Самат Галимов

Dec 2017

  • Мало ICO? Вот тут есть немного http://yetanotherico.com/

  • Твиттер починил ссылки с utm_source=t.co для Медузы, ура :) (начало тут t.me/ctodaily/430)

  • Вообще-то пора спать, но вот офигенное видео, если вы учились на математика/программиста и хотите поностальгировать по студенческим годам:

    https://www.youtube.com/watch?v=BxQw4CdxLr8

    Рождественская лекция Дональда Кнута в Стэнфорде.

  • Открытие дня - программа q.

    Она позволяет писать SQL-запросы к csv-файлам.

    Я уже собирался поднять себе локально Postgres и импортировать табличку туда, но все оказалось в 100 раз проще. Обратите внимание, она умеет открывать несколько файлов одновременно и делать между ними join’ы, например. Очень классно.

    http://harelba.github.io/q/index.html

  • https://www.youtube.com/watch?v=AB3kfAb_kZQ

  • Алгоритмы твиттера сошли с ума и метят ссылки на Медузу как опасные, если добавить ссылке utm_source=t.co, с остальными utm_source всё ок.

    Я написал во все публичные каналы (и временно сменил utm_source), жду ответного гудка.

    Кто-нибудь сталкивался с таким?

    Буду благодарен личному контакту кого-нибудь в твиттере.

  • Цыплухин: приоритеты разработки меняются каждый месяц (у нас, конечно, есть квартальный план).

    Хорошо сочетаются вместе две половины этой фразы! На самом деле почти у всех так.

  • Главред рассказывает про мультиплатформенность прямо сейчас https://www.youtube.com/watch?v=H-jjE2GbHj4

  • Классный хостер Scaleway адски расширяется и нанимает 250 новых сотрудников. Интересно, чем это грозит клиентам. https://blog.online.net/2017/11/13/scaleway-enters-a-new-growth-phase/

  • Придумано, нарисовано и разработано в течении 20 часов

    🛠 Леша Прилепский, 🖌 Настя Яровая и 🤷‍♂️ Саша Поливанов

    https://meduza.io/games/skolko-ya-zhivu-pri-putine

  • Очень крутая панк-верстка у Блумберга, обратите внимание на скроллбар https://www.bloomberg.com/features/2017-best-books

    У нас есть формат слайды https://meduza.io/slides/chetvertyy-sezon-chernogo-zerkala-treylery-vseh-seriy , но они менее радикальные

Nov 2017

  • Интересно, что watchOS скриншоты выглядят максимально уродски — кажется, что всё впритык. При этом у часов есть свои физические рамки (поля), так что на самом деле воздуха достаточно. Такой вот нюанс, непривычно смотреть на макеты в скетче.

  • Сделали полноценное приложение для Apple WatchOS 4!

    Можно смотреть главную, читать материалы и добавлять их в закладки.

    🛠 Максим Ровнов, 🖌 Настя Яровая

    https://mdza.io/ios

  • Понял, что всё движется в правильную сторону, когда услышал сегодня от одного редактора « *мы с тремя кликами и нашей конверсией не получим ни одного шера!*», а от

    заместителя главреда, обсуждающего баги в игре « *попробуем воспроизвести*».

  • «Журналистика DKIM»

    https://meduza.io/feature/2017/11/29/medvedev-snova-dast-intervyu-telekanalam-v-pryamom-efire-kak-eto-ustroeno-vse-voprosy-soglasovany

    Обратите внимание, как наш редактор угадал, какую строчку из исходника письма нужно удалить, чтобы цифровая подпись сошлась. МАГИЯ

  • EFF (в лице Кори Доктороу) разразился длинной (23 экрана!) статьей «почему DRM это плохо».

    Идея в том, что технологическая часть менее важна, чем закон, который запрещает ковырять DRM.

    Во-первых, по этому закону вполне себе можно посадить любого исследователя безопасности, ищущего уязвимость в системе. Особенно если он постит свои открытия о стыдных ошибках в твоем продукте у себя в твиттере (см предыдущий пост).

