ctodaily | Блоги

Telegram-канал ctodaily - запуск завтра

27767

Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю

Подписаться на канал

запуск завтра

Поправка (если прочитали пост в первые 10 минут после публикации): обе эти PDF-ки - слитые кем-то документы.

Телеграм их не подтверждал и не комментировал.

Фраза «телеграм представил» - некорректная. Приношу свои извинения.

При этом я верю, что документы аутентичны (хотя возможно их и изменят перед публичным релизом). Подозреваю, что это файлы, которые передали институциональным инвесторам раньше публичного запуска (они смогут купить валюту раньше и со скидкой, это нормальная практика).

Читать полностью…

запуск завтра

Провели поверхностный анализ и поняли, что речь не о тупом алгоритме, в котором «читал Медузу — лови ещё пачку статьей Медузы». Во всяком случае (по данным GA), процент «новых пользователей» пришедших из suggestions равен среднему проценту «новых пользователей» на сайте.

Нейросети. Магия.

Читать полностью…

запуск завтра

Называется этот блок на экране новой вкладки «статьи для вас».

Читать полностью…

запуск завтра

Должны были сегодня утром задеплоить проект, но бурятские школьники подкинули онлайн. Сидим теперь ждем понедельника. Каждый занимает себя как может. Боря вот удалил три тысячи строк кода.

Читать полностью…

запуск завтра

Мы в Медузе уверенно программируем (и управляем разработкой), когда есть четкая постановка задачи — понимание, описание, макеты, тестовые данные и прочее.

Создаешь трелло доску со столбцами «описание», «разработка», «тестирование», «готово». Заводишь в неё все задачи. Даёшь внутри ссылки на .sketch-файлы. Созваниваешься перед началом проекта, обсуждаешь его голосом. Дальше постоянно контролируешь результат. Главное не забыть, что хотел получить в конечном счете.

Меня беспокоит этап, когда разработка формально ещё не началась. Собрать требования, разобраться в документации, разбить проблему на меньшие части, понять, что мы можем себе позволить, а что нет — всё это большая работа. В ней участвует не только разработка, но и дизайнеры и редакция. Сейчас эта работа делается ad-hoc, без «единого источника правды». Из-за этого возникает несколько связанных между собой проблем: 1. сложно оценить объем работы (сколько было/сколько сделано/сколько осталось) 2. сложно её делегировать (делать вместе) и делиться результатом 3. задачи теряются и забываются.

В такой формулировке, решение очевидно — использовать на этом шаге разработки те же инструменты, что и для основного программирования/тестирования. Уложить всё в трелло, разбить на задачи, назначить ответственных, вести переписку внутри.

Попробуем сделать это с несколькими следующими проектами. Расскажу потом, что получилось.

Спасибо большое Боре Горячеву, что заметил проблему и указал на решение.

Читать полностью…

запуск завтра

Помните, у издателей бомбило от того, что из результатов поиска AMP-страницы открываются не с оригинального сайта, а с адресов (и серверов) Google.com?

Дело в том, что отдавать страницы с серверов Google быстрее по двум причинам: 1) ни у кого нет так много компьютеров на всех континентах, как у Google 2) можно сделать предзагрузку результатов поиска.

Второй пункт важен — гугл в фоне предзагружает AMP-страницы первых 2-3 результатов поиска, так что при клике они открываются мгновенно. Если бы страницы предзагружались с серверов издателей — те могли бы палить, кто нашел их сайт через Google, даже если читатель не кликнул на их сайт.

И вот, Google придумал решение. Это новый формат архива, в который можно сложить всё, что нужно для открытия страницы в офлайне (картинки, стили, скрипты, etc.). Что-то типа MHTML, только для 2018 (в этом формате, например, есть поддержка цифровых подписей). Называется эта штука Web Packaging Format. Если у вас аллергия на RFC (я их обожаю), то вот explainer на гитхабе.

Для нормального использования, это должно работать во всех крупных браузерах. Google контролирует Chrome, но есть ведь Safari. В этот раз Google пошел не путем уговоров Apple, но решил сам запилить поддержку WPF в Webkit (это open source основа Safari).

