Пронзительно романтичное описание романа между мужчиной и женщиной (и одновременно про приватность и шифрование в сети!)

От первой половины текста невозможно оторваться, это настоящая хорошая проза, редко встречается в блогах.

https://backchannel.com/love-in-the-time-of-cryptography-dd3a74193ffb

Доводить идею до абсурдного абсолюта - хороший способ её проверить. Есть некоторое число фильмов и книг, где люди в частности или человечество в целом записывает, помнит и может мгновенно вспомнить все. Все эти произведения - антиутопии.

Закончу цитатой из прекрасного рассказа о вечной памяти (правда, в разрезе копирайта), "Сенатор, вы когда-нибудь видели жизнерадостного слона?" http://royallib.com/read/robinson_spayder/gizn_korotka_avtorskoe_pravo.html#0

Netflix год назад начал передавать видео в HTTPS. Подозреваю, что причина была "because we can", но маркетинг нам заливал про приватность. Так вот, чуваки идентифицируют Netflix-фильмы с точностью 99.9% по двум минутам TCP заголовков зашифрованного HTTPS потока. Оказалось, что, последовательность размеров сегментов VBR-сжатия уникальна для каждого видео.

Аналогия для не-компьютерщиков такая: вы подписаны на порно-журналы по почте. Они запакованы в непрозрачные конверты. Атакующий взвешивает каждый входящий конверт в течении 2-3 месяцев и по изменениям веса однозначно определяет ваши интересы. Мета-дата, сэр.

http://www.mjkranch.com/docs/CODASPY17_Kranch_Reed_IdentifyingHTTPSNetflix.pdf

Душераздирающая статья про COBOL. Это такой язык программирования из 1960-70х, на котором написано некоторое число банковских систем, которые безумно дорого заменить на свежие. Теперь у директоров банков проблема - специалисты не то, чтобы на пенсии - оттуда ещё можно вытащить человека, предложив достаточно много денег; они умирают от старости. И история компании, которая специализируется на такого рода поддержке. Молодежью там называют сотрудников, которым по 40-50 лет. Какой разительный контраст со смузи-тусовкой.
http://mobile.reuters.com/article/technologyNews/idUSKBN17C0D8

Все вы, наверняка, видели эту картинку.

И на самом деле, операционисты Сбербанка не могут закрыть карточку, выданную другим отделением банка.

Сотрудники не хотят делиться этим знанием, но я сегодня узнал хак - они могут принять заявление, которое в течении 45 рабочих дней обработает отделение, выпустившее карту. Шах и мат, блокчейн.

Идея понятна - ситуация редкая, разумно сделать ручную обработку вместо полноценного программирования и интеграции.

Большая часть работы технаря  - найти эту грань, когда пора перестать ставить заплатки и начать программировать.

Небольшой рассказ, как дидосили Медузу 2 недели назад и пара советов для медиа в мире дидоса: https://dev.meduza.io/ddos-ab63424e595e

Bitbucket сделал редизайн, стало симпатичнее. После демократизации прайсинга github он уже не сильно дешевле, смысл экономить для бизнеса пропал. Но, зато, в отличие от github, bitbucket дает бесплатные приватные репозитории — удобно для личных проектов, которые не хочется светить всему миру.

Если ищете место для хостинга репозитория — не забудьте, что третий крупный игрок рынка — gitlab. У них тоже всё достаточно симпатично и сильно бесплатно.

Работу технического директора можно описать, в том числе, как поддержку пользователей. Как внутренних — редакторов, дизайнеров, разработчиков, так и внешних — читателей, контрагентов, подрядчиков. Поэтому, user support истории мне очень близки.

Отличная история от Microsoft, поднимает настроение на весь оставшийся день (внутри пользователь пишет письмо Биллу Гейтсу, когда техподдержка его не устраивает): https://blogs.msdn.microsoft.com/oldnewthing/20170418-00/?p=95985

Status — новый и очень красивый проект на основе Etherum.

Etherum — блокчейн платформа (на аналогичной штуке построен знаменитый Биткоин). Это базовая технология, которую можно использовать для создания децентрализованных продуктов и платформ — собственных крипто-валют, голосований, краудфандинговых систем. Главное отличие от обычных систем — отсутствие центрального сервера как источника истины, на который можно надавить. Демократия (может быть и охлократия, тут это не важно) в чистом виде.

Классно, что для создания этих штук не обязательно быть математиком 60lvl, все базовые алгоритмы уже запрограммированы, нужна идея, пользователи и довольно обычное программирование на основе библиотек Etherum.

