Оказывается, большую половину трафика на наших сайтах генерируют вовсе не люди.

Была такая юмореска насчет общественного транспорта: мол, площадь подошв вдвое меньше площади сечения туловища одетого человека в самом широком месте, однако же места для ног нет. Значит оно занято какими-то "неучтенными" ногами, ну и т.д.

Похожая ситуация, хотя в нашем случае никаких тайн и парадоксов нет. Фирма Incapsula, занимающаяся защитой веб-сайтов, на примере выборки из 1 тыс обслуживаемых ею ресурсов с ежедневным посещением от 50 до 100 тыс подсчитала, что 51% трафика генерируется всевозможными ботами. Таковы сегодняшние накладные расходы, по сути, удваивающие требования к оборудованию и каналу. Причем не всякий инструмент веб-аналитики способен их корректно учитывать.

Интересно также и распределение этой "нечеловеческой" активности. Целых 20% (здесь и далее - в абсолютных цифрах) съедают спайдеры поисковых систем. Ну, от этого никуда не деться. Но почти столько же, 19%, приходится на различные "шпионские" инструменты, применяемые конкурентами для сбора нужной им информации. По 5% откусывают сканеры хакеров, ищущих уязвимые сайты, и "скреперы", копирующие ваш контент для последующего (как правило, нелигитимного) использования. Наконец, всего 2% занимают боты-комментаторы, тулящие в форумы рекламу всякой ерунды.

Вот такая вот веб-арифметика. Вместе с каждым реальным посетителем приходится в среднем обслуживать и одну "мертвую душу".

Chrome не устоял на хакерских соревнованиях Pwnium, которые в этом году Google проводит параллельно Pwn2Own, разошедшись с организаторами последних по поводу раскрытия информации об использованных експлойтах.

Российский студент Сергей Глазунов смог проникнуть в полностью залатанную Windows 7 x64 через Chrome. По словам представителей компании, занимающихся системой безопасности, он использовал очень изощренный метод, состоящий не во взломе, а в обходе "песочницы" браузера, которая как раз и не позволяла хакерам добиться подобных успехов прежде. В результате он сумел исполнить программный код с правами текущего зарегистрированного в системе пользователя.

Таким образом: Сергею - заслуженная премия в 60 тыс долл (пока он только номинирован на нее, но, как по мне, дело ясное), а Google - две новые уязвимости в системе расширений Chrome. Компания уже приступила к работе над соответствующими заплатками, которые по готовности будут доступны через механизм автообновления.

Google не случайно уделяет такое внимание защите Chrome. Дело даже не в реноме компании, а в том, что браузер становится принципиальным системообразующим компонентом в мире облачных вычислений, а в Chrome OS так и вообще по сути единственным. Потому и денег на это дело не жалеют - до исчерпания миллионного призового фонда Pwnium еще очень далеко.

Как известно, со вчерашнего дня все желающие могут протестировать бета-версию Windows 8. Для ее установки предлагается воспользоваться либо веб-инсталлятором, либо ISO-образом. Но во втором случае вы столкнетесь с одним нюансом.

Windows 8 Consumer Preview - полноценная бета-версия и, соответственно, полностью имитирует будущую ОС вплоть до необходимости ввода серийного номера, причем, в отличие от Windows 7, отложить данную процедуру на потом нельзя. Веб-инсталлятор автоматически поможет с этим делом, а в случае ISO нужно использовать следующий:

NF32V-Q9P3W-7DR7Y-JGWRW-JFCK8

Естественно, это официальный ключ. Я просто скопировал его из FAQ, который явно мало кто станет читать по доброй воле :) А Microsoft, к тому же, прямо на него не указывает.

В остальном все как обычно. Windows 8 Consumer Preview прекрасно работает как на обычном (совместимом с Windows 7) компьютере, так и в виртуальной машине - успел проверить VMware Player.

P.S. Еще один ключ все-таки указан на странице со ссылками на ISO:

DNJXJ-7XBW8-2378T-X22TX-BKG7J

Но некоторые его не заметили или качали образ уже из других источников :)

Утверждение далеко не очевидное и потому регулярно вызывающее дискуссии (к примеру, как здесь). Однако в данном случае оно подтверждено независимым исследованием, проведенным компанией Coverity, которая специализируется на анализе программного кода.

