Время IT | IT Time

2022-04-28 19:45:01 ​Как расходуется рабочее время разработчиков

Компания Retool and Wakefield, занимающаяся различными исследованиями, опубликовала любопытный отчёт по результатам проведённого в январе 2022 года опроса 600 разработчиков программного обеспечения из разных компаний в США.

Половина респондентов представляла старший и менеджерский состав (senior- or manager-level software engineers), вторая половина – неруководящий состав и обычные разработчики, включая работающих индивидуально.

Вот несколько интересных данных из отчёта:

более 80% разработчиков используют в своей работе код из открытых источников (StackOverflow и его аналоги) хотя бы раз месяц, а почти 50% делают это хотя бы раз в неделю.

Самыми нелюбимыми занятиями разработчиков являются: тестирование, рефакторинг кода, проведение интервью с кандидатами, срочное "тушение пожаров", долгая непрерывная работа с глубоким погружением.

38% опрошенных считают серьёзной проблемой в своей ежедневной работе потерю времени на ожидание действий других людей (постановок задач, результатов код-ревью и т.п.)

Более 30% разработчиков заявили, что поиски автора какого-либо фрагмента кода могут занимать более половины их рабочего дня.

Несмотря на сформировавшуюся за период пандемии привычку работать из дома, многие разработчики считают себя более продуктивными в офисе, чем дома.

В среднем, разработчики работают "с полным погружением" (deep work) всего порядка 10 часов в неделю.

Как оцениваете эти результаты? Сталкивались с чем-то похожим в своей деятельности?

#новости Открыть/Комментировать

2022-04-23 12:15:00 ​Всемирный день книги и авторского права

23 апреля отмечается Всемирный день книги и авторского права (World Book and Copyright Day).

Праздник отмечается с 1995 года по инициативе ЮНЕСКО. Дата выбрана не случайно. В этот день в далёком 1616 году умерли сразу три известных писателя:

Уильям Шекспир,
Мигель де Сервантес,
Инка Гарсиласо де ла Вега.

И хотя на самом деле, есть некоторые вопросы по корректности совпадения указанных дат, всё же магию цифр видеть более приятно, чем опровергать её.

Настоящие айтишники тоже любят книги, и уж точно много читают, пусть даже носители информации будут различными.

Мы на канале "Время IT" придерживаемся старомодной позиции, что книга – источник знаний и актуальна во все времена, а потому поздравляем всех любящих читать с этим праздником.

#новости Открыть/Комментировать

2022-04-21 10:15:00 ​Про 2FA, 2SV и MFA

Есть мнение, что айтишники разговаривают на птичьем языке. Отчасти, это так. И сегодняшнее название поста свидетельствует в пользу этой теории.

Но раз уж мы обсуждаем многофакторную аутентификацию (MFA), то стоит сказать несколько слов и про другие часто встречающиеся в данном контексте "птичьи" аббревиатуры.

Напомним, что согласно общепринятому представлению, существует три основных группы факторов аутентификации:

фактор знания (что-то, что вам известно, англ. knowledge factor);
фактор обладания (что-то, что вы имеете, англ. possession factor);
фактор неотъемлемости (кем вы являетесь, англ. inherence factor).

Если при аутентификации используются два фактора из разных групп, то такая аутентификация называется двухфакторной (англ. Two-Factor Authentication, 2FA).

Примеры 2FA:
пароль + отпечаток пальца,
аппаратный токен + пин-код,
распознавание лица + одноразовый код и т.д.

Существует ещё термин "двухшаговая верификация" (англ. Two-Step Verification, 2SV), он означает наличие двух проверок при прохождении аутентификации, но эти проверки могут быть и из одной группы факторов, например, два раза нужно ввести [разные] пароли.

Многофакторная аутентификация (MFA) – это аутентификация по двум или более факторам из разных групп.

Часто для иллюстрации факторов аутентификации приводят аналогию с несколькими замками на входной двери. Каждой фактор – отдельный замок. Чем больше замков на двери, тем надёжнее защита и меньше шансов для нелегального проникновения.

