27767
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Тут видно, как сильно отличается открытие веб-пушей между сегодняшним днем и вторником прошлой недели.
Читать полностью…
Когда пишешь своему поставщику про лицензии, а он отвечает тебе «Да, winter is coming!»
Читать полностью…
Про ошибку в Wifi-протоколе пишет крутой безопасник.
Оказывается, в 2005 (!) году была опубликована научная статья о формальном анализе WPA2. Это когда ученые доказывают, что программа работает корректно. Дико дорогой процесс, использующийся в науке, оборонке, авиации и прочей космической промышленности (ниже будет скриншот из статьи, вы только посмотрите на эту нотацию).
Почему же анализ не обнаружил ошибки? Они смотрели отдельно на хэндшейк (процесс договора сторон о ключах шифрования) и отдельно на шифрование. Ошибка возникает только смотреть на систему в целом (что очень сложно).
Ниже будет идеальная гифка на эту тему — мусорка и сушилка для рук отлично функционируют по отдельности, пока не поставишь сушилку над мусоркой.
Автор делает вывод, что анализом безопасности протоколов (а точнее, их реализаций) должен заниматься компьютер, а не человек. Пока что, в промышленных масштабах мы так делать не умеем.
https://blog.cryptographyengineering.com/2017/10/16/falling-through-the-kracks/
В скетче появилась возможность ссылаться на объекты из внешних файлов — можно сделать библиотеку компонент и редактировать их махом.
Видео-презентация фичи классная https://www.youtube.com/watch?v=cz1t_oo6k9c
https://blog.sketchapp.com/introducing-libraries-and-smooth-corners-in-sketch-47-2abc5dfc1fb3
У Scaleway серьезные проблемы — серверы уходят в даун и не возвращаются.
Лучше никаких изменений в админке не делать.
https://status.online.net/index.php?do=details&task_id=1050
Интересно, лежащая тильда с этим же связана? http://glavredglavred.tilda.ws, например
Facebook, телеграм, вконтакте — электронные соцсети вызывают привыкание, как наркотик. Если при нажатии на кнопку каждый раз будет вывалиться еда – то мы наедимся и перестанем. Если же еда будет вываливаться только на 7 нажатий из 10 — то мы будем нажимать на кнопку до смерти. Эта же схема используется в игровых автоматах и вообще, азартных играх.
В случае соцсетей вознаграждением является социальное одобрение — лайк, шер, комментарий или вот число прочитавших, как в телеграм-каналах. Ручкой однорукого бандита выступает pull-to-refresh.
Всё это довольно банальные вещи, о которых причастные люди в IT-индустрии давно знают. Большинство соцсетей и мессенджеров зарабатывают на рекламе — чем больше времени вы будете проводить в приложениях, тем больше рекламы увидите. Лучшие умы планеты думают над тем, как бы сделать сервис таким, чтобы вы провели в нем побольше времени.
Интересно, что многие IT-шники «не употребляют свой товар». Отключить ленту фейсбука, отписавших ото всех или просто установив специальное расширение, выключить push-уведомления или хотя бы красненький notification badge — вот минимальная цифровая гигиена наших дней.
Внутри отличной статьи the Guardian интервью с программистом-создателем кнопки Like и с дизайнером, придумавшим Pull to refresh; обязательная отсылка к Олдосу Хаксли, конечно, тоже есть.
https://www.theguardian.com/technology/2017/oct/05/smartphone-addiction-silicon-valley-dystopia
Классная подборка фотографий советских control rooms. В основном это пульты управления гидро и атомными электростанциями. http://blog.presentandcorrect.com/27986-2
Беззастенчиво прорекламирую ещё один свой канал, где я собираю фотки проводочков /channel/cabling
запуск завтра
Google запрещает домашнему помощнику Amazon Echo Show показывать Youtube-ролики, а ведь именно для ютуб-роликов рецептов помощник c экраном и делали. CloudFlare на этом фоне запускает white-label платформу для хранения, кодирования, доставки и проигрывания видео (аналитика и монетизация включены).
