запуск завтра

GitHub анонсировал систему ежемесячного денежного спонсорства для опенсорс разработчиков. Вот нормальное текстовое описание программы.

Это аналог патреона, самой популярной системы «денежной подписки на создателей», но нацеленный именно на опен-сорс разработчиков. Я знаю несколько компаний, которые поддерживают разработчиков опен-сорс инструментов, которыми пользуются сами, но это личные договоренности и их мало.

GitHub sponsors - масштабирование этой модели, пусть и в ущерб «ламповости».

Это отличная история про «новые модели экономики». Занимайся тем, что нравится и тысячи человек со всего мира, скинувшись по паре долларов в месяц обеспечат твою жизнь.

Следующим шагом в этой системе мне видится переход от модели пары суперзвезд к тысяче разных создателей контента, каждый из которых найдёт свою аудиторию. Раньше были необходимы сложные централизованные системы менеджмента денежных потоков, теперь этим массово и дёшево занимается машина.

Интересно, какое будет распределение «спонсорств» на гитхабе.

​​Запустили в продакшн нейросети и переделали интерфейс сайта. У нас было 7 разных шаблонов страниц, осталось 2. Слева панелька навигации (прям как в Apple News), справа список игр в широком или узком виде (лента или плитка).

Тап по кнопке «⚡️ More like this» рядом с названием игры показывает результат работы нейросети — игры, похожие по содержанию. Мы давно пытались решить эту задачу — показать похожие игры, перепробовали 4 радикально разных подхода и вот этот — с нейросетями, оказался лучше всех. Хайп!

Про то, как оно устроено под капотом расскажем потом отдельно, надеюсь. Вот мы на Product Hunt.

В ролях: продакт 🤔 Алексей Горностаев, дизайн 🖌 Андрей Кулагин, фронтенд 🖼 Роман Ахмадуллин и Ольга Котова, бэкенд ⚙️ Антон Шурашов и Евгений Уваров. Ура!

Ничего себе, Гугл научился показывать вагон метро, в который оптимальнее сесть. (Если вы не понимаете о чем речь - вы счастливый человек:)

Гугл заметно рвёт всех на рынке карт и ходят слухи, что они собираются их «активнее монетизировать». Очень интересно, как они это будут делать и не испортят ли прекрасный продукт по пути.

P.S. Читатели пишут, что Яндекс знает про вагоны в Яндекс.Метро, но в Яндекс.Картах при прокладывании маршрутов их не показывает :(

P.P.S. Читатели пишут, что после поездки в маршрутке в Рязани, гугл их спрашивает, сколько было свободных мест. 👾

Цифровые отпечатки работают так же, как отпечатки пальцев — позволяют определить что вы это вы, даже если вы хотите сохранить анонимность. Самый известный пример цифрового отпечатка — браузерный. Наши компьютеры уникальны. Настройки часового пояса, языка, разрешения экрана, установленные плагины и тысячи других мелочей отличат ваш компьютер из миллионов. Вот два канонических сайта для проверки уникальности вашего браузера: один, два.

Считается, что мобильные телефоны в целом менее подвержены такого вида атакам, потому что в них меньше возможности кастомизации, чем в компьютерах.

Тем круче новая атака, в которой ученые используют калибрационные данные сенсоров телефонов: акселлерометра (датчик ускорения/движения), гироскопа (датчик направления) и компаса телефонов. Эти датчики в телефонах настолько чуткие, что проанализировав всего 100 замеров менее чем за секунду, ученые смогли восстановить поправочные коэффициенты (калибрационные параметры), которые вносятся на заводе. Эти коэффициенты уникальны для каждого устройства (физика процессов несовершенна), их невозможно сменить не испортив датчики.

Эпл уже поправил уязвимость внеся дополнительный белый шум в данные сенсоров, гугл ещё чинит.

PDF статьи в IEEE-Security, заметка на сайте Шнайера.

Умер Ники Лауда. Вы можете знать его как одного из лучших в истории спортсменов Формулы-1. Он почти сгорел заживо в аварии на треке гран-при, но выжил и стал чемпионом. Про эту часть его биографии есть очень хороший фильм Rush (трейлер), но я хочу рассказать другую историю.

Он был энтузиастом неба. Когда самолет его авиакомпании Lauda Air потерпел аварию и Боинг отказался признать техническую проблему, то он предложил сам сесть за штурвал и поставить другой самолет той же модели в те же условия.

Яндекс выкатил пресс-релиз на Роеме. В таймлайне не указано, когда они уведомили пользователей о проишествии, а ведь поддержка — один из параметров, по которому мы выбираем хостинг.

«Мы уже работаем над формированием мер для предотвращения повторения подобного инцидента в будущем и в ближайшее время проинформируем о дальнейших шагах всех пользователей.»

Интересно, будет ли более подробный post mortem в этом информировании?

