«Просто хочешь ты знать, где и что происходит…» (с) Кино


Недавно волею судеб (подарили) я стал обладателем смартфона Huawei P40 Lite: красивый такой, зелененький. После «люлей» от Трампа за шпионаж, смартфоны Huawei поставляется без сервисов Гугл. Магазин приложений от Гугл также недоступен. Зато есть собственный магазин Huawei AppGallery, который продвигается, в том числе, и на Хабре.

Есть мнение, что Гугл активно следит за пользователями в Инете. Да и про китайские смартфоны такие разговоры идут. Поэтому я, было, обрадовался – одним шпионом меньше.  Но Huawei, похоже, решил «поработать» за двоих…

Сферический фрилансер в вакууме

Если мы захотим найти изображения по запросу «фриланс», то поисковые системы выдадут нам огромное число картинок, на которых изображены люди, вальяжно сидящие в небрежной позе с ноутбуком на берегу пляжа. Примерно так и выглядит фриланс в сознании значительного числа обывателей, не имеющих отношения ни к нему самому, ни к компьютерам вообще. Ну а человек, который пытался хотя бы раз использовать ноутбук на открытом пространстве, даже в не очень солнечную погоду, сразу скажет, что это невозможно. На экране просто ничего не будет видно. Даже если забраться при этом в палатку из тонкой ткани, великолепно пропускающей свет. Настолько отличается уровень солнечного освещения в городской квартире и на открытом пространстве свободном от городского смога. И это, не говоря о том, что ноутбук не очень хорошо подходит для работы. Все-таки лучше иметь нормальную клавиатуру и полноценный монитор.

Существует и большое количество других проблем, поджидающих фрилансера или удаленщика, который захочет окунуться в объятия природы, при этом совмещая, как принято считать, несовместимое – отдых и работу. Назойливые насекомые, непривычная еда, развлечения, недостаток бытового комфорта, обогрев, электроснабжение, и масса других, менее очевидных, но не менее важных для того, чтобы не испытывать непрерывного желания поскорее вернуться в комфортную городскую среду обитания.

И все-таки, этим летом (на дворе стоял 2020-й…) я решил провести подобный эксперимент, о результатах которого и пишу этот очерк. Постараюсь описать самые основные проблемы, а также малоочевидные, но важные нюансы существования на природе, с которыми мне пришлось столкнуться.

Вот история, которая навсегда перевернула мой подход к работе девопса. Еще в доковидные времена, задолго-задолго до них, когда мы с парнями только задумывали свое дело и фрилансили на случайных заказах, мне в телегу упало одно предложение.

Компания, которая написала, занималась аналитикой данных. Ежедневно она обрабатывала тысячи запросов. К нам они пришли со словами: ребят, у нас есть ClickHouse и мы хотим автоматизировать его настройку и установку. Хотим Ansible, Terraform, Докер и чтобы это все хранилось в гите. Хотим кластер из четырех нод по две реплики в каждой.

Стандартная просьба, каких десятки, и нужно такое же хорошее стандартное решение. Мы сказали «окей», и через 2-3 недели все было готово. Работу они приняли и начали переезжать на новый кластер Кликхауса с помощью нашей утилиты.

Spot танцуют, стойко сносят пинки, буксируют грузовики и катают Адама Сэвиджа на рикше. У этих роботов отличный пиар, но что вы на самом деле знаете об их возможностях?

Давайте разберемся, как устроены Spot, как ими управлять, как под них разрабатывать. И главное, зачем серьезным компаниям покупать четвероногих роботов по 75 000 долларов за штуку.

Привет, Хабр.

Про рекурсию ходит много шуток, и она традиционно считается одной из сложных для понимания тем в computer science, поэтому давайте сегодня немного о ней поговорим. А именно, давайте обсудим, как выражать доказуемо завершимые вычисления.

Зачем это надо? Рекурсия — один из краеугольных камней ФП, а некоторые из функциональных языков (например, Idris или Agda) обладают достаточно мощной системой типов, чтобы использовать их для проверки доказательств. А чтобы проверенным доказательствам на самом деле можно было доверять, было бы неплохо, чтобы логическая система, которую представляет система типов языка, была консистентна — то есть, если упрощать, чтобы в ней нельзя было доказать ложь.

Один из главных источников неконсистентности — незавершающиеся вычисления (для примера см. КДПВ), поэтому вышеупомянутые языки очень стараются дать возможность убедиться, что вычисления завершаются — соответствующая их часть даже имеет отдельное название, «termination checker». Но, увы, по фундаментальным причинам у любой такой проверки всегда будут ложноположительные или ложноотрицательные срабатывания, поэтому приходится идти на компромиссы. В доказательствах лучше перебдеть, чем недобдеть, поэтому всегда есть завершимые функции, которые этими языками отвергаются. Однако, эти функции можно переписать так, чтобы termination checker был доволен, если можно доказать, что рекурсивный вызов всегда в каком-то смысле «меньше».

