27767
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Все вы, наверняка, видели эту картинку.
И на самом деле, операционисты Сбербанка не могут закрыть карточку, выданную другим отделением банка.
Сотрудники не хотят делиться этим знанием, но я сегодня узнал хак - они могут принять заявление, которое в течении 45 рабочих дней обработает отделение, выпустившее карту. Шах и мат, блокчейн.
Идея понятна - ситуация редкая, разумно сделать ручную обработку вместо полноценного программирования и интеграции.
Большая часть работы технаря - найти эту грань, когда пора перестать ставить заплатки и начать программировать.
Netflix год назад начал передавать видео в HTTPS. Подозреваю, что причина была "because we can", но маркетинг нам заливал про приватность. Так вот, чуваки идентифицируют Netflix-фильмы с точностью 99.9% по двум минутам TCP заголовков зашифрованного HTTPS потока. Оказалось, что, последовательность размеров сегментов VBR-сжатия уникальна для каждого видео.
Аналогия для не-компьютерщиков такая: вы подписаны на порно-журналы по почте. Они запакованы в непрозрачные конверты. Атакующий взвешивает каждый входящий конверт в течении 2-3 месяцев и по изменениям веса однозначно определяет ваши интересы. Мета-дата, сэр.
http://www.mjkranch.com/docs/CODASPY17_Kranch_Reed_IdentifyingHTTPSNetflix.pdf
В декабре 2012 года New Your Times выпустил Snow Fall http://www.nytimes.com/projects/2012/snow-fall/ — «лонгрид» со вставками видео и картинок.
Теперь дня не проходит, чтобы мы не увидели какой-нибудь новый «лонгрид» со scroll-hijack и вставками видео. Почти все знаковые рассказы в современных изданиях оформляются именно так.
Вчера NYT выпустил материал про экономику Убера и то, какие психологические приемы он применяет на водителях:
https://www.nytimes.com/interactive/2017/04/02/technology/uber-drivers-psychological-tricks.html
Они разработали движок симуляций убера, который переиспользуется в статье 4 раза. Читатель может играть с параметрами симулятора, переключая галочки и вбивая свои значения. То, что видят лишь избранные сотрудники UBER и некоторые ученые, теперь может посмотреть каждый.
Это — эпический материал с точки зрения выразительных средств.
NYT в очередной раз показал, куда нужно двигаться и задал нереально высокую планку.
Поверьте, через пару лет все приличные разъясняющие статьи на тему экономики будут именно такими.
Чат для взаимопомощи
/channel/ctodailychat
50*50 - это 2500, почти весь канал :)
Последую примеру Ильи. Хотите, чтобы у вас появились аудио-звонки в телеграме? Обновите клиент на последнюю версию и напишите мне @samatg
Я вам позвоню и у вас тоже появится возможность звонить.
Вирусный маркетинг 80lvl от Павла Дурова.
Отличная и очень короткая статья про «телефоны не становятся лучше» со множеством классных ссылок, одна презентация тачскрина из 2006 чего стоит.
Телефоны из стадий «безумства» и взрывного роста перешли в стадию зрелости. Они будут становиться чуть-чуть лучше, но прорывов скорее всего уже не будет — белых пятен почти не осталось (ну только противоударность нормальная, наверное). И это не значит, что Эпл и Андроид обречены. Совсем наоборот, они неуязвимы. Пока не придет следующая инновационная волна и не сметет производителей телефонов так же, как Apple «снес» Nokia и Microsoft. Может быть, это будут голосовые интерфейсы, возможно дело в нейросетях, не знаю. Но будет классно и главное — мы с вами до этого ещё доживем, скорее всего.
http://ben-evans.com/benedictevans/2017/3/22/the-end-of-smartphone-innovation
Классная кулстори про то, как у девушки увели домен, а она его вернула обратно (рискнув 30k$).
