.и в продакшен

2022-07-22 14:34:43 Я тут случайно взломал французского сотового оператора.

Ну как "взломал". Не взломал конечно. Просто замаскировал использование "personal hotspot", он же "tethering", он же "data sharing". Оказалось что в Европе многие операторы его запрещают и даже блокируют.

Это когда в телефоне безлимитный и быстрый интернет, а подключаешь ноутбук через hotspot - нету.

Оказалось, что это обходится за 30 секунд и 6 кликов мышкой. Но это если знать. Я - не знал.

Началось с того, что я приехал с велосипедом в Альпы и случайно забукал Airbnb без WiFi. Полное фиаско. Ладно, за 15 секунд нагуглился eSim-провайдер "Holafly", предлагающий безлимитный интернет по всей Европе за 19 евро в неделю. Звучит неплохо. Берем.

...И hotspot через мобилу, конечно же, не работает. Для верности позвонил в поддержку - да, нельзя, "у нас там внизу мелкими серыми буквами написано, что дата-шаринг запрещен, вы разве не читали?!"

"D'accord" говорю "merci bien". Про себя конечно думаю "ну все, суки, вам кабзда"

Let the hacking begin.

Как мобильный оператор детектит tethering? Через DPI и фингерпринтинг TCP/IP-стека.

Через DPI можно вытащить много чего. Если ваш "айфон" вдруг ломится на сервера Windows Update, это вряд ли айфон, правда? Или можно подсмотреть user-agent браузера (для не-SSL сайтов). И тд и тп. Это все решается любым VPN и защитой от DNS-leak. И то и другое есть в бесплатном приложении "1.1.1.1" от CloudFlare. Ставлю его на телефон и весь DPI должен отвалиться.

Пробую - все равно не работает.

Дальше надо прочекать, что оператор выдает один и тот же APN для мобильной связи и для "personal hotspot". Идем в "Settings - Mobile data - Data plan - Mobile data network" и проверяем, что APN в обоих полях одинаковый. Если не совпадает - меняем.

Не помогло.

Каким-то чудом я вспоминаю, что у винды TTL пакета 128, а у линукса и айфона - 64 (я ненастоящий сетевик, могу перепутать). Может быть, они мою винду видят по TTL? Лезу в реестр, ставлю 64, перегружаю комп...

Все равно не работает.

Тут я ненадолго затупил и даже встал походить по комнате. Чувствую, что победа близко, но чего-то не хватает. Через 5 минут сообразил, что TTL уменьшается на единичку на каждом роутере. То есть, когда сетевые пакеты от ноутбука проходят сквозь айфон, TTL меняется с 64 на 63. Бинго. Надо ставить 65.

Поставил. Заработало. 100-мегабитный 4G, детка.

В первый же день каталки я растянул связки ключицы, попал в больницу и потом два дня сидел в квартире, приходя в сознание. Ох, как же я отомстил провайдеру за "мелкие серые буквы внизу страницы" за эти пару дней! В одном окошке нетфликс, в другом кинопаб, в третьем качается апдейт для Visual Studio 2022, а в блютус-колонке играет спотифай. Посреди этого орущего великолепия - я на диване, с шиной на плече, читаю Телегу на раскаленном телефоне.

Итого TL:DR: чтобы спрятать "personal hostpot" ставим на телефон VPN, а на компе меняем TTL на "65" (легко гуглится).

P.S. На четвертый день этой вакханалии оператор включил мне лимит 10гб в день. Открыть/Комментировать

2022-04-26 19:27:27 Последний наш российский сотрудник долго жевал сопли собирался, но, наконец, релоцировался. Все, наше 15-летнее присутствие в РФ официально закончилось. Ушла, блин, эпоха.

"Да куда я" - говорит - "поеду? Вон даже на границе всех тормозят. Стремно как-то. Ипотека, опять же..."

"Не ссы" - говорю ему - "тебя точно не тронут!"

И в аэропорту его, конечно, завернули на двухчасовой допрос.

Отвели в комнату с железным столом, двумя стульями и посадили ждать. Он, к счастью, вовремя вспомнил, что лучшая тактика в пустом КГБшном кабинете - подремать. Прямо как у Довлатова:

"Оставшись в пустом кабинете, допрашиваемые страшно нервничали. Неизвестность пугала их больше, чем любые угрозы. Люди начинали анализировать свое поведение. Лихорадочно придумывать спасительные ходы <...> Генерал возвратился минут через сорок. То, что он увидел, поразило его: Эрик Буш мирно спал на кипе протоколов"

Потом пришел офицер с вопросами. "Кем работаете?", "цель поездки точно отдых?" "а где тогда обратный билет?"

И почему-то "что вы думаете про Америку?"

Дальше самое смешное. Он заранее почистил в телефоне Телеграм и Слак, но на допросе внезапно потребовали открыть макбук.

