*Эта функция была введена с версией 69 и вызвала неоднозначную реакцию сообщества. Исправление выйдет только с патчем 70 в середине октября.

Один из главных скандалов вокруг Google за последнюю неделю связан с незаметной, но потенциально крайне неприятной функции автоматического подключения профиля пользователя Chrome после логина на любом из ресурсов компании. При этом Cookies, связанные с гугло-сервисами, невозможно удалить средствами браузера даже через расширенные настройки браузера.


Новая «особенность» Chome появилась с последним обновлением до версии 69, которая кроме значительных визуальных изменений привезла аудитории еще и «новый UX» в плане логина. Большинство пользователей не отключает использование Cookies, предпочитая безопасности комфорт, однако в неприятном положении оказались люди более сознательные, а также все те, кому надо войти в свою Google-почту или аккаунт YouTube на чужих машинах с последующей очисткой истории браузера.

К детской продукции всегда выдвигались особые требования. Тут и безопасность, надежность, простота, возможность удаленного управления, если мы говорим о детских устройствах и сервисах, и много чего еще. Функция «родительских контроль» почти так же стара, как и весь цифровой мир, кроме этого вопрос защиты персональных данных детей стоит остро уже достаточно давно.

Но даже если ваш ребенок обладает достаточной технической грамотностью и знаком с правилами поведения в сети (не разглашать свои персональные данные, реальное место жительства, график, маршруты и так далее по вполне понятным нам всем причинам), от утечки этой информации он не защищен. В последнем исследовании говорится, что огромная масса детских приложений с пометкой «до 13 лет» следят за своими юными пользователями так же, как за нами, взрослыми, следят приложения Facebook или Google.

Простенькие игры, цель которых — развитие или развлечение чада, вполне себе собирают всевозможную информацию от устройства и датчиков, в том числе и данные геолокации и акселерометра. Кстати говоря, за детьми в нарушение закона следят и крупные технологические компании и социальные сети. И это серьезная проблема, особенно, если брать в расчет современное машинное обучение и нейросети.

С приходом в нашу жизнь USB-устройств и USB-портов одним из главных требований к безопасности стало внимательное отношение к точкам подключения, которые способны проводить передачу данных между девайсами. Собственно, по этой причине в ОС Android с самых ранних версий (с 2.0 так точно) существует опция ручного включения порта устройства в режим передачи информации с объектом подключения, т.е. с портом USB. Без активации этой функции устройство лишь заряжается от USB, игнорируя всякие (очевидные) запросы на обмен информацией от второй стороны.

Но Кевин Батлер и его исследовательская группа в области информационной безопасности Университета Флориды недавно обнаружили крайне элегантный и при этом довольно опасный способ атаки на пользовательские устройства через USB-порт. При этом сам порт выступает для наблюдателя лишь как источник питания и может размещаться в любом публичном или не очень месте, например, на зараженном ПК, в кафе или точке зарядки USB-устройств в аэропорте. Для атаки должно выполняться одно условие кроме доступа к обмену данными с портом зарядки со стороны злоумышленника: выход экрана смартфона из поля зрения хозяина (чтобы он не заметил, что устройство стало «жить своей жизнью»).

При этом пароль блокировки экрана обходится одной короткой командой, что дает атакующему доступ к главному экрану смартфона.

[UPD 2] Команда Pain Gaming победила OpenAI Five. Матч длился 53 минуты и закончился со счетом 45-41 по фрагам в пользу ботов. Запись игры можно посмотреть на Twitch тут. Начало на 7:38:00

Сегодня вечером, 22 августа, перед началом очередного дня плей-офф The International, в рамках шоу-активностей пройдет первый показательный матч между профессиональными игроками и ботом OpenAI Five. Информация о матчах появилась на официальном сайте Dota 2 в разделе с расписанием игр плей-офф The International. Всего OpenAI сыграет три матча за три дня с про-игроками.

Знаменательно это событие тем, что год назад бот уже «расправился» Даниилом Ишутиным в противостоянии 1x1 solo mid mirror SF, а несколько недель назад одолел «сборную солянку» из комментаторов и бывших про-игроков.

