всеми пользователями и историей сообщений.

Gitter является свободным централизованным средством для групповой коммуникации между разработчиками. Помимо типовой функциональности командного чата, по сути своей схожей с несвободным Slack, Gitter также предоставляет инструменты для тесной интеграции с платформами совместной разработки, вроде GitLab и GitHub. В прошлом сервис был проприетарным, пока его не приобрела компания GitLab.

Matrix же представляет собой свободный протокол для реализации федеративной сети, построенной на основе ациклического графа событий (DAG). Основной реализацией этой сети является мессенджер с поддержкой сквозного шифрования и VoIP (аудио- и видеозвонков, групповых конференций). Эталонные реализации клиентов и серверов разрабатываются коммерческой компанией Element, сотрудники которой также возглавляют некоммерческую организацию Matrix.org Foundation, курирующую разработку спецификации протокола Matrix.

На данный момент пользователи Gitter и Matrix общаются с помощью «моста» matrix-appservice-gitter, релея для пересылки сообщений между ними. При отправке сообщения, например, из Gitter в чат с подключённой интеграцией в Matrix, «мост» создаёт виртуального пользователя для отправителя из Gitter на сервере Matrix, от имени которого и доставляется сообщение в чат со стороны Matrix, и наоборот соответственно. Подключение такой интеграции возможно прямо из настроек чата со стороны Matrix, но этот способ коммуникации будет помечен устаревшим.

В краткосрочной перспективе пользователи не заметят никаких видимых изменений: они смогут пользоваться мессенджером так же, как и до покупки. В дальнейшем процесс трансформации из централизованного сервиса в децентрализованный субъект федерации будет совершён благодаря организации нового сервера Matrix и интеграции «моста», по аналогии с matrix-appservice-gitter, прямо в кодовую базу Gitter. Существующие чаты в Gitter будут доступны как Matrix-комнаты, вроде «#angular_angular:gitter.im», с импортированной историей сообщений.

После успешной интеграции пользователи обеих сетей получат свою выгоду: пользователи Matrix смогут прозрачно общаться с пользователями Gitter, а пользователи Gitter смогут использовать клиенты Matrix, например, мобильные, так как разработка официальных приложений Gitter была прекращена. В конечном итоге можно будет считать, что Gitter станет одним из клиентов сети Matrix. Но, к сожалению, Gitter значительно уступает по возможностям, чем эталонный клиент Matrix — Element, поэтому вместо доведения Gitter до паритета в функциональности с Element, было решено реализовать все недостающие возможности из Gitter в Element. В долгосрочной перспективе Gitter будет заменён на Element.

Из полезных особенностей Gitter, которые могут адаптировать для Element:

  • Высокая производительность при просмотре чатов со значительным количеством пользователей и сообщений;
  • Тесная интеграция с платформами совместной разработки, вроде GitLab и GitHub;
  • Иерархический каталог чатов;
  • Дружелюбный к поисковым системам статический вид публичных чатов;
  • Поддержка разметки в KaTeX;
  • Древовидное ветвление сообщений (threads).

Компания Element обещает, что фронтенд Gitter будет заменён на Element только в том случае, когда Element достигнет паритета в функциональности. До тех пор кодовая база Gitter будет поддерживаться в актуальном состоянии без регрессий в функциональности.

Сотрудники Gitter будут также трудиться и на пользу Element.

>>> Подробности

★★★★★

Проверено: alpha ()
Последнее исправление: shahid (всего исправлений: 14)

Ответ на: комментарий от ma1uta

Но вы же прибежали в эту тему и пытались что-то доказать.

Вообще-то доказывать нужность нужно тем, кто темы создают про всякое ненужно. Пользуясь тем, что тут модераторы их подтверждают, не глядя, а в приличном месте все кишки бы вымотали ;)

Ну так где доказательство?

Доказательство чего? Вы прежде чем требовать доказательств, теоретический аппарат постройте, систему аксиом, а иначе как что-то доказывать в сфере, где доказательств не существует, и зачем?

Ставите клиент Matrix и общаетесь.

Постоянно запуская Element, ну да. Или вообще постоянно держа его в фоне. Ладно бы с этих клиентов польза была, преимущества какие-то, но они ж на фоне Electron абсолютно ущербны.

Вот даже ущербный, казалось бы skype4pidgin крут тем, что из него можно форматированные сообщения слать, а из официального без бубна нельзя. Из purple-hangouts можно прямые ссылки слать, без редиректа через гугл. А с purple-matrix только и проку, что логи писать — остальные клиенты не умеют и этого, при том, что практически любой другой клиент для IRC и XMPP тоже пишет логи. Причём даже это преимущество нивелируется его откровенным флудеразмом (при каждом реконнекте открываются все чаты).

потому что нет аргументов?

Аргументов к чему? К Вашей игре в угадайку, которая предполагает единственно правильный ответ, даже если он неправильный? Дискуссии так не ведутся.

Речь зашла про MUC когда речь зашла про XMPP

Ну так при чём тут федеративность MUC к федеративности XMPP, ещё раз спрашиваем? Это разные уровни абстракции.

Если групповые чаты являются централизованными, то можно назвать протокол децентрализованным?

Можно. Протокол не отвечает за централизованность или не централизованность данных, которые он гоняет. Он отвечает за централизованность или не централизованность их доставки. Если данные не передаются с сервера на сервер — это проблема протокола. Если данные не передаваемы с сервера на сервер — это проблема данных. Нет смысла приделывать к свинье крылья, если свинья не хочет летать, а если захочет, то может и без крыльев полететь, а, скажем, на самолёте — пусть с крыльями в теории и лучше, но на практике крылатых свиней нет, а самолёты есть.

mertvoprog
()
Последнее исправление: mertvoprog (всего исправлений: 1)
Ответ на: комментарий от ma1uta

Речь про то, что клиенту не нужно знать пароль пользователя, чтобы достучаться до сервера

Если клиент не знает пароля, то это не полноценный клиент, ибо зависит от другого клиента, который пароль знает.

Токен можно отозвать, при этом на других клиентах разлогина не будет. Токен можно сделать короткоживущим. На токен можно выдать часть ролей. Токен делают длинным, следовательно его на порядки сложнее подобрать чем пароль.

Токен можно отозвать, при этом можно зайти с помощью других токенов. Как такое сделать с паролем?

А ни одной разницы с одноразовыми паролями и не перечислили. Всё это применимо и к ним.

mertvoprog
()
Ответ на: комментарий от ma1uta

Первое - это возможность использовать некий общий аккаунт, второе - метод предоставления доступа к ресурсам пользователю без пароля.

Разница в чём? Ресурсы не к тому же «общему аккаунту» предоставляются? Или Вы в теоретическое буквоедство ударяетесь, как некоторые аутентификацию и авторизацию разделять любят, хотя порознь они в природе почти не встречаются?

PayPal

Mastercard

Опять полтора гиганта, да что ж такое. Вы можете на что-то мелкое и открытое равняться, а не под дудку корпорастов плясать? Или ещё раз подверждаете, что ваша шматрица для этого плясания и создана, и сравнивать её с по-настоящему открытыми решениями вообще не имеет смысла?

mertvoprog
()
Ответ на: комментарий от ma1uta

вещественные числа - это комплексные числа, у которых мнимая часть равно 0

И? Если Вы сравниваете только числа, у которых мнимая часть равна 0, то Вы проводите сравнение в поле вещественных чисел, а не комплексных. Специальная Олимпиада уровня получения 666 из любого числа: подгон решения под задачу. Сравнивать комплексные числа в общем случае нельзя.

