Выпустили вчера залипальную игру на механике city/tower bloxx.

Прикол в том, что подрядчик, а проще говоря, парень, который нам её спрограммировал — не умеет писать код. Валера целиком собрал её в визуальном редакторе-движке Construct 2. Как хотите, но будущее уже наступило.

Помните, «кремлевские хакеры» ломали оппозиционеров через краденые смски?

«Коммерческие хакеры» начали использовать дыру под названием SMS в промышленных масштабах для опустошения банковских счетов законопослушных бюргеров. А значит, не далек день, когда мы перестанем пользоваться смсками для любых штук связанных с безопасностью. Наконец-то.

Чтобы вы не удивлялись, протокол GSM (2G) — 1987 года выпуска, контрольный протокол SS7 — 1975 (это не опечатка).

Учитывая, что нас уже больше 3 тысяч, я чувствую некоторую ответственность, так что вот социальная реклама: используйте Google Authenticator для получения одноразовых кодов, не смс. И включите 2-факторную аутентификацию, пароль слишком легко потерять.

У строителей под моим окном классическая «микросервисная архитектура приложения». У них есть 3 сервиса — полый бур, сверлящий дырку в земле, бетономешалка, не дающая бетону застыть и насос, закачивающий бетон из мешалки в отверстие, сверлимое буром.

Красным на картинке отмечены места, в которых один сервис «передает» бетон другому. Там должны быть подходящие отверстия, крепления и допустимое предельное давление бетона (чтобы это всё не разорвало) — это API. API — договоренности, по которым сервисы общаются друг с другом.

Допустим, можно было бы сделать убер-машину, которая умеет все — сверлить, качать и мешать. Засыпаете бетон, вставляете сверла и она делает вам готовые заполненные бетоном дырки — это была бы «монолитная архитектура приложений». Её было бы сложнее транспортировать по улицам и, наверное, ей нужен был бы очень крутой инженер для обслуживания.

В случае разделения машины на части мы можем выбрать разных производителей отдельных частей, достаточно, чтобы все они соблюдали стандарты и поэтому могли работать вместе.

Про разворачивающуюся сейчас вирусную эпидемию: https://medium.com/@samat/крупный-вирус-вымогатель-8a16b2492ef2

Хорошая статья про сложность обновлений, в противовес моему утверждению «кто не обновился тот дурак»

Особенно тяжело обновлять медицинское оборудование — это то, что сейчас модно называть «интернет вещей». Они гарантированно работают в течении 5-10 лет в том виде, что их поставили. Причин две: 1. Часть из них не могут обновиться — у маленьких железок не хватит ресурсов; 2. Важные железки очень жестко тестируют, при этом любое обновление влечет необходимость дорогого и долгого повторного тестирования. Вы ведь не хотите, чтобы вдруг завис рентгеновский аппарат, в момент снятия снимка?

Я в бытность студентом работал сисадмином в биологической-генетической лаборатории. Единственная железка, которую я помню смог обновить — атомный микроскоп от JPK. Производитель выпустил «свежую» версию дистрибутива на Linux годовой давности. И это было очень круто, предыдущей версии было 4 года. Чтобы вы понимали — критичные обновления безопасности обычно выходят каждые 2-3 месяца.

Пока весь мир следит за приключениями вируса-вымогателя (несколько часов назад создатели выпустили вторую версию, исправленную и дополненную), почти незаметно прошло появление нового качественного трояна для MacOS.

Хакеры взломали сайт популярной программы для сжатия видео Handbrake и заменили файл-инсталлятор, добавив к настоящей программе троян Proton.B.  https://forum.handbrake.fr/viewtopic.php?f=33&t=36364

Это качественная малварь. Она как минимум отсылает атакующему все ваши пароли, включает кейлоггер и удалённый доступ к компьютеру. https://www.cybereason.com/labs-proton-b-what-this-mac-malware-actually-does/

Дорогие пользователи Макбуков - добро пожаловать в мир, где легко подцепить серьёзную бяку, а не только MacKeeper (это мусор, который сложно вычистить, но серьёзного вреда от него нет).