На этот раз разработке компании, которая спонсируется Илоном Маском и другими видными бизнесменами из IT-сектора предстоит встретиться с более серьезным противником: The International ежегодно собирает лучшие команды мира, так что ботам будет непросто. Пока команда разработчиков не сообщала, будут ли действовать все старые ограничения по пикам и механикам, которые были актуальны в игре против людей в начале месяца, но о них стоит напомнить.


В комментариях к нашей прошлой публикации на эту тему разгорелось множество споров о методах обучения нейросетей. На этот раз мы принесли немного наглядных материалов о том, как работает бот OpenAI и как это выглядит с точки зрения людей.

В начале этого года информационное пространство потрясли новости о Spectre и Meltdown — двух уязвимостях, использующих спекулятивное исполнение кода для получения доступа к памяти (статьи и переводы на эту тему на Хабре: 0, 1, 2, 3, 4, 5, 6, 7, 8 и в поиске можно найти еще десяток других). Примерно в тоже время, когда техническое сообщество активно обсуждало снижение производительности процессоров Intel и проблемы архитектуры современных процессоров в целом, которые и позволяют эксплуатацию подобных дыр, две группы исследователей независимо друг от друга стали внимательнее исследовать вопрос спекулятивного исполнения кода на процессорах Intel.

Как итог, обе группы пришли к тому, что использование этого вектора атаки позволяет не только получить доступ к кэшу процессора, но и считывать/изменять содержимое защищенных областей Intel SGX (1, 2), в расшифровке — Intel Software Guard Extensions. Таким образом еще более серьезной атаке подвержены новейшие чипы от Intel на архитектурах Sky Lake (шестое поколение) и Kaby Lake (седьмое и восьмое поколение). И все было бы не так печально, если бы SGX использовалась только системой, но к этим областям обращаются и пользовательские приложения.

Вчера, 5 августа, в Сан-Франциско состоялся шоу-матч между людьми и ботами OpenAI в дисциплине Dota 2. Еще в 2017 году в рамках шоу-матчей The International 2017 люди сражались с OpenAI в формате «1х1 mirror mid» и с целым рядом ограничений в пользу ботов (запрет на использование ряда предметов и механик), что закончилось поражением профессиональных игроков-мидеров.

Так как Dota 2 — дисциплина крайне разносторонняя и сложная для освоения, встреча между людьми и ИИ вновь проводилась с целым рядом ограничений, которые, однако, не слишком радикально влияли на игровой процесс:

• пул из 18 героев в режиме Random Draft (Axe, Crystal Maiden, Death Prophet, Earthshaker, Gyrocopter, Lich, Lion, Necrophos, Queen of Pain, Razor, Riki, Shadow Fiend, Slark, Sniper, Sven, Tidehunter, Viper, или Witch Doctor);
• без Divine Rapier, Bottle;
• без подконтрольных существ и иллюзий;
• матч с пятью курьерами (ими нельзя скаутить и танковать);
• без использования скана.

Самое серьезное ограничение: крайне малый пул героев для обеих сторон. Сейчас в Dota 2 существует 115 персонажей с различными способностями и механиками их применения. OpenAI пока может совладать лишь с 18 из них. Встреча была максимально приближена к «реальным» условиям и проводилась в формате 5х5. Против ИИ играли обычные люди, в прошлом когда-то причастные к киберспорту, но сейчас не являющиеся киберспортсменами. Единственная поблажка для людей заключалась в том, что реакция ботов была ограничена 200 мс, чтобы избежать ситуаций с мгновенным «прожатием» кнопок. Итог: команда ИИ выиграла у людей со счетом 2-0 по картам. Выиграть у OpenAI удалось только после того, как героев для ИИ выбрал зрительный зал (Slark, Sven, Axe, Riki и Queen of Pain), по оценкам OpenAI шанс на победу с таким драфтом составлял всего 2,9%. Кроме этого, до начала главного матча, с ботами могли сыграть рядовые гости мероприятия, и в этих встречах доминирование ИИ было еще более наглядно, что впечатляет.