Эти новости хорошо сочетаются.
Только сила Youtube, к сожалению, в эффекте социальной сети и всех этих подписках/trending now. На этом поле конкурентов нет и быть, наверное, не может (PornHub не в счет). Яндекс, например, свернул все свои эксперименты с Яндекс.Видео. У меня был культурный шок, когда я увидел, что Яндекс представляет свои сервисы через Youtube Live. Добром такая монополия не кончится.
@
Залез почитать про новый MacOS и обнаружил, что Apple теперь на всех своих фотографиях фотошопит ножки макбуков 🙈
Читать полностью…
Facebook изменит лицензию на React, откажется от «+patents».
React - популярная библиотека для разработки сайтов и мобильных приложений. Ей всего 4 года и она находится в стадии активного роста числа пользователей-разработчиков. Сайт Медузы сделан на реакте, в том числе. Основной разработчик - Facebook (кстати, один из крупных контрибьютеров - русский - Дэн Абрамов).
В 2014 FB изменил лицензию со стандартной Apache 2.0 (можно все включая коммерческое применение) на «BSD (то же самое) + патенты». В середине июля Apache Foundation запретил использование реакта во всех своих проектах. 19 августа фейсбуке опубликовал ответ, где рассказал, какая их лицензия хорошая и вообще, «моя корова, что хочу то и делаю». Вот тут уже пригорело raulk/if-youre-a-startup-you-should-not-use-react-reflecting-on-the-bsd-patents-license-b049d4a67dd2">у многих. Automattic (создатели Wordpress, четверть всех сайтов в интернете) опубликовали публичный отказ от React, пошла движуха в других компаниях и open source проектах.
Смысл patents clause в том, что Facebook сохраняет за собой патенты на технологии, лежащие в основе реакта. Он даёт вам право пользоваться этими патентами, пока вы не подадите на фейсбук в суд за нарушение ваших собственных патентов. Как только вы подаёте на фб в суд за патенты - право пользоваться патентами реакта превращается в тыкву и юристы фейсбука не оставляют от вас камня на камне.
Понятно, что сидящим на крякнутой винде и собирающим клиентские бинарники из GPL-библиотек это все кажется «с жиру бесятся». Но вспомните, какие миллионы долларов и буквально судьбы компаний решались в суде Google v. Oracle (гугл обвинили в копипесте джавы в андроиде), как Linux завоевал своё место под солнцем из-за судебной тяжбы AT&T c FreeBSD (Линус говорил, что не стал бы писать свою ОС, если бы у него был доступ к BSD, а его не было именно из-за судебного injunction) или как Google купил Motorola Mobility как раз из-за патентов.
Интересно в истории другое - вчера вечером Facebook объявил, что отказывается от Patents clause и возвращается к стандартной лицензии, разрешающей коммерческое использование. Умение признавать ошибки так публично заслуживает уважения.
https://code.facebook.com/posts/300798627056246
Кулстори про эстимейты.
IBM взялась запрограммировать систему управления зарплатами госслужащих в Канаде.
Начальная стоимость первого этапа разработки была 5.7 миллиона долларов. За 6 лет контракт претерпел 39 изменений. Стоимость проекта на текущий момент - 185 миллионов долларов.
Система работает с такими глюками, что тысячи служащих получают денег больше, меньше или не получают их вовсе.
Дополнительный шик ситуации придаёт тот факт, что правительство Канады отказывается опубликовать начальную полную стоимость контракта.
Нужен месье (или мистер, у них там в Канаде с этим сложно) Навальный, чтобы рассказать, как хорошо живут топы IBM и лично лапка Джастин Трюдо.
Вот так вот. Дедлайны нарушены, продукта нет. Запуск завтра.
http://www.cbc.ca/news/canada/ottawa/phoenix-ibm-contract-union-pay-government-1.4295827
http://blog.lunarlogic.io/2017/effective-collaboration-superstar-developers/
Читать полностью…
Рассказываем, как устроены подкасты в Медузе https://dev.meduza.io/eff4c68d24f2
Читать полностью…
Помните Equifax?
