TL;DR Это пересказ разных статей о FLoC — фиче, которую Google запускает на смену скриптам аналитики. Google заявляет, что их решение направлено на увеличение приватности, но интернет-сообщество с ними не согласно.
30 марта 2021 года Google объявила о запуске бета-тестирования новой фичи под названием Federated Learning of Cohorts (FLoC). Google сами решили, кто будет участником тестирования, выбрав случайных пользователей браузера Chrome из разных стран (что примечательно, из тех, где нет суровых законов о защите персональных данных типа GDPR) и включив им FLoC по умолчанию.
Не так давно я писал, что обороты набирает тренд на privacy-first подход. Он заключается в том, что компания, которая оказывает вам услуги, отказывается от сбора персональных данных, которые ей напрямую не нужны, а также принимает все меры, чтобы не допустить передачи персональных данных своих клиентов всяким третьим сторонам. Началось всё, пожалуй, с Павла Дурова, который поставил приватность во главу угла в позиционировании Telegram, тренд подхватили ProtonMail, Hey.com, DuckDuckGo и, конечно же, Apple. На другом конце полюса компании вроде Facebook, которые регулярно попадают в истории вроде этой.
Люди начали отказываться от Google Analytics на своих сайтах, многие используют адблокеры, чтобы защититься от трекинговых маячков, а Safari и Firefox включили блокировку third-party cookies по умолчанию. Google, кажется, не хочет становиться изгоем, поэтому тоже перенимает эту тактику, вот только копать себе могилу они не собираются, можно не беспокоиться.
Как работает FLoC?
На основе данных, которые собирает Google Chrome о своём пользователе, ему будет присвоена определённая когорта (группа) с тысячами других, очень похожих на него пользователей. По идее никакие данные, кроме случайного ID когорты не покидает браузер пользователя, то есть история посещений остаётся в безопасности. Но есть одно "но" — идентификатор вашей когорты будет передан всем сайтам, на которые вы заходите.
Это страшно не только потому что при первом же посещении любой достаточно крупный сайт УЖЕ будет знать о вас кучу интересных подробностей, а интернет-трекеры будут знать о нас ещё чуточку больше, но ещё и потому что в конечном итоге где-нибудь утечёт ваш email с привязкой к когорте.
В чём проблема?
Представьте какой-нибудь большой сайт, например, поисковик или социальную сеть. И представьте двух пользователей, Максима и Степана.
Во вторник Максим заходит на наш большой сайт, и мы видим, что Google присвоил ему когорту #12345. Максим вступает в группу борющихся с депрессией или ищет описание назначенного ему антидепрессанта в поиске.
Пока всё нормально.
На следующий день к нам на сайт заходит Степан, и мы видим, что Google назначил ему ту же когорту #12345. Почему бы не показать ему контекстную рекламу про антидепрессанты, да? А если он на неё ещё и кликнет?
Так и запишем, когорта #12345 — это люди с депрессией.
Большим компаниям собрать такие данные будет не очень сложно, а ведь можно ещё и обмениваться ими между собой. И представьте, что случится, если (точнее, когда) эта база попадёт в открытый доступ?
Не хотите нажать на ссылочку в персональном письме? Ой, смотрите, наш Java-разработчик находится в когорте любителей BDSM!
В общем, гуглу не стоило называть это Privacy-First подходом. Ничего про приватность тут нет, а нам пытаются продать ровно тот же самый трекинг пользователя, только под другим соусом. Кстати, если вы пользователь Google Chrome, стоит провериться вот тут — может быть вы уже стали частью эксперимента.
Ну а моя любимая вишенка на торте — Google пообещал, что от FLoC в своём браузере можно будет отказаться, но они зарелизили бета-тест без этой функции.
30 марта 2021 года Google объявила о запуске бета-тестирования новой фичи под названием Federated Learning of Cohorts (FLoC). Google сами решили, кто будет участником тестирования, выбрав случайных пользователей браузера Chrome из разных стран (что примечательно, из тех, где нет суровых законов о защите персональных данных типа GDPR) и включив им FLoC по умолчанию.
Не так давно я писал, что обороты набирает тренд на privacy-first подход. Он заключается в том, что компания, которая оказывает вам услуги, отказывается от сбора персональных данных, которые ей напрямую не нужны, а также принимает все меры, чтобы не допустить передачи персональных данных своих клиентов всяким третьим сторонам. Началось всё, пожалуй, с Павла Дурова, который поставил приватность во главу угла в позиционировании Telegram, тренд подхватили ProtonMail, Hey.com, DuckDuckGo и, конечно же, Apple. На другом конце полюса компании вроде Facebook, которые регулярно попадают в истории вроде этой.
Люди начали отказываться от Google Analytics на своих сайтах, многие используют адблокеры, чтобы защититься от трекинговых маячков, а Safari и Firefox включили блокировку third-party cookies по умолчанию. Google, кажется, не хочет становиться изгоем, поэтому тоже перенимает эту тактику, вот только копать себе могилу они не собираются, можно не беспокоиться.
Как работает FLoC?