Интересно, что даже среди экспертов не всегда есть единое мнение относительно проведения границы между 2SV и 2FA.

Чаще всего споры идут вокруг комбинации "пароль + одноразовый код, высылаемый на смартфон".

Одни говорят, что эта комбинация – 2FA, потому что в ней используется фактор знания (пароль) и фактор обладания (смартфон).

Другие относят эту комбинацию к 2SV и считают оба элемента (и пароль, и код) факторами знания.

Как бы то ни было, можно утверждать следующее:

любая 2FA является одновременно и 2SV, обратное неверно;
любая 2FA является также и MFA, обратное неверно, т.к. MFA включает в себя 2FA в качестве подмножества;
любой из описанных вариантов (2SV, 2FA, MFA) является более предпочтительным, чем SFA (однофакторная аутентификация, англ. Single-Factor Authentication).

Группа "Фактор 2" вышла из чата

#ИБ #термин Открыть/Комментировать

2022-04-18 21:15:00 Про усталость от MFA

Обнаружился пост на ту же тему, о которой говорили выше. В нём используется несколько иной термин для наименования атаки: MFA Fatigue Attack (от англ. fatigue – усталость, утомление).

Смысл атаки ровно тот же: "замучить" (утомить) пользователя постоянными запросами на аутентификацию, прилетающими в виде push-уведомлений (Push Notification Spamming).

Приводится даже небольшой ролик, демонстрирующий как эти уведомления приходят на телефон потенциальной жертвы.

Пользователь некоторое время стойко их отклоняет (Deny), но в какой-то момент всё же сдаётся (Approve).

В качестве борьбы с этой напастью предлагается гениальное по своей простоте решение (на примере Microsoft Office 365) – настроить ограничение по количеству запросов на аутентификацию.

Если лимит таких запросов будет превышен, то отправка push на какое-то время блокируется.

#ИБ #термин Открыть/Комментировать

2022-04-15 18:45:00 ​Про атаки на MFA

Многофакторная аутентификация (англ. Multi-Factor Authentication, MFA) - это сегодня уже базовая рекомендация по защите учётных записей пользователей.

Несомненно, наличие MFA повышает уровень защищённости аккаунта от взлома. Однако существуют атаки даже против MFA, которые при некоторых обстоятельствах могут быть весьма успешны.

Одна из таких атак называется "бомбардировка запросами МФА" (MFA Prompt Bombing) и, де-факто, представляет собой один из методов социальной инженерии.

Именно такой тип атаки использовался, например, ставшей широко известной в последнее время хакерской группой Lapsus$ при взломе корпоративных аккаунтов в Microsoft.

Вектор атаки достаточно прост и направлен на не самые стойкие варианты реализации MFA, такие как принятие (accept) пользователем push-уведомления на телефоне или приём входящего звонка с нажатием определённой клавиши в качестве выполнения второго фактора аутентификации.

При проведении атаки в распоряжении злоумышленника должны быть логин и пароль пользователя (например, полученные из многочисленных баз утечек учётных данных).

После ввода логина и пароля атакующий предпринимает попытки "бомбардировки" легитимного пользователя звонками на его номер или отправкой push-уведомлений.

При этом есть немалый шанс, что пользователь в какой-то момент нажмёт нужную кнопку на своём гаджете или примет push, подтвердив тем самым второй фактор проверки, то есть непреднамеренно завершит аутентификацию злоумышленника под своими учётными данными.

Исследователи отмечают, что подобные атаки могут иметь наибольшую вероятность успеха в следующих случаях:

Отправка атакующим серии MFA-запросов в надежде, что жертва атаки в конечном счёте примет один из них, хотя бы для прекращения нежелательного "шума".

Отправка одного-двух MFA-запросов в день, чтобы не привлекать много внимания к атаке. Этот метод тоже даёт неплохие шансы на принятие (и одобрение) поступившего запроса жертвой.

Совершение голосовых звонков на устройство жертвы от имени сотрудника ИТ- или ИБ-службы его компании с просьбой принять MFA-запрос в рамках якобы проводимых корпоративных мероприятий по усилению защитных мер.