Они в своем твите случайно дали ссылку не на свой сайт, а на фишинговую страницу. АААА
https://mobile.twitter.com/thesquashSH/status/910512164938665984
Спасибо @Skammer за наводку.
собственная подкаст-платформа для веба, iOS и Android
Читать полностью…
Наблюдаю странное поведение Google Chrome пушей, отправленных через Google Firebase Messaging (через топики). Сообщения либо доходят до части пользователей с задержкой, а не мгновенно, как обычно, либо не доходят вовсе (на моих данных пока сложно сказать точно).
Буду очень благодарен, если кто-то поделится наблюдениями — может быть пожалуемся в Firebase вместе.
Интересно, что самое большое заблуждение о биткоинах — их анонимность.
Одна из основ биткоина — полная прозрачность всех транзакций. Всем видно, кто кому и сколько передал.
Есть два способа сохранить анонимность:
1) купить биткоины анонимно, за наличные (вот самая большая биржа, где можно найти продавца https://localbitcoins.com)
2) воспользоваться миксером — сервисом, который примет монеты от разных людей, смешает их вместе и вернет вам деньги на другой кошелек
У каждого из способов есть проблемы:
1) если в биткоины придет государство — скорее всего оно запретит анонимную продажу монет (борьба с терроризмом, как обычно)
2) доверять миксерам — это как доверять банкам, только хуже.
Есть и анонимные криптовалюты, но угадайте, какие incentives будут у государства, поддерживающиего криптовалюту?
Мне кажеться, у многих компьютерщиков (особенно западных) есть иллюзия, что в цифровом пространстве можно быть более свободным, чем в обычной жизни. У вас, знакомых с Роскомнадзором, надеюсь, таких иллюзий нет.
В протоколе шифрования Wifi-сетей WPA2 обнаружили уязвимость, позволяющую прослушать трафик.
Жирно то, что уязвимость не в реализации конкретного поставщика, а в протоколе, то есть уязвимы вообще все Wifi-устройства.
Хороших новостей две: 1) уязвимость можно пофиксить, не сломав при этом старые, не-обновленные устройства 2) весь мало-мальски важный трафик уже давно шифруется на уровне приложений (смотри HTTPS), так что практическая применимость, кажется, есть только для корпораций и хитрых DNS-атак.
https://www.krackattacks.com/
Заголовок на 10/10
«Издателям не нравится, что AMP слишком быстрый»
На самом деле их бесит, что реклама сверху страницы не успевает загрузиться — человек быстро прочитывает и проматывает баннероместо.
Но всё равно смешно, всё что вы хотели знать о худших представителях медиа-индустрии и рекламе.
https://digiday.com/media/publishers-find-google-amp-loads-fast-ad-views/
Google представил новую модель хромбука — Pixelbook.
- качественная клавиатура
- вес 1.1 кг, толщина 10мм (меньше чем эйры и чуть больше макбука)
- 12.3" 235ppi (четче, чем ретина на всех макбуках)
- 10 часов без зарядки
- полноценные процессоры Intel Core i5/i7
- 1000 USD за 8GB RAM, 128GB SSD (эйр стоит столько же, макбук 1300)
- 1650 USD за 16GB RAM, 512GB SSD (эйров таких не бывает, макбук с 16GB начинается от 1500$)
Ну и главное — у Pixelbook есть карандаш (за 99$)! С обещанным sub-10ms latency, что должно транслироваться в ощущение физического карандаша на бумаге, без какой-либо задержки, прямо как в iPad Pro. Ах да, ещё он умеет складываться в планшет.
Учитывая фокус ChromeOS на безопасности — получается почти идеальный ноутбук за 1000$ для редакторов общественно-политического медиа. Всерьез подумываю закупить пару штук вместо MacBook Air, которые вот-вот выйдут из строя.
- страница в магазине Google Store;
- анонс в блоге Google;
- обзор Verge, где можно рассмотреть крупные фото.
Кстати, если хотите самый красивый, «элитный» телефон, то ваш выбор - Mi Mix, а не рогатый iPhone X.
