27767
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Поздравляю с запуском!
1. не забудьте настроить nginx, чтобы он делал 308-редирект на https://rtvi.com, а то такая вот тыква для новых читателей, у которых HSTS не подсосался
Хороший список паролей для перебора, причем с годным планом развития и нормальными ментейнерами https://github.com/berzerk0/Probable-Wordlists
Читать полностью…
# История со сломавшимися банками и Роскомнадзором очень показательная.
С одной стороны, «интернет-активисты» и оппозиционеры трубят на каждом углу, что Роскомнадзор (при попустительстве Путина, конечно) сломал банкоматы и платежные карты (а скоро и до самолетов доберется).
С другой стороны, Роскомнадзор утверждает, что он ни в чем не виноват и проблемы с платежными системами с проблемами блокировок не связаны (а МВД уже начало проверку из-за «заведомо ложной информации» о сбоях в платежных системах банков (sic)).
Интересно, что в обоих утверждениях есть часть правды, но полная правда сложнее и интереснее, чем агитплакат.
Итак, есть две новости про проблемы в банках:
1. Хакеры могут заблокировать любой сайт для части россиян, просто прописав нужные IP-адреса для своего, заблокированного Роскомнадзором, домена. Некоторые активисты даже сделали сервис, добавляющий адрес в блокировку в полуавтоматическом режиме. Вчера, в пятницу, кто-то догадался, что в блокировку можно добавить серверы авторизации 3DSecure. Грубо говоря, 3DSecure — это когда для проведения платежа в интернет-магазине нужно ввести код из смс. Не можете открыть страницу, где нужно ввести код — не можете оплатить покупку. Интересная атака, но не то, чтобы конец света: какая-то доля интернет-пользователей, у которых провайдеры не умеют DPI, только интернет-платежи, да и то не все платежи (продавцы могут отключить требование 3DSecure, но тогда они сами будут нести ответственность за фрод, поэтому его редко отключают).
Ответственность за эту дыру должны нести некомпетентные чиновники Роскомнадзора, банки вряд-ли могут что-то изменить. Если вас задела эта проблема — используйте VPN (пока не запретили).
2. В пятницу 9 июня, с 17:00 до 17:40 у Сбербанка что-то крупно сломалось. «Инцидент повлиял на обслуживание (читай сломал) клиентов Сбербанка в устройствах сторонних банков и клиентов сторонних банков в устройствах Сбербанка». Сбербанк владеет 60% всех POS-терминалов в России (это то, куда вы вставляете карту для оплаты покупки в магазине или кафе) + большАя доля россиян пользуются банковскими картами Сбербанка. То есть довольно много людей не могли пользоваться банковскими картами почти час. Аптеки, заправки, тупо покупка билетов в метро — всё это было недоступно владельцам карт. Вот это уже «критическая инфраструктура» и вообще, близко к ЧП.
Доказательств, что этот (второй) инцидент хоть как-то связан с блокировками в интернете — нет.
Я не большой фанат Роскомнадзора, но истина дороже.
Кстати, отличный способ менеджмента большого числа вкладок (sessions management): https://chrome.google.com/webstore/detail/openlist/nkpjembldfckmdchbdiclhfedcngbgnl
Этот экстеншен позволяет выгрузить в текстовом виде адреса страниц со всех вкладок, открытых на данный момент. Потом этот список (по строчке на адрес) можно сохранить в папке проекта как обычный текстовый файл и переоткрыть при необходимости или переслать коллеге. Гораздо удобнее, чем закладки в браузере.
Кстати, дорогие читатели пишут, что Медузу тоже задело - через некоторых провайдеров сайт сейчас недоступен.
Устанавливайте мобильное приложение Медузы и включайте галочку "я в Казахстане или Узбекистане" - так оно на текущий день и есть :/
Я не считаю Роскомнадзор и его сотрудников достойными внимания приличных людей, но у меня есть смешная (и грустная одновременно) картинка про них и привет всей медиа-индустрии.
На картинке ниже — 4 строчки «белого списка», который провайдеры не должны блокировать, даже если IP-адреса этих сервисов есть в списке блокировок (как вам такая формулировка?).
Для тех, кто в танке — в России есть список заблокированных сайтов. Используя его, у любого желающего есть возможность заблокировать любой сайт на территории России. Да, вы всё прочитали правильно. Это возможно благодаря гиганской дыре в архитектуре системы блокировок. Не хочу сейчас вдаваться технические детали и дискуссию, возможно ли вообще построить качественную систему блокировок — можете почитать Владислава Здольникова, он неплохо про это пишет /channel/unkn0wnerror/307.