    Во-вторых, корпорации используют его для борьбы с конкурентами. Шифруешь свой контент с помощью DRM -> если кто-то его расшифрует (а это обычно не сложно) -> тут же подаешь на него в суд.

    Этот закон позволяет перевести многие битвы из технической плоскости в юридическую.

    https://www.eff.org/deeplinks/2017/10/drms-dead-canary-how-we-just-lost-web-what-we-learned-it-and-what-we-need-do-next

  • В MacOS High Sierra можно активировать root-пользователя без пароля. Достаточно в любом диалоге «элевации прав» (появляющемся при установке софта или открытии некоторых системных настроек) ввести логин root, оставить поле ввода пароля пустым и нажать несколько раз Unlock.

    Это активирует root-пользователь без пароля и можно шуровать в компьютере без ограничений.

    Защититься можно установив рутовый пароль (sudo passwd root) или вот официальная GUI инструкция https://support.apple.com/ru-ru/HT204012.

    Вообще, оставлять свой комп разблокированным рядом с не-доверенными людьми — это уже залет, так что параноики в безопасности.

    https://twitter.com/lemiorhan/status/935578694541770752

  • В июне 2018 Верховный суд США вынесет решение по делу серийного грабителя, которое сильно повлияет на нашу жизнь.

    Мистер Карпентер парковался в угнанной машине около магазина электроники. По его команде в магазин входа группа налетчиков и угрожая оружием собирала новые смартфоны в мешок.

    Главаря сдали его же подчиненные, но копы также представили суду данные о местоположении телефона Карпентера. Он находился рядом с местами ограблений во всех инкриминируемых ему случаях. Мобильные операторы предоставили копам (без решения суда) данные о местоположении за 127 дней. Защита утверждает, что это было нарушением 4 поправки к конституции (незаконные обыски без решения суда запрещены).

    Сейчас Карпентера защищают юристы из ACLU (те, кто постоянно борются за нашу и вашу свободу). У защиты есть шанс. В деле, рассмотренном Верховным судом в 2012 шла речь о GPS трекере, который копы навесил на тачку подозреваемого и трекали его передвижения в течении месяца. Тогда суд признал это незаконным, мол не имели копы права вешать трекер на частную собственность. Важно, что 4 судей выступили с общим особым мнением. Судьи писали, что у людей на улице есть разумное ожидание конфиденциальности - раньше было технически невозможно следить за передвижениями человека так детально и так долго.

    При этом номера, по которым вы звоните, не являются конфиденциальной информацией, согласно решению верховного суда от 1989 года. Почитайте это решение, оно очень понятное и интересное http://caselaw.findlaw.com/us-supreme-court/442/735.html В нем утверждается, что при наборе номера мы понимаем, что этот номер узнает телефонная компания и у нас нет разумного ожидания, что информация о наборе номера конфиденциальна. То есть речь идёт об ожиданиях общества, а не о какой-то формальной конструкции!

    Интересно, ожидает ли американское общество, что их перемещения - это их личное дело, или нет?

    https://www.nytimes.com/2017/11/27/us/politics/supreme-court-fourth-amendment-privacy-cellphones.html

    Если любите подкасты — то вот выпуск Planet Money от NPR https://www.npr.org/sections/money/2017/11/08/562888974/episode-804-your-cell-phones-a-snitch

  • Нашел сервис, если не хочется палить свой почтовый адрес: https://www.33mail.com

    После регистрации вы получаете кастомный домен, например, azaza.33mail.ru. Письма на любой адрес (adres@azaza.33mail.com) в этом домене форвардятся на ваш настоящий ящик.

    Дополнительная фишка — можно забанить любой входящий адрес, если на него начинает сыпаться спам.

    Upd. Читатели пишут, что в gmail можно добавлять точки в адрес и всё равно он остается вашим (gsamat@gmail.com = g.s.a.mat@gmail.com). Ещё есть один способ с добавлением +имя метки в конце ящика, gsamat@gmail.com = gsamat+metka@gmail.com, тогда письма сразу имеют правильную метку.

    Мне нужна была совсем беспалевность, но хак классный.

