Кратко: если у вас на сайте есть загрузка изображений и вы обрабатываете их при помощи популярной библиотеки ImageMagick, то загрузив картинку можно выполнить shell-команду с правами юзера веб-сервера (например: загрузить RAT, майнер, слить исходники, получить доступ к базе, вызвать отказ и т.п.)

Странно, что мимо хабросообщества прошла стороной новость (оригинал) о новых дырах в библиотеке GhostScript и как следствие множестве других библиотек, использующих её под капотом. Итак, что мы имеем?
Читать дальше ->

https://habr.com/post/422351/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422351

Друзья, пора подвести итоги нашего проекта-конкурса «Сервер в облаках». Если кто-то не в курсе, мы запилили фановый гик-проект: сделали маленький сервер на Raspberry Pi 3, прикрутили к нему GPS-трекер и датчики, погрузили всё это добро на воздушный шар и доверили силам природы. Где приземлится шар, ведомо только богам ветров и покровителям воздухоплавания, поэтому мы предложили всем желающим ставить точки на карте — чьи точки окажутся ближе всего к фактическому месту посадки, получают «вкусные» призы.



Итак, наш сервер уже слетал в облака, и пора подвести итоги нашего конкурса.
Читать дальше ->

https://habr.com/post/422345/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422345

Disclaimer: в этой статье есть целый блок рассуждений о том, как считать показатели KPI для сотрудников-программистов и разработчиков — по многочисленным просьбам читателей.

KPI обсуждаются на конференциях, про KPI пишут сложные статьи в журналах, KPI ненавидят сотрудники и недолюбливают боссы. KPI своей медалькой и работой считают HR-специалисты. И почти всё это с KPI происходить не должно, потому что это обыденная метрика, показывающая результативность каждого сотрудника и обеспечивающая конвертацию результатов труда в некие баллы, а уже баллы при желании в деньги. Время идёт, проблемы не убывают, KPI в ИТ-сфере — так вообще притча во языцех. В этот раз мы решили разобрать три важных вопроса использования ключевых показателей в компаниях. Даёшь тянуть правильную морковку!


KPI должен быть правильным
Читать дальше ->

https://habr.com/post/422241/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422241

Материал, перевод которого мы сегодня публикуем, подготовили Матиас Байненс и Бенедикт Мейрер. Они занимаются работой над JS-движком V8 в Google. Эта статья посвящена некоторым базовым механизмам, которые характерны не только для V8, но и для других движков. Знакомство с внутренним устройством подобных механизмов позволяет тем, кто занимается JavaScript-разработкой, лучше ориентироваться в вопросах производительности кода. В частности, здесь речь пойдёт об особенностях работы конвейеров оптимизации движков, и о том, как осуществляется ускорение доступа к свойствам прототипов объектов.


Читать дальше ->

https://habr.com/post/422321/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422321

Забудьте все, что вы знали о покупательской лояльности к брендам. За последние 10 лет потребители перевернули это понятие с ног на голову, причем так ловко, что было практически невозможно проследить столь постепенные изменения.

Виновниками перемен нельзя однозначно назвать представителей поколения Z или миллениалов. Правильнее будет сказать, что это явление не зависит от возраста, уровня дохода и географического положения. Лояльность, о которой мы говорим, — это результат того, что потребители привыкли покупать и придерживаться розничных марок, которые они попробовали.

Хваленое комбо из купонов, промокодов и скидочных программ, прочно вошедшее в стратегии маркетологов, не сыграло в трансформациях лояльности никакой роли. На деле преданные бренду потребители платят за любимые товары в среднем на 3-4% больше и сосредотачивают на нем еще больше своей покупательной способности.

А что насчет этих предпочитаемых брендов?

Ими оказываются не какие-то супермегазнаменитые, признанные на общенациональном уровне имена. У них нет крупных бюджетов на ТВ-рекламу. Они не лидируют в своих категориях. Поэтому нельзя измерить лояльность с помощью привычных показателей занимаемой рыночной доли или аудитории.

Потребители сегодня отдают предпочтение нишевым брендам, которые успели завоевать популярность благодаря тем или иным удачным решениям.

Современному покупателю нравится искать и выбирать новые товары, даже если они гораздо дороже тех вещей, которым должны послужить заменой.

Это и есть современное понятие лояльности. Читать дальше ->

https://habr.com/post/422285/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422285

« В буре и грозе родится Ноосфера… и будет первым проявлением Биосферы в Ноосферу..»
Вернадский

Оглядите комнату – каждая вещь может стать чем-то большим. И, вполне возможно, завтра это чей-то будущий бизнес. Чайник, пылесос, очки и кто знает, что еще становятся более интерактивными. В XXI веке мы привыкли жить проще и морально готовы забыть о быте. Вперед к комфортной жизни мы пойдем вместе с IoT. IoT (Internet of Things) – это когда обычные физические предметы апгрейдятся до умных, способных управлять и управляться через некую ноосферу (Internet пока подойдет).