Мессенджер Status, кроме возможности обменяться сообщениями и деньгами, даёт доступ к многим уже существующим продуктам на основе Etherum — к фриланс-бирже Ethlance, арт-рынку Ujo Music и обменникам криптовалют, например. И всё это доступно внутри мессенджер-интерфейса, в iOS приложении, с нормальным UI/UX!

Это первый мессенджер-бот-продукт, который не кажется мне притянутым за уши. Блокчейн-тусовка теперь состоит не из крипто-анархистов, а вполне респектабельных дядек в дорогих костюмах и стартаперов со смузи (и дизайнерами). Я очень надеюсь, что через пару лет мы увидим классный децентрализованный интернет.

Make the internet great AGAIN!

В свежем релизе Gitlab теперь можно заводить почтовые адреса техподдержки, письма на которые автоматически создают issues. Все комментарии к ним отправляются баг-репортеру по почте.

Как же приятно видеть конкуренцию между этими тремя Github, Bitbucket и Gitlab - идеальная ситуация для рынка. Вот бы так во всех остальных областях. https://about.gitlab.com/2017/04/22/gitlab-9-1-released/#service-desk-eep

Стандартным решением для ящиков техподдержки, кажется, до сих пор является Zendesk. Мы в Медузе используем Google groups. Интересно, есть ли классные инструменты, не такие сложные как Zendesk и при этом более удобные, чем Google groups?

iTunesConnect тихо выкатил крупное обновление, теперь можно тестировать несколько бета-версий одновременно. Пользователь может выбрать, какой билд он хочет установить.

Чувак долго вопил, что у BBC очень тормозной сайт и год назад ему дали возможность попробовать переделать главную. Наконец, она уже почти в продакшене. Вот пост-представление и можно посмотреть demo. В минимальной версии сотня запросов на более чем полмегабайта превратились в 3 запроса в 39KB. Внутри стандартные приемы + хардкор вроде preact'а. У Джозефа объяснение такое, что «у всех мобилы + много дешевых телефонов и плохого интернета в Индии».

Для Россиян — я бы не сбрасывал со счетов китайские андроиды и  московский 3G 👹, так что для нас это всё тоже актуально.

Мы в Медузе давно бьемся за производительность и скорость рендеринга, но нам есть куда расти (то есть ужиматься), работаем дальше.

Классная пятничная новость — мужчина из Литвы сфродил/сфишил 100 миллионов долларов, да ни у кого-то, а у Google и Facebook.
https://www.theguardian.com/technology/2017/apr/28/facebook-google-conned-100m-phishing-scheme
Самая большая дыра в безопасности всегда располагается между стулом и клавиатурой 😐

Не стал писать на этой неделе о многих интересные открытиях; все они у меня в Reading List, выложу на выходных.

Изменение архитектуры проекта при масштабировании. Обратите внимание на отличающуюся конфигурацию палок и брёвен.

У больших качелей сняли люльку, но я видел её в продакшене, там все деревянное без верёвок.

Security advisory уже никого не удивишь — мы видели уязвимости в OpenSSL и в ядре Линукс, не говоря уже об Андроидах или Windows. Но как вам уязвимость в процессорах, которую можно эксплуатировать как локально так и удаленно?

Короче, Escalation of Privilege Advisory (Intel Corp.) — самый страшный заголовок, который можно себе представить. Статья с таким заголовком была опубликована 20 часов назад на официальном сайте Intel.

Intel не раскрывает подробностей (sorry, script kiddies, уже готовые ломать всех подряд), но предлагает firmware update и mitigation guide призванные обезопасить владельцев уязвимых процессоров.

Уязвимость затрагивает только серверную линейку процессоров Intel (Xeon), а точнее — программу Intel Active Management Technology (AMT), запускающуюся на отдельном ко-процессоре Intel Management Engine. Это такой компьютер-в-компьютере, который всегда включен и управляет материнским компьютером без ведома его операционной системы и уж тем более — пользователя. Технология нужна для больших серверных ферм, где настраивать каждый сервер руками слишком дорого.

Прикол в том, что эта штука а) проприетарная, так что никто не знает, как именно она работает и не содержит ли закладок (привет АНБ и боящиеся её русские вояки) б) её нельзя выключить, вообще никак.

Известный фрик (зачеркнуто) пророк (зачеркнуто) активист Ричард Столлман ещё 4 года назад бил тревогу, что эта технология — путь в ад и вот, наконец, первая уязвимость. Сколько таких zero-days хранятся в запасе у АНБ, принимавших участие в разработке этих технологий - можно только догадываться.