Понятно, что Google делает это для CDN. Тем не менее, потенциально это означает, что можно будет «перекинуть страницу на флешку» / «через ватсап» (или что там у нас тогда будет в моде) и сайт нормально откроется даже без интернета. Мечты...

Возможность делать хорошие packaged web apps может подточить ультимативную власть апстора. Очень интересно, что из этого получится.

Читать полностью…

запуск завтра

Paw.cloud — самый крутой способ делиться API-запросами в команде. Paw — лучший клиент для тестирования API (только под мак).

Переделываем пуши в Firebase. Нужно сначала написать, а потом протестировать разные запросы. Без Paw это заняло бы гораздо больше времени, чем с ним.

Пример крутой фичи: легко включить бесчеловечную Oauth 2 JWT-авторизацию и добавлять (и обновлять) токен при каждом запросе. А уж версионирование и однокнопочная синхронизация проекта внутри команды — магия.

Paw.cloud стоит 10$ на члена команды в месяц. Одноразовая лицензия на клиент без синхронизации — 50$.

Читать полностью…

запуск завтра

Google обновил в ноябре Firebase Cloud Messaging — одну из самых крутых систем для рассылки пуш-уведомлений в мобильные приложения и браузеры (при этом — бесплатную!).

В новой версии API можно в едином сообщении указать два разных payload; клиент получит свою версию в зависимости от платформы — iOS или Android. Ура! Ложка дёгтя: авторизация теперь богопротивным Oauth2 JWT.

P.S. Документация у Firebase — тихий ужас :(
P.P.S. Никогда не собирайте тестовые приложения с продакшен-ключами. Я сегодня таким макаром отправил в продакшен iOS Медузы тестовый пуш. Слава богу, не в канал «breaking». Слава богу, что тексты тестовых пуши — копии недавних легитимных, а не «тестовый пуш, йоу» или «alert('fuck')». Храни вас бог при тестировании пушей и почтовых рассылок. Аминь.

Читать полностью…

запуск завтра

Рекламная сеть Criteo понизила ожидания прибыли на 1/5. В прошлом году они заработали 730 миллионов долларов.

Всему виной «умная блокировка cookies» (Intelligent tracking prevention), которую Apple недавно ввела в свой браузер.

Cледить за пользователем смогут только те сайты, которые этот пользователь посещает.

Как это работает? Если Safari определяет (классификация методами машинного обучения прямо на устройстве), что куки сайта используются для трекинга пользователя, то он начинает блокировать доступ к этим кукам. Для внешних сайтов (third-party) — уже через сутки после последнего посещения основного сайта, а через месяц вообще удаляет эту куку.

Интересно, что это не затронет Google и Facebook, ведь на эти сайты мы заходим почти каждый день. Прямо по Матфею (25:29): …ибо всякому имеющему дастся и приумножится, а у неимеющего отнимется и то, что имеет.

Google обещает включить блокировщик рекламы, но он, в отличие от Apple, был разработан совместно с рекламным рынком. Chrome будет блокировать только «надоедливую рекламу», типа полноэкранных баннеров. Преследовать вас по всему интернету кошельком, который вы искали в магазине неделю назад гуглу кажется недостаточно надоедливым.

Кстати, раз уж про рекламу: жду, когда GDPR заработает в полную силу. Это правила, по которым сайтам придется явно рассказывать, для чего они собираются использовать информацию о вас. Посмотрите разбор GDPR от pagefair, это адуха. Уж проще не собирать данные вовсе. Интересно, смогут ли чиновники Евросоюза заставить этот закон работать в полную силу? Если смогут — онлайн рекламщиков ожидают времена.

Читать полностью…

запуск завтра

Написал утром пост про очередную историю [1] [2], как разработчики удалили свои библиотеки в NPM и другие чуваки смогли загрузить другой код вместо легитимных библиотек. Вы посмотрите, какие эмоции испытывали разработчики.

Это как если бы вам в аптеке по рецепту на трамал выдали цианистый калий. Поставщики болеутоляющего решили закрыть бизнес, а другие бизнесмены теперь поставляют цианистый калий под тем же названием.