P.S. А ведь было время, когда Яндекс говорил отличным русским языком; помню, студентом мечтал там работать в том числе из-за языка на сайте (древнегреческое «красивый не может быть плохим»). Эх.

Upd: ну наконец-то приличный текст от руководителя Яндекс.Облака. Был бы я журналистом — продолжил бы долбить про «считаете ли вы нормальным писать пользователям об удалении их сервера через 6 часа, а не сразу же», но думаю, что эта история и так заняла слишком много внимания и нечего так напрыгивать на национальное достояние. ❤️ спокойной ночи

Для контраста: StackOverflow, главный сайт вопросов-ответов для программистов и не только, на прошлой неделе взломали. VP of Engineering публикует короткий пост, буквально «на выходных нас взломали, данные вроде целы, экстренно конопатим дырки, напишем как разберемся до конца».

Ходят слухи, что Яндекс позавчера случайно удалил виртуальные серверы клиентов в своем облаке (человеческий фактор).

Это отличное напоминание настроить бекапы (если вдруг их нет) и проверить, как работают процедуры восстановления.

Я не собираюсь шеймить яндекс за потерю данных клиентов — технических проблем в любом сложном проекте не избежать. Разбираться с такими ситуациями и улучшать системы по полученным урокам — часть нормальной работы. Если система построена правильно, то вероятность аналогичной аварии в будущем сильно упала.

Внушают опасение слухи, что клиентам написали письма о проблеме только через несколько часов и никакой публичной реакции Яндекса на ситуацию до сих пор нет.

Интересно, там было затронуто так мало машин, что они не видят видят причин официально комментировать? Классическое «это затронуло 0.004% клиентов и вот что мы сделали, чтобы такого больше не случилось» сильно увеличило бы доверие.

Microsoft и Sony объединят силы в создании облачной гейминговой платформе, будут вместе бороться с Google Stadia.

Microsoft и Sony — создатели и владельцы двух главных конкурирующих приставок — PlayStation и Xbox. Совместная работа — неслыханное дело.

Ох, жарко будет!

❧

Ключевой вопрос в облачном гейминге — latency [wiki] (более узко — input lag [wiki]). Это важный в программирование, UX и управление термин, для которого я не знаю хорошего перевода на русский. Лучший аналог — время ожидания, задержка. Это время, которое игра НЕ отвечает на ваши действия.

Это время, которое проходит между нажатием на кнопку и отображением действия на экране (или звуком в динамиках, и говорят, что задержка в человеческом мозге для аудио ниже, чем для видео). Консенсус, кажется [wiki], в том, что задержка больше 200 миллисекунд (1/5 секунды) мешает играть, а задержка в 60 мс малозаметна. Средняя игра на приставке имеет задержку в 67-133 миллисекунды. Прямо сейчас мой рижский домашний интернет достукивается до ближайшего сервера гугла за 15 миллисекунд (8.8.8.8, благодаря сетевой магии этот адрес почти всегда отвечает ближайшим сервером). RTT (время туда-обратно) = 30 миллисекунд. Звучит реалистично!

Вы не поверите, но для российских игроков даже тут в дело вступает Роскомнадзор. Захотят ли Google и Sony держать эти серверы в России? Как отразятся на игре дополнительные задержки, если ближайшие серверы будут в Европе?

❧

Возможность не покупать приставку и поиграть немножко в AAA-эксклюзивы [wiki] меня лично очень привлекает. Это как не покупать машину и кататься на Яндекс.Такси. Наконец-то!

​​Медуза наконец-то разделила мобильную и десктопную главные. Раньше была проблема, что на десктопе помещается очень много материалов (в ширину), а в мобиле получается три экрана подряд старых материалов на одну и ту же тему.

Интересно, как теперь выглядит админка, где их обе собирают.

Все обсуждают красивый ли новый стиль, я в этом не спец; поздравляю с запуском. Ничего не упало — это главное.

P.S. Интересно, что теперь блокировщик рекламы под iOS ломает работу сайта при доскролле до конца статьи. Не думаю, что специально так сделали, но чинить, я думаю, никто не будет ;)

​​О, 10 тысяч подписчиков, очень приятно! Спасибо, что читаете.

Кстати, если вдруг пропустили: в телеграме наконец-то появилась возможность сложить чаты и каналы в папочку. Достаточно потянуть пункт из списка налево (свайп).

Папочка называется архив, но подписки никуда не денутся, просто перестанут смешиваться с перепиской.

Единственная моя UX-претензия к телеграму была в упрощении компульсивного потребления новостей. Заходишь ответить на важное сообщение, а в результате цепляешься глазом за «ёбкий заголовок» и проваливаешься в чтение классных каналов. Я понимаю про силу воли, но мы ведь не держим бутылочку виски на прикроватной тумбочке на всякий случай, правда?