Я, например, не знал о существовании ICANN TEAC (Transfer Emergency Action Contact), полезное знание.
ramshackleglam/hackers-stole-my-website-and-i-pulled-off-a-30-000-sting-operation-to-get-it-back-143d43ee3742" rel="nofollow">https://medium.com/@ramshackleglam/hackers-stole-my-website-and-i-pulled-off-a-30-000-sting-operation-to-get-it-back-143d43ee3742
Безумно красивая статья про машинное обучение и нейросети, применительно к почеркам.
Очень много интерактивных элементов, прямо ух.
http://distill.pub/2016/handwriting/
Google представил Developer Preview для следующей версии Android — Android O. Список фич такой, что у любого неравнодушного мобильного разработчика слюнки потекут.
https://android-developers.googleblog.com/2017/03/first-preview-of-android-o.html
- Background limits, чтобы экономить батарейку (прямо как в iOS);
- Notification channels (!), чтобы легко отписываться от неинтерсных уведомлений, не блокируя пуши совсем. В айфоне так вообще проще удалить надоедливое приложение, чем понять, как отключить ему уведомления;
- Picture-in-picture, чтобы смотреть видео в маленьком окне (ох, от видео теперь не скрыться вообще нигде);
- Telecom Framework, чтобы скайпы и прочие вайберы работали также, как родное телефонное приложение, со списком звонков и прочим (уже есть в iOS);
- Low latency audio — качественное аудио было отличительной особенностью iOS, из-за этого есть десятки профессиональных программ-микшеров-пультов для iPad и ни одной для Android — that's going to change;
- и ещё многие другие улучшения.
Ложка дёгтя:
1. Покупатели флагманских моделей получат это обновление в лучшем случае через год-полтора, а массовый дешевый рынок вообще непонятно когда;
2. Производители железа испоганят прекрасную систему своими свистелками;
«Родной» телефон от Google Pixel не имеет этих недостатков, но стоит дороже, чем начальные модели iPhone'ов.
Android уверенно движется к званию самой продвинутой операционной системы. Осталось подрихтовать описанные выше шероховатости и как-то мотивировать Android-разработчиков писать более качественный софт. И тогда держись Apple.
Отличная админская ретро-история: электронные письма не уходили дальше, чем за 500 миль https://www.ibiblio.org/harris/500milemail.html
Читать полностью…
CMS for static site generators! https://www.netlifycms.org
Весь сайт хранится в github, так что можно посмотреть историю правок и откатиться на любую версию страницы.
И Open-source, так что все можно допилить под клиента.
Есть классное демо, можно создать свой сайт и посмотреть, как оно работает.
В идеальном мире сайты-визитки верстаются именно в ней.
Мир с одним только Linux — антиутопия, почти такая же мрачная, как тот культовый первый рекламный ролик Apple (в нем неприкрытая аллегория на IBM https://www.youtube.com/watch?v=OYecfV3ubP8 )
Читать полностью…
Симптоматичный пост про то, как Segment.com уменьшили счет на БД в AWS на 1 млн $ в год. https://segment.com/blog/the-million-dollar-eng-problem/
Облака делают подход "throw more hardware on it" самым простым — они на этом зарабатывают. В какой-то момент ты понимаешь, что счет уж какой-то совершенно неприличный и начинаешь разбираться, что же там происходит в твоих данных да внутри этих магических технологий автоскейлинга.
Красивый heatmap нагрузки на DynamoDB, предоставленный сотрудниками AWS https://segment.com/blog/the-million-dollar-eng-problem/images/heatmap.png
Обратите внимание на красную полоску в зуме, это тормозной партишн, из-за которого они начинали добавлять ресурсы и жечь деньги https://segment.com/blog/the-million-dollar-eng-problem/images/heatmap-zoom.png
Это я к тому, что в 2017 можно отказаться от толковых инженеров, если у тебя есть неограниченный бюджет. В этом случае выбор между «платить амазону» и «платить инженерам» чисто этический. В первом случае мы платим за электроэнергию и rare earth elements, в другом — за интеллектуальный труд. Второе экологичнее.
Классная уязвимость в веб-версиях WhatsApp и Telegram.
