ctodaily | Блоги

Telegram-канал ctodaily - запуск завтра

27767

Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю

Подписаться на канал

запуск завтра

66% потерянных флешек содержат вирусы.

Зараженные флешки — мощный вектор атаки. Подкидываешь жертве флешку с вирусами и получаешь полный доступ к её компьютеру.

Такие зараженные флешки позволили проникнуть в защищенную сеть Пентагона (флешка на парковке). Их использовали для успешного проникновения в изолированную сеть иранской ядерной программы, где вирус повредил центрифуги для обогащения урана. Их регулярно разбрасывают около банков в ходе учений по ИБ.

Атаки бывают простые: вордовские документы с макросами и файлы фотки-из-отпуска.exe. Или сложные: специальные устройства (русская(!) вики, оригинальный пост) (там есть ссылки на видео доклада и pdf презентации 2014-го года(!)). Устройства выглядят как флешки, но при этом содержат дополнительные прошивки/драйверы для виртуальной клавиатуры или сетевого устройства. Они могут печатать на вашей клаве и перехватывать весь сетевой трафик. Вот, черт подери, пошаговая инструкция, как самому приготовить такую флешку.

Классный проект по защите от таких атак — программно-аппаратный комплекс из Raspberry Pi и софта. Получившийся мини-компьютер копирует все файлы с потенциально зараженной флешки на гарантированно чистую. Вирусы или аппаратные закладки остаются на оригинальном диске, на вашем — только чистые файлы в безопасных форматах.

Читать полностью…

запуск завтра

Отличная статья про пароли. Правила, требующие специальный символ или цифру в пароле — идиотские. Вообще, страница аутентификации — безумно сложная, граф состояний там на порядок больше, чем можно предположить, если никогда её не делал. https://blog.codinghorror.com/password-rules-are-bullshit/
Ну и классическая картинка про пароли:

Читать полностью…

запуск завтра

Этот канал начался со знаменитой фотографии Маргарет Гамильтон, программиста) и руководителя разработки софта для программы Аполлон. Я не написал, когда в ноябре она получила высшую гражданскую награду США, медаль свободы. Исправляюсь и прикрепляю фото Гамильтон на церемонии награждения (тут много официальных, а здесь Хэнкс не удержался и поцеловал старушку).

Сегодня я хочу рассказать о другой женщине. Пэтти МакХаг (Patty McHugh) разработала материнскую плату для оригинального IBM PC. The mother of motherboard.

Отличный кусочек видео, где она рассказывает о проекте вместе с коллегой: https://youtu.be/XrhDaAmn5Uw?t=18m48s

Читать полностью…

запуск завтра

О скрытой сложности, которую часто недооценивают: https://twitter.com/mathowie/status/838696822793101312

Вот схема, как Slack решает, послать уведомление или нет.

Читать полностью…

запуск завтра

Господи, это божественный твит https://twitter.com/awscloud/status/836656664635846656 (спасибо, Женя!)

Читать полностью…

запуск завтра

У Амазона серьёзные проблемы с облаком, s3 (один из крупнейших сервисов хранения файлов в мире, им пользуются многие стартапы, которыми пользуетесь вы) возвращает 500 во многих регионах, недавно упал EBS в двух регионах. Это происходит уже больше часа - а значит они потеряли право говорить "доступность 99.999%" - это 53 минуты отказа в год.

Весь интернет посыпался как домино: heroku, Trello, slack, Quora, Netflix, you name it.

Интересно, что в status dashboard у Амазона все зелененькое. Ещё интереснее, что сайт Amazon.com работает отлично - там чуваки умеют программировать без единой точки отказа.

За новостями следите в треде на HN, раз Амазон не готов признавать ошибок: https://news.ycombinator.com/item?id=13755673

Читать полностью…

запуск завтра

Помните, какой страшный FB? А вот люди, которые делают AI для него.

https://backchannel.com/inside-facebooks-ai-machine-7a869b922ea7

Читать полностью…

запуск завтра

MS исследует возможность строить контейнерные дата-центры в море, когда пачку серверов и свитчей запаивают в отрезок толстой железной трубы (типа подлодки) и держат под водой. Контейнеры можно добавлять во флотилию по-необходимости, не строя зданий. Ну и серьезная экономия на охлаждении.