Позавчера вышел проникновенный пост про это в стиле хоррор. Якобы, есть библиотека, которая крадет пароли пользователей с сотни популярных сайтов.

Но это всё происходит раз в месяц и уже набило оскомину.

Читать полностью…

запуск завтра

Гугл наконец-то опубликовал нормальный разбор «что делать», а то PR-опусы как исследователей безопасности (мы всё умрём) так и Intel (ничего не происходит) надоели.

Коротко: гугл починил у себя все три уязвимости и не заметил проседания производительности в продакшене.

Детали: CVE-2017-5753 нужно фиксить отдельно в каждом бинарнике, способном выполнять недоверенный код (читай браузеры, ОС и прочий JIT) — они не пишут, как именно это нужно делать; CVE-2017-5715 чинится обновлением CPU или перекомпиляцией важных бинарников (ОС и гипервизоры) компилятором, умеющим хитрый хак (Google назвал этот хак Retpoline и опубликовал его для GCC и LLVM); CVE-2017-5754 чинится обновлением ОС. Обратите внимание, что гугл не называет эти баги именами собственными, видимо не хочет добавлять хайпа.

Продолжение истории — чуваки уже смогли эксплуатировать CVE-2017-5753 в Firefox для кражи паролей из джаваскрипта. Mozilla выпустил обновление только что.

Читать полностью…

запуск завтра

Вчера ночью сняли эмбарго с информации об уязвимостях процессоров.

Как мы и ожидали, речь идёт о несанкционированном доступе к оперативной памяти. Грубо говоря, каждая программа на компьютере живет в своем изолированном мире. Используя эти уязвимости, программа-злоумышленник может подсмотреть, что там происходит у соседей.

Это страшно «облакам», суть которых как раз в том, что программы разных людей делят один физический сервер. Сейчас модно называть такой подход виртуализацией. Речь идёт о более эффективном расходовании серверов: если две программы (два клиента) могут поместиться на один физический сервер - так и делаем. Принципиальное обещание «виртуализации» в том, что ваши данные так же защищены, как если бы они были на отдельном сервере. Ага.

Самих дыр не достаточно - нужно сочетание многих условий для того, чтобы извлечь из неё какую-либо «выгоду». Думаю, многие «исследователи» в кавычках и без занимаются этим вопросом прямо сейчас. Будет ли идти речь о таргетированных атаках, когда отсифонят секретные данные конкретной жертвы и используют их для дальнейших этапов атаки или о каких-то «массовых изъятиях денег у населения» - пока говорить рано. Поживём-увидим. (Я бы назвал эти уязвимости popcorn time)

Теоретически, этим атакам подвержены и наши персональные компьютеры и даже смартфоны. В софте регулярно находят ошибки, которыми пользуются злоумышленники в своих программах. Теоретически, эта ошибка на порядок больше остальных, но одной дырой больше, одной меньше, принципиальной разницы я пока не вижу. На деле, если вас угораздило запустить программу злоумышленника на своём компьютере или телефоне, вам все равно более-менее хана.

Строго говоря, речь идёт о 3 уязвимостях: bounds check bypass CVE-2017-5753, branch target injection CVE-2017-5715 и rogue data cache load CVE-2017-5754.

Интересно, что их одновременно нашли две независимые групп исследователей. Первая - звездный Project Zero из Google. Они отправили письма производителям процессоров ещё 1 июня (!) 2017. Вторая - группа исследователей из универов. Project Zero опубликовал классный технический разбор, а университеты максимально отработали PR-сторону, нагнав страху на массовую аудиторию «дизайнерским лендингом».

Боюсь показаться занудой, но включите автоматические обновления на всех своих устройствах. Против третьей из этих уязвимостей уже выпустили заплатки все крупнейший операционные системы, а по поводу первых двух CVE мы увидим ещё много обновлений самых разных программ. Применение патчей безопасности не должно требовать вмешательства пользователя, а Карфаген должен быть разрушен.

