Недавно я летел из Гонконга в Хитроу рейсом British Airways. Тот же самый маршрут я проделал в 2023 году, и помню, как в 14-часовом путешествии понадеялся на развлечения в самолёте. Однако на этот раз по дороге в Лондон у компании появилось интересное предложение: бесплатный WiFi для «мессенджеров» участникам «The British Airways Club».Я был практически уверен, что не состою ни в каком подобном клубе (да и летел я эконом-классом), но оказалось, то это всего лишь название программы для часто пользующихся услугами компании. Довольно удобно было то, что можно зарегистрироваться в программе через портал авторизации, находясь прямо в воздухе; и хотя он требует адрес электронной почты, его не нужно верифицировать (то есть можно завершить регистрацию без доступа к Интернету).После входа портал предложил мне «Начать сессию», и это действительно позволило мне общаться текстом. Я попробовал Whatsapp, Signal, Wechat и Discord. Первые три работали (но без поддержки изображений); Discord, как и ожидалось, не заработал. Совсем неплохо для бесплатного WiFi!Откуда он знает?Это первый вопрос, который возник у меня после проверки работы мессенджеров. На дворе 2025 год, всё должно шифроваться при передаче. Почему же система знает, что я использую Whatsapp или Discord? Поначалу я решил, что соединение как-то ограничивает ширину канала/передачу данных отдельных TCP-соединений, поэтому при отправке одного-двух сообщений они проходят, но что-то большее отклоняется.Чтобы проверить эту гипотезу, я попробовал открыть на телефоне классический example.com. К сожалению, он не загрузился; значит, всё это устроено немного сложнее… Читать далее

В английском алфавите 26 букв. С учётом заглавных букв (+26) и цифр (+10) получается 62 символа. Это значит, что для взлома пароля длиной n символов, состоящего только из букв и цифр, злоумышленник должен перебрать комбинаций. Мы привыкли думать в терминах степеней десятки, поэтому, чтобы выразить это число как , воспользуемся формулойДля пароля длиной символов , то есть вариантов перебора. В году примерно секунд. Для перебора с частотой один вариант в секунду потребуется 30 миллиардов лет. Ну или давайте более наукообразно: если ваш пароль будут ломать с частотой раз в секунду в течение вашей жизни, а вы с момента создания пароля и до гробовой доски хотите прожить 100 лет, то вероятность, что вас таки взломают равна . Кажется, этого более чем достаточно. Но не для сайта Expedia.com. Они считают, что пароль nr75eJ2GBp недостаточно надежный.Что же они хотят? Минимум 12 символов с использованием специальных символов (+23 символа, итого 85). ПолучаемЕщё раз напомню, что - это показатель десятки. Тогда -- это примерно 5 * 10^ 15 лет. 5 квадриллионов лет, если делать попытки раз в секунду. Я даже слова такого не знал. Давайте шутки ради поставим пароль VladimirPutin1952#. У таких серьёзных парней он точно не пройдёт.Ах нет... сайт expedia доволен. Считает, что очень хороший, надёжный пароль. Этот пароль кстати проходит на всех сервисах, где я его опробовал, а не только на экспедии. Читать далее

Меня всегда тянуло к подобным темам — тем, где технологии и человек пересекаются не на уровне кода, а на уровне тела. Я часто ловлю себя на мысли: а как вообще инженеры прошлого справлялись со всем этим без трекеров, мониторингов и советов из интернета? Что они делали, когда уставали за пультом, как боролись с болью в спине, если даже понятия «эргономика» тогда толком не существовало? И вот я решил копнуть поглубже — разобраться, как выглядела борьба с сидячим образом жизни полвека назад, когда программист был не модной профессией, а скорее ремеслом для выносливых. Читать далее

Реклама работает, звонки есть, но продаж — кот наплакал. Одни хотят сделать «как на картинке, только в три раза дешевле», другие спрашивают цену и пропадают, третьи вообще не понимают, чем вы занимаетесь. Знакомо? Давайте разберёмся, почему к вам приходят не те клиенты и как это исправить.Спойлер: проблема не в клиентах. Проблема в том, что вы неправильно их привлекаете и не фильтруете на входе. Читать далее

