27844
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
CMS for static site generators! https://www.netlifycms.org
Весь сайт хранится в github, так что можно посмотреть историю правок и откатиться на любую версию страницы.
И Open-source, так что все можно допилить под клиента.
Есть классное демо, можно создать свой сайт и посмотреть, как оно работает.
В идеальном мире сайты-визитки верстаются именно в ней.
Мир с одним только Linux — антиутопия, почти такая же мрачная, как тот культовый первый рекламный ролик Apple (в нем неприкрытая аллегория на IBM https://www.youtube.com/watch?v=OYecfV3ubP8 )
Читать полностью…
Симптоматичный пост про то, как Segment.com уменьшили счет на БД в AWS на 1 млн $ в год. https://segment.com/blog/the-million-dollar-eng-problem/
Облака делают подход "throw more hardware on it" самым простым — они на этом зарабатывают. В какой-то момент ты понимаешь, что счет уж какой-то совершенно неприличный и начинаешь разбираться, что же там происходит в твоих данных да внутри этих магических технологий автоскейлинга.
Красивый heatmap нагрузки на DynamoDB, предоставленный сотрудниками AWS https://segment.com/blog/the-million-dollar-eng-problem/images/heatmap.png
Обратите внимание на красную полоску в зуме, это тормозной партишн, из-за которого они начинали добавлять ресурсы и жечь деньги https://segment.com/blog/the-million-dollar-eng-problem/images/heatmap-zoom.png
Это я к тому, что в 2017 можно отказаться от толковых инженеров, если у тебя есть неограниченный бюджет. В этом случае выбор между «платить амазону» и «платить инженерам» чисто этический. В первом случае мы платим за электроэнергию и rare earth elements, в другом — за интеллектуальный труд. Второе экологичнее.
Классная уязвимость в веб-версиях WhatsApp и Telegram.
Для того, чтобы быть взломанным, достаточно открыть специальным образом подготовленную картинку в веб-версии WhatsApp (кликнуть по ней, просто получить недостаточно). В веб-версии телеграма нужно запустить вирусованное видео и потом открыть его в новой вкладке.
Не знаю, сколько человек пользуются веб-версией этих мессенджеров, но способ атаки очень красивый.
http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/
Но есть и хорошие новости, вот целых два классных инструмента для того, чтобы (учиться) программировать-прототипировать в браузере:
1. Glitch от легендарных FogCreek, создателей Trello.
К классическому функционалу Codepen и JSFiddle, которые позволяют редактировать html/js/css в браузере и тут же видеть результат, добавлена сильная социальная составляющая. FogCreek — крутейшая техническая компания, посмотрите на Glitch сами, оно того стоит. Анонс
2. Sketch от команды Expo. Expo — что-то типа Rails, но для js/react native, чтобы писать кроссплатформенные мобильные приложения на самом модном языке/стеке, не заморачиваясь самому тонкой настройкой инструментов. Анонс. Особо доставляет, что имя совпадает с супер-модным инструментом для дизайнеров Sketch от Bohemian Coding. Удобно, когда 2 разные вещи в одной среде называются одним и тем же именем (на самом деле нет).
66% потерянных флешек содержат вирусы.
Зараженные флешки — мощный вектор атаки. Подкидываешь жертве флешку с вирусами и получаешь полный доступ к её компьютеру.
Такие зараженные флешки позволили проникнуть в защищенную сеть Пентагона (флешка на парковке). Их использовали для успешного проникновения в изолированную сеть иранской ядерной программы, где вирус повредил центрифуги для обогащения урана. Их регулярно разбрасывают около банков в ходе учений по ИБ.
Атаки бывают простые: вордовские документы с макросами и файлы фотки-из-отпуска.exe. Или сложные: специальные устройства (русская(!) вики, оригинальный пост) (там есть ссылки на видео доклада и pdf презентации 2014-го года(!)). Устройства выглядят как флешки, но при этом содержат дополнительные прошивки/драйверы для виртуальной клавиатуры или сетевого устройства. Они могут печатать на вашей клаве и перехватывать весь сетевой трафик. Вот, черт подери, пошаговая инструкция, как самому приготовить такую флешку.
Классный проект по защите от таких атак — программно-аппаратный комплекс из Raspberry Pi и софта. Получившийся мини-компьютер копирует все файлы с потенциально зараженной флешки на гарантированно чистую. Вирусы или аппаратные закладки остаются на оригинальном диске, на вашем — только чистые файлы в безопасных форматах.
