27828
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Мы креативно использовали API инстаграма для замера индекса фото-популярности разных точек на карте. Самое хитрое — найти этот доступ к API инстаграма. У них совершенно драконовские правила и издевательская форма регистрации API-клиента: можно выбрать 10 вариантов, для чего тебе нужно API и в 9 вариантах из 10 показывается текст «для этого юзкейса API применять нельзя». Хитрость заключается в том, что сервис https://www.picodash.com не проксирует запросы в инстаграм, а выполняет их со своим токеном прямо из браузера 🙆
Классный тест получился https://meduza.io/games/statuya-svobody-ili-eyfeleva-bashnya
Телеграм выпустил версию 4.0, внутри:
- видео-сообщения (с возможностью просмотра видосов на специальном сайте telesco.pe);
- платежи, теперь разработчики ботов могут принимать деньги, вот тестовый donatbot">@DonatBot (для работы нужна обновленная версия телеграма);
- Instant View получил два обновления: 1) можно добавить кнопку подписаться на канал внутри IV-статей; 2) тимплейты парсинга можно редактировать публично.
Ну и как принято в телеграме — конкурс.
Есть список из 1000 сайтов, для которых, г-н Дуров хочет заиметь тимплейты поскорее. За каждый годно оттимплейченный сайт он выдаст 100$. Два самых задротистых коммиттера получат по 10k и 5k$, соответсвенно.
Кстати, meduza.io в списке и никем не занята. Тот, кто займет её тимплейт, получит ужин и бутылку рижского бальзама от меня лично. Билеты в Ригу не оплачиваются, приз также можно получить в Москве. Если вы не пьете — обсудим приз отдельно.
Налетай.
Нам всем есть что рассказать о безумствах с точки зрения компьютерной безопасности. Но это тот случай, когда «hold my beer».
http://svedic.org/programming/mastercard-serbia-asked-ladies-to-share-fb-photos-of-among-other-things-their-credit-card
Mastercard Serbia сделал конкурс, в котором нужно шарить в соцсетях фотки своей банковской карты. (подсказка — так делать не стоит)
Не стоит потому, что для проведения успешной транзакции по банковской карте (aka снять денег) достаточно иметь её номер и срок действия.
Все эти CVV-коды, смс-ки от банка и прочие ухищрения можно отключить, если продавец захочет. Даже на поверхности документации платежных систем есть много очень интересных деталей. Я начинал с документации платежного гейта Braintreе, ну и дальше down the rabbit hole. Рекомендую, fintech — увлекательная сфера.
Полезный сайт про размеры экранов айфонов, вдруг у кого-то ещё нет его в закладках https://www.paintcodeapp.com/news/ultimate-guide-to-iphone-resolutions
Читать полностью…
Разблокировали через полтора часа, почему блокировали — не говорят (мол это помешает алгоритмам делать их работу). Неприятное чувство, похожее на то, когда менты тормозят и требуют документы без причины.
Ненавижу эти автоматизированные системы слежения и контроля. Особенно неприятно то, как они этой автоматизированностью гордятся: https://mailchimp.com/omnivore/
Пока весь мир следит за приключениями вируса-вымогателя (несколько часов назад создатели выпустили вторую версию, исправленную и дополненную), почти незаметно прошло появление нового качественного трояна для MacOS.
Хакеры взломали сайт популярной программы для сжатия видео Handbrake и заменили файл-инсталлятор, добавив к настоящей программе троян Proton.B. https://forum.handbrake.fr/viewtopic.php?f=33&t=36364
Это качественная малварь. Она как минимум отсылает атакующему все ваши пароли, включает кейлоггер и удалённый доступ к компьютеру. https://www.cybereason.com/labs-proton-b-what-this-mac-malware-actually-does/
Дорогие пользователи Макбуков - добро пожаловать в мир, где легко подцепить серьёзную бяку, а не только MacKeeper (это мусор, который сложно вычистить, но серьёзного вреда от него нет).
К сожалению, технически MacOS не особо защищённее Windows. Вся эта тема с вирусами - бизнес. Раньше пользователей маков было мало и разрабатывать малварь под MacOS было экономически не выгодно. Теперь это меняется. :(
Учитывая, что почти у всех редакторов Макбуки - это ещё одна головная боль для технических директоров медиа.
Кстати, самый безопасный персональный компьютер на данный момент - айпад. Если вы параноик - iPad со внешней клавиатурой - ваш выбор. (Только не все клавиатуры одинаковы, текст с некоторых легко перехватить удалённо :/)
Мораль: жить вредно, все умирают.