В очередном ежегодном отчете Coverity Scan приводятся результаты изучения 45 open source проектов общим объемом в 37 млн строк кода (в среднем по 832 тыс строк, только 8 – свыше 1 млн). Coverity практикует так называемый статический анализ, т.е. собственно кода, вне зависимости от его исполнения. В качестве метрики используется плотность дефектов, т.е. их среднее кол-во на тысячу строк, причем учитываются только дефекты высокой и средней степени опасности. Общий результат по всей open source базе составил 0.45. Это отличный показатель, т.к. в среднем по софтверной индустрии он равен 1.0, соответственно, значения менее единицы считаются «хорошими». Чтобы не ограничиваться «средней температурой по больнице», приводятся также результаты трех конкретных проектов: Linux 2.6, PHP 5.3, PostgreSQL 9.1 – 0.62, 0.20, 0.21.

Сравниваемая проприетарная база состояла из 300 млн строк кода 41 анонимного проекта (в среднем, 7.5 млн строк). Плотность дефектов составила 0.62 – больше, чем у open source. В этом случае также сделан срез по отраслям (на которые ориентировано ПО): там, где к безопасности предъявляются повышенные требования (медицина, энергетика, машиностроение и пр.), плотность дефектов составляла 0.32, по остальным – 0.68.

Стоит, однако, обратить внимание, что исследуемые проприетарные проекты фактически были на порядок крупнее открытых. Плотность дефектов, как относительный показатель, достаточно объективна, однако кажется очевидным, что меньший объем кода легче поддерживать и обслуживать. Это заметно и внутри одной категории ПО: в трех упомянутых выше open source проектах (в том же порядке) – 7, 0.5 и 1 млн строк кода. Соответственно, и результаты двух последних ощутимо лучше. В PHP, правда, применяют инструменты анализа Coverity, но дело ведь не в том, как выявлять дефекты, а в том, как их устранять и не допускать в будущем. Также, возможно, стоило бы отдельно исследовать проекты с «генеральным разработчиком», который создал базовый код и оказывает определяющее влияние на его развитие.

Наконец, последняя оговорка. Оценки Coverity, вообще говоря, не характеризуют собственно ПО – только качество его программного кода. Аналогично, выявляются дефекты в основном формальные, ошибки же, допущенные на логическом уровне, требуют анализа динамического (т.е. во время или после исполнения). Таким образом, речь идет, скорее, о культуре программирования и управления проектом.

Тем не менее, следует признать, что по качеству кода популярные open source проекты не уступают проприетарным. Таким образом, у потенциальных заказчиков есть все основания доверять им и, соответственно, делать выбор в их пользу. Что это означает в «реальном» мире, говорит Gartner – согласно ее прогнозу, к 2016 г. open source решения будут присутствовать среди критичных приложений в 99% корпораций списка Global 2000 (в 2010 г. – только в 75%).

Сколько «умных» устройств использует современный деловой человек? Термин, конечно, не вполне четкий, сегодня едва ли не любой прибор обладает определенным интеллектом, поэтому ограничимся его пониманием исключительно в контексте ИТ. Но даже в этом случае ответ будет довольно неожиданным.

Очевидно, что наша зависимость от техники усиливается. Человек с двумя телефонами – не редкость, причем по разным причинам. Один знакомый носит одновременно iPhone и «обычную» Nokia – на случай, если первый невовремя разрядится. Более-менее понятна картина с ИТ-персоналом: десктоп или ноутбук, обычно смартфон, реже – еще и планшет. Поэтому Forrester заинтересовалась более широкой категорией «информационных работников» и опросила порядка 10 тыс. таковых из 17 стран.

Результаты оказались весьма любопытными. Хотя «средний по больнице» показатель составил достаточно ожидаемые 2.3 устройства на человека, на самом более большая половина (52%) использует как минимум три, а 14% – шесть (!) и более.

Можно также узнать, и что это за устройства.

Как видно на диаграмме, 37% сегодняшних умных устройств – это, так сказать, малые формы, а 25% – смартфоны и планшеты, т.е. не ПК в классическом понимании, а то, что относят к post-PC.

