27844
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Очень хороший канал; часть в про науку, рекомендую. Пусть вас не пугает название
Читать полностью…
Образцовый security vulnerability landing page http://cloak-and-dagger.org/
В двух словах - для Android можно написать программу, которая, после установки, получит полную власть над телефоном.
Интересно отношение Google (им +/- пофиг и признавать проблему они не хотят). Эх.
Сейчас будет группа постов из прошлого. Неделя была такая, что было не блога - делали конференцию Шторм.
Классное объяснение, как в британский чеках, порой, вместо знака £ печатается знак ú https://shkspr.mobi/blog/2017/05/unicode-is-hard/
Юникод — одна из моих любимых вечных проблем.
Автор пишет, что обнаружил классный канал про нейронные сети, AR (дополненную реальность) и технологии в целом. Все правда, канал чёткий /channel/denissexy (пусть вас не пугает название)
Читать полностью…
Очень крутое видео того, как CCC взламывает систему логина по роговице глаза в Samsung Galaxy S8.
66 секунд и готово!
Я сейчас пишу пост про пуши и прекрасный Google Firebase, а тут такая вот contact_16315/firebase-costs-increased-by-7-000-81dc0a27271d">свежая страшилка про SaaS в целом и Firebase, в частности.
Компания написала систему автоматизации умного дома, довольно успешную, установила её на десятки тысяч домов по всему миру. В каждом доме, программа запрашивала определенный файлик раз в минуту с серверов Firebase, чтобы определить, нужно ей что-то делать или нет. И всё было классно, пока Firebase не поменял какие-то кишочки и не начал биллить весь TLS трафик, а не только полезный payload.
Счет в Firebase вырос с 25$ в месяц (так было несколько лет) до 1750$ в месяц и продолжает расти. Способа обновить программу у пользователей, чтобы она не использовала Firebase — не существует (IoT, маленькие железки). Техподдержка Firebase сначала что-то отвечала, потом просто пропала с радаров.
Дальше автор статьи предлагает делать свои прокси перед любыми SaaSами. Помню, обещал такое сделать в Медузе примерно полгода назад, когда Слек сломался.
P.S. Этот пост я написал на прошлой неделе, с того времени поднялся хайп на hackernews. Firebase, конечно же, вышел на связь (сам founder & CEO Firebase отметился в medium replies) и всё быстро починил. Такой вот уровень техподдержки.
Большой и качественный лонгрид про внедрение SSL в StackOverflow https://nickcraver.com/blog/2017/05/22/https-on-stack-overflow/
Читать полностью…
Красивая карта того, как фиатные деньги перетекают в биткоины в реальном времени (по поводу того, что биткоин опять бьет рекорды цены) http://fiatleak.com
Читать полностью…
Вчера мы запустили Вечернюю Медузу 2.0
Раньше, на самую короткую газету на свете, можно было подписаться по почте и в телеграм канале.
Теперь Вечерняя Медуза появляется как полноценный материал на главной странице Медузы (и в RSS-потоках). На нее можно дать ссылку или расшарить в соцсетях, как и любую другую статью Медузы. К старым способам подписки добавилась возможность подписаться на пуш-уведомления в приложениях и на сайте (для Chrome и Firefox).
https://meduza.io/brief/2017/05/16/vechernyaya-meduza
Это один из проектов, затрагивающий все платформы Медузы, вовлекающий почти всю техническую команду.
Ещё это пример двух важных принципов:
1. мягкого, постепенного запуска. Основной деплой был в прошлую пятницу, а финальный — в понедельник. Мы смогли оттестировать почти все функции в продакшене, читатели этого не заметили;
2. graceful degradation. На старых мобильных клиентах вечерка показывается как фичер, а не как пустое место.
Кстати, это первый продуктовый запуск, в котором Настя Яровая — арт-директор, а Боря Горячев — заместитель технического директора.
В главных ролях:
Продакт: Ilya Krasilshchik
Арт-директор: Nastya Yarovaya (макеты — наследство Sergey Surganov)
Технический директор: Samat Galimov
Менеджмент и бэкенд: Боря Горячев
Фронтенд админки: Nikita Komarkov
Вебсайт: Anton Byrna и Kirill Balyasnikov
Android и iOS: Артемий Гарин и Max Rovnov
Ops: Dmitry Zakharov
💪
P.S. По пути мы переделали движок веб-пуш-уведомлений, но об этом будет отдельный пост.