На основе данных, которые собирает Google Chrome о своём пользователе, ему будет присвоена определённая когорта (группа) с тысячами других, очень похожих на него пользователей. По идее никакие данные, кроме случайного ID когорты не покидает браузер пользователя, то есть история посещений остаётся в безопасности. Но есть одно "но" — идентификатор вашей когорты будет передан всем сайтам, на которые вы заходите.
Это страшно не только потому что при первом же посещении любой достаточно крупный сайт УЖЕ будет знать о вас кучу интересных подробностей, а интернет-трекеры будут знать о нас ещё чуточку больше, но ещё и потому что в конечном итоге где-нибудь утечёт ваш email с привязкой к когорте.
В чём проблема?
Представьте какой-нибудь большой сайт, например, поисковик или социальную сеть. И представьте двух пользователей, Максима и Степана.
Во вторник Максим заходит на наш большой сайт, и мы видим, что Google присвоил ему когорту #12345. Максим вступает в группу борющихся с депрессией или ищет описание назначенного ему антидепрессанта в поиске.
Пока всё нормально.
На следующий день к нам на сайт заходит Степан, и мы видим, что Google назначил ему ту же когорту #12345. Почему бы не показать ему контекстную рекламу про антидепрессанты, да? А если он на неё ещё и кликнет?
Так и запишем, когорта #12345 — это люди с депрессией.
Большим компаниям собрать такие данные будет не очень сложно, а ведь можно ещё и обмениваться ими между собой. И представьте, что случится, если (точнее, когда) эта база попадёт в открытый доступ?
Не хотите нажать на ссылочку в персональном письме? Ой, смотрите, наш Java-разработчик находится в когорте любителей BDSM!
В общем, гуглу не стоило называть это Privacy-First подходом. Ничего про приватность тут нет, а нам пытаются продать ровно тот же самый трекинг пользователя, только под другим соусом. Кстати, если вы пользователь Google Chrome, стоит провериться вот тут — может быть вы уже стали частью эксперимента.
Ну а моя любимая вишенка на торте — Google пообещал, что от FLoC в своём браузере можно будет отказаться, но они зарелизили бета-тест без этой функции.
🥷 Продолжение истории с AirTags. Не только у нас вызвал недоумение тот факт, что подкинутый мне тег ни разу не пискнул за два дня (оказывается, они запрограммированы пищать через три дня) — и Apple выпускает обновление, которое сократит это время до периода от 8 до 24 часов.
Помимо этого они пообещали выпустить приложение для Android, которое сообщит, если вам подбросили AirTag. Что ж, уже неплохо.
Помимо этого они пообещали выпустить приложение для Android, которое сообщит, если вам подбросили AirTag. Что ж, уже неплохо.
📸 Мы в neural.love в рамках эксперимента сделали сервис, который превращает старые портреты или даже картины и статуи в фотографии, которые выглядят так, будто бы людей только вчера на айфон сфоткали. Ниже пример с моим прадедом (понятно теперь, в кого я такой красивый).
Конечно, нейронки пока не умеют быть исторически достоверными, но эффект путешествия во времени всё равно достигается. На сайте есть ещё примеры, ну и конечно же вы можете попробовать сами ☺️
neural.love/portraits
Конечно, нейронки пока не умеют быть исторически достоверными, но эффект путешествия во времени всё равно достигается. На сайте есть ещё примеры, ну и конечно же вы можете попробовать сами ☺️
neural.love/portraits
☃️ Вчера был мой последний рабочий день в Комитете — дальше vc.ru, TJ, DTF и coub.com плывут без меня, но с очень профессиональным новым техдиром Муродом.
10 лет! 10 лет назад мы начали The Twitter Journal, для которого я разработал робота, который отбирал самые популярные твиты из российского Твиттера. За это время компания выросла из компании в 5 человек в компанию из 100+ человек. Бесподобное путешествие с разработкой собственной медиа-платформы, полноценного движка открутки рекламы и даже мессенджера, сдобренное десятком перезапусков. Ну а я уже отдал Комитету все знания и умения, что у меня были, получив взамен ещё больше, настала пора двигаться дальше.
Живя в Польше, я смотрю на запад, но до сих пор не знаю, где я окажусь — в маленьком стартапе или огромной корпорации. В любом случае не переключайтесь, я и дальше буду писать о том, что вы вряд ли прочитаете в других телеграм-каналах.
Если вам нужна консультация или аудит, хотите оптимизировать расходы на техническую инфраструктуру или вам просто нужен сторонний взгляд на какую-то проблему, пишите мне в телеграм @ilya0 или на [email protected]
10 лет! 10 лет назад мы начали The Twitter Journal, для которого я разработал робота, который отбирал самые популярные твиты из российского Твиттера. За это время компания выросла из компании в 5 человек в компанию из 100+ человек. Бесподобное путешествие с разработкой собственной медиа-платформы, полноценного движка открутки рекламы и даже мессенджера, сдобренное десятком перезапусков. Ну а я уже отдал Комитету все знания и умения, что у меня были, получив взамен ещё больше, настала пора двигаться дальше.
Живя в Польше, я смотрю на запад, но до сих пор не знаю, где я окажусь — в маленьком стартапе или огромной корпорации. В любом случае не переключайтесь, я и дальше буду писать о том, что вы вряд ли прочитаете в других телеграм-каналах.