Вы любите в отсутствии интернета предаться ностальгии и читать историю переписки на прошлой недели под чашечку кофе?

Не только, там реально может быть ценная инфа, которую надо откопать.

Но так и история на клиенте - тоже не выход, ей тоже нельзя доверять

Можно, если обеспечить её репликацию. Ведь локальная история подконтрольна пользователю. История в каком-то облаке — нет.

уходите на другой сервер

Мессенджеры не предназначены для использования в одиночку. Подобные вещи так просто не делаются.

смысл терпеть и пытаться сохранить историю на клиенте?

Терпеть что? И почему не следует сохранять данные на локалхосте, а вместо этого доверять облакам?

Покажите, пожалуйста, где в статье по ссылке речь про BOSH?

Так в том и проблема, что он там не учтён. Нытьё высосано из пальца, потому что BOSH не используется там, где следует. С таким же успехом можно жаловаться на вечноотваливающийся на мобильном интернете SSH, когда есть mosh.

mertvoprog
()
Ответ на: комментарий от ma1uta

я не у мею как зумерки перескакивать с темы на тему

Ну да, зато умеете приводить любое обсуждение к угодной себе теме.

Но это будет видно, пока устройство онлайн.

Если оно оффлайн, то оно не должно быть видно, на то оно и оффлайн.

Понятие «устройство» - дурацкая терминология?

Да, потому что совершенно не отражает реальность и создаёт путаницу. «Сессии», как в Telegram — и то лучше. Хотя и они путаницу создают, ведь сессией и один сеанс обмена данных называют, от коннекта до дисконнекта.

И как SyncThing позволит некродевайсы на базе Symbian синхронизировать?

Никак, для них другие программы есть. Можно даже тупо по OBEX примонтировать как удалённую ФС и копировать чего надо. Мы ведь умышленно не говорим о конкретных, а Вы начинаете требовать единый пример ;)

До тех, кто хочет жрать кактус под название «локальная история».

В чём кактусовость состоит? Локальный текст априори проще сохранять, копировать, грепать и производить прочие манипуляции, чем что-то удалённое, которое ещё надо вытянуть, да по особому протоколу, да с авторизацией, да специальными тулзами…

Но так и на клиенте она неполная.

Лучше иметь неполную, чем просрать всю, потеряв доступ к серверу.

В каком месте?

Да куча этих мест. XHTML, X-статусы, сервисы, куча нативных легковесных фичастых клиентов на любой каприз, несколько серверов, для особых извращенцев даже всякие жуйки с мувимами есть. Шматрице до этого ещё ползти и ползти. И был бы шанс догнать и перегнать XMPP, если бы он умер — но XMPP тоже на месте не стоит.

А ты думал, почему эта тема тут?

Темы про шматрицу здесь уже много лет. При том, что протокол стабилизировали только в прошлом году.

Вы безальтернативно утверждали, что раз для вашего случая с некродевайсом matrix не подходит, то она не нужна, xmpp лучше.

А какие ещё реальные кейсы есть у маргинальных протоколов?

Как цитаты

Чего? В телеге нет цитат, Вы со скайпом каким-нибудь путаете ;) Даже разметки для них нет. Только связи между сообщениями по id.

И как по реплаю перейти в исходное сообщение?

А вот это вроде не реализовано. Поиск по истории дёргать можно, но id сообщений он не учитывает, вестимо.

И чем он тогда лучше?

Лучше чего? С чем сравнивать? telegram-purple через spectrum2 или bitlbee ещё более убог ;) Или опять предлагаете нагородить колхоз из двух транспортов? Ну можно, в принципе, чо.

mertvoprog
()
Ответ на: комментарий от mertvoprog

Когда не было?

В широком распространении? В армейке дроны уже лет 20, если не больше как применяются. И именно для нужд оперативной разведки. Это только сейчас ширнармассы (широкие народные массы) узнали что, оказывается есть такая штука как дроны и любой Вася может себе запилить дрон.

Да и потом – какой на хер «дрон» со спецоборудованием, которое способно «запеленговать» ШПС-сигнал, да ещё и при использовании узконаправленной антенны (а у Дудаева именно такая и была развёрнута)? Вы хотя бы представить себе можете энерговооружённость этого «дрона»? Там столько оборудования что, пары тонн батарей не хватит. Там именно «бортовая сеть» нужна с её постоянно работающими генераторами электроэнергии, селюк Вы тупой!

Бл…, из каких кишлаков вы лезете, «умники» херовы?

Moisha_Liberman ★★
()
Ответ на: комментарий от ma1uta

Батенька...

Прочёл Ваш коммент и ещё больше убедился в простой истине. Вы – балбес. Вас носом ткнули в спеки на протокол и Вы даже не осилили понять где Вы лепите ахинею. Но при этом активно включаете тупняк.

Тупые балбесы мне не интересны. Пожалуйста проследуйте (да-да-да, именно туда). В игнор.

Moisha_Liberman ★★
()
Ответ на: Ну так... от Moisha_Liberman

Сами составляйте. Вон даже в педивикии готовая табличка есть, ковыряться не надо в данном случае.

Кстати, там пишут, что даже российские опсосы запустили VoLTE на годы позже LTE. Как же так, м? ;) Врут?

mertvoprog
()
Ответ на: Когда не было? от Moisha_Liberman

уже лет 20

А, значит, вашего Дудаева недавно грохнули. Мы-то думали, что ещё в 90-х ;)

и любой Вася может себе запилить дрон

То-то до этого кружков авиамоделирования не было и заводных вертолётиков, ну-ну ;) «Кулибины» блоки дистанционного управления для советских телевизоров мастерили, а летательным аппаратом так же управлять ни-ни?

да ещё и при использовании узконаправленной антенны

Для чего надо прочёсывать местность, маленьким дроном это как раз проще. Даже шумоподобный сигнал создаёт искажения натурального спектра, достаточно зарегистрировать их. А вот там уже можно вызывать «тяжёлую артиллерию» ;)

mertvoprog
()
Ответ на: комментарий от mertvoprog

Огггадааа... =)))

Я не удивлён ответу. «Копайте сами». Ага, типа насрал на стол и почему-то обиделся… =)))

В общем. Запомните и другим таким же «умникам» передайте – ни один дурак в мире (кроме вас, «шапокзакидателей», которые одним махом семерых убивахом, да только всё больше на словах) не запустит сеть LTE в коммерческую эксплуатацию без первоначальной технической (без натурных испытаний). В ходе которой и производятся те самые drive tests, о которых Вы недоумевали почему бы не с контроллера смотреть, не видно штоль? Да вот только умные люди сперва проверяют на натурных испытаниях чё они там понастроили и только потом запускают абонентов в доступ. И в процессе работы смотрят за сетью, как она на нагрузку реагирует.

Так же. Ни один идиот в мире не запустит сеть LTE без VoLTE в коммерческую эксплуатацию. Просто потому, что опсосу эта технология выгодна как ни одна из технологий мобильной связи до того. Просто потому, что на практике подтверждена работа минимум 200 активных клиентов в каждой соте 5 МГц. И не важно – голос там у абонента или данные со скоростью LТE (загуглите сами). Поэтому опсосы не моргнув глазом тестируют LTE + VoLTE и запускают сеть в коммерческую эксплуатацию, предоставляя весь спектр услуг, а старое оборудование по мере его выхода из строя на хрен, на утилизацию. Да там на одних расходах на электроэнергию охренилиарды сэкономить можно просто потому, что нужно меньше BTS для обслуживания соизмеримого числа абонентов.