В слеке теперь можно шерить экран, о да! https://twitter.com/SlackHQ/status/864528371312500737
Читать полностью…
Хороший гайд по HTTP-заголовкам, ответственным за безопасность https://blog.appcanary.com/2017/http-security-headers.html
Читать полностью…
У Mailchimp (крупнейшая система рассылки писем) теперь модно блокировать аккаунт без причины и писать письмо в стиле «хотите узнать, почему вас заблокировали — напишите нам письмо». Имейте в виду, если отправляете через него рассылки (лучше пока, кажется, всё равно ничего нет :(.
Читать полностью…
Хорошая статья про сложность обновлений, в противовес моему утверждению «кто не обновился тот дурак»
Особенно тяжело обновлять медицинское оборудование — это то, что сейчас модно называть «интернет вещей». Они гарантированно работают в течении 5-10 лет в том виде, что их поставили. Причин две: 1. Часть из них не могут обновиться — у маленьких железок не хватит ресурсов; 2. Важные железки очень жестко тестируют, при этом любое обновление влечет необходимость дорогого и долгого повторного тестирования. Вы ведь не хотите, чтобы вдруг завис рентгеновский аппарат, в момент снятия снимка?
Я в бытность студентом работал сисадмином в биологической-генетической лаборатории. Единственная железка, которую я помню смог обновить — атомный микроскоп от JPK. Производитель выпустил «свежую» версию дистрибутива на Linux годовой давности. И это было очень круто, предыдущей версии было 4 года. Чтобы вы понимали — критичные обновления безопасности обычно выходят каждые 2-3 месяца.
У строителей под моим окном классическая «микросервисная архитектура приложения». У них есть 3 сервиса — полый бур, сверлящий дырку в земле, бетономешалка, не дающая бетону застыть и насос, закачивающий бетон из мешалки в отверстие, сверлимое буром.
Красным на картинке отмечены места, в которых один сервис «передает» бетон другому. Там должны быть подходящие отверстия, крепления и допустимое предельное давление бетона (чтобы это всё не разорвало) — это API. API — договоренности, по которым сервисы общаются друг с другом.
Допустим, можно было бы сделать убер-машину, которая умеет все — сверлить, качать и мешать. Засыпаете бетон, вставляете сверла и она делает вам готовые заполненные бетоном дырки — это была бы «монолитная архитектура приложений». Её было бы сложнее транспортировать по улицам и, наверное, ей нужен был бы очень крутой инженер для обслуживания.
В случае разделения машины на части мы можем выбрать разных производителей отдельных частей, достаточно, чтобы все они соблюдали стандарты и поэтому могли работать вместе.
Выпустили вчера залипальную игру на механике city/tower bloxx.
Прикол в том, что подрядчик, а проще говоря, парень, который нам её спрограммировал — не умеет писать код. Валера целиком собрал её в визуальном редакторе-движке Construct 2. Как хотите, но будущее уже наступило.
Помните, год назад я давал ссылку на детальное сравнение карт Apple и Google? Автор еще тогда поразил меня качеством анализа и подготовки статьи.
Прочитал сейчас новую статью того же автора и нахожусь под впечатлением. Это почти идеальная статья. Чувствуется труд, вложенный в написание; уважение к читателю.
Встречайте, "как изменились карты Google за год". Спойлер: Гугл - большие молодцы, Эпл тормозит.
https://www.justinobeirne.com/a-year-of-google-maps-and-apple-maps
Ааа, нейросеть верстает: https://www.youtube.com/watch?v=pqKeXkhFA3I&feature=youtu.be
Читать полностью…
В последнее время мне регулярно пишут с предложением разместить рекламу в канале.
Продавать или обмениваться рекламой мне неинтересно. Думаю, я вёл бы канал и без читателей - просто как дневник, а денег предлагают так мало, что даже неудобно продавать ваши глаза и время настолько дёшево.
