На фоне новостей по крипте захотелось обзорно вам про нее рассказать 🤖
Вы заметили, что криптовалюта опять растет? Сейчас она на пике и активно развивается. А знаете почему?
DeFi.
Над первыми фрагментами кода работали разработчики со всего мира и в декабре 2017 года был опубликован первый большой DeFi-проект, MakerDAO. Теперь же стейблкоины заполонили почти весь крипто мир, очень удобно, когда мы не привязываемся токену (ETH, BTC) с непонятной волатильностью, а обмениваемся родным “стабильным” долларом.
Приведу простой пример. Вася делает уборку в твоем доме, но платить за работу в BTC никто не хочет, потому что через час валюта может либо упасть, либо снова вырасти. Сейчас же появились многочисленные стейблкоины, которые привязаны к доллару. Когда Вася закончит работу, ты ему заплатишь 10 монет, которые будут эквивалентны 10$ в криптовалюте.
Но что значит это для всего сообщества? Произошел в прямом смысле БУМ. Теперь $ ворвался к разработчикам смартконтрактов, появляются новые инструменты. От пула ликвидности (аналог exchange-валют в банке, только при этом комиссию платят не банку, а людям, которые вложили токены) до полноценных страховых крипто-компаний.
В эфире теперь контракты выглядят не просто как шаблонные ICO, а как полноценный банковский код, который решает, как лучше держать твои финансы и в какой токен их лучше конвертировать через децентрализованные биржи.
Есть и минусы. Тут опять есть «Черный четверг» — аналог хакерской атаки на The DAO, где крипто контракт показал свои слабые места. Технология молодая, стейблкоин может превратиться в тыкву, которую нельзя будет обменять в фиат.
Интересный факт, если раньше блокчейн история была только для спекулянтов, то сейчас она привлекает инженеров и экономистов, почти каждый день появляются новые консенсусы и интересные алгоритмы децентрализации. Даже их мобильные приложения сейчас больше похожи на банковские инструменты, а транзакции в интернете по конвертации крипто токенов можно делать одним кликом.
У блокчейна если два пути развития. Либо вперед к светлому и свободному будущему, либо “минфин предложил лишать свободы за недекларирование криптовалют”.
Вы заметили, что криптовалюта опять растет? Сейчас она на пике и активно развивается. А знаете почему?
DeFi.
Над первыми фрагментами кода работали разработчики со всего мира и в декабре 2017 года был опубликован первый большой DeFi-проект, MakerDAO. Теперь же стейблкоины заполонили почти весь крипто мир, очень удобно, когда мы не привязываемся токену (ETH, BTC) с непонятной волатильностью, а обмениваемся родным “стабильным” долларом.
Приведу простой пример. Вася делает уборку в твоем доме, но платить за работу в BTC никто не хочет, потому что через час валюта может либо упасть, либо снова вырасти. Сейчас же появились многочисленные стейблкоины, которые привязаны к доллару. Когда Вася закончит работу, ты ему заплатишь 10 монет, которые будут эквивалентны 10$ в криптовалюте.
Но что значит это для всего сообщества? Произошел в прямом смысле БУМ. Теперь $ ворвался к разработчикам смартконтрактов, появляются новые инструменты. От пула ликвидности (аналог exchange-валют в банке, только при этом комиссию платят не банку, а людям, которые вложили токены) до полноценных страховых крипто-компаний.
В эфире теперь контракты выглядят не просто как шаблонные ICO, а как полноценный банковский код, который решает, как лучше держать твои финансы и в какой токен их лучше конвертировать через децентрализованные биржи.
Есть и минусы. Тут опять есть «Черный четверг» — аналог хакерской атаки на The DAO, где крипто контракт показал свои слабые места. Технология молодая, стейблкоин может превратиться в тыкву, которую нельзя будет обменять в фиат.
Интересный факт, если раньше блокчейн история была только для спекулянтов, то сейчас она привлекает инженеров и экономистов, почти каждый день появляются новые консенсусы и интересные алгоритмы децентрализации. Даже их мобильные приложения сейчас больше похожи на банковские инструменты, а транзакции в интернете по конвертации крипто токенов можно делать одним кликом.
У блокчейна если два пути развития. Либо вперед к светлому и свободному будущему, либо “минфин предложил лишать свободы за недекларирование криптовалют”.