В общем, MFA-защиту тоже пытаются ломать, и иногда небезуспешно. Но, как бы то ни было, наличие механизмов MFA при любых обстоятельствах лучше, чем их отсутствие.

#ИБ #термин Открыть/Комментировать

2022-04-12 16:15:01 ​С Днём космонавтики

Сегодня отмечается 61-я годовщина космического полёта Юрия Гагарина на корабле "Восток-1".

А ещё в этот же день, но 20 лет спустя (12 апреля 1981 года), был осуществлён запуск первого пилотируемого космического челнока многоразового использования "Коламбия", известного также как STS-1 (англ. Space Transportation System-1), на борту которого находились авиационные компьютеры IBM System/4 Pi.

Кстати говоря, данное совпадение дат – случайность.

По плану "Коламбия" должна была стартовать на два дня раньше, но в ходе подготовки к запуску была выявлена ошибка в оборудовании.

Проблема заключалась в рассинхронизации времени на одном из четырёх IBM System/4 Pi, установленных на борту шатла.

Для устранения этой проблемы пришлось готовить исправление программного обеспечения, из-за чего запуск отложили до 12 апреля.

#история Открыть/Комментировать

2022-04-08 10:45:00 ​Как проводят технические интервью в GitHub

Недавно мы рассуждали об актуальных практиках подбора IT-специалистов.

Если вам интересна эта тема, рекомендуем почитать про методику проведения технических интервью командой GitHub. Соответствующий пост недавно опубликован в их блоге.

"Мы считаем, наши технические интервью должны быть максимально близки к повседневной работе в GitHub. Это означает:
Написание кода на GitHub и направление запросов на принятие изменений (pull request).
Использование вашего любимого редактора, операционной системы и инструментов разработки.
Использование интернета для поиска документации и помощи.
Наличие ограничений по времени"

Выглядит очень разумно и понятно для каждой из сторон.

Соискателю предлагается начать процесс путём подключения к специально созданному для этих целей боту (Interview-bot), при этом есть возможность выбрать на каком языке программирования будут выполняться задания.

Задания имеют ограничения по времени на выполнение.

Для каждого кандидата создается отдельный репозиторий, в который копируются его задания. Соискатель получает доступ к этому репозиторию и выполняет задания в своем любимом редакторе кода, на любой удобной платформе.

По завершению работы над задачей необходимо сделать запрос на принятие изменений (pull request).

Любопытно, что этот запрос проходит предварительную процедуру анонимизации в интервью-боте, поэтому проверяющий не знает, кто именно из кандидатов прислал данный реквест.

После проверки задания кандидату отправляется информация о принятии его решения либо запрос на исправление ошибок.

Общая схема взаимодействия представлена на рисунке. Открыть/Комментировать

2022-04-04 16:45:00 ​Сегодня 4 апреля

4.04 в некоторых странах отмечается День Интернета.

Согласно википедии празднование приурочено дню преставления (смерти) святого Исидора Севильского, покровителя учеников и студентов, создавшего первую в истории энциклопедию «Etymologiae» в 20 томах. Также дата 4.04 очень похожа на ошибку HTTP 404. В 1998 году католическая церковь признала всемирную сеть сокровищницей человеческого знания.

Есть ещё одно событие, случившееся также 4-го апреля.

В этот день в 1975 году (47 лет назад) двое приятелей по школе Лейксайд из Сиэтла (Lakeside School in Seattle) Билл Гейтс (Bill Gates) и Пол Аллен (Paul Allen) решили стать партнёрами в новом стартапе, который несколько позже назвали Micro-soft, от английских слов microcomputer и software, то есть "программное обеспечение для микрокомпьютеров".

На момент создания указанного партнёрства Аллену было 22 года, а Гейтсу – 19.

Надо признать, эти парни очень тонко уловили наступление эры персональных [микро]компьютеров и в относительно короткие сроки выросли в огромную корпорацию.

Но вот с Windows 11 у них пока что-то не всё ладно выходит.

