Всем привет! Я Максим Андреев, программист бэкенда Облака Mail.Ru. В свободное время я люблю искать баги. В сегодняшнем посте я хочу рассказать об одной довольно интересной уязвимости, которую я нашёл и зарепортил в bug bounty нескольких крупных компаний, за что получил солидное вознаграждение. Уязвимость заключается в следующем: если сформировать специальный видеофайл и загрузить его на сервер, то:

• можно получить на нём SSRF;
• можно получить local file read;
• если пользователь скачает этот файл, то автоматически будет подвержен уязвимостям, даже если его не откроет: можно будет получить доступ к данным на компьютере пользователя и узнать его имя.

10 вопросов, которые нужно задать себе, убедившись, что вы не удовлетворены своей карьерой и жизнью.

Однажды утром 2006 года я проснулся с онемевшей правой ногой. Боли не было – лишь ещё один странный симптом в копилку тех симптомов, что годами удивляли моих докторов. Я пошёл к терапевту, отправившему меня на МРТ, и результаты не заставили себя ждать. Множественные повреждения мозга и позвоночника. У меня обнаружили рассеянный склероз.

Диагноз принёс некоторое облегчение. Я узнал, что было причиной всех этих странных симптомов (и что я не ипохондрик). В то же время диагноз заставил меня сконцентрироваться на жизненных целях и будущем. Я узнал, что, скорее всего, буду жить меньше и хуже большинства людей, и это подвигло меня на поиски цели в жизни.

Я начал посещать группы больных рассеянным склерозом и познакомился с людьми, находящимися на разных стадиях этой болезни. Тогда я понял, что моё будущее хуже, чем я себе представлял. Болезнь действует не на одного человека, а на целые семьи — в то время, как они наблюдают, как их близкие начинают терять свои возможности. Я твёрдо решил сделать две вещи: максимизировать шансы оставаться дееспособным как можно дольше, путём приобретения полезных привычек, счастья и хорошего медобслуживания; и достичь моих целей и мечтаний как можно быстрее, пока ещё есть возможность.


Джон Фокстон, автор статьи

Как и большинство людей, я часто сходил с этой дорожки. Но чем больше я думал о своей ситуации, тем больше был благодарен такому испытанию. Я понял, что ему подвергаются в принципе все люди. Никто не знает, когда подведёт здоровье. Никто не знает, в какой момент наши цели и мечты станут недостижимыми из-за происшествий, потери возможностей или смерти.

Проблема в том, что я не знал, о чём я мечтал. Какой своей уникальной возможностью я мог бы воспользоваться, чтобы как-либо изменить мир к лучшему? Теоретически возможностей было много, но ни одна из них не выглядела подходящей. Ничто вроде бы не могло сделать меня по-настоящему счастливым.

Десять лет метаний по разным высоким позициям в различных корпорациях ушло у меня на то, чтобы понять, что я не смогу найти там своё предназначение. И только приняв смелое, даже безответственное решение, бросить работу без всяких перспектив на будущее, я смог установить уникальную возможность, которую я могу предложить миру.

Стандартный план любого хакатона ↓



В эти выходные пройдет хакатон по машинному обучению, организатором которого является компания Microsoft. У участников хакатона будет 2 дня для того, чтобы крепко не выспаться и сделать мир лучше.

Повествование в этой статье будет проходить в такой же стремительной манере, в какой, как я полагаю, для большинства участников и пройдет хакатон. Никакой воды (если вы не знакомы с Azure ML, то «воду» или какой-то ознакомительный материал лучше все-таки почитать), долгих определений и таких длинных вступлений как это — только то, что вам нужно, чтобы победить на хакатоне.