This media is not supported in your browser
VIEW IN TELEGRAM
Небольшая подборка постов, которые больше всего зашли за ближайший период
🔥 Простой реверс Android-приложения
🔥 Как создавать безопасные приложения
🔥 Инструменты для реверса Android-приложений
🔥 Как оценить приложение
🔥 Реверс-инжиниринг и Право
🔥 Про SSL-пиннинг на Android
🔥 Простой реверс Android-приложения
🔥 Как создавать безопасные приложения
🔥 Инструменты для реверса Android-приложений
🔥 Как оценить приложение
🔥 Реверс-инжиниринг и Право
🔥 Про SSL-пиннинг на Android
This media is not supported in your browser
VIEW IN TELEGRAM
Архитектура и Junior-разработчик))) Ну, он хотя бы нашел выход, все мы такими были 😂
Как же это охеренно! Твиттер – американская компания, Трамп – пока еще президент Америки. И они просто пишут под его постами, что информация, которую он публикует – сомнительного характера, а еще и сноски делают с доказательствами этого.
This media is not supported in your browser
VIEW IN TELEGRAM
Забавная штука 😂
Горячие пирожкиии!!! Apple снизили комиссию для разработчиков в App Store с 30% до 15% с 1 января 2021 года.
Их довели своими антимонопольными исками (это только за 2020 год):
⚡️ Epic Games
⚡️ Match Group (владеет Tinder)
⚡️ Telegram
⚡️ Spotify
⚡️ Rakuten
⚡️ Лаборатория Касперского
⚡️ и тд.
Правда фича с 15% комиссии будет доступна только для приложений с выручкой <$1 млн в год. Очень похоже на налог на богатство. Собственно, программу так и назвали – “программой для малого бизнеса”.
К чему это приведет:
💦 Разработчики начнут зарабатывать на 15% больше, поэтому смело смогут покупать себе феррари минуя лизинг
💦 Пользователи станут платить меньше за приложения, потому что для привлечения еще большего количества пользователей, разработчикам теперь есть куда снижать цены
💦 Не произойдет ни того ни другого, потому что все мы работаем по найму и цены устанавливает бизнес, а не мы
Их довели своими антимонопольными исками (это только за 2020 год):
⚡️ Epic Games
⚡️ Match Group (владеет Tinder)
⚡️ Telegram
⚡️ Spotify
⚡️ Rakuten
⚡️ Лаборатория Касперского
⚡️ и тд.
Правда фича с 15% комиссии будет доступна только для приложений с выручкой <$1 млн в год. Очень похоже на налог на богатство. Собственно, программу так и назвали – “программой для малого бизнеса”.
К чему это приведет:
💦 Разработчики начнут зарабатывать на 15% больше, поэтому смело смогут покупать себе феррари минуя лизинг
💦 Пользователи станут платить меньше за приложения, потому что для привлечения еще большего количества пользователей, разработчикам теперь есть куда снижать цены
💦 Не произойдет ни того ни другого, потому что все мы работаем по найму и цены устанавливает бизнес, а не мы
А вообще, я тут узнала, что приложения с заработком в AppStore меньше $1 млн 98%. Однако эти 98% занимают всего 5% от выручки Apple. Так что выходит, что Apple опять всем утерли нос. Такие дела.
Уровни модели безопасности Android/iOS
Я более чем уверена, что большинство мобильных разработчиков вообще не знает термин “модель безопасности”. Во-первых, им и не надо, 99% из всех не нуждаются в этом знании, однако оставшийся 1% мы часто видимо в СМИ. Ну, видимо для этого 1% я и пишу данный пост :0
В мобильных приложениях модель безопасности основана на трех китах:
1. Операционка
2. Приложение
3. Пользователь
Если описать их взаимодействие вкратце, то будет что-то вроде: “чтобы действие было успешно выполнено все три стороны должны быть с ним согласны”.
1. Безопасность операционной системы
Я знала пентестера, который вместо того чтобы взламывать конкретные приложения, иcкал уязвимости в самой среде, кек.
Ядро – это бог и дьявол во плоти, оно решает что и когда начинает работать, когда и куда нужно отправлять данные, как происходит взаимодействие между различными модулями – от его взора не скрыться ничему. Однако, как сказал Дядя Бен: “с большой силой приходит большая ответственность”.
Безопасность операционной системы определяется общую безопасность всей системы.
В свою очередь безопасность операционной системы держится на своих трех китах:
⚡️ Изоляция процесса
⚡️ Модель разрешений, контролируемых пользователем
⚡️ Межпроцессорное взаимодействие
Как-нибудь расскажу о том, как мобильные ОС обеспечивают свою безопасность более подробно.
