Регистратор tierra.net без предупреждений выключил домен Zoho.com из-за 3 (трех) жалоб на спам и не выходил на связь. Эксперты утверждают, что спама с их адресов, на самом деле, в последнее время многовато, но это не повод выключать сервис, у которого, на минуточку, 40 миллионов пользователей.

Zoho.com — конкурент корпоративных пакетов Google и Microsoft; у них полный комплект всех приложений, от почты до документов. В Zoho можно, например, создавать приложения без кода. Zoho creator — старый и уродливый, но рабочий инструмент.

CEO Zoho смог быстро поднять волну хайпа и выйти на регистратора, так что те восстановили доступы в течении часа, но из-за кеширующей природы DNS (серверы экономят запросы и запоминают ответы надолго), у некоторых людей сайт не работает до сих пор.

Очередной урок нам всем — проверить, что домены у приличного регистратора. Я пользуюсь namecheap, а если нужен экзотический tld (типа .ke) — то gandi.net. Ах да, не держите ничего важного на .ru — только редиректы, только хардкор.

В последние дни мне стало грустно (устал немного) и я с теплом вспоминаю, как мы встретились всей нашей распределенной командой разработки в Москве в начале месяца. Всего три дня живого общения с людьми, с которыми проводишь онлайн большую часть жизни — и все онлайн-коммуникации воспринимаются чуть-чуть по-другому. После личной встречи, проще разглядеть за буковками в интернете человека. С чувствами, мыслями, ошибками — живого человека, а не функцию.

Ну и совсем просто — после живой встречи (работы сидя рядом) проще понять, что хочет сказать человек «с другой стороны экрана». Меньше непониманий → выше эффективность.

Я слышал о командах, в которых люди вообще ни разу не виделись, даже в скайпе, и общаются только по переписке. Расскажите, как работаете удаленно вы?

Дорогая команда.

Что-то я всё про личные дела и про западные мега-корпорации. А вот вам свежей русской IT-безопасности от Аэрофлота. Исходные коды всех веб-приложений Аэрофлота годами лежали в открытом доступе по адресу http://89.208.149.202:5000/v2/_catalog. Docker Registry API позволяло не только скачивать исходные коды приложений, но и редактировать их всему интернету. Публичный репозиторий со всеми исходниками и описанием, кхм, уязвимости появился 3 дня назад. Доступ к оригинальному API уже прикрыли, но покопаться в тонне джанги можно тут.

Не удивлюсь, если у Аэрофлота ещё десяток подобных проколов и кто-то годами а) сосет персональные данные клиентов б) крадет бабло потихоньку или летает нахаляву.

Мораль, как всегда, простая: заказывайте регулярный аудит информационной безопасности у профессионалов. Это не супер-дорого, а от такого вот позорища убережет. Могу порекомендовать нормальных ребят, если это читает представитель Аэрофлота ;)

P.S. Интересно, что первым про это написал The Register вчера ночью, а наши перепечатали сегодня утром.

P.P.S. Вот что пишут знакомые безопасники: аэрофлот, кстати, ужасная бюрократическая машина, знакомый сливал их исходники из другого места давно, они не посотрудничали. Там такая типичная корпоративная х*йня с откатами итд

​​Антон перенес бэкенд-тесты с дженкинса (и стейджинг-тачки) на модный circleci. Время тестирования у нас сократилось с 47 до 10 (!) минут. Тачки, вроде, обычные — 2CPU/4GB, а работает всё быстро. Приятно.

1500 минут в месяц бесплатные, один платный контейнер в месяц стоит 50$ и снимает это ограничение. Обратите внимание, докер-кеши стоят ещё 40$ (они как раз меняют прайсинг и ещё не объявили об этом), но их довольно просто настроить самим.

Cloudflare собирается прихлопнуть рынок регистраторов доменных имен, так же, как LetsEncrypt уничтожает рынок SSL-сертификатов.

Они уже давно юридически являются регистратором, но предлагали свои услуги только за большие деньги крупным клиентам. Теперь, они начинают принимать к себе домены .com, .net, .org и .info, купленные обычными клиентами у других регистраторов. Доступ к фиче только по инвайтам. Инвайты выдаются небольшими порциями, более старым клиентам CF — в начале. Есть способ прыгнуть в начало очереди — пожертвовать хотя бы доллар организации Girls Who Code. В будущем, они обещают поддержку практически всех доменов верхнего уровня (TLD; проще говоря, то, что идет после точки) и прямую первичную регистрацию, а не только перенос, как сейчас.

