27844
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Кулстори про эстимейты.
IBM взялась запрограммировать систему управления зарплатами госслужащих в Канаде.
Начальная стоимость первого этапа разработки была 5.7 миллиона долларов. За 6 лет контракт претерпел 39 изменений. Стоимость проекта на текущий момент - 185 миллионов долларов.
Система работает с такими глюками, что тысячи служащих получают денег больше, меньше или не получают их вовсе.
Дополнительный шик ситуации придаёт тот факт, что правительство Канады отказывается опубликовать начальную полную стоимость контракта.
Нужен месье (или мистер, у них там в Канаде с этим сложно) Навальный, чтобы рассказать, как хорошо живут топы IBM и лично лапка Джастин Трюдо.
Вот так вот. Дедлайны нарушены, продукта нет. Запуск завтра.
http://www.cbc.ca/news/canada/ottawa/phoenix-ibm-contract-union-pay-government-1.4295827
http://blog.lunarlogic.io/2017/effective-collaboration-superstar-developers/
Читать полностью…
Рассказываем, как устроены подкасты в Медузе https://dev.meduza.io/eff4c68d24f2
Читать полностью…
Помните Equifax?
Они в своем твите случайно дали ссылку не на свой сайт, а на фишинговую страницу. АААА
https://mobile.twitter.com/thesquashSH/status/910512164938665984
Спасибо @Skammer за наводку.
собственная подкаст-платформа для веба, iOS и Android
Читать полностью…
Этот блог называется запуск завтра, а у нас на самом деле завтра запуск самого крупного проекта Медузы so far.
Приложения в сторах раскатываются по читателям, письмо рассылки сверстано. Осталось сделать импорт записей из одной внешней системы в наш собственный бэкенд и влючить ручку API.
Каждый запуск — как экзамен в универе, перед ним страшно, даже если всё приготовил и знаешь предмет 🙈
История с руководителями телеграма — классический выпуск «пусть говорят». 1 канал, дарю идею.
Меня больше всего заинтересовал эпизод с тем, как Дуров, якобы, убрал доступ к истории переписки для бывшего сотрудника. Такое, мне кажется, возможно только в Телеграме. Слишком много доверия к ad-hoc решениям отдельных людей и мало процедур.
Рейтинг, кому стоит доверять: 3. людям с авторитетом 2. организациям с процедурами и авторитетом 1. математике.
Уж насколько я не люблю шапочки из фольги, но для личной переписки использую iMessage. Так я могу быть уверен, что один сошедший с ума инженер не сможет получить доступ к моей личной переписке. Спланированная атака со стороны Apple — гораздо менее вероятное событие в моей модели угроз.
Если вы не готовы доверять и Apple — берите Signal (iOS, Android), он насколько близок к доверию к математике, насколько допустимо здравым смыслом.
Новый iOS - просто лапка. Крупнее, удобнее. Анимации очень приятные и, кажется, о чудо - телефон стал работать быстрее, чем раньше.
Немного печально наблюдать за тем, как Microsoft, придумавшая Metro для Windows phone, убила этот язык у себя на телефонах. Apple же последовательно перенимает хорошие детали из Metro, так что через пару итераций мы увидим дальнего потомка Windows Phone 7, уже без детских болезней.
Я начал расстраиваться, что зрение садится, но посмотрел на iOS 11 и понял, что все будет ок. Дизайнеры Apple тоже не молодеют. Сравните эти приложения погоды в iOS 10 и 11. Больше тысячи слов.
Извините, что не хайрез. Смысл, надеюсь, понятен.
Читать полностью…
Apple улучшил механизм установки бета-билдов iOS для разработчиков.
Скачиваешь маленький файл профиля из Member Center и всё, обновление приезжает как обычно, через OTA. Там уже Golden Master — тот же код, что пойдет в публичный запуск, просто готовый заранее, для разработчиков.
Никакого тебе шаманства с iTunes, классно.
Если вы не компьютерщик — не рекомендую пока обновляться, в AppStore половина программ в большей или меньшей степени сломаны, все спешно клепают обновления.
