27767
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Apple принудительно установил обновление безопасности, исправляющее проблему с root-пользователем. Они пользуются этим механизмом второй раз в истории (первый раз в связи с багом в NTP год назад).
Читать полностью…
Сделали полноценное приложение для Apple WatchOS 4!
Можно смотреть главную, читать материалы и добавлять их в закладки.
🛠 Максим Ровнов, 🖌 Настя Яровая
https://mdza.io/ios
«Журналистика DKIM»
https://meduza.io/feature/2017/11/29/medvedev-snova-dast-intervyu-telekanalam-v-pryamom-efire-kak-eto-ustroeno-vse-voprosy-soglasovany
Обратите внимание, как наш редактор угадал, какую строчку из исходника письма нужно удалить, чтобы цифровая подпись сошлась. МАГИЯ
В MacOS High Sierra можно активировать root-пользователя без пароля. Достаточно в любом диалоге «элевации прав» (появляющемся при установке софта или открытии некоторых системных настроек) ввести логин root, оставить поле ввода пароля пустым и нажать несколько раз Unlock.
Защититься можно установив рутовый пароль (sudo passwd root) или вот официальная GUI инструкция https://support.apple.com/ru-ru/HT204012.
Вообще, оставлять свой комп разблокированным рядом с не-доверенными людьми — это уже залет, так что параноики в безопасности.
https://twitter.com/lemiorhan/status/935578694541770752
Нашел сервис, если не хочется палить свой почтовый адрес: https://www.33mail.com
После регистрации вы получаете кастомный домен, например, azaza.33mail.ru. Письма на любой адрес (adres@azaza.33mail.com) в этом домене форвардятся на ваш настоящий ящик.
Дополнительная фишка — можно забанить любой входящий адрес, если на него начинает сыпаться спам.
Upd. Читатели пишут, что в gmail можно добавлять точки в адрес и всё равно он остается вашим (gsamat@gmail.com = g.s.a.mat@gmail.com). Ещё есть один способ с добавлением +имя метки в конце ящика, gsamat@gmail.com = gsamat+metka@gmail.com, тогда письма сразу имеют правильную метку.
Мне нужна была совсем беспалевность, но хак классный.
Да, такое часто бывает! Что поделаешь, нейросеть…
Читать полностью…
Кстати, Артемий любит возиться с автомобилями.
В прошлую его командировку в Ригу мы поспорили, что его ютуб-канал про автомобили не наберет 5000 подписчиков к 5 июня. Я очень хочу проиграть.
https://www.youtube.com/watch?v=skadYJcXBUU&lc=
Добавили в AMP-версию «подвал под материалами», собираемый редакцией как главная.
Да, это «читайте также» в мире AMP.
https://www.ampproject.org/ru/docs/reference/components/amp-list
Кстати, интересная деталь — как мы храним токены для соцсетей. Их, как вы понимаете, дофига. Хочется:
1. иметь возможность легко посмотреть и отредактировать токены в рантайме;
2. иметь защиту от того, чтобы запостить со стейджинга в продакшен.
Мы решили хранить их в основной базе данных проекта (pg), но с перфиксом env (production | staging). Таким образом, эти токены легко редактировать real-time. При этом нет опасности, что при импорте продакшен данных на стейджинг мы начнем фигачить тестовые статусы в основной паблик. И ноль дополнительных зависимостей. Достаточно элегантно, мне кажется.
Буду очень рад, если кто-то подскажет простую централизованную систему хранения секретов. Сейчас мне кажется, что, ничего проще Vault от HashiCorp нет и в любой мало-мальски большой компании без этой дополнительной зависимости (и сложности) не обойтись :(
«Триумф коробочек или обсессия порядком». Думаю у всех техдиров есть желание разложить всё по полочкам. Разбирать кладовки — мой guilty pleasure
Читать полностью…
Тот момент, когда больше чем через год узнаешь, что твой провайдер не имел кабельного доступа в здание и предоставлял интернет через радиоканал 🙈
Читать полностью…
Больше года не могли починить перетаскивание в Android вебвью. Наконец сделали, даже запилили пруф на радостях. Что там за магия — следующим сообщением.
