27828
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Небольшое субботнее чтение о том, как мы сделали интерактивную карту хрущевок, которые собираются снести власти Москвы.
Внутри скрейпинг сайтов, геокодирование и Яндекс.Карты. «Пара часов жизни компьютерщиков в новостном медиа».
https://dev.meduza.io/как-мы-полюбили-хрущевки-d46018b9c021
У антиподов уже гигабитный LTE:
http://cellularinsights.com/telstras-gigabit-class-lte-network-the-work-of-art/
Лучшее объяснение гипотезы о симуляции вселенной в коротком комментарии в HN.
Даже если вы не знакомы с этой гипотезой, вы наверняка встречали её производные в популярной культуре, в фильмах Матрица, 13 этаж и других. Она заключается в том, что мир, в котором мы живём - компьютерная симуляция, проводимая на компьютере в мета-вселенной.
В коммметарии элегантно объясняется, к какой физической проблеме сводится эта гипотеза.
https://news.ycombinator.com/item?id=13928971
Гениальный инструмент для проверки браузеров. Ссылки на серверы, которые по-разному нарушают правила использования HTTPS. Просроченные, неверные, просто сломанные сертификаты безопасности - можно проверить любой сценарий и сделать скриншот для образования пользователей https://badssl.com/
Читать полностью…
Представьте, вы открыли в браузере сайт, подготовленный злоумышленником. Браузер запущен под Windows внутри виртуальной машины VMWare. Какова вероятность, что злоумышленник сможет проникнуть на хост-систему? Для этого потребуется вылезти из песочницы Edge, обойти защиту ядра Windows, сломать систему виртуализации VMWare. И все это через Javascript на сайте.
Исследователи из Qihoo 360 сделали именно это на конкурсе в Ванкувере и получили приз в 100k$. Довольно безумно.
Это как провести операцию на сердце через надрез на руке.
https://arstechnica.com/security/2017/03/hack-that-escapes-vm-by-exploiting-edge-browser-fetches-105000-at-pwn2own/
Хорошо описанный кейс с финансовыми отчетами Airbnb.
Близкая мне тема, я писал одну из первых версий отчетности для правообладателей в Zvooq (звучит громко, в реальности это были безумные SQL запросы в PG и небольшие скрипты поддержки).
Финансовая отчетность из данных сервиса — классическая задача, где для программирования нужно серьезно разобраться в предметной области с безумными бизнес-правилами и процессами. Близко к тому, что делают SAP-специалисты :)
Прекрасные новости, Intel объявил о работе по более полной поддержке FreeBSD (и пожертвовании FreeBSD Foundation 250,000$).
FreeBSD — очень личная для меня история, напишу об этом потом как нибудь, а пока лишь скажу, что это супер-полезно для индустрии в целом.
Несмотря на постоянный поток новостей «Yahoo переезжает с FreeBSD на Linux» и «Яндекс перевозит свой поиск FreeBSD на линукс», в мире всё ещё есть большие (десятки и сотни тысяч серверов) инсталляции FreeBSD. Надеюсь, так и будет. Мир с одним только Linux будет
Интересно, как PR Телеграма (видимо, сам Павел) наезжает на PR чекпоинта. При этом сам конструирует свой пост-опровержение так, что кажется, будто уязвимости в телеграме не было вообще никакой (а она была).
- Unlike in WhatsApp, nobody could take over your Telegram account by simply sending you a photo.
- Yeah, they would need to send you a video, lol.
Признаю, запустить вирусованное видео и открыть его в новой вкладке — более редкий сценарий, чем просто открыть фото. Но все равно интересно.
https://mobile.twitter.com/telegram/status/842065151121604611
У меня очередные новости о том, что безопасности в интернете нет (переименовать что-ли канал?). В квази-публичный доступ утекли персональные данные (имя-фамилия, компания, должность, телефон, электронная почта, домашние адрес, доходы самого персонажа и его родителей(!)) 33 (!) миллионов американцев. Дочка D&B продавала эти данные совершенно официально за много-много денег, просто никто не ожидал, что оно протечет в интернет.