Простые вещи, но они к Вам в голову не стучатся… Понимаю, некуда, у Вас в голове по дохренилиарду «гениальных идей» ежесекундно генерится и там просто всё забито… =))) На практике только ноль. Сожалею, но бывает… =)))

Moisha_Liberman ★★
()
Ответ на: комментарий от mertvoprog

Тттааадаааа! =)))

А вот этого ответа я и ждал. Хе-хе-хе… Не скрою. =)))

А, значит, вашего Дудаева недавно грохнули. Мы-то думали, что ещё в 90-х ;)

Ну, положим, этого нашего Дудаева грохнули 21 апреля 1996г., туда ему и дорога, так что, именно «дроны» (я говорил о примерно 20+ годах) использовались уже. Не волнуйтесь…

Бггг… Впрочем… =))) Впрочем Вам никогда не говорили что не фиг было армейку в институте прогуливать? Ну вот я и говорю. И, как обычно, прав на все 146%. Потому как… Внимание на экран – https://upload.wikimedia.org/wikipedia/commons/9/94/Tu-143_Reis.jpg

Ту-143. Начаты работы в 1969г., серийно выпускался с 1973 по 1989г. Впервые был показан публике году в 96-87, примерно. Ни на какие мысли не наталкивает? Серийный выпуск с 1973 по 1989гг., а показали только в 1997г., когда уже поезд давно тю-тю. Что вам не показывают сейчас, Вы можете только догадываться. Но уж кто-кто, а армейка во всём мире является главной по разработкам, т.к. имнно армейские заказы толкают через ВПК науку и технологии вперёд.

Внимательно посмотрите! Это ни фига не беспилотник! ШтоВЫ! Там был же экипаж, только из карликов. Бгггг… =)))

Ну и кудв Вы собрались запихивать тут пару тонн батарей и ещё аппаратуру? В штаны к карликам из экипажа, да? Я угадал? =)))

А самый ржач в том, что на том же Данунахербассе обе стороны (а там и те и другие равномерно упороты), не гнушаются применять этот самый Ту-143 «Рейс». Вот Вам фоточки, извольте https://militarizm.livejournal.com/51079.html

Есть и Ту-141 «Стриж». многоразовый, да. Производился с 1979 по 1989гг. И производился и состоял на вооружении. В СССР/России. Но на окраине и этот рекорд переплюнули. Из БПЛА этой модели была сформирована 321-я отдельная эскадрилья беспилотных самолётов-разведчиков (пос. Рауховка Березовского р-на Одесской обл.).

Бггг… Орнул в голосину просто. А чё не кал мамонта в воздух запустили? =)))

То-то до этого кружков авиамоделирования не было и заводных вертолётиков, ну-ну ;) «Кулибины» блоки дистанционного управления для советских телевизоров мастерили, а летательным аппаратом так же управлять ни-ни?

Оггааадааа… Вон, эти ваши «кулибины» до сих пор насилуют давно почивший трупик… Выше уже ржал. =))) В том-то и проблема с вами, «кулибиными» хреновыми что вы не понимаете в принципе что такое «индустриальный подход», поэтому и мастерите всякую неповторяемую в принципе херню.

«Индустриальный подход» это «калашников». А все остальные извращения на технологической почве засуньте себе туда, куда у нормальных людей Солнце не заглядывает. Понятно куда? =)))

Для чего надо прочёсывать местность, маленьким дроном это как раз проще. Даже шумоподобный сигнал создаёт искажения натурального спектра, достаточно зарегистрировать их. А вот там уже можно вызывать «тяжёлую артиллерию» ;)

Батенька, смиритесь. Вы балбес. Вам уже сказано что нехрен было армейку прогуливать. Не лезьте Вы в темы, где ни уха не рыла. Хоть за умного сойдёте. =))) В данном случае для Вас молчание золото.

Не прочешите Вы там ни чего. Горы. И искать там можно с малой высоты (ну явно ниже самолёта) источник сигнала вплоть до восстания еврейского казачества. Абонент раз 300 поговорит, свернёт антенну и свалит с места, пока Вы его найдёте.

Вот поэтому армейка всё правильно и делает, создавая правильные средства и для правильных целей. =)))

Не продолжайте, не надо тратить моё время на себя. А то я Вас в игнор отправлю как бесперспективного в диалоге. =)))

Moisha_Liberman ★★
()
Последнее исправление: Moisha_Liberman (всего исправлений: 1)
Ответ на: Нет. Неправильно. от Moisha_Liberman

Т.е., если сервер А отправил на сервер Б какое-то сообщение, то с сервера Б должно, просто обязано вернуться «квитанция» о принятии в обработку если всё правильно, либо состояние ошибки, если связь есть, но что-то не то с сообщением/получателем, либо просто диагностирован разрыв соединения.

Да, именно это я и хочу вам сказать. Что это не задача TCP/IP, это не задача сервера А, и не задача сервера Б. Это задача протокола мессенжера. Он это либо умеет, либо нет.

Т.е., XMPP это достаточно высокоуровневый протокол, то там есть и квитанции (подтверждения) и определены ошибки.
Ещё раз – внимательно читайте спеки на протокол и разберите прилагаемые примеры.

Так, вот, не вижу я там квитанции подтверждения.

Может я плохо смотрю? Вы же сами дали ссылку: https://xmpp.org/rfcs/rfc6120.html#examples-s2s Где там такая квитанция?

anonymous
()
Ответ на: Огггадааа... =))) от Moisha_Liberman

«Копайте сами»

Там копать нечего, отдельная колонка с датой внедрения VoLTE, которая зачастую вообще пустая. На блюдечке, так сказать. Или Вы не успокоитесь, пока Мы эту портянку не скопипастим на ЛОР? ;)

сперва проверяют на натурных испытаниях чё они там понастроили и только потом запускают абонентов в доступ

Зачем, когда можно созвать дураков «мы тут халявный 4G в торговом центре запустили! гоу тестить!»? И они ещё и довольны будут!

Ни один идиот в мире не запустит сеть LTE без VoLTE в коммерческую эксплуатацию

Ну да, то-то в TeliaSonera идиоты сидят, которые запустили LTE-сеть ещё в 2009–2010-м, когда VoLTE ещё от силы в проекте был ;)

не важно – голос там у абонента или данные

В LTE нет голоса отдельно, вообще. VoLTE работает поверх IP.

загуглите

А чего это Вас из крайности в крайность бросает: то против цифрового карцера копротивляетесь, то гугл рекламируете?

а старое оборудование по мере его выхода из строя на хрен, на утилизацию

Зачем утилизировать, когда можно выгодно продать в страные третьего мира? Если купят, конечно, ведь там новые стандарты связи внедряются даже быстрее, из-за меньшей бюрократии и меньшего легаси.

Простые вещи, но они к Вам в голову не стучатся…

Мы практику слушаем, а не чьи-то стучащиеся в голову ничем не подкреплённые бредни. Не пора ли Вам подлечить башку, раз туда что-то стучится? ;)

mertvoprog
()
Ответ на: Тттааадаааа! =))) от Moisha_Liberman

не фиг было армейку в институте прогуливать?