Очень интересно, какая доля пользователей телеграма воспользуется этой функцией и как она повлияет на метрики вовлечения: количество минут, которые мы тратим на чтение каналов, количество просмотров, которые получают каналы. Последнюю метрику можно получить даже не работая в телеграме - достаточно внимательно изучить публичные метрики, используя АПИ. Если вдруг увидите такой анализ или захотите его провести - напишите, пожалуйста.

Если бы телеграм зарабатывал деньги на рекламе - понижение этих метрик было бы проблемой. А так мы можем только гадать, какие у Павла Дурова планы. Интересно!

P.S. Павел очень любит хвастаться, что вотсап у телеграма все тырит, а вот «архив» у вотсапа появился сильно раньше. Ну и пусть, главное, чтобы пользоваться было удобно.

Перейдём к развлекательной части.

Во первых, нужно отдать должное PR-департаменту Intel. Первую уязвимость обнаружили и сообщили о ней Intel в июне 2018. Да, год назад. Потом ее нашёл еще один независимый исследователь. Потом были все новые уязвимости. Intel умудрились не дать им выходить по мере обнаружения, но скомпоновать публикацию в один «пакет». Публика пакетно поохает-поахает и забудет через две недели. Представьте, если бы новости о таких серьёзных уязвимостях выходили каждые 4 месяца в течении года? Цукербергу есть чему поучиться у Intel. Справедливости ради, тут сыграла роль безупречная этика ученых-исследователей (да и правительства наверняка приложили руки, CERT-центры не зря хлеб едят).

Во вторых, получается, что настоящая компьютерная безопасность - это старый добрый airgapped (без связей со внешним миром) компьютер. Более практичная опция на текущий момент - айпад или айфон, но это уже давно понятно и без процессоров. У ARM-процессоров найдено меньше таких дырок (и они все-же менее «умные», чем процессоры от Intel).

В третьих, очень жду замеров производительности после применения всех необходимых патчей. Ходят слухи, что нужно выключать гипертрединг, а это почти поделить производительность надвое. Это должно ударить по облакам (они не смогут отмахнуться и посоветовать поставить менеджер паролей), придётся покупать больше железа для компенсации проседания производительности после применения патчей и может быть даже предоставлять больше возможности «вынести вычисления на изолированный процессор». Интересно, как отреагируют крупные игроки, начнут ли более активно покупать AMD и/или ARM? Стоит ли прикупить акции AMD?

В четвёртых, верю, что Intel медленно загнутся не из-за плохого пиара, а от того, что продолбали мобильный рынок и от того, что AMD работают как не в себя. Жалко, компания-эпоха.

В процессорах Intel нашли 5 серьезных уязвимостей, аналогичных spektre и meltdown.

Ниже будет два поста, этот - практический.

Уязвимости таковы, что, теоретически посещение зловредного сайта может закончиться украденными с рабочего стола документами (demo).

На практике, эксплуатация уязвимости через браузер занимает некоторое время (не факт, что вы будете так долго зависать на стремном сайте) и заплатки от Intel, Microsoft и Linux позволяют усложнить её реализацию.

До Spektre и Meltdown, уязвимостями процессоров занимались десяток человек на планете. Теперь это горячая тема и внимания и бюджетов в этой области на порядки больше. Скорее всего, это не последняя уязвимость.

Любая безопасность строится по принципу ломтиков дырявого сыра: проблема, пропущенная на одном уровне безопасности ловится следующим. Наложите несколько кусочков дырявого сыра и маловероятно, что дырочки совпадут.

К сожалению, цифровая гигиена у нас на уровне средних веков. Включите везде 2-факторную аутентификацию, используйте менеджер паролей (я люблю 1Password), устанавливайте все обновления, настройте бекапы и вы будете защищены от 99% цифровых проблем. На практике все четыре правила не выполняет почти никто. Только поэтому цифровые болезни имеют серьёзный эффект.

Берегите себя, мойте руки перед едой.

​​Космическая история: фронтендеры Ютуба убили Internet Explorer 6, без согласования с руководством разместив баннер «мы скоро перестанем поддерживать этот браузер, поставьте что-нибудь посвежее» в июле 2009.

Чтобы вы понимали контекст, в июле 2009 года это был браузер четверти пользователей интернета. IE6 было уже 8 лет, он глючил, тормозил и решительно не подходил для современного интернета 2009го, но ни один крупный сайт не был готов сказать четверти пользователей интернета «сорян, ваш браузер — говно».

Фронтендеры ютуба совершили настоящий заговор, протащили релиз мимо QA, переводчиков, вообще всех и задеплоили его на на один из самых популярных сайтов в интернете.