Не так давно мне нужно было убедить Агду, что куча взаимно рекурсивных функций всегда завершается. Для этого пришлось почитать стандартную библиотеку и пораскрывать встречающиеся абстракции, чтобы понять, что же там на самом деле происходит. В процессе я делал заметки, а потом понял, что если добавить в эти заметки слова, то может получиться полезный кому-то ещё текст.

Java и другие управляемые языки просты и удобны во многих случаях, но иногда их возможностей недостаточно — например, если нужна библиотека, написанная только на C или C++. Иногда хочется позвать пару методов из системного API, или попытаться улучшить производительность для модуля — и тогда прямой путь в нативный код.

Но тут возникают подводные камни: написать нативный метод и вызвать библиотеку может быть и легко, но JVM начинает крашиться в случайных местах, производительность падает, сборщик мусора перестает справляться с работой, а в репозитории царствуют бесконечные C-шные файлы с буквами JNI. Что же могло пойти не так?

Иван Углянский (dbg_nsk) из Huawei разбирается со всем по порядку: что необычного в интеропе между Java и нативным кодом, как оно работало раньше и что нужно делать для их нормальной совместной работы (и можно ли это вообще сделать). Иван рассказывает, как избежать просадок производительности, внезапных OOM и размышляет на тему будущего — в контексте проектов Panama и Sulong.

Мы подготовили текстовую версию доклада о работе с нативами в Java. В первой части:

• Зачем вообще работать с нативным кодом в Java.
• С какими ошибками и проблемами придётся столкнуться при работе с нативами.

Во второй части подробнее расскажем, какие есть варианты, что из них быстрее и лучше, и есть ли универсальная библиотека — всё с примерами кода и подсказками.

Далее — повествование от лица спикера.

Свежая подборка со ссылками на новости и материалы. В выпуске: PHP 8.0 RC 1 и переименование параметров внутренних функций, PhpStorm 2020.3 EAP, многострочные короткие лямбды, атрибуты для групп свойств и другие новости PHP Internals, порция полезных инструментов, статьи, стримы, подкасты.

Приятного чтения!

США все туже закручивает гайки в отношении Китая, стремясь остаться мировым лидером в технологическом секторе, включая полупроводниковую промышленность. Но и Китай не собирается подвергать себя угрозе технологической блокады со стороны Соединенных штатов. По данным Bloomberg, Пекин несколько недель назад заявил о намерении поддержать создание промышленности, которая способна с нуля производить так называемое третье поколение полупроводников. План рассчитан на пять лет, то есть к 2025 году у Китая должны появиться крупнейшие предприятия, производящие самые современные компоненты электронных устройств.

КНР до сих сохраняет пятилетний горизонт планирования, текущая пятилетка уже 14-я в истории страны. В октябре план должен быть утвержден лидерами страны, после чего на реализацию проекта развития отечественной полупроводниковой инфраструктуры выделят более триллиона долларов США. По мнению аналитиков, Китай хорошо понимает, что страна, которая владеет технологией производства современных чипов, если не правит всем остальным миром, то в состоянии оказывать сильнейшее давление на другие государства.

Приветствую, Хабр! Сегодня мы поговорим о состоянии рынка труда в Украине на октябрь 2020 года. Какая динамика и что произошло за полгода карантина. Будем говорить как о соискателе, так и о работодателе. Устраивайтесь поудобнее, поехали.

Мы провели исследование микроконтроллера Espressif ESP32 на предмет устойчивости к атакам, выполняемым методом внесения сбоев в работу чипов (Fault Injection). Мы постепенно шли к тому, чтобы найти уязвимости, которые позволят нам обойти механизмы защищённой загрузки (Secure Boot) и шифрования флеш-памяти (Flash Encryption) посредством всего одного сбоя, вызванного электромагнитным полем. Более того, мы, успешно проведя атаку, не только смогли выполнить произвольный код, но и получили данные флеш-памяти в виде обычного текста.



Компания Espressif зарегистрировала эту уязвимость в базе данных CVE под кодом CVE-2020-13629. Знакомясь с атакой, описанной в этой статье, учитывайте то, что она применима к чипам ESP32 ревизий 0 и 1. Более новые ESP32 V3 поддерживают функционал отключения загрузчика UART, который использован в этой атаке.

Вы наверняка уже использовали в своих проектах UUID и полагали, что они уникальны. Давайте рассмотрим основные аспекты реализации и разберёмся, почему UUID практически уникальны, поскольку существует мизерная возможность возникновения одинаковых значений.

Современную реализацию UUID можно проследить до RFC 4122, в котором описано пять разных подходов к генерированию этих идентификаторов. Мы рассмотрим каждый из них и пройдёмся по реализации версии 1 и версии 4.

Или можно? Конечно, миграция SAP-систем — это сложный и кропотливый процесс, для успеха которого важна слаженная работа всех участников. А если миграция проводится в сжатые сроки — задача многократно усложняется. Не все решаются на это. Причин может быть несколько. Например, процесс сам по себе длителен и организационно сложен. Плюс есть риск незапланированных простоев систем. Или клиенты не уверены, что, пережив такую операцию, получат бенефиты, соразмерные потраченным усилиям. Однако бывают и исключения.

