27767
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Google купил Fabric, как Facebook в своё время купил Parse. Готовьтесь к закрытию :trollface:
Читать полностью…
Короткая (14 страниц A4) и познавательная статья про безопасность в гугле: https://cloud.google.com/security/security-design/
Проходится «по верхам» обеспечения безопасности такого монстра, как Google.
Мне было особенно интересно про аутентификацию/авторизацию на уровне общения сервисов друг с другом (внутри есть больше подробностей про это):
Each service that runs on the infrastructure has an associated service account identity. A service is provided cryptographic credentials that it can use to prove its identity when making or receiving remote procedure calls (RPCs) to other services. These identities are used by clients to ensure that they are talking to the correct intended server, and by servers to limit access to methods and data to particular clients.
Логотип менять не будем! http://blog.trello.com/trello-atlassian
Читать полностью…
Вообще, я завис на этом сайте leapsecond. Вот посмотрите сами: http://www.leapsecond.com/great2005/
Хочется больше таких сайтов.
Доброе утро и с Новым годом!
Помните про leap second? /channel/ctodaily/43
У инженеров Cloudflare была вот такая встреча Нового года https://www.cloudflarestatus.com/incidents/1fczgjmknplp
🌲✨🌞
Переустановил MacOS. Обнаружил, что можно не мучиться с ручной установкой Android Platform Tools (в который входит adb), а сделать brew install android-platform-tools.
Век живи век учись.
Вообще, эта ситуация, когда компьютер начинает тормозить и помогает переустановка — очень напоминает мне моё детство c регулярной переустановкой Windows. Тут то же самое. Вот, например, wifi после просыпания, включался секунд 30; после переустановки — включается мгновенно. Проверил по бекапам — этот МакБук наливался ровно год назад. Back to the Future.
Если у вас тормозит Макбук — можете попробовать, возможно, что выкладывать много тысяч за новый совсем необязательно.
Это случилось: наша админка (монитор) очень сильно интегрирована со слеком и прямо сейчас у слека проблемы. Из-за этого проблемы у нашего монитора. Но это ещё не всё — проблемы ещё и у нашей системы сбора ошибок Bugsnag. Ой-вей, SaaS мир. Задача на следующий год — сделать прокси-сервис для всех внешних зависимостей.
Читать полностью…
Просто прочитайте это письмо.
Пока читаете - не забывайте, что его написал основатель и, на тот момент, руководитель Microsoft; самый богатый человек планеты, Билл Гейтс.
Письмо Гейтса начинается на 3 странице, последовавшая следом переписка самых крупных боссов Майкрософта - выше. Письма были опубликованы в рамках того самого антимонопольного судебного дела против MS.
http://blog.seattlepi.com/microsoft/files/library/2003Jangatesmoviemaker.pdf
Конец - это когда ты перестаешься пользоваться своими собственными продуктами как обычный потребитель. У Билла с этим было все в порядке. А я, пожалуй, опять заставлю себя походить с двумя телефонами (андроид) и активно пользоваться приложениями Медузы.
Как всегда - у MS были все технические решения, но "дожать" полноценный продукт (нормальный стор с автоапдейтом) они не захотели или не смогли.
Как жалко, что нет оставшихся писем. Когда они ответили Биллу? Что ответили?
Свежее обновление MacOS и Google Chrome перестали доверять сертификатам от WoSign и StartCom. Думаю, любой стартап в какой-то момент своей истории использовал бесплатные сертификаты от StartSSL, так что событие ого-го.
История не новая — у чуваков было очень много багов, позволявших обходить валидацию доменов целиком и выпускать сертификаты для совершенно левых доменов (как насчет левого сертификата для github.com?). Последней каплей стало то, что WoSign купил StartCom и никому об этом не сказал, а когда это всплыло — пытался скрыть. Решение гугла было объявлено 31 октября, решение Apple — 30 ноября и вот оно постепенно доезжает до конечных пользователей. Если ещё используете эти сертификаты где-либо — пришло время их менять прямо сейчас.
Хорошо, что теперь уже нормально работает Let's Encrypt. Для массового продакшена его использовать рано, но для side-проектов и временных доменов — идеальное решение.
Пишу, потому что сегодня сам обжегся — у некоторых редакторов отвалились сокеты во внутренней админке. Конечно, основной EV (extended validation) сертификат Медузы куплен у Comodo. Но сервер сокетов, для скорости, расположен на отдельном секретном домене, в обход основного CDN Медузы. Сертификат для этого домена мы, по привычке, выпустили у StartSSL, и вот результат.
