Ежели кто хочет читать подзамки из гугль-ридера уже сейчас - вот есть решение. Основная их проблема заключается в том, что они хранят у себя ваши пароли. Это делает их сайт лакомой приманкой для всяких Хэллов (не говоря о настоящих хакерах). Но эту проблему можно (и нужно) решить.
А какие, собственно, проблемы - исходники там раздают. Ставишь их на своем сервере. И степень защищенности твоего пароля сравнивается со степенью защищенности файла кук твоего браузера.
Чего-чего? Хрень которая ПРИНЦИПИАЛЬНО должна работать тогда, когда юзера близко от компа нет - переписать как десктопное приложение? Ну да, некоторые и p2p клиентов с GUI пишут. А под Windows 3.1 я когда-то NFS-сервер с GUI видел.
Именно, как торрент-клиент. Пусть сидит в трее, как привычно виндоводам, и показывает статистику и лог при нажатии. Главное, чтобы ставилось без лишних вопросов. Написать на питоне (или, для альтернативно-предпочитающих, перле, или вообще на c#) -- день работы вместе с отладкой.
Я о людях, которые не умеют (либо, как я, не желают) ставить дома сервера. А решение - очень простое: при регистрации фида генерировать случайный ключ, которым будет шифроваться пароль для доступа к соответсвующему фиду. Дальше этот ключ загружается в гугль-ридер как часть адреса фида, и все. Тоже не оптимальное решение (тот, кто взломает прокси, может поставить там сниффер, и в течении нескольких часов получить все ключи), но лучше, чем ничего.
В смысле - предлагается поделить секрет на две половинки и одну хранить на сервере google, а вторую - на lj.abnib.co.uk?
Вообще говоря, это совершенно не спасает от злоумышленника, имеющего контроль над lj.abnib.co.uk - он в логах его web-сервера посмотрит ключик.
Если мы доверяем гуглю, то, возможно более осмысленным решением был бы сервис, к которому приходишь с basic auth (благо Google это умеет), а он дальше идет с digest. И ничего у себя не хранит.
Чтобы что-то поломать в таком раскладе требуется перехватить траффик от этого гугля к этому сервису.
Но опять же от злоумышленника, который имеет контроль над abnib.co.uk это не спасает.
Злоумышленник, поставивший сниффер где-то посередине между lj.abnib.co.uk и Google мне кажется менее вероятным, чем злоумышленник, взломавший непосредственно lj.abnib.co.uk
Если мы доверяем гуглю, то, возможно более осмысленным решением был бы сервис, к которому приходишь с basic auth (благо Google это умеет), а он дальше идет с digest. И ничего у себя не хранит.
Да, это верно, я об этом не подумал.
Злоумышленник, поставивший сниффер где-то посередине между lj.abnib.co.uk и Google мне кажется менее вероятным, чем злоумышленник, взломавший непосредственно lj.abnib.co.uk
Опять же, верно, но тут уж ничего не поделаешь, видимо. По крайней мере, взломщику придется ловить траффик на протяжении длительного времени - это не то же самое, что вломиться, скопировать базу данных паролей, и корпеть над ней в оффлайне. Еще можно было бы завернуть это дело в SSL (умеет ли это Google reader?) а private key держать на карточке. Это несколько усложнит деплоймент и удорожит сервер, но не сильно.
Еще можно было бы завернуть это дело в SSL (умеет ли это Google reader?) а private key держать на карточке.
А карточку - в датацентре Гугля? Насколько я понимаю, смысл web-based агрегатора, в частности Google Reader, в том, что он проверяет фиды и собирает новые посты даже в то время, когда тебя рядом с компьютером нет.
Нет, карточку - там, где прокси стоит. Кстати, а откуда информация, что гугль поддерживает basic? Они утверждают, что никакая авторизация не поддерживается:
На какой прокси? Для того чтобы WEb-базед агрегатор выкачал открытый пост, требуется чтобы в сети были ровно две машины - livejournal и этот самый агрегатор. После этого, если этот фид включен в открытую страницу на гугле-ридере, смотреть этот пост там может кто угодно.
Для того чтобы он выкачал подзамочный пост, требуется наличие в сети livejournal, агрегатора и сервиса, который помогает агрегатору авторизоваться. Его, конечно, можно называть прокси. Но этот сервис (тот, который обсуждается) - в Соединенном Королевстве. Как туда карточка попадет?
Дело в том, что лично я гуглю доверяю куда меньше, чем СУПу и никакими его сервисами, кроме собственно поиска и карт не пользуюсь. И то карты у меня по большей части закэшированы в maemo-mapper.
Для того чтобы он выкачал подзамочный пост, требуется наличие в сети livejournal, агрегатора и сервиса, который помогает агрегатору авторизоваться. Его, конечно, можно называть прокси.
Да-да, я именно об этом сервисе и говорю.
Но этот сервис (тот, который обсуждается) - в Соединенном Королевстве. Как туда карточка попадет?
Речь идет о том, чтобы сделать аналогичный, но более секьюрный, чтобы люди не боялись им пользоваться.