  • А вот Guardian экспериментирует с подкастами в Chrome под Android. В iOS у всех есть предустановленное приложение Podcasts, в Android — нет (да и вообще нормальных плееров нет).

    https://medium.com/the-guardian-mobile-innovation-lab/podcasts-without-apps-8b7a9c129e40

    Apple продолжает гнобить web apps, интересно, сломается он когда-нибудь или нет?

  • Сделали картографическую игру с Альфа-Банком — вводишь свой текущий адрес и он кидает тебя в аналогичное место в городе мечты https://meduza.io/games/uznayte-gde-by-vy-zhili-v-gorode-svoey-mechty

    Проект с использованием Google Maps — каждый раз страх не влезть в бесплатный лимит «100 тысяч API запросов в сутки».

    Позвонил в этот раз в гугл, спросил — что делать, если запросов больше. Говорят, лицензия на миллион запросов в год (не в сутки) стоит 10 тысяч евро. Теперь вы тоже об этом знаете 🙈

  • Кстати, Артемий любит возиться с автомобилями.

    В прошлую его командировку в Ригу мы поспорили, что его ютуб-канал про автомобили не наберет 5000 подписчиков к 5 июня. Я очень хочу проиграть.

    https://www.youtube.com/watch?v=skadYJcXBUU&lc=

  • Наш Android-разработчик Артемий сделал виджет для приложения Медузы ❤️

    Показывает курсы $, € и биткоинов, ленту новостей можно скроллить внутри, а высоту — регулировать.

    Интересное открытие — Android не поддерживает кастомные шрифты в виджетах, так что мы руками рендерим новости и передаем в виджет картинку 🔫

    Виджет экономно относится к батарейке телефона — обновляется только при выключении-включении экрана.

    https://play.google.com/store/apps/details?id=io.meduza.android

  • Добавили в AMP-версию «подвал под материалами», собираемый редакцией как главная.

    Да, это «читайте также» в мире AMP.

    https://www.ampproject.org/ru/docs/reference/components/amp-list

  • Провели фейслифт шер-картинок.

    🖌 Настя Яровая 🛠 Кирилл Балясников, Боря Горячев

    Отдельное спасибо ВК, что начали поддерживать мета-тег vk:image. Это позволило сделать специальные, более узкие картинки для Вконтакте, а то стандартные фейсбучные там обрезаются.

  • Кстати, интересная деталь — как мы храним токены для соцсетей. Их, как вы понимаете, дофига. Хочется:

    1. иметь возможность легко посмотреть и отредактировать токены в рантайме;

    2. иметь защиту от того, чтобы запостить со стейджинга в продакшен.

    Мы решили хранить их в основной базе данных проекта (pg), но с перфиксом env (production | staging). Таким образом, эти токены легко редактировать real-time. При этом нет опасности, что при импорте продакшен данных на стейджинг мы начнем фигачить тестовые статусы в основной паблик. И ноль дополнительных зависимостей. Достаточно элегантно, мне кажется.

    Буду очень рад, если кто-то подскажет простую централизованную систему хранения секретов. Сейчас мне кажется, что, ничего проще Vault от HashiCorp нет и в любой мало-мальски большой компании без этой дополнительной зависимости (и сложности) не обойтись :(

  • Продолжаем изобретать велосипеды. В этот раз мы запрогали свой собственный buffer.com с преферансом и поэтессами.

    Антихайп — система постинга в соцсети. Вы видите перед собой столбцы соцсетей, в которые можно «затянуть» материалы Медузы (и написать подводку, если это не сделал автор материала прямо на странице редактирования статьи). Готово. Периодичность постинга регулируется, при необходимости можно отправить пост в соцсеть мгновенно. И да, оно умеет работать с видео, то есть заливаешь видео в Монитор (основную админку Медузы), затягиваешь его в Антихайпе и вуаля — нативное Facebook video уже в лентах подписчиков. Пока что поддерживаем Facebook, Twitter и Вконтакте.

    Elixir + React в руках Бори Горячева и Никиты Комаркова творят чудеса. Это один из проектов, которые не только запрограммировал, но и придумал Боря. Также, в этот раз, у нас был выделенный член редакции в команде — Султан отвечал за тестирование и обсуждение продукта с редакцией.