Главное — Cloudflare обещает не брать никакой наценки сверх налога, установленного администратором TLD. Для .com это 7.85$, для .ru — около 170 рублей за домен. Обычные регистраторы «зарабатывают» на двух схемах. Первая: регистрация домена — доллар, а вот продление во второй год — 30$. Теоретически, клиент может перенести домен в конце года к другому регистратору, но регистраторы намеренно делают эту процедуру неудобной, да большинство людей и не знает о такой возможности. Второй прием — апсел. Как насчет услуги перенаправления почты за 10 долларов в год? А может, скрытие персональных данных из WHOIS за 5$? То, что делают автодилеры и продавцы телефонов, только в более чистой и беззастенчивой манере.

Делая правильные и хорошие вещи, Cloudflare при этом всё более централизует базовую инфраструктуру интернета в себя. Принс (CEO Cloudflare) говорит очень правильные вещи про Due process, но сути потери децентрализации и «духа фронтира» это не отменяет. Как бы то ни было, этот анонс приурочен к 10-летию Cloudflare и я их от души поздравляю.

Про то, что фейсбук взломали и украли ключи доступа к 50 миллионам аккаунтов, я, вначале, решил не писать.

Уж слишком всё предсказуемо и противно. И то, как фб анонсировал этот факап пользователям, аккаунты которых взломали: ни слова про взлом, а очередной булшит «ваша безопасность важна вас, посмотрите как мы защитили ваш аккаунт» (sic., лол). И утренний конференц-звонок Цукерберга с ведущими западными СМИ, где он сказал «We’re taking it really seriously» (sic., лол).

Но вот то, что алгоритмы фб запретили шарить статьи об этом; буквально: «эту ссылку слишком много шарят, похоже она спам» — очень смешно и достойно поста.

Интересно, как фб обнаружил этот взлом. Они заметили необычный рост посещений сайта и начали копать, откуда он взялся.

Технические детали для любителей: как и 8 лет назад, дырка была в функции «посмотреть, как видят мой аккаунт другие люди». Мне сложно придумать, как сделать её без багов. View as это read-only интерфейс, но для рекомендаций поздравить пользователя с днем рождения программисты забыли выключить компонент шеринга видео. При вызове его из режима «view as», компонент генерировал токен имперсонированного пользователя, причем токен с расширенными правами. Этот токен можно было подсмотреть в клиентском HTML.

Свежая «безопасность» от Новой Зеландии: за отказ дать пограничнику пароли от своего телефона и компьютера теперь положен штраф в 5000$.

Китайцы прямо на границе ставят шпионский софт в андроид телефоны, а вот адская история о канадском (!) пограничнике, который копался в тиндер-переписке и обвинял девушку в проституции потому что «не может быть, чтобы девушка делала это бесплатно».

Я не слышал о «цифровом досмотре» на русской границе, но жду, когда тренд доберется до России.

Защититься просто, но неудобно. Делаете полный бэкап телефона в облако и сбрасываете телефон в заводское состояние. Ставите только минимальные программы типа карт и убера, чтобы добраться из аэропорта до отеля. Меняете пароль на что-то простое. По просьбе пограничника, с легкой душей отдаете ему «чистый телефон» и говорите пароль «password / 1234». По прибытии в отель опять сбрасываете телефон в заводское состояние и восстанавливаете устройство из облака. Главное — не пытайтесь обмануть и что-то скрыть от пограничника, во многих странах это уголовное преступление.

В такие моменты, у меня возникает ложная иллюзия «мира, который мы потеряли» из 60-х. Вспоминаю истории, что раньше можно было сесть в самолет без документов и досмотров. Я одергиваю себя, что в прошлом, я вряд ли смог бы позволить себе столько летать. В любом случае, весь этот «театр безопасности», реально безопасность не улучшающий — порядком надоел.

Приятный анонс с работы: за последний месяц мы собрали самый большой в мире каталог видеоигр (245 тысяч игр!) и прикрутили возможность править карточки игр обычным игрокам. Раньше, у нас было мало мобильных и indie игр, теперь есть практически всё. Раньше, игроки писали нам о неточностях и мы правили их в админке, теперь ошибку может исправить любой желающий прямо на сайте.

Впереди гораздо более интересные штуки (я сам порой залипаю на наш альфа-прототип), но полнота и качество базы — основа, на которой мы строим свой сервис.

UGC редактирование баз данных — классический rabbit hole. Казалось бы — ну формочки простые, кнопка «сохранить» и «отменить». В реальности, нужен десяток разных контролов и все они должны вести себя чуть по-разному, чтобы ими было удобно пользоваться. Мы заморочились (местами даже слишком) и получилось довольно круто. Пока для редактирования доступны три первых экрана: базовая информация, скриншоты и сторы, но основа уже есть и остальные экраны мы будем открывать постепенно в ближайшие недели.

Проект вскрыл недостаточное вовлечение программистов в дизайн-процесс, правим это (приглашаем дизайнеров на еженедельные видео-созвоны разработки, например).