Читать полностью…

запуск завтра

Представьте, вы получили секретный документ. Как не запалить источник?

Как и в других ситуациях связанных с безопасностью, представим себе на месте противника.


Какие есть способы пометить документ?

Начнем с простого: при печати, современные принтеры добавляют невидимые невооруженному глазу точки. Если ваш источник распечатал документ на работе и противник получил высококачественные сканы или оригиналы бумаг — источник сгорел. Решение — распознавать текст, никогда не выкладывать сканы.

Если говорить о цифровой передаче, то есть несколько механизмов. Самый кондовый — умышленно допустить разные орфографические ошибки в разных версиях файла. Вариант поизощреннее - заменять буквы на похожие. Кириллическую (русскую) букву «а» сложно отличить на глаз от латинской (английской) буквы «a», но это разные символы. Даём каждому потенциальному источнику «утечки» файл с уникальными заменами и потом смотрим, какая версия оказалась в паблике. У этого способа есть недостаток — компьютерная проверка орфографии живо выявит все такие «метки».

Сегодня я наконец-то увидел в паблике гораздо более крутой способ, основанный на «символах нулевой ширины». Вот самые известные: разделитель нулевой ширины, нужный, чтобы две буквы не «слиплись» в лигатуру; пробел нулевой ширины, порой используемый для расстановки «точек желаемого переноса»; и соединитель нулевой ширины, который, как ни странно, соединяет две буквы, которые иначе бы не слиплись (используется, например, в арабском).

Как вы уже наверное догадались, эти символы можно щедро расставить в тексте (даже автоматически, на каждое скачивание секретного файла отдавать его с уникальным «цифровым отпечатком»), и потом точно определить источник утечки. Я только что проверил популярные типографы, все они оставляют эти символы нетронутыми.

Добрый человек уже написал скрипт для очистки текстов от этих символов. Вообще, есть гарантированный способ избавиться от всех этих меток: распечатать секркетный текст, отсканировать и распознать его обратно. Ну или перенабрать интересующий кусочек руками.

Вариант, когда в тексте заменяются слова на синонимы тоже имеет право на жизнь. Существует специализированный софт, который автоматизирует эти вещи.

Для желающих позалипать в википедию - вот релевантная статья про «canary trap».

Читать полностью…

запуск завтра

Если вы вдруг не смотрели видео про посадку шатла — очень рекомендую — тоже отличное новогоднее залипалово https://www.youtube.com/watch?v=Jb4prVsXkZU

Читать полностью…

запуск завтра

Ультимативный доклад-разбор компьютера программы Аполлон.

Включает разбор этапов полета, схему компьютера, список команд его ассемблера и UX. Идеальное новогоднее видео для компьютерщика.

По скорости похоже на класическое видео «как посадить space shuttle», но в этом докладе гораздо больше технических деталей.

Сама презентация очень-очень качественная, рекомендую всем, кто читает доклады.

https://media.ccc.de/v/34c3-9064-the_ultimate_apollo_guidance_computer_talk

Читать полностью…

запуск завтра

Телеграм представил свою криптовалюту и сеть TON (Telegram Open Network).

Кроме собственно криптовалюты, обещают (все имена с приставкой TON):
- сеть типа i2p (можно обходить цензуру(!) Proxy);
- распределенное хранилище типа торрентов (Storage);
- некую сеть для децентрализованных приложений и сматр-контрактов (Services);
- аналог сервиса DNS, чтобы не запоминать длинные адреса (DNS);
- платежную систему (Payments).

Насколько я понимаю, во всех случаях, речь идет не о классической полностью децентрализованной системе (такие ещё не научились делать достаточно быстрыми и удобными), но о неком балансе между удобством (в том числе скоростью) и децентрализацией.

Это означает, что телеграм будет иметь власть над этой валютой и этим платформами. Готовы ли будут люди сторговать часть власти на удобство — интересный вопрос. Как власти будут прессовать телеграм применять эту власть, если система «взлетит» — вообще попкорна не напасешься.

Обход сетевых блокировок, быстрые, удобные и дешевые микроплатежы — всё это звучит очень круто. Учитывая, что делают те люди, что запустили vk и tg — думаю, что не облажаются.