2. Безопасность приложений
Если с безопасностью ОС более менее все понятно, тк ее пишут инженеры, чей код проходит тщательную лупу других инженеров (если это не Meizu, конечно), аспект безопасности мобильных приложений, как правило, всегда упускается из виду, а потом наши милые и безобидные приложения используют как вектор атаки.
Я писала об обеспечении безопасности приложений выше вот в этом посте.
3. Конечный пользователь
А пользователь вообще не думает что там происходит внутри приложения, а уж тем более операционной системы, он просто тыкает в экран и ждет, что все будет работать и, конечно же, безопасно 🌈
Но, в то же время именно конечный пользователь – это решающий фактор, когда речь идет о безопасности всей системы.
Вообще, была идея у какой-то компании прежде чем давать пользоваться устройством предоставлять пользователю предварительный инструктаж по безопасности, но, конечно же, от этого в итоге отказались.
Многие ругают банковские приложения, что они хотят получать доступ ко всему и всегда, залезть в самые потаенные уголки наших устройств. Но винить их в этом точно не стоит, в одном только Сбербанке с начала 2020 года зафиксировали 2.9 миллиона обращений клиентов о попытках обмана и взлома. А сколько денег удалось таким способом увести – вообще лучше не думать. И это только один банк и одна схема. Есть тысячи других банков и приложений, данные которых оказываются в опасности из-за действий самих пользователей.
Правда другая проблема состоит в том, что сам Сбербанк и подобные ему приложения далеко не безгрешны и периодически сливают пользовательские данные то госорганам, то просто из-за тупой ошибки.
Я более чем уверена, что большинство мобильных разработчиков вообще не знает термин “модель безопасности”. Во-первых, им и не надо, 99% из всех не нуждаются в этом знании, однако оставшийся 1% мы часто видимо в СМИ. Ну, видимо для этого 1% я и пишу данный пост :0
В мобильных приложениях модель безопасности основана на трех китах:
1. Операционка
2. Приложение
3. Пользователь
Если описать их взаимодействие вкратце, то будет что-то вроде: “чтобы действие было успешно выполнено все три стороны должны быть с ним согласны”.
1. Безопасность операционной системы
Я знала пентестера, который вместо того чтобы взламывать конкретные приложения, иcкал уязвимости в самой среде, кек.
Ядро – это бог и дьявол во плоти, оно решает что и когда начинает работать, когда и куда нужно отправлять данные, как происходит взаимодействие между различными модулями – от его взора не скрыться ничему. Однако, как сказал Дядя Бен: “с большой силой приходит большая ответственность”.
Безопасность операционной системы определяется общую безопасность всей системы.
В свою очередь безопасность операционной системы держится на своих трех китах:
⚡️ Изоляция процесса
⚡️ Модель разрешений, контролируемых пользователем
⚡️ Межпроцессорное взаимодействие
Как-нибудь расскажу о том, как мобильные ОС обеспечивают свою безопасность более подробно.
2. Безопасность приложений
Если с безопасностью ОС более менее все понятно, тк ее пишут инженеры, чей код проходит тщательную лупу других инженеров (если это не Meizu, конечно), аспект безопасности мобильных приложений, как правило, всегда упускается из виду, а потом наши милые и безобидные приложения используют как вектор атаки.
Я писала об обеспечении безопасности приложений выше вот в этом посте.
3. Конечный пользователь
А пользователь вообще не думает что там происходит внутри приложения, а уж тем более операционной системы, он просто тыкает в экран и ждет, что все будет работать и, конечно же, безопасно 🌈
Но, в то же время именно конечный пользователь – это решающий фактор, когда речь идет о безопасности всей системы.
Вообще, была идея у какой-то компании прежде чем давать пользоваться устройством предоставлять пользователю предварительный инструктаж по безопасности, но, конечно же, от этого в итоге отказались.
Многие ругают банковские приложения, что они хотят получать доступ ко всему и всегда, залезть в самые потаенные уголки наших устройств. Но винить их в этом точно не стоит, в одном только Сбербанке с начала 2020 года зафиксировали 2.9 миллиона обращений клиентов о попытках обмана и взлома. А сколько денег удалось таким способом увести – вообще лучше не думать. И это только один банк и одна схема. Есть тысячи других банков и приложений, данные которых оказываются в опасности из-за действий самих пользователей.
Правда другая проблема состоит в том, что сам Сбербанк и подобные ему приложения далеко не безгрешны и периодически сливают пользовательские данные то госорганам, то просто из-за тупой ошибки.
