Нередко технологии, направленные вроде бы на обеспечение безопасности, но приспособленные для неспециалистов, воспринимаются как скорее внушающие ложное чуство защищенности. Недавно в таком контексте мы обсуждали UAC, однако определенные претензии можно предъявить даже SSL.

SSL-сертификаты и, соответственно, HTTPS давно стали неотъемлемой частью Интернета и пользователи будут сталкиваться с ними все чаще по мере распространения в Сети коммерческих услуг. Но все ли из нас различают типы таких сертификатов, их назначение и сферы применения. Хорошо, что современные браузеры хоть научились выявлять поддельные и сомнительные:

А есть ведь и вполне легитимные, но которые могут применяться совсем не к месту - как  случайно, так и умышленно:

В данном случае я говорю о так называемых domain-validated сертификатах, удостоверяющих исключительно сам домен, но никак не его владельца. Они выдаются вполне законно, дешевы (а в некоторых случаях и вовсе бесплатны) и обычно предназначаются лишь для обеспечения шифрования. При этом вся процедура проверки может состоять в обмене электронными письмами (т.е. запрашивающий должен иметь почтовый ящик в домене) или выкладывании определенного файла на веб-сервер (т.е. запрашивающий должен иметь к последнему доступ). Очевидно, что это открывает определенный простор для творчества различных злоумышлеников, в первую очередь промышляющих фишингом.

Проблема в том, что подавляющее большинство современных браузеров никак не реагируют на сертификаты, представленные на иллюстрации с желтым фоном. Хотя пользователь может сам доискаться до всей информации, вчитавшись в подробности, предоставленные браузером, очевидно, что мало кто станет это делать.

Однако, не сам же я нарисовал эту картинку? :) Таким образом на domain-validated сертификаты реагируют новый браузер Comodo Dragon, построенный на ядре Chromium. В остальном он, кажется, мало чем отличается от Google Chrome, однако разработчики специально уделили внимание таким вот специфическим моментам.

Дело в том, что Comodo, известная, кстати, неплохим бесплатным ПО для обеспечения безопасности, сама является эмитентом SSL-сертификатов, в том числе domain-validated (хотя больше всего их выпускает Go Daddy). Так что ее откровенная позиция заслуживает уважения.

Специалисты Comodo утверждают, что domain-validated сертификаты действительно нередко используются в фишинге, хотя согласно Netcraft лишь 0.3% всех поддельных и взломанных сайтов применяют HTTPS. Но даже в таком случае инициатива Comodo заслуживает похвалы и поддержки. По моему мнению, все более очевидной становится необходимость применения кардинально новых подходов к информационной безопасности, а каждая капля, как известно, камень точит.

Многие наверное уже знают, что с 1 марта пользователям Евросоюза наконец-то была предоставлена возможность собственноручного осознанного выбора браузера по умолчанию в Windows.

Соответствующий экран выбора будет отображаться при загрузке обновлений из Windows Update (единожды или всякий раз?), если только по умолчанию уже не выбран альтернативный браузер. Вручную мне воссоздать эту ситуацию не удалось, одной смены региональных настроек оказалось недостаточно. Однако оценить новую демократическую инициативу можно, зайдя на соответствующий сайт.

Казалось бы – все, конец этой сомнительной эпопее? Не тут-то было. Критика продолжается. Кто-то докопался, что случайное распределение, в соответствии с которым перетасовываются пять основных браузеров, не совсем равномерное и остался этим крайне недоволен, даже несмотря на то, что IE8, вроде бы, находится в самом худшем положении. Похоже, это может продолжаться бесконечно.

Между тем, у меня есть сильное подозрение, что данная инициатива не повлияет существенно на расстановку сил. А на самом деле эффект может быть даже отрицательным. К примеру, один из блогеров честно написал, что даже испугался, когда окно выбора браузера выскочило на экран без всякого предупреждения, и вынужден был потратить некоторое время на выяснение его природы – не действие ли это вредоносной программы.