Разработка Parallels Access потребовала создания геораспределенного сервиса, позволяющего безопасно устанавливать связь между компьютерами и мобильными клиентами пользователей в различных точках земного шара. Команда, которая над ним трудится, хочет поделиться полученным опытом в форме цитат, чтобы облегчить участь тем, кто только планирует создание своего клиент/серверного продукта, и погрузить в ностальгию профессионалов, имеющих за спиной дюжину успешных проектов:

▌Intro
История банальная — моя улочка, некогда тихого и находящегося на окраине парка района, внезапно стала очень оживленной. Там, где раньше можно было смело играть в футбол на проезжей части, нынче каждые несколько секунд проезжает машина, а в час пик так может и пробка образоваться на всю улицу длиной. А где машины, там пыль и шум. В общем, открыть окна в моей рабочей комнате и спальне оказалось решительно нельзя — шумно. А я шум не люблю. Жена так вообще немедленно закрывает окно, не давая даже проветрить. Особенно ситуация усугубилась с установкой пластиковых окон. Если старые деревянные были кривые и косые, что в щели палец сунуть можно, то новые герметичные как в холодильнике.

Надо ли говорить, что посиделки за компом в закрытой комнате превращались в форменную такую душегубку. Уже через пару часов наступала натуральная духота, особенно ощущаемая, когда выходишь из комнаты наружу. Или, наоборот, когда с улицы входишь туда. Кондиционер есть, но он совершенно тут не помощник. Ведь он лишь охлаждает уже имеющийся в комнате воздух, гоняя его по кругу через свой радиатор, но не делает его свежей, не добавляет кислорода.

Возникла мысль о организации какой-нибудь более продвинутой вентиляции. Правда пока мысль возникла, пока решил что НАДО, пока собрался и поискал имеющиеся решения… Такие вещи, от идеи до реализации, у меня идут годы…



Но на счастье, как у меня это бывает, если Магомед не идет к горе, то гора сама к нему устремляется вприпрыжку. Постучались мне в почту представители компании TION и сделали предложение, от которого я не смог отказаться — они мне ставят свою вентиляционную систему, а я пишу все, что я о ней думаю. Это они удачно зашли.

В современном мире частное предпринимательство стало модным и желанным. Практически все из нас грезят о том, чтобы открыть свой бизнес, однако лишь некоторые отваживаются сделать первый решительный шаг навстречу к своей мечте. Фриланс на полный рабочий день и работа в интернете кажутся вполне реальными шансами заработать, не выходя из дома, и развить свою фирму «малой кровью». Но, тем не менее, люди так и не находят в себе сил что-то изменить в своей жизни, даже если действительность их не устраивает. Что является тому причиной? Как правило, среди многих факторов основными являются время, деньги и страх. В этой статье мы поговорим обо всех трех причинах, а больше всего внимания уделим последней (страхе) и расскажем о некоторых лайфхаках борьбы с этим ненастьем. Надеюсь, что эта статья может быть полезна тем, кто желает открыть частное дело, мечтает заниматься фрилансом или бизнесом через интернет.

Итак, давайте детально проанализируем сущность трех китов, на которых держится наша нерешительность в основании собственного бизнеса.

«Возьми себя в руки, тряпка!» — сказал я себе, когда понял, что работа скоро доконает. Или она тебя, или ты её.

Дорога в тысячу ли начинается с первого шага.
Первым шагом стала книга Дэвида Аллена «Как привести дела в порядок: искусство продуктивности без стресса». Точки над i расставил курс Максима Дорофеева «Джедайская техника пустого инбокса, или Как доводить дела до конца».
 
Нельзя питать иллюзий, ступив на тропу войны. Проблемы не заставили себя долго ждать. Работа на компьютере требовала автоматизации. Дело стало за малым, поиск подходящего программного обеспечения для Getting Things Done (GTD).

Бесконечные пробы GTD-программ не принесли счастья. Комфортной работе мешало большое количество данных.
Не получалось связать задачи и данные внутри одной GTD-программы. Поток писем складировался в Outlook, документы и другие файлы на диске, часть информации на web ресурсах и так далее. Решая дела, приходилось тратить время на поиск связанных с ними данных. Возникали проблемы с синхронизацией информации на разных устройствах и многое другое.
 