Отличная статья про пароли. Правила, требующие специальный символ или цифру в пароле — идиотские. Вообще, страница аутентификации — безумно сложная, граф состояний там на порядок больше, чем можно предположить, если никогда её не делал. https://blog.codinghorror.com/password-rules-are-bullshit/
Ну и классическая картинка про пароли:
Этот канал начался со знаменитой фотографии Маргарет Гамильтон, программиста) и руководителя разработки софта для программы Аполлон. Я не написал, когда в ноябре она получила высшую гражданскую награду США, медаль свободы. Исправляюсь и прикрепляю фото Гамильтон на церемонии награждения (тут много официальных, а здесь Хэнкс не удержался и поцеловал старушку).
Сегодня я хочу рассказать о другой женщине. Пэтти МакХаг (Patty McHugh) разработала материнскую плату для оригинального IBM PC. The mother of motherboard.
Отличный кусочек видео, где она рассказывает о проекте вместе с коллегой: https://youtu.be/XrhDaAmn5Uw?t=18m48s
О скрытой сложности, которую часто недооценивают: https://twitter.com/mathowie/status/838696822793101312
Вот схема, как Slack решает, послать уведомление или нет.
Господи, это божественный твит https://twitter.com/awscloud/status/836656664635846656 (спасибо, Женя!)
Читать полностью…
У Амазона серьёзные проблемы с облаком, s3 (один из крупнейших сервисов хранения файлов в мире, им пользуются многие стартапы, которыми пользуетесь вы) возвращает 500 во многих регионах, недавно упал EBS в двух регионах. Это происходит уже больше часа - а значит они потеряли право говорить "доступность 99.999%" - это 53 минуты отказа в год.
Весь интернет посыпался как домино: heroku, Trello, slack, Quora, Netflix, you name it.
Интересно, что в status dashboard у Амазона все зелененькое. Ещё интереснее, что сайт Amazon.com работает отлично - там чуваки умеют программировать без единой точки отказа.
За новостями следите в треде на HN, раз Амазон не готов признавать ошибок: https://news.ycombinator.com/item?id=13755673
Помните, какой страшный FB? А вот люди, которые делают AI для него.
https://backchannel.com/inside-facebooks-ai-machine-7a869b922ea7
MS исследует возможность строить контейнерные дата-центры в море, когда пачку серверов и свитчей запаивают в отрезок толстой железной трубы (типа подлодки) и держат под водой. Контейнеры можно добавлять во флотилию по-необходимости, не строя зданий. Ну и серьезная экономия на охлаждении.
Насчет того, что нельзя поменять сломавшийся жесткий диск или сервер (контейнер-то запаян): уже сейчас крупные площадки меняют серверный стойки только целиком, чинить серверы по-одному экономически нецелесообразно.
Основная проблема — моллюски, которые начинают жить на внешней оболочке контейнеров, они мешают охлаждению.
http://spectrum.ieee.org/computing/hardware/want-an-energyefficient-data-center-build-it-underwater
(пошучу, что MS-то поисследует, а сливки соберут, как всегда, Google и Amazon)
Мы с друзьями-коллегами долго ломали голову, зачем все крупные игроки / модные стартапы держат данные в облаке, когда ежу понятно, что железо+админ почти всегда дешевле, чем все эти квадриллионы value added services, разработку и поддержку которых осуществляют очень хорошо оплачиваемые инженеры. Ну и админ вам понадобится в любом случае :troll:.
И недавно дошло - дело ведь в искусственном интеллекте, машинном обучении. Вот тут с Google, Microsoft и особенно Amazon тягаться бессмысленно. Лучшие команды ученых, неограниченные вычислительные мощности. И готовые API, которые доступны за вполне разумную цену. Если вы держите данные у провайдера в облаке. Если нет - тут уже совсем другой разговор, и не факт, что вообще получится.
Вот все и катят свои snowmobileы в гигантские дата-центры бегемотов. Аминь.
Вот Amazon начал и обычным смертным объяснять, как использовать их АПИ, умея только Hello world. https://aws.amazon.com/blogs/ai/welcome-to-the-new-aws-ai-blog/
Разбавим томный рабочий день https://github.com/search?utf8=%E2%9C%93&q=remove+password&type=Commits&ref=searchresults
Читать полностью…
Хорошо описанный кейс с финансовыми отчетами Airbnb.
