• Один день в офисе будущего
    +4
    Такие «офисы» давно есть, разные потогонки для удаленного кодинга. Но много ли в них хорошего?
    • Пребывание в офисе — это не только работа. Это общение с коллегами, и не только по работе. Для людей важны не только интересный проект и единый codestyle, а также то, что он общается в течении долгого времени нахождения на работе с людьми со сходными интересами. Что с Васей можно катнуть на лыжах, Петя собрал футбольную команду, а с Колей можно славно пройтись по барам в пятницу. Станет восторженный товарищ из статьи выяснять в перерыве между DSM и one-to-one с лидом, кто из коллег имеет сходные с ним интересы?
    • Теряется связь с компанией. Если человек вышел уже в такой формат работы, достаточно сложно втянуть его в имеющуюся культуру компании, объяснить ее цели (уже столкнулись в ковидном формате работы). И для сотрудника его компания ААА уже неотличима от соседней БББ, лояльность падает сильно.
    • Неожиданно сотрудники любой, даже самой ИТ-шной компании — это не только разработчики, и даже не все ИТ специалисты. Для условного продакта неформальное общение еще важнее. Сколько хороших идей появилось в результате случайной встречи в коридоре или от обмена мнениями в очереди к кофемашине.

    В общем, все хорошо в меру. Загонять всех насильно в офис на все рабочее время — глупо. Но и будущего с винтиками-сотрудниками и безликими для них компаниями, мне для себя лично очень не хочется
  • Аналитика девушек с низкой социальной ответственностью (Заряжено Power BI, Qlik Sense, Tableau)
    +25
    Ну, торг тут посложнее согласования стоимости проекта с аутсорсером.
    image
  • Стоит ли ждать Android на iOS от Parallels?
    0
    С чего такой вывод?
    Они просто перевели юзеров с одного сервиса на другой.
    Пользуюсь Защищенной папкой активно, никаких требований к использованию корпоративного софта там нет. Просто копия приложений со своими данными, требующая отдельной авторизации.
  • БД — это не только хранилище данных
    0
    Я вообще про вот эту вашу фразу:
    Вместо конфигов с координатами нескольких БД в веб-приложении несравнимо проще оставить одно подключение к БД и разрулить всё на уровне самой БД.
    Прочитал, как почти призыв использовать линки везде, где можно. Ибо (в том числе) это упрощает конфигурирование.

    С другой стороны, чаще всего запросы не требуют данных более чем одной базы. В противном случае это попахивает не очень хорошим проектированием этих самых БД.
    Потому утверждение
    В любом случае аффектятся обе базы
    немного преувеличено.
    Если приложение будет ходить в БД отдельно, то в большинстве случаев напрягаться будет только одна из них.

  • БД — это не только хранилище данных
    0
    Я вам не скажу за всю Одессу Postgres, но DB-линки в Oracle — зло злейшее для высоконагруженных систем. При возникновении нагрузок (неоптимальный SQL-запрос, рост числа запросов от приложения etc) аффектятся обе базы. При том, что сам запрос не факт требует использования объектов из обеих БД.
    Так что не ведитесь на удобство конфигурирования, аукнется.
    Не думаю, что механизм FDW принципиально отличается от DB-линков, так что, скорее всего, вышесказанное применимо и к Postgres
  • Богатейшие гики Кремниевой долины начали готовиться к апокалипсису
    +8
    Гарантированно последним, попрошу заметить
  • Исследователи предложили, как отследить смартфон с выключенным GPS
    –1
    Тогда зачем вам смартфон?
  • USB-хаб Kingston Nucleum – превращаем ноутбук «без портов» в полноценную рабочую машину
    +1
    по ссылке от kelevra в описании товара:

    Совместимость USB-C устройств (включая, но не ограничиваясь следующих)
    Для MacBook (12 дюймов)
    MacBook Pro (13-inch и 15 дюймов)
    Для Google Chromebook пикселей (12.85 дюйма)
    Для Dell XPS 13 9350 (13-дюйма)/XPS 15 9550 (15 дюймов)
    Для Lenovo Йога 900 (13.3 дюйма)
    Для Huawei matebook (12 дюймов
    Для Microsoft Lumia 950 (5.2 дюйма)/Lumia 950XL (5.7 дюйма)
  • USB-хаб Kingston Nucleum – превращаем ноутбук «без портов» в полноценную рабочую машину
    0
    У моего тоже с Аир проблем нет. Но только с одним :)
    Вряд ли брак. Брал у коллеги другого китайца на проверить (сейчас марку не вспомню). С ним была похожая ситуация, но наоборот. 17й год завелся на ура, на 16м не работали HDMI и Ethernet.
  • USB-хаб Kingston Nucleum – превращаем ноутбук «без портов» в полноценную рабочую машину
    0
    Являюсь полусчастливым обладателем сего девайса. Очень советую обратить внимание на таблицу совместимости. Если вашего ноутбука там нет, не факт, что все заведется.
    У меня use case такой: 2 ноутбука Xiaomi Air 13 16го и 17го года (супруги и мой). Иногда кому-то нужно поработать, тут лучше с нормальным набором периферии. Посерфить удобнее и проще на диване.
    Девайсов подключил немало: монитор 2К, клавиатура, мышь, веб-камера, ну и Ethernet подключен. Самая магия состоит в том, что несмотря на почти идентичную конфигурацию ноутбуков, с девайсом 16го года все взлетело с первого подключения, а модель 17 го года, несмотря на то, что подключение монитора определяла, но выводить на него изображение отказывалась категорически. Все остальные девайсы при этом работают, как часики.
    Долго игрался с драйверами, поведение ноутбука при разных их комбинациях менялось. В самом плохом варианте при подключении хаба ноутбук жестко тормозил (нельзя было пользоваться даже встроенным тачпадом), в какой-то даже получилось вывести VGA (!) картинку.
    В итоге плюнул, в свой ноутбук просто включаю монитор напрямую.
    Резюмируя: если повезет с моделью, хаб просто замечательный. Так что автор статьи отчасти прав, говоря и рисках ноунейма.
  • Android-программа для управления «умным» вибратором хранила аудиофайлы без ведома девушек
    +1
    6 минут?
    Быстро…
  • Четкий пацан Zone.js
    –1
    спасибо, поправил
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    Тинькофф, он не такой, как все.
    Уж не сочтите за рекламу :)
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    Комментирую.
    Отправили тикет разработчикам.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    +2
    Разве плохо постоянно учиться на своем (и чужом, кстати, тоже) опыте? Как позитивном, так и негативном?
    Просто банк постоянно ходит в челленджерах (хотя по размеру это уже не так), и при этом очень публичен в медийной сфере. Вот такие истории и находят интерес у публики.
    Самый быстро растущий розничный банк? Самая крупная в финансовой сфере логистическая сеть? 4я подряд награда Delloite за лучшее мобильное приложение? Фи, как скучно. А вот Агарков или баг на сайте, это медиаповод.

    Такая уж природа человека, нужны зрелища :)
    Попробуйте заменить в заголовке этой статьи название нашего на название любого другого российского. Много у вас вариантов получится, чтобы вызвать такой интерес? Осмелюсь предположить, что не очень.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    +2
    предлагаю считать, что это просто miscommunication :)
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    А тогда, через какой промежуток времени вы выходите на связь с автором письма?

    Выходу на связь по таким обращениям предшествует, эммм, некая внутренняя работа СБ. Хотите верьте, хотите — нет, но, если бы статьи не было, с автором связались бы сегодня.

    И я не передергиваю, это вы написали про десятки обращений, пишущих каждый день.