Вещи и инженерные системы способны уже сейчас собрать данные, обменяться ими с помощью различных сервисов. В перспективе – это целая система, включающая в себя не только сбор данных и хранение, но и безопасность, аналитику и другие инструменты. Существующие технологии разрознены и хаотичны. И дорабатываются по-разному. По сути, у потребителя в распоряжении два варианта:

1. «Доступный зоопарк»: Массовые, но разрозненные решения, островная разумность
2. «Спецназ» — очень дорогие интегрированные системы (ограниченное количество игроков на рынке).

«Доступный зоопарк»

«Островная» (интегрирована кусочками) разумность. Удобное, недорогое для конечных пользователей решение.

Его особенности:

1. Каждый предмет или «остров» управляется независимо от другого;
2. Соединить управления разными системами или вещами обычно нельзя или под силу только человеку, хорошо погруженному в нюансы данной технической области.

Читать дальше ->

https://habr.com/post/422341/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422341

Сегодня компания Яндекс открыла новый сервис Яндекс.Облако.

Вычислительные мощности Яндекса и сервисы для обработки и хранения данных. Яндекс.Облако — публичная облачная платформа, где вы можете создавать и развивать свои проекты.

Проект представляет из себя 7 различных сервисов:

1. Yandex Compute Cloud — Виртуальные машины и диски
2. Yandex Object Storage — Масштабируемое хранилище данных
3. Yandex Virtual Private Cloud — Сети для обмена информацией между облачными ресурсами и интернетом
4. Yandex Identity and Access Management — Идентификация и контроль доступа к облачным ресурсам
5. Yandex Managed Databases — Управление базами данных ClickHouse, PostgreSQL и MongoDB
6. Yandex SpeechKit — Комплекс технологий распознавания и синтеза речи
7. Yandex Translate — Машинный перевод с поддержкой более 90 языков

В данный момент воспользоваться сервисом можно только после заполнения формы и одобрения заявки со стороны Яндекса, однако компания обещает, что до конца 2018 года у всех появится свободный доступ к сервису.

Мне, как владельцу проектов Поиск VPS и VPS.today больше всего интересны виртуальные серверы. Первая особенность, которую я заметил у Яндекса — это то, что в выключенном состоянии за виртуальную машину не нужно платить.
Читать дальше ->

https://habr.com/post/422337/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422337

Я вырос в небольшой городке Алтайского края на берегу реки Бия, недалеко от того места, где она сливается с Катунью. Городок этот, в сущности, ничем не отличался от сотен других крошечных городов — бывших дореволюционных уездных центров, разросшихся однотипными блочными пятиэтажками в советскую эпоху вокруг какого-нибудь НИИ или «городообразующего предприятия». Таких щедро раскидано по просторам Нашей Необъятной.

В моем детстве был сосновый лес, речка, лодочная станция неподалеку от узенького пляжа, куда приезжали отовсюду купальщики по выходным и куда мы ходили купаться со старшей сестрой в пору моего детсадовского малолетства. А так же холмы для катаний на лыжах зимой, прямо по лыжне вниз, налево и по периметру в котлован некогда вырытый бог весть для каких нужд, да так и оставленный на волю своей нехитрой геодезической судьбы.


Это мы с друзьями по дороге из школы в далеком не то 84м не то 85м году.

А еще в нашей окраине, там где дорога сразу после автобусной остановки разветвлялась и одной своей веткой уходила в сторону школы и потом через площадь с кинотеатром и спортивным комплексом Заря в направлении «лодочной», а другой упиралась в проходную местного химического НИИ, там, на развилке, спиной в лес стоял Купол. Мы называли его Купол в соответствии с его очевидными архитектурными особенностями, а так, для всех остальных это был Планетарий или Дом Детского Творчества имени Савченко.


Бийский Дом Детского Творчества имени Савченко Я.Ф.
Читать дальше ->

https://habr.com/post/422233/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422233

В принципе, можно сделать карьеру независимой киберищейки – если вы достаточно непритязательны

Эван Рикафорт работает из дома, и его офис занимает одну комнату в доме, расположенном на шоссе в Филиппинах, где вместе с ним живёт его семья. Родители 22-летнего компьютерщика работают в продуктовом магазинчике, принадлежащем его семье, и расположенном в южном городе Ипиль, а он сам проводит до 75 часов в неделю взаперти, вкалывая на своём компьютере. И здесь, среди какофонии мотоциклов, лая собак и плача детей, он может заниматься спасением ваших персональных данных.