Про разворачивающуюся сейчас вирусную эпидемию: samat/крупный-вирус-вымогатель-8a16b2492ef2" rel="nofollow">https://medium.com/@samat/крупный-вирус-вымогатель-8a16b2492ef2
Читать полностью…
Помните, «кремлевские хакеры» ломали оппозиционеров через краденые смски?
«Коммерческие хакеры» начали использовать дыру под названием SMS в промышленных масштабах для опустошения банковских счетов законопослушных бюргеров. А значит, не далек день, когда мы перестанем пользоваться смсками для любых штук связанных с безопасностью. Наконец-то.
Чтобы вы не удивлялись, протокол GSM (2G) — 1987 года выпуска, контрольный протокол SS7 — 1975 (это не опечатка).
Учитывая, что нас уже больше 3 тысяч, я чувствую некоторую ответственность, так что вот социальная реклама: используйте Google Authenticator для получения одноразовых кодов, не смс. И включите 2-факторную аутентификацию, пароль слишком легко потерять.
Security advisory уже никого не удивишь — мы видели уязвимости в OpenSSL и в ядре Линукс, не говоря уже об Андроидах или Windows. Но как вам уязвимость в процессорах, которую можно эксплуатировать как локально так и удаленно?
Короче, Escalation of Privilege Advisory (Intel Corp.) — самый страшный заголовок, который можно себе представить. Статья с таким заголовком была опубликована 20 часов назад на официальном сайте Intel.
Intel не раскрывает подробностей (sorry, script kiddies, уже готовые ломать всех подряд), но предлагает firmware update и mitigation guide призванные обезопасить владельцев уязвимых процессоров.
Уязвимость затрагивает только серверную линейку процессоров Intel (Xeon), а точнее — программу Intel Active Management Technology (AMT), запускающуюся на отдельном ко-процессоре Intel Management Engine. Это такой компьютер-в-компьютере, который всегда включен и управляет материнским компьютером без ведома его операционной системы и уж тем более — пользователя. Технология нужна для больших серверных ферм, где настраивать каждый сервер руками слишком дорого.
Прикол в том, что эта штука а) проприетарная, так что никто не знает, как именно она работает и не содержит ли закладок (привет АНБ и боящиеся её русские вояки) б) её нельзя выключить, вообще никак.
Известный фрик (зачеркнуто) пророк (зачеркнуто) активист Ричард Столлман ещё 4 года назад бил тревогу, что эта технология — путь в ад и вот, наконец, первая уязвимость. Сколько таких zero-days хранятся в запасе у АНБ, принимавших участие в разработке этих технологий - можно только догадываться.
Изменение архитектуры проекта при масштабировании. Обратите внимание на отличающуюся конфигурацию палок и брёвен.
Читать полностью…
Чувак долго вопил, что у BBC очень тормозной сайт и год назад ему дали возможность попробовать переделать главную. Наконец, она уже почти в продакшене. Вот пост-представление и можно посмотреть demo. В минимальной версии сотня запросов на более чем полмегабайта превратились в 3 запроса в 39KB. Внутри стандартные приемы + хардкор вроде preact'а. У Джозефа объяснение такое, что «у всех мобилы + много дешевых телефонов и плохого интернета в Индии».
Для Россиян — я бы не сбрасывал со счетов китайские андроиды и московский 3G 👹, так что для нас это всё тоже актуально.
Мы в Медузе давно бьемся за производительность и скорость рендеринга, но нам есть куда расти (то есть ужиматься), работаем дальше.
В свежем релизе Gitlab теперь можно заводить почтовые адреса техподдержки, письма на которые автоматически создают issues. Все комментарии к ним отправляются баг-репортеру по почте.
Как же приятно видеть конкуренцию между этими тремя Github, Bitbucket и Gitlab - идеальная ситуация для рынка. Вот бы так во всех остальных областях. https://about.gitlab.com/2017/04/22/gitlab-9-1-released/#service-desk-eep
Стандартным решением для ящиков техподдержки, кажется, до сих пор является Zendesk. Мы в Медузе используем Google groups. Интересно, есть ли классные инструменты, не такие сложные как Zendesk и при этом более удобные, чем Google groups?
Работу технического директора можно описать, в том числе, как поддержку пользователей. Как внутренних — редакторов, дизайнеров, разработчиков, так и внешних — читателей, контрагентов, подрядчиков. Поэтому, user support истории мне очень близки.