Редакция уже предлагают запрограммировать Медузу для этой сети 😂 (а почему бы и нет).

Вот краткое описание TON в картинках (23 страницы) и статья в научном стиле (132 страницы A4).

Читать полностью…

запуск завтра

Подозреваю, что список этих статей генерируется гуглом для каждого пользователя индивидуально, на основе машинного обучения.

Не уверен в этом и буду рад, если кто-то проведет исследование и расскажет.

Читать полностью…

запуск завтра

Если вы видите у себя в источниках трафика домен googleapis.com — не удивляйтесь. Посмотрите на страницу перехода — скорее всего там будет /auth/chrome-content-suggestions.

Это переходы на ваш сайт с «article suggestions» на «новой вкладке» в мобильном Google Chrome.

Пруфы: 12.

Читать полностью…

запуск завтра

«Meta-доска» в трелло. Каждая карточка в ней представляет большой проект и содержит в себе ссылку на доску этого проекта. «Взгляд с высоты птичьего полета». Извините, что много блюра — секреты!

Читать полностью…

запуск завтра

Если вы пользуетесь ssh и терминалом на маке — вы наверное заметили, что теперь после каждой перезагрузки мак просит ввести пароль от файла ключа. Вот как это починить: https://apple.stackexchange.com/a/264974

Читать полностью…

запуск завтра

Воскресная подборка, если хочется почитать:
- восстановление того, что видит человек, по fMRI! (pdf). Довольно огненно, это как если бы шуму вентилятора процессора можно было понять, что на этом процессоре считается (oh wait);
- ещё один side channel attack (в шумихе с процессорами был именно этот тип атаки) — можно понять, что за тобой следит дрон, даже не взламывая шифрование канала связи дрона (по объему передаваемых данных);
- Apple обновил документ по безопасности iOS — канонический пример того, как хорошо рассказать о технологиях;
- очень красивые фотки с завода карандашей (production porn);
- серия из трех видео про мозги, в которых девушка-математик походя объясняет, что такое симплекс;
- безопасники убера заплатил хакеру 100k USD, чтобы тот не говорил об уязвимости, через которую можно было вытащить все личные данные (и никому об этом не сказали). CSO уволили, у всех бомбит.

Читать полностью…

запуск завтра

Игровые автоматы, веселая ферма, фейсбук, другие технологические компании и медиа (г-н Киселев, привет!) эксплуатируют «уязвимости» наших мозгов. Слава богу, мозги людей адаптируются к любым таким «атакам».

Вспомните, что хорошо работавшие ещё год назад «продающие заголовки» сегодня кажутся смешными и почти никто на них не кликает. Есть небольшая группа людей, которые спускают все деньги на игровых автоматах или сидят целыми днями в веселой ферме до сих пор. У большинства же людей, со временем, вырабатывается иммунитет к любым «хакам внимания».

Кори Доктороу в очередной раз четко ухватил дух времени, но, обычно депрессивный, в этой статье предлагает рассмотреть стакан наполовину полным: ни один способ порабощения нашего внимания не вечен.

https://locusmag.com/2018/01/cory-doctorow-persuasion-adaptation-and-the-arms-race-for-your-attention/

Читать полностью…

запуск завтра

Apple передаст данные iCloud китайских пользователей китайской государственной компании 28 февраля.

Apple сделал это, чтобы соответствовать китайскому законодательству о локализации персональных данных.