Прекрасная статья про ньюансы Unicode https://eev.ee/blog/2015/09/12/dark-corners-of-unicode/
Есть целая категория компьютерных статей, при чтении которых, после каждого абзаца думаешь: "ну все, у всего должен быть предел"; а потом замечаешь, какой маленький в верхнем правом углу скроллбар. 👹
Весь текст целиком состоит из панчлайнов и интересных деталей вроде реализации эмоджи-флагов: это две пары символов, где первый символ в паре - специальная метка, а второй - буква из двубуквенного ISO-кода страны 🇷🇺
Интересно, кто меня читает. Ответьте, пожалуйста, вы «компьютерщик» (IT-специалист, программист, ops etc.)?
Читать полностью…
Сегодня день открытий.
Любое приложение, установленное на Android-телефон, может прочитать primary email-адрес, привязанный к этому устройству.
Privacy? Не, не слышали.
Ссылочка: http://stackoverflow.com/questions/2112965/how-to-get-the-android-devices-primary-e-mail-address
Хочу поделиться своим тулчейном для json. Это один из основных форматов данных в Медузе: 1, 2, 3.
Для предпросмотра файлов мы используем хром-экстеншен JSON Formatter.
Для разбора json в командной строке раньше я перегонял json файлы в yaml с помощью json2yaml и дальше парсил yaml с помощью cut, sed и grep.
Теперь пользуюсь jq — это grep для json’а. Отдельно доставляет, что проект написан на чистом С и не имеет внешних зависимостей.
Вот ещё красивое поделие: jid. Описание в гифке:
Не техническое, а скорее про новости; я ведь работаю в новостной компании. Мнения - личные, не Медузы.
https://mondaynote.com/facebooks-walled-wonderland-is-inherently-incompatible-with-news-media-b145e2d0078c#.fsmbn6ba5
Это отличная статья про то, что фб не выгодно вырезать фейковые новости и он не будет этого делать. Он скорее удалит все новости целиком. На мой скромный взгляд, это будет хорошее решение.
В жизни и так слишком много filter bubbles, так что мы почти не знаем, от чего страдают и о чем мечтают люди, отличные от нас. Я хочу жить в мире, где технологии разрушают filter bubbles, а не усиляют их, как сегодня. Вот классическое объяснение термина filter bubble, если он вам не знаком.
Wiki https://en.m.wikipedia.org/wiki/Filter_bubble
YouTube (9min) https://www.ted.com/talks/eli_pariser_beware_online_filter_bubbles
Хорошее новостное медиа - как раз про выход из зоны комфорта. Потреблять новости из современной социальной сети - не лучшая идея.
Google открыл свои серверы точного времени (NTP серверы) для публичного доступа и для високосной секунды в конце 2016 они будут передавать smeared time.
Я начал читать статью и провалился в кроличью дыру. Системы отсчета времени, часовые пояса и проблемы компьютерщиков с ними — дико интересная тема.
Наконец-то разобрался, что такое UTC: секунды совпадают с TAI — атомным часам, идущим без остановки с 1958 года. Мы добавляем или вычитаем високосную секунду каждый раз, когда неоднородность вращение земли грозится сделать разницу между UTC и астрономическим временем UT1 больше 0.8 секунд.
Я открыл для себя существование «международной службы вращения Земли», выпускающей официальные указания о високосной секунде за 6 месяцев до её введения.
Вспомнил, как в 2012 году из-за ошибки в ядре линукса сломалось множество популярных серверных программ и, в свою очередь, популярные сайты, Reddit например.
Amazon Web Services, Google и прочие крупные провайдеры нашли элегантное решение проблемы. Вместо добавления секунды в конце года, их серверы точного времени будут идти медленнее за некоторое время до и некоторое время после високосной секунды.
Очень красивое решение сложной задачи.
Вот классная статья с историей вопроса и обсуждением, что пора бы уже отвязаться от вращения Земли и пользоваться нормальным атомным временем TAI.
Ghost объявил грант для журналистов. Для каждой из трех выигравших команд «сделают сайт» и будут помогать со всеми техническими вопросами core-разработчики платформы, которая грозится стать следующим Wordpress — стандартным ответом на вопрос «я пишу тексты, как мне сделать сайт?».