На кои она нужна? Всё равно хилых в армию не берут даже при желании. А в приличных странах уже на контрактную переходят.

т.к. имнно армейские заказы толкают через ВПК науку и технологии вперёд

Ну-ну. Совочек развалился, когда на гражданские технологии забили (ввиду нехватки средств) и начали вкладываться только в ВПК. Просрав таким образом технологическую гонку Западу. Собственно, эта тенденция продолжается и по сей день. В то время как китайцы этой ошибки не повторили и теперь роскошуют.

Это ни фига не беспилотник!

Беспилотник беспилотнику рознь. Торпеду тоже можно БПЛА считать, пока не долетит ;)

насилуют давно почивший трупик…

И успешно насилуют, как видите. Продвижение войск остановлено, будете отрицать?

Не лезьте Вы в темы, где ни уха не рыла

Вообще-то Вы прилезли в тему про мессенджер и устроили тут филиал /wm/.

Не прочешите Вы там ни чего. Горы

Горы летать мешают, или что? ;) Вот это новость!

И искать там можно с малой высоты (ну явно ниже самолёта)

А какая разница, какая высота? Покуда связь спутниковая и луч сфокусированный, то перехватить его можно на любой высоте. Выше даже проще. Или электромагнитные волны вдали от земли должны магическим образом «рассеяться» и угаснуть — а как же они аж до спутника доходят? ;)

не надо тратить моё время

Вас кто-то заставляет здесь распинаться и строчить портянки, от которых нарушением 5.3 попахивает?

mertvoprog
()
Ответ на: комментарий от mertvoprog

И в чём противоречие? Вам квантор всеобщности где-то померещился?

Наоборот. Это вы пытаетесь провести связь между прецедентным правом и инструкциями к стиралкам.

Зато привело к вендорлоку. Банальная магнитола к автомобилю стоит на порядки дороже, чем такой же магнитофон, но отдельно.

Какой же это вендорлок, если можно купить магнитолы разных вендоров?

Только существуют где-то в параллельной реальности. А Мы тут по-прежнему в дощатый иногда ходим.

Так вам тоже никто не запрещает поставить такой. Даже деревенский туалет может выглядеть достойно: https://youtu.be/5SRvAkFjyPo Всё в ваших руках!

Нет, они хотя бы не монолитные. Между плитами какие-никакие прослойки есть, слышно только непосредственных соседей. А в новостройках вообще полдома.

Просто я в разных домах был.
Был и в старых панельках, где пальцем по стене стучишь, и слышно.
Был и в новых современных отелях, где даже через стенку соседнего номера ничего не слышно.

И возраст тут не причём. Всегда были и хорошие дома и плохие. Просто прогресс позволил строить их быстрее. А какой дом вы построите — это зависит от вас.

О каких нулевых затратах речь? Переезд с мессенджера на мессенджер — вещь весьма затратная.

Почему переезд? Добавление в мессенжер уведомлений о доставке.

Не любую, а одну и ту же: уведомления о доставке. Других мы тут не обсуждали.

Ой, мы тут уже что только не обсуждали. 🙂 И автомобили, и строительство, и экранные клавиатуры, и автоматическое закрытие приложений при нехватке памяти на андроиде, и пересылку в сообщении картинок вместо ссылки, и возможность поднять собственный сервер в федеративном мессенжере, и фиг знает что ещё...

anonymous
()
Ответ на: комментарий от ma1uta

Или, наоборот, часть ключей мы уже удалили. То есть вход с них был, а ключа больше нет.

Если ключа нет, значит устройство зайти по этому ключу не сможет, так?

Это был контр-аргумент к фразе «то можно сказать со скольких устройств был вход»

В Matrix можно. При логине можно прислать ID устройства, и даже если выйти из устройства, то сохранится информация, что был выполнен вход с устройства ID. Если удалить устройство, то это автоматически инвалидирует все токены, которые выданы данному устройству. А в xmpp не известно, сколько устройств имеют доступ к аккаунту.

Так, давайте определимся с терминологией. Что значит «устройство имеет доступ к аккаунту»? Если на устройстве хранится логин/пароль — оно имеет доступ к аккаунту? Если да, то как в матриксе узнать, на скольки устройствах хранится логин/пароль?

Только через XEP-0199 сервер поймёт, что устройство offline и закроет соединение.

Соединение, может, и закроет. А сессия останется. В этом смысл stream management-а же — восстановление прерванной сессии.

Не вижу проблемы для отдельного токена выдать свои роли.

Ну, теоретически, это возможно. А на практике в матриксе это есть?

anonymous
()
Ответ на: комментарий от anonymous

Что это не задача TCP/IP, это не задача сервера А, и не задача сервера Б. Это задача протокола мессенжера.

Т.к. эти сервера работают по тому же протоколу «мессенджера», то это становится их задачей, как только они получают эстафетную палочку.

Так, вот, не вижу я там квитанции подтверждения.

В XMPP Core её и нет, что очень досадно. Лишь в 198-ом расширении протокола она появилась: XEP-0198.

gag ★★★★★
()
Ответ на: комментарий от anonymous

Это вы пытаетесь провести связь между прецедентным правом и инструкциями к стиралкам.

Отсутствие какого-либо предупреждения в инструкции к стиралке вполне может стать поводом для суда.

можно купить магнитолы разных вендоров

А вот бортовой компьютер уже нет.

Даже деревенский туалет может выглядеть достойно

Унитаз за шторкой — это типа оригинально?

А какой дом вы построите — это зависит от вас

И от того, сколько владелец квартиры вбухает в звукоизоляцию, ага.

Почему переезд? Добавление в мессенжер уведомлений о доставке.

Это Вы из которой ветки дискуссии откопали вообще? Тут кагбэ полтреда о том, что шматрицефанатики вместо решения проблем XMPP придумали свой велосипедный протокол и агитируют на него переходить.

mertvoprog
()
Ответ на: комментарий от mertvoprog

Отсутствие какого-либо предупреждения в инструкции к стиралке вполне может стать поводом для суда.

Возможно. Но вряд ли это будет предупреждение о стирке котов.

А вот бортовой компьютер уже нет.

Легко! Просто найдите подходящий бортовой компьютер, изготовленный другим производителем. Но даже если такого нет — это всё равно не вендорлок, просто это маловостребованная запчасть.

Как, например, вы можете купить автоматическую шариковую ручку, сломать в ней кнопку и обнаружить, что купить запасную кнопку для замены очень сложно. Или шариковые ручки вы тоже считаете вендорлоком?

Унитаз за шторкой — это типа оригинально?

Чистый туалет в ухоженном цветущем саду, посаженном именно ради этого туалета — может и не оригинально, но неплохо. Явно лучше, чем дырка в полу.

Это Вы из которой ветки дискуссии откопали вообще?

Из той, в которой было «всякие сообщения о доставке бесполезны».

Тут кагбэ полтреда о том, что шматрицефанатики вместо решения проблем XMPP придумали свой велосипедный протокол и агитируют на него переходить.

Вообще-то придумали — «шматрицедевелоперы», а агитируют «шматрицефанатики». Это не обязательно одни и те же люди.

Но меня больше всего удивляет вот этот аргумент:

вместо решения проблем XMPP

А почему они вообще должны были их решать?