Рикафорт – охотник за багами, принадлежащий к определённому типу положительных хакеров, ищущих уязвимости в безопасности ПО, созданного крупнейшими технокомпаниями мира, пытаясь опередить плохих хакеров, которые могли бы воспользоваться этими уязвимостями. Делают они это не бесплатно, естественно: многие компании платят (иногда прилично) за вклады, помогающие компаниям исправлять код, от которого зависит их бизнес. И таких предложений достаточно, чтобы охота за багами стала одной из нарождающихся профессий.
Читать дальше ->

https://habr.com/post/422315/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422315

Исследователи из MIT разработали новый метод шифрования для работы с нейронными сетями в облаке — Gazelle. Сервер обрабатывает данные пользователя, не зная их содержания, то есть они остаются анонимными. Рассказываем о системе и её перспективах.

Читать дальше ->

https://habr.com/post/422309/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422309

Замгендиректора головного научного института «Роскосмоса» ЦНИИмаш Александр Медведев вчера в ходе научной конференции в Москве сделал громкое заявление. По его словам, многоразовые ракеты SpaceX не основаны на каких-либо принципиально новых технологиях, а базируются на разработках советских инженеров и учёных:

«Не могу утерпеть и немного не поязвить. Все эти ракетно-динамические, парашютные схемы, по сути, рождались у нас в стране, а потом американцы это всё успешно реализовывали. То, что реализовал Маск, — это было много десятков лет назад рассмотрено и предложено нашими российскими учёными, инженерами и конструкторами».

В прошлом веке советская космонавтика занимала ведущие позиции в мире, так что в откровении руководителя ЦНИИмаш нет ничего удивительного, скорее чувствуется гордость и горечь. Известна история, как в октябре 2001 года Илон Маск приезжал в Москву и пытался купить баллистические ракеты, но не смог договориться о цене.
Читать дальше ->

https://habr.com/post/422299/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422299

Авторы The Money Project собрали и визуализировали информацию о стоимости всех мировых денег и их эквивалентах. В результате получилась эффектная и простая инфографика, в которую помимо основных данных были добавлены сравнительные ориентиры: размеры состояний богатейших в мире людей, рыночная капитализация крупнейших компаний, акции которых котируются на рынках ценных бумаг, общая стоимость этих рынков и суммарная величина долговых обязательств во всем мире.



Когда я в первый раз увидел эту инфографику за 2017 год, я матерился. Потом я много матерился.

А теперь я смотрю на мир через «призму маленького черного квадратика» и мне все кажется пустяками.

Ныряйте под кат или открывайте картинку целиком тут. (Предыдущая статья на Хабре за 2015 год с искрометными хабракомментами.)
Читать дальше ->

https://habr.com/post/422291/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422291

Сегодня в нашей виртуальной студии один из самых известных дотнетчиков — Джеффри Рихтер.

В данный момент он — Partner Software Architect в Microsoft, работающий по направлению Distributed Cloud Apps & Storage. Иначе говоря, человек, который знает об Azure Storage всё.

F.A.Q.

Слишком много текста. О чём это всё? Чтобы вам было веселей читать, для этой статьи мы придумали более интересную вёрстку. Слева будут говорящие головы, а справа — текст. Если вам уныло листать до интересующей части, то в оглавлении есть анкерные ссылки. В ролях: Евгений phillennium Трифонов (нетехнические вопросы) Советы разработчикам по созданию компании Комбинирование разных видов деятельности Что читать, что изучать, как писать Олег olegchir Чирухин (технические вопросы) Зачем Рихтер изучает JS, Golang и Python Стоит ли продолжать писать на C++ Эволюция и будущее разработки на платформе Windows, .NET и вообще Захватит ли JavaScript мир, нужна ли типобезопасность Немного о пользе облачных провайдеров Что лучше иметь — личный самолет или личный вертолёт Как всё успевать Почему эта статья попала в хаб JavaScript? Только для тех, кому интересно мнение архитектора Azure относительно JS и его позиция в холиваре о типобезопасности. Этот холивар перетекает у нас из интервью в интервью, и конца ему не видно. Почему эта статья попала в хаб С++? Изначально Рихтер писал книги про C++. Только для тех, кому интересно мнение архитектора Azure относительно будущего и применимости C++

Джефф стал известен еще в начале 90-х, когда написал книгу о том, как программировать Windows 3.1. Его книга «Programming Applications for Microsoft Windows» стала классикой, позже выпускалась как «Windows via C/C++» и выдержала несколько изданий.

С появлением .NET он написал «CLR via C#» — тоже получилась классика, тоже несколько изданий. В то время он был одним из основателей компании Wintellect и, формально не будучи частью Microsoft, оказался более свободен в оценках. Чем и заработал репутацию крупного независимого эксперта по Windows. Это человек-легенда уровня Чарльза Петцольда и Дона Бокса.