Команда Павла Дурова официально представила публике собственный сервис верификации и безопасной авторизации на сторонних ресурсах под названием Telegram Passport. Соответствующая запись была размещена в официальном блоге мессенджера Telegram. Доступ к сервису из сторонних платформ уже получил ресурс ePayments.com, в будущем ожидается значительное расширение этого списка.

Telegram Passport — унифицированный метод авторизации для сервисов, требующих персональную идентификацию пользователей. Загружайте ваши документы только один раз для того чтобы иметь постоянную возможность пользоваться сервисами, требующими реальные идентификационные данные (финансовые инструменты, ICO, и прочие).

К идентификации принимаются не только классические данные в виде ФИО, номера телефона и скана/фото паспорта, но так же и водительские удостоверения, ID-карты, данные о прописке, данные о временной регистрации. Кроме этого система принимает селфи с документами для подтверждения того, что идентификацию проходит реальный человек, а не злоумышленник, который завладел персональными данными пользователя.

Исследователи в области информационной безопасности из фирмы Armis сообщили на днях о том, что около 500 млн IoT-устройств подвержены атаке через перепривязку DNS. В ходе этой атаки злоумышленник привязывает устройство жертвы к вредоносному DNS, что в последующем позволяет проводить целый ряд операций. Так, атака позволяет в последующем запускать вредоносные процессы, собирать конфиденциальную информацию или использовать IoT-устройство в качестве промежуточного звена.

Если кратко, сама атака происходит по следующему сценарию:

1. Атакующий настраивает собственный DNS-сервер для вредоносного домена.
2. Атакующий предоставляет жертве ссылку на вредоносный домен (на этом этапе используется фишинг, IM-спам, XSS или маскировка вредоносной ссылки в рекламных объявлениях на популярных и полностью «белых» сайтах).
3. Пользовательский браузер делает запрос на получение DNS-параметров запрашиваемого домена.
4. Вредоносный DNS-сервер отвечает, браузер кэширует адрес.
5. Согласно параметру TTL внутри первичного ответа DNS-сервера в одну секунду, браузер пользователя выполняет повторный DNS-запрос для получения IP-адреса.
6. DNS злоумышленника отвечает целевым IP-адресом.
7. Атакующий неоднократно использует вредоносный DNS-сервер для доступа ко всем интересующим IP-адресам в атакуемой сети для достижения своих целей (сбор данных, выполнение вредоносного кода и так далее).

Одна из самых сложных проблем современной 3D-анимации до сих пор заключается в такой, на первый взгляд, простой вещи, как отрисовка волос. На самом деле создание прически — это одна из наиболее сложных и трудоемких операций, которую можно себе вообразить. Анимационные и игровые студии уже достаточно давно научились использовать реальных актеров для снятия их движений и придания реалистичности действиям персонажей. То же касается и животного мира, когда речь идет о «звериных» анимационных фильмах, даже если персонажей делают антропоморфными (как, например, в «Зверополисе»). Но если анимация шерсти или коротких «полубокс» стрижек еще кое-как дается художникам, то с длинными женскими прическами все крайне и крайне неоднозначно. По этой причине многим студиям и проектам приходится отказываться от реализма в своих работах и использовать более простую, «мультяшную» рисовку.


Фото: Disney Research

Компания Дисней (с учетом ее имперских амбиций на рынке) с таким подходом мириться не хотела, поэтому несколько дней назад публике был представлен новый метод трекинга и управления поведением волос анимационных персонажей. При этом разработка применима как и для рынка анимационных фильмов, так и для рынка геймдева. Основное отличие новой системы от устоявшихся практик: отказ от создания сетки «локонов» и переход к динамической системе с «якорями». В своем релизе специалисты Дисней рассказывают о новой системе генерации волос, которая базируется на принципе взаимодействия с центром масс и опорных точек внутри локонов.