    Да, я написал, что их немало. Но нигде не писал, о том, что они игнорируются.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    вы передергиваете
    ни одно обращение не игнорируется
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    +1
    У вас пропуски в хронологии. После письма была еще эта статья.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    +2
    Нет, потому что он один из десятков, пишущих каждый день от «я нашел у вас дырку» до «я спер у вас всю базу клиентов с номерами карт, отпечатками пальцев и ДНК» :) на общий ящик.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    не так, и не так
    извините, подробнее раскрыть тему не могу, это закрытая информациия
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    А вот и сам текст, раз уж автор разрешил.
    Как видите, информации для реакции в нем, мягко говоря, немного. И самое неприятное, что оно отправлено на ящик, предназначенный для консультаций по кредитным продуктам. В нем и по делу-то немало сообщений, а уж похоже выглядящих «предложений сотрудничества» сыпется…

    -----Original Message-----
    From: ********[mailto:************@**********.ru]
    Sent: Monday, August 08, 2016 10:52 AM
    To: credit <credit@tinkoff.ru>
    Subject: [[SOME_TECHNICAL_ID]]


    Добрый день.
    Я нашел ошибки в работе вашей системы, в следствии которых банк теряет деньги (возможные потери от 1-2 тысяч в месяц до примерно 10-20 на одном клиенте).
    готов обсудить варианты сотрудничества по схеме

    На конференции Black Hat представители компании Apple сделали важное объявление: с 1 сентября 2016 года Apple запускает собственную программу bug bounty. Компания обещает выплачивать исследователям награды в размере до $200 000, но пока только избранным.

    В последнее время Apple оставалась одной из немногих компаний-гигантов, у кого до сих пор нет собственной программы вознаграждения за уязвимости. Такие инициативы достаточно давно есть у Micorosoft, Facebook, Twitter, Yahoo, Google и так далее.

    Заранее спасибо!

    — Завершение пересылаемого сообщения —
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    Я тоже про 15 цифр, просто неудачно сократил цитату.
    Имел в виду техпроцесс в конкретном нашем банке. Я с ним хорошо знаком по роду деятельности
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    +1
    Поясню, чтоб было понятно: письмо от автора не содержало никакой информации о характере ошибке.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    Соответственно у всех номера пластиковых карт будет идти по порядку

    Очень спорное утверждение, поверьте. Вероятность крайне низка.

    Соответственно остается просто подобрать 3 цифры на обратной стороне карты

    Попыток у вас будет немного. Карта будет заблокирована на анти-фроду.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    Трактуется кем?
    Если вам интересно мое мнение, то возможность узнать баланс по номеру любой введенной карты — неверное поведение систем ДБО банка. Поэтому она была закрыта, как только о ней стало известно. При этом стоит учитывать, что без дополнительной информации эта уязвимость достаточно сложно эксплутировать.

    У вас, других хабражителей или ответственных органов точка зрения может быть другой.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    Мне сложно комментировать, я не юрист. Возможно, у наших профильных специалистов мнение отличается от высказанного в комментарии.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    +1
    Не совсем. Касательно своей карты: клиент, получая ее, соглашается с правилами использования.
    Касательно провокации (мое личное определение, более удачного придумать не могу) ко вводу данных своей карты на HTTP-страничке: при намеренном или случайном разглашении автором собранной информации это уже правонарушение, запрещенное законами РФ.

    Ссылка на то, что «это же хабр, тут все подкованные» тут не работает. У хабра хорошая цитируемость в соцсетях, а там публика бывает разная
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    Конечно же мы ведем подробнейший разбор этого инцидента.
    Как и любого другого, впрочем
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    –2
    Это если говорить про передачу номеров.
    А насчет несанкционированного пентестинга уже писали выше. Особо добавить нечего
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    К примеру, явно запрещены правилами платежных систем.
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    +1
    К сожалению, разрешения на публикацию текста письма от уважаемого kromm не дождался, попробуем обойтись без него. Далее — от лица пресс-службы:

    Спасибо за то, что помогаете делать наши сервисы ещё более безопасными и удобными. Ошибка незначительная и уже исправлена.
    Мы всегда открыты к работе по программе Bug Bounty, но и вы должны использовать законные методы, которые не задевают интересов наших клиентов.
    Лучше было бы дождаться ответа от службы безопасности и четче формулировать суть замечаний в письме. Это сократило бы время реакции.
    Обратите внимание, что использование автоматизированных методов тестирования без согласования и передача номера карт по незащищенному каналу недопустимы.