Читать дальше ->

https://habr.com/post/422251/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422251

Для кого

Для java разработчиков, которые только слышали про котлин, но руками его пока не трогали

Для чего

Показать что kotlin отлично работает с spring boot, а в сочетании с DSL в части работы с html быть удобнее классического подхода с jsp.

Читать дальше ->

https://habr.com/post/422083/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422083

С момента выхода предыдущего издания этой книги операционная система Windows прошла длинный путь обновлений и концептуальных изменений, результатом которых стала новая стабильная архитектура ядра Windows 10.

Книга «Внутреннее устройство Windows» создана для профессионалов, желающих разобраться во внутренней жизни основных компонентов Windows 10. Опираясь на эту информацию, разработчикам будет проще находить правильные проектные решения, создавая приложения для платформы Windows, и решать сложные проблемы, связанные с их эксплуатацией. Системные администраторы, зная, что находится у операционной системы «под капотом», смогут разобраться с поведением системы и быстрее решать задачи повышения производительности и диагностики сбоев. Специалистам по безопасности пригодится информация о борьбе с уязвимостями операционной системы.
Читать дальше ->

https://habr.com/post/422269/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422269

«Finally, we come to the instruction we've all been waiting for – SEX!»
/ из статьи про микропроцессор CDP1802 /

В начале 1970-х в США были весьма популярны простые электронные игры типа Pong (в СССР их аналоги появились в продаже через 5-10 лет). Как правило, такие игры не имели микропроцессора и памяти в современном понимании этих слов, а строились на жёсткой логике. Соответственно, сменные картриджи не имели особого смысла, а там где они были — представляли собой просто набор перемычек, включающих нужную игру.

В 1977 году были почти одновременно выпущены две консоли: Fairchild Channel F и RCA Studio II. Это были первые игровые приставки в виде полноценных компьютеров — с микропроцессором и программами на сменных картриджах.Приставка RCA Studio II, о которой пойдёт речь, является разработкой не столько фирмы RCA, сколько конкретного человека — Joseph A. Weisbecker (как и вся архитектура COSMAC).
Читать дальше ->

https://habr.com/post/422277/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422277

Эксперименты на Большом адронном коллайдере каждую секунду выдают порядка миллиона гигабайт данных. Даже после уменьшения и сжатия, данные, полученные на БАК всего за час, по объёму оказываются сравнимыми с данными, полученными Facebook за целый год.

К счастью, специалистам по физике частиц не приходится разбираться с этими данными вручную. Они работают совместно с разновидностью искусственного интеллекта, обучающегося вести самостоятельный анализ данных при помощи технологии машинного обучения.

«По сравнению с традиционными компьютерными алгоритмами, которые мы разрабатываем для проведения определенного вида анализа, мы делаем алгоритм машинного обучения так, чтобы он сам решал, какими анализами заниматься, что в результате экономит нам несчётное количество человеко-часов разработки и анализа», — говорит физик Александр Радович из Колледжа Уильяма и Мэри, работающий в нейтринном эксперименте Nova.
Читать дальше ->

https://habr.com/post/422173/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422173

Если не заниматься вопросами информационной безопасности в компании, потом может быть мучительно больно

В июле этого месяца некий хакер смог найти уязвимость в системе управления автоматическими дверями офиса Google. Он смог открывать двери без использования ключа RFID. К счастью для самой компании, хакером оказался ее собственный сотрудник, который выполнял работу на благо своего работодателя, а не стремился навредить ему.

У корпорации есть внутренняя сеть, по которой передаются данные, генерируемые умными системами офисов и зданий компании. Дэвид Томашик, сотрудник Google, о котором идет речь, просто отправил созданный им код в эту сеть, после чего светодиоды на закрытых дверях сменили цвет с красного на зелёный — то есть двери удалось открыть. Сама программа оказалась не такой уж и простой в разработке — на ее создание было потрачено довольно много времени.
Читать дальше ->

https://habr.com/post/422275/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422275

Привет Хабр! Мы продолжаем регистрацию на ежегодную конференцию Fujitsu World Tour, которая пройдет в Москве 20 сентября под лозунгом «Сотрудничество для достижения успеха». Переходи по ссылке прямо сейчас и окажись в списке участников.


Читать дальше ->

https://habr.com/post/422229/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422229

Попросил меня на днях товарищ помочь с одной задачкой: управлять компом с аудиопроигрывателем, установленном на ноутбуке с Windows, с помощью маленького аппаратного пультика. Просил всякие ИК пульты не предлагать. И сделать AVR-е, коих у него осталось некоторое немалое количество, пристраивать потихоньку надо.

Читать дальше ->

https://habr.com/post/422203/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422203