27828
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Бесило копировать скриншоты из Androidа, нашел комфортный для себя способ:
1. Удаляем все старые скриншоты adb shell 'rm /sdcard/Pictures/Screenshots/*'
2. Делаем скриншоты
3. Копируем папку screenshots куда хотим: adb pull /sdcard/Pictures/Screenshots Downloads
Отличная статья, как правильно задавать вопросы: https://jvns.ca/blog/good-questions/
Кстати, часто достаточно попытаться сформулировать вопрос, для того, чтобы самому догадаться до ответа (смотри метод резиновой уточки).
Краткое содержание статьи в картинке:
Чтобы не начинать год только с плохого: вот музей атомных часов Hewlett-Packard. Наверное, все программисты знают о знаменитых научных калькуляторах HP (вот их музей). Для меня было открытием, что HP является ещё и крупнейшим коммерческим производителем атомных часов.
Точное измерение времени — одно из важных достижений человечества.
На основе атомных часов работают системы геопозиционирования (GPS). Интересно, что предыдущее технологическое поколение часов было создано именно для навигации: более-менее точные портативные часы были придуманы в 1761 году для измерения долготы кораблей в море.
Почитайте эту главу Википедии про Джона Гаррисона. Это просто приключенческий роман, включающий конкурс на много миллионов фунтов, попытки правительства зажать приз и даже личное вмешательство английского монарха.
На фото сверху: H4 - первые в мире точные механические часы, не боящиеся качки; снизу: HP 5071A - самые распространённые атомные часы.
Доброе утро.
PHPMailer (этой библиотекой для отправки писем пользуются буквально миллионы сайтов) содержит критическую уязвимость Remote Code Execution из-за забытого эскейпинга поля from.
Вкратце: если сайт даёт вписать адрес отправителя письма и использует уязвимую библиотеку для их отправки — то атакующий сможет выполнить любую команду на сервере с правами сайта (например, удалить сайт или отправлять с него спам).
Мне особенно интересны 2 момента:
1. Dawid Golunski сообщил об ошибке публично 25.12.2016, но пока не пишет, в чем конкретно заключается уязвимость и не показывает PoC код [proof of concept, пример кода, эксплуатирующего уязвимость]. Это, очевидно, сделано для того, чтобы скрипткиддисы [малокомпетентные хакеры (kiddie — ребенок)] не использовали его пример как инструкцию к действию. При этом понять, в чем заключалась уязвимость, можно просто посмотрев на коммит, исправляющий эту ошибку.
2. Прикольно, как относятся к своим пользователям разные проекты. Drupal (популярная CMS, движок для сайта) не включает в себя PHPMailer напрямую. Тем не менее, они выпустил PSA (public security advisory, условно письмо АААА всем обновляться срочно) через 12 часов после публичного описания ошибки, Joomla сделала это через сутки, а Wordpress не написал ничего до сих пор. Я попытался найти публичный security advisory list для Wordpress и угадайте что?
Очень классный комментарий одного эксперта — «обновите свой сайт сами, пока это не сделал за вас хакер». Обычно взломщики чинят уязвимости, через которые проникли в систему, чтобы последующие атакующие не мешали спокойно эксплуатировать жертву.
Как много хакнутых сайтов мы увидим в ближайшие месяцы?
Зачем уметь программировать? Мне кажется, основная причина - иметь возможность сделать вот так: https://www.facebook.com/scythargon/posts/1230272307038271
Это ведь прекрасно, примерно как самому починить велосипед у бабушки в деревне и все лето кататься.
Конечно, для успешной работы программистом важны также настойчивость, способность корпеть над скучными штуками. Но этот экзерсис наполняет радостью мое израненное буквами в интернете сердце.
Мне кажется очевидным, что криптографию нужно использовать готовую, но как мы видим на примере телеграма — с этим согласны не все 👀 https://eprint.iacr.org/2015/1177.pdf
Хорошая вводная статья о том, сколько всего нужно держать в голове при программировании криптографии http://loup-vaillant.fr/articles/rolling-your-own-crypto
Кстати, приложенная классическая картинка отвечает на популярный вопрос «как разобраться в *** за 21 день»
У богов проблемы — слишком шикарно живут: офис за 35 миллионов долларов, современное искусство на стенах, частые перелеты, проживание в Ritz Carlton и слишком много программистов. Ну и компаниям продаются не достаточно хорошо.
Помню, как года 4 назад в Яндексе был github enterprise на 100 или 1000 аккаунтов и контролировалась их выдача очень строго — слишком дорого переходить на следующий tier.