Это, наверное, такой закон природы — любая privileged информация рано или поздно оказывается в публичном доступе. Теперь можно одним запросом получить персональные данные 32 инженеров-химиков и 715 intelligence analyst армии США. Удобно. Или делать массовые и при этом высокотаргетированные фишинговые рассылки по тысячам бизнесов в Америке. Как много полезного можно сделать с 55 гигабайтным архивом жирных, сочных персональных данных.
https://www.troyhunt.com/weve-lost-control-of-our-personal-data-including-33m-netprospex-records/
Siempo наконец-то рассказал чуть-чуть о том, что они планируют включить в свой телефон.
Siempo — проект создания смартфона, который будет экономить наше внимание, а не сжирать его. Я далёк от перекладывания ответственности за наше поведение на технологии, но любой предмет обихода участвует в формировании привычек.
Хороший пример — фейсбук. Цель его создателей — максимизировать наше время в приложении. И мобильные телефоны помогают ему, доставляя пуши и днём и ночью.
Или сколько раз мы доставали телефон отправить срочное сообщение другу и зависали в ленте fb/instagram/вк/слеке?
Siempo пытается создать телефон, построенный вокруг идеи “не отвлекать, но давать возможность”. Легко перестать отвлекаться, заменив смартфон на Nokia 1100, но как насчёт мессенджеров? Супер неудобно, но я настроил себе ОС и приложения, чтобы телефон не пищал постоянно, но при этом играл звук на звонки. И все равно я пропускаю какие-то сообщения коллег. Приходится выбирать между “отвлекаться каждые 5 минут” и “тот фрик, до которого хрен достучишься, когда он нужен”.
Не знаю, насколько хорошим получится их телефон, но радует, что кто-то пытается решить эту проблему.
Прототипы, как и рукописи — не горят. Пусть не сегодня, пусть не в этом продукте, но мы ещё воспользуемся этими идеями в будущем.
getsiempo/siempo-experiences-a-sneak-peak-f01ca74056e6" rel="nofollow">https://medium.com/@getsiempo/siempo-experiences-a-sneak-peak-f01ca74056e6
Гугл начал раздавать халявный хостинг в своей облачной платформе. При превышении лимитов они просто берут деньги за ресурсы, использованные сверх нормы. Вот это круто https://cloud.google.com/free/
Конечно, там много ограничений, но для личных проектов, которые иначе сосали по несколько долларов в месяц на хостинг - в самый раз. С добрым утром.
Apple перестал принимать обновления приложений, использующих rollout.io.
Раньше очередь на проверку обновлений приложений в AppStore была неделю-две и люди придумали целый бизнес на том, чтобы выкатывать хотфиксы без проверки. Сейчас среднее время ревью всего 1-3 дня — Apple прикрывает лавочку. Это всегда было против правил, так что нечего удивляться. Expedited review, к тому же, никто не отменял — нужно только уметь внятно формулировать мысли и говорить с живыми людьми.
Отлаживаем новый формат Медузы. Целевое устройство — маленький телефон в центре кадра. На больших экранах — код страницы и сетевые запросы телефона. Чувствую себя хакером из фильмов 🙈
Читать полностью…
Мы в медузе используем s3 для хранения картинок, но при этом очень агрессивно кешируем все на своём самодельном CDN, так что пока эффекта нет (upd: с европейским амазоном пока всё ок).
Конечно, есть сервисы, где простой недопустим - но их обычно программируют люди, разбирающиеся в термине "единая точка отказа". Всем остальным можно расслабиться и запастись попкорном, такое не часто случается.
Классная кулстори про то, как у девушки увели домен, а она его вернула обратно (рискнув 30k$).
Я, например, не знал о существовании ICANN TEAC (Transfer Emergency Action Contact), полезное знание.
ramshackleglam/hackers-stole-my-website-and-i-pulled-off-a-30-000-sting-operation-to-get-it-back-143d43ee3742" rel="nofollow">https://medium.com/@ramshackleglam/hackers-stole-my-website-and-i-pulled-off-a-30-000-sting-operation-to-get-it-back-143d43ee3742
Безумно красивая статья про машинное обучение и нейросети, применительно к почеркам.