К сожалению, технически MacOS не особо защищённее Windows. Вся эта тема с вирусами - бизнес. Раньше пользователей маков было мало и разрабатывать малварь под MacOS  было экономически не выгодно. Теперь это меняется. :(

Учитывая, что почти у всех редакторов Макбуки - это ещё одна головная боль для технических директоров медиа.

Кстати, самый безопасный персональный компьютер на данный момент - айпад. Если вы параноик - iPad со внешней клавиатурой - ваш выбор.  (Только не все клавиатуры одинаковы, текст с некоторых легко перехватить удалённо :/)

Мораль: жить вредно, все умирают.

У Mailchimp (крупнейшая система рассылки писем) теперь модно блокировать аккаунт без причины и писать письмо в стиле «хотите узнать, почему вас заблокировали — напишите нам письмо». Имейте в виду, если отправляете через него рассылки (лучше пока, кажется, всё равно ничего нет :(.

Разблокировали через полтора часа, почему блокировали — не говорят (мол это помешает алгоритмам делать их работу). Неприятное чувство, похожее на то, когда менты тормозят и требуют документы без причины.

Ненавижу эти автоматизированные системы слежения и контроля. Особенно неприятно то, как они этой автоматизированностью гордятся: https://mailchimp.com/omnivore/

Хороший гайд по HTTP-заголовкам, ответственным за безопасность https://blog.appcanary.com/2017/http-security-headers.html

Полезный сайт про размеры экранов айфонов, вдруг у кого-то ещё нет его в закладках https://www.paintcodeapp.com/news/ultimate-guide-to-iphone-resolutions

В слеке теперь можно шерить экран, о да! https://twitter.com/SlackHQ/status/864528371312500737

Нам всем есть что рассказать о безумствах с точки зрения компьютерной безопасности. Но это тот случай, когда «hold my beer».

http://svedic.org/programming/mastercard-serbia-asked-ladies-to-share-fb-photos-of-among-other-things-their-credit-card

Mastercard Serbia сделал конкурс, в котором нужно шарить в соцсетях фотки своей банковской карты. (подсказка — так делать не стоит)

Не стоит потому, что для проведения успешной транзакции по банковской карте (aka снять денег) достаточно иметь её номер и срок действия.

Все эти CVV-коды, смс-ки от банка и прочие ухищрения можно отключить, если продавец захочет. Даже на поверхности документации платежных систем есть много очень интересных деталей. Я начинал с документации платежного гейта Braintreе, ну и дальше down the rabbit hole. Рекомендую, fintech — увлекательная сфера.

Вчера мы запустили Вечернюю Медузу 2.0

Раньше, на самую короткую газету на свете, можно было подписаться по почте и в телеграм канале.

Теперь Вечерняя Медуза появляется как полноценный материал на главной странице Медузы (и в RSS-потоках). На нее можно дать ссылку или расшарить в соцсетях, как и любую другую статью Медузы. К старым способам подписки добавилась возможность подписаться на пуш-уведомления в приложениях и на сайте (для Chrome и Firefox).

https://meduza.io/brief/2017/05/16/vechernyaya-meduza

Это один из проектов, затрагивающий все платформы Медузы, вовлекающий почти всю техническую команду.

Ещё это пример двух важных принципов:
1. мягкого, постепенного запуска. Основной деплой был в прошлую пятницу, а финальный — в понедельник. Мы смогли оттестировать почти все функции в продакшене, читатели этого не заметили;
2. graceful degradation. На старых мобильных клиентах вечерка показывается как фичер, а не как пустое место.

Кстати, это первый продуктовый запуск, в котором Настя Яровая — арт-директор, а Боря Горячев — заместитель технического директора.