Компания Apple представила публике новую функцию защиты от взлома своих устройств под управлением iOS 11.4.1 и выше. Принцип защиты базируется на отключении передачи данных через Lightning-порт устройства через час после блокировки экрана. Сделано это для того, чтобы ограничить возможность подключения сторонних устройств к смартфону без ведома владельца. Новая функция была названа режимом USB Restricted (в настройках — USB accesories) и по мнению представителей компании сможет значительно повысить защищенность продукции Apple от взлома в случае потери или кражи устройства.


Кроме очевидной невозможности установить связь с устройством через Lightning-порт, новая система защиты имеет еще одну особенность: смартфон продолжает заряжаться, но становится полностью «немым», то есть не определяется другими устройствами, как нечто «умное» и имеющее свою собственную память. Таким образом, при потере заблокированного iPhone с включенным режимом USB Restricted устройство достаточно быстро превратится в банальный кирпич, который можно только заряжать для того, чтобы его смог обнаружить владелец.

Группа исследователей из Aleph Security нашла ряд атак, использующих уязвимость Spectre, которые позволяют обойти средства защиты популярных браузеров. В отчете речь идет о Spectre v1 (CVE-2017-5753) — это разновидность уязвимости Spectre, которую можно эксплуатировать через браузер.

Защита от нее была реализована еще до публикации Aleph Security (V8 — Chome&Chromium, Chrome, Chromium, Firefox, Edge/IE, Safari Webkit), так как исследователи заблаговременно связались с разработчиками. Принципы защиты разнятся от браузера к браузеру, но в основном используются изоляция сайтов (проекты на базе Chromium), снижение точности и добавление большего разброса значений для таймеров performance.now(), и отключение функции SharedArrayBuffer (Firefox, Edge).

За последние несколько месяцев мы провели целых три крупных Hiring Tournament в Москве, в рамках которых искали специалистов на такие высокооплачиваемые позиции, как Software Engineering Manager или Chief Software Architect. Мы собирали отзывы, рассказывали о внутренней кухне и даже проводили стримы. Но первый месяц лета подходит к концу и необходимость сбросить темп, набраться сил к трудовому осеннему рывку и просто передохнуть, все сильнее. По-настоящему активно работают в эту пору, наверное, только туристические агенты, которым надо продавать нам, северянам, горящие и не очень туры в края с более щадящим климатом, желательно куда-нибудь на берег теплого моря (для любителей экстрима всегда есть туры в Антарктиду, но их единицы).



Поэтому сообщаем, что последний Moscow Hiring Tournament сезона пройдет в эту субботу, 30 июня, в Gravity Co-working Space. После этого ивента мы берем перерыв в офлайновых активностях и вернемся только к концу лета, в августе. Тревоги о том, что подобные мероприятия зачастую проходят «где повезет» можно смело отбросить: главное отличие нынешнего ивента от проводимых, например, год назад, в том, что сейчас мы проводим его на своей «домашней площадке».

Сегодня ночью два разработчика из Риги, Андрей Адамович и Эдуард Сизов опубликовали на GitHub свой open source-проект агрегатора с видеоматериалами для разработчиков DevTube. На сайте уже реализована система фильтров по тегам, таким как Mobile, JavaScript, Testing и другим, а также по спикерам и языкам видео. Проект заявлен как некоммерческий: на сайте нет ничего лишнего, только навигация, превью к видео и такая ключевая информация как теги, продолжительность, дата загрузки, количество просмотров и лайков. Очевидно, ресурс будет полезен тем, кому нужны выступления и видеоматериалы по конкретным языкам или направлениям разработки.



Сейчас на ресурсе преобладает англоязычный контент, что неудивительно. Также разработчики заявили о старте коллективной работы по наполнению этого некоммерческого ресурса: подать заявку на добавление или удаление видео с DevTube можно через пулл-реквест на GitHub, о чем сообщается в README.md. Вот как идею создания такого ресурса прокомментировал один из разработчиков, Андрей codingandrey Адамович:

Если вам приходилось устраиваться на работу через HR-департамент, то вот несколько стандартных фраз, которые получаешь после недели тишины и пары-тройки писем и звонков ответственным лицам из интересующей организации: «мы нашли более подходящего кандидата», «вы нам не подходите», «эта вакансия уже закрыта», "*неразборчивое мычание*". Сколько бы не говорили о том, что нейтральный ответ — это «забота» о кандидате, все дело в ресурсах, а вместо эфемерной заботы человек получает скачок артериального давления и чувство, что N-часов были потрачены зря.