Читать полностью…
Трансляция одновременно в ютуб, фейсбук и в вк
https://www.youtube.com/watch?v=5dZqCKdos0A
« — Чувак делал похожие штуки, но стесняется вам написать, есть ли работа? Вот его резюме…»
Вот это я понимаю командная работа 💪
(работа нашлась)
Главный китайский мессенджер WeChat при регистрации предлагает включить голосовую авторизацию. Прямо как в старых фильмах про будущее.
Читать полностью…
Интересно, что watchOS скриншоты выглядят максимально уродски — кажется, что всё впритык. При этом у часов есть свои физические рамки (поля), так что на самом деле воздуха достаточно. Такой вот нюанс, непривычно смотреть на макеты в скетче.
Читать полностью…
Понял, что всё движется в правильную сторону, когда услышал сегодня от одного редактора «— мы с тремя кликами и нашей конверсией не получим ни одного шера!», а от
заместителя главреда, обсуждающего баги в игре «— попробуем воспроизвести».
EFF (в лице Кори Доктором) разразился длинной (23 экрана!) статьей «почему DRM это плохо».
Идея в том, что технологическая часть менее важна, чем закон, который запрещает ковырять DRM.
Во первых, по этому закону вполне себе можно посадить любого исследователя безопасности, ищущего уязвимость в системе. Особенно если он постит свои открытия о стыдных ошибках в твоем продукте у себя в твиттере (см предыдущий пост).
Во вторых, корпорации используют его для борьбы с конкурентами. Шифруешь свой контент с помощью DRM -> если кто-то его расшифрует (а это обычно не сложно) -> тут же подаешь на него в суд.
Этот закон позволяет перевести многие битвы из технической плоскости в юридическую.
https://www.eff.org/deeplinks/2017/10/drms-dead-canary-how-we-just-lost-web-what-we-learned-it-and-what-we-need-do-next
В июне 2018 Верховный суд США вынесет решение по делу серийного грабителя, которое сильно повлияет на нашу жизнь.
Мистер Карпентер парковался в угнанной машине около магазина электроники. По его команде в магазин входа группа налетчиков и угрожая оружием собирала новые смартфоны в мешок.
Главаря сдали его же подчиненные, но копы также представили суду данные о местоположении телефона Карпентера. Он находился рядом с местами ограблений во всех инкриминируемых ему случаях. Мобильные операторы предоставили копам (без решения суда) данные о местоположении за 127 дней. Защита утверждает, что это было нарушением 4 поправки к конституции (незаконные обыски без решения суда запрещены).
Сейчас Карпентера защищают юристы из ACLU (те, кто постоянно борются за нашу и вашу свободу). У защиты есть шанс. В деле, рассмотренном Верховным судом в 2012 шла речь о GPS трекере, который копы навесил на тачку подозреваемого и трекали его передвижения в течении месяца. Тогда суд признал это незаконным, мол не имели копы права вешать трекер на частную собственность. Важно, что 4 судей выступили с общим особым мнением. Судьи писали, что у людей на улице есть разумное ожидание конфиденциальности - раньше было технически невозможно следить за передвижениями человека так детально и так долго.
При этом номера, по которым вы звоните, не являются конфиденциальной информацией, согласно решению верховного суда от 1989 года. Почитайте это решение, оно очень понятное и интересное http://caselaw.findlaw.com/us-supreme-court/442/735.html В нем утверждается, что при наборе номера мы понимаем, что этот номер узнает телефонная компания и у нас нет разумного ожидания, что информация о наборе номера конфиденциальна. То есть речь идёт об ожиданиях общества, а не о какой-то формальной конструкции!
Интересно, ожидает ли американское общество, что их перемещения - это их личное дело, или нет?
https://www.nytimes.com/2017/11/27/us/politics/supreme-court-fourth-amendment-privacy-cellphones.html
А вот Guardian экспериментирует с подкастами в Chrome под Android. В iOS у всех есть предустановленное приложение Podcasts, в Android — нет (да и вообще нормальных плееров нет).
https://medium.com/the-guardian-mobile-innovation-lab/podcasts-without-apps-8b7a9c129e40
Apple продолжает гнобить web apps, интересно, сломается он когда-нибудь или нет?
Сделали картографическую игру с Альфа-Банком — вводишь свой текущий адрес и он кидает тебя в аналогичное место в городе мечты https://meduza.io/games/uznayte-gde-by-vy-zhili-v-gorode-svoey-mechty
Проект с использованием Google Maps — каждый раз страх не влезть в бесплатный лимит «100 тысяч API запросов в сутки».
