Kurgan-Telecom Ru | Информационные технологии

npm снова горит — и на этот раз атакующим даже не пришлось ломать код.

Разбираем свежую supply chain-атаку на node-ipc, где доступ к популярному npm-пакету получили через… просроченный домен за $9. Без взлома npm, без bypass 2FA — только forgotten password и DNS.

В статье: как payload крал AWS, SSH и .env, почему эксфильтрация шла через DNS TXT, почему SIEM почти ничего не увидел, как dormant-аккаунты становятся оружием — и почему подобные атаки скоро станут массовыми.

Если у вас есть CI/CD, npm-зависимости или production на Node.js — это стоит прочитать.

ИИ-музыка перестала быть демо-игрушкой.Современные модели уже генерируют не просто лупы, а полноценные треки: с вокалом, куплетами, припевами, аранжировкой, миксом и экспортом в готовый аудиофайл. Это не заменяет композитора или саунд-дизайнера, но резко сокращает путь от идеи до черновика. Для музыканта это быстрый эскиз. Для продюсера — способ проверить направление. Для разработчика игры — временный саундтрек. Для контент-мейкера — фон, интро или джингл без поиска по стокам.

Дальше — разбор двух заметных моделей: Suno и MiniMax Music.

На связи Анна Астахова, директор по развитию ИТ-интегратора «Белый код». Сама по себе типовая синхронизация не так интересна, однако тут все кроется в деталях. Во-первых, клиент только переезжает в «1С:УПО», и на момент, когда мы настраиваем интеграцию, учет ведется в «1С-Рарус». Во-вторых, смены, суммы, типы оплат, номенклатуры — все это нужно сопоставить. 

Одна из самых неприятных особенностей production-проблем заключается в том, что они почти никогда не происходят тогда, когда разработчик готов их исследовать.

Во время разработки всё работает. На тестовом стенде тоже всё выглядит нормально. Логи кажутся вполне достаточными, а диагностическая информация — продуманной и аккуратно организованной. Но затем в production внезапно появляется странная проблема: соединение иногда сбрасывается без видимой причины, один запрос из нескольких тысяч начинает вести себя иначе, сервер под высокой нагрузкой неожиданно входит в reconnect loop или где-то глубоко внутри системы начинает происходить что-то, что невозможно воспроизвести локально.

И почти всегда в этот момент выясняется одна и та же неприятная вещь: логов, которые уже есть в системе, недостаточно.

Именно здесь традиционное логирование начинает постепенно ломаться.

Большинство систем логирования до сих пор построены вокруг довольно простой идеи: заранее решить, какие сообщения должны писаться постоянно. Разработчик добавляет INFO, WARNING, DEBUG, иногда каналы или категории, после чего приложение отправляется в production с надеждой, что этих логов когда-нибудь хватит для диагностики.

Иногда действительно хватает.

Но реальные production-системы имеют неприятную привычку ломаться не там и не так, как ожидалось. Более того, проблемы часто возникают именно в тех участках кода, которые казались совершенно неинтересными во время разработки.

Первой реакцией обычно становится мысль: “давайте включим DEBUG logging”. На небольших проектах это ещё может работать вполне нормально. Однако в больших системах DEBUG-логи очень быстро превращаются в проблему сами по себе. Они начинают занимать гигабайты, полезная информация тонет в шуме, растёт нагрузка на диск, а иногда и само логирование начинает заметно влиять на производительность и тайминги приложения.

Помните программу «Сто вопросов взрослому», где герою задают прямые и неудобные вопросы, на которые нельзя ответить отговорками? По-моему, это отличный формат и для общения с отделом разработки. Особенно когда приходится защищать перед техлидами нестандартные решения — например, миграцию вообще без использования облачного API.

В идеальном мире миграция работает как часы: контроллер подключается к платформе по API, автоматически создает сети, разворачивает машины и переносит данные. В суровой реальности крупного энтерпрайза эта схема часто рушится: целевое облако может быть «самописным» и не иметь нужных методов, либо безопасники отказываются пускать стороннее ПО в закрытый контур. Для работы в условиях таких ограничений мы используем режим Direct2Target (D2T). Это подход, при котором данные передаются напрямую на диски заранее подготовленной ВМ, полностью минуя интеграцию с управляющим слоем облака.

