Тестирование веб-сервисов *

Сайт, готовый ко всему — Никита Дубко / Ural Digital Weekend 2024

Опубликовали запись доклада секции «Разработка» с Ural Digital Weekend 2024.

Вспомните, где вы обычно тестируете свое веб-приложение. Скорее всего, у вас есть несколько вьюпортов, в которых вы быстро проверяете верстку и, возможно, пишете автотесты. И багов от пользователей почти нет — значит, все делаете правильно. Но как вашим сайтом пользуются на самом деле? Что нужно предусмотреть, чтобы сайт работал действительно почти везде?

В докладе вы найдете множество интересных примеров и отсылок. Заходите посмотреть!

Ссылка на запись доклада в ВКонтакте.

Ссылка на презентацию: https://goo.su/NRS

В ноябре стартует новая программа «Fullstack-тестировщик». Начинаем приём заявок!

Вы научитесь работать с требованиями, создавать тестовую документацию, применять различные виды тестирования веб-приложений, автоматизировать тестирование фронтенда и бэкенда.

Плюсы программы

➕ Материалы для самообучения доступны в любое время, практические занятия проходят с тренером в онлайн-формате.

➕ Программа разработана в 2024 году.

➕ Мы специализируемся на корпоративном обучении, точно знаем, что востребовано у бизнеса, и учим именно этому.

➕ Решение реальных задач, работа с тестовым стендом.

➕Диплом о профессиональной переподготовке гособразца.

Кому подойдет программа

🧑‍🎤 Junior QA. Научитесь основам тестирования и освоите автоматизацию.

🥷 Manual QA с опытом от года. Углубите знания и расширите компетенции в области автоматизации и работы с API.

👩‍🚒 Специалисту техподдержки. Разберетесь в процессах тестирования и автоматизации.

👉 Оставить заявку на обучение

Путь тестировщика: ошибки, опыт, деньги. Вышел новый Sravni Podcast!

В новом выпуске поговорили о сути QA, отношениях тестирования и разработки, неизбежности багов и ответственности за плохие релизы. Гость — Анна Серенькова, QA Mobile Lead Сравни.

В этом выпуске:

• Что должен уметь тестировщик и сколько ему платят?

• В чём разница тестирования в вебе и на мобильных устройствах?

• Почему в ИТ важно доказывать свою ценность, и в чём здесь отличия для женщин и мужчин?

• Право на какое количество ошибок есть у тестировщика, прежде чем его уволят?

Подкаст доступен по ссылкам:

✅ YouTube
✅ RUTUBE
✅ VK
✅ Яндекс.Музыка

Оперативно узнавать о наших новых подкастах, докладах, лекциях и других полезных ИТ-материалах, можно в тг-канале Sravni Tech.

Яндекс Практикум запустил расширенный курс «Автоматизатор тестирования на Python»

Базовый курс даёт всё необходимое, чтобы стать автоматизатором тестирования на Python, но мы пошли дальше и запустили расширенный курс. Мы добавили больше тем, больше проектов для портфолио, а также индивидуальные консультации. 

Что будет на расширенном курсе:

• Основы Python, объектно ориентированное программирование, юнит-тестирование, UI-тестирование, тестирование API, инфраструктура и архитектура, Selenide, базы данных;

• 7 учебных проектов;

• Вебинары для разбора сложных тем каждые 2 недели;

+ дополнительный модуль «Развёртывание, настройка и запуск тестов из CI/CD»;

+ дополнительный модуль «Создание образов и работа с ними в Docker»;

+ 3 дополнительных учебных проекта в портфолио;

+ 8 индивидуальных консультаций с опытными автоматизаторами на Python по темам курса, техническому собеседованию, настройке автотестов или по любому интересующему вопросу.

Расширенный курс длится 6 месяцев, нагрузка умеренная — учёбе нужно уделять ≈14 часов в неделю. 

Этот курс для специалистов с опытом. Вы должны уметь составлять чек-листы и тест-кейсы, применять техники тест-дизайна: классы эквивалентности и граничные значения, а также представлять, как работают веб- или мобильные приложения. Навыки программирования не нужны.