Близкая мне тема, я писал одну из первых версий отчетности для правообладателей в Zvooq (звучит громко, в реальности это были безумные SQL запросы в PG и небольшие скрипты поддержки).
Финансовая отчетность из данных сервиса — классическая задача, где для программирования нужно серьезно разобраться в предметной области с безумными бизнес-правилами и процессами. Близко к тому, что делают SAP-специалисты :)
Прекрасные новости, Intel объявил о работе по более полной поддержке FreeBSD (и пожертвовании FreeBSD Foundation 250,000$).
FreeBSD — очень личная для меня история, напишу об этом потом как нибудь, а пока лишь скажу, что это супер-полезно для индустрии в целом.
Несмотря на постоянный поток новостей «Yahoo переезжает с FreeBSD на Linux» и «Яндекс перевозит свой поиск FreeBSD на линукс», в мире всё ещё есть большие (десятки и сотни тысяч серверов) инсталляции FreeBSD. Надеюсь, так и будет. Мир с одним только Linux будет
Интересно, как PR Телеграма (видимо, сам Павел) наезжает на PR чекпоинта. При этом сам конструирует свой пост-опровержение так, что кажется, будто уязвимости в телеграме не было вообще никакой (а она была).
- Unlike in WhatsApp, nobody could take over your Telegram account by simply sending you a photo.
- Yeah, they would need to send you a video, lol.
Признаю, запустить вирусованное видео и открыть его в новой вкладке — более редкий сценарий, чем просто открыть фото. Но все равно интересно.
https://mobile.twitter.com/telegram/status/842065151121604611
У меня очередные новости о том, что безопасности в интернете нет (переименовать что-ли канал?). В квази-публичный доступ утекли персональные данные (имя-фамилия, компания, должность, телефон, электронная почта, домашние адрес, доходы самого персонажа и его родителей(!)) 33 (!) миллионов американцев. Дочка D&B продавала эти данные совершенно официально за много-много денег, просто никто не ожидал, что оно протечет в интернет.
Это, наверное, такой закон природы — любая privileged информация рано или поздно оказывается в публичном доступе. Теперь можно одним запросом получить персональные данные 32 инженеров-химиков и 715 intelligence analyst армии США. Удобно. Или делать массовые и при этом высокотаргетированные фишинговые рассылки по тысячам бизнесов в Америке. Как много полезного можно сделать с 55 гигабайтным архивом жирных, сочных персональных данных.
https://www.troyhunt.com/weve-lost-control-of-our-personal-data-including-33m-netprospex-records/
Siempo наконец-то рассказал чуть-чуть о том, что они планируют включить в свой телефон.
Siempo — проект создания смартфона, который будет экономить наше внимание, а не сжирать его. Я далёк от перекладывания ответственности за наше поведение на технологии, но любой предмет обихода участвует в формировании привычек.
Хороший пример — фейсбук. Цель его создателей — максимизировать наше время в приложении. И мобильные телефоны помогают ему, доставляя пуши и днём и ночью.
Или сколько раз мы доставали телефон отправить срочное сообщение другу и зависали в ленте fb/instagram/вк/слеке?
Siempo пытается создать телефон, построенный вокруг идеи “не отвлекать, но давать возможность”. Легко перестать отвлекаться, заменив смартфон на Nokia 1100, но как насчёт мессенджеров? Супер неудобно, но я настроил себе ОС и приложения, чтобы телефон не пищал постоянно, но при этом играл звук на звонки. И все равно я пропускаю какие-то сообщения коллег. Приходится выбирать между “отвлекаться каждые 5 минут” и “тот фрик, до которого хрен достучишься, когда он нужен”.
Не знаю, насколько хорошим получится их телефон, но радует, что кто-то пытается решить эту проблему.
Прототипы, как и рукописи — не горят. Пусть не сегодня, пусть не в этом продукте, но мы ещё воспользуемся этими идеями в будущем.
getsiempo/siempo-experiences-a-sneak-peak-f01ca74056e6" rel="nofollow">https://medium.com/@getsiempo/siempo-experiences-a-sneak-peak-f01ca74056e6
Гугл начал раздавать халявный хостинг в своей облачной платформе. При превышении лимитов они просто берут деньги за ресурсы, использованные сверх нормы. Вот это круто https://cloud.google.com/free/
Конечно, там много ограничений, но для личных проектов, которые иначе сосали по несколько долларов в месяц на хостинг - в самый раз. С добрым утром.
Apple перестал принимать обновления приложений, использующих rollout.io.