Я в какой-то момент в Медузе офигел от скачка цены за Github при переходе с серебряного аккаунта на золотой и начал вести рекламные проекты (~100 новых реп каждый год) в bitbucket. Github уже сменил механику прайсинга, но я с тех пор знаю, что не гитхабом единым. А теперь новым модным становится Gitlab.
Интересно читать, как Blooomberg отчитывает Github за транжирство и указывает, что, мол, конкуренты не дремлют. Google Docs for programmers, объясняют они суть бизнеса для своей аудитории.
Красивая подборка фракталов (математику можно промотать) http://sunandstuff.com/mandelbrot/about/
В корне этого сайта очень крутой скролл-проект про масштабы солнечной системы http://sunandstuff.com
Написал краткий разбор, заводить ли свой VPN-сервер и инструкцию, как это проще всего сделать.
samat/%D1%81%D0%B2%D0%BE%D0%B9-vpn-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%BF%D0%BB%D1%8E%D1%81%D1%8B-%D0%BC%D0%B8%D0%BD%D1%83%D1%81%D1%8B-%D0%B8-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-3e0ec97c129e#.6ymspkr63" rel="nofollow">https://medium.com/@samat/%D1%81%D0%B2%D0%BE%D0%B9-vpn-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%BF%D0%BB%D1%8E%D1%81%D1%8B-%D0%BC%D0%B8%D0%BD%D1%83%D1%81%D1%8B-%D0%B8-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-3e0ec97c129e#.6ymspkr63
Неприятно, что поводом служит командировка в Москву, а не поездка в Иран, например.
В рамках программы «вчерашние новости уже сегодня»:
Утилита для генерации программ на Java https://takipi.github.io/java-bullshifier/
Такая же для С https://embed.cs.utah.edu/csmith/
Большие случайные программы нужны для проверки компиляторов, линковщиков, анализаторов и прочих отладчиков кода. Много вызовов функций, вложенность во вложенности, сложные структуры данных — стресс-тест всей инфраструктуры обеспечен.
И во вторых — это просто красиво. Футурологи рассказывают нам о роботах, программирующих роботов — а оно уже давно в продакшене.
Пользуетесь сервисами Яндекса для бизнеса? Этот пост для вас.
Только что в комметариях в фб у Тани Бибиковой (infotanka) произошло удивительное:
https://www.facebook.com/photo.php?fbid=10154281029159597&set=a.10151249640244597.475532.772799596&type=3
13 октября удалились все корпоративные ящики «Лаборатории данных» в Яндекс.Почте, без возможности восстановления, техподдержка отмораживается. В комментарии сразу же пришли друзья-яндексоиды, подключилось телефонное право.
6 декабря (!) Таня публикует описание, что случилось:
> Мы хотели дать админские права коллеге с адресом username@dl.ru, но оказалось, что Яндекс умеет только username@ya.ru делать админами. В итоге приглашение улетело левому чуваку, он пришёл и, не разобравшись, всё удалил.
Но самый огонь в том, что в комментариях нет никого из Яндекса, кто бы объяснил, что они сделали, чтобы такого не случилось в будущем. 🔥
Бесплатный сыр.
Пора закупаться флешками и SSD дисками, они будут дорожать весь 2017 год.
Хорошая статья-разбор, почему это происходит.
http://www.tomshardware.com/news/ssd-hdd-shortage-nand-market,33112.html
Ох, не ударило бы это по нашим любимым дешевым SSD-хостингам.
Amazon представил флешку в форм-факторе грузовика.
Вместимость одной машины - 100 петабайт (1 петабайт = тысяча терабайт, нормальный ноутубк хранит от половины до 2 терабайт). Сервис придуман для переноса безумных объёмов данных из собственного дата-центра в амазоновское облако и доступен только в некоторых штатах в Америке.
На одной из моих прошлых работ коллеги летали с жесткими дисками с музыкой из США в Москву - это быстрее и дешевле, чем арендовать трансатлантический кабель.