Дело в том, что лично я гуглю доверяю куда меньше, чем СУПу и никакими его сервисами, кроме собственно поиска и карт не пользуюсь. И то карты у меня по большей части закэшированы в maemo-mapper.
Дело в том, что лично я гуглю доверяю куда меньше, чем СУПу и никакими его сервисами, кроме собственно поиска и карт не пользуюсь. И то карты у меня по большей части закэшированы в maemo-mapper.
Кажется, можно пойти на http://www.livejournal.com/tools/opml.bml?user=[your username], взять там opml со списком своих френдов, и сымпортировать этот список в Google Reader (Settings -> Import/Export).
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
ninetydegrees
no subject
on 2008-03-13 11:23 am (UTC)no subject
on 2008-03-13 11:25 am (UTC)no subject
on 2008-03-31 04:38 pm (UTC)no subject
on 2008-03-31 05:00 pm (UTC)Ну да, некоторые и p2p клиентов с GUI пишут. А под Windows 3.1 я когда-то NFS-сервер с GUI видел.
no subject
on 2008-03-31 05:10 pm (UTC)Главное, чтобы ставилось без лишних вопросов.
Написать на питоне (или, для альтернативно-предпочитающих, перле, или вообще на c#) -- день работы вместе с отладкой.
no subject
on 2008-03-31 05:37 pm (UTC)no subject
on 2008-03-13 11:29 am (UTC)no subject
on 2008-03-13 11:49 am (UTC)Вообще говоря, это совершенно не спасает от злоумышленника, имеющего контроль над lj.abnib.co.uk - он в логах его web-сервера посмотрит ключик.
Если мы доверяем гуглю, то, возможно более осмысленным решением был бы сервис, к которому приходишь с basic auth (благо Google это умеет), а он дальше идет с digest. И ничего у себя не хранит.
Чтобы что-то поломать в таком раскладе требуется перехватить траффик от этого гугля к этому сервису.
Но опять же от злоумышленника, который имеет контроль над abnib.co.uk это не спасает.
Злоумышленник, поставивший сниффер где-то посередине между lj.abnib.co.uk и Google мне кажется менее вероятным, чем злоумышленник, взломавший непосредственно lj.abnib.co.uk
no subject
on 2008-03-13 11:56 am (UTC)Да, это верно, я об этом не подумал.
Опять же, верно, но тут уж ничего не поделаешь, видимо. По крайней мере, взломщику придется ловить траффик на протяжении длительного времени - это не то же самое, что вломиться, скопировать базу данных паролей, и корпеть над ней в оффлайне. Еще можно было бы завернуть это дело в SSL (умеет ли это Google reader?) а private key держать на карточке. Это несколько усложнит деплоймент и удорожит сервер, но не сильно.
no subject
on 2008-03-13 12:15 pm (UTC)А карточку - в датацентре Гугля?
Насколько я понимаю, смысл web-based агрегатора, в частности Google Reader, в том, что он проверяет фиды и собирает новые посты даже в то время, когда тебя рядом с компьютером нет.
no subject
on 2008-03-13 12:26 pm (UTC)http://www.google.com/support/reader/bin/answer.py?answer=78730&topic=12011
no subject
on 2008-03-13 12:49 pm (UTC)Для того чтобы WEb-базед агрегатор выкачал открытый пост, требуется чтобы в сети были ровно две машины - livejournal и этот самый агрегатор. После этого, если этот фид включен в открытую страницу на гугле-ридере, смотреть этот пост там может кто угодно.
Для того чтобы он выкачал подзамочный пост, требуется наличие в сети livejournal, агрегатора и сервиса, который помогает агрегатору авторизоваться. Его, конечно, можно называть прокси.
Но этот сервис (тот, который обсуждается) - в Соединенном Королевстве. Как туда карточка попадет?
А информация о поддержке аутентификации - отсюда: http://dimrub.livejournal.com/649266.html?thread=9701682#t9701682
Дело в том, что лично я гуглю доверяю куда меньше, чем СУПу и никакими его сервисами, кроме собственно поиска и карт не пользуюсь. И то карты у меня по большей части закэшированы в maemo-mapper.
no subject
on 2008-03-13 03:14 pm (UTC)Да-да, я именно об этом сервисе и говорю.
Речь идет о том, чтобы сделать аналогичный, но более секьюрный, чтобы люди не боялись им пользоваться.
Угу, задал там аналогичный вопрос.
Ну, тут уже YMMV :).
no subject
on 2008-03-14 12:36 am (UTC)Боишься?
no subject
on 2008-03-31 05:05 pm (UTC)no subject
on 2008-04-02 09:47 am (UTC)И что
on 2008-03-13 12:06 pm (UTC)Re: И что
on 2008-03-13 12:08 pm (UTC)А коменты
on 2008-03-13 12:10 pm (UTC)Re: А коменты
on 2008-03-13 12:11 pm (UTC)А бриться когда?
on 2008-03-13 12:13 pm (UTC)Re: А бриться когда?
on 2008-03-13 12:17 pm (UTC)Re: А коменты
on 2008-03-13 12:41 pm (UTC)Re: И что
on 2008-03-13 02:37 pm (UTC)no subject
on 2008-03-13 10:39 pm (UTC)