Вы наверно уже слышали про новый законопроект про 16 обязательных российских приложений для смартфонов, TV и компов.
Короче, суть его проста, с 1 марта 2021 года идете вы в магазин и покупаете там себе новенький Samsung/iPhone или любой другой девайс и там у вас уже и Госуслуги и Мой круг, и платежная система Мир настроены и готовы работать, и поисковик Спутник тут как тут! В общем, очень удобно, СОВЕТУЮ.
Кстати, делаться это будет, конечно же, за наши денежки, ведь мало того что в РФ итак самая дорогая электроника.
Ну что тут сказать, можно порадоваться за магазины, ведь теперь у них появится новая услуга, помимо “установки необходимого ПО”, будет теперь еще и удаление))
Короче, суть его проста, с 1 марта 2021 года идете вы в магазин и покупаете там себе новенький Samsung/iPhone или любой другой девайс и там у вас уже и Госуслуги и Мой круг, и платежная система Мир настроены и готовы работать, и поисковик Спутник тут как тут! В общем, очень удобно, СОВЕТУЮ.
Кстати, делаться это будет, конечно же, за наши денежки, ведь мало того что в РФ итак самая дорогая электроника.
Ну что тут сказать, можно порадоваться за магазины, ведь теперь у них появится новая услуга, помимо “установки необходимого ПО”, будет теперь еще и удаление))
Как выяснилось, никто не боится за андроиды, всем больше интересна история с Apple. Лично я думаю, что они вряд ли будут прогибаться под какие-то там законопроекты, тем более если учитывать какую опасность несет это бренду. Так что тут несколько вариантов:
1. Apple станет исключением, на которое этот законопроект распространяться не будет;
2. Технику Apple будут вскрывать перед продажей и устанавливать все вручную (если честно звучит так себе, учитывая какие риски автоматически за собой несет такой вариант);
3. Появятся серые рынки, которые будут продавать не вскрытую Apple-технику (даже звучит смешно);
4. Будем покупать за рубежом (это, кстати, тоже такой себе вариант, потому что готовится новый законопроект по регистрации наших устройств);
5. Ну и фантастически вариант – Apple прогибается под этот законопроект.
1. Apple станет исключением, на которое этот законопроект распространяться не будет;
2. Технику Apple будут вскрывать перед продажей и устанавливать все вручную (если честно звучит так себе, учитывая какие риски автоматически за собой несет такой вариант);
3. Появятся серые рынки, которые будут продавать не вскрытую Apple-технику (даже звучит смешно);
4. Будем покупать за рубежом (это, кстати, тоже такой себе вариант, потому что готовится новый законопроект по регистрации наших устройств);
5. Ну и фантастически вариант – Apple прогибается под этот законопроект.
Прочитала пост в одном канале несколько дней назад, сейчас даже уже и не вспомню, в каком. Но суть была проста: раньше разработчики верили в то, что меняют меняют мир, а теперь спроси любого: чем они занимаются на работе? Ответы будут смазанными, как будто разработчики сами не понимают для чего и что именно делают.
В том посте, кстати, говорилось, что это выгорание из-за пандемии. На мой же взгляд, дело совсем в другом, а проблема началась довольно давно.
Задачи разбиваются на подзадачи, эти подзадачи – на задачи поменьше. И в итоге мы взаимодействуем с человеком, который заточен на выполнение ТАСКИ, его уже не интересует общая идея, потому что: а зачем? Он ведь давно перестал на нее как-то влиять. А в итоге получаются прогеры, которые могут писать ботнет и даже не подозревать об этом.
Все еще думаете что быть разрабом – романтично? 💔 А я вот к психологу хожу уже второй месяц.
Давайте сделаем небольшое упражнение (его вы делаете для себя, но можете выслать мне в @mother_paradisecurity_bot, если хочется поделиться):
❓ Где вы работаете (Например: ООО Рога и копыта)
❓ Почему вы там работаете (Деньги, идея, опыт, команда, перспективы и тд)
❓ Вы знаете, кто пользуется вашим продуктом? (Опишите для кого разрабатываете)
❓ Как вы меняете мир (То, что я разрабатываю...)
❓ Куда вы двигаетесь? (Тут нужно подумать о ваших целях, потому что развития без целей не бывает)
❓ Что вы хотели бы изменить?
После того как вы ответите на эти вопросы, вы либо поймете, что вы делаете очень даже полезные вещи и пойдете счастливые пить чаек, либо, наоборот, расстроитесь. Если же с вами произойдет последнее – нужно что-то менять.
