Сегодняшняя статья посвящена отчету по безопасности.
Это история Артема ксимера Гавриченкова «Масштабирование TLS», который был представлен на Высокая загрузка++ в ноябре 2016 года: Слайды можно найти здесь .
Отказ от ответственности: о сертификатах и TLS речь только идет, а не в самой статье.
Сюжет Всегда приятно наблюдать, как оратор находит подводные камни в какой-то часто используемой вещи, которые могут легко навредить тебе, да, это так.
Это плодотворные темы, они обычно хорошо воспринимаются.
В то же время человеку, глубоко увлеченному тем, чем просто пользуются обычные люди, всегда есть чем шокировать публику.
Постановка задачи
Основная часть истории (та, из которой можно непосредственно сделать выводы и извлечь рекомендации) начинается примерно в 9:40. Мне кажется, к этому моменту зрителю еще не совсем понятно, о чем именно будет репортаж, и в этом проблема.Завесы о том, кому принадлежат центры сертификации и почему им до сих пор «доверяют», начинаются примерно одновременно с историей о WoSign. После этого сюжет не отпускает, но я бы предложил сократить вступительную часть.
Фактически, отчет начинается с изложения новейшей истории шифрования, упоминания влияния на рейтинги Google, статистики Mozilla и Let's Encrypt, обнаруженных уязвимостей на уровне протокола, а также критики OpenSSL и GNU TLS. Объединяющая идея — технологический долг, а его главная составляющая — отсутствие базовой информации среди пользователей, которая подскажет… Это выглядит не совсем логично: редко случается, чтобы образовательная деятельность была связана с возвратом технологического долга.
Подвести зрителей к теме ликбеза можно было иначе, в частности, после упоминания Google и заботы о пользователях можно сразу перейти к «допустим, вы впервые задумываетесь о внедрении шифрования, какие проблемы у вас возникаютЭ» нужно решитьЭ» Многие сведения, упомянутые во введении, было бы жаль потерять, но они, естественно, переносятся в другие разделы.
В частности, Let's Encrypt, рост числа его пользователей и краудфандинговую кампанию прекрасно можно описать в конце абзаца «у кого купить сертификат».
Примеры
Примеры — это одна из вещей, которые делают этот доклад интересным и простым для понимания.Хочется отметить, что Артем здесь все делает на отлично, и призвать читателей брать с него пример.
Обратите внимание, что истории конкретны и содержат подробности.
У каждой ошибки, как известно, есть имя, фамилия и отчество, и они по возможности приводятся в отчете.
В октябре 2016 года компания GlobalSign проводила работы по техническому обслуживанию повторного скрещивания корневых и промежуточных сертификатов и случайно отозвала все свои промежуточные сертификаты — здесь довольно много подробностей, и это хорошо.
Конкретные детали, даже если они не являются принципиальными для понимания сути, делают рассказ убедительным.
Если подробности не отнимают много времени, не нужно думать, включать их в рассказ или нет. Включите, обязательно.
Если пример масштабный (в случае с GlobalSign проблема затронула такие сервисы, как Wikipedia, Dropbox, Spotify), это придает ему вес.
Парадоксальность примеров (когда первая мысль – WTF?) делает всю речь более запоминающейся.
В нашем случае под это определение, наверное, подходят истории про WoSign и AES 128/256. Последняя история также прекрасно вписывается в стереотип о том, что «военные все глупы», который, вне зависимости от реального положения дел, довольно прочно сидит в головах многих из нас.
Поведение говорящего
Только не подумайте запятая, что я читаю по бумажке
Имеет смысл прокомментировать листы записей, которые Артем держит в руках.Было пару отзывов зрителей, которым он не понравился, но я считаю, что все хорошо.
Многие люди с таким же успехом делают заметки докладчика в PowerPoint, Keynote или что у тебя .
Для некоторых бумажные носители более удобны; некоторые люди до сих пор читают бумажные книги.
Важно лишь то, чтобы оратор обращался к аудитории, а не к своим записям.
Застрять в экране суфлера не лучше, чем застрять в своих бумагах; зрители замечают это одинаково легко.
Артем почти все время смотрит в зал и разговаривает с аудиторией, поэтому, на мой взгляд, распечатки репортажу не повредят.