В теории концепция звучит изящно, но у инженеров логично возникает скепсис по поводу физики процесса. Я расшифровал техническую сессию с нашего недавнего вебинара. Вопросов под катом, конечно, не сто, но я оставил самую суть — те, что нам чаще всего задают архитекторы: как не утилизировать сеть на 100%, как «наживую» перенести PostgreSQL без потери консистентности, как пробиться через глухой NAT и что делать, если целевая ВМ не завелась.

Довольно многие, кто близок к миру web разработки, не раз слышали про метрики web-vitals. По-настоящему значимыми они стали в середине 2021 года — в этот период Google официально стал учитывать метрики в ранжировании для мобильного поиска. С тех пор многие компании стремятся добиться хороших показателей метрик web-vitals. И, пожалуй, самая важная из этих метрик — LCP.

Привет! Меня зовут Николай, я — frontend-разработчик в компании Иви. В зоне моей ответственности как раз и лежит web-версия онлайн-кинотеатра. И в четвертом квартале 2025 года команда web решила сосредоточить ресурсы на метрике LCP. Что такое web-vitals в целом и LCP в частности?

У многих 1С-специалистов поиск заказов выглядит одинаково: просмотреть список задач, выбрать несколько подходящих, отправить отклики и ждать ответа. Иногда это работает. Но часто хорошие проекты уходят тем, у кого лучше оформлен профиль, понятнее отклик и выше доверие со стороны заказчика.

28 мая в 11:00 мск проведем вебинар для исполнителей заказов на Инфостарте. Разберем, как работать с Биржей заказов не хаотично, а как с понятным каналом привлечения клиентов....

Привет, Хабр!

Глядя на то, как из-за кризиса производства оперативной памяти цены на одноплатные компьютеры улетают в космос, чувствуешь острую необходимость искать для своих проектов более бюджетные и порой нестандартные решения. Одним из таких решений, которое случайно попалось мне на глаза, стал вычислительный модуль Luckfox Core 1106. В данной статье мы посмотрим его характеристики, соберем операционную систему и запустим I2S-интерфейс для передачи цифрового аудио. Если стало интересно, то добро пожаловать под кат!

10 апреля 2019 года человечеству показали оранжевый бублик. Журналисты назвали его «первой фотографией черной дыры». Через час картинка была у всех — мемы про глаз Саурона, шутки про пончик, антропоморфизация,  заголовки «ученые сфотографировали невидимое».

Проблема в том, что это не совсем фотография.Точнее сказать, это очень странная фотография: если бы вы использовали телескоп горизонта событий (англ. EHT — далее по тексту) «как камеру» и нажали кнопку, вы бы получили черный квадрат и никакого бублика. Потому что он делает измерения, из которых алгоритм уже собирает изображение…  которого нет.

Вот про этот алгоритм и про то, как 3,5 петабайта данных летели в Бостон самолетом, и пойдет речь.

Сегодня уже наверняка никто не станет спорить с тем, что писать код полностью руками — неэффективно. Но даже при разработке с помощью агентов есть оптимальные и не оптимальные пути работы с ними. В статье поговорим на тему того, какие вообще есть варианты агентской разработки и как можно повысить их эффективность.

Привет! Разобрал популярные шорткаты GPT вроде EL5, /REDTEAM, /BULLET — какие реально выручают каждый день, какие работают через раз, а какие лучше не тратить время.
Смотри шпаргалку!

21 мая 1901 года в Москве умер Гаврила Солодовников — один из богатейших (и при этом патологически скупых) людей Российской империи. Ходили байки, что он экономил на еде, давал крошечные чаевые, носил заплатанный халат и т. д. Короче, был максимально аскетичным в быту человеком.

Но с миллионами в банке. 

После его смерти семье перепало около 830 тысяч рублей, а 20 миллионов ушло на благотворительность: образование для женщин, профшколы и дома дешёвых квартир в Москве. Причём он очень точно сформулировал техническое задание, чтобы деньги не пошли на «благотворительность вообще».

Треть выделил именно на дома. Это должны были быть не приюты или ночлежки, а нормальное жильё, которое само окупалось бы за счёт аренды.

Город вместе с душеприказчиками просчитал экономику, купил землю, провёл архитектурные конкурсы и построил два огромных дома — для семейных и для одиноких. С лифтами, электричеством, банями, прачечными, столовыми, детсадами и библиотеками.

По цене, доступной обычному рабочему.

Но что-то пошло не так. Проблема была не в деньгах, не в строительстве и даже не в спросе.