Позвонил в этот раз в гугл, спросил — что делать, если запросов больше. Говорят, лицензия на миллион запросов в год (не в сутки) стоит 10 тысяч евро. Теперь вы тоже об этом знаете 🙈
Наш Android-разработчик Артемий сделал виджет для приложения Медузы ❤️
Показывает курсы $, € и биткоинов, ленту новостей можно скроллить внутри, а высоту — регулировать.
Интересное открытие — Android не поддерживает кастомные шрифты в виджетах, так что мы руками рендерим новости и передаем в виджет картинку 🔫
Виджет экономно относится к батарейке телефона — обновляется только при выключении-включении экрана.
https://play.google.com/store/apps/details?id=io.meduza.android
Провели фейслифт шер-картинок.
🖌 Настя Яровая 🛠 Кирилл Балясников, Боря Горячев
Отдельное спасибо ВК, что начали поддерживать мета-тег vk:image. Это позволило сделать специальные, более узкие картинки для Вконтакте, а то стандартные фейсбучные там обрезаются.
Продолжаем изобретать велосипеды. В этот раз мы запрогали свой собственный buffer.com с преферансом и поэтессами.
Антихайп — система постинга в соцсети. Вы видите перед собой столбцы соцсетей, в которые можно «затянуть» материалы Медузы (и написать подводку, если это не сделал автор материала прямо на странице редактирования статьи). Готово. Периодичность постинга регулируется, при необходимости можно отправить пост в соцсеть мгновенно. И да, оно умеет работать с видео, то есть заливаешь видео в Монитор (основную админку Медузы), затягиваешь его в Антихайпе и вуаля — нативное Facebook video уже в лентах подписчиков. Пока что поддерживаем Facebook, Twitter и Вконтакте.
Elixir + React в руках Бори Горячева и Никиты Комаркова творят чудеса. Это один из проектов, которые не только запрограммировал, но и придумал Боря. Также, в этот раз, у нас был выделенный член редакции в команде — Султан отвечал за тестирование и обсуждение продукта с редакцией.
Подробное описание: https://medium.com/meduza-how-it-works/c8e1b76b0983
Выпустили книгу, сделали для неё лендинг https://special.meduza.io/book/
Хороший повод рассказать, как мы делаем такие страницы.
У нас есть git-репа static, пуш в master-ветку которого триггерит пулл на сервере, раздающем всю папку в meduza.io/static. Так отдаются страницы типа «О проекте», много разных временных файлов и спецпроекты.
Если спецпроекту нужен красивый адрес — создается nginx роут в домене special.meduza.io. Пример — конференция «Шторм» и книга «Как жить».
Обратите внимание, мы не используем отдельные домены для каждого проекта. Заведении новых доменов, выпуск SSL-сертификатов, включение anti-DDoS механизмов, когда нужно быстро переключить IP адреса — слишком много задач для автоматизации. В результате вся user-facing Медуза живет на двух доменах: основной meduza.io для читателей и mdza.io для коротких ссылок.
Каждая игра — отдельное приложение. Они встраиваются внутрь сайта Медузы как iframe. При этом мобильные приложения открывают игры как webview. Получается следующая схема: нативное приложение → webview с сайтом → iframe с игрой.
При начале дрега игра посылает postMessage сообщение сайту, он в свою очередь дергает java через jsBridge. Приложение блокирует скролл для этого webview. На дроп прокидывается обратное событие на разблокирование скролла.
И всё это — для красивых тестов.
Вот и первое открытие: в фб можно было выбрать continuous stream.
У обычных лайвов лимит продолжительности 4 часа, у continious live — без ограничений. При этом continious stream не даёт пуш уведомлений и продвинутой статистики вроде concurrent viewers.
Стандартный софт для трансляций (vMix) имеет встроенную опцию трансляции в фб, но создает обычный лайв и не даёт выбрать continuous stream. Имейте в виду.
Готовимся к онлайн-трансляции сборки LEGO в прямом эфире
Читать полностью…
Уровень защиты не супер, но от случайных прохожих защищает ок и работает независимо от железа, никакие особые сенсоры не нужны.
Читать полностью…
Дал интервью про работу.
В тексте нет активных ссылок, а Deadline реально классная книжка, рекомендую (Букмейт, МиФ).