Всем доброго времени суток! Хочу поделиться своим опытом из разряда «Войти в IT». Тем более, что он происходил в полностью невизуальном режиме. О незрячих людях в нашем обществе знают мало, а о незрячих программистах еще меньше. И эта статья предлагает проследить за тем, как и откуда они появляются, хоть бы и на моем примере.

Статья не несет в себе никакой практической пользы. Разве что кто-то сумеет получить с ее помощью небольшой мотивационный заряд и попрокрастинировать.

Не так давно на Хабре было опубликовано сразу несколько материалов о совместном с Россией проекте компании OneWeb. Компания предлагала предоставить определенный процент активов РФ в обмен на рабочие частоты для обеспечения работы спутниковой связи в России. В рамках совместного проекта планировалось отправить на орбиту спутники при помощи ракет «Союз».

Совместное предприятие «Уанвеб» было создано OneWeb вместе с АО «Спутниковая система «Гонец»». 51% предприятия принадлежал российской стороне. Первые спутники в количестве шести штук уже были запущены в феврале 2019 года, еще 34 — в марте 2020. Но потом начались проблемы.

В начале октября Федеральная комиссия по связи США призвала провести проверку наиболее значимых интернет-кабелей, по которым передается большая часть мирового интернет-трафика. По словам комиссара FCC Джеффри Старкса, особое внимание нужно уделить кабелям со станциями обслуживания в конкурирующих странах. Это четыре кабеля, которые соединяют США и Китай. Их контролируют несколько организаций, включая китайские государственные компании.

США не впервые выражают озабоченность по поводу роли Китая в обработке сетевого трафика и возможности кибершпионажа. Сейчас около 99% мирового интернет-трафика передается по 300 подводным магистралям. По мнению США, крайне важно не допустить вмешательства противоборствующих стран и «других враждебных субъектов». Необходимы гарантии, что эти страны не смогут вмешиваться, блокировать или перехватывать трафик.

Вот небольшое известие, которое вы могли пропустить, восстанавливая свою жизнь после начала кризиса COVID: из-за того, что вирус перемешал всем карты, Google пропустила выпуск Chrome версии 82. «Да кого это волнует?», — спросите вы. Ну, хотя бы пользователей FTP, или File Transfer Protocol. Во время пандемии Google отложила свои планы по убийству FTP, и теперь, когда буря немного успокоилась, Google недавно объявила о том, что возвращается к мысли об убийстве в Chrome версии 86, которая снова сократит поддержку протокола, и окончательно убьёт его в Chrome 88. (Mozilla объявила о похожих планах на Firefox, утверждая, что дело в безопасности и возрасте поддерживающего протокол кода.) Это один из старейших протоколов, который поддерживает мейнстримный Интернет (в следующем году ему исполнится 50 лет), но эти популярные приложения хотят оставить его в прошлом. Сегодня мы поговорим об истории FTP, сетевого протокола, который продержался дольше, чем почти все остальные.

Мы подготовили небольшой обзор бесплатных альтернатив популярных в России платформ SaaS. С небольшими усилиями зачастую можно добиться практически такой же функциональной отдачи, но с меньшими финансовыми затратами.

Сегодня, 05.10.2020 ожидается выход стабильной версии Python 3.9.0. Новая версия будет получать обновления с исправлениями примерно каждые 2 месяца в течение примерно 18 месяцев. Через некоторое время после выпуска финальной версии 3.10.0 будет выпущено девятое и последнее обновление с исправлением ошибок 3.9.

Я прочитал примечания к выпуску Python 3.9 и связанные с ними обсуждения. Основываясь на информации, я хотел написать исчерпывающее руководство, чтобы каждый мог получить представление о функциях вместе с их подробной работой.

Эксперты «Лаборатории Касперского» опубликовали интересное исследование, посвященное вредоносному коду MosaicRegressor. Код использует предположительно киберкриминальная группа с китайскими корнями, он интересен тем, что содержит модули для заражения компьютера через UEFI. Подобные буткиты по-прежнему считаются одними из наиболее сложных видов вредоносного ПО. В случае успешного заражения они позволяют повторно заражать операционную систему даже после переустановки.



В данном случае было обнаружено несколько образов UEFI с уже встроенным вредоносным кодом. Этот код имеет единственную функцию — добавляет содержащийся внутри файл в папку автозагрузки ОС Windows. Дальнейшая атака развивается по типичному кибершпионскому сценарию, с кражей документов и отправкой иных данных на командные серверы. Еще один неожиданный нюанс данного исследования: вредоносный код в UEFI использует исходники, ранее попавшие в открытый доступ в результате взлома инфраструктуры компании Hacking Team.

Здравствуйте, это вторая статья о NGFW решении от компании UserGate . Задача данной статьи заключается в том, чтобы показать, как установить межсетевой экран UserGate на виртуальную систему (буду использовать программное обеспечение виртуализации VMware Workstation) и выполнить его первоначальную настройку (разрешить доступ из локальной сети через шлюз UserGate в интернет).