Отличная история от Microsoft, поднимает настроение на весь оставшийся день (внутри пользователь пишет письмо Биллу Гейтсу, когда техподдержка его не устраивает): https://blogs.msdn.microsoft.com/oldnewthing/20170418-00/?p=95985
Небольшой рассказ, как дидосили Медузу 2 недели назад и пара советов для медиа в мире дидоса: https://dev.meduza.io/ddos-ab63424e595e
Читать полностью…
Душераздирающая статья про COBOL. Это такой язык программирования из 1960-70х, на котором написано некоторое число банковских систем, которые безумно дорого заменить на свежие. Теперь у директоров банков проблема - специалисты не то, чтобы на пенсии - оттуда ещё можно вытащить человека, предложив достаточно много денег; они умирают от старости. И история компании, которая специализируется на такого рода поддержке. Молодежью там называют сотрудников, которым по 40-50 лет. Какой разительный контраст со смузи-тусовкой.
http://mobile.reuters.com/article/technologyNews/idUSKBN17C0D8
Красивая карта того, как фиатные деньги перетекают в биткоины в реальном времени (по поводу того, что биткоин опять бьет рекорды цены) http://fiatleak.com
Читать полностью…
Вчера мы запустили Вечернюю Медузу 2.0
Раньше, на самую короткую газету на свете, можно было подписаться по почте и в телеграм канале.
Теперь Вечерняя Медуза появляется как полноценный материал на главной странице Медузы (и в RSS-потоках). На нее можно дать ссылку или расшарить в соцсетях, как и любую другую статью Медузы. К старым способам подписки добавилась возможность подписаться на пуш-уведомления в приложениях и на сайте (для Chrome и Firefox).
https://meduza.io/brief/2017/05/16/vechernyaya-meduza
Это один из проектов, затрагивающий все платформы Медузы, вовлекающий почти всю техническую команду.
Ещё это пример двух важных принципов:
1. мягкого, постепенного запуска. Основной деплой был в прошлую пятницу, а финальный — в понедельник. Мы смогли оттестировать почти все функции в продакшене, читатели этого не заметили;
2. graceful degradation. На старых мобильных клиентах вечерка показывается как фичер, а не как пустое место.
Кстати, это первый продуктовый запуск, в котором Настя Яровая — арт-директор, а Боря Горячев — заместитель технического директора.
В главных ролях:
Продакт: Ilya Krasilshchik
Арт-директор: Nastya Yarovaya (макеты — наследство Sergey Surganov)
Технический директор: Samat Galimov
Менеджмент и бэкенд: Боря Горячев
Фронтенд админки: Nikita Komarkov
Вебсайт: Anton Byrna и Kirill Balyasnikov
Android и iOS: Артемий Гарин и Max Rovnov
Ops: Dmitry Zakharov
💪
P.S. По пути мы переделали движок веб-пуш-уведомлений, но об этом будет отдельный пост.
В слеке теперь можно шерить экран, о да! https://twitter.com/SlackHQ/status/864528371312500737
Читать полностью…
Хороший гайд по HTTP-заголовкам, ответственным за безопасность https://blog.appcanary.com/2017/http-security-headers.html
Читать полностью…
У Mailchimp (крупнейшая система рассылки писем) теперь модно блокировать аккаунт без причины и писать письмо в стиле «хотите узнать, почему вас заблокировали — напишите нам письмо». Имейте в виду, если отправляете через него рассылки (лучше пока, кажется, всё равно ничего нет :(.
Читать полностью…
Хорошая статья про сложность обновлений, в противовес моему утверждению «кто не обновился тот дурак»
Особенно тяжело обновлять медицинское оборудование — это то, что сейчас модно называть «интернет вещей». Они гарантированно работают в течении 5-10 лет в том виде, что их поставили. Причин две: 1. Часть из них не могут обновиться — у маленьких железок не хватит ресурсов; 2. Важные железки очень жестко тестируют, при этом любое обновление влечет необходимость дорогого и долгого повторного тестирования. Вы ведь не хотите, чтобы вдруг завис рентгеновский аппарат, в момент снятия снимка?
Я в бытность студентом работал сисадмином в биологической-генетической лаборатории. Единственная железка, которую я помню смог обновить — атомный микроскоп от JPK. Производитель выпустил «свежую» версию дистрибутива на Linux годовой давности. И это было очень круто, предыдущей версии было 4 года. Чтобы вы понимали — критичные обновления безопасности обычно выходят каждые 2-3 месяца.
У строителей под моим окном классическая «микросервисная архитектура приложения». У них есть 3 сервиса — полый бур, сверлящий дырку в земле, бетономешалка, не дающая бетону застыть и насос, закачивающий бетон из мешалки в отверстие, сверлимое буром.
Красным на картинке отмечены места, в которых один сервис «передает» бетон другому. Там должны быть подходящие отверстия, крепления и допустимое предельное давление бетона (чтобы это всё не разорвало) — это API. API — договоренности, по которым сервисы общаются друг с другом.