Про парсинг стоит написать отдельный пост, пока же дам одну, но важную рекомендацию: используйте scrapinghub.

В ролях: продакт 🤔 Алексей Горностаев, дизайн 🖌 Эрлан Жолдош, фронтенд 🖼 Роман Ахмадуллин и Ольга Котова, бэкенд ⚙️ Евгений Уваров и Антон Шурашов, бесценный консультант и редактор нашей базы 📝 Евгений Цветков. Ура!

Атомная история от Bloomberg BusinessWeek — одного из самых уважаемых новостных изданий.

В большой статье, опубликованной 11 часов назад, утверждается, что специальное подразделение китайской армии уже многие годы устанавливает в серверные материнские платы закладки — чипы, позволяющие получить несанкционированный доступ к этим серверам.

Утверждается, что власти США ведут расследование уже больше 3 лет, что выявленные жертвы атаки — почти 30 крупнейших компаний США, включая крупный банк, военных подрядчиков, Apple и Amazon. Bloomberg утверждает, что эту информацию им подтвердили 17 человек, включая высокопоставленных чиновников Соединенных Штатов, двое сотрудников Amazon AWS и двое высокопоставленных сотрудников Apple.

Я пишу «утверждается» потому что в официальных заявления Amazon и Apple прямо опровергают эту информацию. От лица Apple говорит их пресс-служба, как обычно. Заявление Amazon опубликовано от имени руководителя службы безопасности (СISO) Amazon AWS. Либо Bloomberg BusinessWeek крупно облажался, либо крупнейшие корпорации врут. ФБР и Директор национальной разведки (говорящего за ЦРУ и АНБ) отказались от комментариев.

В статье куча деталей, которые сложно придумать. Утверждается, что Apple и Amazon обнаружили закладки независимо. Applе обнаружил закладки по странному сетевому трафику и ошибкам в firmware, заявил о находке в ФБР, но не дал доступа к своему железу или инфраструктуре; в течении пары недель списали все 7 тысяч уже установленных серверов и прервали все бизнес-отношения с SuperMicro. Amazon обнаружил проблему в ходе due diligence, который они проводили перед покупкой компании Elemental Technologies, все серверы обработки видео которой производились SuperMicro. Они передали свои серверы правительству для изучения и тут-то маховик и закрутился.

Власти США проследили весь путь вредоносных железок, вплоть до посредника, который приходил на заводы-подрядчики Supermicro и сначала предлагал взятку управляющему завода, а если тот отказывался — то пугал его государственными проверками, которые закроют завод надолго.

Это, конечно, просто ядерный взрыв. 90% всей компьютерной техники производится в Китае. Вся компьютерная индустрия зиждется на трех верованиях: 1) сделать рабочую аппаратную закладку так сложно, что практически невозможно 2) доставить эту аппаратную закладку конкретной жертве — ещё сложнее 3) китайцам самим дороже что-то такое химичить. Следствие этих верований — массовое железо безопасно. Уже не кажется таким глупым, что русские вояки делают свои чипы на своих заводах. Уже не кажется таким странным, что Трамп начал торговую войну с Китаем. Хотя, казалось, что ещё может нас удивить после после того, как «шпионский камень» оказался реальностью?

Вишенка на торте — то, как американцы определили остальных жертв. Они отследили, к каким управляющим серверам подключается закладка, взломали эти серверы и уже оттуда подсмотрели остальных жертв. Как же это красиво. Эта последняя деталь убеждает меня в том, что история — правдивая.

Рекомендую прочитать оригинал статьи, от него мурашки по коже.

Если хотите разобраться в блокчейне, то свежая публикация национального института стандартов и технологий США (NIST) «обзор технологии блокчейн» — хороший способ и повод это сделать. PDF на 68 страниц A4 — отличное введение в тему. Структурированное, так что можно пробежаться глазами, а можно погрузиться в детали, и достаточно полное. Важно, что текст очень приземленный. Авторы не стыдятся упомянуть реалии мира, вроде майнинговых пулов, так что после прочтения вы будете знать не только технические основы, но и то, как они применяются в жизни.

​​Планируя домашние бэкапы, обнаружил, что стоимость терабайта практически не зависит от объема диcка (раньше, крупные винчестеры стоили дороже).

А ещё убедился, что Numbers эстетически на голову выше Excel и Google Sheets. В нем можно составить цельную историю с множеством таблиц, текстом, картинками. Кайф.

Пока все с переменным успехом копируют формат Stories, снепчат запускает новый формат интерактивных видео-сериалов. Сериалы называются Snap Originals, состоят из 8-12 эпизодов. Эпизоды выходят по одному в день и длятся по 5 минут. После некоторых сцен можно «заглянуть» в так называемый «Snap portal» — самый настоящий VR.

