27767
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
«… и вот я на спор, показываю чувакам из Яндекс.Такси, как за 20 минут из этих анонимизированных данных вытащить машину из кортежа президента» и другие байки от одного из самых известных в России айтишников, Григория Бакунова.
Гриша (bobuk) многие годы был топ-менеджером и публичным лицом Яндекса, а 2 года назад переехал в Киев и сначала работал над онлайн-казино и ставками, а теперь помогает крипто-стартапу. В новом эпизоде подкаста успели обсудить не только его карьеру, но и отличия украинского IT от российского и многое другое.
Слушайте и подписывайтесь: Apple, Google, Яндекс, Spotify, Castbox, Overcast, веб-версия.
Ещё одна программа, которой я пользуюсь каждый день — Shottr. Это лучшее приложение для скриншотов под мак.
Эта программа позволяет удобно редактировать скриншоты — подчеркивать и подписывать, рисовать стрелочки, блюрить или удалять элементы, который не хочется показывать, используя ИИ! Туда встроено распознавание текста, так что можно копировать текст одной кнопкой, даже если создатель сайта или приложения пытается вам это запретить. А ещё скриншот из неё сохраняется на диске и при этом одновременно доступен в буфере обмена.
Гениальная бесплатная программа; купить чашечку кофе создателю можно по вот этой ссылке, на донаты автор отвечает лично 🔥
Друзья и клиенты регулярно спрашивают, как принимать платежи карточками. Ниже краткий ликбез.
Для начала потребуется заключить договор с платежным провайдером. В России лидер Cloudpayments, заграницей — Stripe.
Для клаудпейментса нужно русское юрлицо и счет в российском банке, для страйпа — юрлицо и счет в банке в одной из 47 стран. Регистрация займет пару дней, приготовьте учредительные документы.
Для обоих систем доступны два основных метода интеграции:
1) Попроще, когда вы вставляете их формочку на сайт или в приложение буквально добавлением одной строки в код, с возможностью немного менять цвета;
2) Посложнее, когда интеграция требует бо́льшего программирования, но и возможностей для кастомизации формы на порядок больше.
Обе системы поддерживают так называемые рекурентные платежи — подписки, когда клиент вводит данные карточки один раз, а списывают у него деньги многократно, каждый месяц, неделю или год. У страйпа эта система мощнее, с ними нужно прогать поменьше.
Отдельное внимание обратите на защиту от фрода. Незащищенные платежные формы используют кардеры для проверки ворованных реквизитов банковских карт. Владельцы ворованных карт могут потребовать вернуть их деньги через свой банк, и за каждый такой возврат (chargeback) вас оштрафуют на 15 долларов. Можно попасть на сотни и даже на тысячи долларов.
Деньги от cloudpayments и страйпа приходят на банковский счет раз в неделю, месяц или даже каждый день — как настроите. Не забывайте, что в разных странах разные налоги при продажах, страйп умеет считать их автоматически.
Есть сотни узкоспециализированных провайдеров, которые лучше подойдут при большом числе транзакций, если у вас какой-то особенный бизнес (знакомства, например) или необходимо принимать физические карты, но это уже совсем другая история 💸
Мы с Федей ищем аккаунт-менеджера и я собеседую ребят.
Учитывая плотность моего календаря и разницу в часовых поясах, согласование времени собеседований — боль.
Есть знаменитый сервис calendly. Шутят, что социальный статус в IT-тусовке определяется тем, кто кому присылает ссылку на calendly для встречи. И причина не только в том, кто под кого подстраивается, но и в том, насколько неудобный это сервис. Он показывает «свободные дни», а при нажатии — список «часов и минут», когда есть «свободные слоты». Приходится сидеть с этим списком и сверять со своим собственным календарем в голове.
Идеальный сервис «шедулинга» накладывает два календаря и показывает пересечения свободных слотов. Ну или хотя бы показывает мне свободные слоты контрагента в виде календаря. Очевидная идея, которую почему-то не реализует «лидер рынка» с оценкой в 3 миллиарда долларов.