Но кто ищет, тот всегда найдёт! Выходом из патовой ситуации оказался Microsoft OneNote 2013, который простыми настройками легко превратился в полноценный GTD-инструмент. Только такой подход позволил преодолеть все проблемы и ощутить комфорт от использования GTD.

Многим известен так называемый «парадокс дружбы» (friendship paradox) в социальных сетях, впервые упомянутый в научной работе 1991 года, когда социальные сети были только в офлайне. Этот парадокс применим и к современным социальным сетям в интернете.

Если взять любого пользователя Facebook и случайным образом выбрать любого из его друзей, то с вероятностью 80% у друга будет больше «френдов». Люди, которые плохо знакомы с математической статистикой, очень огорчает тот факт, что почти все френды более «успешны» в общении, чем они сами. Но здесь нет причины для депрессии: так и должно быть, в соответствии с наукой и здравым смыслом.

Парадокс дружбы — одна из форм «парадокса инспекции» (Inspection Paradox), который встречается буквально повсюду и частенько вводит в заблуждение обывателей.

Года два назад я решил заняться тайм-менеджментом, так как мне казалось, что я живу крайне неэффективно и такими темпами никогда «не приду к успеху». Я прочитал несколько книжек и бесчисленное множество статей от доморощенных гуру тайм-менеджмента разной степени пришибленности. Я даже разработал собственную методику, включавшую в себя аспекты из нескольких систем, и написал специальный софт, так как всё, что имелось на рынке, было слишком жалким и недостойным моего внимания.

И только сейчас, когда 11 часов в день я трачу на работу, и реально свободное время появляется только в выходные, я понял, какая это всё хрень. Теперь я убеждён, что люди, которые занимаются тайм-менеджментом — банальные бездельники, которым просто некуда девать своё время. Они не находят для него лучшего применения, чем рисовать всякие хитровыкрученные схемки и вести десяток отдельных блокнотиков для дел типа «почистить зубы» и «пообедать». Их мозг изнывает от безделья, и они занимают его псевдонаучной жвачкой, которая даёт иллюзию продуктивной жизни.

Вы хотите жить эффективно? Устройтесь на работу с полным графиком, поступите в аспирантуру, начните ходить в спортзал и делать зарядку по утрам. Если покажется мало, то возьмитесь за два-три сторонних проекта. Через пару месяцев случится одно из двух: либо вы сдохнете, либо самоорганизуетесь и уже никогда не будете забивать голову ерундой вроде тайм-менеджмента.

Если пришло время признать тот факт, что вы не в состоянии справиться с развитием собственного бизнеса в одиночку, прочтите это руководство. Оно поможет определиться с тем, кого вам стоит взять в свою команду, как найти достойных кандидатов и как их нанять.

На ранних этапах развития собственного бизнеса, предприниматели, как правило, предпочитают справляться с большинством задач самостоятельно. Неудивительно, ведь поначалу данный подход является наименее затратным и наиболее удобным. Однако по мере роста компании, вам все чаще придется разрываться между сотней дел. В итоге, вы обнаружите, что у вас просто нет времени на то, чтобы контролировать и операционную деятельность компании, и продажи, и бухгалтерию, и исполнение обязательств, и маркетинговую деятельность, и при этом надеяться на развитие бизнеса.

Фантастика как жанр заставляет читателей и писателей выйти за пределы разумного, дать волю своему воображению и отправиться в неизведанные миры. За это мы и любим этот жанр. RoboHunter этой осенью предлагает с головой погрузиться в мир научной фантастики.

Новогодние каникулы – хорошее время не только для отдыха, но и для самообразования. Можно отвлечься от повседневных задач и посвятить несколько дней тому, чтобы научиться чему-нибудь новому, что будет помогать вам весь год (а может и не один). Поэтому мы решили в эти выходные опубликовать серию постов с лекциями курсов первого семестра Школы анализа данных.

