Важное обновление безопасности для React-разработчиков 🛡️
Обнаружена RCE-уязвимость связанная с некорректным декодированием пейлоадов в Server Functions. Это позволяет неаутентифицированным пользователям выполнять код на сервере.
Что нужно сделать:
Проверьте, используете ли вы React Server Components.
Если да (например, в Next.js 15+), выполните обновление пакетов немедленно. Исправления доступны в версиях 19.0.1, 19.1.2 и 19.2.1.
Китайская компания Kuaishou 3 декабря представила Kling 2.6 — первую версию своего видеогенератора с нативной генерацией звука. Модель создает видео и аудио в одном проходе: диалоги, закадровый голос, звуковые эффекты и фоновый амбиент задаются текстовым промптом и синхронизируются с картинкой автоматически.
Для одного проекта мне понадобился короткий ник в Telegram.
Мы имеем, порядка, 70 миллионов возможных, наиболее, коротких, пятисимвольных ников. Число большое, но чисто теоретически, могло быть занято (у Telegram, порядка, миллиарда активных пользователей в месяц).
У меня есть скрипт для проверки "зарегистрированности" ников крупными пачками.
В наше время тяжело представить разработку цифровых продуктов, в которые хоть в какой-то степени не включили так называемый ИИ на больших языковых моделях (LLM). И я вовсе не против, но у меня вызывают вопросы подходы разработчиков к способам внедрения интеллектуальных инструментов в свои продукты.
Думаю, абсолютное большинство оптимальным способом внедрения интеллекта в продукт выбрали использование проприетарных моделей через API, с добавлением кастомного функционала через вызовы MCP серверов. Кажется, это уже даже стало стандартом, и в этом я вижу проблему.
Давайте кратко разберем схему работы какого-то нашего приложения с официальным LLM-клиентом (например, OpenAI) + MCP:
Пока в одних компаниях заставляют подписать согласие на обработку ПД даже «мимопроходил», другие не имеют точного представления, что это за документ и для чего он нужен.
Давайте прямо сейчас поставим жирную точку в этом вопросе. Разобраться — дело пяти минут. Засекайте.
Kotlin радует лаконичным синтаксисом и мощными фичами, но некоторые из них остаются недооценёнными. Сегодня поговорим про две джедайские техники Kotlin, о которых многие слышали, но не все используют в полной мере: это inline-функции и reified-типы.
Сейчас принято много говорить о выгорании, но всё меньше говорят об усталости, хотя ещё во времена активной жизни бумажных газет и журналов часто встречалась аббревиатура — СХУ, синдром хронической усталости.
Первое, что приходит — это проблемы с концентрацией и вниманием. Человек становится рассеянным, забывает мелочи, теряет вещи на ровном месте. Буквально может произойти так: вы пошли искать файл или переключились на новую вкладку, а зачем — не можете вспомнить. Особо тревожные люди могут начать подозревать у себя деменцию, потому что из головы вылетают даты, задачи, слова, дела. Это очень необычное ощущение, которое сложно пропустить.
Почти одновременно человека перестаёт радовать музыка или фильм на фоне — они отвлекают и раздражают. Многие из нас работают «подо что‑то», и вот это что‑то резко выпадает из привычного шума и либо отнимает всё внимание, либо заставляет выключить всё и установить тишину.
Следом присоединяются соматические проявления, среди которых покалывание и онемение в пальцах и ступнях, слабость и головокружение. В случае долгой борьбы с усталостью может присоединиться тошнота (почти как у детей, которые не хотят идти в школу или садик — да‑да, механизмы примерно те же).
Выраженно меняется настроение: появляются резкие перепады (это отличает усталость от выгорания или депрессии, где снижение может быть более устойчивым). Эти перепады трудно скрывать: коллеги и родные делают замечания, человек может необоснованно сорваться на ребёнка, подчинённого, кассира или продавца в магазине.
В особо тяжёлых случаях СХУ похож на грипп: ломота в теле, головные боли, температура и даже боли в горле. Нередко присоединяются проблемы с ЖКТ: диарея или запоры. Аппетит значительно падает, появляются неожиданные пищевые потребности (есть только белок, есть только шоколад, пить много горячего чая и так далее).