И такой сервис есть! Называется он SavvyCal. Почти два года назад его запустил Деррик Реймер. Я наткнулся на него случайно, воспользовался сервисом и мгновенно влюбился. В нем было всё что нужно и ничего лишнего. А ещё его делал единственный основатель-инженер и зарабатывал на этом хорошие деньги. Мечта.
Как хардкорный ранний пользователь, я нашел пару багов, у нас с Дериком завязалась небольшая переписка, я фанат.
Я не написал про этот сервис в канал сразу, потому что я вообще довольно впечатлительный и не хочу бомбардировать вас вещами, в которых я не уверен. За эти полтора года SavvyCal выдержал испытание временем и стал только лучше. Уверенно рекомендую, лучший сервис шедулинга с хорошими корнями и образцовым лендингом.
«Производство современных компьютерных чипов: неотличимо от магии»
Исключительно хороший доклад и отличное видео на выходные.
Я посмотрел ещё меньше половины и вот что мне запомнилось:
- заводы по производству процессоров гигантские - площадью в несколько футбольных полей;
- в них есть «чистые комнаты», в которых пыли в 1000 раз меньше, чем в операционной (и это не фигура речи);
- сначала они выращивают кремниевую трубку - цилиндр диаметром 30 см и длиной в несколько метров. Вся трубка - единый кристалл, то есть атомная решетка идёт ровно от одного конца до другого!
- дальше её нарезают на блинчики толщиной 200 микрометров (толщина волоса - 1 микрометр). Эти блинчики - основа, на которой «рисуют» детальки;
- я пишу рисуют, но размер элементов картины - десятки нанометров (на срезе волоса помещаются тысячи);
- фотолитография (то самое прижигание/выжигание) - это снос башки: сначала делают относительно крупную «маску», через которую светят ультрафиолетом и пропускают картинку через линзу, которая делает луч меньше - таким образом рисунок получается меньше маски (и даже меньше длины волны);
- эти линзы меняют раз в несколько лет из-за износа от бомбардировки фотонами! Представьте, если бы у вас объектив на фотике истерся от света;
- размер картинки такой маленький, что нужно учитывать интерференцию лучей, то есть маска и тень от неё не совпадают. Это значит, что подсчёт маски, дающей необходимую тень - отдельная математическая задача;
- там такие точности, что заметна осцилляция фотонов (!), и используются способы ее компенсации.
Это одно из самых увлекательных выступлений, с максимальной концентрацией лулзов, прямо как про посадку шаттла.
https://youtube.com/watch?v=NGFhc8R_uO4
Телеграм представил свою криптовалюту и сеть TON (Telegram Open Network).
Кроме собственно криптовалюты, обещают (все имена с приставкой TON):
- сеть типа i2p (можно обходить цензуру(!) Proxy);
- распределенное хранилище типа торрентов (Storage);
- некую сеть для децентрализованных приложений и сматр-контрактов (Services);
- аналог сервиса DNS, чтобы не запоминать длинные адреса (DNS);
- платежную систему (Payments).
Насколько я понимаю, во всех случаях, речь идет не о классической полностью децентрализованной системе (такие ещё не научились делать достаточно быстрыми и удобными), но о неком балансе между удобством (в том числе скоростью) и децентрализацией.
Это означает, что телеграм будет иметь власть над этой валютой и этим платформами. Готовы ли будут люди сторговать часть власти на удобство — интересный вопрос. Как власти будут прессовать телеграм применять эту власть, если система «взлетит» — вообще попкорна не напасешься.
Обход сетевых блокировок, быстрые, удобные и дешевые микроплатежы — всё это звучит очень круто. Учитывая, что делают те люди, что запустили vk и tg — думаю, что не облажаются.
Редакция уже предлагают запрограммировать Медузу для этой сети 😂 (а почему бы и нет).