    Еще раз спасибо за внимательность!
    С уважением, Тинькофф


  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    Я бы с удовольствием, но все же хочется дождаться ответа топикстартера :)
  • Tinkoff скомпрометировал данные о балансе карт своих клиентов
    0
    kromm, пишу от имени Банка Тинькофф
    вы не возражаете, если я опубликую текст вашего письма?
  • Подольский старьевщик. Рассказ от первого лица
    0
    Очепяточка
    Скраба за тридцать лет работы накопилось столько
    А по теме — пишите еще
  • Тинькофф банк скомпрометировал выписки по счетам клиентов?
    +1
    Disallow: /*ticket= было давно. Так что выписки от индексирования закрыты были всегда.
    Сегодня добавили /api.
  • Тинькофф банк скомпрометировал выписки по счетам клиентов?
    +2
    Смелое предположение. Расскажите о нем ЦБ, с их нормативами резервирования по просроченной задолженности.
  • Тинькофф банк скомпрометировал выписки по счетам клиентов?
    +1
    > Все перечисленное по дебетовым клиентам – ситуационные сообщения, а не регулярные же?
    Звонки в КЦ очень даже регулярная вещь.

    > Какое количество ваших клиентов не пользуется интернет-банком?
    В цифрах, понятно, не могу сказать. Но охват не 100%-ный. Потому каналы SMS и e-mail очень нужны и важны.

    > Почему нельзя для активных пользователей альтернативными сервисами – приложением и интернет-банком изменять модель оповещения?
    Не то, чтобы нельзя. Скорее неправильно. В этом месяце человек активно пользуется, в следующем — нет. А сообщить о задолженности по той же кредитке, все же нужно.
  • Тинькофф банк скомпрометировал выписки по счетам клиентов?
    +2
    > Поставьте напоминалку клиенту, в худшем случае – пришлите на почту за несколько дней до DL доброе письмо с напоминанием в срок оплатить очередной взнос
    Как я уже писал, мы сообщаем не только срок, но и сумму. Которая меняется от выписки к выписке. При недоплате, как и при полной неоплате возникнет просроченная задолженность. Да и дата выписки, как и дата платежа — не константа для счета.

    > у меня нет ни одного кредитного счета у вас. Зачем меня пушить этими выписками?
    Может, не ваш кейс, но большое количество клиентов, имеющих только дебетовые продукты, звонят в контакт-центр как раз узнать эти самые проценты. Кроме того, есть ненулевая вероятность возникновения минуса и на дебетовой карте (самый частый пример — скачок курсов валют между валютной авторизацией и транзакцией по ней). И об этой задолженности мы также должны сообщить клиенту.
  • Тинькофф банк скомпрометировал выписки по счетам клиентов?
    +10
    1. Если бы выписки слались вложениями, как раньше, злоумышленник получил бы доступ во ВСЕМ вашим выпискам. В нынешнем варианте — к последней, и то, если ссылка не протухла.
    2. Доставка выписки одинаково в интересах клиента и Банка. Причем, с нашей стороны есть желание сделать это максимально удобным и простым для клиента способом. Авторизация для получения выписки очевидно уменьшит конверсию их просмотра. Логика же нашего интереса в том, чтобы клиент был проинформирован о сумме задолженности и сроках ее погашения также проста: чем больше клиентов будет увидят выписку, тем меньше по забывчивости пропустят платеж. И значит, это уменьшает просроченную задолженность. У нас есть статистика, прямо подтверждающая эту корреляцию.