    Подробное описание: https://medium.com/meduza-how-it-works/c8e1b76b0983

  • Выпустили книгу, сделали для неё лендинг https://special.meduza.io/book/

    Хороший повод рассказать, как мы делаем такие страницы.

    У нас есть git-репа static, пуш в master-ветку которого триггерит пулл на сервере, раздающем всю папку в meduza.io/static. Так отдаются страницы типа «О проекте», много разных временных файлов и спецпроекты.

    Если спецпроекту нужен красивый адрес — создается nginx роут в домене special.meduza.io. Пример — конференция «Шторм» и книга «Как жить».

    Обратите внимание, мы не используем отдельные домены для каждого проекта. Заведении новых доменов, выпуск SSL-сертификатов, включение anti-DDoS механизмов, когда нужно быстро переключить IP адреса — слишком много задач для автоматизации. В результате вся user-facing Медуза живет на двух доменах: основной meduza.io для читателей и mdza.io для коротких ссылок.

  • Тот момент, когда больше чем через год узнаешь, что твой провайдер не имел кабельного доступа в здание и предоставлял интернет через радиоканал 🙈

  • Каждая игра — отдельное приложение. Они встраиваются внутрь сайта Медузы как iframe. При этом мобильные приложения открывают игры как webview. Получается следующая схема: нативное приложение → webview с сайтом → iframe с игрой.

    При начале дрега игра посылает postMessage сообщение сайту, он в свою очередь дергает java через jsBridge. Приложение блокирует скролл для этого webview. На дроп прокидывается обратное событие на разблокирование скролла.

    И всё это — для красивых тестов.

  • Вот и первое открытие: в фб можно было выбрать continuous stream.

    У обычных лайвов лимит продолжительности 4 часа, у continious live — без ограничений. При этом continious stream не сохраняет записи после трансляции, не пушит уведомлений и не показывает продвинутой статистики вроде concurrent viewers.

    Стандартный софт для трансляций (vMix) имеет встроенную опцию трансляции в фб, но создает обычный лайв и не даёт выбрать continuous stream. Имейте в виду.

  • Трансляция одновременно в ютуб, фейсбук и в вк

    https://www.youtube.com/watch?v=5dZqCKdos0A

  • « — Чувак делал похожие штуки, но стесняется вам написать, есть ли работа? Вот его резюме…»

    Вот это я понимаю командная работа 💪

    (работа нашлась)

  • Уровень защиты не супер, но от случайных прохожих защищает ок и работает независимо от железа, никакие особые сенсоры не нужны.

  • Дал интервью про работу.

    В тексте нет активных ссылок, а Deadline реально классная книжка, рекомендую (Букмейт, МИФ).

  • Ровно раз в год мне звонит Dropbox.

    Спрашивает, не надумали ли мы купить бизнес-аккаунт. Я объясняю, что личные аккаунты стоят в несколько раз дешевле, что у нас всего 2 дизайнера и мы больше похожи на семейный бизнес и всякий data ownership нам пока не нужен.

    Мы желаем друг-другу хорошего дня и вешаем трубку. Через год сейлз звонит мне опять.

    Такие вот отношения на расстоянии.

  • Впервые в жизни накатал жалобу в ICANN на регистратора доменных имен (nic.io). Чувствую себя заправским сутягой. Чуваки не дают перенести домен медуза.io (кириллицей, да) и не отвечают на тикеты поддержки.

    FAQ по переносу доменов к другому регистратору тут https://www.icann.org/resources/pages/name-holder-faqs-2017-10-10-en, там же ссылка на форму для жалоб.

    Собираю все домены в namecheap.com. Кажется, это самый приличный регистратор на сегодняшний день.

    UPD. мне тут много кто пишет, что у них тоже проблемы с nic.io — не ждите, жалуйтесь в ICANN, там довольно жесткие правила.

    UPD2. ахаха, ICANN не рассматривает жалобы на country code TLD, только на global (.com и прочие) Мяу :(

  • Обрыв двух независимых 20kV линии питания и всей оптики до основных площадок обмена трафиком в Европе — не очень частая ситуация. Тем более хороший повод повторить основные правила.