Т.е. большинство пользователей явно не в курсе свалившегося на них благодеяния. А смогут ли они сделать действительно осознанный выбор? Ведь щелкая по кнопкам Tell me more они найдут не тесты и сравнения, а обычную маркетинговую информацию. Еще хуже, если чей-то выбор будет основываться на функциональности без учета аспектов безопасности. Хотя адекватно оценить последнюю даже сравнительно опытному человеку ой как не просто. К примеру, хакер Чарли Миллер, многократный участник и победитель Pwn2Own, самой безопасной платформой считает Windows 7 c IE8 или Chrome – вопреки всем расхожим суждениям.

Человек предполагает, а бог располагает. Одно из широко пропагандируемых нововведений Windows 7 – Windows Sensor and Location Platform – оказалось мало кому доступным и пока представляет разве что академический интерес. А жаль.

Ведь применений, той же гео-привязке, нашлось бы немало. Скажем, Google позволяет уточнить результаты запроса по вашему местонахождению, причем для этого даже не требуется аппаратный GPS-прибор – правда, в нашей стране функция Nearby, похоже, эффекта пока не дает. Но ведь речь идет практически о любых датчиках: освещенности, позиционирования и пр. Возможно, интерес к ним подстегнут представленные недавно Slate-планшеты – там они более чем уместны.

В чем же причины данной проблемы? По-видимому, их несколько, но главная – отсутствие (пока) большой заинтересованности со стороны OEM, т.е. отсутствие собственно сенсоров в наших с вами компьютерах, а стало быть –  и мотивов для сторонних разработчиков ПО. Да, последние могут создавать программы с помощью MSDN, тематического блога и соответствующего SDK, имитирующего наличие датчика, но большого практического смысла в этом нет – разве что тренировки ради.

Разорвать этот порочный круг решились два независимых специалиста, реализовавшие программный гео-датчик, пытающийся определить местоположение по косвенным данным, в частности, по IP и соседним WiFi-точкам (используются соответствующие сервисы Google). На создание Geosense их явно вдохновила аналогичная функция, присутствующая в последних версиях Mac OS X, хотя в первую очередь они увлечены именно поддержкой и популяризацией WSLP. Не очень понятно, почему этим не озаботилась сама Microsoft, тем более что гео-привязку имеется, к примеру, в десктопном гаджете Weather. Но, так или иначе, теперь этот пробел восполнен.

Вот так Geosense выглядит на системном уровне. После инсталляции его надо собственноручно активизировать.

Снимок окна демонстрационной программы. Как видите, в моем случае датчик сумел верно определить город, но как именно он его вычислил – неясно. Возможно, просто как столицу Украины, которую я указываю в региональных настройках, но быть может и по IP шлюза. Конкретный адрес Воровского, 11 был предложен и дома, и в офисе, и навскидку очень похож на геометрический центр города  :)

Ну и чтобы окончательно убедиться, что все работает в рамках WSLP – гаджет Weather. Синий значок в правой части возле описания местоположения свидетельствует о работе датчика (т.е. местоположение определяется автоматически).

Кстати, Windows 7 довольно трепетно заботится о нашей приватности. При каждом обращении к датчику в системной области панели задач появляется соответствующая пиктограмма, и все они протоколируются в системном журнале.

Во всяком случае, на сайтах компании больше не видно прямых ссылок на загрузку этого ПО. А вместо официального пресс-релиза можно - с некоторым трудом - найти лишь небольшой комментарий.

Оказывается, разработчики не могут предоставить на WM такой же уровень качества, как на других платформах (в первую очередь, надо понимать, iPhone). Очевидно, ввиду чрезмерного разнообразия устройств, конкретнее, реализации звуковых функций. И хотя эта отговорка вроде бы должна свидетельстовать о заботе о пользователях, гораздо больше она похожа на признание собственной несостоятельности.