Я решил об этом написать, потому что только пришло предложение прорекламировать бота-казино. Интересно, что бот не использует платформу платежей, введённую телеграмом (правила страйпа прямо запрещают гэмблинг), а работает через биткоины. О дивный новый мир.
Из интересного ещё приходил неплохой канал про новости технологий (для того, чтобы понять его описание мне пришлось гуглить англицизм(!)) и курсы продакт-менеджеров в нетологии.
Всё, гештальт закрыт. Пожалуйста, не пишите больше с предложением «разместить предоставленный рекламный текст за 500 рубле». Если вдруг обнаружили что-то интересное, что я пропустил — добро пожаловать, @samatg
в тему пушей — вот он, страшный сон разработки веб-пуш-уведомлений (такое появляется у подписчиков, если клиент получит пуш, но не вызовет Notification.show() в течении 30 секунд)
Читать полностью…
Проснулся сегодня утром в 03:00 ночи, в Манчестере взрыв и конечно же, именно в этот момент упал интернет в редакции. Кажется, что это же зааффектило моего телефонного провайдера, так что обычные телефонные звонки тоже не проходили.
Думаю о покупке аварийного телефона с двумя симками — передавать его между «компьютерщиками», чтобы всегда был гарантированный телефон для связи с технарями.
Мы креативно использовали API инстаграма для замера индекса фото-популярности разных точек на карте. Самое хитрое — найти этот доступ к API инстаграма. У них совершенно драконовские правила и издевательская форма регистрации API-клиента: можно выбрать 10 вариантов, для чего тебе нужно API и в 9 вариантах из 10 показывается текст «для этого юзкейса API применять нельзя». Хитрость заключается в том, что сервис https://www.picodash.com не проксирует запросы в инстаграм, а выполняет их со своим токеном прямо из браузера 🙆
Классный тест получился https://meduza.io/games/statuya-svobody-ili-eyfeleva-bashnya
Телеграм выпустил версию 4.0, внутри:
- видео-сообщения (с возможностью просмотра видосов на специальном сайте telesco.pe);
- платежи, теперь разработчики ботов могут принимать деньги, вот тестовый donatbot">@DonatBot (для работы нужна обновленная версия телеграма);
- Instant View получил два обновления: 1) можно добавить кнопку подписаться на канал внутри IV-статей; 2) тимплейты парсинга можно редактировать публично.
Ну и как принято в телеграме — конкурс.
Есть список из 1000 сайтов, для которых, г-н Дуров хочет заиметь тимплейты поскорее. За каждый годно оттимплейченный сайт он выдаст 100$. Два самых задротистых коммиттера получат по 10k и 5k$, соответсвенно.
Кстати, meduza.io в списке и никем не занята. Тот, кто займет её тимплейт, получит ужин и бутылку рижского бальзама от меня лично. Билеты в Ригу не оплачиваются, приз также можно получить в Москве. Если вы не пьете — обсудим приз отдельно.
Налетай.
Нам всем есть что рассказать о безумствах с точки зрения компьютерной безопасности. Но это тот случай, когда «hold my beer».
http://svedic.org/programming/mastercard-serbia-asked-ladies-to-share-fb-photos-of-among-other-things-their-credit-card
Mastercard Serbia сделал конкурс, в котором нужно шарить в соцсетях фотки своей банковской карты. (подсказка — так делать не стоит)
Не стоит потому, что для проведения успешной транзакции по банковской карте (aka снять денег) достаточно иметь её номер и срок действия.
Все эти CVV-коды, смс-ки от банка и прочие ухищрения можно отключить, если продавец захочет. Даже на поверхности документации платежных систем есть много очень интересных деталей. Я начинал с документации платежного гейта Braintreе, ну и дальше down the rabbit hole. Рекомендую, fintech — увлекательная сфера.
Полезный сайт про размеры экранов айфонов, вдруг у кого-то ещё нет его в закладках https://www.paintcodeapp.com/news/ultimate-guide-to-iphone-resolutions
Читать полностью…
Разблокировали через полтора часа, почему блокировали — не говорят (мол это помешает алгоритмам делать их работу). Неприятное чувство, похожее на то, когда менты тормозят и требуют документы без причины.