Очень бодрый трейлер и классный лендинг, где можно посмотреть трейлеры 7 первых сериалов, 3 из которых доступны уже сейчас. Всего анонсировано 12 сериалов, среди них драмы, триллеры и документалки.

Как говорил наш бывший президент, «Netflix сейчас напрягся».

Если хотите посмотреть сами — ставите снепчат (iOS, Android) и открываете снепкод из лендинга. Для таких же старперов как я сам, подсказываю, как открыть снепкод: наводите на него камеру (внутри снепчата, ясное дело) и держите на снепкоде палец.

Новости медиа: мой любимый The Economist опубликовал исходные данные и скрипты, с помощью которых составляет знаменитый «индекс бигмака» (ru-wiki). В гитхаб-репозитории исходные данные и юпитер-тетрадь со скриптами на python и R.

Публикация данных и алгоритмов (исходных кодов), на основе которых принимаются решения и делаются публикации — хороший и важный тренд.

На картинке — таблица про кофе из первого выпуска The Economist, передает привет современному датасайнсу из 1843 года.

Локальная история. Есть очень популярные (и классные) роутеры Mikrotik. Они недорогие и достаточно мощные. Их собирают и программируют в Латвии (!).

В их операционной системе RouterOS была уязвимость, которая позволяет получить полный контроль над роутером удаленно. Mikrotik в течении нескольких часов после публикации уязвимости выпустил патч (исправление), но сотни тысяч устройств всё ещё не пропатчены.

Нехорошие хакеры взламывают роутеры сотнями тысяч и добывают на них криптовалюту (и крадут чужую).

Хороший хакер из России Алексей взломал около ста тысяч таких незащищенных роутеров и закрыл на них уязвимость удаленно, оставив в администраторском интерфейсе свои контакты. Алексей пишет, что за все время его поблагодарили не больше 50 человек. Нашлись и недовольные. Формально это, конечно, нелегально, но очень круто. Ходят слухи, что он пропатчил не только «оконечные» устройства в домах людей, но и железо внутри инфраструктуры некоторых провайдеров связи!

В очередной раз узнаю о русской истории из зарубежных медиа.

Супер крутой интерактивный рассказ про то, как устроен TLS (который ещё зовут SSL'ем). Разобран буквально каждый байт, переданный между клиентом и сервером.

Старший дизайнер из StackOverflow рассказывает, как у них всё remote-first, а не просто remote-friendly.

Длинный и интересный пост с кучей деталей об организации удаленной работы в компании (и дизайн-процессе). У них, например, есть специальный человек, который помогает (удаленно) обустроить домашний офис и разобраться с налогами, а все встречи проводятся через видео-связь (никаких «мы тут соберемся, а ты звони)». Клёвые иллюстрации (видно, что пост делал хороший дизайнер), образцовый пример онлайн-рассказа и отличная реклама работы в компании.

Не всё, что они делают, я готов применить у себя прямо сейчас. У нас всего 11 человек в команде разработки и мы больше экономим, но то, как устроена удаленная работа в StackOverflow — хороший ориентир.

Спасибо за наводку в нашем чатике Максу Сябро.

Discord запустил свой магазин игр. Ютуб-ролик анонс просто чумовой.

Для тех, кто в танке: дискорд — главный форум игроков, в виде чатов с упором на аудиозвонки; cтим — главный магазин видеоигр для компьютеров (у приставок свои магазины).

В бета-анонсе они рассказывали, что это будут внимательно отобранные инди-игр, в отличие от бесконечного супермаркета стима. Приложение, конечно, супер-аккуратое, в отличие от довольно неряшливого стима. Стим, кстати, планирует запустить свой аудио-чатик вокруг сообществ, в пику дискорду.

Интересно наблюдать, как на рынке видеоигр разворачивается настоящая война, в то время как большинство людей даже не догадываются об истинном размере этой многомиллиардной индустрии.

Facebook на прошлой неделе запустил Portal — планшет на подставке, с хорошим микрофоном и камерой, способной следить (поворачиваться в сторону) за говорящим.

Я бы с удовольствием купил такую железку домой и всем бабушкам-дедушкам, если бы её сделал Apple. Такое же устройство от Facebook — Шоу Трумана.

На запуске, Recode писал со ссылкой на Facebook, что никакие данные с устройства не будут использовать для таргетирования рекламы. Сегодня представитель Facebook извинился и уточнил, что информация о звонках и использовании приложений всё же может использоваться для таргетирования рекламы. QED

​​Раз уж речь о таких железках — я бы с удовольствием поставил дома у себя и у родителей Microsoft Surface Hub 2. Совершенно космическую железку обещают выпустить в 2019 году, посмотрите сами видео — рекламный ролик и живое демо. Жаль стоить будет, наверное, тысяч десять долларов, как и первый Surface Hub :(