Допустим, можно было бы сделать убер-машину, которая умеет все — сверлить, качать и мешать. Засыпаете бетон, вставляете сверла и она делает вам готовые заполненные бетоном дырки — это была бы «монолитная архитектура приложений». Её было бы сложнее транспортировать по улицам и, наверное, ей нужен был бы очень крутой инженер для обслуживания.
В случае разделения машины на части мы можем выбрать разных производителей отдельных частей, достаточно, чтобы все они соблюдали стандарты и поэтому могли работать вместе.
Выпустили вчера залипальную игру на механике city/tower bloxx.
Прикол в том, что подрядчик, а проще говоря, парень, который нам её спрограммировал — не умеет писать код. Валера целиком собрал её в визуальном редакторе-движке Construct 2. Как хотите, но будущее уже наступило.
У больших качелей сняли люльку, но я видел её в продакшене, там все деревянное без верёвок.
Читать полностью…
Классная пятничная новость — мужчина из Литвы сфродил/сфишил 100 миллионов долларов, да ни у кого-то, а у Google и Facebook.
https://www.theguardian.com/technology/2017/apr/28/facebook-google-conned-100m-phishing-scheme
Самая большая дыра в безопасности всегда располагается между стулом и клавиатурой 😐
Не стал писать на этой неделе о многих интересные открытиях; все они у меня в Reading List, выложу на выходных.
iTunesConnect тихо выкатил крупное обновление, теперь можно тестировать несколько бета-версий одновременно. Пользователь может выбрать, какой билд он хочет установить.
Читать полностью…
Status — новый и очень красивый проект на основе Etherum.
Etherum — блокчейн платформа (на аналогичной штуке построен знаменитый Биткоин). Это базовая технология, которую можно использовать для создания децентрализованных продуктов и платформ — собственных крипто-валют, голосований, краудфандинговых систем. Главное отличие от обычных систем — отсутствие центрального сервера как источника истины, на который можно надавить. Демократия (может быть и охлократия, тут это не важно) в чистом виде.
Классно, что для создания этих штук не обязательно быть математиком 60lvl, все базовые алгоритмы уже запрограммированы, нужна идея, пользователи и довольно обычное программирование на основе библиотек Etherum.
Мессенджер Status, кроме возможности обменяться сообщениями и деньгами, даёт доступ к многим уже существующим продуктам на основе Etherum — к фриланс-бирже Ethlance, арт-рынку Ujo Music и обменникам криптовалют, например. И всё это доступно внутри мессенджер-интерфейса, в iOS приложении, с нормальным UI/UX!
Это первый мессенджер-бот-продукт, который не кажется мне притянутым за уши. Блокчейн-тусовка теперь состоит не из крипто-анархистов, а вполне респектабельных дядек в дорогих костюмах и стартаперов со смузи (и дизайнерами). Я очень надеюсь, что через пару лет мы увидим классный децентрализованный интернет.
Make the internet great AGAIN!
Bitbucket сделал редизайн, стало симпатичнее. После демократизации прайсинга github он уже не сильно дешевле, смысл экономить для бизнеса пропал. Но, зато, в отличие от github, bitbucket дает бесплатные приватные репозитории — удобно для личных проектов, которые не хочется светить всему миру.
Если ищете место для хостинга репозитория — не забудьте, что третий крупный игрок рынка — gitlab. У них тоже всё достаточно симпатично и сильно бесплатно.
Все вы, наверняка, видели эту картинку.
И на самом деле, операционисты Сбербанка не могут закрыть карточку, выданную другим отделением банка.
Сотрудники не хотят делиться этим знанием, но я сегодня узнал хак - они могут принять заявление, которое в течении 45 рабочих дней обработает отделение, выпустившее карту. Шах и мат, блокчейн.
Идея понятна - ситуация редкая, разумно сделать ручную обработку вместо полноценного программирования и интеграции.
Большая часть работы технаря - найти эту грань, когда пора перестать ставить заплатки и начать программировать.
Netflix год назад начал передавать видео в HTTPS. Подозреваю, что причина была "because we can", но маркетинг нам заливал про приватность. Так вот, чуваки идентифицируют Netflix-фильмы с точностью 99.9% по двум минутам TCP заголовков зашифрованного HTTPS потока. Оказалось, что, последовательность размеров сегментов VBR-сжатия уникальна для каждого видео.
Аналогия для не-компьютерщиков такая: вы подписаны на порно-журналы по почте. Они запакованы в непрозрачные конверты. Атакующий взвешивает каждый входящий конверт в течении 2-3 месяцев и по изменениям веса однозначно определяет ваши интересы. Мета-дата, сэр.
http://www.mjkranch.com/docs/CODASPY17_Kranch_Reed_IdentifyingHTTPSNetflix.pdf