Насчет того, что нельзя поменять сломавшийся жесткий диск или сервер (контейнер-то запаян): уже сейчас крупные площадки меняют серверный стойки только целиком, чинить серверы по-одному экономически нецелесообразно.

Основная проблема — моллюски, которые начинают жить на внешней оболочке контейнеров, они мешают охлаждению.

http://spectrum.ieee.org/computing/hardware/want-an-energyefficient-data-center-build-it-underwater

(пошучу, что MS-то поисследует, а сливки соберут, как всегда, Google и Amazon)

Читать полностью…

запуск завтра

Мы с друзьями-коллегами долго ломали голову, зачем все крупные игроки / модные стартапы держат данные в облаке, когда ежу понятно, что железо+админ почти всегда дешевле, чем все эти квадриллионы value added services, разработку и поддержку которых осуществляют очень хорошо оплачиваемые инженеры. Ну и админ вам понадобится в любом случае :troll:.

И недавно дошло - дело ведь в искусственном интеллекте, машинном обучении. Вот тут с Google, Microsoft и особенно Amazon тягаться бессмысленно. Лучшие команды ученых, неограниченные вычислительные мощности. И готовые API, которые доступны за вполне разумную цену. Если вы держите данные у провайдера в облаке. Если нет - тут уже совсем другой разговор, и не факт, что вообще получится.

Вот все и катят свои snowmobileы в гигантские дата-центры бегемотов. Аминь.

Вот Amazon начал и обычным смертным объяснять, как использовать их АПИ, умея только Hello world. https://aws.amazon.com/blogs/ai/welcome-to-the-new-aws-ai-blog/

Читать полностью…

запуск завтра

Разбавим томный рабочий день https://github.com/search?utf8=%E2%9C%93&q=remove+password&type=Commits&ref=searchresults

Читать полностью…

запуск завтра

Scaleway демпингует по-жесткому, сравните их новое Intensive Workloads предложение с аналогом в DigitalOcean.

Читать полностью…

запуск завтра

Страшная статья про Facebook от data-science ученого: http://veekaybee.github.io/facebook-is-collecting-this/

Вкратце: записывают абсолютно всё, ничего не удаляют и эксперименты проводят какие захотят (это самая жуткая часть, на самом деле).

Тот нашумевший эксперимент фб провел ещё в 2012 году, научная статья о нем вышла в 2014. Статья оказалась плохим PR-ом, так что больше мы о таких опытах не узнаем.

Читать полностью…

запуск завтра

Впервые столкнулся с антиспамом/антифишингом в ФБ samat/приключения-одной-статьи-в-фб-71b8b534d5d" rel="nofollow">https://medium.com/@samat/приключения-одной-статьи-в-фб-71b8b534d5d

Читать полностью…

запуск завтра

С пылу с жару, история от гитлаба. Как они на коленке продакшен базу спасали. Случайно выполнили команду удаления базы не на том сервере, а бэкапов, оказалось, нет.

So in other words, out of 5 backup/replication techniques deployed none are working reliably or set up in the first place.

Guys, don't be too hard on yourself. Все мы там были. Несколько месяцев назад аналогичная история произошла в медузе - монга двухлетней давности оказалась без бэкапов. Обнаружили мы это после того, как случайно удалили не тот сервер в админке хостера.

Единственный способ быть уверенным, что все в порядке - попробовать поднять реплику продакшена без продакшена, тестировать не бэкапы, а recovery plan.

Наслаждайтесь: https://docs.google.com/document/d/1GCK53YDcBWQveod9kfzW-VCxIABGiryG7_z_6jHdVik/pub

Читать полностью…

запуск завтра

В описании канала написано: «куда переехать с Parse». Пора ответить на этот вопрос. Спасибо читателю Алибеку @alievalibek, что спросил.

https://dev.meduza.io/куда-переехать-с-parse-push-8d61698f2118

Читать полностью…

запуск завтра

Siempo наконец-то рассказал чуть-чуть о том, что они планируют включить в свой телефон.

