Тут вы сможете найти некоторые ответы на ЧАстые ВОпросы, если на ваш вопрос ответа здесь нет — свяжитесь с нами.
Зачем всё это вообще?
Элементарно! Многие онлайн-RSS-аггрегаторы не умеют производить авторизацию по логину/паролю, соответственно, вы не сможете добавить в них RSS-потоки френдов ЖЖ с подзамочными записями или другие «закрытые» RSS-потоки. Именно для этого и используется этот сервис.
Зачем еще один сервис?
Причина проста — некоторые подобные сервисы хранят ваш пароль на сервере. Например, так поступает lj.abnib.co.uk. Это ужасно. Другие сервисы утверждают, что ничего на сервере не хранят, но при этом закрывают свой исходный код, таком образом удостоверится в их честности невозможно. Пример такого сервиса — достаточно популярный freemyfeed. Более того, FAQ freemyfeed утверждает, что для шифрования они используют суперсекретный алгоритм, который не известен никому, кроме Главного Разработчика. Эта чушь называется Security through obscurity и такая практика открыто порицается криптографическим сообществом. Более того, фраза «rotating algorithm» напоминает мне о алгоритме ROT13, который назвать безопасным конечно же нельзя.
Безопасно ли это?
Я попытался сделать сервис максимально безопасным:
- исходный код сервиса открыт
- пароль не хранится на сервере, он шифруется в секретной ссылке
- пароль не хранится в секретной ссылке в явном виде, если ссылка будет рассекречена — пароль по прежнему в безопасности
- используется достаточно надёжное шифрование — SHA1-OFB
А я слышал, что SHA — это хэш, а не шифр...
Да, это хэш. В данном случае хэш используется в режиме «output feedback» для генерации ключевой последовательности поточного шифра. Вообще, симметричные шифры и хэши родственны в некоторых местах, но скажите, вам действительно помогли эти подробности?
Я не хочу подставлять своих ЖЖ-френдов!
Если вы боитесь, что аггрегатор проиндексирует подзамочный пост вашего ЖЖ-френда — вы можете включить обрезание сообщения, таким образом в rss-ридер придёт только заголовок сообщения и дата его публикации, текст сообщения будет вырезан. Кстати, такие опасения не безпочвены. Яндекс.Лента была замечена несколько лет назад в таком поведении, Google Reader же однозначно заявляет о невозможности подобных проблем с его стороны. Более того, «честные» роботы не должны индексировать секретные ссылки, т.к. это явно запрещено нашим robots.txt.
Я случайно опубликовал секретную ссылку, что мне теперь делать?
Без паники. Просто смените свой пароль и создайте для себя новые секретные ссылки — старые ссылки после этого будут возвращать ошибку авторизации и никто не сможет ими воспользоваться для того, чтобы читать секретные записи.
Кто еще верит в секретные ссылки?
Известно, что как минимум Хабрахабр поступает аналогичным образом, т.е. генерирует для пользователя некоторый секретный URL, по которому доступны все записи хабраленты, включая и «подзамочные». Кстати, у хабрахабра рассекреченные ссылки уничтожаются тем же самым образом — сменой пароля.
Что-то глючит! Количество друзей не совпадает с ЖЖ-профилем!
Проверьте внимательно — друзья, которые уже удалили свои журналы, не учитываются. Учитываются только «живые» ЖЖ-друзья и сообщества.
А какие минусы?
Из неочевидных минусов мне известен пока ровно один — Google Reader считает rss-потоки с секретных ссылок непопулярными и проверяет их реже, чем другие, текущий рекорд лага — шесть часов.