Вот краткое описание TON в картинках (23 страницы) и статья в научном стиле (132 страницы A4).
Подозреваю, что список этих статей генерируется гуглом для каждого пользователя индивидуально, на основе машинного обучения.
Не уверен в этом и буду рад, если кто-то проведет исследование и расскажет.
Если вы видите у себя в источниках трафика домен googleapis.com — не удивляйтесь. Посмотрите на страницу перехода — скорее всего там будет /auth/chrome-content-suggestions.
Это переходы на ваш сайт с «article suggestions» на «новой вкладке» в мобильном Google Chrome.
Пруфы: 1→2.
«Meta-доска» в трелло. Каждая карточка в ней представляет большой проект и содержит в себе ссылку на доску этого проекта. «Взгляд с высоты птичьего полета». Извините, что много блюра — секреты!
Читать полностью…
Если вы пользуетесь ssh и терминалом на маке — вы наверное заметили, что теперь после каждой перезагрузки мак просит ввести пароль от файла ключа. Вот как это починить: https://apple.stackexchange.com/a/264974
Читать полностью…
Воскресная подборка, если хочется почитать:
- восстановление того, что видит человек, по fMRI! (pdf). Довольно огненно, это как если бы шуму вентилятора процессора можно было понять, что на этом процессоре считается (oh wait);
- ещё один side channel attack (в шумихе с процессорами был именно этот тип атаки) — можно понять, что за тобой следит дрон, даже не взламывая шифрование канала связи дрона (по объему передаваемых данных);
- Apple обновил документ по безопасности iOS — канонический пример того, как хорошо рассказать о технологиях;
- очень красивые фотки с завода карандашей (production porn);
- серия из трех видео про мозги, в которых девушка-математик походя объясняет, что такое симплекс;
- безопасники убера заплатил хакеру 100k USD, чтобы тот не говорил об уязвимости, через которую можно было вытащить все личные данные (и никому об этом не сказали). CSO уволили, у всех бомбит.
Игровые автоматы, веселая ферма, фейсбук, другие технологические компании и медиа (г-н Киселев, привет!) эксплуатируют «уязвимости» наших мозгов. Слава богу, мозги людей адаптируются к любым таким «атакам».
Вспомните, что хорошо работавшие ещё год назад «продающие заголовки» сегодня кажутся смешными и почти никто на них не кликает. Есть небольшая группа людей, которые спускают все деньги на игровых автоматах или сидят целыми днями в веселой ферме до сих пор. У большинства же людей, со временем, вырабатывается иммунитет к любым «хакам внимания».
Кори Доктороу в очередной раз четко ухватил дух времени, но, обычно депрессивный, в этой статье предлагает рассмотреть стакан наполовину полным: ни один способ порабощения нашего внимания не вечен.
https://locusmag.com/2018/01/cory-doctorow-persuasion-adaptation-and-the-arms-race-for-your-attention/
Apple передаст данные iCloud китайских пользователей китайской государственной компании 28 февраля.
Apple сделал это, чтобы соответствовать китайскому законодательству о локализации персональных данных.
Apple легко посылал на фиг наши роскомнадзоры, но теперь я не вижу аргументов, которыми они могли бы защитить своих российских пользователей. В свете этих событий очень интересно:
1. насколько хорошо архитектура iCloud защищает от атакущего, контролирующего серверы и ПО iCloud? Стоит перечитать их whitepaper. Я сейчас пробежался глазами, кажется, что большинство сервисов становятся небезопасны;
2. легко ли сменить страну iCloud? Что для этого нужно сделать? Вот инструкция от самого Apple. Кажется, что это — самый правильный вариант защиты. Всё что потребуется — карточка иностранного банка. Китайцам объявили о передаче аккаунтов более чем за месяц (их передадут 28 февраля), так что время у нас будет, но подготовиться лучше заранее;
3. сохранятся ли купленные приложения при смене страны? Кажется, что да. Придется выключить все подписки, но их можно включить потом обратно;
4. когда ожидать этой передачи российских аккаунтов структуре, подконтрольной правительству (какому-нибудь ГУП «Облачные технологии»)? Тут я спокоен — от российских чиновников и подрядчиков инфа утечет за полгода до трансфера. Дело такого масштаба нельзя провернуть за месяц и в одиночку. Утечка будет точно.