Это как жаловаться, что ваш сосед строит себе собственный дом вместо того, чтобы отремонтировать ваш дом за вас и жить в нём с вами. Такая жалоба выглядит глупо, не находите?

Они решали свою задачу, для которой XMPP был не удобен, потому они его не использовали.

anonymous
()
Ответ на: комментарий от anonymous

Но вряд ли это будет предупреждение о стирке котов.

Почему? Будет прецедент — будет предупреждение, компании лишние издержки не нужны. И конкуренты это оперативненько переймут.

Видите ли, в странах с прецедентным правом орудуют судебные тролли, которые подобные штуки специально пристально изучают и потом судятся с компаниями, зарабатывая таким образом. Кто-то случайно постирает кота, выиграет суд (первый раз в истории), получит компенсацию — и подобные тролли начнут умышленно стирать котов, чтобы тоже получить компенсацию.

Просто найдите подходящий бортовой компьютер, изготовленный другим производителем

Угу, только для изготовления такого мало того что нужна обратная разработка, так во многих юрисдикциях она ещё и незаконна.

вы можете купить автоматическую шариковую ручку

Угу, сравнили копеечную ручку с автомобилем. Впрочем, как раз у них конструкции довольно совместимые. Внутри выглядят почти одинаково: пластиковая деталька, насаживаемая на пасту, на которую насажена металлическая пружина. Уж пружину вполне можно заменить подходящей такой же длины. Колпачок для кнопки такого же вида на ручках другого производителя не найдёте, это да.

Явно лучше, чем дырка в полу.

Это спорно, многие считают «дырки в полу» более гигиеничными. Впрочем, те же японцы уже придумали костыль в виде саморасстилающихся одноразовых подстилок ;)

Из той, в которой было «всякие сообщения о доставке бесполезны».

Ну так в ней только об уведомлениях о доставке речь и шла. К чему Вы пытаетесь это экстраполировать — непонятно.

Это не обязательно одни и те же люди

Исключения есть, но в среде опенсорса неразработчиков водится мало ;)

А почему они вообще должны были их решать?

Потому что зоопарк мессенджеров — зло. И те, кто его плодят, придумывая очередной нескучный мессенджер, в этом зле непосредственно участвуют.

Это как жаловаться, что ваш сосед строит себе собственный дом вместо того, чтобы отремонтировать ваш дом за вас и жить в нём с вами

Напомнить ранние годы большевицкой власти, когда любителей отгрохать себе отсобняк на отшибе раскуркуливали и населяли к ним в хоромы десятки нищих? ;)

mertvoprog
()
Последнее исправление: mertvoprog (всего исправлений: 1)
Ответ на: комментарий от anonymous

Чувак, просто тебе напомню, что ты дискутируешь с идейным нищебродом, у которого пекарня десяти-, а то и пятнадцатилетней давности не тянет ни одно современное приложение, поэтому данное существо так яростно луддит против всего более-менее нового и полезного, агитируя за свой полный фейлов оффлайновый манямирок.

anonymous
()
Ответ на: комментарий от mertvoprog

Если клиент не знает пароля, то это не полноценный клиент, ибо зависит от другого клиента, который пароль знает.

Полноценный клиент не обязан знать пароля, у него же есть полный доступ к функционалу аккаунта.

А ни одной разницы с одноразовыми паролями и не перечислили. Всё это применимо и к ним.

Есть разница - никто одноразовыми пароля не пользуется.

ma1uta ★★★
()
Ответ на: комментарий от mertvoprog

Разница в чём? Ресурсы не к тому же «общему аккаунту» предоставляются? Или Вы в теоретическое буквоедство ударяетесь, как некоторые аутентификацию и авторизацию разделять любят, хотя порознь они в природе почти не встречаются?

Нет, вы опять пытаетесь тёплое с мягким сравнить, в oauth2 нет понятия «общего аккаунта» и oauth2 используется в куче мест (интеграция между различными компаниями), где нет ни google, ни facebook. Примеры я выше приводил.

Опять полтора гиганта, да что ж такое. Вы можете на что-то мелкое и открытое равняться, а не под дудку корпорастов плясать? Или ещё раз подверждаете, что ваша шматрица для этого плясания и создана, и сравнивать её с по-настоящему открытыми решениями вообще не имеет смысла?

Написал бы мелких (https://bigwpay.com/docs/api/ и пр.), ответил бы, что это полтора ноунейма, которые ни о чём не говорят. Но их тоже полно. И ты не уловил главный смысл - oauth2 используют нет только для SSO, но и для интеграции между разными компаниями вне зависимости от их размера.

Кстати, от вопроса вы решили слиться и переключились на другую тему, придравшись к именам компании. Поздравляю, слив, засчитан.

ma1uta ★★★
()
Ответ на: Батенька... от Moisha_Liberman

Шикарно, самая лучшая стратегия - слиться, обвинить собеседника в некомпетентности, проигнорировать вопросы (потому что на них нет ответа) и добавить в игнор. Слив засчитан.

ma1uta ★★★
()
Ответ на: комментарий от mertvoprog

Ну да, зато умеете приводить любое обсуждение к угодной себе теме.

Почему удобной? Я взял ваш первый тезис и обсуждаю его. Взял ваш тезис, а не мой удобный.

Если оно оффлайн, то оно не должно быть видно, на то оно и оффлайн.

От того, что устройство ушло в оффлайн, оно не потеряло доступ, поэтому в списке устройств, имеющих доступ в аккаунт, должно отображаться.

Да, потому что совершенно не отражает реальность и создаёт путаницу. «Сессии», как в Telegram — и то лучше. Хотя и они путаницу создают, ведь сессией и один сеанс обмена данных называют, от коннекта до дисконнекта.

Любая терминология - это отображение мат. модели на реальность. И любая мат. модель имеет свои ограничения, поэтому любая терминология не отражает реальность. И это не аргумент, чтобы отказаться от какой-либо терминологии.

Никак, для них другие программы есть. Можно даже тупо по OBEX примонтировать как удалённую ФС и копировать чего надо. Мы ведь умышленно не говорим о конкретных, а Вы начинаете требовать единый пример ;)

Вы написали, что надо использовать инструменты, которые синхронизируют данные между устройствами. Я спросил про такой инструмент, вы в итоге такого не назвали. Но при этом сначала отказались от инструмента, частично решающего проблему, а потом посоветовали инструмент, который тоже частично решает проблему. Л - логика.

В чём кактусовость состоит? Локальный текст априори проще сохранять, копировать, грепать и производить прочие манипуляции, чем что-то удалённое, которое ещё надо вытянуть, да по особому протоколу, да с авторизацией, да специальными тулзами…

История не полная, забивает память клиента, которая ограничена, в случае переустановки, утери устройства, теряется полностью, нужно лепить костыли чтобы синхронизировать её между клиентами и так далее.

Да куча этих мест. XHTML, X-статусы, сервисы, куча нативных легковесных фичастых клиентов на любой каприз, несколько серверов, для особых извращенцев даже всякие жуйки с мувимами есть. Шматрице до этого ещё ползти и ползти. И был бы шанс догнать и перегнать XMPP, если бы он умер — но XMPP тоже на месте не стоит.

У кого-то криокамера потекла. XEP-0071 (XHTML-IM) не рекомендуется к использованию и остался только на 1,5 клиентах (один из них - psi++, rion-у лень его удалять). X-статусами никто уже не пользуется, и в новым клиентах уже никто не добавляет.