Если вам нужна консультация или аудит, хотите оптимизировать расходы на техническую инфраструктуру или вам просто нужен сторонний взгляд на какую-то проблему, пишите мне в телеграм @ilya0 или на [email protected]
👩⚖️ GitHub создаёт фонд размером в один миллион долларов для помощи разработчикам в борьбе с DMCA-жалобами по статье 1201.
В сотрудничестве с юридической школой Стенфорда гитхаб планирует спонсировать юридическую поддержку разработчикам, получившим жалобы по статье 1201 DMCA (Digital Millennium Copyright Act), которая запрещает распространение исходных кодов позволяющих обходить DRM-защиту.
В данный момент независимым разработчикам намного проще скрыть код, чем пытаться противодействовать корпорациям. Напомню, что не так давно с такой жалобой от RIAA столкнулись авторы youtube-dl, авторы популярной утилиты для скачивания медиа с разных сайтов.
В сотрудничестве с юридической школой Стенфорда гитхаб планирует спонсировать юридическую поддержку разработчикам, получившим жалобы по статье 1201 DMCA (Digital Millennium Copyright Act), которая запрещает распространение исходных кодов позволяющих обходить DRM-защиту.
В данный момент независимым разработчикам намного проще скрыть код, чем пытаться противодействовать корпорациям. Напомню, что не так давно с такой жалобой от RIAA столкнулись авторы youtube-dl, авторы популярной утилиты для скачивания медиа с разных сайтов.
🦊 Среди игроков в Skyrim есть поверье: иди за лисой, и она приведёт тебя к сокровищу. Но разработчики ничего такого не программировали!
Joel Burgess рассказал, что произошло. Никто из разработчиков действительно не добавлял такого поведения животным — всё дело оказалось в навигационной сети (navmesh), которая проложена поверх карты. Эта предустановленная сеть маршрутов помогает AI ориентироваться и передвигаться в игровом мире.
Есть несколько разных уровней проработки передвижений для разных NPC, но у лисы он один из самых простых — фактически лиса просто даёт дёру каждый раз, когда видит игрока. Но почему каждый раз она бежит именно в сторону сокровища?
Навигационная сеть в Skyrim проложена таким образом, что более детальной она становится в «точках интереса»: городах, на трактах, в лагерях, а в местах, где вероятность наткнуться на NPC ниже, сеть становится более «разреженной».
Так что лисы не пытаются убежать на 100 метров, они убегают «на 100 точек в навигационной сети». А где проще всего найти 100 точек? Правильно — в ближайшем лагере посреди леса, в котором заботливые разработчики поместили сокровище, чтобы вознаградить игрока за исследование мира.
Вот так оказалось, что лисы вовсе не бегут к сокровищам, они просто бегут туда, где вероятность найти сокровище выше, потому что местность проработана более детально, а значит, содержит больше узлов в навигационной сети. Для игроков, впрочем, разницы нет.
Joel Burgess рассказал, что произошло. Никто из разработчиков действительно не добавлял такого поведения животным — всё дело оказалось в навигационной сети (navmesh), которая проложена поверх карты. Эта предустановленная сеть маршрутов помогает AI ориентироваться и передвигаться в игровом мире.
Есть несколько разных уровней проработки передвижений для разных NPC, но у лисы он один из самых простых — фактически лиса просто даёт дёру каждый раз, когда видит игрока. Но почему каждый раз она бежит именно в сторону сокровища?
Навигационная сеть в Skyrim проложена таким образом, что более детальной она становится в «точках интереса»: городах, на трактах, в лагерях, а в местах, где вероятность наткнуться на NPC ниже, сеть становится более «разреженной».
Так что лисы не пытаются убежать на 100 метров, они убегают «на 100 точек в навигационной сети». А где проще всего найти 100 точек? Правильно — в ближайшем лагере посреди леса, в котором заботливые разработчики поместили сокровище, чтобы вознаградить игрока за исследование мира.
Вот так оказалось, что лисы вовсе не бегут к сокровищам, они просто бегут туда, где вероятность найти сокровище выше, потому что местность проработана более детально, а значит, содержит больше узлов в навигационной сети. Для игроков, впрочем, разницы нет.
👩🏼💻 Обратил внимание, что в своей документации Stripe необычно решает вопрос гендерного обозначения пользователей, и вместо a user — he или более современного a user — they использует a user — she:
📮 Я перешёл на Hey.com
Чуть больше месяца назад я перенёс свой основной почтовый ящик на Hey.com ($12/месяц для кастомных доменов) и, честно говоря, я не ожидал, что мне так понравится. С тех пор проверка почты правда превратилась в удовольствие.
Вот основные фичи, которые отличают Hey от, например, Gmail.
• Скрининг всех отправителей
Каждый раз, когда кто-то пишет вам с нового адреса, вы должны принять решение, что делать с этим отправителем — принимать во Входящие, отправлять в The Feed (аналог Promotions в GMail), отправлять в The Paper Trail (молчаливая папка, в которой копятся всякие инвойсы и чеки) или отказать — в таком случае письма с этого адреса (или домена) вас больше не потревожат (пока сами не решите покопаться).