В трейдинге часто говорят: «Цена — это следствие, объём — это причина». Именно так я наткнулся на одну простую, но крайне интересную закономерность: если в момент падения появляется свеча с объёмом, который в два раза превышает средний за последние 60 дней, — то на следующей свече часто начинается рост. Предлагаю протестировать эту идею, узнать какой выход мы получим и написать рабочего real-time бота с помощью python. Читать далее

Исследователь Сэм Карри вместе с коллегами хорошо известен благодаря своим исследованиям безопасности корпоративной инфраструктуры. Зачастую он находит довольно простые ошибки, которые тем не менее представляют интерес, — скорее как пример максимально безалаберного подхода к безопасности. В сферу его исследований часто попадают компании из автоиндустрии (пример 1, пример 2). Детали еще одного исследования по этой теме были обнародованы на прошлой неделе: вместе с коллегами Иэном Кэрроллом и Галем Нагли Карри нашел грандиозную дыру в веб-портале Международной автомобильной федерации (FIA).FIA участвует в организации не только «Формулы-1», но и множества других автоспортивных мероприятий. Для работы с участниками соревнований предусмотрен специальный веб-портал. Ввиду большого количества различных спортивных состязаний зарегистрироваться на нем может любой желающий. После создания учетной записи следует довольно сложный процесс регистрации, в ходе которого требуется предоставить множество данных о себе и загрузить подтверждающие документы. После создания учетной записи исследователи начали анализировать процесс обмена информацией с сервером. Они обратили внимание, что в ответ на обновление данных о собственной учетке сервер дает чуть больше информации, чем было предоставлено пользователем. Читать далее

Блуждая по Хабру, я всё чаще слышу один и тот же рефрен: «Хабр уже не тот». Статьи не набирают, интерес аудитории угас, а в кулуарах DevRel'ы жалуются, что «продвигаться стало невозможно». Но так ли это на самом деле? Или это классическая «раньше трава была зеленее»? Читать далее

Много кто на Хабре знает мое имя из-за моего проекта dnevniklib - Python библиотека для работы с API МЭШ (Московская Электронная Школа). На пике популярности ее скачали с PyPI 3000 раз! Данный проект являлся моей моей визитной карточкой, многие мои знакомые, которые как и я програмисты, нашли меня именно через мой Github. Да, это было круто, но потом произошло затишье... Я кинул проект в архив и он до сих пор там валяется. Но почему?Эта статья расскажет о чем сразу стоит позаботится, прежде чем выпускать какой-либо продукт (даже open source) в main ветку Читать далее

Еще недавно поиск в Google или Яндекс был главным инструментом инженера. Сегодня все изменилось: AI-помощники вроде ChatGPT, Gemini или Claude, понимающие запросы на естественном языке, кардинально меняют подход к работе. Однако их использование упирается в серьезные преграды: вопросы конфиденциальности корпоративных данных, географические блокировки и лимиты бесплатных тарифов стали новой головной болью.Что, если получить все преимущества мощной языковой модели, но без этих недостатков? Решение — развернуть собственную модель на своих серверах. Эта статья —практический гид по созданию автономного чат-бота, который не уходит в облако, работает без интернета и полностью защищает данные. Я пройду путь от теории до работающего локального прототипа. Читать дальше

Внимание в трансформерах не имеет памяти между шагами, что ведет к нестабильным градиентам. Решение Momentum Attention, где текущие Value векторы смешиваются с предыдущими через экспоненциальное скользящее среднее. Этот подход добавляет инерцию, стабилизируя фокус модели. Внутри разбор механики, корректный код на PyTorch и анализ трейд оффов Читать далее