Очень много интерактивных элементов, прямо ух.
http://distill.pub/2016/handwriting/
Google представил Developer Preview для следующей версии Android — Android O. Список фич такой, что у любого неравнодушного мобильного разработчика слюнки потекут.
https://android-developers.googleblog.com/2017/03/first-preview-of-android-o.html
- Background limits, чтобы экономить батарейку (прямо как в iOS);
- Notification channels (!), чтобы легко отписываться от неинтерсных уведомлений, не блокируя пуши совсем. В айфоне так вообще проще удалить надоедливое приложение, чем понять, как отключить ему уведомления;
- Picture-in-picture, чтобы смотреть видео в маленьком окне (ох, от видео теперь не скрыться вообще нигде);
- Telecom Framework, чтобы скайпы и прочие вайберы работали также, как родное телефонное приложение, со списком звонков и прочим (уже есть в iOS);
- Low latency audio — качественное аудио было отличительной особенностью iOS, из-за этого есть десятки профессиональных программ-микшеров-пультов для iPad и ни одной для Android — that's going to change;
- и ещё многие другие улучшения.
Ложка дёгтя:
1. Покупатели флагманских моделей получат это обновление в лучшем случае через год-полтора, а массовый дешевый рынок вообще непонятно когда;
2. Производители железа испоганят прекрасную систему своими свистелками;
«Родной» телефон от Google Pixel не имеет этих недостатков, но стоит дороже, чем начальные модели iPhone'ов.
Android уверенно движется к званию самой продвинутой операционной системы. Осталось подрихтовать описанные выше шероховатости и как-то мотивировать Android-разработчиков писать более качественный софт. И тогда держись Apple.
Отличная админская ретро-история: электронные письма не уходили дальше, чем за 500 миль https://www.ibiblio.org/harris/500milemail.html
Читать полностью…
CMS for static site generators! https://www.netlifycms.org
Весь сайт хранится в github, так что можно посмотреть историю правок и откатиться на любую версию страницы.
И Open-source, так что все можно допилить под клиента.
Есть классное демо, можно создать свой сайт и посмотреть, как оно работает.
В идеальном мире сайты-визитки верстаются именно в ней.
Мир с одним только Linux — антиутопия, почти такая же мрачная, как тот культовый первый рекламный ролик Apple (в нем неприкрытая аллегория на IBM https://www.youtube.com/watch?v=OYecfV3ubP8 )
Читать полностью…
Симптоматичный пост про то, как Segment.com уменьшили счет на БД в AWS на 1 млн $ в год. https://segment.com/blog/the-million-dollar-eng-problem/
Облака делают подход "throw more hardware on it" самым простым — они на этом зарабатывают. В какой-то момент ты понимаешь, что счет уж какой-то совершенно неприличный и начинаешь разбираться, что же там происходит в твоих данных да внутри этих магических технологий автоскейлинга.
Красивый heatmap нагрузки на DynamoDB, предоставленный сотрудниками AWS https://segment.com/blog/the-million-dollar-eng-problem/images/heatmap.png
Обратите внимание на красную полоску в зуме, это тормозной партишн, из-за которого они начинали добавлять ресурсы и жечь деньги https://segment.com/blog/the-million-dollar-eng-problem/images/heatmap-zoom.png
Это я к тому, что в 2017 можно отказаться от толковых инженеров, если у тебя есть неограниченный бюджет. В этом случае выбор между «платить амазону» и «платить инженерам» чисто этический. В первом случае мы платим за электроэнергию и rare earth elements, в другом — за интеллектуальный труд. Второе экологичнее.
Классная уязвимость в веб-версиях WhatsApp и Telegram.
Для того, чтобы быть взломанным, достаточно открыть специальным образом подготовленную картинку в веб-версии WhatsApp (кликнуть по ней, просто получить недостаточно). В веб-версии телеграма нужно запустить вирусованное видео и потом открыть его в новой вкладке.