• Стеканье писем
Если вы захотите, можете застекать письма от одного отправителя так, чтобы они занимали одну строчку во Входящих, а не десять — полезно для уведомлений из Jira, GitHub и тому подобных. Все письма в одном стеке открываются как лента, которую читаешь за раз.
• Бонус для контрол-фриков типа меня: Можно заменить тему письма
Можно переименовать письмо не сломав треды для других участников переписки.
В общем, благодаря всем фичам, которые там есть, мне стало намного комфортнее работать с почтой, да и времени уходит меньше, так как очень много писем я скидываю автоматически в The Paper Trail и просматриваю их раз в неделю.
Из минусов — плохой поиск по сравнению с GMail. На этом в общем-то всё. Вот полный список фич.
Чуть больше месяца назад я перенёс свой основной почтовый ящик на Hey.com ($12/месяц для кастомных доменов) и, честно говоря, я не ожидал, что мне так понравится. С тех пор проверка почты правда превратилась в удовольствие.
Вот основные фичи, которые отличают Hey от, например, Gmail.
• Скрининг всех отправителей
Каждый раз, когда кто-то пишет вам с нового адреса, вы должны принять решение, что делать с этим отправителем — принимать во Входящие, отправлять в The Feed (аналог Promotions в GMail), отправлять в The Paper Trail (молчаливая папка, в которой копятся всякие инвойсы и чеки) или отказать — в таком случае письма с этого адреса (или домена) вас больше не потревожат (пока сами не решите покопаться).
• Стеканье писем
Если вы захотите, можете застекать письма от одного отправителя так, чтобы они занимали одну строчку во Входящих, а не десять — полезно для уведомлений из Jira, GitHub и тому подобных. Все письма в одном стеке открываются как лента, которую читаешь за раз.
• Бонус для контрол-фриков типа меня: Можно заменить тему письма
Можно переименовать письмо не сломав треды для других участников переписки.
В общем, благодаря всем фичам, которые там есть, мне стало намного комфортнее работать с почтой, да и времени уходит меньше, так как очень много писем я скидываю автоматически в The Paper Trail и просматриваю их раз в неделю.
Из минусов — плохой поиск по сравнению с GMail. На этом в общем-то всё. Вот полный список фич.
🌚 Новый дарк-паттерн от Фейсбука
Для пользователей в Европе FB стал показывать стандартное окошко согласия на куки. Так вот при выборе опции “только необходимые cookies” страница просто перезагружается и показывает окошко ещё раз, заставляя думать, что только с необходимыми куками сайтом пользоваться нормально будет нельзя, только если разрешить все.
Нужно как минимум два раза выбрать «только необходимые», прежде чем Фейсбук успокоится и разрешит продолжить. Хотелось бы верить, что это баг, но 1) это Фейсбук 2) этому багу уже несколько дней.
Для пользователей в Европе FB стал показывать стандартное окошко согласия на куки. Так вот при выборе опции “только необходимые cookies” страница просто перезагружается и показывает окошко ещё раз, заставляя думать, что только с необходимыми куками сайтом пользоваться нормально будет нельзя, только если разрешить все.
Нужно как минимум два раза выбрать «только необходимые», прежде чем Фейсбук успокоится и разрешит продолжить. Хотелось бы верить, что это баг, но 1) это Фейсбук 2) этому багу уже несколько дней.
🚗 Классное видео о том, как Tesla подходит к разработке своих машин: практически так же, как мы подходим к разработке ПО.
На примере дверной ручки — о том, как можно заменить четыре сенсора одним, уменьшить количество потенциальных точек отказа, и почему Tesla Model S, которая выпускалась 10 лет назад — это совсем не та машина, что сходит с конвейера сейчас благодаря постоянному «рефакторингу» и багфиксам.
https://youtu.be/Bea4FS-zDzc
На примере дверной ручки — о том, как можно заменить четыре сенсора одним, уменьшить количество потенциальных точек отказа, и почему Tesla Model S, которая выпускалась 10 лет назад — это совсем не та машина, что сходит с конвейера сейчас благодаря постоянному «рефакторингу» и багфиксам.
https://youtu.be/Bea4FS-zDzc
🥷 Первая мысль, когда видишь идеальный кейлоггер в продаже за 120 баксов: «такое не должно существовать в публичном доступе!». Вторая: «А вообще, отличная идея, потому что это позволит защитить намного больше людей и систем».
Представьте себе USB-кабель, который ничем не отличается от того, которым вы каждый день заряжаете свой телефон. И вот в вашей клавиатуре садится аккумулятор, и вы подключаете этот кабель к ней для зарядки. Что же, большая ошибка, ваш пароль улетает по Wi-Fi злоумышленнику, или даже просто записывается в память этого совсем не обычного кабеля для того, чтобы в пять часов утра, когда вы спите в тёплой кроватке, разблокировать ваш компьютер, открыть терминал и ввести несколько команд, передав контроль над компьютером хакеру. Lightning, USB-C или Micro-USB — выбирайте любой, на этом сайте можно купить такой кабель, который будет работать с постоянно расширяющимся списком клавиатур.
Помните, в Январе куча народу ворвалась в Капитолий США? Как думаете, сколько среди них было секретных агентов, которые заменили самые безобидные USB-кабели на что-то подобное? Безусловно, секретная служба проверила каждый проводочек, каждую флешку — эти ребята научены горьким опытом.