Очень хороший ход: ghost поймет, что нужно редакторам, а хорошие журналисты получат мощную техническую поддержку. Мы все будем пользоваться ещё более крутым движком.
https://ghost.org/journalism/
Бесило копировать скриншоты из Androidа, нашел комфортный для себя способ:
1. Удаляем все старые скриншоты adb shell 'rm /sdcard/Pictures/Screenshots/*'
2. Делаем скриншоты
3. Копируем папку screenshots куда хотим: adb pull /sdcard/Pictures/Screenshots Downloads
Отличная статья, как правильно задавать вопросы: https://jvns.ca/blog/good-questions/
Кстати, часто достаточно попытаться сформулировать вопрос, для того, чтобы самому догадаться до ответа (смотри метод резиновой уточки).
Краткое содержание статьи в картинке:
Чтобы не начинать год только с плохого: вот музей атомных часов Hewlett-Packard. Наверное, все программисты знают о знаменитых научных калькуляторах HP (вот их музей). Для меня было открытием, что HP является ещё и крупнейшим коммерческим производителем атомных часов.
Точное измерение времени — одно из важных достижений человечества.
На основе атомных часов работают системы геопозиционирования (GPS). Интересно, что предыдущее технологическое поколение часов было создано именно для навигации: более-менее точные портативные часы были придуманы в 1761 году для измерения долготы кораблей в море.
Почитайте эту главу Википедии про Джона Гаррисона. Это просто приключенческий роман, включающий конкурс на много миллионов фунтов, попытки правительства зажать приз и даже личное вмешательство английского монарха.
На фото сверху: H4 - первые в мире точные механические часы, не боящиеся качки; снизу: HP 5071A - самые распространённые атомные часы.
Доброе утро.
PHPMailer (этой библиотекой для отправки писем пользуются буквально миллионы сайтов) содержит критическую уязвимость Remote Code Execution из-за забытого эскейпинга поля from.
Вкратце: если сайт даёт вписать адрес отправителя письма и использует уязвимую библиотеку для их отправки — то атакующий сможет выполнить любую команду на сервере с правами сайта (например, удалить сайт или отправлять с него спам).
Мне особенно интересны 2 момента:
1. Dawid Golunski сообщил об ошибке публично 25.12.2016, но пока не пишет, в чем конкретно заключается уязвимость и не показывает PoC код [proof of concept, пример кода, эксплуатирующего уязвимость]. Это, очевидно, сделано для того, чтобы скрипткиддисы [малокомпетентные хакеры (kiddie — ребенок)] не использовали его пример как инструкцию к действию. При этом понять, в чем заключалась уязвимость, можно просто посмотрев на коммит, исправляющий эту ошибку.
2. Прикольно, как относятся к своим пользователям разные проекты. Drupal (популярная CMS, движок для сайта) не включает в себя PHPMailer напрямую. Тем не менее, они выпустил PSA (public security advisory, условно письмо АААА всем обновляться срочно) через 12 часов после публичного описания ошибки, Joomla сделала это через сутки, а Wordpress не написал ничего до сих пор. Я попытался найти публичный security advisory list для Wordpress и угадайте что?
Очень классный комментарий одного эксперта — «обновите свой сайт сами, пока это не сделал за вас хакер». Обычно взломщики чинят уязвимости, через которые проникли в систему, чтобы последующие атакующие не мешали спокойно эксплуатировать жертву.
Как много хакнутых сайтов мы увидим в ближайшие месяцы?
Зачем уметь программировать? Мне кажется, основная причина - иметь возможность сделать вот так: https://www.facebook.com/scythargon/posts/1230272307038271
Это ведь прекрасно, примерно как самому починить велосипед у бабушки в деревне и все лето кататься.
Конечно, для успешной работы программистом важны также настойчивость, способность корпеть над скучными штуками. Но этот экзерсис наполняет радостью мое израненное буквами в интернете сердце.
Мне кажется очевидным, что криптографию нужно использовать готовую, но как мы видим на примере телеграма — с этим согласны не все 👀 https://eprint.iacr.org/2015/1177.pdf
Хорошая вводная статья о том, сколько всего нужно держать в голове при программировании криптографии http://loup-vaillant.fr/articles/rolling-your-own-crypto
Кстати, приложенная классическая картинка отвечает на популярный вопрос «как разобраться в *** за 21 день»
У богов проблемы — слишком шикарно живут: офис за 35 миллионов долларов, современное искусство на стенах, частые перелеты, проживание в Ritz Carlton и слишком много программистов. Ну и компаниям продаются не достаточно хорошо.
Помню, как года 4 назад в Яндексе был github enterprise на 100 или 1000 аккаунтов и контролировалась их выдача очень строго — слишком дорого переходить на следующий tier.
