Отлаживаем новый формат Медузы. Целевое устройство — маленький телефон в центре кадра. На больших экранах — код страницы и сетевые запросы телефона. Чувствую себя хакером из фильмов 🙈

О скрытой сложности, которую часто недооценивают: https://twitter.com/mathowie/status/838696822793101312

Вот схема, как Slack решает, послать уведомление или нет.

Apple перестал принимать обновления приложений, использующих rollout.io.

Раньше очередь на проверку обновлений приложений в AppStore была неделю-две и люди придумали целый бизнес на том, чтобы выкатывать хотфиксы без проверки. Сейчас среднее время ревью всего 1-3 дня — Apple прикрывает лавочку. Это всегда было против правил, так что нечего удивляться. Expedited review, к тому же, никто не отменял — нужно только уметь внятно формулировать мысли и говорить с живыми людьми.

Этот канал начался со знаменитой фотографии Маргарет Гамильтон, программиста) и руководителя разработки софта для программы Аполлон. Я не написал, когда в ноябре она получила высшую гражданскую награду США, медаль свободы. Исправляюсь и прикрепляю фото Гамильтон на церемонии награждения (тут много официальных, а здесь Хэнкс не удержался и поцеловал старушку).

Сегодня я хочу рассказать о другой женщине. Пэтти МакХаг (Patty McHugh) разработала материнскую плату для оригинального IBM PC. The mother of motherboard.

Отличный кусочек видео, где она рассказывает о проекте вместе с коллегой: https://youtu.be/XrhDaAmn5Uw?t=18m48s

Гугл начал раздавать халявный хостинг в своей облачной платформе. При превышении лимитов они просто берут деньги за ресурсы, использованные сверх нормы. Вот это круто https://cloud.google.com/free/

Конечно, там много ограничений, но для личных проектов, которые иначе сосали по несколько долларов в месяц на хостинг - в самый раз. С добрым утром.

Отличная статья про пароли. Правила, требующие специальный символ или цифру в пароле — идиотские. Вообще, страница аутентификации — безумно сложная, граф состояний там на порядок больше, чем можно предположить, если никогда её не делал. https://blog.codinghorror.com/password-rules-are-bullshit/
Ну и классическая картинка про пароли:

Siempo наконец-то рассказал чуть-чуть о том, что они планируют включить в свой телефон.

Siempo — проект создания смартфона, который будет экономить наше внимание, а не сжирать его. Я далёк от перекладывания ответственности за наше поведение на технологии, но любой предмет обихода участвует в формировании привычек.
Хороший пример — фейсбук. Цель его создателей — максимизировать наше время в приложении. И мобильные телефоны помогают ему, доставляя пуши и днём и ночью.

Или сколько раз мы доставали телефон отправить срочное сообщение другу и зависали в ленте fb/instagram/вк/слеке?

Siempo пытается создать телефон, построенный вокруг идеи “не отвлекать, но давать возможность”. Легко перестать отвлекаться, заменив смартфон на Nokia 1100, но как насчёт мессенджеров? Супер неудобно, но я настроил себе ОС и приложения, чтобы телефон не пищал постоянно, но при этом играл звук на звонки. И все равно я пропускаю какие-то сообщения коллег. Приходится выбирать между “отвлекаться каждые 5 минут” и “тот фрик, до которого хрен достучишься, когда он нужен”.

Не знаю, насколько хорошим получится их телефон, но радует, что кто-то пытается решить эту проблему.

Прототипы, как и рукописи — не горят. Пусть не сегодня, пусть не в этом продукте, но мы ещё воспользуемся этими идеями в будущем.

https://medium.com/@getsiempo/siempo-experiences-a-sneak-peak-f01ca74056e6

66% потерянных флешек содержат вирусы.

Зараженные флешки — мощный вектор атаки. Подкидываешь жертве флешку с вирусами и получаешь полный доступ к её компьютеру.

Такие зараженные флешки позволили проникнуть в защищенную сеть Пентагона (флешка на парковке). Их использовали для успешного проникновения в изолированную сеть иранской ядерной программы, где вирус повредил центрифуги для обогащения урана. Их регулярно разбрасывают около банков в ходе учений по ИБ.

Атаки бывают простые: вордовские документы с макросами и файлы фотки-из-отпуска.exe. Или сложные: специальные устройства (русская(!) вики, оригинальный пост) (там есть ссылки на видео доклада и pdf презентации 2014-го года(!)). Устройства выглядят как флешки, но при этом содержат дополнительные прошивки/драйверы для виртуальной клавиатуры или сетевого устройства. Они могут печатать на вашей клаве и перехватывать весь сетевой трафик. Вот, черт подери, пошаговая инструкция, как самому приготовить такую флешку.

Классный проект по защите от таких атак — программно-аппаратный комплекс из Raspberry Pi и софта. Получившийся мини-компьютер копирует все файлы с потенциально зараженной флешки на гарантированно чистую. Вирусы или аппаратные закладки остаются на оригинальном диске, на вашем — только чистые файлы в безопасных форматах.

