Size: a a a
2018 March 06
Хотите предложить услуги подрядчика - так и пишите, стесняться нечего; почти всем техдиректорам нужны внятные подрядчики в запасе
2018 March 08
Гугл раздает на конференции аппаратные ключи безопасности.
Эти ключи очень хорошо защищают от фишинга, с ними невозможно ввести 2-fa код безопасности в паленый сайт — и это 90% угроз даже для журналистов.
Единственный минус — аппаратные ключи немного опаснее в случае мощной таргетированной атаки. Представьте, сначала крадут пароль, а потом ключ и получают неограниченный доступ к аккаунту. У одноразовых кодов в телефоне остается ещё пинкод-защита телефона, а в случае аппаратного ключа это game over.
https://landing.google.com/advancedprotection/
Эти ключи очень хорошо защищают от фишинга, с ними невозможно ввести 2-fa код безопасности в паленый сайт — и это 90% угроз даже для журналистов.
Единственный минус — аппаратные ключи немного опаснее в случае мощной таргетированной атаки. Представьте, сначала крадут пароль, а потом ключ и получают неограниченный доступ к аккаунту. У одноразовых кодов в телефоне остается ещё пинкод-защита телефона, а в случае аппаратного ключа это game over.
https://landing.google.com/advancedprotection/
2018 March 13
Обычно результат игры — одна картинка с текстом. Тут можно пошерить все 15 своих выборов https://meduza.io/games/kak-ustroena-vasha-idealnaya-rossiya
Если вам нужно тестировать Android приложения — то Vysor это просто богом данная программа.
Видишь экран реального телефона на экране комьютера, можешь набирать текст в телефоне на клавиатуре ноутбука, «тапать» на телефон мышкой.
При этом Vysor просит денег, а без денег показывает рекламу и зарезает качество картинки.
И вот чувак сделал практически идеальную замену визору, выложил код в open source и даже написал длинную статью, как именно он это всё запрограммировал.
В этом софте круто всё. То, что он построен на существующих технологиях как из строительных блоков, то, как красиво он написан и как статья объясняет эту внутреннюю красоту. И главное — программа имеет приличную документацию и хорошо работает. Рекомендую всем, кто профессионально занимается Андроидром.
Единственный минус — нет pre-built binary для MacOS. Тут уж я для вас постарался. Для установки скачайте приложенный tar-архив, разахвириуйте его командой tar Pxf scrcpy.tgz (чтобы оба файла легли в нужные директории) и запускайте командой scrcpy.
Видишь экран реального телефона на экране комьютера, можешь набирать текст в телефоне на клавиатуре ноутбука, «тапать» на телефон мышкой.
При этом Vysor просит денег, а без денег показывает рекламу и зарезает качество картинки.
И вот чувак сделал практически идеальную замену визору, выложил код в open source и даже написал длинную статью, как именно он это всё запрограммировал.
В этом софте круто всё. То, что он построен на существующих технологиях как из строительных блоков, то, как красиво он написан и как статья объясняет эту внутреннюю красоту. И главное — программа имеет приличную документацию и хорошо работает. Рекомендую всем, кто профессионально занимается Андроидром.
Единственный минус — нет pre-built binary для MacOS. Тут уж я для вас постарался. Для установки скачайте приложенный tar-архив, разахвириуйте его командой tar Pxf scrcpy.tgz (чтобы оба файла легли в нужные директории) и запускайте командой scrcpy.
Душевная статья про то, как не стать плохим руководителем от Claire Lew в Signal v. Noise (блок бейзкемпа). Пункты довольно очевидные, но написано так, что приятно читать.
Вкратце:
- руководитель обладает гораздо большей информацией, чем любой другой член команды. Важно делиться этой информацией, не ожидать, что чуваки владеют телепатией или астрологией;
- нужно давать свободу подчиненным, не заниматься микроменеджментом. Чувство, что ты незаменим — красный флаг;
- чувства, эмоции команды — такой же факт, как и код и баги. Крутые руководители принимают и используют чувства;
- подчиненные не начнут первыми разговор о вещах, которые им не нравятся, пока их совсем не припрет; такую обратную связь нужно просить специально.