Apple легко посылал на фиг наши роскомнадзоры, но теперь я не вижу аргументов, которыми они могли бы защитить своих российских пользователей. В свете этих событий очень интересно:
1. насколько хорошо архитектура iCloud защищает от атакущего, контролирующего серверы и ПО iCloud? Стоит перечитать их whitepaper. Я сейчас пробежался глазами, кажется, что большинство сервисов становятся небезопасны;
2. легко ли сменить страну iCloud? Что для этого нужно сделать? Вот инструкция от самого Apple. Кажется, что это — самый правильный вариант защиты. Всё что потребуется — карточка иностранного банка. Китайцам объявили о передаче аккаунтов более чем за месяц (их передадут 28 февраля), так что время у нас будет, но подготовиться лучше заранее;
3. сохранятся ли купленные приложения при смене страны? Кажется, что да. Придется выключить все подписки, но их можно включить потом обратно;
4. когда ожидать этой передачи российских аккаунтов структуре, подконтрольной правительству (какому-нибудь ГУП «Облачные технологии»)? Тут я спокоен — от российских чиновников и подрядчиков инфа утечет за полгода до трансфера. Дело такого масштаба нельзя провернуть за месяц и в одиночку. Утечка будет точно.

Ох, придется теперь объяснять, что «айфоны — самые безопасные, только iCloud русский не включай». Печально, iCloud — очень удобная штука.

Читать полностью…

запуск завтра

Вы лучше посмотрите, как чувак делает HDR фотки в экселе!111

Магия происходит на 07:11

https://www.youtube.com/watch?v=bkQJdaGGVM8

Читать полностью…

запуск завтра

Продолжаем новогодние видео-каникулы.

Первая лекция из вводного курса MIT по программированию, 1986 год. Классика computer science.

Насколько я понимаю, по-русски эту дисциплину принято называть «информатика».

Послушайте, как классно лектор определяет computer science: «Геометрия началась в Египте с восстановления границ участков после разливов Нила. Но геометрия - наука гораздо более глубокая, чем измерение площади. Так же computer science началась с попытки считать всякое с помощью компьютеров, но суть её в стремлении человечества научиться _описывать процессы_.» (Мой вольный пересказ)

Дальше автор за пару минут объясняет основы языка Lisp.

Вот такие лекции по программированию нам нужны!

https://m.youtube.com/watch?v=2Op3QLzMgSY (в ролике можно включить хорошие субтитры, если хотите)

Читать полностью…

запуск завтра

Ну и эпическое видео Proof of Concept (пример-доказательство).

Ролик очень плохого кавера на Hello Адель (зато слова по теме!) передаётся между двумя виртуальными серверами в Amazon AWS через кеш процессора (!) и проигрывается в реальном времени.

https://www.youtube.com/watch?v=yPZmiRi_c-o

Важно, что в этом докладе речь идёт не о взломе или краже данных через процессор - на обоих серверах запущена программа, которая общается с «коллегой» с соседнего сервера через кеш процессора. Если на вашем виртуальном сервере в AWS запускают программы злоумышленники - то факт того, что ваши секретные данные были переданы наружу не через сетевое соединение, а через кеш процессора - не самая большая проблема. Это просто очень мощный пример of things to come.

Полный доклад: https://youtu.be/6bCdFmehMSY

Читать полностью…

запуск завтра

Во всех современных процессорах Intel есть серьезная ошибка безопасности и заплатим за неё мы с вами.

Подробности ошибки находятся под эмбарго. Microsoft выпустила программный патч для Windows в ноябре. Патч к ядру Линукс от группы исследователей из технического университета Граза был окончательно принят разработчиками Linux буквально несколько дней назад. Изменения в исходном коде Linux доступны публике, но из них изъяты комментарии, объясняющие причины происходящего.

🍿🍿🍿

Патчи серьезно замедляют выполнение задач, связанных с большим числом переключения контекстов и прерываний. У одного из экспериментаторов производительность du упала почти в два раза (du — утилита, считающая объем дискового пространства, занятого файлами).

AMD утверждает, что их процессоры не имеют этой ошибки.

Супер разбор ситуации http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table

Краткий пересказ:

Указанные патчи к ядру Linux включают _kernel page-table isolation_. До этих изменений, таблица страниц (_page table_) ядра (таблица, содержащая схему перевода адресов виртуальной памяти ядра в адреса физической памяти) хранилась вместе с таблицей страниц пользовательского процесса. Пользовательским процессам эта таблица была не доступна. Это хак, но он позволяет не сбрасывать очень дорогие кеши процессора. По всей видимости, существует аппаратная ошибка в процессоре, позволяющая пользовательскому процессу прочитать, что же в этой таблице лежит.