Работая над статьёй ИИ не изменит IT, я обратила внимание, что ключ ко многим проблемам нейросетей — это закон Гудхарта: «Когда мера становится целью, она перестаёт быть хорошей мерой». Закон этот настолько универсальный, что захотелось посвятить ему отдельную статью.Он объясняет, почему ChatGPT галлюцинирует, когда его поощряют за правдоподобность, школьники учатся списывать ради хороших оценок, а поисковики постоянно обновляют алгоритм ранжирования.«Сделал и забыл» — это не про сайты, не про SEO и не про цифровой маркетинг. В этой статье разберёмся, почему это не чья-то злая воля, а системная закономерность. И как, понимая её, выстраивать устойчивые процессы. Читать далее

Знакомьтесь, Пауки-охотники - это новый тип двойных систем с миллисекундными пульсарами. Давным-давно системы, в которых миллисекундный пульсар испаряет компаньона, назвали «черная вдова» в честь соответствующего вида пауков, где самка убивает самца после того самого действия (о чем вы подумали, - прим. ред). Когда в дальнейшем обнаруживали новые подтипы миллисекундных пульсаров в двойных, где взаимодействие пульсара и его компаньона проходит немного иначе - они получали имена в честь других пауков. (Тут существенно, что пульсары часто открывают в Австралии, где и радиоастрономия развита великолепно, и всяких пауков много). И вот - еще один паучара.На этот раз компаньоном является ободранный красный гигант. В статье описан всего лишь второй надежный пример такой системы (есть еще один хороший кандидат, так что можно сказать, что известных систем уже три, но одна недоизученна. Поскольку системы с красными гигантами более широкие, то их решили назвать в честь более крупных пауков.Период радиопульсара примерно две миллисекунды, а орбитальный период - более 10 дней. Наблюдается рентгеновское излучение, связанное с взаимодействием ветров от красного гиганта и радиопульсара. Вообще, систему удалось хорошо исследовать в разных диаразонах: определить расстояние, измерить спекты и тп. Открытие и изучение таких систем важно для лучшего понимания эволюции двойных систем и нейтронных звезд в двойных, поскольку системы с красными гигантами представляют относительно короткую промежуточную стадию Читать далее

Прошлым летом у нас с женой возникло желание обзавестись своей дачей. Хотелось получить MVP загородной жизни, чтобы попробовать её на вкус, но не залезать в долги и не вкладывать в этот эксперимент огромные суммы. Брать участок с готовым домом — лотерея и у нас не было опыта, чтобы не купить кота в мешке. Строить дом с нуля — нереально дорого. Рассматривали много вариантов, в итоге купили пустой участок и поставили туда добротную утепленную бытовку.И я, как техно-гик, конечно же, не смог устоять — начал делать из нее умный дом умную бытовку и оснащать всем необходимыми для комфортной жизни. Об этом опыте хочу рассказать в статье.Итак, поехали! Читать далее

Производителям чипов приходится постоянно решать одну и ту же задачу — находить баланс между скоростью и энергоэффективностью. Intel, судя по последним анонсам, попыталась сделать это в серии Panther Lake. В ней компания собрала воедино успешные элементы предыдущих проектов. Так что Panther Lake становится своего рода мостом, соединяющим сегменты рынка, где раньше приходилось выбирать между экономией батареи и скоростью вычислений. И подходят чипы буквально для всего — от тонких ультрабуков до более требовательных систем. Что ж, поехали разбираться! Читать далее

Привет, Хабр!Четыре года назад, еще в институте, одним из моих первых серьезных проектов была простая LSTM-модель для прогноза погоды. Недавно, пересматривая старые наработки, я задался вопросом: насколько дальше можно зайти, применив накопленный за эти годы опыт и современные инженерные практики?Эта статья — история такого «рефакторинга длиною в 4 года». Это рассказ о том, как простой академический проект был переосмыслен и превращен в полноценное End-to-End (E2E) решение. Цель — не просто снова предсказать погоду, а на практическом примере продемонстрировать системный подход к построению ML-пайплайна с нуля.В статье рассматриваются все ключевые этапы: от разработки отказоустойчивого веб-скрапера до проведения сравнительного анализа трех разнородных моделей прогнозирования: Читать далее