#история Открыть/Комментировать

2022-04-03 19:45:00 ​Про текущие реалии подбора IT персонала

Глобализация, трудовая миграция, массовый переход на удалённую работу. Эти явления хоть и не новы, но получили мощный дополнительный импульс за период пандемии. Разумеется, они актуальны и в отношении IT-специалистов.

Одной из самых нетривиальных задач для работодателя при поиске айтишников всегда являлась не только оценка уровня их знаний, но и профессионального опыта, особенно для "технических" вакансий: программистов, администраторов, специалистов по тестированию и прочих инженеров.

В былые времена соискателям кроме предметных вопросов по теории часто предлагали какие-нибудь каверзные задачи на логику или, наоборот, на "творческий подход". Это были попытки оценить навыки кандидата по выбору направления поиска решения, скорости такого выбора, умению выстраивать причинно-следственные связи, мыслить нестандартно и т.д.

Вероятно, каждому из нас встречались какие-нибудь "загадки для собеседований от Стива Джобса/Билла Гейтса/Илона Маска/другого крутого чувака". Насколько правдивы эти истории – вопрос отдельный, но само явление "хитроумной задачи от авторитетного босса" вполне показательно и под сомнение обычно не ставится.

А как сегодня обстоит дело с подбором технических специалистов?

Представители многих IT-компаний по всему миру сообщали СМИ, что их разработчики крайне неохотно возвращаются в офис после снятия ковидных ограничений, некоторые предпочитают уволиться.

Более того, даже уволившись, большинство условных программистов больше не хотят посещать офис не только на ежедневной основе, но даже однократно – для прохождения интервью с целью нового трудоустройства.

Все это логичным образом привело к росту количества онлайн-площадок для подбора IT-персонала и проведения технических интервью.

Каковы ключевые преимущества таких площадок?

Для работодателей:
наличие встроенной среды для решения тестовых задач (написания и исполнения кода) в режиме онлайн на разных языках программирования;
выявление плагиата (скопированных решений);
возможность ранжирования резюме соискателей на основании предварительно выполненных ими тестов;
возможность проведения видео-интервью онлайн и/или поэтапного отбора кандидатов по результатам выполнения ими «домашних заданий».

Для соискателей:
возможность проходить интервью для трудоустройства в любой точке мира без необходимости покидать любимое кресло;
возможность проверки (и прокачки) своих знаний на тестовых задачах;
снижение вероятности предвзятого отношения со стороны нанимателя.

Таким образом, если сегодня вы на регулярной основе занимаетесь рекрутингом IT-специалистов, то вам не обойтись без регистрации корпоративного аккаунта на онлайн-платформе по подбору и тестированию кандидатов.

На большинстве таких платформ есть возможность бесплатного ознакомительного доступа, так что выбрать вариант, наиболее подходящий для ваших нужд, не составит большого труда.

А если вы профессиональный разработчик, QA-специалист, администратор баз данных, etc и находитесь в поиске работы, то вам может быть полезно завести аккаунты на подобных платформах и прокачивать там свой рейтинг, выполняя тестовые задания и повышая шансы на получение приглашения на интервью.

Конкретных рекомендаций по выбору платформы приводить не будем, вы легко найдете информацию о них по соответствующему запросу в вашем любимом поисковике.

#мысли Открыть/Комментировать

2022-04-01 18:45:00 Про спамеров и надоедливые рассылки

На дворе первое апреля. Сегодня отмечается День смеха. Он же День дурака (April Fool’s Day), как его называют англоговорящие граждане.

А ещё сегодня празднует день рождения английский комик Джеймс Витч (James Veitch). Этот парень известен рассказами про переписки со спамерами и что из этого выходит.

Правдивые это истории или нет, решать вам, но получаются они у него очень забавными.

Рискнём порекомендовать к просмотру несколько его видео с конференций TED:

Про письмо о золоте (русский перевод)
Про письмо об алмазах (русский перевод)
Про нежелательную рассылку (на английском, но можно включить субтитры и настроить их перевод).

#юмор Открыть/Комментировать