→ Узнать подробнее и начать учиться бесплатно

Как организовано нагрузочное тестирование на production в Авито

Мы сделали запуск нагрузочных тестов на проде одним из шагов процесса разработки и валидации требований. Тестами мы проверяем:

— требования по производительности к сценариям;
— запас производительности (стресс-тестирование).

Полный обзор процесса нагрузочного тестирования (регламент, проблемы, метрики, примеры реализации) — в новом выпуске avito.code с руководителем команды тестирования Игорем Стародубцевым.

А здесь вы можете узнать про эксперимент по написанию 5000 тестов и сборку генератора для тестирования: как мы к этому пришли и что это нам дало. 

Подписывайтесь на канал AvitoTech в Telegram, там мы рассказываем больше о профессиональном опыте наших инженеров, проектах и работе в Авито, а также анонсируем митапы и статьи.

Поздравляем всех тестировщиков с профессиональным праздником!

Желаем поменьше багов брыдлых,
Да побольше кода ладного.
Чтоб все хлопцы и золотинушки счастливы были,
А доля их рабочая только отраду приносила.

К празднику подготовили рассказ, как мы создавали и развивали КОТа — Школу Как Обучить Тестировщика. За несколько лет КОТ стал незаменимым помощником в деле формирования качественных кадров и слаженного комьюнити тестировщиков внутри компании.

Читать тут.

Сегодня Яндекс.Метрика отключила сервис мониторинга сайтов.
Я создал замену: Телеграм-бот, который следит за доступностью сайтов и присылает уведомления, если что-то не так.

Сервис Яндекса умел отправлять письма и SMS двух видов:

• Проблемы с доступностью сайта.

• Сайт снова доступен.

В своём боте я сделал чуть больше проверок:

• Сайт недоступен/снова доступен.

• Изменился заголовок сайта.
  Может выручить, если в какой-то момент вместо сайта появится заглушка "домен не прилинкован к директории" или что-то в этом роде.

• Истекает срок действия SSL-сертификата или домена.

• Изменился конечный адрес (если срабатывает переадресация).

Казалось бы, простой пингатор, но на деле нюансов оказалось очень много. Может быть, напишу статью с техническими деталями.

Старался от души и сделал полезный инструмент для владельцев/администраторов сайтов.

Пока что всё бесплатно, пробуйте!

Telegram-бот "Мониторинг сайта"

Weekend Offer для Java-разработчиков, системных аналитиков и QA-инженеров (backend)

24—25 августа проведем Weekend Offer в Нефинансовые сервисы Т-Банка сразу для трех профессий: Java-разработчиков, системных аналитиков и QA-инженеров (backend). Это самый быстрый путь к офферу: вы сможете пройти все этапы интервью за выходные.

Нефинансовые сервисы — целая экосистема лайфстайл-продуктов в банке: от подписок и билетов в кино до онлайн-бронирования отелей. Вкратце — все то, что делает жизнь клиентов проще и счастливее. В начале Weekend Offer проведем велком-встречу с экспертом и расскажем больше о том, как работают сервисы.

Мы ждем:

— Java-разработчиков, которые владеют навыками в любой из технологий: Spring, Quarkus, Micronaut, Ktor или Vert.x.

— Системных аналитиков, которые работали с REST/gRPC/graphQL и брокерами сообщений — Kafka/RabbitMQ.

— QA-инженеров с опытом работы в тестировании бэкенда и автоматизации тестирования с использованием Java, Kotlin или JS.

Если у вас есть опыт от 3 лет — приходите и создавайте прорывные сервисы вместе с нами. Заявку можно оставить до 21 августа на сайте.

Разработчики из Mozilla запустили открытый всем пользователям опрос о функциях браузера Firefox.

Исследователь опыта пользователей из команде Firefox User Research Чанс Йорк создал опрос для сбора мнений о нескольких функциях браузера, некоторые из которых были предложены ранее в Mozilla Connect. Ответы из опроса помогут Mozilla расставить приоритеты в функциях Firefox, чтобы лучше удовлетворять потребности пользователей и улучшить опыт просмотра страниц в сети.