Не знаю, сколько человек пользуются веб-версией этих мессенджеров, но способ атаки очень красивый.
http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/
Но есть и хорошие новости, вот целых два классных инструмента для того, чтобы (учиться) программировать-прототипировать в браузере:
1. Glitch от легендарных FogCreek, создателей Trello.
К классическому функционалу Codepen и JSFiddle, которые позволяют редактировать html/js/css в браузере и тут же видеть результат, добавлена сильная социальная составляющая. FogCreek — крутейшая техническая компания, посмотрите на Glitch сами, оно того стоит. Анонс
2. Sketch от команды Expo. Expo — что-то типа Rails, но для js/react native, чтобы писать кроссплатформенные мобильные приложения на самом модном языке/стеке, не заморачиваясь самому тонкой настройкой инструментов. Анонс. Особо доставляет, что имя совпадает с супер-модным инструментом для дизайнеров Sketch от Bohemian Coding. Удобно, когда 2 разные вещи в одной среде называются одним и тем же именем (на самом деле нет).
66% потерянных флешек содержат вирусы.
Зараженные флешки — мощный вектор атаки. Подкидываешь жертве флешку с вирусами и получаешь полный доступ к её компьютеру.
Такие зараженные флешки позволили проникнуть в защищенную сеть Пентагона (флешка на парковке). Их использовали для успешного проникновения в изолированную сеть иранской ядерной программы, где вирус повредил центрифуги для обогащения урана. Их регулярно разбрасывают около банков в ходе учений по ИБ.
Атаки бывают простые: вордовские документы с макросами и файлы фотки-из-отпуска.exe. Или сложные: специальные устройства (русская(!) вики, оригинальный пост) (там есть ссылки на видео доклада и pdf презентации 2014-го года(!)). Устройства выглядят как флешки, но при этом содержат дополнительные прошивки/драйверы для виртуальной клавиатуры или сетевого устройства. Они могут печатать на вашей клаве и перехватывать весь сетевой трафик. Вот, черт подери, пошаговая инструкция, как самому приготовить такую флешку.
Классный проект по защите от таких атак — программно-аппаратный комплекс из Raspberry Pi и софта. Получившийся мини-компьютер копирует все файлы с потенциально зараженной флешки на гарантированно чистую. Вирусы или аппаратные закладки остаются на оригинальном диске, на вашем — только чистые файлы в безопасных форматах.
Отличная статья про пароли. Правила, требующие специальный символ или цифру в пароле — идиотские. Вообще, страница аутентификации — безумно сложная, граф состояний там на порядок больше, чем можно предположить, если никогда её не делал. https://blog.codinghorror.com/password-rules-are-bullshit/
Ну и классическая картинка про пароли:
Этот канал начался со знаменитой фотографии Маргарет Гамильтон, программиста) и руководителя разработки софта для программы Аполлон. Я не написал, когда в ноябре она получила высшую гражданскую награду США, медаль свободы. Исправляюсь и прикрепляю фото Гамильтон на церемонии награждения (тут много официальных, а здесь Хэнкс не удержался и поцеловал старушку).
Сегодня я хочу рассказать о другой женщине. Пэтти МакХаг (Patty McHugh) разработала материнскую плату для оригинального IBM PC. The mother of motherboard.
Отличный кусочек видео, где она рассказывает о проекте вместе с коллегой: https://youtu.be/XrhDaAmn5Uw?t=18m48s
О скрытой сложности, которую часто недооценивают: https://twitter.com/mathowie/status/838696822793101312
Вот схема, как Slack решает, послать уведомление или нет.
Господи, это божественный твит https://twitter.com/awscloud/status/836656664635846656 (спасибо, Женя!)
Читать полностью…
У Амазона серьёзные проблемы с облаком, s3 (один из крупнейших сервисов хранения файлов в мире, им пользуются многие стартапы, которыми пользуетесь вы) возвращает 500 во многих регионах, недавно упал EBS в двух регионах. Это происходит уже больше часа - а значит они потеряли право говорить "доступность 99.999%" - это 53 минуты отказа в год.
Весь интернет посыпался как домино: heroku, Trello, slack, Quora, Netflix, you name it.
Интересно, что в status dashboard у Амазона все зелененькое. Ещё интереснее, что сайт Amazon.com работает отлично - там чуваки умеют программировать без единой точки отказа.
За новостями следите в треде на HN, раз Амазон не готов признавать ошибок: https://news.ycombinator.com/item?id=13755673