куча нативных легковесных фичастых клиентов на любой каприз

Миф, вы же сами писали, что клиенты xmpp - говно.

Темы про шматрицу здесь уже много лет. При том, что протокол стабилизировали только в прошлом году.

Ну и пусть люди балуются? Зачем прибегать со своей пропагандой, которая только отталкивает людей от xmpp?

Чего? В телеге нет цитат, Вы со скайпом каким-нибудь путаете ;) Даже разметки для них нет. Только связи между сообщениями по id.

Речь про то, как в xmpp устроены реплаи из телеги. И как в xmpp по реплаям переходить к исходному сообщению.

А вот это вроде не реализовано. Поиск по истории дёргать можно, но id сообщений он не учитывает, вестимо.

И не смогут реализовать.

Лучше чего? С чем сравнивать? telegram-purple через spectrum2 или bitlbee ещё более убог ;) Или опять предлагаете нагородить колхоз из двух транспортов? Ну можно, в принципе, чо.

https://github.com/tulir/mautrix-telegram

ma1uta ★★★
()
Ответ на: комментарий от ma1uta

Полноценный клиент не обязан знать пароля, у него же есть полный доступ к функционалу аккаунта.

Какой он полноценный, если он потеряет доступ при инвалидации токена, при том, что авторизация по паролю по-прежнему работает?

никто одноразовыми пароля не пользуется

4.2 лютое, Мы уже приводили выше пример с одноразовыми паролями для почтовых клиентов. Ещё широко используются TOTP, более известные по бренду Google Authenticator (хотя стандарт открытый и негугловских реализаций масса).

mertvoprog
()
Ответ на: комментарий от ma1uta

в oauth2 нет понятия «общего аккаунта»

Где ж он не общий, если к нему всё привязывается? Без этого аккаунта отвалятся все привязанные.

bigwpay

Ну это уже лучше. Но опять для API. Вне API, для авторизации пользователей, применяется?

но и для интеграции между разными компаниями вне зависимости от их размера

Вы такого кейса не продемонстрировали, чтобы просто привязывать одну независимую учётную запись к другой независимой учётной записи. Хотя кейс, в общем, распространённый, но решается вне гигантов без OAuth: тупо указанием ссылок без пруфов, либо письмом.

придравшись к именам компании

При чём тут имена?

mertvoprog
()
Ответ на: комментарий от ma1uta

Я взял ваш первый тезис и обсуждаю его. Взял ваш тезис, а не мой удобный.

Не-а, Вы приплетаете по ходу свои, взять хоть прожорливость жабограма, о которой вообще речи не шло, но на которую Вы резко свернули тему и начали допрашивать так, будто это Мы о ней писали. И даже сейчас слово «угодной» не осилили правильно прочесть. Налицо искажение восприятия.

От того, что устройство ушло в оффлайн, оно не потеряло доступ

Нельзя знать, потеряло оно доступ или не потеряло. Только предполагать.

Любая терминология - это отображение мат. модели на реальность

Только не обязательно брать для терминов существующие слова, имеющие устоявшееся значение. Это неизбежно вызывает путаницу. Взять, например, соль и спирт, которые в быту означают конкретные вещества, а в химии — целые классы веществ. А вот комплексные числа, например. путать не с чем, потому что это неологизм. Вот и для зарегистрированных подключений клиента к серверу нужен неологизм, а не обзывать это устройствами, создавая путаницу.

Я спросил про такой инструмент, вы в итоге такого не назвали

WUT? У Вас память, как у рыбки?

забивает память клиента, которая ограничена

Её любые данные забивают, не только история клиента. Приходится с этим жить, пока не придумали безлимитные накопители.

в случае переустановки, утери устройства, теряется полностью

Как и прочие данные. Которые посему требуется бэкапить.

не рекомендуется к использованию

Угу, сесуритипараноики решили, что его сложно реализовать без уязвимостей (на самом деле нет, всего лишь не надо передавать HTML напрямую в браузерный движок), при этом не предоставив толковой альтернативы, только два XEP-а с мракдауноподобной разметкой, более убогой, чем даже сам мракдаун, вдобавок несовместимой с ним.

X-статусами никто уже не пользуется

4.2, Мы пользуемся.

в новым клиентах уже никто не добавляет.

Шо, даже PR не примут, если прислать? ;)

Миф, вы же сами писали, что клиенты xmpp - говно.

Говно они по другим параметрам. В частности, по тому, что одни фичи есть, но не хватает других.

Зачем прибегать со своей пропагандой, которая только отталкивает людей от xmpp?

Пускай отталкивает, окно Овертона же ;) (Шматрицы, кстати, то же самое касается, так что не стоит её чрезмерно хейтить, во избежание отскока).

Речь про то, как в xmpp устроены реплаи из телеги

Жабограм рассчитан на тупейшие клиенты, которые реализуют минимум XEP-ов. В принципе, в таком виде его даже на IRC можно портировать, который ещё тупее XMPP и тупо гоняет текстовые строчки, без каких-либо сущностей помимо сообщений.

XEP на треды в XMPP — отдельная тема, обсуждать которую до реализации хоть где-нибудь бессмысленно; можно считать, что их нет (и это ещё один минус XMPP, ага).

И не смогут реализовать.

Схрена? Сообщения по ID очень просто getMessage’м вытягиваются в телеге, надо только команду для этого запилить в одну строчку ;)

mautrix-telegram

Стопицотый раз повторяем: как его пришпандёрить к Jabber-клиенту, городить цепочку из двух транспортов? Клиентов Matrix на все платформы, на которые есть клиенты XMPP, нет, посему Вы пытаетесь сравнить несравнимое.

mertvoprog
()
Последнее исправление: mertvoprog (всего исправлений: 2)
Ответ на: комментарий от mertvoprog

Где ж он не общий, если к нему всё привязывается? Без этого аккаунта отвалятся все привязанные.

Я же показал пример, где используется oauth2 (между компанией и платёжной системы). Где там общий аккаунт в facebook, google, twitter, whatsapp?

Ну это уже лучше. Но опять для API. Вне API, для авторизации пользователей, применяется?

https://mastodon.social

Где там привязка к facebook, google, twitter ?

Вы такого кейса не продемонстрировали, чтобы просто привязывать одну независимую учётную запись к другой независимой учётной записи. Хотя кейс, в общем, распространённый, но решается вне гигантов без OAuth: тупо указанием ссылок без пруфов, либо письмом.

Уже несколько раз писал, вы путаете тёплое с мягким, OAuth2 - это не про привязку одной учётной записи к другой. Почитайте RFC, там всё хорошо расписано.

При чём тут имена?

Действительно, при чём тут имена, если из всего текста, вы во-первых проигнорировали вопрос, а во-вторых подчеркнули именно имена?

ma1uta ★★★
()
Ответ на: комментарий от mertvoprog

Какой он полноценный, если он потеряет доступ при инвалидации токена, при том, что авторизация по паролю по-прежнему работает?

Если инвалидировать пароль, то приложение, которое авторизуется по паролю, тоже потеряет доступ, поэтому они тоже неполноценные?

4.2 лютое, Мы уже приводили выше пример с одноразовыми паролями для почтовых клиентов. Ещё широко используются TOTP, более известные по бренду Google Authenticator (хотя стандарт открытый и негугловских реализаций масса).