Заполнение опроса займёт около 5–7 минут, и все ответы анонимны. Вечером 9 августа Mozilla закроет доступ к опросу и преобразует все ответы в числовые данные для совокупного анализа данных. Все данные ответов надёжно хранятся на внутренних платформах Mozilla. В ближайшие недели разработчики составят краткий отчёт по выводам из опроса и поделятся им с сообществом Mozilla Connect.

Аналог YouTube из РФ под названием «Платформа» закрыли на технические работы. Примечательно, что это произошло в тот момент, когда в РФ начали наблюдаться сбои в работе YouTube.

В июле сервис «Платформа» представили в качестве аналога американского видеохостинга YouTube, его разработала IT‑компания Rteam.

Сервис был представлен Региональным общественным центром интернет‑технологий (РОЦИТ). На презентации говорили, что на платформе не будет «западной цензуры» и запрещенного контента (например, роликов на тематику ЛГБТ). Через месяц после запуска на главной сайта висели ролики, которые набирали в среднем по 300–500 просмотров. Сейчас хостинг не работает, на главной висит заглушка «Технические работы на сайте».

Интернет-энциклопедия «Википедия» добавила в настольную и мобильную версии тёмную тему. Опцию можно выбрать в настройках цвета. В настоящий момент функция доступна только для англоязычных пользователей «Википедии».

В разделе «Цвет» есть возможность активировать три опции: «Светлый», «Темный» и «Автоматический», который выбирается на основе настроек системы. Новый режим «Википедии» несовместим с браузерными расширениями, которые сами делают «Википедию» темной.

Панель с настройками «Википедии» в мобильной версии можно вызвать, нажав на левое верхнее меню с символом из трех полосок. В настольной версии опция либо доступна в правой панели настроек, либо она открывается при нажатии на кнопку с изображением очков в правом верхнем углу страницы — панель может быть как закрепленной на странице, так и выпадающей при нажатии.

Тёмная тема была одной из самых запрашиваемых функций от пользователей «Википедии». Первый запрос на это был зарегистрирован еще в июне 2010 года, однако разрабатывать функцию начали только в 2022 году.

В кодовую базу Node.js принято изменение, добавляющее возможность выполнения файлов с кодом на TypeScript.

Поддержка TypeScript включается при помощи опции "--experimental-strip-types" и сводится к очистке специфичных для данного языка определений типов, то есть преобразованию перед выполнением исходного кода в JavaScript.

Не связанные с описанием типов возможности TypeScript пространства имён, декораторы, свойства параметров и перечисляемые типы (enum) пока не поддерживаются. Протестировать новую опцию можно в ночных сборках Node.js 23.

Для трансляции задействован компилятор SWC (Speedy Web Compiler), написанный на языке Rust. Чтобы не добавлять дополнительные зависимости к Node.js, задействовано представление компилятора swc/wasm-typescript в промежуточном коде WebAssembly и уже применяемое для тех же целей в платформе Deno.

Это изменение добавлено в ответ на просьбы пользователей реализовать возможность запуска кода на TypeScript без установки внешних загрузчиков и дополнительных зависимостей. В проектах Deno и Bun поддержка TypeScript реализована изначально.

Ключевым отличием TypeScript от JavaScript является явное определение типов. Статическая типизация позволяет избежать многих ошибок в процессе разработки, даёт возможность задействовать дополнительные техники оптимизации и упрощает отладку.

В добавленной в Node.js реализации данные возможности TypeScript теряются, в процессе трансляции исходных текстов в JavaScript проверка типов не осуществляется.

Источник: OpenNET.

Эксперты PCWorld сравнили веб-браузеры Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Brave и Vivaldi по производительности и доступу к данным пользователей.

Главным критерием теста было время загрузки содержимого сайтов, особенно тех, которые богаты графическими элементами и JavaScript.

Тестирование проводилось на ПК на базе AMD Ryzen 5 3600 с видеокартой NVIDIA RTX 3060 Ti, 16 ГБ ОЗУ DDR4-3200 и накопителем Samsung 970 Evo. В качестве операционной системы использовалась Windows 10 версии 22H2.