Siempo — проект создания смартфона, который будет экономить наше внимание, а не сжирать его. Я далёк от перекладывания ответственности за наше поведение на технологии, но любой предмет обихода участвует в формировании привычек.
Хороший пример — фейсбук. Цель его создателей — максимизировать наше время в приложении. И мобильные телефоны помогают ему, доставляя пуши и днём и ночью.

Или сколько раз мы доставали телефон отправить срочное сообщение другу и зависали в ленте fb/instagram/вк/слеке?

Siempo пытается создать телефон, построенный вокруг идеи “не отвлекать, но давать возможность”. Легко перестать отвлекаться, заменив смартфон на Nokia 1100, но как насчёт мессенджеров? Супер неудобно, но я настроил себе ОС и приложения, чтобы телефон не пищал постоянно, но при этом играл звук на звонки. И все равно я пропускаю какие-то сообщения коллег. Приходится выбирать между “отвлекаться каждые 5 минут” и “тот фрик, до которого хрен достучишься, когда он нужен”.

Не знаю, насколько хорошим получится их телефон, но радует, что кто-то пытается решить эту проблему.

Прототипы, как и рукописи — не горят. Пусть не сегодня, пусть не в этом продукте, но мы ещё воспользуемся этими идеями в будущем.

getsiempo/siempo-experiences-a-sneak-peak-f01ca74056e6" rel="nofollow">https://medium.com/@getsiempo/siempo-experiences-a-sneak-peak-f01ca74056e6

Читать полностью…

запуск завтра

Гугл начал раздавать халявный хостинг в своей облачной платформе. При превышении лимитов они просто берут деньги за ресурсы, использованные сверх нормы. Вот это круто https://cloud.google.com/free/

Конечно, там много ограничений, но для личных проектов, которые иначе сосали по несколько долларов в месяц на хостинг - в самый раз. С добрым утром.

Читать полностью…

запуск завтра

Apple перестал принимать обновления приложений, использующих rollout.io.

Раньше очередь на проверку обновлений приложений в AppStore была неделю-две и люди придумали целый бизнес на том, чтобы выкатывать хотфиксы без проверки. Сейчас среднее время ревью всего 1-3 дня — Apple прикрывает лавочку. Это всегда было против правил, так что нечего удивляться. Expedited review, к тому же, никто не отменял — нужно только уметь внятно формулировать мысли и говорить с живыми людьми.

Читать полностью…

запуск завтра

Отлаживаем новый формат Медузы. Целевое устройство — маленький телефон в центре кадра. На больших экранах — код страницы и сетевые запросы телефона. Чувствую себя хакером из фильмов 🙈

Читать полностью…

запуск завтра

Мы в медузе используем s3 для хранения картинок, но при этом очень агрессивно кешируем все на своём самодельном CDN, так что пока эффекта нет (upd: с европейским амазоном пока всё ок).

Конечно, есть сервисы, где простой недопустим - но их обычно программируют люди, разбирающиеся в термине "единая точка отказа". Всем остальным можно расслабиться и запастись попкорном, такое не часто случается.

Читать полностью…

запуск завтра

Крутая история, разворачивающаяся прямо сейчас: крупнейший CDN CloudFlare (им пользуются тысячи сайтов) сливал личные данные пользователей в паблик в течении месяцев. samat/cloudflare-сливал-данные-пользователей-в-паблик-в-течении-месяцев-c4add72b2143" rel="nofollow">https://medium.com/@samat/cloudflare-сливал-данные-пользователей-в-паблик-в-течении-месяцев-c4add72b2143

Читать полностью…

запуск завтра

Исследователи из CWI и Гугла представили практическую атаку на SHA1.

SHA1 — это хэш-функция, то есть алгоритм, создающий цифровой отпечаток файла. Редактируешь хоть одну букву в гигантском файле и отпечаток меняется радикально, никак не перепутаешь. Файлы большие, а отпечатки — маленькие. Теория информации и теория множеств доказывает, что в такой ситуации всё-таки существуют два разных файла, имеющих один и тот же отпечаток. Вся суть хэш-функций в том, чтобы подобрать второй файл было как можно сложнее, читай практически невозможно.