В ваших терминах, токен - это одноразовый пароль.

ma1uta ★★★
()
Ответ на: комментарий от ma1uta

Где там общий аккаунт

А где там аккаунты со стороны компаний?

mastodon

Он сам по себе гигант, вместе со всем федивёрсом. Из названия же даже видно ;D

OAuth2 - это не про привязку одной учётной записи к другой

Ну так о том и речь: двух независимых записей нет, есть одна на чужом сервисе, на которой всё завязано.

вы во-первых проигнорировали вопрос

О чём? О 3DS там, где его нет? А что на него отвечать?

подчеркнули именно имена

Из чего, конечно, следует, что речь о самих именах, а не о том, кому они принадлежат. Браво, Вы пробили новое дно.

mertvoprog
()
Ответ на: комментарий от ma1uta

Если инвалидировать пароль

Так нельзя; учётка, в которую никак нельзя залогиниться — уже/ещё не полноценная учётка. Пароль можно сменить, но вот если его убрать совсем до установки нового, то учётка перестаёт быть полноценной для всех клиентов. А поскольку полноценность относительна, то полноценных или неполноценных клиентов в данном случае нет: они одинаково ущербны. Если же один клиент может залогиниться по паролю от учётки, а другой не может, потому что у него пароля нет, а только токен, то тогда один клиент полноценнее другого.

В ваших терминах, токен - это одноразовый пароль.

Ну то есть выходит, что ваш OAuth одноразовыми паролями жонглирует? Вы же выше писали, что токен — это не просто пароль, к нему ещё роли можно привязывать, например.

mertvoprog
()
Ответ на: комментарий от mertvoprog

Потому что зоопарк мессенджеров — зло.

Зоопарк закрытых централизованных несовместимых друг с другом мессенжеров — возможно. Хотя даже тут можно поспорить, ведь, в целом, конкуренция — это хорошо, а монополия — это же плохо, верно?

Но у нас не тот случай. Матрикс — открытый и федерируемый. Кроме матрикса я такой навскидку могу назвать только один — XMPP. По сути матрикс — это первая достойная альтернатива XMPP.

Но, что самое важное, они совместимы!

То есть никто не мешает добавить в матрикс-сервер поддержку s2s, чтобы матрикс-юзеры общались с жабберными, и наоборот.

А, может быть, это уже сделано?

anonymous
()
Ответ на: комментарий от anonymous

Матрикс — открытый и федерируемый

Угу, только с другими свободными мессенджерами взаимодействует через те же костыли, что с проприетарными.

никто не мешает добавить в матрикс-сервер поддержку s2s, чтобы матрикс-юзеры общались с жабберными

Сначала пусть хоть дендрит допилят, куда там поддержку XMPP встраивать. Уж проще к Jabber-серверам нативную поддержку шматрицы без транспортов прикрутить, хехе. Только не нужно, слишком уж разные протоколы, чтобы их настолько глубоко интегрировать без косяков и притирок.

mertvoprog
()
Ответ на: комментарий от mertvoprog

А где там аккаунты со стороны компаний?

Ключевое слово - общий.

Началось всё с этого сообщения: Gitter становится частью сети Matrix (комментарий)

OAuth, по факту, кроме как для привязки учёток к полутора централизованным платформам почти не используется.

Я выше показал примеры, что OAuth никак не относится к привязки учёток к полутора централизованным платформам.

P.S.: кстати, речь про какие платформы?

Ну так о том и речь: двух независимых записей нет, есть одна на чужом сервисе, на которой всё завязано.

Да, это называется аутентификация, если клиенту надо пройти аутентификацию в сторонней компании, то используется OAuth2. Никакой привязки к централизованным платформам нет.

О чём? О 3DS там, где его нет? А что на него отвечать?

Но вы же здесь Gitter становится частью сети Matrix (комментарий) нашли где-то 3DS. Отсюда вопрос, где в авторизации, про которую идёт речь, вы нашли 3DS?

Из чего, конечно, следует, что речь о самих именах, а не о том, кому они принадлежат. Браво, Вы пробили новое дно.

Опять уходите в сторону. И опять выдумали что-то, потом это опровергнули. Браво, вы пробили очередное дно.

ma1uta ★★★
()
Ответ на: комментарий от mertvoprog

Если же один клиент может залогиниться по паролю от учётки, а другой не может, потому что у него пароля нет, а только токен, то тогда один клиент полноценнее другого.

Ну так это же хорошо, что пользователь может управлять полноценностью клиентов и на клиенте нет дурацкого требования хранить пароль/тел. номер/…

Ну то есть выходит, что ваш OAuth одноразовыми паролями жонглирует? Вы же выше писали, что токен — это не просто пароль, к нему ещё роли можно привязывать, например.

Через кучу сообщений до вас это наконец-то таки дошло. Браво. Что такое пароль? Последовательность символов, с помощью которых осуществляется доступ. Что такое токен? Последовательнос символов, с помощью которых осуществляется доступ. Чтобы неофиты не путались решили разделить понятия, когда одноразовый пароль (т. е. токен) выдаётся индивидуально под устройство, чтобы в случае чего был бы шнас прикрыть жопу, и не страдать, если утечёт пароль.

ma1uta ★★★
()
Ответ на: комментарий от ma1uta

Я выше показал примеры, что OAuth никак не относится к привязки учёток к полутора централизованным платформам.

Ключевое слово — почти ;) Ваши полтора контрпримера с банками — исключения, лишь подтверждающие тенденцию.

P.S.: кстати, речь про какие платформы?

Facebook, VK, Twitter, LinkedIn, Google, SalesForce, Discord, Patreon. У айтишников ещё изредка GitHub/Bitbucket/Gitlab встречаются. На фоне многообразия OpenID-провайдеров, которые, к тому же, совместимы, а не требуют отдельного добавления каждого, это — пшик.

Отсюда вопрос, где в авторизации, про которую идёт речь, вы нашли 3DS?

Мы нашли её в оплате в Интернете, а то, что Вы описали — это B2B API, где OAuth используется для аутентификации партнёра, использующего API (вместо одноразовых токенов, JWT и прочих методов, традиционно использующихся там), а не для аутентификации пользователей, которые платят.

И опять выдумали что-то

Это Вы выдумали какое-то подчёркивание имён, Мы здесь при чём?

mertvoprog
()
Ответ на: комментарий от ma1uta

это же хорошо, что пользователь может управлять полноценностью клиентов

Потакаете любителям анального огораживания?

Что такое пароль? Последовательность символов, с помощью которых осуществляется доступ

Не только. Пароль должен быть запоминаемым и воспроизводимым человеком. Длинная незапоминаемая каша — это уже ключ, а не пароль.

решили разделить понятия

И в итоге лишь создали путаницу, потому что одноразовые пароли никуда не делись.

и не страдать, если утечёт пароль

На случай утечки пароля есть смена пароля, зачем выдумывать для этого костыли с огораживанием?

mertvoprog
()
Ответ на: комментарий от mertvoprog

Ключевое слово — почти ;) Ваши полтора контрпримера с банками — исключения, лишь подтверждающие тенденцию.

Во-первых не полтора, а больше, никто физически не сможет привести полный список. Подавляющая часть b2b интеграции реализована через OAuth2 без привязок в гуглу, мордокниге и пр. Да и в b2c у централизованных сервис нет подавляющего большинства. То, что у вас складывается такое впечатление - это потому что, вы не видите другой стороны, хотя она и есть.