Вот этот .xlsx файл с именем "Список сетевых адресов" от РКН — это просто апогей некомпетентности и безалаберности. Начиная с формата (xlsx с ручным форматированием для технического списка, серьезно?), продолжая методом (или скорее отсутствием метода) составления содержания и заканчивая детскими ошибками вроде наличия в списке адреса *.google.* (через это можно протянуть любой сайт вообще). Может даже показаться, что они делают это специально, кичатся своей безграмотностью. Но я в это не верю. Скорее всего, они не способны её увидеть. Мне стыдно, что на мои деньги и деньги моих родителей содержится вся эта шушера. Как будто нам мало чего есть стыдиться.
Добротный и душевный лонгрид про историю создания IBM PC http://www.filfre.net/2012/05/the-ibm-pc-part-1/
Читать полностью…
ну что, приехали /channel/newsrgb/1636
а всё жадность — делали уродские сайты с нереальным количеством рекламы, так что без reader mode невозможно читать — вот и получили. Это я про западных коллег по цеху, да и про русских. Одни всплывашки "залайкайте нас в FB" чего стоят.
Супер-введение про видео — сжатие, кодеки, вот это всё. Прямо с нуля всё объясняется (для инженеров-программистов) https://github.com/leandromoreira/digital_video_introduction
Читать полностью…
Как отличить AMP-трафик в Google Analytics?
Оказывается, достаточно посмотреть в параметр Data Source, для AMP он будет равен amp.
https://developers.google.com/analytics/devguides/collection/amp-analytics/#amp_vs_non-amp_traffic
Очень хороший канал; часть в про науку, рекомендую. Пусть вас не пугает название
Читать полностью…
Образцовый security vulnerability landing page http://cloak-and-dagger.org/
В двух словах - для Android можно написать программу, которая, после установки, получит полную власть над телефоном.
Интересно отношение Google (им +/- пофиг и признавать проблему они не хотят). Эх.
Сейчас будет группа постов из прошлого. Неделя была такая, что было не блога - делали конференцию Шторм.
Классное объяснение, как в британский чеках, порой, вместо знака £ печатается знак ú https://shkspr.mobi/blog/2017/05/unicode-is-hard/
Юникод — одна из моих любимых вечных проблем.
Автор пишет, что обнаружил классный канал про нейронные сети, AR (дополненную реальность) и технологии в целом. Все правда, канал чёткий /channel/denissexy (пусть вас не пугает название)
Читать полностью…
Очень крутое видео того, как CCC взламывает систему логина по роговице глаза в Samsung Galaxy S8.
66 секунд и готово!
Рассказываем, как переписали почти всё Android приложение и что из этого вышло (для программистов).
Спойл: статьи открываются быстрее, крешится меньше, программировать проще.
Ура Андроиду!
https://dev.meduza.io/%D0%B1%D0%BE%D0%BB%D1%8C%D1%88%D0%BE%D0%B5-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BC%D0%B5%D0%B4%D1%83%D0%B7%D1%8B-%D0%BF%D0%BE%D0%B4-android-dda1902fff69
Ааа http://www.windows93.net/
Извините, тут больше ничего не скажешь.
Пока хакеры развлекаются тем, что блокируют в России все что ни попадя (последний писк - IP адреса платёжных шлюзов и авторизационных систем банков https://meduza.io/news/2017/06/09/dyru-v-reestre-roskomnadzora-ispolzovali-protiv-platezhnyh-serverov-rossiyskih-bankov), я подумываю о новом хобби - читать исходники OpenBSD https://blog.tintagel.pl/2017/06/09/openbsd-daily.html Реально неплохая идея - можно знатно прокачать C и понимание устройства одной из красивых операционных систем
Читать полностью…
число открытых вкладок, когда пытаешься разобраться с необычным запросом в API фейсбука
слава Аллаху, что у меня мощный ноутбук и большой внешний монитор
Максимально коротко про блокировки:
1. РКН придумал хреновую систему блокировок, которая позволяет злоумышленнику блокировать любой сайт на территории РФ. Индустрия говорила об этом с самого начала, её проигнорировали.
