Веб-разработка *

16 и 17 мая 2020г. Mail.ru Cloud Solutions (MCS) и сообщество HackTheCrisisRussia при поддержке Онтико проведут хакатон по разработке решений для минимизации последствий пандемии коронавируса. Заявки принимаются до 27 апреля.

При посещении веб-сайта браузер или другое клиентское приложение обычно посылает веб-серверу информацию о себе. Эта текстовая строка является частью HTTP-запроса. Она начинается с User-agent: или User-Agent: и обычно содержит название и версию приложения, операционную систему компьютера и язык. Например, Chrome под Android посылает что-то вроде такого:

User-Agent: Mozilla/5.0 (Linux; Android 9; Pixel 2 XL Build/PPP3.180510.008) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Mobile Safari/537.36

Но разработчики Chrome считают, что это слишком подробная информация. Они объявили о решении отказаться от user-agent в браузере Chrome. Вместо этого Chrome предложит новый API под названием Client Hints, который позволит лучше контролировать, какая информация передаётся веб-сайтам.

Это делается для защиты приватности, поскольку злоумышленники сейчас активно используют user-agent для фингерпринтинга и профилирования пользователей. Вообще ненормальна ситуация, когда user-agent транслируется всем подряд в автоматическом режиме.

Техника атаки HTTP Request Smuggling (контрабанда вредоносных HTTP-запросов на бэкенд в результате рассинхронизации фронтенд- и бэкенд-серверов) известна 15 лет, хотя в прошлом году Джеймс Кеттл рассказал о новых методах, c помощью которых заработал на bugbounty около $70 000. Судя по всему, атака эффективна и сейчас, причём уязвимы многие.

12 марта 2020 года на портале HackerOne рассекретили описание уязвимости Slack, которую закрыли 13 февраля. Оказывается, до этого времени сессионные куки пользователей Slack были доступны для массового перехвата. Описание взлома Slack довольно подробное, поэтому заслуживает внимания. Похоже, что эту технику можно использовать для взлома других сервисов, которые работают за прокси (AWS ALB, nginx, haproxy до 2.0.6 и прочие).

Браузер Google Chrome запустил новый инструмент, который поможет разработчикам увидеть, как пользователи с различными нарушениями зрения воспринимают их сайты. Видеодемонстрацию нового раздела опубликовал в твиттере сотрудник Google Матиас Байнс.

Cloudflare, американская компания, которая предоставляет услуги CDN и защиту от DDoS-атак, опубликовала пост на своём сайте с результатами анализа частоты обновления библиотек Javascript, используемых на сайтах. Для этого эксперты компании собрали данные из запросов сети доставки контента CDNJS.

Сотрудник компании Red Hat Ричард Джонс, создатель библиотеки libguestfs, представил инструмент Goals, цель которого — устранить недостатки в утилите make, разработанной Стюартом Фельдманом в 1976 году и предназначенной для автоматизации преобразования файлов из одной формы в другую.

9 января состоялся долгожданный релиз Meteor версии 1.9.

Важные изменения

Данный релиз, в первую очередь, направлен на обновление NodeJS до 12 версии, так как предыдущие версии метеора работали на 8 версии ноды, у которой закончился срок LTS.

Так как NodeJS 12 не поддерживает 32-битный Linux, Meteor 1.9 так же прекращает поддержку данной архитектуры. Это означает, что начиная с версии 1.9 метеор поддерживает Mac/Linus x64, Windows x32/x64.

Чтобы обновить проект до последней версии необходимо выполнить в директории проекта команду:

meteor update

Не забудьте обновить NodeJS на ваших серверах/контейнерах, где запускается приложение!

Давно ничего не слышно по поводу метеора на хабре, хотя фреймворк развивается. Сегодня вышла версия 1.8.3. Хочу рассказать о последних релизах и новостях вокруг метеора.

В воскресенье 15 декабря 2019 года было активировано нестандартное единодействие, которое совершили и даже еще продолжают совершать некоторые IT-специалисты для выражения своей поддержки Игорю Сысоеву, автору Nginx — тридцатиминутный блэкаут в поддержку Nginx. Идея, описание и основные моменты реализации были придуманы и выпущены в этой публикации хабравчанином podivilov ранее 13 декабря 2019 в 20:15.

_{В процессе активации этого блэкаута пользователи «отключенных» в режиме установки заглушки на полчаса (или больше по времени, по усмотрению администраторов) веб-ресурсов информировались о возникшей ситуации с Nginx.}

Владельцы части веб-ресурсов решили продлить блэкаут до понедельника, а некоторые присоединились к акции совсем недавно, уже после 12 часов дня.

Согласно статистики по количеству просмотров этой заглушки — всего около 29 тыс. просмотров и более 17 тыс. уникальных просмотров пользователями было совершено за время ее использования. Тут находится PDF-версия отчета «Яндекс Метрики» на 16 декабря (12:45 по МСК). Фактически реальных просмотров должно быть больше, так как явно не все обновили счетчики, после их добавления в Github.

Воскресенье 15 декабря 2019 года было выбрано как нейтральный день этой напряженной недели, когда многие IT-специалисты, системные администраторы и создатели различных веб-ресурсов могут в спокойной обстановке выразить свое мнение по поводу ситуации, которая вот уже более трех суток развивается против компании Nginx (по этой ссылке находится полная хронология начальной стадии этого напряженного процесса), ее создателя Игоря Сысоева и сооснователя Максима Коновалова. Ссылка на обсуждение конфликта на Roem.ru.