В главных ролях:
Продакт: Ilya Krasilshchik
Арт-директор: Nastya Yarovaya (макеты — наследство Sergey Surganov)
Технический директор: Samat Galimov
Менеджмент и бэкенд: Боря Горячев
Фронтенд админки: Nikita Komarkov
Вебсайт: Anton Byrna и Kirill Balyasnikov
Android и iOS: Артемий Гарин и Max Rovnov
Ops: Dmitry Zakharov

💪

P.S. По пути мы переделали движок веб-пуш-уведомлений, но об этом будет отдельный пост.

Телеграм выпустил версию 4.0, внутри:
- видео-сообщения (с возможностью просмотра видосов на специальном сайте telesco.pe);
- платежи, теперь разработчики ботов могут принимать деньги, вот тестовый @DonatBot (для работы нужна обновленная версия телеграма);
- Instant View получил два обновления: 1) можно добавить кнопку подписаться на канал внутри IV-статей; 2) тимплейты парсинга можно редактировать публично.

Ну и как принято в телеграме — конкурс.

Есть список из 1000 сайтов, для которых, г-н Дуров хочет заиметь тимплейты поскорее. За каждый годно оттимплейченный сайт он выдаст 100$. Два самых задротистых коммиттера получат по 10k и 5k$, соответсвенно.

Кстати, meduza.io в списке и никем не занята.meduza.io в списке и никем не занята. Тот, кто займет её тимплейт, получит ужин и бутылку рижского бальзама от меня лично. Билеты в Ригу не оплачиваются, приз также можно получить в Москве. Если вы не пьете — обсудим приз отдельно.

Налетай.

Красивая карта того, как фиатные деньги перетекают в биткоины в реальном времени (по поводу того, что биткоин опять бьет рекорды цены) http://fiatleak.com

Мы креативно использовали API инстаграма для замера индекса фото-популярности разных точек на карте. Самое хитрое — найти этот доступ к API инстаграма. У них совершенно драконовские правила и издевательская форма регистрации API-клиента: можно выбрать 10 вариантов, для чего тебе нужно API и в 9 вариантах из 10 показывается текст «для этого юзкейса API применять нельзя». Хитрость заключается в том, что сервис https://www.picodash.com не проксирует запросы в инстаграм, а выполняет их со своим токеном прямо из браузера 🙆
Классный тест получился https://meduza.io/games/statuya-svobody-ili-eyfeleva-bashnya

Большой и качественный лонгрид про внедрение SSL в StackOverflow https://nickcraver.com/blog/2017/05/22/https-on-stack-overflow/

Проснулся сегодня утром в 03:00 ночи, в Манчестере взрыв и конечно же, именно в этот момент упал интернет в редакции. Кажется, что это же зааффектило моего телефонного провайдера, так что обычные телефонные звонки тоже не проходили.

Думаю о покупке аварийного телефона с двумя симками — передавать его между «компьютерщиками», чтобы всегда был гарантированный телефон для связи с технарями.

Я сейчас пишу пост про пуши и прекрасный Google Firebase, а тут такая вот свежая страшилка про SaaS в целом и Firebase, в частности.

Компания написала систему автоматизации умного дома, довольно успешную, установила её на десятки тысяч домов по всему миру. В каждом доме, программа запрашивала определенный файлик раз в минуту с серверов Firebase, чтобы определить, нужно ей что-то делать или нет. И всё было классно, пока Firebase не поменял какие-то кишочки и не начал биллить весь TLS трафик, а не только полезный payload.

Счет в Firebase вырос с 25$ в месяц (так было несколько лет) до 1750$ в месяц и продолжает расти. Способа обновить программу у пользователей, чтобы она не использовала Firebase — не существует (IoT, маленькие железки). Техподдержка Firebase сначала что-то отвечала, потом просто пропала с радаров.

Дальше автор статьи предлагает делать свои прокси перед любыми SaaSами. Помню, обещал такое сделать в Медузе примерно полгода назад, когда Слек сломался.

P.S. Этот пост я написал на прошлой неделе, с того времени поднялся хайп на hackernews. Firebase, конечно же, вышел на связь (сам founder & CEO Firebase отметился в medium replies) и всё быстро починил. Такой вот уровень техподдержки.