2. Недавно умники начали эксплуатировать эту тему плотно и затруднил доступ к крупным сервисам и сайтам значительному числу обычных людей.
3. РКН теперь играет дурочку и а) перекладывает вину на операторов (хотя виноват он сам) б) в туманных выражениях намекает на то, что ему нужно больше прав - например, потребовать всех установить мощный DPI. DPI, конечно, решение, но он дорогой; это выбьет из рынка часть мелких провайдеров и повысит издержки крупных.
Пост гордости:
Отдел быстрого повесточного программирования в лице Alexander Polivanov, Alexey Prilepskiy и Виктор Ходак сделал карту протестов. Логарифмическая шкала для цветов, качественные геометки, данные, обновляемые в реальном времени.
Хочу отметить скорость разработки, немыслимую ещё год назад.
Важно, что при этом мы продолжаем исполнять основной продуктовый план, то есть это не результат героического аврала, ставящего на холд всю разработку, а промышленный продукт, результат работающей машины по производству технологичного медиа.
Спасибо большое ОВД-Инфо за данные, причем в технологичном формате (API), обновляемые в риал-тайме — очень приятный пример сотрудничества.
https://meduza.io/feature/2017/06/07/protestnaya-karta-rossii
Ааа, инструкция, как настроить фортран, на староанглийском https://www.digitalocean.com/community/tutorials/how-thou-canst-maketh-a-fine-program-in-fortran
Fortran (formula translator) - очень старый язык программирования, на котором написана большая часть серьёзной математических вычислений и библиотек для компьютеров. Несмотря на свой возраст, язык активно применяется до сих пор, совсем недавно NASA делала конкурс, где просила оптимизировать свой софт на фортране хотя бы на доли процента.
Вчерашний студент удаляет продакшен базу данных в первый день работы, во время настройки рабочей среды. CTO винит студента и угрожает юристами. https://www.reddit.com/r/cscareerquestions/comments/6ez8ag/accidentally_destroyed_production_database_on/
Too good to be true, я так и вижу жирного 40-летнего тролля за клавиатурой.
Хорошо:
On the Unhappiness of Software Developers by Daniel Graziotin et al.
'Our results indicate that software developers are a slightly happy population, but the need for limiting the unhappiness of developers remains. We also identified 219 factors representing causes of unhappiness while developing software.'
https://arxiv.org/abs/1703.04993
Восхитительный проект по созданию компьютера из логических деталей вроде конденсаторов.
Текстовый индекс и детальное видео-описание каждого шага. Просто посмотрите интро-ролик, оно того стоит https://youtu.be/HyznrdDSSGM
https://eater.net/
Помните, год назад я давал ссылку на детальное сравнение карт Apple и Google? Автор еще тогда поразил меня качеством анализа и подготовки статьи.
Прочитал сейчас новую статью того же автора и нахожусь под впечатлением. Это почти идеальная статья. Чувствуется труд, вложенный в написание; уважение к читателю.
Встречайте, "как изменились карты Google за год". Спойлер: Гугл - большие молодцы, Эпл тормозит.
https://www.justinobeirne.com/a-year-of-google-maps-and-apple-maps
Ааа, нейросеть верстает: https://www.youtube.com/watch?v=pqKeXkhFA3I&feature=youtu.be
Читать полностью…
В последнее время мне регулярно пишут с предложением разместить рекламу в канале.
Продавать или обмениваться рекламой мне неинтересно. Думаю, я вёл бы канал и без читателей - просто как дневник, а денег предлагают так мало, что даже неудобно продавать ваши глаза и время настолько дёшево.
Я решил об этом написать, потому что только пришло предложение прорекламировать бота-казино. Интересно, что бот не использует платформу платежей, введённую телеграмом (правила страйпа прямо запрещают гэмблинг), а работает через биткоины. О дивный новый мир.
Из интересного ещё приходил неплохой канал про новости технологий (для того, чтобы понять его описание мне пришлось гуглить англицизм(!)) и курсы продакт-менеджеров в нетологии.
Всё, гештальт закрыт. Пожалуйста, не пишите больше с предложением «разместить предоставленный рекламный текст за 500 рубле». Если вдруг обнаружили что-то интересное, что я пропустил — добро пожаловать, @samatg
в тему пушей — вот он, страшный сон разработки веб-пуш-уведомлений (такое появляется у подписчиков, если клиент получит пуш, но не вызовет Notification.show() в течении 30 секунд)
Читать полностью…