Сегодня — о самом важном. Современный анализ данных без него представить невозможно. В рамках курса рассматриваются основные задачи обучения по прецедентам: классификация, кластеризация, регрессия, понижение размерности. Изучаются методы их решения, как классические, так и новые, созданные за последние 10–15 лет. Упор делается на глубокое понимание математических основ, взаимосвязей, достоинств и ограничений рассматриваемых методов. Отдельные теоремы приводятся с доказательствами.



Читает курс лекций Константин Вячеславович Воронцов, старший научный сотрудник Вычислительного центра РАН. Заместитель директора по науке ЗАО «Форексис». Заместитель заведующего кафедрой «Интеллектуальные системы» ФУПМ МФТИ. Доцент кафедры «Математические методы прогнозирования» ВМиК МГУ. Эксперт компании «Яндекс». Доктор физико-математических наук.

Привет, хабр!



Меня зовут Глеб, я долгое время работаю в ритейловой аналитике и сейчас занимаюсь применением машинного обучения в данной области. Не так давно я познакомился с ребятами из MLClass.ru, которые за очень короткий срок довольно сильно прокачали меня в области Data Science. Благодаря им, буквально за месяц я стал активно сабмитить на kaggle. Поэтому данная серия публикаций будет описывать мой опыт изучения Data Science: все ошибки, которые были допущены, а также ценные советы, которые мне передали ребята. Сегодня я расскажу об опыте участия в соревновании The Analytics Edge (Spring 2015). Это моя первая статья — не судите строго.

^{Длинный материал. Время чтения – около 40 минут.}



Доктор Ричард Хэмминг, профессор морской школы Монтерея в штате Калифорния и отставной учёный Bell Labs, прочёл 7 марта 1986 года очень интересную и стимулирующую лекцию «Вы и ваши исследования» переполненной аудитории примерно из 200 сотрудников и гостей Bellcore на семинаре в серии коллоквиумов в Bell Communications Research. Эта лекция описывает наблюдения Хэмминга в части вопроса «Почему так мало учёных делают значительный вклад в науку и так многие оказываются в долгосрочной перспективе забыты?». В течение своей более чем сорокалетней карьеры, тридцать лет которой прошли в Bell Laboratories, он сделал ряд прямых наблюдений, задавал учёным очень острые вопросы о том, что, как, откуда, почему они делали и что они делали, изучал жизни великих учёных и великие достижения, и вёл интроспекцию и изучал теории креативности. Эта лекция о том, что он узнал о свойствах отдельных учёных, их способностях, чертах, привычках работы, мироощущении и философии.

В предыдущей статье я рассказал о том, что будет если PhD студент решит пойти в академию. А в этом посте мы рассмотрим вариант с выбором индустрии и еще несколько дополнительных возможностей. Итак, если вам интересно, добро пожаловать под кат!

«Серии Фейнмана» — образовательный проект, созданный с целью повысить уровень научной грамотности в обществе. От создателей «Серий Карла Сагана».

Примечание переводчика: Мы довольно часто пишем об алгоритмической торговле (вот, например, список литературы по этой теме и соответствующие аналитические материалы) и API для создания торговых роботов, сегодня же речь пойдет непосредственно об алгоритмах, которые можно использовать для анализа различных данных (в том числе на финансовом рынке). Материал является адаптированным переводом статьи американского раработчика и аналитика Рэя Ли.

Сегодня я постараюсь объяснить простыми словами принципы работы 10 самых эффективных data mining-алгоритмов, которые описаны в этом докладе.

Когда вы узнаете, что они собой представляют, как работают, что делают и где применяются, я надеюсь, что вы используете эту статью в качестве отправной точки для дальнейшего изучения принципов data mining.

Мне кажется, в теории струн произошло столько разных интересных вещей, что она не может быть неправильной. Люди её плохо понимают, но я не верю, что есть какой-то космический заговор, сотворивший такую штуку, которая не имеет ничего общего с реальным миром.