Раньше очередь на проверку обновлений приложений в AppStore была неделю-две и люди придумали целый бизнес на том, чтобы выкатывать хотфиксы без проверки. Сейчас среднее время ревью всего 1-3 дня — Apple прикрывает лавочку. Это всегда было против правил, так что нечего удивляться. Expedited review, к тому же, никто не отменял — нужно только уметь внятно формулировать мысли и говорить с живыми людьми.
Отлаживаем новый формат Медузы. Целевое устройство — маленький телефон в центре кадра. На больших экранах — код страницы и сетевые запросы телефона. Чувствую себя хакером из фильмов 🙈
Читать полностью…
Мы в медузе используем s3 для хранения картинок, но при этом очень агрессивно кешируем все на своём самодельном CDN, так что пока эффекта нет (upd: с европейским амазоном пока всё ок).
Конечно, есть сервисы, где простой недопустим - но их обычно программируют люди, разбирающиеся в термине "единая точка отказа". Всем остальным можно расслабиться и запастись попкорном, такое не часто случается.
Крутая история, разворачивающаяся прямо сейчас: крупнейший CDN CloudFlare (им пользуются тысячи сайтов) сливал личные данные пользователей в паблик в течении месяцев. samat/cloudflare-сливал-данные-пользователей-в-паблик-в-течении-месяцев-c4add72b2143" rel="nofollow">https://medium.com/@samat/cloudflare-сливал-данные-пользователей-в-паблик-в-течении-месяцев-c4add72b2143
Читать полностью…
Исследователи из CWI и Гугла представили практическую атаку на SHA1.
SHA1 — это хэш-функция, то есть алгоритм, создающий цифровой отпечаток файла. Редактируешь хоть одну букву в гигантском файле и отпечаток меняется радикально, никак не перепутаешь. Файлы большие, а отпечатки — маленькие. Теория информации и теория множеств доказывает, что в такой ситуации всё-таки существуют два разных файла, имеющих один и тот же отпечаток. Вся суть хэш-функций в том, чтобы подобрать второй файл было как можно сложнее, читай практически невозможно.
SHA1 придумали в 1995 году в NSA (том самом агенстве национальной безопасности США) и с тех пор он активно использовался для большинства HTTPS-сертификатов в интернете. В 2005-м году исследователи обнаружили слабость в алгоритме, позволявшую теоретически произвести атаку на коллизии — подобрать второй файл с таким же отпечатком SHA1, что и у заданного первого файла. Начиная с 2010 сертификаты начали по-умолчанию использовать SHA2 или SHA3 — более свежие версии алгоритмов.
Но это всё были умные научные статьи, где пропускаешь формулы, потому что доверяешь научному сообществу и смотришь только на выводы.
Тут же можно самому скачать две разные PDF-ки, у которых совпадают SHA1. Довольно мощное впечатление.
Теперь модно давать крупным атакам имя и делать персональные сайты-объяснения. Встречайте https://shattered.io/
В суперкомпьютерной платформе IBM стоимостью 300 миллионов долларов нашли уязвимость, позволяющую украсть петабайты пользовательских данных. (Тот самый адов бигдата.)
Уязвимость - не многоступенчатый 0-day, а детская ошибка в конфигурации системы виртуализации, про которую можно прочитать в документации. Нашёл не супер хакер, а обычный технарь за вечер.
Это к вопросу о безопасности.
Статья достойна прочтения целиком - сколько они патчили ошибку и сколько заплатили нашедшему - не буду спойлить.
https://wycd.net/posts/2017-02-21-ibm-whole-cluster-privilege-escalation-disclosure.html
Дело в том, что часто программисты сначала пишут пароль от систем прямо в коде, а уже потом переносят его в секретный файл конфигурации. Тот неудобный момент, когда оказалось, что исходный код и вся история его правок доступна всему миру.
Читать полностью…
Пятничное чтение: мы делаем слишком тяжелые сайты при том, что у многих людей медленный интернет.
Может показаться оторванным от реальности брюзжанием, если бы не пример с AirBnB (сайт ломается при медленном интернете, а ведь именно в путешествии он такой).
Интересная цитата:
When I was at Google, someone told me a story about a time that “they” completed a big optimization push only to find that measured page load times increased. When they dug into the data, they found that the reason load times had increased was that they got a lot more traffic from Africa after doing the optimizations. The team’s product went from being unusable for people with slow connections to usable, which caused so many users with slow connections to start using the product that load times actually increased.
https://danluu.com/web-bloat/