Для того, чтобы быть взломанным, достаточно открыть специальным образом подготовленную картинку в веб-версии WhatsApp (кликнуть по ней, просто получить недостаточно). В веб-версии телеграма нужно запустить вирусованное видео и потом открыть его в новой вкладке.
Не знаю, сколько человек пользуются веб-версией этих мессенджеров, но способ атаки очень красивый.
http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/
Но есть и хорошие новости, вот целых два классных инструмента для того, чтобы (учиться) программировать-прототипировать в браузере:
1. Glitch от легендарных FogCreek, создателей Trello.
К классическому функционалу Codepen и JSFiddle, которые позволяют редактировать html/js/css в браузере и тут же видеть результат, добавлена сильная социальная составляющая. FogCreek — крутейшая техническая компания, посмотрите на Glitch сами, оно того стоит. Анонс
2. Sketch от команды Expo. Expo — что-то типа Rails, но для js/react native, чтобы писать кроссплатформенные мобильные приложения на самом модном языке/стеке, не заморачиваясь самому тонкой настройкой инструментов. Анонс. Особо доставляет, что имя совпадает с супер-модным инструментом для дизайнеров Sketch от Bohemian Coding. Удобно, когда 2 разные вещи в одной среде называются одним и тем же именем (на самом деле нет).
Душераздирающая статья про COBOL. Это такой язык программирования из 1960-70х, на котором написано некоторое число банковских систем, которые безумно дорого заменить на свежие. Теперь у директоров банков проблема - специалисты не то, чтобы на пенсии - оттуда ещё можно вытащить человека, предложив достаточно много денег; они умирают от старости. И история компании, которая специализируется на такого рода поддержке. Молодежью там называют сотрудников, которым по 40-50 лет. Какой разительный контраст со смузи-тусовкой.
http://mobile.reuters.com/article/technologyNews/idUSKBN17C0D8
Пронзительно романтичное описание романа между мужчиной и женщиной (и одновременно про приватность и шифрование в сети!)
От первой половины текста невозможно оторваться, это настоящая хорошая проза, редко встречается в блогах.
https://backchannel.com/love-in-the-time-of-cryptography-dd3a74193ffb
Доводить идею до абсурдного абсолюта - хороший способ её проверить. Есть некоторое число фильмов и книг, где люди в частности или человечество в целом записывает, помнит и может мгновенно вспомнить все. Все эти произведения - антиутопии.
Закончу цитатой из прекрасного рассказа о вечной памяти (правда, в разрезе копирайта), "Сенатор, вы когда-нибудь видели жизнерадостного слона?" http://royallib.com/read/robinson_spayder/gizn_korotka_avtorskoe_pravo.html#0
После 50 звонков меня забанило :)
Раздача слонов закончена.
Apple обновил свой whitepaper (техническую статью) про безопасность в iOS, добавил информации по iOS 10.
Для неторопливого чтения, качественные 70 страниц A4: https://www.apple.com/business/docs/iOS_Security_Guide.pdf
У каждой большой корпорации и Open-Source сообществ есть свои языки документации. Мне ближе всего язык FreeBSD и PostgreSQL — краткий и в то же время очень четкий. Microsoft любит чуть по-длинеее, но легко читаемый.
У Эпл очень плотный текст, его приходится читать медленно и внимательно, иначе упустишь важные детали. Мне это кажется минусом — совсем не стараются, чтобы можно было быстро просмотреть и составить план действия. Сиди читай, как художественную литературу. В их защиту скажу, что именно эта статья даёт очень хороший обзор всего богатства и сложности безопасности в современных мобильниках. Достойное чтение.
Небольшое субботнее чтение о том, как мы сделали интерактивную карту хрущевок, которые собираются снести власти Москвы.
Внутри скрейпинг сайтов, геокодирование и Яндекс.Карты. «Пара часов жизни компьютерщиков в новостном медиа».
https://dev.meduza.io/как-мы-полюбили-хрущевки-d46018b9c021
У антиподов уже гигабитный LTE:
http://cellularinsights.com/telstras-gigabit-class-lte-network-the-work-of-art/
Лучшее объяснение гипотезы о симуляции вселенной в коротком комментарии в HN.