Какие из всего этого можно сделать выводы?

Во-первых, разношерстность применяемых устройств свидетельствует о реальной необходимости обеспечения универсального доступа к информации и приложениям. И решение сегодня видится исключительно в применении облачных технологий.

Во-вторых, если рассматривать всю совокупность устройств (а в контексте опроса они применяются именно в рабочих целях), то гегемония Microsoft не столь разительна, как в сегменте ПК (порядка 90%). Учитывая, что ПК вступили в застой, а post-PC устройства развиваются бурными темпами, на рынке есть как выбор для пользователей, так и шансы для новых игроков. Отсюда, кстати, понятно, сколь высоки ставки Microsoft на Windows 8, WOA и Windows Phone, и куда направлены основные инновации.

В-третьих, можно предположить, что 4-5-6 устройств люди используют не от хорошей жизни. Удовольствие от необходимости постоянно таскаться с несколькими гаджетами получают разве что самые законченные гаджетоманы (хотя, безусловно, есть и такие). Т.е. на сегодня нет достаточно универсальных устройств и значит можно ждать их появления.

То, что принтеры в принципе уязвимы, мы уже знаем. HP официально признала такую опасность (за исключением возможности возгорания) и предприняла кое-какие меры. А Xerox, видимо, решила не дожидаться, пока ее изделия аналогично препарируют.

И поспешила сообщить, что планирует защищать свои наиболее сложные МФУ (имеющие в том числе доступ к Интернету) с помощью технологий McAfee. Похоже, речь идет о DeepSafe, которую, кажется, живьем еще никто не видел. Она разрабатывается совместно с Intel для защиты обычных компьютеров, но, видимо, может быть адаптирована и для других устройств. Если кратко, то это очень "тонкий" гипервизор, работающий "под" операционной системой и способный за счет этого обнаруживать руткиты и пр.
 
Закономерный вопрос: насколько оправдано применение в принтерах таких сложных решений? Не достаточно ли было бы защитить саму микропрограмму (цифровым сертификатом, контрольной суммой и пр.) и протокол ее обновления? Нужно ли вообще разрешать установку в принтер дополнительного ПО?
 
Таким образом проблематика гораздо шире и касается вообще наделения периферии и бытовой техники несвойственными им прежде вычислительными функциями общего назначения. К примеру, современные телевизоры все меньше отличаются от обычных компьютеров, в них используется довольно сложное системное ПО, браузеры и пр. Предлагая доступ к платному контенту, они вполне могут привлечь внимание злоумышленников. Не говоря о переносе некоторых практик, отработанных на ПК. Скажем, как отреагируют пожилые люди, которые не мыслят себе жизни без ТВ, на блокирование их телевизора и требование денег за его разблокирование?
 
Сейчас, вероятно, такая опасность не слишком велика, в том числе и из-за фрагментации рынка. Но внедрение стандартных платформ, вроде Google TV, сделает ее гораздо более реальной. При этом ни в одном из пресс-релизов об «умных» телевизорах я не встречал даже упоминаний о безопасности – слишком сложный предмет для домохозяек. С последним, в общем, и не поспоришь, но тем более требуется ответственный подход. Так что пример Xerox в этом смысле, скорее, позитивный. Раз тенденцию нельзя изменить (а сегодня все хотят продвигать свои платформы и продавать для них ПО, к примеру, вскоре откроется магазин приложений Mozilla), то лучше перестраховаться.

Каковы признаки принятия новой информационной технологии? Массовой она обычно становится не сразу. Поэтому иногда косвенно выводы можно делать по вниманию со стороны не пользователей, а… злоумышленников.

Очередной годовой отчет Arbor Networks (для получения нужна регистрация), поставщика решений в области сетевой безопасности и управления, впервые отмечает факты DDoS-атак по IPv6.

Их пока очень немного, лишь 4% опрошенных уверенно сообщают о них, хотя 21% тех, кто не может дать четкий ответ настораживает: ведь речь идет о сетевых операторах различных уровней, им ли быть не в курсе событий? По-видимому это свидетельствует о том, что до сих пор многие просто игнорируют новый протокол, что не есть хорошо.