@vote
Интеграциями не пользуюсь, но комичу – 107
👍👍👍👍👍👍👍 48%
Пользуюсь – 68
👍👍👍👍 30%
Не комичу – 50
👍👍👍 22%
👥 225 people voted so far.
Pirate Bay тестирует новую модель монетизации. В некоторые страницы на сайте встроен небольшой java-script код, который начинает майнить криптовалюту Monero, используя ресурсы компьютера пользователя - загрузка CPU возрастает до 60-80%, пока страница открыта. Подробнее: http://bit.ly/2hao4ie
Сколько может приносить подобный метод? Сделаем простой расчет:
1) Большинство компьютеров выдают хешрейт 20-100 H/s при майнинге Монеро на CPU (http://bit.ly/2f3psCM), для простоты усредним до 50 H/s.
2) Это примерно 30$ за год непрерывного майнинга (http://bit.ly/2ftlc07). Скрипт загружает процессор не полностью, возьмем консервативно 50% - получаем 15$ в год.
3) Посещаемость домена thepiratebay.org согласно Similarweb - 315.6 млн визитов в месяц средней продолжительностью 5:17 минут. Т.е. все пользователи в сумме проводят на сайте 3172 года каждый месяц.
4) Перемножим общее время на 15$ и получим доход 47.5 тыс $ в месяц. Естественно, с учетом высокой волатильности на криптовалютном рынке эта сумма может значительно колебаться от месяца к месяцу.
Итого: такой скрипт не сможет приносить больших доходов для владельцев сайтов. Например, https://cointelegraph.com/, один из самых популярных ресурсов о блокчейне и криптовалютах с 8.7 млн визитов в месяц в среднем по 3 минуты (Similarweb) смог бы зарабатывать только 700 долларов в месяц - один пресс-релиз на сайте стоит дороже (0.5 BTC или 1800$ по текущему курсу).
Однако для Pirate Bay и других сайтов с большой посещаемостью, для которых традиционные возможности монетизации закрыты или ограничены, это может стать неплохим дополнительным источником доходов для поддержания их работы. По крайней мере это намного больше, чем 9$ в день за счет пожертвований в биткоинах, которые сайт получал по состоянию на май 2016 года (http://bit.ly/2xqTB9t).
Chrome начнёт требовать HTTPS при подключении к сайтам .dev. Google зарегистрировал себе этот TLD и почему-то решил добавить .dev в HSTS preload list хромиума.
Сам грешен, использую meduza.dev для разработки. Теперь придётся переезжать на некрасивый, но закреплённый стандартом meduza.test
https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/
Помните, как при покупке в интернет-магазине условных кроссовок, они потом преследуют вас по всему интернету?
В iOS 11 Apple ограничит third-party cookies 24 часами, так что кроссовки будут преследовать вас не более суток. У индустрии бомбит не по-детски.
Интересно, что Facebook и Google это практически не затронет — почти все видят кнопку Like или ищут что-то в Гугле хотя бы раз в день.
http://www.adweek.com/digital/every-major-advertising-group-is-blasting-apple-for-blocking-cookies-in-the-safari-browser/
Помните, как расистскому сайту Daily Stormer (DS) отказывали в регистрации DNS и хостинге все приличные сервисы? Их последним прибежищем был CloudFlare. СF деактивировал их аккаунт в тот момент, когда DS начал намекать, что мол CloudFlare их защищает, потому что согласен с их позицией.
Меня очень впечатлил пост основателя и директора CloudFlare Мэтью Принса, который он опубликовал на следующий день после выключения DS. Мэтью пишет, что его пугает та концентрация силы, которая у него есть. DDoS-снуть любой сайт — очень дешево. Единственный способ защитить свой сайт — спрятаться за крупный CDN вроде CloudFlare. Если крупные CDN отказывают тебе в помощи — то всё, можешь считать, что в интернете твоей позиции уже нет (первый же недовольный просто снесет тебя DDoS'ом).
Мэтью предлагает обсудить, как должна происходить цензура в сети. На уровне создателя контента? Хостинга? Регистратора? Социальных сетей и поисковых систем?