    Идеальная схема — когда запросы идут параллельно на две площадки у двух не-аффилированных провайдеров (не два ДЦ у одного и того же провайдера, а прямо разные компании). Админ в Букмейте был из старой гвардии Яндекса и поддерживал такое. В таком сетапе падение одного провайдера проходит незаметно для читателей. Это обычно сложно технически и стоит денег по ресурсам.

    Чуть похуже — горячая замена (опять же у отдельного провайдера). Это когда есть копия полностью рабочего сервиса, которая стоит ждет своего времени. В этом случае вы упадете, но минут на 10. Это проще технически, но стоит денег — половина железа «простаивает».

    Уровень пониже – иметь систему, позволяющую быстро развернуть сетап у другого провайдера. Договор или аккаунт с нормальными лимитами, система управления конфигами типа ansible и тд и тп. Ну и свежие бэкапы, конечно же. В этом случае ожидаемый простой — часы.

    В противном случае – молимся, постимся и слушаем радио Радонеж при каждом падении.

  • Статус-страница ovh тоже лежит, но за развитием событий можно следить в твиттере основателя https://twitter.com/olesovhcom

  • Упал OVH.

    Легли две независимые 20kV линии питания и одновременно легла оптика до основных площадок обмена трафиком в Европе.

    Недоступны Ведомости, Росбалт, Знак.ком.

    Лучи поддержки коллегам.

  • У каждого свой подход к сообщениям и уведомлениям.

    Мой подход следующий:

    1. Не трогать письма и уведомления, на которые не хочешь реагировать. Не кликать, не архивировать, не удалять. Посмотрел заголовки и пока. Анти zero inbox;

    2. Выключать уведомления (режим do not disturb), если нужно сконцентрированно поработать. Такая возможность есть и в компьютере тоже;

    3. Выключать badge count - красные шарики, показывающие, что есть непрочитанные сообщения. Они имеют удивительно сильное влияние на психику и вы поразитесь, насколько меньше будете открывать приложения на телефоне, если выключите им badge count. Особенно это касается мессенджеров. Вы не пропустите ничего важного - новые сообщения все равно отобразятся в Notification Center. Эту настройку приходится делать отдельно для каждого приложения в iOS, но только один раз.

    Про то, как быстро отписаться от всех друзей в ФБ я уже писал, но у этого есть и обратная сторона - алгоритмы поймут, что вы не сидите на сайте и перестанут показывать ваши посты кому-либо. Наказывают.

    Возможно, такой хардкор нужен только увлекающимся людям со слабым самоконтролем. Я по-другому чувствую себя собакой Павлова, которой пускают слюну включением лампочки.

  • Помните, в августе в Японии ломался интернет из-за утекших роутов?

    Вчера была похожая история, на этот раз в Штатах у Level3 https://www.wired.com/story/how-a-tiny-error-shut-off-the-internet-for-parts-of-the-us/

  • Другой чувак посмотрел на эту программу и сделал такое же, но только для нейросетей, посмотрите видео сами и согласитесь, что с доской и мелом было бы существенно хуже: https://www.youtube.com/watch?v=Ijqkc7OLenI

    Восхитительный вечер.

  • Меня больше всего поразил момент, когда он показал исходный код шейдеров для эффекта «планета в огне» прямо внутри этой самой доски. Это покруче, чем все Siri и прочие AI вместе взятые. Это чёрт побери интерфейс будущего из фантастического фильма.

    Ха, про фильмы: оказывается, что у американской киноакадемии есть премия за выдающиеся технические достижения (жаль, она не называется оскар), и Кен Перлин получил её за текстуру (sic!). Perlin Noise. Шум, делающий компьютерную графику более реальной.