Тем не менее, факт остается фактом. Значит в некоторых сетях уже достаточно IPv6-абонентов, которые могут служить как источником атак, так и их целью. Напомню, что летом 2012 г. состоится всемирный «запуск» IPv6, т.е. многие сайты и сервисы приступят к его промышленному использованию. Вероятно, после этого IPv6 станет гораздо «популярнее» в указанном контексте.

Отчет Arbor Networks содержит много другой статистической информации, полезной, в основном, профильным специалистам. Однако есть там кое-что, представляющее и общий интерес. К примеру, довольно неожиданно (во всяком случае, для меня) выглядит рейтинг причин для организации DDoS-атак:

Так, наибольшее их число в 2011 г. проводилось по политическим (!) мотивам или просто «из форсу бандитского». В чем прелесть атаки на игровые серверы для меня остается загадкой, тем не менее это третий по популярности мотив. О времена, о нравы! Людей перестают интересовать деньги?!

Microsoft отнюдь не шутит, когда говорит, что вознамерилась полность переосмыслить Windows. В Windows 8 меняется все - архитектура, подходы к разработке... и даже логотип!

У дизайнеров, получивших соответствующий заказ, возник вполне резонный вопрос: если продукт называется Окна, то почему его эмблема выглядит как флаг? Любопытно, что этим вопросом никто особо не задавался целые 20 лет, начиная с Windows 3.1. Но лучше поздно, чем никогда. И впредь Windows будет сопровождаться таким изображением:

Что тут можно сказать? Во-первых, теперь картинка действительно напоминает окно. Во-вторых, чувствуется явная аллюзия на интерфейс Metro. Если прежний флажок лично у меня больше ассоциировался с программным окном, то здесь я вижу, скорее, "плитки" Metro. Некий примитивизм изображения также, видимо, призван отразить подход к дизайну нового интерфейса. Хотя о художественной стороне я судить не берусь :)

Но, как известно, все новое - это лишь хорошо забытое старое. Та же относительная точка на очередном витке диалектической спирали. Не верите? Тогда глядите:

Это логотип Windows 1.0. Как говорится, назад, к истокам.

Становясь все более мобильными, пользователи ИКТ формируют «естественное» лобби. Чтобы заработать, нужно суметь им потрафить, а они действительно вносят на рынок определенные возмущения и требуют пересмотра прежних подходов.

Очевидно, что не учитывать предпочтения мобильных пользователей уже попросту невозможно. Даже со стороны хорошо видно, как индустрия дала сильный крен в сторону мобильных технологий, главные темы сегодня: смартфоны, планшеты, магазины ПО для них и пр. Если обратиться к сухому языку цифр, то уже в этом году, согласно прогнозу Cisco, количество мобильных устройств (если более точно, то тех, что имеют мобильное подключение к Интернету), превысит население нашей планеты. К 2016 г. на душу уже будет приходиться полтора землекопа гаджета, за это же время мобильный трафик вырастет в 18 раз (т.е. будет ежегодно удваиваться в течение ближайших четырех лет), а почти половина его придется на смартфоны.

Так вот, пусть первым бросит в меня камень тот, кто скажет, что это не влияет на характер использования Интернета, т.е. всевозможных интернет-сервисов. На самом деле предпочтения меняются очень заметно и направленность этого процесса эмпирически понятна, но есть и точные данные. comScore проводила свои исследования в США, но, с учетом локальных специфик, результаты наверняка отражают глобальные тенденции:

На диаграмме - которая отражает динамику всего за один год - хорошо заметно довольно существенно падение популярности веб-порталов и веб-почты. Первые долгое время были безоговорочными лидерами, но сейчас им на пятки наступают социальные сети (на картинке не видно, но они все же отстают на доли процента).

Под веб-почтой, показатель которой впервые опустился ниже 10%, здесь подразумеваются не соответствующие сервисы вообще, а конкретно доступ к их сайтам, т.е. к Gmail.com, Hotmail.com и пр. Собственно почтовый трафик, особенно мобильный, продолжает расти впечатляющими темпами (в отличие, к примеру, от мгновенных сообщений). Но именно всевозможные гаджеты, в силу различных своих ограничений, располагают к тому, чтобы пользоваться не веб-интерфейсами, а специализированными клиентами.