Ох, придется теперь объяснять, что «айфоны — самые безопасные, только iCloud русский не включай». Печально, iCloud — очень удобная штука.
Вы лучше посмотрите, как чувак делает HDR фотки в экселе!111
Магия происходит на 07:11
https://www.youtube.com/watch?v=bkQJdaGGVM8
Notion — один из самых популярных инструментов совместной работы, анонсировал использование популярных моделей машинного обучения для работы с текстом.
Выбираете «написать пост», даете ему одно предложение, о чем пост и он генерирует черновик. Выбираете «брейншторм идей», пишете что хотите брейнштормить и получаете список идей. Исправление орфографии, переводы — все эти модели доступны прямо внутри обычного редактора.
То, с чем раньше было неудобно и сложно играть, теперь станет рабочим инструментом тысяч людей. В интересное время живем!
Ну и видео анонс запуска бомбический, на примере самого запуска, с хорошей шуткой в конце. ❤️
Пока только приватная бета, записаться можно здесь.
Классный сервис для технарей, чтобы отправлять себе пуш-уведомления на телефон и компьютер. Отличие от конкурентов — бесплатный, без регистрации и смс.
Читать полностью…
Телефоны и компьютеры каждый год становятся легче, быстрее и при этом всё дольше работают от батарейки. Вообще-то, это взаимоисключающие вещи, и в последние годы эта магия во многом возможна благодаря одной голландской компании, которая мало известна не профессионалам.
ASML — единственный в мире производитель промышленных станков фотолитографии в глубоком ультрафиолете. Каждый такой станок стоит сотни миллионов долларов, а список стран, которым разрешают их купить — большая политика.
В новом эпизоде подкаста мы узнаем, как устроены современные процессоры и проследим, как их производят. Гость — Диана Гришина, кандидат наук, работала в ASML.
Когда Диана описывает некоторые части процесса, у меня чувство, что я наблюдаю бесконечно большую «машину Голдберга», только каждый шаг — это сотни миллионов долларов инвестиций и десятки лет исследований.
Полный снос крыши.
Слушайте и подписывайтесь: Apple, Google, Яндекс, Spotify, Castbox, Overcast, веб-версия.
Почта России у меня ассоциируется с очередями в отделениях и потерянными посылками. В новом эпизоде подкаста разбираемся, насколько это близко к реальности с техническим директором Почтатеха Николаем Кнышем.
А ещё внутри Коля рассказывает, как они обрабатывают полтора миллиона посылок в день и при этом раскатывают софт на 300 тысяч сотрудников в 12 часовых поясах. 🤯
Слушайте и подписывайтесь: Apple, Google, Яндекс, Spotify, Castbox, Overcast, веб-версия.
Google обновил свою Google Search Console.
Google Webmaster Tools в общем и Google Search Console в частности — самые недооцененные инструменты веб-разработчика и аналитика.
Вот неполный список того, что можно в них посмотреть:
- по каким запросам сайт показывается в поисковой выдаче гугла;
- на каких позициях находятся ваши страницы (и видео);
- какой у этих показов CTR (сколько увидевших ссылку на неё кликнули);
- какие страницы имеют ошибки (404, 500 и прочие);
- какие элементы находятся в мобильной верстке слишком близко, так что на них неудобно кликнуть с телефона (!).
Новая версия Search Console раскатывается постепенно. Дождитесь приглашения на почту, если ссылка выше ещё не показывает ваш сайт.
Поправка (если прочитали пост в первые 10 минут после публикации): обе эти PDF-ки - слитые кем-то документы.
Телеграм их не подтверждал и не комментировал.