Присматриваемся к Расту, как возможному кандидату на реализацию задачи Card DOM. Рассматриваем, как он поддерживает полиморфные структуры данных, в частности, приведение типов между трейтами. Читать далее

MCP без воды и шаблонного кода на практике: разбираем протокол, поднимаем сервер, тестируем через Inspector и учим LLM торговать через Finam API. Разберёмся, когда MCP выгоднее «обычных функций», как изолировать интеграции и упростить отладку инструментов. Читать далее

Windows 11 — современная и красивая операционка, но порой она может работать медленнее, чем хотелось бы. Особенно это заметно на старых или менее мощных ПК. Хорошая новость в том, что существует несколько простых и эффективных способов улучшить производительность системы, сделать её быстрее и удобнее в использовании.В этой статье мы разберём, как правильно настроить Windows 11, избавиться от ненужных процессов и оптимизировать работу, чтобы ваш компьютер работал плавно и стабильно.Кстати, если вам интересны IT-технологии и полезные инструменты, заглядывайте в мой Telegram-канал. Я регулярно публикую там свежие новости, лайфхаки и другие полезности. А сейчас — к сути статьи. Читать далее

Многие люди смутно представляют, что у финансовых институтов есть обязанность соблюдать Know Your Customer (KYC) и иметь программы AML (anti-moneylaundering), но что это означает на самом деле? Рад, что вы спросили.С ними всё… сложно и запутанно, из-за чего у многих (внутри и вне этой отрасли) сложилось ошибочное впечатление об их уровнях широты и строгости. Кроме того, они достигают своих целей не самым очевидным образом, во многих отношениях нарушая наши ожидания о том, как работают законы в целом.Обсуждать выбор политик без комментариев невозможно, поэтому для начала я должен дать некоторые объяснения. Когда-то я работал в Stripe, и, разумеется, проходил обязательное обучение комплаенсу. В статье я буду говорить только от своего лица и откровенно расскажу, какой не может быть культура отделов комплаенса и по каким причинам. Читать далее

В сообществе Epic в последнее время активно обсуждают статтеты, вызванные компиляцией шейдеров, и их влияние на геймдев-проекты.В этой статье разберёмся, почему возникает это явление, объясним, как предкэширование PSO помогает его устранить, а также поделимся практиками разработки, которые позволят минимизировать статтеры. Также расскажем о планах по развитию системы предкэширования PSO. Читать разбор

Бесплатная проверка товарного знака за 5 минут не даёт полную картину. Когда (и как?) можно проверить самому и когда нужен специалист — чтобы не потерять бюджеты на 10 месяцев продвижения бренда и вынужденный ребрендинг. Читать далее

Когда в России было мало своего производства и не было проблем с логистикой, почти всё заказывали ложементы за три копейки в Китае вместе с товарами. Сейчас ситуация изменилась. Цены у китайцев выросли, логистика подорожала и возить воздух в ложементах, как раньше, стало невыгодно. Китайцы стали браться только за огромные партии. Либо ценник в 10 раз выше. Теперь их редко удаётся прожать на: «Ребята, я буду брать миллионами, но сделайте мне сначала 100 на пробу». Поэтому, чтобы сэкономить на логистике, импортёры везут товары “навалом”, а товарные ложементы и коробки заказывают у нас в России.При этом в России открывается всё больше производств. Отсюда и появилась возможность заработать на ложементах. Читать далее

Всем привет! Меня зовут Анастасия Рысьмятова, я руковожу юнитом LLM в Авито.В этой статье я расскажу, как мы с командой создали и адаптировали нашу большую языковую модель A-vibe: зачем решили развивать собственную LLM, как построили токенизатор, собрали датасеты, провели SFT и RL и что получили в итоге. Поделюсь основными экспериментами и покажу наши результаты. Читать далее