Мой личный опыт ипользования Skype на WM-смартфонах был в целом положительным (хотя в свое время действительно имелись кое-какие проблемы совместимости). И, пожалуй, я буду использовать его впредь, благо это не воспрещается. Кстати, на самом деле Skype for Windows Mobile все еще можно загрузить, но сколько это продлится - неясно, так что заинтересованным имеет смысл поторопиться.

Стоит также обратить внимание, что данный шаг предпринят вскоре после заключения соглашения с Verizone. Модель, предусматривающая перекладывание части ответственности на оператора, уже не раз доказывала свою состоятельность, но ведь она работает не всюду, и не для всех. Остается надеяться, что решение Skype все же временное и компания в конце концов сможет обеспечить достойный experience для пользователей WM, тем более, что Windows Phone 7, по крайней мере на первый взгляд, выглядит довольно перспективной.

Всей большой тройки, причем на предмет производительности, что вообще редкость. Дает очень неплохое представление о состоянии дел в области виртуализации и в общем может служить некой отправной точкой при выборе.

Действительно, найти дельное исследование на данную тему, подкрепленное не только личными впечатлениями, но и конкретными цифрами – крайне непросто. Тем более, что АйТишники порой бывают не менее пристрастны, чем иные «независимые» журналисты. :)

В данном же случае речь идет о проекте VRC (Virtual Reality Check), который создан внутри компании PQR, голландского интегратора, ориентированного на серверные и виртуализационные решения, и, кажется, равноудаленного от всех ведущих поставщиков. К тому же поставленные цели говорят о том, что проект – далеко не однодневка, и его участники стремятся таки докопаться до сути.

В настоящий момент завершена вторая (сколько их будет всего – трудно даже предсказать) фаза тестов для наиболее современных платформ, полные результаты доступны бесплатно, но после регистрации. Поэтому я на всякий случай перескажу пару наиболее на мой взгляд интересных выводов:

• оказывается, формальные реляции о масштабируемости далеко не всегда подтверждаются реальными выгодами, скажем, в терминах производительности. К примеру, обнаружилось, что vSphere плохо поддерживает Hyper-Threading (в тестах использовались процессоры Intel Quad Core x5550) и соответственно не может раскрыть весь потенциал аппаратной платформы, хотя при отключенной HT обычно демонстрирует несколько лучшие (до 5%) результаты, чем Hyper-V и XenServer.
• виртуализация серверов обеспечивает лучшую масштабируемость
  32-разрядных решений (по крайней мере некоторых из них, в данном случае тестировались терминальные системы) – именно в терминах производительности. Т.е., грубо говоря, превратив физический сервер в 4 виртауальных (с 32-х разрядными ОС), можно обслужить больше клиентов.
• чего, оказывается, нельзя сказать о решениях 64-разрядных. Вот как выглядят максимальные достижения всех платформ в режиме 4 ВМ х 4 виртуальных CPU (т.е. при использовании HT)

Причем XenServer смог улучшить свои результаты до 136 в режиме 2 ВМ х 8 виртуальных CPU (Hyper-V не поддерживает такого режима), так что именно он в данном случае оказался победителем с точки зрения производительности. Хотя, естественно, это далеко не единственный критерий оценки платформ.

Таким образом ситуация с x64 выглядит несколько парадоксально, поскольку начиная с Windows Server 2008 R2 (и некоторых серверных продуктов) Microsoft просто не оставляет нам выбора. Надо, конечно, учитывать, что виртуализация имеет много других позитивных моментов, и все же заметная (особенно в некоторых случаях) потеря в производительности не может не настораживать. Возможно, разработчики еще не уделили должного внимания оптимизации, так что стоит следить за последующими тестами VRC.

Пока мы все увлеклись iPad, вокруг происходили и другие интересные события.