Фраза «телеграм представил» - некорректная. Приношу свои извинения.
При этом я верю, что документы аутентичны (хотя возможно их и изменят перед публичным релизом). Подозреваю, что это файлы, которые передали институциональным инвесторам раньше публичного запуска (они смогут купить валюту раньше и со скидкой, это нормальная практика).
Провели поверхностный анализ и поняли, что речь не о тупом алгоритме, в котором «читал Медузу — лови ещё пачку статьей Медузы». Во всяком случае (по данным GA), процент «новых пользователей» пришедших из suggestions равен среднему проценту «новых пользователей» на сайте.
Нейросети. Магия.
Называется этот блок на экране новой вкладки «статьи для вас».
Читать полностью…
Должны были сегодня утром задеплоить проект, но бурятские школьники подкинули онлайн. Сидим теперь ждем понедельника. Каждый занимает себя как может. Боря вот удалил три тысячи строк кода.
Читать полностью…
Мы в Медузе уверенно программируем (и управляем разработкой), когда есть четкая постановка задачи — понимание, описание, макеты, тестовые данные и прочее.
Создаешь трелло доску со столбцами «описание», «разработка», «тестирование», «готово». Заводишь в неё все задачи. Даёшь внутри ссылки на .sketch-файлы. Созваниваешься перед началом проекта, обсуждаешь его голосом. Дальше постоянно контролируешь результат. Главное не забыть, что хотел получить в конечном счете.
Меня беспокоит этап, когда разработка формально ещё не началась. Собрать требования, разобраться в документации, разбить проблему на меньшие части, понять, что мы можем себе позволить, а что нет — всё это большая работа. В ней участвует не только разработка, но и дизайнеры и редакция. Сейчас эта работа делается ad-hoc, без «единого источника правды». Из-за этого возникает несколько связанных между собой проблем: 1. сложно оценить объем работы (сколько было/сколько сделано/сколько осталось) 2. сложно её делегировать (делать вместе) и делиться результатом 3. задачи теряются и забываются.
В такой формулировке, решение очевидно — использовать на этом шаге разработки те же инструменты, что и для основного программирования/тестирования. Уложить всё в трелло, разбить на задачи, назначить ответственных, вести переписку внутри.
Попробуем сделать это с несколькими следующими проектами. Расскажу потом, что получилось.
Спасибо большое Боре Горячеву, что заметил проблему и указал на решение.
Помните, у издателей бомбило от того, что из результатов поиска AMP-страницы открываются не с оригинального сайта, а с адресов (и серверов) Google.com?
Дело в том, что отдавать страницы с серверов Google быстрее по двум причинам: 1) ни у кого нет так много компьютеров на всех континентах, как у Google 2) можно сделать предзагрузку результатов поиска.
Второй пункт важен — гугл в фоне предзагружает AMP-страницы первых 2-3 результатов поиска, так что при клике они открываются мгновенно. Если бы страницы предзагружались с серверов издателей — те могли бы палить, кто нашел их сайт через Google, даже если читатель не кликнул на их сайт.
И вот, Google придумал решение. Это новый формат архива, в который можно сложить всё, что нужно для открытия страницы в офлайне (картинки, стили, скрипты, etc.). Что-то типа MHTML, только для 2018 (в этом формате, например, есть поддержка цифровых подписей). Называется эта штука Web Packaging Format. Если у вас аллергия на RFC (я их обожаю), то вот explainer на гитхабе.
Для нормального использования, это должно работать во всех крупных браузерах. Google контролирует Chrome, но есть ведь Safari. В этот раз Google пошел не путем уговоров Apple, но решил сам запилить поддержку WPF в Webkit (это open source основа Safari).
Понятно, что Google делает это для CDN. Тем не менее, потенциально это означает, что можно будет «перекинуть страницу на флешку» / «через ватсап» (или что там у нас тогда будет в моде) и сайт нормально откроется даже без интернета. Мечты...