СХУ нарастает очень медленно, переходы от этапа к этапу смазанные и в конечном итоге можно что‑то заподозрить лишь на последних тяжёлых «ступенях». Обследования скорее всего не покажут ничего особенного, а человеку будет всё хуже и хуже.
Что важно знать?
➡️СХУ свойственны периоды: после выходных симптомы могут исчезать. ➡️Понедельник и вечер воскресенья становятся очень тревожными, человек теряет способность отдыхать. ➡️Как правило, появляются проблемы со сном: 1–2 ночи без сна, потом отсыпание. Это не классическая бессонница, но явно выраженная проблема, которая меняет привычный режим. ➡️При СХУ нередко аппетит пропадает именно утром, к обеду интерес к еде возвращается. Может произойти набор веса, но чаще человек худеет.
СХУ сложно диагностируется и, как правило, только мнение самого человека может направить врача в нужное русло. СХУ требует именно лечения, потому что за ним стоят физиологические нарушения. «Само» пройти может, но только на ранних стадиях — и то, если человек позволит себе отчаянно отдохнуть.
Рынок рекламы к 2026 году становится более технологически развитым, со скоростью света появляются новые инструменты, данные, платформы, автоматизации… Даже, как будто, это максимальное количество всего нового за всю историю digital.
Превед! Медведь – самый обычный представитель млекопитающих, но в его эволюционной истории скрыты два радикальных отклонения от стандартной схемы роста и адаптации. Впервые учёные выяснили, когда и как древние медведи хакнули эволюцию и вторгались в суверенитет природы. И сделано это было из жесткой необходимости.
В блоге Raspberry Pi представили одноплатник с RPi 5 всего с одним гигабайтом оперативной памяти. На официальном сайте устройство стоит 45 долларов и занимает место самого доступного. При этом другие позиции станут дороже.
В продаже появился климатический модуль от «Яндекса» для «Станции Мини 3 Про». Устройство подключается к умной колонке и передаёт показания с датчиков в систему умного дома.
Сделать лучший доклад на конференции и уйти в угол с ноутбуком — плохо. Раздавать всем визитки, заглядывая в глаза — фу таким быть. Завершить крупный проект, поблагодарить команду и засесть за новый фрагмент кода — безрезультативно лично для вас. Заполнить страницу в Линкедин и сидеть ждать, когда кто-то клюнет — имитация деятельности. Хард скилз — важны без сомнений, софт скилз — не решают, метанавыки двигают вперёд. Но окончательное слово за связями, особенно в российском ИТ.
Даю сто к одному, что за время чтения статьи у вас неоднократно подгорит, вы испытаете праведный гнев и местами неловкость. Но это данность, в которой приходится жить и она не так плоха, как кажется. Обязательно дочитайте — возможно, это первая ступень вашей космической карьеры.
Короче, я устроил краш-тест: неделю говорил «НЕТ» вообще всем. Думал, уволят, а я впервые за год закрыл спринт в четверг.
Знаете это чувство, когда ты вроде Сеньор-помидор, решаешь архитектурные вопросы, но твой календарь выглядит как поле боя в «Тетрисе», где ты уже проиграл. Тут коллега просит «глянуть код одним глазком» (минус час), тут ПМ зовет на созвон «синкануться» (еще час в никуда), тут HR просит заполнить опросник «насколько вы счастливы» (спойлер: теперь уже нинасколько).
Я понял, что живу в режиме Default Allow. Мои порты открыты для любого входящего трафика. Я — не сервер, я — проходной двор.
В прошлый понедельник я психанул. И врубил режим Default Deny. Правило одно: на любой запрос, который не блокирует прод и не входит в мои прямые KPI, я отвечаю «Нет». Без «извини», без «давай потом». Просто 403 Forbidden.
Хроники пикирующего бомбардировщика:
День 1. Было физически больно. Когда джун подошел с вопросом, который гуглится за 30 секунд, а я сказал: «Нет ресурса, разберись сам», — я ждал, что за мной приедет полиция нравов. Чувство вины — 10/10.