Когда ждешь фидбека по итогам собеседования

Проблема современного рынка труда в том, что эти неразборчивые ответы люди получают чаще по собственной инициативе, так что стандартное «вы не прошли отбор» на электронную почту выглядит не так уж и плохо. Почему практически никто и никогда не дает развернутого мотивированного отказа? Давать развернутый мотивированный отказ каждому соискателю долго, сложно и дорого (из расчета человеко-часов), поэтому рынок труда практикует вот такие краткие ответы и то, только если очень попросить.

С первым днём лета, Хабр! Это не только сезон отпусков (кому повезло с начальством и не приходится отдыхать в феврале), но и лучшее время для поиска работы и новых заказчиков. К тому же, завтра суббота, поэтому, если вы:

• в Москве,
• профессионал в Java, C# (.NET), Cloud, C++, Ruby on Rails, Test Automation
• или менеджер разработки, специализирующийся на SaaS, Java, QA, Ruby on Rails или C# (.NET)

— нет причин не заглянуть на огонёк в коворкинг Gravity на Бауманской.


Ужас, который можно будет забыть, перейдя на фриланс

Ровно в девять утра мы начинаем наш очередной турнир для сильнейших менеджеров и разработчиков. Турнир не имеет строгого ограничения по времени (кроме одного — мы о нем расскажем на самом мероприятии), но ориентировочно всех этапы занимают около 5-6 часов.

Оффлайновые турниры Crossover — это глобальные мероприятия, которые проходят в один день по всему миру. Если вы читаете «Хабр» из Киева, Варшавы, Будапешта, Бухареста, Буэнос-Айреса, Стамбула или Сан-Паулу — это значит, что завтра мы проводим турниры и в ваших городах.

…и начать использовать возможности нейросетей для вашей карьеры прямо сейчас

Работа мечты — это как вторая половинка: она точно где-то есть, но шансы на вашу случайную встречу в большом мире так малы, что вынуждают тех, кто не хочет сдаваться, находиться в постоянном поиске. Перестать гнаться за мечтой — значит отказаться от неё. Главных препятствий на пути встречи соискателя с работодателем своей мечты — равно как и работодателя именно с тем членом команды, о котором он всегда мечтал — два:

1. Отсутствие единой базы вакансий и резюме. Многие современные специалисты обладают навыками, делающими их потенциально востребованными в любой точке мира — владение английским языком, программирование и т.д. И в это время где-нибудь в маленькой Эстонии начинается очередной стартап, который завтра станет новым «Скайпом», а сегодня вы бы очень подошли друг другу — но откуда вам было знать, что надо ещё и эстонские сайты по поиску работы проверять?
2. Огромные временные затраты на обработку информации. Но даже если бы такая универсальная база и появилась — её было бы невозможно обрабатывать целиком без команды аналитиков, пашущих над этим проектом фуллтайм. Но если вы можете себе позволить команду аналитиков для поиска работы — вероятно, вам не очень-то и нужно искать работу.

Наверное сложно найти человека, который бы любил собеседования. Согласитесь, что переносить свои дела, куда-то ехать, общаться с HR-менеджером, а возможно и с двумя, отвечая при этом на откровенно опостылевшие однотипные вопросы утомительно. Но поиск работы, это не всегда утомительные беседы с людьми, которые вас не понимают. Именно поэтому мы проводим свои Hiring Tournaments, о которых, кстати, очень неплохо отозвались читатели Хабра. Но вернемся к тому, почему мы вообще этим занимаемся.


Классическое собеседование с представителем HR-департамента может стать еще невыносимее, чем обычно. Как? Да очень просто. Ситуация усугубляется, если на собеседовании не присутствует непосредственный руководитель, или того хуже, собеседование разбито на 3-4 этапа.

