27844
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Scaleway демпингует по-жесткому, сравните их новое Intensive Workloads предложение с аналогом в DigitalOcean.
Читать полностью…
Страшная статья про Facebook от data-science ученого: http://veekaybee.github.io/facebook-is-collecting-this/
Вкратце: записывают абсолютно всё, ничего не удаляют и эксперименты проводят какие захотят (это самая жуткая часть, на самом деле).
Тот нашумевший эксперимент фб провел ещё в 2012 году, научная статья о нем вышла в 2014. Статья оказалась плохим PR-ом, так что больше мы о таких опытах не узнаем.
Впервые столкнулся с антиспамом/антифишингом в ФБ samat/приключения-одной-статьи-в-фб-71b8b534d5d" rel="nofollow">https://medium.com/@samat/приключения-одной-статьи-в-фб-71b8b534d5d
Читать полностью…
С пылу с жару, история от гитлаба. Как они на коленке продакшен базу спасали. Случайно выполнили команду удаления базы не на том сервере, а бэкапов, оказалось, нет.
So in other words, out of 5 backup/replication techniques deployed none are working reliably or set up in the first place.
Guys, don't be too hard on yourself. Все мы там были. Несколько месяцев назад аналогичная история произошла в медузе - монга двухлетней давности оказалась без бэкапов. Обнаружили мы это после того, как случайно удалили не тот сервер в админке хостера.
Единственный способ быть уверенным, что все в порядке - попробовать поднять реплику продакшена без продакшена, тестировать не бэкапы, а recovery plan.
Наслаждайтесь: https://docs.google.com/document/d/1GCK53YDcBWQveod9kfzW-VCxIABGiryG7_z_6jHdVik/pub
В описании канала написано: «куда переехать с Parse». Пора ответить на этот вопрос. Спасибо читателю Алибеку @alievalibek, что спросил.
https://dev.meduza.io/куда-переехать-с-parse-push-8d61698f2118
Google купил Fabric, как Facebook в своё время купил Parse. Готовьтесь к закрытию :trollface:
Читать полностью…
Короткая (14 страниц A4) и познавательная статья про безопасность в гугле: https://cloud.google.com/security/security-design/
Проходится «по верхам» обеспечения безопасности такого монстра, как Google.
Мне было особенно интересно про аутентификацию/авторизацию на уровне общения сервисов друг с другом (внутри есть больше подробностей про это):
Each service that runs on the infrastructure has an associated service account identity. A service is provided cryptographic credentials that it can use to prove its identity when making or receiving remote procedure calls (RPCs) to other services. These identities are used by clients to ensure that they are talking to the correct intended server, and by servers to limit access to methods and data to particular clients.
Логотип менять не будем! http://blog.trello.com/trello-atlassian
Читать полностью…
Вообще, я завис на этом сайте leapsecond. Вот посмотрите сами: http://www.leapsecond.com/great2005/
Хочется больше таких сайтов.
Доброе утро и с Новым годом!
Помните про leap second? /channel/ctodaily/43
У инженеров Cloudflare была вот такая встреча Нового года https://www.cloudflarestatus.com/incidents/1fczgjmknplp
🌲✨🌞
Переустановил MacOS. Обнаружил, что можно не мучиться с ручной установкой Android Platform Tools (в который входит adb), а сделать brew install android-platform-tools.
Век живи век учись.
Вообще, эта ситуация, когда компьютер начинает тормозить и помогает переустановка — очень напоминает мне моё детство c регулярной переустановкой Windows. Тут то же самое. Вот, например, wifi после просыпания, включался секунд 30; после переустановки — включается мгновенно. Проверил по бекапам — этот МакБук наливался ровно год назад. Back to the Future.
Если у вас тормозит Макбук — можете попробовать, возможно, что выкладывать много тысяч за новый совсем необязательно.
Это случилось: наша админка (монитор) очень сильно интегрирована со слеком и прямо сейчас у слека проблемы. Из-за этого проблемы у нашего монитора. Но это ещё не всё — проблемы ещё и у нашей системы сбора ошибок Bugsnag. Ой-вей, SaaS мир. Задача на следующий год — сделать прокси-сервис для всех внешних зависимостей.
Читать полностью…
Просто прочитайте это письмо.
Пока читаете - не забывайте, что его написал основатель и, на тот момент, руководитель Microsoft; самый богатый человек планеты, Билл Гейтс.
Письмо Гейтса начинается на 3 странице, последовавшая следом переписка самых крупных боссов Майкрософта - выше. Письма были опубликованы в рамках того самого антимонопольного судебного дела против MS.
http://blog.seattlepi.com/microsoft/files/library/2003Jangatesmoviemaker.pdf
Конец - это когда ты перестаешься пользоваться своими собственными продуктами как обычный потребитель. У Билла с этим было все в порядке. А я, пожалуй, опять заставлю себя походить с двумя телефонами (андроид) и активно пользоваться приложениями Медузы.