Возможно, это timing attack, в которой измеряется время, необходимое менеджеру памяти процессора (MMU, Memory Management Unit) для того, чтобы получить физический адрес той или иной области памяти. Интересно, что другая команда исследователей из того же университета Граза буквально на днях представила доклад, где показала, как можно узнать адрес js-объекта в памяти из джаваскрипта именно через timing attack на MMU!

Пока я писал эти буквы, исследователь уже написал программу, позволяющую узнать адрес функции ядра в памяти! https://twitter.com/brainsmoke/status/948561799875502080?s=09

Так или иначе, одного этого кажется недостаточным для срочных патчей в режиме «горящей задницы». И тут мы вспоминаем третью недавнюю статью от группы исследователей из университета Граза (!). Есть так называемая Row hammer-атака. Современные DRAM-модули оперативной памяти имеют такую высокую плотность, что при обращении к определенным ячейкам памяти с высокой частотой, можно изменить данные в совершенно других областях памяти. Это происходит из-за электромагнитных наводок (!). В статье исследователи показали новую, более крутую эксплуатацию электромагнитного эффекта и успешно обошли все существующие методы защиты.

Если совместить вместе патч, доклад и факт, что в почтовой переписке разработчиков ядра Linux участвовали разработчики из Google и Amazon (два крупнейших поставщика облаков), разумно предположить, что речь идет об атаке, позволяющей злоумышленнику вылезти из виртуальной машины.

Конечно, речь идет о том, чтобы пропустить верблюда через игольное ушко несколько раз подряд, но хакеры уже не раз показали, на что способен человеческий разум.

Запасаемся попкорном и ждём дальнейших подробностей. 2018 начинается очень интересно.

P.S. Бояться, что эта уязвимость затронет ваш персональный компьютер или телефон я бы пока не стал. Только включите автоматические обновления безопасности, а то будете потом локти кусать.

P.P.S. Ноябрьская новость, что глава Intel продал все свои акции Intel заиграла новыми красками.

Читать полностью…

запуск завтра

Ностальгическая статья про историю Hotmail.
Молодежь, у которой первый в жизни «ящик» заведён на Gmail, может не понять, но были времена, когда «почта» не равнялось Gmail. (Ох, сейчас прибегут адепты mailru и яндекс.почт, я знаю, вас тоже много)

Hotmail - один из первых и самых крупных бесплатных почтовых сервисов, доступный через веб. Эта была рекордно дорогая покупка стартапа - Майкрософт заплатил 450 миллионов долларов кешем в 1997 году!

Внутри статьи много историй, за которые мы и любим Hotmail. Например, как команде Windows понадобилось около 3 лет совместной работы с Hotmail, чтобы довести Windows и его веб-сервер ISS до состояния, в котором они могли заменить Solaris на бэкенде Hotmail. (Фронтенд был на FreeBSD).
Или как для установки HTTPS на страницу логина им пришлось купить аппаратные криптографические карты (процы тогда ещё не умели аппаратный TLS).

Автор проговорил с руководителем интеграции Hotmail в Microsoft Маком деМелло, рекомендую прочитать для острого приступа ностальгии.

Моя первая почта была у кировского провайдера Ezmail. Я её завёл для переписки с 2 адресатами,
после возвращения из летней компьютерной школы, проходившей в Кирове в 2002 году. Пользовался, конечно, не вебом, а почтовиком TheBat. Эх, времена!

Кстати, давайте попробуем «початиться»? Если хотите что-то обсудить по теме канала - добро пожаловать в @ctodailychat

С Новым годом!

https://arstechnica.com/information-technology/2017/12/how-hotmail-changed-microsoft-and-email-forever/

Читать полностью…

запуск завтра

Ассемблер-команды Аполлона

Читать полностью…

запуск завтра

Если после обновления слека тормозит набор слов в слеке на маке — поможет удаление всех локальных данных.
Придется перевойти во все слек-аккаунты, зато можно опять нормально печатать https://gist.github.com/skoji/6778eb42312bc846573e

Читать полностью…
Подписаться на канал