Идея старая, про неё есть даже бородатый админский анекдот (буквально описание представленного решения), но вживую всё равно впечатляет.
https://m.youtube.com/watch?v=8vQmTZTq7nw
Мы с Антоном решили закрыть вопрос кастомных шрифтов в Медузе и потратили некоторое время на то, чтобы разобраться, как же их правильно подключить. Получилась небольшая статья:
https://medium.com/meduza-dev/как-использовать-кастомные-шрифты-в-вебе-и-не-сойти-с-ума-9ba8a2998bcc#.x3badoe6s
(как не нужно делать)
смотреть открыв картинку крупно, иначе длинные гифки не до конца играются
via Боря Горячев и Тимофей Цветков
Логотип менять не будем! http://blog.trello.com/trello-atlassian
Читать полностью…
Вообще, я завис на этом сайте leapsecond. Вот посмотрите сами: http://www.leapsecond.com/great2005/
Хочется больше таких сайтов.
Доброе утро и с Новым годом!
Помните про leap second? /channel/ctodaily/43
У инженеров Cloudflare была вот такая встреча Нового года https://www.cloudflarestatus.com/incidents/1fczgjmknplp
🌲✨🌞
Переустановил MacOS. Обнаружил, что можно не мучиться с ручной установкой Android Platform Tools (в который входит adb), а сделать brew install android-platform-tools.
Век живи век учись.
Вообще, эта ситуация, когда компьютер начинает тормозить и помогает переустановка — очень напоминает мне моё детство c регулярной переустановкой Windows. Тут то же самое. Вот, например, wifi после просыпания, включался секунд 30; после переустановки — включается мгновенно. Проверил по бекапам — этот МакБук наливался ровно год назад. Back to the Future.
Если у вас тормозит Макбук — можете попробовать, возможно, что выкладывать много тысяч за новый совсем необязательно.
Это случилось: наша админка (монитор) очень сильно интегрирована со слеком и прямо сейчас у слека проблемы. Из-за этого проблемы у нашего монитора. Но это ещё не всё — проблемы ещё и у нашей системы сбора ошибок Bugsnag. Ой-вей, SaaS мир. Задача на следующий год — сделать прокси-сервис для всех внешних зависимостей.
Читать полностью…
Просто прочитайте это письмо.
Пока читаете - не забывайте, что его написал основатель и, на тот момент, руководитель Microsoft; самый богатый человек планеты, Билл Гейтс.
Письмо Гейтса начинается на 3 странице, последовавшая следом переписка самых крупных боссов Майкрософта - выше. Письма были опубликованы в рамках того самого антимонопольного судебного дела против MS.
http://blog.seattlepi.com/microsoft/files/library/2003Jangatesmoviemaker.pdf
Конец - это когда ты перестаешься пользоваться своими собственными продуктами как обычный потребитель. У Билла с этим было все в порядке. А я, пожалуй, опять заставлю себя походить с двумя телефонами (андроид) и активно пользоваться приложениями Медузы.
Как всегда - у MS были все технические решения, но "дожать" полноценный продукт (нормальный стор с автоапдейтом) они не захотели или не смогли.
Как жалко, что нет оставшихся писем. Когда они ответили Биллу? Что ответили?
Свежее обновление MacOS и Google Chrome перестали доверять сертификатам от WoSign и StartCom. Думаю, любой стартап в какой-то момент своей истории использовал бесплатные сертификаты от StartSSL, так что событие ого-го.
История не новая — у чуваков было очень много багов, позволявших обходить валидацию доменов целиком и выпускать сертификаты для совершенно левых доменов (как насчет левого сертификата для github.com?). Последней каплей стало то, что WoSign купил StartCom и никому об этом не сказал, а когда это всплыло — пытался скрыть. Решение гугла было объявлено 31 октября, решение Apple — 30 ноября и вот оно постепенно доезжает до конечных пользователей. Если ещё используете эти сертификаты где-либо — пришло время их менять прямо сейчас.
Хорошо, что теперь уже нормально работает Let's Encrypt. Для массового продакшена его использовать рано, но для side-проектов и временных доменов — идеальное решение.
Пишу, потому что сегодня сам обжегся — у некоторых редакторов отвалились сокеты во внутренней админке. Конечно, основной EV (extended validation) сертификат Медузы куплен у Comodo. Но сервер сокетов, для скорости, расположен на отдельном секретном домене, в обход основного CDN Медузы. Сертификат для этого домена мы, по привычке, выпустили у StartSSL, и вот результат.
Прекрасная статья про ньюансы Unicode https://eev.ee/blog/2015/09/12/dark-corners-of-unicode/
Есть целая категория компьютерных статей, при чтении которых, после каждого абзаца думаешь: "ну все, у всего должен быть предел"; а потом замечаешь, какой маленький в верхнем правом углу скроллбар. 👹
Весь текст целиком состоит из панчлайнов и интересных деталей вроде реализации эмоджи-флагов: это две пары символов, где первый символ в паре - специальная метка, а второй - буква из двубуквенного ISO-кода страны 🇷🇺
Интересно, кто меня читает. Ответьте, пожалуйста, вы «компьютерщик» (IT-специалист, программист, ops etc.)?