В частности, Microsoft Office 2010 достиг стадии RC, хотя эта сборка пока доступна только "доверенным" бета-тестерам. Сам я уже несколько месяцев как полностью перешел на бету 2010, по сути перескочив через 2007. И не могу сказать, что чувствую какие-то большие преимущества. Из новых возможностей часто пользуюсь разве что параметрами вставки, а, к примеру, к Backstage никак привыкнуть не могу. Впрочем, я не слишком взыскательный пользователь, и говорю, в основном, о Word, возможно, работай я вплотную с Excel, восприятие было бы несколько иным.

Но в любом случае чувствуется, что от релиза к релизу число ярких и безусловно востребованных новинок в Microsoft Office сокращается. Может мы подошли к некоему объективному пределу сложности/функциональности подобного ПО? Но даже если так, Microsoft ведь все равно не может спокойно почивать на лаврах, иначе, как в случае с IE, однажды можно проснуться в несколько иной реальности...

К сожалению, полновесных исследований рынка офисного ПО я не встречал. Пару леть назад попадалось что-то вроде 95% в пользу Microsoft Office, но - в денежном исчислении, что мало о чем говорит. Исследователи из Германии постарались все-таки посчитать в "штуках". И довольно хитроумно, установив на контролируемых страницах скрипты, проверяющие наличие характерных шрифтов. Вот ссылка на отчет (вернее, его перевод с немецкого на английский, который мне показался боле гладким, чем на русский).

Итак доля OpenOffice.org и производных продуктов превысила 21%. По моему мнению это очень много. Даже на фоне 72% у Microsoft Office. Т.е. не хорошо, и не плохо, а просто не совпадает с моим мироощущением. Тем более, к примеру, утверждается, что доля Microsoft Office в корпоративном сегменте лишь на 3% выше чем в домашнем, хотя первый традиционно считается не склонным к сомнительным экспериментам.

Конечно, 1 млн охваченных исследованием пользователей - на самом деле не так уж много для целой Германии. Да и оценка по наличию шрифтов сама по себе является косвенной. Какие-то могли, скажем, не деисталлироваться. Исследователи также явно не оценивают долю систем, на которых установлены оба популярные пакета, а таких должно быть немало, если учесть что OpenOffice.org загрузили более 100 млн раз. Исследования Интернет-аудитории могут отсекать часть корпоративных пользователей, не имеющих доступа в Сеть, в браузерах которых запрещены сценарии и пр.

Впрочем, нельзя сбрасывать со счетов и специфику Германия. Ведь изначально StarOffice разрабатывался именно там. А еще я помню момент, когда немцы (на каком-то довольно высоком уровне) ратовали против Diskeeper в пользу O&O Software (также немецкий продукт) на том основании, что в руководстве Executive Software (так тогда называлась компания-разработчик Diskeeper) присутствовали сайентологи :)

Тем не менее вот другая оценка, хоть и гораздо менее представительная (порядка 20 тыс зарегистрированных пользователей, предоставляющих информацию с 1-3 компьютеров)

Впрочем, и здесь получается порядка 13-14%, так что OpenOffice.org/StarOffice/Symphony, похоже, добился вполне заметной популярности, с чем его команду и поздравляем. Другое дело, что с проектом будет дальше. Очевидно, что коммерческий успех его крайне невелик, а вклад Sun Microsystems был достаточно весомым. Очень вероятно, что Oracle будет неинтересно продолжать эту игру. А вот подхватят ли (в полной мере) знамя Novell или IBM?

Кстати, последний источник дает и массу другой любопытной информации. Но если кто-то владеет более-менее правдоподобной статистикой в области офисных пакетов, предлагаю делиться незамедлительно :)

Начитался столько чужих мнений, что решил все-таки вставить и свои «пять копеек».