Я в какой-то момент в Медузе офигел от скачка цены за Github при переходе с серебряного аккаунта на золотой и начал вести рекламные проекты (~100 новых реп каждый год) в bitbucket. Github уже сменил механику прайсинга, но я с тех пор знаю, что не гитхабом единым. А теперь новым модным становится Gitlab.
Интересно читать, как Blooomberg отчитывает Github за транжирство и указывает, что, мол, конкуренты не дремлют. Google Docs for programmers, объясняют они суть бизнеса для своей аудитории.
Красивая подборка фракталов (математику можно промотать) http://sunandstuff.com/mandelbrot/about/
В корне этого сайта очень крутой скролл-проект про масштабы солнечной системы http://sunandstuff.com
Написал краткий разбор, заводить ли свой VPN-сервер и инструкцию, как это проще всего сделать.
samat/%D1%81%D0%B2%D0%BE%D0%B9-vpn-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%BF%D0%BB%D1%8E%D1%81%D1%8B-%D0%BC%D0%B8%D0%BD%D1%83%D1%81%D1%8B-%D0%B8-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-3e0ec97c129e#.6ymspkr63" rel="nofollow">https://medium.com/@samat/%D1%81%D0%B2%D0%BE%D0%B9-vpn-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%BF%D0%BB%D1%8E%D1%81%D1%8B-%D0%BC%D0%B8%D0%BD%D1%83%D1%81%D1%8B-%D0%B8-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-3e0ec97c129e#.6ymspkr63
Неприятно, что поводом служит командировка в Москву, а не поездка в Иран, например.
В рамках программы «вчерашние новости уже сегодня»:
Утилита для генерации программ на Java https://takipi.github.io/java-bullshifier/
Такая же для С https://embed.cs.utah.edu/csmith/
Большие случайные программы нужны для проверки компиляторов, линковщиков, анализаторов и прочих отладчиков кода. Много вызовов функций, вложенность во вложенности, сложные структуры данных — стресс-тест всей инфраструктуры обеспечен.
И во вторых — это просто красиво. Футурологи рассказывают нам о роботах, программирующих роботов — а оно уже давно в продакшене.
Пользуетесь сервисами Яндекса для бизнеса? Этот пост для вас.
Только что в комметариях в фб у Тани Бибиковой (infotanka) произошло удивительное:
https://www.facebook.com/photo.php?fbid=10154281029159597&set=a.10151249640244597.475532.772799596&type=3
13 октября удалились все корпоративные ящики «Лаборатории данных» в Яндекс.Почте, без возможности восстановления, техподдержка отмораживается. В комментарии сразу же пришли друзья-яндексоиды, подключилось телефонное право.
6 декабря (!) Таня публикует описание, что случилось:
> Мы хотели дать админские права коллеге с адресом username@dl.ru, но оказалось, что Яндекс умеет только username@ya.ru делать админами. В итоге приглашение улетело левому чуваку, он пришёл и, не разобравшись, всё удалил.
Но самый огонь в том, что в комментариях нет никого из Яндекса, кто бы объяснил, что они сделали, чтобы такого не случилось в будущем. 🔥
Бесплатный сыр.
Пора закупаться флешками и SSD дисками, они будут дорожать весь 2017 год.
Хорошая статья-разбор, почему это происходит.
http://www.tomshardware.com/news/ssd-hdd-shortage-nand-market,33112.html
Ох, не ударило бы это по нашим любимым дешевым SSD-хостингам.
Amazon представил флешку в форм-факторе грузовика.
Вместимость одной машины - 100 петабайт (1 петабайт = тысяча терабайт, нормальный ноутубк хранит от половины до 2 терабайт). Сервис придуман для переноса безумных объёмов данных из собственного дата-центра в амазоновское облако и доступен только в некоторых штатах в Америке.
На одной из моих прошлых работ коллеги летали с жесткими дисками с музыкой из США в Москву - это быстрее и дешевле, чем арендовать трансатлантический кабель.
Идея старая, про неё есть даже бородатый админский анекдот (буквально описание представленного решения), но вживую всё равно впечатляет.
https://m.youtube.com/watch?v=8vQmTZTq7nw
Мы с Антоном решили закрыть вопрос кастомных шрифтов в Медузе и потратили некоторое время на то, чтобы разобраться, как же их правильно подключить. Получилась небольшая статья:
https://medium.com/meduza-dev/как-использовать-кастомные-шрифты-в-вебе-и-не-сойти-с-ума-9ba8a2998bcc#.x3badoe6s