В свою очередь это, как не сложно догадаться, подрывает саму бизнес-модель бесплатных почтовых сервисов. Как-то проскакивала информация, что платных подписчиков Google Apps (которые в основном используют именно почту и гораздо реже календарь и пр.) не так уж много на общем фоне, и вряд ли с их помощью можно окупить такой масштабный проект. Таким образом, очевидно, все упирается в рекламу на сайте, просмотров которой, как показывают приведенные выше данные, становится все меньше.

Если учесть дополнительно, что наибольшее падение интереса к веб-почте наблюдается у возрастной категории 12-24, то перспективы ее выглядят, скажем так, туманно. Вряд ли, конечно, эти сервисы станут платными, но их владельцам явно придется хорошенько поломать голову над новыми формами заработка. Не удивлюсь, если со временем они начнут взимать пеню с производителей смартфонов и других гаджетов :)

На днях довелось вкусить GPRS (тот, что гордо называется EDGE) в украинской глубинке. Благо, старый добрый WM-смартфон, который все никак не сломается, согласен работать модемом. Но мало того, что это само по себе мучение, так еще и наложились какие-то странные проблемы.

Всякий, кто пользовал GPRS знает, насколько он медленный по сравнению с любым другим современным видом интернет-связи. Плюс периодические таймауты, когда браузер не может дождаться ответа и выдает ошибки. Но обычно это случается не слишком часто, поэтому когда, скажем, гарантированно можешь зайти на Google и не можешь на Gmail, начинаешь подозревать какие-то дополнительные проблемы. Конкретно – с DNS: было очень похоже, что у оператора где-то что-то «отвалилось» и попасть я могу только на те сайты, адреса которых сохранились в локальном кэше. Во всяком случае, идея воспользоваться публичным DNS оказалась верной и подтвердила догадку. Правда, пришлось дополнительно помучиться, пока не нашел в выдаче Google (по ссылкам-то пройти нельзя) адреса серверов OpenDNS – он почему-то первым пришел в голову.

К своему стыду, напрочь забыл о Google Public DNS, который хорош уже хотя бы тем, что имеет очень простые IPv4-адреса: 8.8.8.8 и 8.8.4.4. IPv6 тоже поддерживается, но 2001:4860:4860::8888 и 2001:4860:4860::8844 запомнить гораздо сложнее. :) Вот, кстати, один очевидный минус нового протокола. Между тем, Google Public DNS функционирует уже более двух лет и сегодня является крупнейшим сервисом данного класса, обрабатывающим более 70 млрд запросов в день. А вообще публичных DNS немало, так что впору задуматься о смысле их существования.

Тот же OpenDNS, к примеру, оказывает как бесплатные, так и платные услуги, в т.ч. защиту от фишинга и веб-фильтрацию. Он умеет исправлять несложные опечатки и попутно выдает рекламу на странице с извещением об ошибке. Другие сервисы могут решать в основном технические задачи. Google свою деятельность традиционно представляет чуть ли не как филантропию, но, хотя и клянется охранять персональные данные, наверняка собирает какую-то веб-статистику (пусть и обезличенную).

Но сегодня с фишингом борются уже браузеры, так что основное применение публичных DNS – пожалуй, либо для подстраховки, как в описанном случае, либо для скорости, т.к. провайдерские DNS хоть и «ближе», но, как правило, слабее, имеют меньший кэш и пр. В любом случае, доступные DNS можно протестировать, для этого у Стива Гибсона (известного, в частности, тем, что он пишет свои небольшие Windows-программы исключительно на ассемблере) имеется специальная утилита:

Результаты на картинке достаточно закономерны: локальный и провайдерский DNS самые быстрые, а следом идет как раз Google Public DNS, который некоторые операции (разрешение адресов домена .com) выполняет даже быстрее. OpenDNS замыкает десятку лидеров. Можно также подставлять свои списки серверов и получить кое-какие общие заключения и рекомендации по конкретной сетевой конфигурации.