Содержание

Кэширование — ключевой механизм оптимизации производительности веб-приложений, позволяющий снизить задержки и уменьшить нагрузку на серверы. В этой подробной статье рассмотрим пять основных уровней кэширования, применимых в современных веб-системах. Ты узнаешь о внутреннем и внешнем кэше, кэшировании на уровне reverse proxy, браузера и фронтенда. 

Статья будет полезна как начинающим, так и опытным разработчикам, которым интересно углубить понимание кэширования и повысить эффективность своих проектов.

Из новостей: продажи Subnautica 2 достигли двух миллионов копий, авторы Indika привлекли 5 миллионов долларов, Windrose продалась тиражом в 2 миллиона копий, продажи Mouse: P.I. for Hire превысили 730к копий.

Из интересностей: как выбрать движок для своей игры, документалка об оригинальной версии Uncharted 4, как Rockstar удалось уместить целый город в память PlayStation 2, почему Unreal доминирует.

Иногда значение меняется на эквивалентное. И здесь существуют разные подходы к отсечению вырожденных вычислений…

Хабр, привет! Меня зовут Борис Денисенко. Я мобильный разработчик и наставник на курсе «Android-разработчик» в Яндекс Практикуме. У себя в блоге я пишу про Android Automotive OS, но сегодня отойду от частностей и расскажу, в каких ещё сферах может работать мобильный разработчик, если он не занимается приложениями для смартфонов и планшетов.

Строить Wi-Fi сети в современных домах и офисах - то еще удовольствие. Очень много написано про пересечение каналов, зашумленность эфира и нередко делают сравнение по дальности 2,4 vs 5 ГГц.

Однако есть еще одна характеристика, которая напрямую влияет на сигнал. Это конфигурация пространства. И вот ей уделяют куда меньше внимания. А зря.

Из чего сделаны стены и окна в нашем помещении? Это бетон, пеноблок или дерево? А стекла обычные или металлизированные? А есть ли дополнительные факторы, вроде повышенной влажности? Давайте разберемся, как все это влияет на работу Wi-Fi. Я постарался написать статью максимально простым языком для широкого круга читателей, объясняя все используемые специфичные термины. Поехали!

В этой статье я расскажу, как попробовал дешевую альтернативу Claude, создал рабочую программу для macOS и вместо 13$ - потратил 0.25$

Люди в среднем не умеют проводить встречи. Меня это дико бесило, когда я впервые столкнулся с качеством принятия решений на родительских собраниях. Оно близко к отрицательному.

Мы тут писали транскрибатор встреч — это когда можно загрузить запись в трекер и получить список задач на выходе.

За время тестов мы узнали, что про архитектуру встречи вообще никто не думает, а чтобы у неё было продолжение — ну там, следующие шаги, ответственные, сроки и задачи на выходе — это вообще необязательно.

Коротко основное, что может показаться вам странным:

— Встреча без повестки — можно не начинать. Для чего встреча? Что мы делаем? Информируем? Генерим идеи? Принимаем решение? Это разные типы встреч.

— Встреча без решений, следующих шагов, ответственных и сроков — впустую.

— Легко перепутать постановку проблемы с поиском решения. Самая частая ошибка.

— Встреча ради встречи не работает. У неё должен быть осязаемый результат: заполненный бриф, принятое архитектурное решение, список задач.

— Есть понятие «социальная леность» (эффект Рингельмана) — чем больше людей в группе, тем меньше усилий прилагает каждый. В конце все кивают, кажется, что договорились, только конкретики нет. Включается диффузия ответственности. Каждый уверен, что задачу пойдёт делать кто-то другой. Итог: через неделю выясняется, что не сделано ничего.

— Теоретический парадокс: чем сложнее вопрос, тем меньше времени группа его обсуждает, и наоборот. Команда собирается обсудить смену архитектуры серверов и дизайн новой формы.

— За время тестов мы поняли главное: заставить людей соблюдать эту гигиену практически невозможно.

Но хотя бы давайте расскажу про основные методологические выводы.

Списки, которые мы реализовывали до сих пор нельзя назвать настоящими функциональными списками потому что настоящий функциональный список должен быть устойчивым.

Это значит, что если у вас есть несколько ссылок на разные узлы списка, добавление новых голов их не затронет. Похожим образом работает git. Вы можете дописывать изменения к истории проекта, при этом все прежние действия с файлами остаются на месте и доступны в любой момент.

Можно ли написать на Rust устойчивый список? Думаю, вы уже догадались, что да. А как — узнаете из третьей части перевода Too Many Linked Lists.