Полностью керамический корпус космической твердости (его неделю обжигают при 1500 градусах), экран на всю поверхность и кожаный чехол ручной работы в комплекте.
http://www.mi.com/en/mix
Часто запускаете приложение Numbers? Бесит каждый раз выбирать Template blank? Оказывается, есть настройка, которая отвечает именно за это окно ☝️
Читать полностью…
2 дня назад DigitalOcean (модный молодежный хостер) запустил свой object storage, с API как у Amazon S3. Называется DigitalOcean Spaces.
Большинство вызовов AWS S3 работают as is, заменой base url, но некоторые вызовы не поддерживаются.
Хороший tutorial и очень хорошие цены: 5$ в месяц за 250GB хранилища и 1TB трафика, дальше каждый гигабайт хранилища стоит 2 цента, а каждый гигабайт трафика — 1 цент. Примерно в 40 раз дешевле Amazon S3.
Завидую умению рассказать историю картинками. Вот эти две картинки — и передал 70 процентов смысла
Читать полностью…
Статью ещё не прочитал, но вот эта картинка очень-очень хорошая
Читать полностью…
Русские хакеры© представят на BlackHat Europe доклад об уязвимости Intel ME. Уязвимости, позволяющей взломать выключенный компьютер.
Intel ME - специальный компьютер внутри компьютера. Включенный постоянно, пока железо воткнуто в сеть питания, постоянно слушающий сетевые соединения на предмет команд от управляющего центра. Это технология, нужная крупным корпорациям для менеджмента десятков тысяч машин одновременно.
Intel не даёт официального способа выключить Intel ME. Исследователи недавно разобрались, как это можно сделать. Оказывается, Intel добавил такую возможность специально для NSA, но никому кроме NSA не рассказал.
И вот теперь критическая уязвимость на BlackHat. Ну как будто могло быть по-другому.
Учитывая, что в анонсе говорят об ошибке в AMT 11+, речь идет о новой уязвимости, а не об эксплуатации INTEL-SA-00075 от 1 мая.
И да, у AMD то же самое, называется AMD Secure Processor.
Гроб гроб кладбище.
Прямо сейчас часть корневых серверов .io вместо правильных NS-ответов (списка серверов, на которых вы хостите свои DNS-записи) возвращает тыкву.
Из-за этого могут не открываться сайты в зоне .io, например, meduza.io
Всего два месяца назад у них обнаружили уязвимость, через которую можно было сделать MitM атаку на все домены зоны, а теперь вот это. Руки бы поотрывать и передать зону в управление Verisign.
Обсуждение вот тут https://news.ycombinator.com/item?id=15293578
Подкасты Медузы.
2 месяца дизайна, 1 месяц программирования.
Первый проект, в котором:
- мы работаем с большими медиа-файлами (кеш на edge-серверах нашего CDN увеличился почти в два раза) и сохраняем их на клиентах (оффлайн-прослушивание!);
- сделали «богатые» пуши (кнопка play прямо внутри пуш-уведомления!);
- забрали старые выпуски из внешнего сервиса (Simplecast) и импортировали их в собственный бэкенд (и не потеряли статистику по пути);
- сделали свою хитрую бэкенд-статистику, потому что нормальной коробочной статистики в индустрии подкастов не существует в принципе;
- добавили ретину на клиенты (посмотрите на эти прекрасные обложки подкастов);
- позволяем взаимодействовать с материалами прямо с главной страницы, не заходя в них.
Этот список можно продолжать. Это просто самый крупный запуск Медузы на текущий момент. Mobile Web, Desktop Web, Android, iOS, iTunes Podcasts — все платформы поддерживаются в полном объеме.
1 продакт, 2 дизайнера и 8 разработчиков. Магия!
Ilya Krasilshchik Nastya Yarovaya Виктор Ходак
Боря Горячев Anton Byrna Andrey Skopintsev Kirill Balyasnikov Артемий Гарин Max Rovnov Dmitry Zakharov
Вы — лучшие!
Завтра будет обстоятельный пост на medium, как это всё устроено.