  • Кен Перлин показывает кусочек программы, которую он разработал для обучения студентов. Программа — что-то вроде интерактивной доски, в которой можно грубо, схематично нарисовать маятник, а компьютер его распознает и маятник начнет качаться. Рядом можно нарисовать «уголочек», связать с ним маятник и «уголок» превратится в ось координат, на которой побежит живой график качения маятника. Да что я вам рассказываю, смотрите сами: https://youtu.be/xuzrF_82z7U?t=32m40s

  • Я наткнулся на очень интересную статью (предвкушаю, как прочитаю её на выходных), но пока покажу два совершенно магических видео из неё:

  • Покупать много дорогой техники не за свои деньги — тяжело эмоционально. Что, если ошибся и объектив не подойдет к камере, а карта памяти окажется слишком медленной? Что, если монитор не будет работать с заданным компьютером?

    Раньше, покупка техники по работе приносила удовольствие. С каждым годом удовольствия чуть меньше.

    Плохое планирование работы команды даже из 9 человек стоит дороже любой техники, а всё равно пугает меньше. Наверное, потому, что нет четкого point of no return.

  • Полтора года назад мы сделали игру «футбольный менеджер».

    Plug-n-play движка из этой механики сделать не получается — уж очень все игры разные, но минимальными ресурсами разработки получается делать вот такие крутые проекты:

    https://meduza.io/games/perezhit-tyurmu-maloy-krovyu

    Кстати, если вы умеете js (react, node, вот это всё) и не чураетесь верстки — можем сделать пару проектов вместе. Пишите мне на samat@meduza.io— перед новым годом очень много проектов.

  • Классный хостинг OVH поднимает цену на 1-10$ за каждый сервер начиная с 1 декабря. Причина — необходимость инвестировать в анти-DDoS, который они предоставляют всем клиентам без исключения.

    Обычные хостеры просто выключают ваш сайт сразу же, как только на него приходит достаточно большая атака. OVH — один из немногих, кто держит крупные атаки и не требует за это адских денег. Они распределяют стоимость отражения атак между всеми клиентами. Этот подход ведет к более свободному интернету. Молодцы!

  • Мессенджер Signal наконец-то выпустил нормальное приложение для десктопа (раньше был только богомерзкий Chrome App).

    Для тех кто в танке: Signal — чуть ли не единственный мессенджер, которому можно доверять. В Signal нормальное стандартное шифрование (в отличие от телеграма), настоящий опенсорс всего, включая серверный код (в отличие от телеграма и whatsapp) и многие другие важные нюансы. Самое классное, что он построен так, что для приватности и безопасности доверять его создателям совершенно необязательно (в отличие от других мессенджеров).

    Цена такой мощной безопасности — удобство. Тут нет нормальной синхронизации истории при покупке нового устройства и возможности использовать Signal на нескольких устройствах одновременно, но в остальном это вполне приличный мессенджер, которому нет равных в безопасности.

    Скачивать бесплатно и без смс тут https://signal.org/download/

Oct 2017

  • Фейсбук тестирует радикальное изменение.

    Для пользователей в некоторых странах (в Словакии, например) подписки на страницы (не на друзей) выкидываются из основной новостной ленты и показываются в специальной вкладке Explore Feed.

    Словацкие медиа ОРУТ, как тот оленёнок из Шапито, у них адски падает трафик. Плохо быть в неудачной тестовой группе ФБ, по возможности избегайте этого.

    Шутки шутками, а изменение революционное - дети и котики отдельно, новости отдельно. Если вдруг это приведёт к повышению активности пользования фейсбуком - ничего не мешает фейсбуку раскатить это на всех.

    Ах да, реклама показывается в основном фиде, как и раньше. ;)

    https://medium.com/@filip_struharik/biggest-drop-in-organic-reach-weve-ever-seen-b2239323413

  • Бот @meduzaprobot, указанный на странице http://telebot.agency/ разработан внутри Медузы.

    Не знаю, кому и что это «агенство» реально разработало, но мои источники говорят, что бота для Скольково делали тоже не они.

    Имейте в виду, совсем уже люди совесть потеряли.

  • Если после обновления на High Sierra у вас в скетче у части картинок «вымылись» цвета — вы не сходите с ума, это баг и для его починки нужно обновить скетч до 47 версии и прогнать на побитых файлах специальный плагин.

    У нашего арт-директора Насти эта ошибка совпала с установкой нового монитора (тот самый 4K 21” от LG) и я чуть с ума не сошел в поиске проблемы с цветовым профилем.