Я работаю в компании, которая занимается тестированием ПО, и одним из наших предложений для клиентов является внедрение автоматизированного тестирования как одного из самых эффективных способов ускорить выпуск релизов без ущерба для качества.Сегодня доступно множество инструментов: Selenium, Playwright, Cypress и другие. Каждый имеет свои преимущества. Но в подавляющем большинстве наших проектов мы используем Selenium. Расскажу, почему мы сделали такой выбор.Цель автоматизации — экономияГлавная задача автоматизации — снизить ручную нагрузку и минимизировать человеческий фактор. Рассмотрим на примере интернет-магазина. Если компания выпускает по 5 версий в месяц, перед каждым релизом необходимо проверять ключевые сценарии: добавление товара в корзину, оформление заказа, оплату. Регулярные ручные проверки требуют времени, увеличивают затраты и подвержены ошибкам. Автотесты выполняют эти проверки быстрее и точнее. С экономической точки зрения, однократные инвестиции в разработку автотестов, как правило, окупаются за счет экономии на многократных ручных проверках.Однако окупаемость инвестиций напрямую зависит от стабильности продукта и частоты тестирования. Если функциональность, покрытая автотестами, часто меняется, затраты на их поддержку могут превысить выгоду.Точно так же автоматизация может окупаться долго, если релизы выходят редко или регрессионное тестирование проводится с большими интервалами.Требования клиентов и гибкость технологийКак IT-компания, мы сталкиваемся с разными требованиями заказчиков. Клиенты часто просят использовать определенный язык программирования, чтобы их команды могли поддерживать тесты. Например, если бекэнд написан на C#, то и автотесты предпочтительнее на нем. Читать далее

За последние годы рынок IT сильно изменился. Сейчас найм Junior-разработчиков стал гораздо выгоднее для компаний: конкуренция среди молодых специалистов выросла, а текучка кадров снизилась. Разберём, почему именно сейчас лучшее время инвестировать в молодых разработчиков. Читать далее

Сегодня мы разберемся, как создать легковесную утилиту, которая решает эту проблему элегантным и, что самое главное, безопасным с точки зрения античитов способом. Читать далее

Тревожная тенденция, о которой заговорил даже Дуров. О том, как работает цензура на Западе, В Китае и США, не касаясь России. Читать далее

Новость о том, что Qualcomm покупает Arduino сначала вызвала чувство тревоги. Примерно такое же, как когда Broadcom купил VMware. С чудесным миром микроконтроллеров я тесно познакомился именно благодаря Arduino. Оригинальная Uno базировалась на ATmega328P и стоила на момент выхода 30 $. Реальная себестоимость, по оценкам коммьюнити, была около 15 $, а все остальное пользователь платил за бренд и открытость дизайна.Последнее, кстати, привело к тому, что спустя короткое время плата была скопирована китайцами. Они не просто нашли способ заменить дорогие компоненты более дешевыми аналогами, но и наладили крупносерийное производство. Это привело к тому, что купить ноунейм-клон аля Nduino Uno можно было на порядок дешевле.Совсем недавно публике представили новую плату Arduino Uno Q, которая уже была создана с использованием разработок Qualcomm. Она мгновенно вызвала интерес, благодаря новому видению того, как должна выглядеть современная плата микроконтроллера. Мне уже удалось добраться до серийного образца Uno Q, так что спешу поделиться с вами впечатлениями! Читать далее

Уголовка руководителя за предоставленный сотрудником логин и парольЧто учесть работодателю и сотрудникам компании?Заместитель начальника ОАО «Р» Г. осужден по ч. 3 ст. 272 УК РФ – неправомерный доступ к компьютерной информации, повлекший ее копирование, совершенный с использованием своего служебного положения. Читать далее