Вкратце:
- руководитель обладает гораздо большей информацией, чем любой другой член команды. Важно делиться этой информацией, не ожидать, что чуваки владеют телепатией или астрологией;
- нужно давать свободу подчиненным, не заниматься микроменеджментом. Чувство, что ты незаменим — красный флаг;
- чувства, эмоции команды — такой же факт, как и код и баги. Крутые руководители принимают и используют чувства;
- подчиненные не начнут первыми разговор о вещах, которые им не нравятся, пока их совсем не припрет; такую обратную связь нужно просить специально.
Кстати, вчера разбирался с одним техническим вопросом в бейзкемпе и написал им в чат. Специалист техподдержки мгновенно ответил на мой первый вопрос и я паровозиком задал вопросы, которые у меня возникли после прочтения статьи директора бейзкемпа о том, как у них построена разработка.
Вы не поверите, специалист техподдержки спокойно рассказал, как устроена работа компании. Вся команда разработки живет в одном и том же продуктовом цикле. Если на момент написания статьи это были 3-4 команды по 2-3 человека, то теперь это могут быть 7 команд или больше. Да, документ описывающий цикл стал больше, но принципиальная схема осталась прежней.
Я по работе общался с сотнями техподдержек (о, сколько часов музыки я прослушал по PSTN) и эта впечатлила меня больше всего. На втором месте G Suite от Google (бывший Google Apps) — реально разбираются в этом монстре и технологиях, на которых он построен. Третье место занимает поддержка Apple Developer Program. Эти чуваки супер дружелюбные и если правильно пропитчить нужду могут сделать множество исключений из правил. Прямо как в России, закон строг, но можно договориться.
Вы не поверите, специалист техподдержки спокойно рассказал, как устроена работа компании. Вся команда разработки живет в одном и том же продуктовом цикле. Если на момент написания статьи это были 3-4 команды по 2-3 человека, то теперь это могут быть 7 команд или больше. Да, документ описывающий цикл стал больше, но принципиальная схема осталась прежней.
Я по работе общался с сотнями техподдержек (о, сколько часов музыки я прослушал по PSTN) и эта впечатлила меня больше всего. На втором месте G Suite от Google (бывший Google Apps) — реально разбираются в этом монстре и технологиях, на которых он построен. Третье место занимает поддержка Apple Developer Program. Эти чуваки супер дружелюбные и если правильно пропитчить нужду могут сделать множество исключений из правил. Прямо как в России, закон строг, но можно договориться.
2018 March 14
Отличная новость для системных администоров и всего интернета. Let's Encrypt начал поддерживать выпуск wildcard-сертификатов.
Что это значит?
Сертификаты безопасности (SSL/TLS-сертификаты) — магический математический артефакт. Он защищает сайты двумя способами: 1. шифрует соединение читателей с сайтом в интернете, так что никто* не может подсмотреть, какие страницы открывает человек или данные он передает через формы сайта 2. позволяет подтвердить**, что между сайтом и читателем не влез злоумышленник, который меняет часть сообщений на другие (например, без SSL злоумышленник мог бы перехватить и изменить ваше банковское поручение).
Система безопасности сейчас построена так, что для создания (выпуска) сертификата нужна третья сторона, так называемый центр сертификации (Certificate Authority). Это бизнес и чуваки собирают деньги за каждый сертификат. Вдобавок, каждый выпуск сертификата это ручной процесс (благо он происходит раз в год или реже).
Несколько лет назад группа людей и организаций (посмотрите About, там много звездных имен) решили, что для общей безопасности нам нужно сделать выпуск сертификатов бесплатным и автоматизированным. И это сработало! Вот безумный график их роста, а вот тут исследование показывает, что 30% пользователей COMODO перешли на Let's Encrypt.
Зачем нужны wildcard'ы?