Нетрудно видеть, что в случае как iPod/iPhone, так и iPad, Apple не изобрела ничего нового в техническом смысле. Ее инновации направлены лишь на способ использования привычных устройств и это именно то, что называется «коммодизацией», т.е. превращением сложных технических изделий в потребительский товар, доступный даже домохозяйкам. Не буду спорить, хорошо это или плохо. С точки зрения технарей – грустно, что видно даже по мнениям моих коллег :), но, видимо, неизбежно. Преимущества и недостатки такого процесса каждый может оценить, скажем, на примере автомобилей, и в целом, наверное, все происходит правильно.

С этой точки зрения: так ли важна многозадачность iPad? Мое мнение – не очень. Насколько я знаю, большинству пользователей е-ридеров даром не нужны музыкальные возможности. Использовать гаджеты такого форм-фактора даже для прослушивания аудио-книг – нонсенс. И мгновенные сообщения не слишком актуальны – для них есть смартфон, который априори является коммуникационным центром, зачем дублировать его функции? Более того, если вдуматься, то применение Tablet PC, т.е. полноценного ПК, в мобильном стиле также скорее однозадачное – скажем, врач пробежится с ним по палатам лишь ради сбора свежих данных о состоянии пациентов, а уж систематизировать их, работать с почтой и пр. (т.е. «многозадачничать») наверняка предпочтет в тиши кабинета, где планшетная составляющая уже совершено не актуальна.

Сужает ли это сферу применения iPad? Опять – нет. Все ограничения связаны исключительно с форм-фактором. Функциональность iPad (равно как и других подобных устройств) по сути ничем не ограничена. А как только Citrix выпустит для него ICA-клиент (т.е. Citrix Receiver, который работает и с XenApp, и с XenDesktop), не станет препятствий и для многозадачного стиля работы :) Естественно, для этого необходимо реализовать качественное отображение локальных сенсорных событий на интерфейс удаленной ОС, но, по крайней мере, в случае с Windows 7 и Mac OS X больших проблем с этим не должно возникнуть. Таким образом iPad отведена роль «окна» – в один из сервисов (просмотр видео, чтение книг), в Интернет (через браузер, и отсутствие поддержки Flash – гораздо более существенная потеря, по крайней мере сегодня) и даже в корпоративную систему (за счет специализированных клиентов или универсальных, как обещает Citrix). Отсюда, кстати, понятно, что наибольшую угрозу iPad несет вовсе не нетбукам, и скорее всего даже не е-ридерам на основе электронной бумаги, а гипотетическим устройствам на Google Chrome OS и аналогичным, также претендующим на роль «окна».

А вот к новоявленным Slate-ам, т.е. планшетным устройствам на основе полновесных десктопных ОС, вопросов как раз гораздо больше, ведь по сути они ничем не отличаются от прежних Tablet PC c отстегивающейся клавиатурой. Следовательно и модель их использования останется в основном прежней.

Вчера были выпущены заплатки, исправляющие ту самую уязвимость, которой воспользовались, судя по всему, китайские спецслужбы. Установить их стоит при первой же возможности.

Заплатки для всех актуальных версий IE можно найти на странице соответствующего бюллетеня, хотя они уже доступны и через Windows Update. Обращает внимание, что хотя Microsoft и упирала на то, что последние версии IE, тем более выполняющиеся в новейших ОС, в значительно меньшей степени подвержены данной уязвимости, обновление доступно и для них. Впрочем, оно (случайно или нет) кумулятивное, т.е. содержит сразу несколько исправлений.

Сами по себе ошибки в браузерах и другом ПО не являются чем-то необычным, их регулярно исправляют все вендоры. Но данный инцидент позволяет сделать сразу несколько выводов:

1) предсказания о "кибервойнах" все больше походят на реальность. Хотя в данном случае собиралась информация о собственных диссидентах, что будет дальше - можно только предполагать.