Даже если вы не знакомы с этой гипотезой, вы наверняка встречали её производные в популярной культуре, в фильмах Матрица, 13 этаж и других. Она заключается в том, что мир, в котором мы живём - компьютерная симуляция, проводимая на компьютере в мета-вселенной.
В коммметарии элегантно объясняется, к какой физической проблеме сводится эта гипотеза.
https://news.ycombinator.com/item?id=13928971
Гениальный инструмент для проверки браузеров. Ссылки на серверы, которые по-разному нарушают правила использования HTTPS. Просроченные, неверные, просто сломанные сертификаты безопасности - можно проверить любой сценарий и сделать скриншот для образования пользователей https://badssl.com/
Читать полностью…
Представьте, вы открыли в браузере сайт, подготовленный злоумышленником. Браузер запущен под Windows внутри виртуальной машины VMWare. Какова вероятность, что злоумышленник сможет проникнуть на хост-систему? Для этого потребуется вылезти из песочницы Edge, обойти защиту ядра Windows, сломать систему виртуализации VMWare. И все это через Javascript на сайте.
Исследователи из Qihoo 360 сделали именно это на конкурсе в Ванкувере и получили приз в 100k$. Довольно безумно.
Это как провести операцию на сердце через надрез на руке.
https://arstechnica.com/security/2017/03/hack-that-escapes-vm-by-exploiting-edge-browser-fetches-105000-at-pwn2own/
Хорошо описанный кейс с финансовыми отчетами Airbnb.
Близкая мне тема, я писал одну из первых версий отчетности для правообладателей в Zvooq (звучит громко, в реальности это были безумные SQL запросы в PG и небольшие скрипты поддержки).
Финансовая отчетность из данных сервиса — классическая задача, где для программирования нужно серьезно разобраться в предметной области с безумными бизнес-правилами и процессами. Близко к тому, что делают SAP-специалисты :)
Прекрасные новости, Intel объявил о работе по более полной поддержке FreeBSD (и пожертвовании FreeBSD Foundation 250,000$).
FreeBSD — очень личная для меня история, напишу об этом потом как нибудь, а пока лишь скажу, что это супер-полезно для индустрии в целом.
Несмотря на постоянный поток новостей «Yahoo переезжает с FreeBSD на Linux» и «Яндекс перевозит свой поиск FreeBSD на линукс», в мире всё ещё есть большие (десятки и сотни тысяч серверов) инсталляции FreeBSD. Надеюсь, так и будет. Мир с одним только Linux будет
Интересно, как PR Телеграма (видимо, сам Павел) наезжает на PR чекпоинта. При этом сам конструирует свой пост-опровержение так, что кажется, будто уязвимости в телеграме не было вообще никакой (а она была).
- Unlike in WhatsApp, nobody could take over your Telegram account by simply sending you a photo.
- Yeah, they would need to send you a video, lol.
Признаю, запустить вирусованное видео и открыть его в новой вкладке — более редкий сценарий, чем просто открыть фото. Но все равно интересно.
https://mobile.twitter.com/telegram/status/842065151121604611
У меня очередные новости о том, что безопасности в интернете нет (переименовать что-ли канал?). В квази-публичный доступ утекли персональные данные (имя-фамилия, компания, должность, телефон, электронная почта, домашние адрес, доходы самого персонажа и его родителей(!)) 33 (!) миллионов американцев. Дочка D&B продавала эти данные совершенно официально за много-много денег, просто никто не ожидал, что оно протечет в интернет.
Это, наверное, такой закон природы — любая privileged информация рано или поздно оказывается в публичном доступе. Теперь можно одним запросом получить персональные данные 32 инженеров-химиков и 715 intelligence analyst армии США. Удобно. Или делать массовые и при этом высокотаргетированные фишинговые рассылки по тысячам бизнесов в Америке. Как много полезного можно сделать с 55 гигабайтным архивом жирных, сочных персональных данных.
https://www.troyhunt.com/weve-lost-control-of-our-personal-data-including-33m-netprospex-records/