У меня очередные новости о том, что безопасности в интернете нет (переименовать что-ли канал?). В квази-публичный доступ утекли персональные данные (имя-фамилия, компания, должность, телефон, электронная почта, домашние адрес, доходы самого персонажа и его родителей(!)) 33 (!) миллионов американцев. Дочка D&B продавала эти данные совершенно официально за много-много денег, просто никто не ожидал, что оно протечет в интернет.

Это, наверное, такой закон природы — любая privileged информация рано или поздно оказывается в публичном доступе. Теперь можно одним запросом получить персональные данные 32 инженеров-химиков и 715 intelligence analyst армии США. Удобно. Или делать массовые и при этом высокотаргетированные фишинговые рассылки по тысячам бизнесов в Америке. Как много полезного можно сделать с 55 гигабайтным архивом жирных, сочных персональных данных.

https://www.troyhunt.com/weve-lost-control-of-our-personal-data-including-33m-netprospex-records/

Но есть и хорошие новости, вот целых два классных инструмента для того, чтобы (учиться) программировать-прототипировать в браузере:

1. Glitch от легендарных FogCreek, создателей Trello.
К классическому функционалу Codepen и JSFiddle, которые позволяют редактировать html/js/css в браузере и тут же видеть результат, добавлена сильная социальная составляющая. FogCreek —  крутейшая техническая компания, посмотрите на Glitch сами, оно того стоит. Анонс

2. Sketch от команды Expo. Expo — что-то типа Rails, но для js/react native,  чтобы писать кроссплатформенные мобильные приложения на самом модном языке/стеке, не заморачиваясь самому тонкой настройкой инструментов. Анонс. Особо доставляет, что имя совпадает с супер-модным инструментом для дизайнеров Sketch от Bohemian Coding. Удобно, когда 2 разные вещи в одной среде называются одним и тем же именем (на самом деле нет).

Классная уязвимость в веб-версиях WhatsApp и Telegram.

Для того, чтобы быть взломанным, достаточно открыть специальным образом подготовленную картинку в веб-версии WhatsApp (кликнуть по ней, просто получить недостаточно). В веб-версии телеграма нужно запустить вирусованное видео и потом открыть его в новой вкладке.

Не знаю, сколько человек пользуются веб-версией этих мессенджеров, но способ атаки очень красивый.

http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/

Интересно, как PR Телеграма (видимо, сам Павел) наезжает на PR чекпоинта. При этом сам конструирует свой пост-опровержение так, что кажется, будто уязвимости в телеграме не было вообще никакой (а она была).

- Unlike in WhatsApp, nobody could take over your Telegram account by simply sending you a photo.
- Yeah, they would need to send you a video, lol.

Признаю, запустить вирусованное видео и открыть его в новой вкладке — более редкий сценарий, чем просто открыть фото. Но все равно интересно.

https://mobile.twitter.com/telegram/status/842065151121604611

Симптоматичный пост про то, как Segment.com уменьшили счет на БД в AWS на 1 млн $ в год. https://segment.com/blog/the-million-dollar-eng-problem/

Облака делают подход "throw more hardware on it" самым простым — они на этом зарабатывают. В какой-то момент ты понимаешь, что счет уж какой-то совершенно неприличный и начинаешь разбираться, что же там происходит в твоих данных да внутри этих магических технологий автоскейлинга.

Красивый heatmap нагрузки на DynamoDB, предоставленный сотрудниками AWS https://segment.com/blog/the-million-dollar-eng-problem/images/heatmap.png

Обратите внимание на красную полоску в зуме, это тормозной партишн, из-за которого они начинали добавлять ресурсы и жечь деньги https://segment.com/blog/the-million-dollar-eng-problem/images/heatmap-zoom.png

Это я к тому, что в 2017 можно отказаться от толковых инженеров, если у тебя есть неограниченный бюджет. В этом случае выбор между «платить амазону» и «платить инженерам» чисто этический. В первом случае мы платим за электроэнергию и rare earth elements, в другом — за интеллектуальный труд. Второе экологичнее.

Прекрасные новости, Intel объявил о работе по более полной поддержке FreeBSD (и пожертвовании FreeBSD Foundation 250,000$).

FreeBSD — очень личная для меня история, напишу об этом потом как нибудь, а пока лишь скажу, что это супер-полезно для индустрии в целом.

Несмотря на постоянный поток новостей «Yahoo переезжает с FreeBSD на Linux» и «Яндекс перевозит свой поиск FreeBSD на линукс», в мире всё ещё есть большие (десятки и сотни тысяч серверов) инсталляции FreeBSD. Надеюсь, так и будет. Мир с одним только Linux будет

Мир с одним только Linux — антиутопия, почти такая же мрачная, как тот культовый первый рекламный ролик Apple (в нем неприкрытая аллегория на IBM https://www.youtube.com/watch?v=OYecfV3ubP8 )