Помните, как появились Killer-флешки? Сначала они были доступны только для тех, кто знаком с паяльником и электротехникой, а потом в какой-то момент их стало можно купить в свободной продаже. USB-порты в публичных компьютерах быстро перестали быть доступны «наружу». Правда, тогда же были жутко распространены всевозможные вирусы, которые прописывали себя в autorun.inf, и это тоже повлияло на наш «USB-этикет».
Но благодаря тому, что подобные технологии уходят «в массы», они становятся более осязаемыми для бизнесов среднего и малого размера или даже для простых людей. Потому что теперь я знаю, о чём вы подумаете, когда в следующий раз подключите вашу клавиатуру на зарядку.
📼 демо
Представьте себе USB-кабель, который ничем не отличается от того, которым вы каждый день заряжаете свой телефон. И вот в вашей клавиатуре садится аккумулятор, и вы подключаете этот кабель к ней для зарядки. Что же, большая ошибка, ваш пароль улетает по Wi-Fi злоумышленнику, или даже просто записывается в память этого совсем не обычного кабеля для того, чтобы в пять часов утра, когда вы спите в тёплой кроватке, разблокировать ваш компьютер, открыть терминал и ввести несколько команд, передав контроль над компьютером хакеру. Lightning, USB-C или Micro-USB — выбирайте любой, на этом сайте можно купить такой кабель, который будет работать с постоянно расширяющимся списком клавиатур.
Помните, в Январе куча народу ворвалась в Капитолий США? Как думаете, сколько среди них было секретных агентов, которые заменили самые безобидные USB-кабели на что-то подобное? Безусловно, секретная служба проверила каждый проводочек, каждую флешку — эти ребята научены горьким опытом.
Помните, как появились Killer-флешки? Сначала они были доступны только для тех, кто знаком с паяльником и электротехникой, а потом в какой-то момент их стало можно купить в свободной продаже. USB-порты в публичных компьютерах быстро перестали быть доступны «наружу». Правда, тогда же были жутко распространены всевозможные вирусы, которые прописывали себя в autorun.inf, и это тоже повлияло на наш «USB-этикет».
Но благодаря тому, что подобные технологии уходят «в массы», они становятся более осязаемыми для бизнесов среднего и малого размера или даже для простых людей. Потому что теперь я знаю, о чём вы подумаете, когда в следующий раз подключите вашу клавиатуру на зарядку.
📼 демо
📮 SPF, DKIM, DMARC
Если эти аббревиатуры для вас ничего не значат, то этот пост — знак о том, что пора разобраться. Дело в том, что на протяжении последних лет предпринято много усилий, чтобы сократить количество нежелательных или поддельных писем в вашем почтовом ящике, и эти три стандарта сейчас — необходимый минимум знаний о том, как сделать так, чтобы ваши имейлы доходили до почтовых ящиков адресатов.
Когда протокол SMTP создавался в 1981 году, основным способом аутентификации (то есть проверки, что у пользователя есть права отправлять почту от указанного адреса) была проверка по IP. Расширение AUTH, позволяющее добавлять авторизацию поверх соединения к SMTP-серверу официально появилось в виде черновика только в 1995 году, когда стала остро вставать проблема спама и распространения вирусов и троянов через email. В 1998 году Internet Mail Consorcium оценил количество открытых (не требующих аутентификации) почтовых серверов в 55%, а к 2002 году их уже было меньше 1%.
Впрочем, это всё равно не решило главной проблемы: имейлы всё ещё можно было отправлять от любого адреса, используя свой личный или любой из публичных open relay — серверов, которые позволяли рассылать почту кому угодно. Появились блоклисты с IP таких серверов, почта с которых автоматически отправлялась в спам. Это всё приводило к постоянным false positive срабатываниям, создавая постоянные проблемы с доставкой почты (впрочем, это до сих пор актуально, я постоянно вылавливаю в спаме нормальные письма, только виноваты в этом не блоклисты, а машин лёрнинг модели).
Для того, чтобы починить SMTP придумали три технологии: SPF, DKIM и DMARC.
SPF позволяет указать, какие серверы (прям по IP) имеют право рассылать почту от имени этого домена. Можно указать серверы Google, если вы пользуетесь Google Workspace, или, например, Mailchimp.
DKIM позволяет криптографически подписать заголовки письма, чтобы получатель мог быть точно уверен, что письмо было отправлено именно из вашего аккаунта в Mailchimp, а не чьего-то ещё.
DMARC позволяет настроить, насколько обязательные предыдущие две технологии в вашем конкретном случае, а также, что делать с нарушителями и куда на них жаловаться (на случай, если нарушитель — это вы, просто вы забыли добавить новый сервис email-рассылок в SPF 😅).
Вот тут пост с разными примерами, потому что очень важно понимать, чем
Ну и настоящая жемчужина, о которой вы наверняка не знали — бесплатный сервис от Postmark для агрегации и получения отчётов по вашим SPF, DKIM и DMARC. Из разряда настроил и забыл — просто раз в неделю проверяешь, что настоящие легитимные письма не улетают в спам.