Возможность делать хорошие packaged web apps может подточить ультимативную власть апстора. Очень интересно, что из этого получится.
Paw.cloud — самый крутой способ делиться API-запросами в команде. Paw — лучший клиент для тестирования API (только под мак).
Переделываем пуши в Firebase. Нужно сначала написать, а потом протестировать разные запросы. Без Paw это заняло бы гораздо больше времени, чем с ним.
Пример крутой фичи: легко включить бесчеловечную Oauth 2 JWT-авторизацию и добавлять (и обновлять) токен при каждом запросе. А уж версионирование и однокнопочная синхронизация проекта внутри команды — магия.
Paw.cloud стоит 10$ на члена команды в месяц. Одноразовая лицензия на клиент без синхронизации — 50$.
Google обновил в ноябре Firebase Cloud Messaging — одну из самых крутых систем для рассылки пуш-уведомлений в мобильные приложения и браузеры (при этом — бесплатную!).
В новой версии API можно в едином сообщении указать два разных payload; клиент получит свою версию в зависимости от платформы — iOS или Android. Ура! Ложка дёгтя: авторизация теперь богопротивным Oauth2 JWT.
P.S. Документация у Firebase — тихий ужас :(
P.P.S. Никогда не собирайте тестовые приложения с продакшен-ключами. Я сегодня таким макаром отправил в продакшен iOS Медузы тестовый пуш. Слава богу, не в канал «breaking». Слава богу, что тексты тестовых пуши — копии недавних легитимных, а не «тестовый пуш, йоу» или «alert('fuck')». Храни вас бог при тестировании пушей и почтовых рассылок. Аминь.
Рекламная сеть Criteo понизила ожидания прибыли на 1/5. В прошлом году они заработали 730 миллионов долларов.
Всему виной «умная блокировка cookies» (Intelligent tracking prevention), которую Apple недавно ввела в свой браузер.
Cледить за пользователем смогут только те сайты, которые этот пользователь посещает.
Как это работает? Если Safari определяет (классификация методами машинного обучения прямо на устройстве), что куки сайта используются для трекинга пользователя, то он начинает блокировать доступ к этим кукам. Для внешних сайтов (third-party) — уже через сутки после последнего посещения основного сайта, а через месяц вообще удаляет эту куку.
Интересно, что это не затронет Google и Facebook, ведь на эти сайты мы заходим почти каждый день. Прямо по Матфею (25:29): …ибо всякому имеющему дастся и приумножится, а у неимеющего отнимется и то, что имеет.
Google обещает включить блокировщик рекламы, но он, в отличие от Apple, был разработан совместно с рекламным рынком. Chrome будет блокировать только «надоедливую рекламу», типа полноэкранных баннеров. Преследовать вас по всему интернету кошельком, который вы искали в магазине неделю назад гуглу кажется недостаточно надоедливым.
Кстати, раз уж про рекламу: жду, когда GDPR заработает в полную силу. Это правила, по которым сайтам придется явно рассказывать, для чего они собираются использовать информацию о вас. Посмотрите разбор GDPR от pagefair, это адуха. Уж проще не собирать данные вовсе. Интересно, смогут ли чиновники Евросоюза заставить этот закон работать в полную силу? Если смогут — онлайн рекламщиков ожидают времена.
Написал утром пост про очередную историю [1] [2], как разработчики удалили свои библиотеки в NPM и другие чуваки смогли загрузить другой код вместо легитимных библиотек. Вы посмотрите, какие эмоции испытывали разработчики.
Это как если бы вам в аптеке по рецепту на трамал выдали цианистый калий. Поставщики болеутоляющего решили закрыть бизнес, а другие бизнесмены теперь поставляют цианистый калий под тем же названием.
Позавчера вышел проникновенный пост про это в стиле хоррор. Якобы, есть библиотека, которая крадет пароли пользователей с сотни популярных сайтов.
Но это всё происходит раз в месяц и уже набило оскомину.