В том посте, кстати, говорилось, что это выгорание из-за пандемии. На мой же взгляд, дело совсем в другом, а проблема началась довольно давно.
Задачи разбиваются на подзадачи, эти подзадачи – на задачи поменьше. И в итоге мы взаимодействуем с человеком, который заточен на выполнение ТАСКИ, его уже не интересует общая идея, потому что: а зачем? Он ведь давно перестал на нее как-то влиять. А в итоге получаются прогеры, которые могут писать ботнет и даже не подозревать об этом.
Все еще думаете что быть разрабом – романтично? 💔 А я вот к психологу хожу уже второй месяц.
Давайте сделаем небольшое упражнение (его вы делаете для себя, но можете выслать мне в @mother_paradisecurity_bot, если хочется поделиться):
❓ Где вы работаете (Например: ООО Рога и копыта)
❓ Почему вы там работаете (Деньги, идея, опыт, команда, перспективы и тд)
❓ Вы знаете, кто пользуется вашим продуктом? (Опишите для кого разрабатываете)
❓ Как вы меняете мир (То, что я разрабатываю...)
❓ Куда вы двигаетесь? (Тут нужно подумать о ваших целях, потому что развития без целей не бывает)
❓ Что вы хотели бы изменить?
После того как вы ответите на эти вопросы, вы либо поймете, что вы делаете очень даже полезные вещи и пойдете счастливые пить чаек, либо, наоборот, расстроитесь. Если же с вами произойдет последнее – нужно что-то менять.
Код в мусорку
У многих разработчиков бывают неудачные ресерчи, либо выброшенные в мусорку фичи. Сегодня менеджер видит так – завтра по-другому, наняли нового дизайнера – будь готов сделать редизайн еще даже не вышедшего в прод приложения.
Большинство разработчиков очень болезненно относятся к таким жизненным поворотам. Да, обидно несколько месяцев пилить фичу, которую никто и никогда не будет использовать. Потом очень сложно себе же объяснять: чем это ты занимался все это время? Ведь результата нет.
Однако, на мой взгляд, нам всем просто нужно расслабиться.
То что вы пишете – это в любом случае опыт и знания. Конечно, когда все успешно работает на проде – это другой уровень, однако не стоит считать, что вы “ничего не делали”, если фича не зашла.
У меня были проекты, которые просто выбрасывались после целого ГОДА разработки. Такое часто бывает в крупных компаниях или же в ресерческих проектах на заказ. Но это не ваша проблема. Не ваша задача знать, как пользователи будут использовать вашу фичу и зайдет ли она им. Ваша задача – писать стабильный код.
Хотя, если вы видите, что задача потенциально провальная, всегда лучше обсудить это с командой. Ведь выброшенный код – это убытки, которые в любом случае влияют на ваш проект.
У многих разработчиков бывают неудачные ресерчи, либо выброшенные в мусорку фичи. Сегодня менеджер видит так – завтра по-другому, наняли нового дизайнера – будь готов сделать редизайн еще даже не вышедшего в прод приложения.
Большинство разработчиков очень болезненно относятся к таким жизненным поворотам. Да, обидно несколько месяцев пилить фичу, которую никто и никогда не будет использовать. Потом очень сложно себе же объяснять: чем это ты занимался все это время? Ведь результата нет.
Однако, на мой взгляд, нам всем просто нужно расслабиться.
То что вы пишете – это в любом случае опыт и знания. Конечно, когда все успешно работает на проде – это другой уровень, однако не стоит считать, что вы “ничего не делали”, если фича не зашла.
У меня были проекты, которые просто выбрасывались после целого ГОДА разработки. Такое часто бывает в крупных компаниях или же в ресерческих проектах на заказ. Но это не ваша проблема. Не ваша задача знать, как пользователи будут использовать вашу фичу и зайдет ли она им. Ваша задача – писать стабильный код.
Хотя, если вы видите, что задача потенциально провальная, всегда лучше обсудить это с командой. Ведь выброшенный код – это убытки, которые в любом случае влияют на ваш проект.
This media is not supported in your browser
VIEW IN TELEGRAM
Ну и чтобы вы не унывали от моих последних постов. Все мы немного Сейлор Мун 💓
Пришла нормальная петличка. Не топ, но для первого раза вполне. На следующей неделе буду посвободнее, попробую что-нибудь записать. Если у вас есть идеи для темы – то велком в @mother_paradisecurity_bot 😎