Если эти аббревиатуры для вас ничего не значат, то этот пост — знак о том, что пора разобраться. Дело в том, что на протяжении последних лет предпринято много усилий, чтобы сократить количество нежелательных или поддельных писем в вашем почтовом ящике, и эти три стандарта сейчас — необходимый минимум знаний о том, как сделать так, чтобы ваши имейлы доходили до почтовых ящиков адресатов.
Когда протокол SMTP создавался в 1981 году, основным способом аутентификации (то есть проверки, что у пользователя есть права отправлять почту от указанного адреса) была проверка по IP. Расширение AUTH, позволяющее добавлять авторизацию поверх соединения к SMTP-серверу официально появилось в виде черновика только в 1995 году, когда стала остро вставать проблема спама и распространения вирусов и троянов через email. В 1998 году Internet Mail Consorcium оценил количество открытых (не требующих аутентификации) почтовых серверов в 55%, а к 2002 году их уже было меньше 1%.
Впрочем, это всё равно не решило главной проблемы: имейлы всё ещё можно было отправлять от любого адреса, используя свой личный или любой из публичных open relay — серверов, которые позволяли рассылать почту кому угодно. Появились блоклисты с IP таких серверов, почта с которых автоматически отправлялась в спам. Это всё приводило к постоянным false positive срабатываниям, создавая постоянные проблемы с доставкой почты (впрочем, это до сих пор актуально, я постоянно вылавливаю в спаме нормальные письма, только виноваты в этом не блоклисты, а машин лёрнинг модели).
Для того, чтобы починить SMTP придумали три технологии: SPF, DKIM и DMARC.
SPF позволяет указать, какие серверы (прям по IP) имеют право рассылать почту от имени этого домена. Можно указать серверы Google, если вы пользуетесь Google Workspace, или, например, Mailchimp.
DKIM позволяет криптографически подписать заголовки письма, чтобы получатель мог быть точно уверен, что письмо было отправлено именно из вашего аккаунта в Mailchimp, а не чьего-то ещё.
DMARC позволяет настроить, насколько обязательные предыдущие две технологии в вашем конкретном случае, а также, что делать с нарушителями и куда на них жаловаться (на случай, если нарушитель — это вы, просто вы забыли добавить новый сервис email-рассылок в SPF 😅).
Вот тут пост с разными примерами, потому что очень важно понимать, чем
~all отличается от -all. Вот инструкция от Google, по которой я много раз постепенно выкатывал всё более и более жёсткие политики на старых доменах чтобы ничего не сломать.Ну и настоящая жемчужина, о которой вы наверняка не знали — бесплатный сервис от Postmark для агрегации и получения отчётов по вашим SPF, DKIM и DMARC. Из разряда настроил и забыл — просто раз в неделю проверяешь, что настоящие легитимные письма не улетают в спам.
🤨 Пять почему (Five whys)
Иногда для поиска причин какой-то проблемы может пригодиться техника, называемая «Пять почему». Она очень простая и заключается в том, чтобы задать вопрос «Почему?» пять раз, каждый раз углубляясь всё дальше и дальше к первопричине.
Первый раз эта техника была описана архитектором производственной системы Тойоты Тайити Оно (также создателем kanban и lean manufacturing) в его книге: “the basis of Toyota’s scientific approach ... by repeating why five times, the nature of the problem as well as its solution becomes clear”.
Лучше всего учиться на примерах, поэтому вот он:
1. Сайт упал. Почему? Потому что CPU на сервере БД упёрся в 100%.
2. Почему нам не хватило мощности сервера? На сайт пришло в 10 раз больше посетителей, чем обычно, а у нас нет второго сервера для распределения нагрузки.
3. Почему мы не арендовали и не настроили второй сервер? Нам показалось, что это было бы лишней тратой денег.
4. Почему мы решили, что это лишняя трата денег? Потому что мы не знаем, сколько денег мы должны тратить на инфраструктуру.
5. Почему мы не знаем, сколько денег мы должны тратить на инфраструктуру? Потому что мы никогда не составляли бюджет отдела и не рассчитывали, сколько денег мы можем потратить на те или иные улучшения.
Бам! И у нас на руках есть вероятная причина проблем, из которой уже легко сформулировать тикет (или несколько) и избежать аналогичных проблем в будущем. Обратите внимание, что в этой ситуации корни технической проблемы лежат в процессах — и это правда для большинства проблем, с которыми мы сталкиваемся. Помните, мы не ищем виновных, мы ищем точки для улучшений.
Ну и будем честны, большинство ИТ компаний просто не обладает ресурсами для частого и детального аудита всех компонентов и систем на предмет возможных дефектов, реактивный метод работы над ошибками в конечном итоге позволяет строить всё более и более надёжные системы.
Короткая шпаргалка о том, как проводить «Пять Почему Встречи»:
1. Пригласите всех причастных.
2. Назначьте ведущего, который будет задавать вопросы и вести конспект.
3. Спросите «Почему?» пять раз.
4. Назначьте ответственных за решение корня проблемы.
5. Напишите имейл с результатами всей команде.
«Пять почему» не идеальная техника, и нужно хорошо понимать, какие опасности есть при её использовании: можно останавливаться на симптомах вместо углубления в первопричины, вы никогда не определите причину, если не догадываетесь о её существовании, и наоборот, если у вас уже есть мнение, вы можете подгонять ответы, разные люди могут прийти к разным заключениям, можно зарыться в какую-то одну причину, когда их может быть несколько — просто учитывайте это, чем больше таких встреч вы проведёте, тем точнее будут ваши находки.