Эдвард Уиттен

Нет сомнения, что с математической точки зрения у нас нет недостатков во всяческих красивых и элегантных математических аппаратах. Но не все они имеют смысл в физической вселенной. На каждую гениальную идею, описывающую то, что мы можем увидеть и измерить, найдётся ещё одна гениальная, которая попытается описать то же самое, но окажется неправильной. Обсуждая на прошлой неделе вопросы, касающиеся альтернатив струнной теории, я нашёл следующее высказывание:

Надеюсь, у вас будет время, чтобы сделать статью о квантовой гравитации. Точнее, мне интересно, есть ли прогресс в этой области за последние 5-10 лет. С моей непрофессиональной точки зрения кажется, что дело застряло с тех пор, когда теория струн начала терять доверие из-за проблем с её проверками и из-за наличия 10⁵⁰⁰ различных вариантов решений. Действительно ли это так?

Во-первых, есть большая разница между квантовой гравитацией, решением теории струн и другими альтернативами.

Начнём с нашей дорогой вселенной. Есть общая теория относительности – наша теория гравитации. Она постулирует, что вся система работает несколько хитрее, нежели простое «дальнодействие», которое придумал Ньютон, у которого все массы во всех местах вселенной испускали силы, действующие друг на друга, обратно пропорциональные квадрату расстояния между ними.

Масса, как объяснил Эйнштейн при помощи принципа эквивалентности E = mc² в 1907, есть лишь одна из форм энергии. Эта энергия заворачивает самую ткань пространства-времени, изменяя путь, по которому движутся тела, и изгибая то, что наблюдатель увидел бы как декартовскую решётку. Объекты не ускоряются невидимой силой, а просто путешествуют по пути, искривлённому различными формами энергии, присутствующими во вселенной.

Это гравитация.

Трем программистам предложили пересечь поле, и дойти до дома на другой стороне. Программист-новичок посмотрел на короткую дистанцию и сказал, «Это не далеко! Это займет у меня десять минут». Опытный программист посмотрел на поле, немного подумал, и сказал: «Я мог бы добраться туда за день». Новичок посмотрел на него с удивлением. Гуру-программист посмотрел на поле и сказал. «Кажется минут десять, но я думаю пятнадцати будет достаточно». Опытный программист рассмеялся.

Программист-новичок двинулся в путь, но в течение нескольких мгновений, начали взрываться мины, оставляя после себя большие ямы. От взрывов он отлетал назад, и ему приходилась начинать сначала снова и снова. У него ушло два дня чтобы достичь цели. К тому же он весь трясся и был ранен, когда пришел.

Опытный программист пополз на четвереньках. Осторожно щупая землю и ища мины, двигаясь только если был уверен, что это безопасно. Медленно и осторожно он пересек поле в течение дня. Только задев пару мин.

Гуру программист пустился в путь, и пошел прямо через поле. Целеустремленно и прямо. Он достиг цели всего за десять минут.
«Как тебе это удалось?» — спросили двое других — «Как ты умудрился не зацепить ни одной мины?»
«Легко» — ответил он. «Я не закладывал мины на своем пути».

Как ни прискорбно, придется признать – мы сами закладываем себе мины. В первой части я подробно разобрал основные риски в разработке ПО и описал технологические и методологические способы ослабления этих рисков. За прошедший год я получил множество комментариев, основной смысл которых сводился к следующему: «все круто, но с чего начать и как все это будет выглядеть в реальном мире». Действительно, первый текст носит скорее теоретический характер и представляет собой каталог ссылок. В этой статье я постараюсь привести как можно больше примеров.

В нашем блоге мы уже публиковали истории о том, как программисты зарабатывали на фондовом рынке, применяя свои знания новых технологий (например, машинного обучения). В комментариях к подобным материалам некоторые пользователи Хабра говорили о том, что их смущает необходимость рисковать при работе на бирже своими собственными деньгами.

Сегодня мы подробнее расскажем о том, как можно заработать на фондовом рынке, занимаясь только программированием, и не вкладывая собственных средств. Сделать это можно участвуя в специальном конкурсе разработчиков от проекта StockSharp и ITinvest.