День 3. Заказчик требует срочный зум. Пишу: «Нет, кидайте текстом». Думаю: ну всё, сейчас прилетит жалоба. Через 15 минут прилетает... ТЗ. Оказалось, созваниваться было не обязательно, ему просто было лень писать.
День 5. В офисе тишина. Меня перестали дёргать по пустякам. Люди удивительно быстро обучаются: «К нему не лезь, если не горит».
Итог недели:
Я закрыл все задачи спринта в четверг вечером. В четверг, Карл!
Освободил ~20 часов времени. Это 2,5 рабочих дня, которые я обычно сливал на «быть хорошим парнем».
Самое дикое: уважение выросло. Когда твое «Да» стало дефицитом, оно вдруг выросло в цене. Никто не обиделся. Все просто приняли новые правила API.
Вывод: Твоя безотказность — это не софт-скилл. Это баг. Это уязвимость нулевого дня, через которую окружающие майнят на тебе свою продуктивность.
Если не поставить личный Фаервол, тебя будут DDoS-ить бесконечно. Не со зла. Просто такова природа трафика — он заполняет весь доступный канал.
Короче, если чувствуете, что работаете 24/7, а выхлопа ноль — попробуйте Default Deny хотя бы на сутки. Мир не рухнет. Проверено.
Соглашение между Nvidia и OpenAI на сумму до $100 млрд до сих пор не финализировано — спустя два месяца после громкого анонса сделка остается на стадии письма о намерениях. Об этом заявила финансовый директор Nvidia Колетт Кресс на конференции UBS Global Technology and AI в Аризоне. "Мы до сих пор не подписали окончательное соглашение", — признала она.
Эту статью я написал лет десять назад, когда только попал в большую студию EA SpB. И забыл бы про нее, но недавно проводил ревизию заметок и набросков на старом HDD и решил, что она до сих пор актуальна, разве что цифры выросли. Тогда проекты под миллион LoC казались гигантами, наверное это и сейчас очень много, но теперь это это просто код движка. Но суть не изменилась, просто цифры выросли.
Помню тот день, когда я впервые сел за рабочий стол в офисе, а до этого делал другие проекты и кодовая база размеров 100к строк вместе с либами, движком и логикой казалась - ну очень немаленькой. А тут скачал репозиторий, открыл идеешку, и она минут на пятнадцать подвисла на индексировании файлов. Я смотрел на всё это безобразие и думал: «Это нормально? Мне дали самый отстойный джунский комп? Я что-то сломал уже на онбординге? Мы все умрем?» Нет, всё было нормально, просто я впервые столкнулся с промышленной кодовой базой большого проекта.
Команда в тот момент выкатывала мажор Sims Mobile, который зафейлили почти на месяц и, честно говоря, на нормальный онбординг ресурсов просто не было. ПМ выдал мне простую задачу на разгон, так сказать, чтобы стулья в редакторе дома сохраняли свое положение и размер между запусками, потому что они, как вы наверное догадались - этого не делали и оказывались в дефолтных точках спавна. Звучит элементарно, правда? Сохранил координаты в конфиг, прочитал при старте и таска готова. Вот только я понятия не имел, где искать код этого сохранения конфига, объектов, как называется класс, где лежит конфиг и сами стулья, и есть ли вообще система для таких вещей или надо писать с нуля. Небольшой спойлер, системы не было, все объекты в доме всегда спавнились в тех точках, где их поставил дизайнер, т.е. для редактора дома сейва не было, а для игры был.
Вы думаете, что кнопка «Удалить» действительно стирает данные? Физика с вами не согласна. Уверены, что аккумуляторы достигли предела, но химия готова поспорить. Сегодняшний дайджест — о том, что скрыто в корпусе привычных вещей.
Я собрал для вас историю одной тихой революции, которая подарит гаджетам два дня жизни без розетки, и одного громкого расследования, которое заставит взяться за дрель. Плюс — документальное кино, герои которого в прямом смысле получили Нобелевку. Добро пожаловать в сингулярность.