Для измерения скорости работы браузеров эксперты задействовали инструменты Speedometer 3.0, Jetstream2 и Motionmark 1.3. Первый тест проверяет скорость рендеринга веб-страниц, второй – скорость выполнения JavaScript, третий – скорость отображения графических элементов.

По результатам тестов Chrome занял первое место в тесте Speedometer и второе место во всех остальных тестах, что позволило ему стать лидером среди прочих тестируемых браузеров.

Несмотря на высокую производительность, команда экспертов не рекомендовала использовать этот браузер из-за сбора большого количества персональных данных пользователей.

Примечательно, что Firefox занял последние места в тестах, но отлично себя зарекомендовал в плане конфиденциальности, практически не собирая информацию о пользователях.

Хакер под ником emo выложил в свободный доступ (при оплате) базу данных пользователей сервиса управления проектами Trello (trello.com).

Известно, что информация хакером получена с помощью запросов к официальному API сервиса, а не в результате взлома.

ИБ-исследователи выяснили, что хакер использовал открытый API Trello для связывания почтовых адресов с профилями пользователей. В итоге хакер подготовил список из 500 млн адресов электронной почты и направил их через открытый API, чтобы определить, связаны ли они с аккаунтами Trello. Злоумышленник заявил, что закупил прокси для ротации соединений и запросов через API непрерывно. После этой атаки API Trello был усилен и стал требовать аутентификации, хотя он по-прежнему доступен любому, кто создаст бесплатный аккаунт.

«У Trello был открытый API-эндпоинт, который позволял любому неаутентифицированному пользователю связать адрес электронной почты с аккаунтом Trello, — пишет emo. — Изначально я собирался отправлять эндпоинту только письма из баз данных com (OGU, RF, Breached и так далее), но потом решил продолжать [проверять] email'ы, пока не надоест».

В опубликованной хакером базе данных содержится 15 115 945 строк, включая:

• адрес эл. почты;

• имя/фамилия;

• логин;

• ссылку на аватар.

ИБ-специалисты считают, что информация из этой базы может использоваться для проведения целевых фишинговых атаках, а сам emo пишет, что данные также могут пригодиться для доксинга, так как позволяют связать email-адреса с конкретными людьми и их никами.

Представлен онлайн-проект Windows 98 Disk Defrag Simulator. На сайте defrag98.com можно посмотреть, как работала система дефрагментации дисковых носителей в Windows 98. На сайте можно выбрать диск для работы утилиты Disk Defragmenter и запустить в режиме симуляции этот увлекательный ретро-процесс.

Группа исследователей из Грацского технического университета разработала метод атаки по сторонним каналам SnailLoad, позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube.

Код серверной части, используемой для проведения атаки, опубликован на GitHub под лицензией MIT.

SnailLoad не требует совершения MITM-атаки, атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.

Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из‑за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру («последняя миля»), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы.

Точность определения сайта в SnailLoad зависит от типа подключения пользователя к провайдеру и составляет 62.8%.

Источник: OpenNET.

Команда развиваемого с нуля свободного веб-браузера Ladybird объявила о получении пожертвования размером в $1 млн от Криса Ванстрата (Chris Wanstrath), сооснователя GitHub.

Ранее браузер Ladybird являлся компонентом SerenityOS, любительского проекта по разработке с нуля Unix-подобной операционной системы, который был основан Андреасом Клингом (Andreas Kling), ранее работавшим в Nokia и занимавшимся разработкой Safari. В июне 2024 года Клинг решил отделить проект браузера от проекта ОС, и полностью посвятить своё время его разработке.

Согласно сообщению на сайте проекта, Ванстрат и его семья решили пожертвовать $1 млн проекту для дальнейшего финансирования разработки, поскольку они верят в необходимость присутствия на рынке браузеров альтернативного проекта, который так или иначе не финансируется Google и не полагается на технологический стек Google Chrome или любого другого браузера.