Если идея вам нравится, то рекомендую ознакомиться с чуть более развёрнутым вариантом этого поста и/или этими двумя статьями с деталями от Эрика Риза.
Иногда для поиска причин какой-то проблемы может пригодиться техника, называемая «Пять почему». Она очень простая и заключается в том, чтобы задать вопрос «Почему?» пять раз, каждый раз углубляясь всё дальше и дальше к первопричине.
Первый раз эта техника была описана архитектором производственной системы Тойоты Тайити Оно (также создателем kanban и lean manufacturing) в его книге: “the basis of Toyota’s scientific approach ... by repeating why five times, the nature of the problem as well as its solution becomes clear”.
Лучше всего учиться на примерах, поэтому вот он:
1. Сайт упал. Почему? Потому что CPU на сервере БД упёрся в 100%.
2. Почему нам не хватило мощности сервера? На сайт пришло в 10 раз больше посетителей, чем обычно, а у нас нет второго сервера для распределения нагрузки.
3. Почему мы не арендовали и не настроили второй сервер? Нам показалось, что это было бы лишней тратой денег.
4. Почему мы решили, что это лишняя трата денег? Потому что мы не знаем, сколько денег мы должны тратить на инфраструктуру.
5. Почему мы не знаем, сколько денег мы должны тратить на инфраструктуру? Потому что мы никогда не составляли бюджет отдела и не рассчитывали, сколько денег мы можем потратить на те или иные улучшения.
Бам! И у нас на руках есть вероятная причина проблем, из которой уже легко сформулировать тикет (или несколько) и избежать аналогичных проблем в будущем. Обратите внимание, что в этой ситуации корни технической проблемы лежат в процессах — и это правда для большинства проблем, с которыми мы сталкиваемся. Помните, мы не ищем виновных, мы ищем точки для улучшений.
Ну и будем честны, большинство ИТ компаний просто не обладает ресурсами для частого и детального аудита всех компонентов и систем на предмет возможных дефектов, реактивный метод работы над ошибками в конечном итоге позволяет строить всё более и более надёжные системы.
Короткая шпаргалка о том, как проводить «Пять Почему Встречи»:
1. Пригласите всех причастных.
2. Назначьте ведущего, который будет задавать вопросы и вести конспект.
3. Спросите «Почему?» пять раз.
4. Назначьте ответственных за решение корня проблемы.
5. Напишите имейл с результатами всей команде.
«Пять почему» не идеальная техника, и нужно хорошо понимать, какие опасности есть при её использовании: можно останавливаться на симптомах вместо углубления в первопричины, вы никогда не определите причину, если не догадываетесь о её существовании, и наоборот, если у вас уже есть мнение, вы можете подгонять ответы, разные люди могут прийти к разным заключениям, можно зарыться в какую-то одну причину, когда их может быть несколько — просто учитывайте это, чем больше таких встреч вы проведёте, тем точнее будут ваши находки.
Если идея вам нравится, то рекомендую ознакомиться с чуть более развёрнутым вариантом этого поста и/или этими двумя статьями с деталями от Эрика Риза.
🎞 После того, как я в очередной раз удалил 90% из сделанных за неделю фотографий по причине недостаточной исторической и художественной ценности, я не выдержал и купил старый плёночный фотоаппарат, вдохновлённый идеей о том, что на следующую неделю или две у меня есть 36 кадров, ни фото больше.
Это значит, что над каждым кадром и его композицией придётся думать больше, чем полсекунды. Что я не увижу, что получилось, а значит, не смогу его проконтролировать и переснять. Почему-то это добавило мне не тревогу о том, что я что-то могу упустить, а наоборот — спокойствие. И мне кажется, что идея конечного количества ресурсов и невозможности получить результат моментально ещё недооценены и вернутся в нашу жизнь в том или ином виде. Есть ситуации, когда нам вовсе не нужно сразу поделиться кадром, отретушированным лучшими в своём классе нейронками, а хочется добавить магии и подождать, пока плёнка отснимется до конца и химикаты в лаборатории запечатают частички серебра на кусочке пластика.
Кажется, о том же подумал создатель соцсети minus, в которой всё, что у вас есть — это 100 постов. Только 100 постов, ни одним больше. Как только счётчик дойдёт до нуля — конец, больше ничего написать не получится. Плохая идея для бизнеса, но потрясающая идея для арт-перформанса.
Это значит, что над каждым кадром и его композицией придётся думать больше, чем полсекунды. Что я не увижу, что получилось, а значит, не смогу его проконтролировать и переснять. Почему-то это добавило мне не тревогу о том, что я что-то могу упустить, а наоборот — спокойствие. И мне кажется, что идея конечного количества ресурсов и невозможности получить результат моментально ещё недооценены и вернутся в нашу жизнь в том или ином виде. Есть ситуации, когда нам вовсе не нужно сразу поделиться кадром, отретушированным лучшими в своём классе нейронками, а хочется добавить магии и подождать, пока плёнка отснимется до конца и химикаты в лаборатории запечатают частички серебра на кусочке пластика.