2) перед нами наочный пример негативных эффектов от фрагментации рынка ПО, когда старые версии преспокойно соседствуют с новыми. Я уже обращал внимание на непродуманную политику Microsoft относительно обновления ее браузера, в результате чего IE6 сегодня остается едва ли на самой распространенной версией, а корпорация вынуждена рекламировать (!) IE8. При этом в том же XP Mode для Windows 7 поставляется "голая" Windows XP все с тем же IE6, который вполне можно было бы обновить, тем более что в IE8 имеется режим совместимости. Впрочем, все сказанное по сути можно отнести и к FireFox, и к Opera. По-видимому разработчикам следует более явно и настойчиво пропагандировать переход на новые версии.

3) все это ставит (в очередной раз) под большое сомнение концепцию Web OS, т.е. пользовательской системы, построенной исключительно вокруг браузера и облачных сервисов. Похоже, мы до сих пор даже не представляем себе всех возможных нюансов.

Пусть в специфическом, пусть по косвенным признакам, но тем не менее.

Вообще говоря, оценивать реальные достижения, в частности, рыночную долю Open Source продуктов нелегко, поскольку наиболее адекватная статистика обычно так или иначе основывается на финансовых показателях. Тем не менее кое-какие данные, пусть и не первой свежести, можно найти на сайте продукта, а сравнительно недавнее исследование Evans Data показало, что именно MySQL является главным соперником Microsoft SQL Server на развивающихся рынках, в том числе и в Восточной Европе. Так, если последняя СУБД используется более чем половиной опрошенных разработчиков, то MySQL – 46%.

Не исключено, что именно это подвигло Microsoft анонсировать SQL Server Migration Assistant (SSMA) 2008, призванный максимально упростить миграцию с MySQL на SQL Server 2008 и SQL Azure – на текущий момент доступна CTP-сборка. Достаточно знаковое событие, если учесть, что прежде SSMA выпускались для Oracle и Sybase. Т.е. подобные инструменты как правило предлагаются для принципиально конкурирующих продуктов и не обязательно из области СУБД – к примеру, для IBM Domino.

Между тем ситуация с MySQL по-прежнему вызывает вопросы. Хотя Oracle под конец 2009 г. и пообещала развивать и поддерживать продукт, у экспертов имеются сомнения, а создатель MySQL Майкл Видениус не только собирает подписи под петицией Save MySQL, но и напрямую обратился за помощью к антимонопольным органам Евросоюза, России и Китая.

Об этой забавной игре, обучающей основам программирования, впервые стало известно, кажется, около 3 лет тому, а год назад она стала доступна для Xbox.

Однако Xbox, как известно, не слишком распространена в нашей стране, поэтому редакция для PC нам особенно интересна. На днях стала доступна предварительная версия и теперь познакомиться с ней могут действительно все желающие. Управление осуществляется мышкой и клавиатурой, т.е. не потребуется даже игровой контроллер.

По-моему инструмент замечательный, единственное, что может стать препятствием - английский язык. Хотя сам процесс программирования полностью визуальный (а как же иначе, раз речь об Xbox), а запомнить десяток-другой ключевых слов по плечу любому ребенку. Официальной документации, кстати, судя по всему нет, но через блог разработчиков можно найти ссылки на неплохие видео-руководства. Впрочем, не исключено, что со временем локализация все же появится, как это случилось недавно со Small Basic - теперь он есть и на русском.

По информации Microsoft курсы на основе Kodu уже созданы более чем в 60 образовательных заведениях. И вообще вокруг проекта явно сформировалась экосистема энтузиастов. Версия для PС, наверняка, завоюет еще большую популярность. И это правильно. Как сказал руководитель проекта Мэтью МакЛорин, нужно вернуть подрастающему поколению веру в магию программирования :)

Хотя выбор обучающего инструмента - дело довольно непростое, мне кажется, что Kodu именно за счет игрового процесса идеально подходит для самых начинающих. Потом можно подумать и о Small Basic, и о других специализированных инструментах, часть из которых, кстати, перечислена на сайте Kodu. А вот правильность выбора Pascal в наших школах у меня вызывает все большие сомнения...