SHA1 придумали в 1995 году в NSA (том самом агенстве национальной безопасности США) и с тех пор он активно использовался для большинства HTTPS-сертификатов в интернете. В 2005-м году исследователи обнаружили слабость в алгоритме, позволявшую теоретически произвести атаку на коллизии — подобрать второй файл с таким же отпечатком SHA1, что и у заданного первого файла. Начиная с 2010 сертификаты начали по-умолчанию использовать SHA2 или SHA3 — более свежие версии алгоритмов.

Но это всё были умные научные статьи, где пропускаешь формулы, потому что доверяешь научному сообществу и смотришь только на выводы.

Тут же можно самому скачать две разные PDF-ки, у которых совпадают SHA1. Довольно мощное впечатление.

Теперь модно давать крупным атакам имя и делать персональные сайты-объяснения. Встречайте https://shattered.io/

Читать полностью…

запуск завтра

В суперкомпьютерной платформе IBM стоимостью 300 миллионов долларов нашли уязвимость, позволяющую украсть петабайты пользовательских данных. (Тот самый адов бигдата.)

Уязвимость - не многоступенчатый 0-day, а детская ошибка в конфигурации системы виртуализации, про которую можно прочитать в документации. Нашёл не супер хакер, а обычный технарь за вечер.

Это к вопросу о безопасности.

Статья достойна прочтения целиком - сколько они патчили ошибку и сколько заплатили нашедшему - не буду спойлить.

https://wycd.net/posts/2017-02-21-ibm-whole-cluster-privilege-escalation-disclosure.html

Читать полностью…

запуск завтра

Дело в том, что часто программисты сначала пишут пароль от систем прямо в коде, а уже потом переносят его в секретный файл конфигурации. Тот неудобный момент, когда оказалось, что исходный код и вся история его правок доступна всему миру.

Читать полностью…

запуск завтра

Пятничное чтение: мы делаем слишком тяжелые сайты при том, что у многих людей медленный интернет.

Может показаться оторванным от реальности брюзжанием, если бы не пример с AirBnB (сайт ломается при медленном интернете, а ведь именно в путешествии он такой).

Интересная цитата:
When I was at Google, someone told me a story about a time that “they” completed a big optimization push only to find that measured page load times increased. When they dug into the data, they found that the reason load times had increased was that they got a lot more traffic from Africa after doing the optimizations. The team’s product went from being unusable for people with slow connections to usable, which caused so many users with slow connections to start using the product that load times actually increased.

https://danluu.com/web-bloat/

Читать полностью…

запуск завтра

Ищу второго системного администратора в Медузу. Работа удаленная, подробное описание вакансии внутри: https://dev.meduza.io/поиск-второго-админа-operations-engineer-в-команду-медузы-919b9f033f01

Читать полностью…

запуск завтра

(поправил ссылку, у части читателей была 404)

Читать полностью…

запуск завтра

История ещё не закончилась - админы продолжают восстанавливать эту многострадальную базу до сих пор - в прямом эфире! Стабильно 5000 вьюверов. https://m.youtube.com/watch?v=nc0hPGerSd4

Читать полностью…

запуск завтра

Почти 4 месяца назад мы в Медузе запустили путеводители «Атлас» — 10 приложений-путеводителей на 3 платформах — Web, iOS, Android. Вот короткое описание, какие подводные камни мы собрали в процессе реализации проекта: https://dev.meduza.io/как-запустить-20-приложений-за-3-месяца-или-что-такое-атласы-bdb0515748d7

Читать полностью…

запуск завтра

У online.net распродажа аренды серверов. Самые дешёвые уже кончились, но есть ещё много хороших предложений. Online - французский хостер с лучшим на мировом рынке соотношением цена-качество. Во всех серверах включен по-настоящему безлимитный трафик https://www.online.net/en/winter-2017/sales

Читать полностью…
Подписаться на канал