Сначала с вами проводят телефонное интервью представитель HR-департамента, задавая простые и не всегда нужные вопросы. Потом вам назначают собеседование, где все повторяется, только теперь в какой-нибудь душной переговорке. Потом вы ждете звонка, пока HR разложит все резюме по двум стопкам, после чего попадаете на следующий «уровень» собеседования. Апогеем всего этого может стать просьба «написать код на листике» или вопрос уровня «расскажите нам о стеке TCP/IP. У читателей с бурной фантазией к этому моменту уже лопнула пара-тройка сосудов в глазах, от чего те налились кровью.

У удалённой работы и фриланса в буквальном смысле многовековая история. Но её современная разновидность, известная под названием telecommuting, разумеется, гораздо моложе, а к его рождению самое непосредственное отношение имеет космическое агентство NASA. В общем, день космонавтики 2018 года — отличный повод для того, чтобы рассказать об истории дистанционной работы.


В 1960-е «автор» определения дистанционной работы «telecommuting» Джек Ниллес (Jack Nilles) работал инженером в NASA. Часто он думал о том, насколько неудобно каждый день добираться до работы. В результате он начал исследовать этот вопрос после ухода из агентства.

Привет. Меня зовут Максим Винников, я Vice President of Product Management в компании Aurea Software. В той же самой компании, на которую работает Слава Кулаков, знакомый многим по истории, как он стал фрилансером, получающим $200 000 в год. Вопросы и комментарии к тому посту продолжают идти до сих пор, поэтому сегодня, уже на своём примере, я расскажу, что из себя в повседневном режиме представляет уже непосредственно работа, за которую платят такие гонорары — и постараюсь ответить на вопросы по теме живьём.

[update] В прямом эфире ответил на вопросы, появившиеся в комментариях за день:



Согласно стандартам Aurea и ESW Capital каждый сотрудник должен отработать 40 часов в календарную неделю. Я, исходя из своей позиции и физических возможностей, придерживаюсь графика 5/2. Моё основное рабочее окно расположилось в промежутке с 14:00 до 19:00, это суммарно 5 часов в день. Ещё 3 часа в день дорабатываются тогда, когда мне удобнее: в один день я могу поработать поздним вечером, в другой — приступаю с самого утра, чтобы освободиться пораньше.

Так как команда на 100% децентрализована и у нас нет офисов, то всё взаимодействие между сотрудниками переходит в онлайн. Я, как VP (а это менеджерская позиция), вовлечён в различные рабочие процессы множества людей сильнее, чем среднестатистический разработчик. Это тоже стоит учитывать.

Кажется, у компании Crossover становится традицией анонсировать свои карьерные турниры, рассказывая о людях, уже работающих по специализации, на которую пойдёт отбор. Но сегодняшний случай особенный: хотя «примерка» на роль Chief Software Architect 7 апреля проходит в Москве, наш «Chief Software Architect дня» живёт даже не в России, а в соседней для дефолтной хабранации республике. Видимо, поэтому Crossover предложил мне взять у него интервью — может, они надеялись на какую-то особую белорусскую перспективу в разговоре двух белорусов, двух минчан и двух фрилансеров?

Впрочем, это сейчас Сергей rserge Рогач живёт и работает в Минске. Будущий Chief Software Architect компании родился в городке-десятитысячнике Глубокое Витебской губернии, в подбрюшье Браславских озёр — и эта череда топонимов словно сама уносит дальше, куда-то в сторону леса Фангорн, лежащего в отрогах Мглистых гор…


Поднимите руки, кто на Браславские озёра хочет больше, чем в Чикаго?

…только Сергей после девятого класса поступил в лицей при БГУ — одну из самых престижных школ Беларуси при главном университете страны. Учиться там в 2001–2003 годах было никому не скучно: аббревиатура БГУ грохотала как название одной из самых смешных команд КВН в истории, а Сергей два года подряд попадал в четвёрку старшеклассников, представлявших Беларусь на международной олимпиаде по программированию.