Дело в том, что порой у сайтов есть много поддоменов (то, что перед именем сайта через точку, www.meduza.io, monitor.meduza.io, specials.meduza.io, например). Как защитить эти сайты? Можно выпустить по отдельному сертификату для каждого этого поддомена. Так многие и делают, но есть ситуации, когда гораздо лучше заказать один (wildcard) сертификат *.meduza.io, который можно использовать на любых поддоменах Медузы.
Раньше LE не умел выпускать wildcart-сертификаты, а теперь научился.
Это был один из последних*** сильных аргументов, чем коммерческие Certificate Authority лучше Let's Encrypt.
Ура!
* Ходят слухи, что у NSA есть способы
** У злоумышленников есть 101 способ обвести вас вокруг пальца. Математику мы делать научились, а интерфейсы, которые бы помогли не попасться на удочку мошенника — нет.
*** Есть ситуации, в которых сертификаты от LE не годятся, но если вы в этой ситуации — то скорее всего знаете, что делать.
Что это значит?
Сертификаты безопасности (SSL/TLS-сертификаты) — магический математический артефакт. Он защищает сайты двумя способами: 1. шифрует соединение читателей с сайтом в интернете, так что никто* не может подсмотреть, какие страницы открывает человек или данные он передает через формы сайта 2. позволяет подтвердить**, что между сайтом и читателем не влез злоумышленник, который меняет часть сообщений на другие (например, без SSL злоумышленник мог бы перехватить и изменить ваше банковское поручение).
Система безопасности сейчас построена так, что для создания (выпуска) сертификата нужна третья сторона, так называемый центр сертификации (Certificate Authority). Это бизнес и чуваки собирают деньги за каждый сертификат. Вдобавок, каждый выпуск сертификата это ручной процесс (благо он происходит раз в год или реже).
Несколько лет назад группа людей и организаций (посмотрите About, там много звездных имен) решили, что для общей безопасности нам нужно сделать выпуск сертификатов бесплатным и автоматизированным. И это сработало! Вот безумный график их роста, а вот тут исследование показывает, что 30% пользователей COMODO перешли на Let's Encrypt.
Зачем нужны wildcard'ы?
Дело в том, что порой у сайтов есть много поддоменов (то, что перед именем сайта через точку, www.meduza.io, monitor.meduza.io, specials.meduza.io, например). Как защитить эти сайты? Можно выпустить по отдельному сертификату для каждого этого поддомена. Так многие и делают, но есть ситуации, когда гораздо лучше заказать один (wildcard) сертификат *.meduza.io, который можно использовать на любых поддоменах Медузы.
Раньше LE не умел выпускать wildcart-сертификаты, а теперь научился.
Это был один из последних*** сильных аргументов, чем коммерческие Certificate Authority лучше Let's Encrypt.
Ура!
* Ходят слухи, что у NSA есть способы
** У злоумышленников есть 101 способ обвести вас вокруг пальца. Математику мы делать научились, а интерфейсы, которые бы помогли не попасться на удочку мошенника — нет.
*** Есть ситуации, в которых сертификаты от LE не годятся, но если вы в этой ситуации — то скорее всего знаете, что делать.
В продолжении темы, интервью Jacob Hoffman-Andrews, одного из главных технарей в Let’s Encrypt и EFF.
Это выпуск подкаста (161-ый!), но у них супер-транскрипт на сайте, так что желающие могут не слушать, а прочитать.
Вообще, обратите внимание на эту медиа-компанию Changelog. У них 7 (!) подкастов для программистов и slack-community на полторы тысячи участников.
За подгон в чатик спасибо Жене Пирогову @pirogov. Заходите в наш чатик @ctodailychat, у нас говорят компьютерщики.
Это выпуск подкаста (161-ый!), но у них супер-транскрипт на сайте, так что желающие могут не слушать, а прочитать.
Вообще, обратите внимание на эту медиа-компанию Changelog. У них 7 (!) подкастов для программистов и slack-community на полторы тысячи участников.
За подгон в чатик спасибо Жене Пирогову @pirogov. Заходите в наш чатик @ctodailychat, у нас говорят компьютерщики.