Для управления разработкой Ванстрат и Клинг основывают некоммерческий фонд Ladybird Browser Initiative. Браузер создаётся на частные пожертвования, которые, однако, не позволят жертвователям контролировать процесс разработки и управления проектом (unrestricted donations). Отдельно оговаривается, что ни при каких обстоятельствах проект не будет участвовать в спонсорских сделках, условиями которых будет, к примеру, установка поисковой системы по умолчанию.

Проект ориентирован на поддержку операционных систем Linux и macOS, релиз для Windows не планируется.

Источник: OpenNET.

Приглашаю на вебинар компании Вебмониторэкс 28 июня в 12:00, посвященный предотвращению утечек API и новым функциям в продукте «ПроAPI Структура».

Ведущие вебинара - Антон Будник, инженер продаж и Сергей Одинцов, системный аналитик Вебмониторэкс.

На этом вебинаре раскроем темы:

О предотвращении утечек API:

• Основные методы взлома API

• Описание рисков утечки данных через API: ключевой вопрос кибербезопасности

• Изучение последствий взлома API

• Разбор крупных инцидентов утечек данных через API

• Методы защиты API с помощью компонента «Обнаружение утечек AP» продукта «ПроAPI Структура» платформы «Вебмониторэкс»

О новых функциях продукта «ПроAPI Структура»:

• Настройка чувствительности определения роута на трафике

• Очистка построенной структуры API

• Создание правил для параметров роута

Кому полезно:

• Специалистам, участвующим в разработке критичных для бизнеса веб-приложений

• Руководителям подразделений по информационной безопасности- Специалистам Application Security Почему полезно:

• Увидите пример реализации борьбы с утечками секретов и токенов на платформе «Вебмониторэкс»

• Увидите новые функции защиты API на платформе «Вебмониторэкс»

Регистрируйтесь по ссылке

Скорее подписывайся на специальный Telegram-канал, в котором команда Вебмониторэкс рассказывает все об API Security, Web Security, трендовых уязвимостях и публикует анонсы об изменениях в продуктах.

Некоммерческий удостоверяющий центр Let's Encrypt объявил о переходе на использование NTP-сервера ntpd-rs на языке Rust. Проект распространяется под лицензиями Apache 2.0 и MIT, полностью поддерживает протоколы NTP и NTS (Network Time Security) на уровне клиента и сервера, и может использоваться в качестве замены NTP-серверам chrony, ntpd и NTPsec.

Пакет ntpd-rs разработан в рамках проекта Prossimo, развивающегося под эгидой организации ISRG (Internet Security Research Group), которая является учредителем Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета. Помимо ntpd-rs проект также ведёт разработку TLS-библиотеки Rustls, DNS-сервера Hickory, обратного прокси River, утилиты sudo-rs и компонентов для ядра Linux на языке Rust.

Использование ntpd-rs повысит защищённость инфраструктуры Let’s Encrypt и снизит вероятность появления уязвимостей, вызванных ошибками при работе с памятью. Кроме того, безопасность и надёжность системы синхронизации точного времени важна, так как манипуляции злоумышленников с установкой неверного времени могут использоваться для нарушения безопасности протоколов, учитывающих время, таких как TLS и интерпретации данных о действии TLS-сертификатов.

Let's Encrypt ежедневно генерирует более четырёх миллионов новых сертификатов. Число активных сертификатов составляет 372 млн (сертификат действует три месяца).

Источник: OpenNET.

Состоялся релиз Tor Browser 13.5 с улучшенной защитой от Fingerprinting и обновлёнными настройками мостов (Bridge Settings).

Согласно пояснению разработчиков, в новой версии проекта переработаны карты мостов с улучшенными функциями общего доступа, метками источников и новым разделом для поиска дополнительных мостов. Функция «Запросить мост» стала более доступной.

Также проведёт редизайн ошибок на сайте Tor, чтобы они соответствовали другим сетевым ошибкам. Эта опция снижает путаницу среди пользователей.

Tor Browser 13.5 станет последней стабильной версией проекта, поддерживающей ОС Windows 8.1 и старше, а также macOS 10.14 и старше. Пользователям рекомендуется обновить свои системы, чтобы обеспечить постоянную конфиденциальность и безопасность.