Для многих интернет-долгожителей сеть была местом неограниченной свободы. Отчасти, как мне кажется, от того, что многие сетевики были из академической среды, отчасти — от технической децентрализации старой сети. Уже несколько лет, как я не позволяю себе говорить «это интернет, детка, тут могут послать наху%».
С каждым днем сеть становится всё более централизованной и бюрократизированной. И на уровне платформ (Facebook, VK с их сложными правилами модерации vs независимые сайтики прошлого) и на уровне технической сети (крупные CDN с архитектурой зезды vs пиринг независимых провайдеров). Пространство свободы сужается, интернет уже не тот фронтир, что раньше. Увы и ах.
Завидую умению рассказать историю картинками. Вот эти две картинки — и передал 70 процентов смысла
Читать полностью…
Статью ещё не прочитал, но вот эта картинка очень-очень хорошая
Читать полностью…
Русские хакеры© представят на BlackHat Europe доклад об уязвимости Intel ME. Уязвимости, позволяющей взломать выключенный компьютер.
Intel ME - специальный компьютер внутри компьютера. Включенный постоянно, пока железо воткнуто в сеть питания, постоянно слушающий сетевые соединения на предмет команд от управляющего центра. Это технология, нужная крупным корпорациям для менеджмента десятков тысяч машин одновременно.
Intel не даёт официального способа выключить Intel ME. Исследователи недавно разобрались, как это можно сделать. Оказывается, Intel добавил такую возможность специально для NSA, но никому кроме NSA не рассказал.
И вот теперь критическая уязвимость на BlackHat. Ну как будто могло быть по-другому.
Учитывая, что в анонсе говорят об ошибке в AMT 11+, речь идет о новой уязвимости, а не об эксплуатации INTEL-SA-00075 от 1 мая.
И да, у AMD то же самое, называется AMD Secure Processor.
Гроб гроб кладбище.
Прямо сейчас часть корневых серверов .io вместо правильных NS-ответов (списка серверов, на которых вы хостите свои DNS-записи) возвращает тыкву.
Из-за этого могут не открываться сайты в зоне .io, например, meduza.io
Всего два месяца назад у них обнаружили уязвимость, через которую можно было сделать MitM атаку на все домены зоны, а теперь вот это. Руки бы поотрывать и передать зону в управление Verisign.
Обсуждение вот тут https://news.ycombinator.com/item?id=15293578
Подкасты Медузы.
2 месяца дизайна, 1 месяц программирования.
Первый проект, в котором:
- мы работаем с большими медиа-файлами (кеш на edge-серверах нашего CDN увеличился почти в два раза) и сохраняем их на клиентах (оффлайн-прослушивание!);
- сделали «богатые» пуши (кнопка play прямо внутри пуш-уведомления!);
- забрали старые выпуски из внешнего сервиса (Simplecast) и импортировали их в собственный бэкенд (и не потеряли статистику по пути);
- сделали свою хитрую бэкенд-статистику, потому что нормальной коробочной статистики в индустрии подкастов не существует в принципе;
- добавили ретину на клиенты (посмотрите на эти прекрасные обложки подкастов);
- позволяем взаимодействовать с материалами прямо с главной страницы, не заходя в них.
Этот список можно продолжать. Это просто самый крупный запуск Медузы на текущий момент. Mobile Web, Desktop Web, Android, iOS, iTunes Podcasts — все платформы поддерживаются в полном объеме.
1 продакт, 2 дизайнера и 8 разработчиков. Магия!
Ilya Krasilshchik Nastya Yarovaya Виктор Ходак
Боря Горячев Anton Byrna Andrey Skopintsev Kirill Balyasnikov Артемий Гарин Max Rovnov Dmitry Zakharov
Вы — лучшие!
Завтра будет обстоятельный пост на medium, как это всё устроено.