Как всегда - у MS были все технические решения, но "дожать" полноценный продукт (нормальный стор с автоапдейтом) они не захотели или не смогли.
Как жалко, что нет оставшихся писем. Когда они ответили Биллу? Что ответили?
Свежее обновление MacOS и Google Chrome перестали доверять сертификатам от WoSign и StartCom. Думаю, любой стартап в какой-то момент своей истории использовал бесплатные сертификаты от StartSSL, так что событие ого-го.
История не новая — у чуваков было очень много багов, позволявших обходить валидацию доменов целиком и выпускать сертификаты для совершенно левых доменов (как насчет левого сертификата для github.com?). Последней каплей стало то, что WoSign купил StartCom и никому об этом не сказал, а когда это всплыло — пытался скрыть. Решение гугла было объявлено 31 октября, решение Apple — 30 ноября и вот оно постепенно доезжает до конечных пользователей. Если ещё используете эти сертификаты где-либо — пришло время их менять прямо сейчас.
Хорошо, что теперь уже нормально работает Let's Encrypt. Для массового продакшена его использовать рано, но для side-проектов и временных доменов — идеальное решение.
Пишу, потому что сегодня сам обжегся — у некоторых редакторов отвалились сокеты во внутренней админке. Конечно, основной EV (extended validation) сертификат Медузы куплен у Comodo. Но сервер сокетов, для скорости, расположен на отдельном секретном домене, в обход основного CDN Медузы. Сертификат для этого домена мы, по привычке, выпустили у StartSSL, и вот результат.
Прекрасная статья про ньюансы Unicode https://eev.ee/blog/2015/09/12/dark-corners-of-unicode/
Есть целая категория компьютерных статей, при чтении которых, после каждого абзаца думаешь: "ну все, у всего должен быть предел"; а потом замечаешь, какой маленький в верхнем правом углу скроллбар. 👹
Весь текст целиком состоит из панчлайнов и интересных деталей вроде реализации эмоджи-флагов: это две пары символов, где первый символ в паре - специальная метка, а второй - буква из двубуквенного ISO-кода страны 🇷🇺
Ищу второго системного администратора в Медузу. Работа удаленная, подробное описание вакансии внутри: https://dev.meduza.io/поиск-второго-админа-operations-engineer-в-команду-медузы-919b9f033f01
Читать полностью…
История ещё не закончилась - админы продолжают восстанавливать эту многострадальную базу до сих пор - в прямом эфире! Стабильно 5000 вьюверов. https://m.youtube.com/watch?v=nc0hPGerSd4
Читать полностью…
Почти 4 месяца назад мы в Медузе запустили путеводители «Атлас» — 10 приложений-путеводителей на 3 платформах — Web, iOS, Android. Вот короткое описание, какие подводные камни мы собрали в процессе реализации проекта: https://dev.meduza.io/как-запустить-20-приложений-за-3-месяца-или-что-такое-атласы-bdb0515748d7
Читать полностью…
У online.net распродажа аренды серверов. Самые дешёвые уже кончились, но есть ещё много хороших предложений. Online - французский хостер с лучшим на мировом рынке соотношением цена-качество. Во всех серверах включен по-настоящему безлимитный трафик https://www.online.net/en/winter-2017/sales
Читать полностью…
Ghost объявил грант для журналистов. Для каждой из трех выигравших команд «сделают сайт» и будут помогать со всеми техническими вопросами core-разработчики платформы, которая грозится стать следующим Wordpress — стандартным ответом на вопрос «я пишу тексты, как мне сделать сайт?».
Очень хороший ход: ghost поймет, что нужно редакторам, а хорошие журналисты получат мощную техническую поддержку. Мы все будем пользоваться ещё более крутым движком.
https://ghost.org/journalism/
Бесило копировать скриншоты из Androidа, нашел комфортный для себя способ:
1. Удаляем все старые скриншоты adb shell 'rm /sdcard/Pictures/Screenshots/*'
2. Делаем скриншоты
3. Копируем папку screenshots куда хотим: adb pull /sdcard/Pictures/Screenshots Downloads
Отличная статья, как правильно задавать вопросы: https://jvns.ca/blog/good-questions/
Кстати, часто достаточно попытаться сформулировать вопрос, для того, чтобы самому догадаться до ответа (смотри метод резиновой уточки).
Краткое содержание статьи в картинке:
Чтобы не начинать год только с плохого: вот музей атомных часов Hewlett-Packard. Наверное, все программисты знают о знаменитых научных калькуляторах HP (вот их музей). Для меня было открытием, что HP является ещё и крупнейшим коммерческим производителем атомных часов.
Точное измерение времени — одно из важных достижений человечества.
На основе атомных часов работают системы геопозиционирования (GPS). Интересно, что предыдущее технологическое поколение часов было создано именно для навигации: более-менее точные портативные часы были придуманы в 1761 году для измерения долготы кораблей в море.