Ненавижу эти автоматизированные системы слежения и контроля. Особенно неприятно то, как они этой автоматизированностью гордятся: https://mailchimp.com/omnivore/
Пока весь мир следит за приключениями вируса-вымогателя (несколько часов назад создатели выпустили вторую версию, исправленную и дополненную), почти незаметно прошло появление нового качественного трояна для MacOS.
Хакеры взломали сайт популярной программы для сжатия видео Handbrake и заменили файл-инсталлятор, добавив к настоящей программе троян Proton.B. https://forum.handbrake.fr/viewtopic.php?f=33&t=36364
Это качественная малварь. Она как минимум отсылает атакующему все ваши пароли, включает кейлоггер и удалённый доступ к компьютеру. https://www.cybereason.com/labs-proton-b-what-this-mac-malware-actually-does/
Дорогие пользователи Макбуков - добро пожаловать в мир, где легко подцепить серьёзную бяку, а не только MacKeeper (это мусор, который сложно вычистить, но серьёзного вреда от него нет).
К сожалению, технически MacOS не особо защищённее Windows. Вся эта тема с вирусами - бизнес. Раньше пользователей маков было мало и разрабатывать малварь под MacOS было экономически не выгодно. Теперь это меняется. :(
Учитывая, что почти у всех редакторов Макбуки - это ещё одна головная боль для технических директоров медиа.
Кстати, самый безопасный персональный компьютер на данный момент - айпад. Если вы параноик - iPad со внешней клавиатурой - ваш выбор. (Только не все клавиатуры одинаковы, текст с некоторых легко перехватить удалённо :/)
Мораль: жить вредно, все умирают.
Про разворачивающуюся сейчас вирусную эпидемию: samat/крупный-вирус-вымогатель-8a16b2492ef2" rel="nofollow">https://medium.com/@samat/крупный-вирус-вымогатель-8a16b2492ef2
Читать полностью…
Помните, «кремлевские хакеры» ломали оппозиционеров через краденые смски?
«Коммерческие хакеры» начали использовать дыру под названием SMS в промышленных масштабах для опустошения банковских счетов законопослушных бюргеров. А значит, не далек день, когда мы перестанем пользоваться смсками для любых штук связанных с безопасностью. Наконец-то.
Чтобы вы не удивлялись, протокол GSM (2G) — 1987 года выпуска, контрольный протокол SS7 — 1975 (это не опечатка).
Учитывая, что нас уже больше 3 тысяч, я чувствую некоторую ответственность, так что вот социальная реклама: используйте Google Authenticator для получения одноразовых кодов, не смс. И включите 2-факторную аутентификацию, пароль слишком легко потерять.
Security advisory уже никого не удивишь — мы видели уязвимости в OpenSSL и в ядре Линукс, не говоря уже об Андроидах или Windows. Но как вам уязвимость в процессорах, которую можно эксплуатировать как локально так и удаленно?
Короче, Escalation of Privilege Advisory (Intel Corp.) — самый страшный заголовок, который можно себе представить. Статья с таким заголовком была опубликована 20 часов назад на официальном сайте Intel.
Intel не раскрывает подробностей (sorry, script kiddies, уже готовые ломать всех подряд), но предлагает firmware update и mitigation guide призванные обезопасить владельцев уязвимых процессоров.
Уязвимость затрагивает только серверную линейку процессоров Intel (Xeon), а точнее — программу Intel Active Management Technology (AMT), запускающуюся на отдельном ко-процессоре Intel Management Engine. Это такой компьютер-в-компьютере, который всегда включен и управляет материнским компьютером без ведома его операционной системы и уж тем более — пользователя. Технология нужна для больших серверных ферм, где настраивать каждый сервер руками слишком дорого.
Прикол в том, что эта штука а) проприетарная, так что никто не знает, как именно она работает и не содержит ли закладок (привет АНБ и боящиеся её русские вояки) б) её нельзя выключить, вообще никак.
Известный фрик (зачеркнуто) пророк (зачеркнуто) активист Ричард Столлман ещё 4 года назад бил тревогу, что эта технология — путь в ад и вот, наконец, первая уязвимость. Сколько таких zero-days хранятся в запасе у АНБ, принимавших участие в разработке этих технологий - можно только догадываться.