Гениальный фишинг с использованием Extended Validation Certificates.
https://0.me.uk/ev-phishing/
Частенько вспоминаю, как получал этот самый EV для Букмейта и Медузы. Больше не буду этого делать. Только Let’s Encrypt, только хардкор.
iOS 10 vs iOS 11. Скажи «не замечаю» плохому зрению
Читать полностью…
А вот программа, в которой работает автор Игры престолов (ок, автор серии Песни льда и пламени;) https://youtu.be/5kYfsP_WKLY?t=3m22s
Читать полностью…
Составляем карту технологических зависимостей Медузы.
Это схема того, где искать поломку, если что-то вдруг идет не так. Продуктов и сервисов становится так много, что в скоро связи между ними перестанут помещаться в голову без препаратов.
Посередине слева — полный список «пользовательских view»: то, откуда можно читать Медузу. Web, iOS, Android, Instant Articles, etc. 20 пунктов.
Ряд сверху — список зависимостей для каждого View. Зависимости есть от внутренних сервисов и от внешних.
Завтра будем составлять список зависимостей для внутренних сервисов — там уже будут базы данных, серверы и прочие низкоуровневые элементы.
Где лучше составлять такие схемы? Я пока остановился на Scapple. Кстати, эта же компания уже много лет производит очень мощную программу для писателей Scrivener — ведь не всем писателям нравится WordStar.
Очень классный рассказ, как 25 тысячам фанатов Мэрилина Мэнсона отправили персонализированное письмо с видео их дома со спутника.
Тут и обработка видео, и дешевая рассылка писем, всё как мы любим.
Такие необычные «спецпроекты» — совсем другой режим работы, чем при разработке продукта. Наличие таких проектов бодрит. Когда идут потоком — выматывают.
leemartin/wkwyfl-43879e3348ac" rel="nofollow">https://medium.com/@leemartin/wkwyfl-43879e3348ac
Делаю откат Trello за логотип. Как вы наверняка знаете, корпорация добра/зла Atlassian (создатель Jira) год назад купила Trello и вот представила первую интеграцию.
К Bitbucket-репозиторию (Bitbucket это конкурент Github от Atlassian) теперь можно привязать Trello-board https://blog.bitbucket.org/2017/09/13/say-trello-to-boards-in-bitbucket/
Power-upы для привязки бранчей и коммитов из bitbucket в трелло были с марта, теперь вот появился более удобный способ открыть борд прямо в битбакете.
А вы пользуетесь этим «трекингом коммитов в таск-менеджерах»?
Классный пост в продолжение темы оплаты сервисов за счёт читательского майнинга. За наводку спасибо @a_andryuhin
Читать полностью…
ОЗОЛОТИМСЯ https://coin-hive.com/documentation/miner
Это библиотека, встроив которую на страницу сайта, владелец может заставить компьютеры посетителей майнить для него биткоины.
Вообще, не так уж и плохо, если вместо просмотра адской рекламы, я буду платить электричеством и процессорным временем. Или плохо - батарейка-то на телефонах мелкая. Эх.
Привлекает, что это прямой платеж за время, проведённое на сайте и то, что он не требует никакой настройки/работы со стороны посетителей. Такое же, только без экстремального выедания батарейки - был бы идеал.
Трелло вчера представил десктопное приложение для Мака, для винды обещают выпуститься сегодня.
Судя по шрифтам, это webkit, а не хром — значит будет хорошее энергопотребление. Внутри хорошие шорткаты (скопировать урл текущей карточки, например) и работает вставка картинок из буфера обмена, которая пока что сломана в сафари. Ну и приятно, что можно делать Cmd+Tab.
Из минусов — в хроме я сейчас использую экстеншен Shortcuts for trello, который даёт мне возможность быстро копировать карточки. Тут его, к сожалению, нет.
Любой онлайн-сервис рано или поздно хочет поиск. Потом к вам приходят с «почему не при запросе X не показывается Y» и всё, пошло-поехало.
Эпической полноты инструкция про этот самый поиск https://medium.com/startup-grind/what-every-software-engineer-should-know-about-search-27d1df99f80d
Хорошая статья просто для понимания объема проблемы, если вдруг вас попросят сделать свой кастомный поиск.
Предваряя вопрос — в Медузе ElasticSearch, давно хотим прикрутить Yandex XML Search API, всё никак руки не дойдут.