Мы нашли её в оплате в Интернете, а то, что Вы описали — это B2B API, где OAuth используется для аутентификации партнёра, использующего API (вместо одноразовых токенов, JWT и прочих методов, традиционно использующихся там), а не для аутентификации пользователей, которые платят.

Gitter становится частью сети Matrix (комментарий)

когда вы оплачиваете в интернете, то через OAuth2 или по сертификату авторизуется мерчант в платёжной системе, а тот у эквайера

Это как раз и есть B2B API и интеграция, зачем вы сюда приплели 3DS?

ma1uta ★★★
()
Ответ на: комментарий от mertvoprog

Потакаете любителям анального огораживания?

Если у пользователя есть возможность управлять полноценностью своих устройств - это анальное огораживание? Интересный ход мыслей, ну да ладно.

Не только. Пароль должен быть запоминаемым и воспроизводимым человеком. Длинная незапоминаемая каша — это уже ключ, а не пароль.

Не должен. Я уже рекомендовал вам не слушать человека, который вам говорит эту чушь.

И в итоге лишь создали путаницу, потому что одноразовые пароли никуда не делись.

Не создали, вы выдумываете.

На случай утечки пароля есть смена пароля, зачем выдумывать для этого костыли с огораживанием?

Смена пароля - это решение другой задачи. Как при смене пароля сделать так, чтобы с других устройств не выкидывало?

ma1uta ★★★
()
Ответ на: комментарий от ma1uta

То, что у вас складывается такое впечатление - это потому что, вы не видите другой стороны, хотя она и есть

Ну так почему с OpenID видели, а с OAuth не видим?

Это как раз и есть B2B API и интеграция

А их зачем приплетать, когда в общем случае мерчант из одной страны, банк из другой, и вообще друг о друге не знают? И тем более когда платёж как положено идёт, на р/с, без этих ваших новомодных полулегальных карточек?

mertvoprog
()
Ответ на: комментарий от ma1uta

Если у пользователя есть возможность управлять полноценностью своих устройств - это анальное огораживание?

Так любители анального огораживания на возможности огородить свои устройства не останавливаются, они пытаются всем своё огораживание навязать. И это уже натуральное вредительство.

Я уже рекомендовал вам не слушать человека, который вам говорит эту чушь.

Какого?

Не создали, вы выдумываете.

Что выдумываем?! Одноразовые пароли, которые называются паролями, а не токенами?

Как при смене пароля сделать так, чтобы с других устройств не выкидывало?

В чём смысл? Если старый пароль скомпрометирован или просто пришла пора его менять, то выкинуть как раз необходимо, и чем быстрее, тем лучше.

mertvoprog
()
Ответ на: Огггадааа... =))) от Moisha_Liberman

Мойша, Гитлер становится частью матрикс :( Мне страшно за нас.

Владимир

anonymous
()
Ответ на: комментарий от mertvoprog

Так любители анального огораживания на возможности огородить свои устройства не останавливаются, они пытаются всем своё огораживание навязать. И это уже натуральное вредительство.

Тебя же не заставляют обязательно этим пользоваться. Не надо - игнорируешь.

Что выдумываем?! Одноразовые пароли, которые называются паролями, а не токенами?

Есть такое понятие - синонимы, не слышали?

В чём смысл? Если старый пароль скомпрометирован или просто пришла пора его менять, то выкинуть как раз необходимо, и чем быстрее, тем лучше.

В том, что вместо пароля светится токен. И в данной ситуации компрометируется не пароль, а токен, который отзывается. А остальные токены остаются.

ma1uta ★★★
()
Ответ на: комментарий от mertvoprog

Ну так почему с OpenID видели, а с OAuth не видим?

Потому есть систематическая ошибка выжившего, и вы как раз попали в такую ситуацию, что на основе своей однобокой выборки пытаетесь вывести общее правило.

А их зачем приплетать, когда в общем случае мерчант из одной страны, банк из другой, и вообще друг о друге не знают? И тем более когда платёж как положено идёт, на р/с, без этих ваших новомодных полулегальных карточек?

Вы писали, что OAuth2 - это чаще всего привязка к централизованным сервисам, даже перечисляли их (facebook, google и пр.). Я же говорил, что это не так и в качестве примера как раз привёл B2B интеграцию, где нет привязки к facebook, google и пр.

И тем не менее, откуда вы приплелил 3DS в B2B интеграции? Почему опять уходите от ответа?

ma1uta ★★★
()
Ответ на: комментарий от ma1uta

Тебя же не заставляют обязательно этим пользоваться

Ага, в теории. На практике средства коммуникации по сути своей вылезают за пределы локалхоста и посему их выбор зависит от более чем одного человека.

синонимы

Это не синонимы. Большинство задач, для которых используются токены, не имеют отношения к паролям. Если, например, сервер после авторизации вернул в GET-параметре редиректа или в куке токен (точнее, идентификатор сессии) — это тоже пароль, что ли? каким местом?

И в данной ситуации компрометируется не пароль, а токен, который отзывается

Где гарантия, что у злоумышленника не получилось, имея лишь токен, упереть и пароль от учётки? В таких случаях нельзя гадать, упёрли или не упёрли, надо перестраховываться. И использовать 2FA, не привязываясь к одному лишь паролю. Шматрица позволяет вообще учётку ни к чему не привязывать, в 2#20-м-то, дичь какая-то.

mertvoprog
()
Ответ на: комментарий от ma1uta

систематическая ошибка выжившего

Шо, неужто OpenID жив, или OAuth позволяет авторизоваться через любого провайдера, а не по вайтлисту?

откуда вы приплелил 3DS в B2B интеграции?

Мы писали о платежах в Интернете, а не о внутренних тёрках между банками и мерчантами.

mertvoprog
()
7 декабря 2020 г.

кто-нибудь ставил дендрит?

делаю как в ридми:

$ git clone https://github.com/matrix-org/dendrite
$ cd dendrite
$ ./build.sh

# Generate a Matrix signing key for federation (required)
$ ./bin/generate-keys --private-key matrix_key.pem

# Copy and modify the config file - you'll need to set a server name and paths to the keys
# at the very least, along with setting up the database connection strings.
$ cp dendrite-config.yaml dendrite.yaml      // тут я в конфиге только отключаю федерацию

# Build and run the server:
$ ./bin/dendrite-monolith-server --config dendrite.yaml

он стартует

INFO[2020-12-07T12:07:46.281633766Z] [github.com/matrix-org/dendrite/setup/base.go:102] NewBaseDendrite
         Dendrite version 0.3.2+45dec20               
2020/12/07 12:07:46 OK    20200929203058_is_active.go
INFO[2020-12-07T12:07:46.387835373Z] [github.com/matrix-org/dendrite/signingkeyserver/signingkeyserver.go:103] NewInternalAPI
         Enabled perspective key fetcher               num_public_keys=2 server_name=matrix.org
2020/12/07 12:07:46 OK    20201028212440_add_forgotten_column.go
2020/12/07 12:07:46 OK    20201001204705_last_seen_ts_ip.go
INFO[2020-12-07T12:07:47.030893996Z] [github.com/matrix-org/dendrite/setup/base.go:344] func2
         Starting external Monolith listener on :8008 

при этом выдает 404 на 8008 порту

s-o
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.