  • The Village переехал на CloudFlare и ожил.

    Мои поздравления!

    http://www.the-village.ru

  • Гугл представил параноидальный режим безопасности для тех, кто боится взлома своих gmail и прочих гугл-аккаунтов.

    Для включения нужно купить и привязать ключи безопасности U2F. Для компьютера — знаменитая флешка за 18$. Для телефона — необычная bluetooth/nfc версия за 25$, хотя, кажется, можно обойтись приложением Google Smart Lock.

    После включения защиты, вход в гугл-аккаунты будет возможен только с этими физическими ключами и только в родные приложения Google, а восстановление аккаунта в случае потери займет существенно больше времени и сил.

    Хотя это и не говорится явно, кажется, всё это — ответ гугла на русских государственных хакеров, которые планомерно проводят качественные таргетированные атаки на журналистов и политиков.

    Реальное отличие таких аппаратных ключей от одноразовых кодов — в защите от фишинга. Одноразовые коды можно перехватить на этапе их ввода руками на фишинговую страницу (а люди плохо определяют фишинг, это медицинский факт). Криптографический обмен ключами между сайтом и USB-устройством перехватить можно, но бессмысленно. Шах и мат, Russian hackers.

  • The Village прилег под DDoS-атакой, о чем сообщает соцсеть издания и издатель.

  • Наблюдаю странное поведение Google Chrome пушей, отправленных через Google Firebase Messaging (через топики). Сообщения либо доходят до части пользователей с задержкой, а не мгновенно, как обычно, либо не доходят вовсе (на моих данных пока сложно сказать точно).

    Буду очень благодарен, если кто-то поделится наблюдениями — может быть пожалуемся в Firebase вместе.

  • Про ошибку в Wifi-протоколе пишет крутой безопасник.

    Оказывается, в 2005 (!) году была опубликована научная статья о формальном анализе WPA2. Это когда ученые доказывают, что программа работает корректно. Дико дорогой процесс, использующийся в науке, оборонке, авиации и прочей космической промышленности (ниже будет скриншот из статьи, вы только посмотрите на эту нотацию).

    Почему же анализ не обнаружил ошибки? Они смотрели отдельно на хэндшейк (процесс договора сторон о ключах шифрования) и отдельно на шифрование. Ошибка возникает только смотреть на систему в целом (что очень сложно).

    Ниже будет идеальная гифка на эту тему — мусорка и сушилка для рук отлично функционируют по отдельности, пока не поставишь сушилку над мусоркой.

    Автор делает вывод, что анализом безопасности протоколов (а точнее, их реализаций) должен заниматься компьютер, а не человек. Пока что, в промышленных масштабах мы так делать не умеем.

    https://blog.cryptographyengineering.com/2017/10/16/falling-through-the-kracks/

  • Интересно, что самое большое заблуждение о биткоинах — их анонимность.

    Одна из основ биткоина — полная прозрачность всех транзакций. Всем видно, кто кому и сколько передал.

    Есть два способа сохранить анонимность:

    1) купить биткоины анонимно, за наличные (вот самая большая биржа, где можно найти продавца https://localbitcoins.com)

    2) воспользоваться миксером — сервисом, который примет монеты от разных людей, смешает их вместе и вернет вам деньги на другой кошелек

    У каждого из способов есть проблемы:

    1) если в биткоины придет государство — скорее всего оно запретит анонимную продажу монет (борьба с терроризмом, как обычно)

    2) доверять миксерам — это как доверять банкам, только хуже.

    Есть и анонимные криптовалюты, но угадайте, какие incentives будут у государства, поддерживающего криптовалюту?

    Мне кажется, у многих компьютерщиков (особенно западных) есть иллюзия, что в цифровом пространстве можно быть более свободным, чем в обычной жизни. У вас, знакомых с Роскомнадзором, надеюсь, таких иллюзий нет.

  • В скетче появилась возможность ссылаться на объекты из внешних файлов — можно сделать библиотеку компонент и редактировать их махом.