Супер история от фотографа, которого обвинили в краже фотографии, а оказалось, что он просто сфотографировал ту же самую волну в то же самое время, с точностью до миллисекунды из соседнего дома.
Разницу в положении фотографов можно заметить по сдвигу решетки.
Первый незаконный запуск спутников на орбиту!
Пост длинный, можете в любой момент проскроллить в самый низ — там фотка и краткий пересказ в двух предложениях.
Stealth-стартап (так называют компании, которые пока что не рассказывают о себе публично) из долины хочет сделать дешевую спутниковую сеть передачи данных для IoT. Сейчас спутниковый интернет это сложно и дорого, на каждую IoT железку не напасешься, а в морях и пустынях с LTE туговато. Основателей компании двое: девушка работала в NASA Jet propulsion lab и руководила разработкой проекта космических кораблей в Google X; парень продал Apple стартап про стратосферные шары и со-основал компанию по созданию электрического космического двигателя.
Их сеть состоит из наземных железок и спутников. Наземные железки собирают данные с устройств (IoT) на земле по Bluetooth и Wifi и передают их на спутник. Спутники ретранслируют эти данные обратно на наземную станцию, которая пересылает их по интернету на сервер заказчика. Сообщения могут ходить и в обратную сторону, от заказчика к IoT. Задержки при передаче большие, зато доступно по всей планете и дешево (утверждается, что в 400 раз дешевле Иридиума). Крутая идея, а у этих ребят вполне может и получиться. Две Fortune-100 компании уже заплатили за пилотный проект, интерес проявляют американские военные.
Проблема в том, что эти спутники слишком маленькие. 10см × 10см × 2.8см — объекты такого размера сложно отследить существующими радарами, а значит, есть вероятность, что они врежутся во что-то ценное. Представьте, какой урон может причинить брусочек, врезающийся в другой спутник на скорости 7 километров в секунду.
FCC (американский регулятор связи, отвечает за гражданские спутники) не дал разрешения на запрошенный запуск 4 тестовых спутников по соображениям безопасности. Стартаперы не долго думая покупают пару десятков килограммов нагрузки в индийском запуске и пуляют спутники в космос. Такие дела.
Пост длинный, можете в любой момент проскроллить в самый низ — там фотка и краткий пересказ в двух предложениях.
Stealth-стартап (так называют компании, которые пока что не рассказывают о себе публично) из долины хочет сделать дешевую спутниковую сеть передачи данных для IoT. Сейчас спутниковый интернет это сложно и дорого, на каждую IoT железку не напасешься, а в морях и пустынях с LTE туговато. Основателей компании двое: девушка работала в NASA Jet propulsion lab и руководила разработкой проекта космических кораблей в Google X; парень продал Apple стартап про стратосферные шары и со-основал компанию по созданию электрического космического двигателя.
Их сеть состоит из наземных железок и спутников. Наземные железки собирают данные с устройств (IoT) на земле по Bluetooth и Wifi и передают их на спутник. Спутники ретранслируют эти данные обратно на наземную станцию, которая пересылает их по интернету на сервер заказчика. Сообщения могут ходить и в обратную сторону, от заказчика к IoT. Задержки при передаче большие, зато доступно по всей планете и дешево (утверждается, что в 400 раз дешевле Иридиума). Крутая идея, а у этих ребят вполне может и получиться. Две Fortune-100 компании уже заплатили за пилотный проект, интерес проявляют американские военные.
Проблема в том, что эти спутники слишком маленькие. 10см × 10см × 2.8см — объекты такого размера сложно отследить существующими радарами, а значит, есть вероятность, что они врежутся во что-то ценное. Представьте, какой урон может причинить брусочек, врезающийся в другой спутник на скорости 7 километров в секунду.
FCC (американский регулятор связи, отвечает за гражданские спутники) не дал разрешения на запрошенный запуск 4 тестовых спутников по соображениям безопасности. Стартаперы не долго думая покупают пару десятков килограммов нагрузки в индийском запуске и пуляют спутники в космос. Такие дела.
Индусы закрывают крышку космического корабля. Внутри 4 американских нелегала.