Кажется, о том же подумал создатель соцсети minus, в которой всё, что у вас есть — это 100 постов. Только 100 постов, ни одним больше. Как только счётчик дойдёт до нуля — конец, больше ничего написать не получится. Плохая идея для бизнеса, но потрясающая идея для арт-перформанса.
⚡️ Будущее пришло откуда не ждали
ИКЕА разработала «невидимую» зарядку Sjömärke, которая крепится под стол и заряжает устройства по Qi стандарту. Сверху клеится маленький крестик, показывающий, куда нужно класть телефон или наушники, и они заряжаются, просто лежа на столе, выглядит и ощущается как магия, не меньше.
Подходит к столешницам от 8 до 22мм (у меня как раз 22мм, работает отлично даже с чехлом), устанавливается за 5 минут на двусторонний скотч (в комплекте) или на шурупы. В Польше уже в наличии.
ИКЕА разработала «невидимую» зарядку Sjömärke, которая крепится под стол и заряжает устройства по Qi стандарту. Сверху клеится маленький крестик, показывающий, куда нужно класть телефон или наушники, и они заряжаются, просто лежа на столе, выглядит и ощущается как магия, не меньше.
Подходит к столешницам от 8 до 22мм (у меня как раз 22мм, работает отлично даже с чехлом), устанавливается за 5 минут на двусторонний скотч (в комплекте) или на шурупы. В Польше уже в наличии.
🌱 Я знаю, что над Apple принято смеяться, когда речь заходит об их отношении к окружающей среде, но сегодня я предлагаю вам насладиться вниманием к деталям.
На фото — ручки пакета из официального магазина Apple, они выглядят и ощущаются как обычные матерчатые шнурочки, мы такие видели тысячу раз, но вот только сделаны они из бумаги, как и сам пакетик, таким образом его можно целиком отправить в повторную переработку (он и так на 80% из вторсырья сделан).
На фото — ручки пакета из официального магазина Apple, они выглядят и ощущаются как обычные матерчатые шнурочки, мы такие видели тысячу раз, но вот только сделаны они из бумаги, как и сам пакетик, таким образом его можно целиком отправить в повторную переработку (он и так на 80% из вторсырья сделан).
♟ Нейронка, которая комментирует ваши ходы в шахматах
ChessCoach играет лучше людей (3450 Elo), но может проиграть более сильной нейронке. Тренировалась играя сама против себя. По ссылке есть детальное описание от автора, будет полезно многим, кто хочет вкатиться в разработку нейронок.
Поиграть против нейронки и почитать её комментарии можно вот тут.
ChessCoach играет лучше людей (3450 Elo), но может проиграть более сильной нейронке. Тренировалась играя сама против себя. По ссылке есть детальное описание от автора, будет полезно многим, кто хочет вкатиться в разработку нейронок.
Поиграть против нейронки и почитать её комментарии можно вот тут.
🍎 С 31 Января Apple будет требовать от приложений возможность удалить аккаунт
В соответствии с изменениями в гайдлайнах все приложения, которые позволяют создать аккаунт, должны также предоставить возможность его удалить — это правило будет применено ко всем апдейтам в App Store начиная с 31 Января 2022 года.
Мне этот вектор, конечно, нравится. Если вы помните, я большой фанат GDPR. Здесь, в Евросоюзе, мне не поступают спам-звонки, а если мне стало некомфортно от того, что какой-то сервис хранит мои персональные данные, то решить это можно одним письмом.
В нашей компании neural.love мы применяем требования и принципы GDPR ко всем пользователям; автоматическая функция удаления аккаунта появилась после первого же запроса о забвении (прошло несколько месяцев с момента выхода в продакшен), при этом, когда аккаунт удаляется, мы правда удаляем всё, кроме финансовых данных, которые мы храним по требованию закона.
Это приводит к забавным казусам, например, когда мы собираем аналитику по качеству процессинга, и юзер дизлайкает портрет, а затем удаляет его или даже целиком свой аккаунт, то мы не можем посмотреть, что не так, потому что честно удалили файл с сервера 😅
В соответствии с изменениями в гайдлайнах все приложения, которые позволяют создать аккаунт, должны также предоставить возможность его удалить — это правило будет применено ко всем апдейтам в App Store начиная с 31 Января 2022 года.
Мне этот вектор, конечно, нравится. Если вы помните, я большой фанат GDPR. Здесь, в Евросоюзе, мне не поступают спам-звонки, а если мне стало некомфортно от того, что какой-то сервис хранит мои персональные данные, то решить это можно одним письмом.
В нашей компании neural.love мы применяем требования и принципы GDPR ко всем пользователям; автоматическая функция удаления аккаунта появилась после первого же запроса о забвении (прошло несколько месяцев с момента выхода в продакшен), при этом, когда аккаунт удаляется, мы правда удаляем всё, кроме финансовых данных, которые мы храним по требованию закона.
Это приводит к забавным казусам, например, когда мы собираем аналитику по качеству процессинга, и юзер дизлайкает портрет, а затем удаляет его или даже целиком свой аккаунт, то мы не можем посмотреть, что не так, потому что честно удалили файл с сервера 😅