    Видео-презентация фичи классная https://www.youtube.com/watch?v=cz1t_oo6k9c

    https://blog.sketchapp.com/introducing-libraries-and-smooth-corners-in-sketch-47-2abc5dfc1fb3

  • В протоколе шифрования Wifi-сетей WPA2 обнаружили уязвимость, позволяющую прослушать трафик.

    Жирно то, что уязвимость не в реализации конкретного поставщика, а в протоколе, то есть уязвимы вообще все Wifi-устройства.

    Хороших новостей две: 1) уязвимость можно пофиксить, не сломав при этом старые, не-обновленные устройства 2) весь мало-мальски важный трафик уже давно шифруется на уровне приложений (смотри HTTPS), так что практическая применимость, кажется, есть только для корпораций и хитрых DNS-атак.

    https://www.krackattacks.com/

  • У Scaleway серьезные проблемы — серверы уходят в даун и не возвращаются.

    Лучше никаких изменений в админке не делать.

    https://status.online.net/index.php?do=details&task_id=1050

    Интересно, лежащая тильда с этим же связана? http://glavredglavred.tilda.ws, например

  • Заголовок на 1010

    «Издателям не нравится, что AMP слишком быстрый»

    На самом деле их бесит, что реклама сверху страницы не успевает загрузиться — человек быстро прочитывает и проматывает баннероместо.

    Но всё равно смешно, всё что вы хотели знать о худших представителях медиа-индустрии и рекламе.

    https://digiday.com/media/publishers-find-google-amp-loads-fast-ad-views/

  • Facebook, телеграм, вконтакте — электронные соцсети вызывают привыкание, как наркотик. Если при нажатии на кнопку каждый раз будет вывалиться еда – то мы наедимся и перестанем. Если же еда будет вываливаться только на 7 нажатий из 10 — то мы будем нажимать на кнопку до смерти. Эта же схема используется в игровых автоматах и вообще, азартных играх.

    В случае соцсетей вознаграждением является социальное одобрение — лайк, шер, комментарий или вот число прочитавших, как в телеграм-каналах. Ручкой однорукого бандита выступает pull-to-refresh.

    Всё это довольно банальные вещи, о которых причастные люди в IT-индустрии давно знают. Большинство соцсетей и мессенджеров зарабатывают на рекламе — чем больше времени вы будете проводить в приложениях, тем больше рекламы увидите. Лучшие умы планеты думают над тем, как бы сделать сервис таким, чтобы вы провели в нем побольше времени.

    Интересно, что многие IT-шники «не употребляют свой товар». Отключить ленту фейсбука, отписавших ото всех или просто установив специальное расширение, выключить push-уведомления или хотя бы красненький notification badge — вот минимальная цифровая гигиена наших дней.

    Внутри отличной статьи the Guardian интервью с программистом-создателем кнопки Like и с дизайнером, придумавшим Pull to refresh; обязательная отсылка к Олдосу Хаксли, конечно, тоже есть.

    https://www.theguardian.com/technology/2017/oct/05/smartphone-addiction-silicon-valley-dystopia

  • Google представил новую модель хромбука — Pixelbook.

    • качественная клавиатура

    • вес 1.1 кг, толщина 10мм (меньше чем эйры и чуть больше макбука)

    • 12.3” 235ppi (четче, чем ретина на всех макбуках)

    • 10 часов без зарядки

    • полноценные процессоры Intel Core i5/i7

    • 1000 USD за 8GB RAM, 128GB SSD (эйр стоит столько же, макбук 1300)

    • 1650 USD за 16GB RAM, 512GB SSD (эйров таких не бывает, макбук с 16GB начинается от 1500$)

    Ну и главное — у Pixelbook есть карандаш (за 99$)! С обещанным sub-10ms latency, что должно транслироваться в ощущение физического карандаша на бумаге, без какой-либо задержки, прямо как в iPad Pro. Ах да, ещё он умеет складываться в планшет.

    Учитывая фокус ChromeOS на безопасности — получается почти идеальный ноутбук за 1000$ для редакторов общественно-политического медиа. Всерьез подумываю закупить пару штук вместо MacBook Air, которые вот-вот выйдут из строя.