Что важно фронтенд-разработчику при создании веб-приложений? Поддержка текущей кодовой базы, удобство внедрения новых фич и возможность повторно использовать компоненты. Создать такие условия помогает популярный подход к проектированию — FSD (Feature Sliced Design). Разбиваем интерфейс на независимые, переиспользуемые модули (виджеты, фичи и т. д.), получаем чёткие правила, единую структуру проекта и ускорение разработки за счёт переиспользования кода и изоляции ответственности.Подход FSD во многом прекрасен, но всё же нам в нём не хватало некоторых важных аспектов: внятного разделения слоёв бизнес-логики, удобства работы с кастомными хуками (они быстро разрастаются, обрастают связями и становятся сложными для тестирования). Также было неясно, куда выносить сложные общие компоненты из разных частей проекта. И, например, как легко отделять один бизнес-модуль от другого, не ломая всю систему… Меня зовут Иван Соснович, я тимлид фронтенд-разработки в СберТехе, тружусь в команде Platform V Kintsugi — это графический инструмент для сопровождения, мониторинга и диагностики Postgres-like СУБД. В этой статье я покажу, как мы доработали FSD под себя, и дам ссылку на пример со структурой приложения. Надеюсь, будет полезно фронтенд-разработчикам. Читать далее

Меня зовут Владимир, я внутренний аудитор. В своей работе я анализирую самые разнообразные бизнес-процессы и проекты.Сегодня я хочу разобрать интересный кейс, с которым недавно работал – аудит проекта по внедрению в процессы компании RPA-роботов.Моя статья будет полезна и интересна: ·       самому широкому кругу читателей – понимать, что такое RPA-роботы, для чего они нужны и как можно оценить эффективность их внедрения;·       топ-менеджерам – определить какие вопросы следует задать ИТ-команде и на что обратить внимание при реализации проектов;·       менеджерам ИТ-проектов – заранее оценивать риски и знать какие подводные камни могут быть;·       владельцам процессов – знать, как доказать реальную эффективность от внедрения RPA-роботов и подобных автоматизированных решений;финансистам – корректно подсчитать экономические эффекты. Читать далее

Инструкция по подключению устройства HOMMYN HDN/WFN-02-02 к локальному серверу MQTT на базе Home Assistant. Читать далее

Самые интересные новости финансов и технологий в России и мире за неделю: новое о дерзком ограблении Лувра, в России вводят налог на налог, первые санкции Трампа против РФ, падение рынка ножей в CS, OpenAI выпустили свой браузер, а также помилование Чанпэна Чжао. Читать далее

Или о том, как я до сих пор пытаюсь закрыть гештальт 20-летней давности и почему иногда важнее поставить точку, чем дописывать очередную главу.Я уже писал достаточно откровенную статью о том, как почти 20 лет назад решил во что бы то ни стало придумать и реализовать проект, который обязан был быть глобальным, при этом уникальным, и конечно же успешным. Почему обязан? Хороший вопрос. Наверное, потому что в двадцать с небольшим лет кажется, что иначе и быть не может. Моя прошлая статья «Нечто большее, чем лайк»  —  горьковатый коктейль из боли, личных инсайтов, странной псевдофилософии, ослепленности идеей и 15-летнего бега по кругу в попытке реализовать странную (и никому не нужную) социальную сеть с еще более странной «эмоциональной системой рейтинга». Той статьей я пытался раз и навсегда закрыть вопрос с этой изрядно затянувшейся попыткой оставить свой след в истории интернета (ха!). Некоторое время после ее публикации я действительно верил, что меня отпустило. Пока снова не началась фаза обострения. И дело не в том, что я вдруг перестал принимать медикаменты… Войти в выйти: приключение на 20 минут

Вы когда-нибудь видели в консоли сообщение вроде: «Access to fetch at '…' from origin '…' has been blocked by CORS policy»? Это как в том фильме: «Суслика видишь? — А он есть». CORS не бросается в глаза, пока все работает, но в нужный момент пресекает недопустимые действия. Например, чтение ответа на кросс-запрос без разрешения сервера.Меня зовут Баир, я разработчик в команде fuse8. В этой статье я отвечу на вопросы о том, зачем была создана CORS политика, как она устроена под капотом, почему простого действия типа «поставить заголовок на бэке» может быть мало, и какие безопасные паттерны стоит выбирать во фронтенде. Читать далее