Почитайте эту главу Википедии про Джона Гаррисона. Это просто приключенческий роман, включающий конкурс на много миллионов фунтов, попытки правительства зажать приз и даже личное вмешательство английского монарха.
На фото сверху: H4 - первые в мире точные механические часы, не боящиеся качки; снизу: HP 5071A - самые распространённые атомные часы.
Доброе утро.
PHPMailer (этой библиотекой для отправки писем пользуются буквально миллионы сайтов) содержит критическую уязвимость Remote Code Execution из-за забытого эскейпинга поля from.
Вкратце: если сайт даёт вписать адрес отправителя письма и использует уязвимую библиотеку для их отправки — то атакующий сможет выполнить любую команду на сервере с правами сайта (например, удалить сайт или отправлять с него спам).
Мне особенно интересны 2 момента:
1. Dawid Golunski сообщил об ошибке публично 25.12.2016, но пока не пишет, в чем конкретно заключается уязвимость и не показывает PoC код [proof of concept, пример кода, эксплуатирующего уязвимость]. Это, очевидно, сделано для того, чтобы скрипткиддисы [малокомпетентные хакеры (kiddie — ребенок)] не использовали его пример как инструкцию к действию. При этом понять, в чем заключалась уязвимость, можно просто посмотрев на коммит, исправляющий эту ошибку.
2. Прикольно, как относятся к своим пользователям разные проекты. Drupal (популярная CMS, движок для сайта) не включает в себя PHPMailer напрямую. Тем не менее, они выпустил PSA (public security advisory, условно письмо АААА всем обновляться срочно) через 12 часов после публичного описания ошибки, Joomla сделала это через сутки, а Wordpress не написал ничего до сих пор. Я попытался найти публичный security advisory list для Wordpress и угадайте что?
Очень классный комментарий одного эксперта — «обновите свой сайт сами, пока это не сделал за вас хакер». Обычно взломщики чинят уязвимости, через которые проникли в систему, чтобы последующие атакующие не мешали спокойно эксплуатировать жертву.
Как много хакнутых сайтов мы увидим в ближайшие месяцы?
Зачем уметь программировать? Мне кажется, основная причина - иметь возможность сделать вот так: https://www.facebook.com/scythargon/posts/1230272307038271
Это ведь прекрасно, примерно как самому починить велосипед у бабушки в деревне и все лето кататься.
Конечно, для успешной работы программистом важны также настойчивость, способность корпеть над скучными штуками. Но этот экзерсис наполняет радостью мое израненное буквами в интернете сердце.
Мне кажется очевидным, что криптографию нужно использовать готовую, но как мы видим на примере телеграма — с этим согласны не все 👀 https://eprint.iacr.org/2015/1177.pdf
Хорошая вводная статья о том, сколько всего нужно держать в голове при программировании криптографии http://loup-vaillant.fr/articles/rolling-your-own-crypto
Кстати, приложенная классическая картинка отвечает на популярный вопрос «как разобраться в *** за 21 день»
У богов проблемы — слишком шикарно живут: офис за 35 миллионов долларов, современное искусство на стенах, частые перелеты, проживание в Ritz Carlton и слишком много программистов. Ну и компаниям продаются не достаточно хорошо.
Помню, как года 4 назад в Яндексе был github enterprise на 100 или 1000 аккаунтов и контролировалась их выдача очень строго — слишком дорого переходить на следующий tier.
Я в какой-то момент в Медузе офигел от скачка цены за Github при переходе с серебряного аккаунта на золотой и начал вести рекламные проекты (~100 новых реп каждый год) в bitbucket. Github уже сменил механику прайсинга, но я с тех пор знаю, что не гитхабом единым. А теперь новым модным становится Gitlab.
Интересно читать, как Blooomberg отчитывает Github за транжирство и указывает, что, мол, конкуренты не дремлют. Google Docs for programmers, объясняют они суть бизнеса для своей аудитории.
Красивая подборка фракталов (математику можно промотать) http://sunandstuff.com/mandelbrot/about/
В корне этого сайта очень крутой скролл-проект про масштабы солнечной системы http://sunandstuff.com
Написал краткий разбор, заводить ли свой VPN-сервер и инструкцию, как это проще всего сделать.
samat/%D1%81%D0%B2%D0%BE%D0%B9-vpn-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%BF%D0%BB%D1%8E%D1%81%D1%8B-%D0%BC%D0%B8%D0%BD%D1%83%D1%81%D1%8B-%D0%B8-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-3e0ec97c129e#.6ymspkr63" rel="nofollow">https://medium.com/@samat/%D1%81%D0%B2%D0%BE%D0%B9-vpn-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%BF%D0%BB%D1%8E%D1%81%D1%8B-%D0%BC%D0%B8%D0%BD%D1%83%D1%81%D1%8B-%D0%B8-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-3e0ec97c129e#.6ymspkr63
Неприятно, что поводом служит командировка в Москву, а не поездка в Иран, например.