Прошло 2 месяца после первой (но конечно же не последней) конференции PiterJS conf. Для активистов сообщества это был своего рода праздник, к которому долго готовишься и столько же отходишь. В этой статье хочу подвести итоги, анонсировать публикацию докладов, понастальгировать и чуть-чуть похвастаться.

Недавний случай с требованием выплатить пользователю 12 тысяч евро за cookies, установленные без его согласия, судя по всему, не остался незамеченным. Возможно, для кого-то он заложил фундамент новых стартапов.

Так, на одной из крупных бирж фриланса заказчик из Германии опубликовал задачу по разработке мобильного приложения, генерирующего подобные жалобы.

Премия HighLoad++ вручается профессионалам, оказавшим глубокое положительное влияние на развитие экосистемы интернет-разработки в России. Это благодарность сообщества профессионалов своим лидерам. За труд и самоотверженность, за бессонные ночи и бесчисленные выступления, за веру в свой продукт или технологию.

Чтобы выразить свое признание, мы решили не ограничиваться словами и в прошлом году учредили Премию. Тогда номинантов и 6 лауреатов выбирал экспертный совет, куда вошли все члены программных комитетов всех конференций Онтико за 2018 год.

В 2018 году мы от лица сообщества вручили Премию HighLoad++ Олегу Бартунову, Константину Осипову, Максиму Лапшину, Андрею Аксёнову, Алексею Миловидову, Игорю Сысоеву. Их вклад в развитие индустрии в нашей и не только стране неоспорим. Но на благо сообщества ежедневно трудится гораздо больше, чем шесть человек. Поэтому, естественно, мы не собирались остановиться на единоразовом мероприятии.

Принятое накануне Европейским судом решение по делу о cookies может усложнить веб-серфинг и работу в сети.

В пресс-релизе говорится, что своим решением Суд определил недействительность согласия посетителя сайта на установку cookies, если оно было получено с использованием проставленного заранее флажка согласия.

Наш образовательный портал GeekBrains открывает набор на бесплатные курсы подготовки frontend-разработчиков. Для участия необходимо пройти конкурс. Три лучших выпускника пройдут двухмесячную стажировку в Mail.ru Group с перспективой дальнейшего трудоустройства. Заявки на обучение принимаются до 10 сентября (12:00 по московскому времени) включительно. Подробности набора и программа обучения — под катом.

В опубликованном бюллетене Счетной палаты Российской Федерации №8 представлена информация о результатах контрольных мероприятий на 29 августа 2019 года. В результате проверки использования средств займа Международного банка реконструкции и развития (МБРР) на реализацию проекта №4867-RU «Развитие системы государственной статистики – 2» в 2008-2018 годах» выяснилось, что Росстат заключил контракт, в рамках которого должны были быть выполнены: обновление дизайна сайта Росстата, внедрение единой системы управления контентом и создание мобильных приложений для iOS и Android.

В результате аудита выяснилось, что сайт по адресу из ТЗ не обновлен (по адресу из ТЗ gks.ru, а еще есть новый сайт по факту и по другому адресу new.gks.ru), мобильных приложений нет (по факту есть, но проходят проверку и регистрацию в GooglePlay и AppStore), а Росстатом приняты и оплачены работы, не в полной мере соответствующие техническим требованиям контракта на сумму 64 566,7 тыс. рублей.

Веб-камера FogCam в университете штата Калифорния в Сан-Франциско, считающаяся самой старой веб-камерой в мире, будет отключена своими создателями 30 августа 2019 года.

Разработчики Джефф Шварц и Дэн Вонг, еще будучи студентами, установили ее в 1994 году в кампусе университета, а также вывели трансляцию с камеры в открытый доступ в сеть Интернет с помощью написанного ими сайта, это была часть их научного проекта.

Многие разработчики изучали JavaScript по известному учебнику Ильи Кантора — learn.javascript.ru. Однако до недавнего времени в нём была недостаточно современная информация: учебник развивался, но на английском языке. Он доступен по адресу javascript.info. Несколько месяцев мы занимались переводом этого учебника на русский язык, и сегодня я рад анонсировать перевод — он опубликован на learn.javascript.ru. Так что теперь самая современная версия учебника доступна и на английском, и на русском.

Теперь в учебнике используется современный стандарт языка ES 2019 и учтены некоторые stage 3 proposals (они помечены в тексте).

Вот некоторые хабрапользователи, которые принимали активное участие в переводе:

• iliakan
• kichik91
• dandgerson
• lex111
• gorborborgor
• nglazov
• MrShtein
• alfill

Разумеется, это только небольшая часть команды. Все, кто сделал вклад от 10 строк, перечислены прямо на сайте учебника.

Консорциум Всемирной паутины (W3C) в рамках программы Инициативы web-доступности (WAI), объединяющей стратегии, стандарты и вспомогательные ресурсы, призванные помочь сделать Интернет более доступным для людей с ограниченными возможностями, объявил о значительном расширении перечня переводов нормативных документов на различные языки. В общей сложности стало доступно более двадцати новых переводов, в том числе на русском и белорусском языках.

Сегодня стало известно о том, что Росстат сделал новый сайт, впервые за 20 лет. Свое решение руководство ведомства обосновало тем, что на действующем портале искать данные слишком сложно. Глава организации Павел Малков заявил, что работа со старой версией была «настоящим мучением».

Сейчас запущена обновленная версия портала с «дружественным интерфейсом», который призван облегчить поиск статистики. Новый сайт позволяет упростить размещение данных, с чем у сотрудников были проблемы.