Слайды
Самодостаточность
Я исходю из убеждения, что слайды — это всего лишь вспомогательный материал, который помогает показать то, что аудитория должна увидеть, а также помогает не сбиться с пути, если история сложная.Артём наглядно демонстрирует (подробнее об этом ниже) попытку сделать слайды самодостаточными, т. е.
такими, которые можно посмотреть и получить примерно ту же информацию, что и при посещении живого выступления.
Я не могу рекомендовать этот подход. Это увеличивает объем текста на слайдах, делая текст похожим на то, что говорит докладчик.
Многие зрители невольно тратят много сил, сравнивая текст слайдов с речью и понимая, насколько они совпадают. В случае, как и в нашем случае, с англоязычными слайдами и русской устной речью, ненужный расход заряда батареи в голове зрителя может быть очень высоким.
Давайте рассмотрим несколько примеров того, что можно безболезненно уменьшить (список не является исчерпывающим).
Слайд 26: 
У WoSign есть три греха.
Возможно, некоторые из них стоит опустить, чтобы уменьшить объем.
Кроме того, я бы поместил ссылку на CA:WoSign_issues в заголовок слайда.
Это касается не только здесь, но и некоторых других слайдов: если у нас только один бюллетень первого уровня, а под ним разброс подпунктов, то лучше этот бюллетень вынести в заголовок.
Слайд 33: 
Достаточно точно сказать о банках своим голосом.
Кстати, слайды 33-34 в видео отличаются от опубликованных на сайте конференции.
Это нормально, но я хочу обратить внимание на слайд 34 из видео (появляется на 18:05 ): 
Здесь, помимо банков, есть еще два экземпляра «об этом позже», которые на слайде совершенно не нужны.
Слайд 59: 
Та же проблема с дублированием текста на слайде, который следует оставить только голосовым.
В целом доклад Артёма таков, что его сложно сопроводить графическими материалами.
Нет ощущения, что слайды местами просят схемы, схемы и картинки.
В такой ситуации я бы предложил сосредоточить внимание людей на речи говорящего, а текст на экране уменьшить.
Согласованное отображение и сохранение контекста
В условиях, когда слайды в основном текстовые и текста много, последовательное отображение элементов на слайдах и сохранение контекста истории как можно более постоянным может оказаться весьма полезным.Я убеждён, что завершение существующей картины небольшими шагами экономит усилия зрителя и облегчает восприятие.
В рассматриваемом отчете этот прием используется часто и успешно.
Например, давайте посмотрим на первые десять слайдов (первые ~8 минут).
Для дальнейших целей важно сравнить второй и десятый (если вы открывали слайды по ссылке, то пролистывайте те, что между ними): 
Во-первых, второй и пятый слайды одинаковы.
То есть на третьем и четвёртом спикер показывает нам графики, важные для окружения, а затем возвращает нас именно к тому месту, с которого нам нужно продолжить рассказ.
Многие докладчики боятся повторить в точности тот слайд, который они уже показывали один раз.
Так что на всякий случай скажу, что ничего страшного в этом нет. Во-вторых, впоследствии появляются элементы, дополняющие историю «с другой стороны».
Нельзя показывать сразу весь десятый слайд: появятся спойлеры и исчезнет контраст между событиями.
В других местах Артём тоже показывает пули последовательно, и так гораздо легче следить за происходящим и понимать, где мы находимся в истории в данный момент. Регулярные обзоры Если вы хотите оставить отзыв о своем выступлении, я буду рад вам его предоставить.
Что для этого нужно?
- Ссылка на видеозапись выступления.
- Ссылки на слайды.
- Заявка от автора.
Мы не будем ничего обсуждать без согласия самого спикера.
Обещаю, что обратная связь будет конструктивной и вежливой, а также будет освещать положительные моменты, а не только то, что необходимо улучшить.
Теги: #tls #Криптография #презентация #анализ #сертификаты безопасности
-
Сколько Стоит Веб-Хостинг Mac?
19 Oct, 24 -
Google Reader Стал Еще Более Социальным
19 Oct, 24 -
Вечный Двигатель
19 Oct, 24 -
10-Кратная Читаемость
19 Oct, 24