В 2009, IE6 ненавидили уже все фронтендеры без исключения. Практически сразу после запуска баннера на Youtube, фронтендеры Google Docs использовали пример Ютуб как обоснование для того, чтобы выкатить такой же баннер на Google Docs (все думали, «вряд ли Ютуб провернул такое без соответствующих согласований»). Иронично, но когда о баннере узнали в руководстве ютуба, они решили, что это просто копия баннера с Google Drive («и кто-то наверняка согласовал это ранее»).

Когда правда вскрылась — было уже поздно, баннер был практически на всех сайтах в интернете, а IE6 —обречен. Цель оправдывает средства.

Рассказывает один из участников заговора (там есть, как отреагировали юристы и PR-щики). 💎

Амнезия Гелл-Мана: «Я читаю статью в газете на тему, в которой являюсь экспертом. Журналист не знает базовых фактов и путает причину со следствием. Но стоит мне начать читать статью на тему, в которой я не разбираюсь, как я думаю, что журналист понимает, о чем он пишет».

Факт: Apple управляет стором и сам же выставляет приложения в нем; налицо конфликт интересов, который ярко проявился в случае со Spotify.

Журналистика от New York Times: «Apple Cracks Down on Apps That Fight iPhone Addiction» [Apple наступает на приложения, борющиеся с телефонной зависимостью].

❧

Айфоны безопаснее Android потому что каждое приложение для айфона проходит ручной контроль сотрудниками Apple. Ни одна программа не может вылезти из своей «песочницы» и украсть данные или нагадить другому приложению.

С такими телефонами нельзя сделать некоторые интересные вещи, но они безопаснее и их сложнее сломать (защита от дурака).

Порой, компаниям нужно обойти эти защитные механизмы на устройствах сотрудников. Ожидается, что этим занимаются специалисты, понимающие, что они делают и зачем. Специально для них разработаны Configuration Profiles которые позволяют мониторить трафик, управлять другими программами, сбрасывать пинкод и даже удаленно очищать устройство (часть Mobile Device Management), и Developer enterprise program, в котором нет никаких ограничений на то, что будут делать программы.

Приложения «родительского контроля» из статьи NYTimes использовали эти корпоративные механизмы, получали контроль над устройствами обычных людей (детей, в том числе). Это прямое нарушение правил апстора.

Насколько я понимаю, Apple закрывали глаза на нарушения, пока у них не было адекватной замены, да и внимания к ним было мало. Потом они сделали родной Screen time (экранное время) и случился скандал с фейсбуком.

Пока Apple каленым железом выжигает такие программы из апстора — я буду рекомендовать журналистам и политическим активистам использовать айфоны.

Касперский, кстати, в марте подал жалобу на Apple в ФАС на эту же самую тему — их приложение Kaspersky Safe Kids использовало Configuration profiles для мониторинга трафика и контроля приложений, Apple потребовал это прекратить.

P.S. Хотел поделиться скриншотом своего Screen time, но открыл, ужаснулся и застыдился. Загляните в свой, можете найти много интересного.

Сколько стоит сделать сайт?

Вот компания Hertz (аренда автомобилей, годовая выручка 10 миллиардов долларов) отдала подрядчику 32 миллиона долларов за 2 года и сайта в результате не получила.

Иск Hertz к Accenture (крупнейшая консалтинговая/аутсорсинговая компания, годовая выручка 41 миллиард долларов) (pdf) читается как увлекательный рассказ.

Там, конечно, оба молодцы — Hertz, например, отдал роль владельца продукта (product owner) подрядчику, хотя это одна вещь, которая точно должна быть на стороне заказчика. Accenture в какой-то момент выкинул из проекта владельца продукта и главного разработчика, заменив их менее опытными специалистами.

Грустите в этот прекрасный теплый пятничный вечер, что ничего не успеваете в срок или что подрядчик идиот? Знайте, что на один такой иск приходятся тысячи больших проваленных проектов.

P.S. На Hackernews объявился программист, которого за небольшое время до описываемых выше событий уволили из Hertz, заменив всю внутреннюю разработку аутсорсом в Индии. CIO тогда получил бонус в 7 миллионов долларов за «оптимизацию расходов». 🎩

Про рекламу в подкастах: я привык, что это квази-нативочка, которую зачитывают ведущие.

Представьте себе мой шок, когда в книжном подкасте the Guardian, эпизод начался с объявления Правительства Её Величества всем британцам, живущим в Латвии. Что-то там про брекзит.

Я быстро добрался до дома, залез в rss-поток подкаста и выяснил, что они пользуются платформой aCast, которая, очевидно, умеет гео-таргетированную рекламу. Идея простая, таргетированными баннерами в вебе никого не удивишь уже лет 20, да и склеить персональный аудио-файл каждому подписчику на лету не бином Ньютона, но в подкастах я это встретил впервые.

Мы с вами присутствуем при зарождении нового пространства. Наверное, похожие чувства испытывали пользователи веба в 90е.