Читать полностью…
Сегодня день открытий.
Любое приложение, установленное на Android-телефон, может прочитать primary email-адрес, привязанный к этому устройству.
Privacy? Не, не слышали.
Ссылочка: http://stackoverflow.com/questions/2112965/how-to-get-the-android-devices-primary-e-mail-address
Хочу поделиться своим тулчейном для json. Это один из основных форматов данных в Медузе: 1, 2, 3.
Для предпросмотра файлов мы используем хром-экстеншен JSON Formatter.
Для разбора json в командной строке раньше я перегонял json файлы в yaml с помощью json2yaml и дальше парсил yaml с помощью cut, sed и grep.
Теперь пользуюсь jq — это grep для json’а. Отдельно доставляет, что проект написан на чистом С и не имеет внешних зависимостей.
Вот ещё красивое поделие: jid. Описание в гифке:
Не техническое, а скорее про новости; я ведь работаю в новостной компании. Мнения - личные, не Медузы.
https://mondaynote.com/facebooks-walled-wonderland-is-inherently-incompatible-with-news-media-b145e2d0078c#.fsmbn6ba5
Это отличная статья про то, что фб не выгодно вырезать фейковые новости и он не будет этого делать. Он скорее удалит все новости целиком. На мой скромный взгляд, это будет хорошее решение.
В жизни и так слишком много filter bubbles, так что мы почти не знаем, от чего страдают и о чем мечтают люди, отличные от нас. Я хочу жить в мире, где технологии разрушают filter bubbles, а не усиляют их, как сегодня. Вот классическое объяснение термина filter bubble, если он вам не знаком.
Wiki https://en.m.wikipedia.org/wiki/Filter_bubble
YouTube (9min) https://www.ted.com/talks/eli_pariser_beware_online_filter_bubbles
Хорошее новостное медиа - как раз про выход из зоны комфорта. Потреблять новости из современной социальной сети - не лучшая идея.
Google открыл свои серверы точного времени (NTP серверы) для публичного доступа и для високосной секунды в конце 2016 они будут передавать smeared time.
Я начал читать статью и провалился в кроличью дыру. Системы отсчета времени, часовые пояса и проблемы компьютерщиков с ними — дико интересная тема.
Наконец-то разобрался, что такое UTC: секунды совпадают с TAI — атомным часам, идущим без остановки с 1958 года. Мы добавляем или вычитаем високосную секунду каждый раз, когда неоднородность вращение земли грозится сделать разницу между UTC и астрономическим временем UT1 больше 0.8 секунд.
Я открыл для себя существование «международной службы вращения Земли», выпускающей официальные указания о високосной секунде за 6 месяцев до её введения.
Вспомнил, как в 2012 году из-за ошибки в ядре линукса сломалось множество популярных серверных программ и, в свою очередь, популярные сайты, Reddit например.
Amazon Web Services, Google и прочие крупные провайдеры нашли элегантное решение проблемы. Вместо добавления секунды в конце года, их серверы точного времени будут идти медленнее за некоторое время до и некоторое время после високосной секунды.
Очень красивое решение сложной задачи.
Вот классная статья с историей вопроса и обсуждением, что пора бы уже отвязаться от вращения Земли и пользоваться нормальным атомным временем TAI.
Хороший повод написать в канал — телеграм запустил аналог FB Instant Articles и платформу для публикации лонгридов Telegraph.
Написал в Telegraph небольшую статью-сравнение трех разных платформ — Google AMP, Facebook Instant Articles и Telegram Instant View. Будет интересно издателям и другим близким к медиа специалистам, которые ещё не разобрались в этих новых технологиях.
http://telegra.ph/AMP-Instant-Articles-Instant-View-whut-11-23
(если у вас свежая версия телеграма в телефоне — нажимайте Instant View:)
Большинству технарей совершенно положить на юридическую чистоту кода и инструментов, которыми они пользуются.
Отчасти это связано с тем, что в лицензиях черт ногу сломит.
Вот сервис, который спасает меня, когда нужно быстро решить, можем мы использовать библиотеку или нет: https://tldrlegal.com/
В рамках издевательства — введите там GPL и оцените, насколько это «свободная» в кавычках лицензия и сравните её с BSD или MIT Licenses.