- "А как в Сафари смотреть историю?" спросил офицер.
- "Подвиньтесь, я вам покажу" зачем-то предложил наш парень.

Сели вместе читать. Первая же страница - та-дам! - сайт Навального.

- "Ты что, против Путина?" поинтересовался офицер.
- "Ээммммммнет?..." твердо отрезал наш.

Продолжили чтение. Следующим сайтом оказался сбор подписей за импичмент Путина.

Переглянулись.

(заиграла тревожная музыка)

"Да я" - рассказывал он потом, - "макбук этот блядский два года не открывал! Работаю на десктопе. Вот и не стал чистить ничего. Да и сафари я вообще не пользуюсь, Хром же!!"

Но импичмент офицера неожиданно успокоил. Видимо что-то щелкнуло и встало на свои места. Парню прочитали лекцию, помучили еще какими-то вопросами и отпустили. А наша микроскопическая команда увидела в Слаке "расслабьтесь, сижу в самолете".

В общем, fly safe. Приезжайте в аэропорты заранее. Открыть/Комментировать

2022-03-07 13:53:30 125-я инструкция "как сделать свой впн"

1. арендуем сервер

2. запускаем на нем ОДНУ КОМАНДУ
curl -L https://install.pivpn.io | bash

3. все

Сервер готов. Это самый простой скрипт, что я нашел. Он сам поставит все apt-пакеты, wireguard-сервер и тд,

Если вы уже уехали и вам надо что-то доделать на российских сайтах (многие банки, визовые центры, сайты налоговой, госуслуг перестали работать из-за границы), то арендуем сервер у selectel (вот этот за 170 руб в месяц)

Если вы почему-то все еще не уехали и надо обходить блокировки - тогда все то же самое, но сервер арендуем у AWS Lighsail например. 3.5 бакса в месяц. Или Hetzner. Или где угодно.

Если лень кликать в панели AWS, то можно использовать вот эту замечательную штуку https://github.com/trailofbits/algo просто даешь ей ключ доступа в AWS/DO/Azure/Hetzner/GCP и она сама поднимает там сервер, все на нем настроит и тд.

—

Дальше на все устройства ставим WireGuard-клиент (он есть под все - под iOS, под винду, под что угодно ) и добавляем туда профиль - .conf файл который вам сгенерил впн-сервер. Чтобы добавить файл в iOS придется поизвращаться - там же типа нет "файлов". Включайте креатив. Можно например закинуть в google drive или дропбокс, а оттуда сохранить в iOS приложение "Files".


UPD:
если кред. карта все еще работает (обещали что будут работаьт до 10 марта), AWS и Hetzner можно оплатить "вперед". Если карта уже не работает - можно выпустить виртуальную карту binance (криптообменник), либо завести вирт. карту в платежной системе, где все еще принимают россиян и есть пополнение криптой. Google Cloud, говорят, можно оплатить через реселлера softline. А AWS можно пополнять через панель того же selectel. Ну и плюс появляются сервисы вроде https://cheatpay.ru/ (не проверял) Плюс, у того же selectel есть сервера в Узбекистане и в Нидерландах Открыть/Комментировать

2022-02-06 13:08:04 Меня тут спросили, за сколько в 2022 году можно продать маленький работающий стартап. Я допросил всех, до кого смог дотянуться, выяснил подробности у дружественного фонда, полистал твиттеры знакомых брокеров и вот что вышло:

SaaS с выручкой до $2млн в год: 4x-6x от годового кешфлоу.

SaaS с выручкой выше $2млн в год: 6x-12x

E-commerce: 3x-6x

Контент: 2х-4х

Речь про американский рынок. Выборка - примерно 1300 сделок за 2021 год.

Годовой кеш считают через SDE = "seller's discretionary earnings", т.е. прибыль до налогов плюс зарплаты фаундеров.

В общем, если SaaS генерирует $4млн/год в ваш карман, инкорпорирован в нормальной стране, а "бас фактор" фаундера сведён к минимуму (т.е. тебя сбивает автобус, а все продолжает работать), можно постараться и продать его за 40.

--

UPD по вопросам из комментов: если прибыли нет - смотрят на выручку, на хайповость ниши и на growth rate. Но такие стартапы не покупают, в них инвестируют. Открыть/Комментировать

2022-01-09 00:04:53 Знаете, почему флаг компиляции в 64-бита называется "amd64"? Откуда вдруг "amd"?

Потому, что когда пришло время перехода на 64бита, умные дядьки из Интел научно заботали и придумали архитектуру Intel 64 "Itanium". С нуля. Новый, логичный стандарт, где все красиво.

Правда, набор инструкций был абсолютно новый и все старые программы нахер сломались. Тогда пришел AMD и сказал, "мы тут сварганили уродливый хак поверх x86 ISA, оно типа 64, но зато типа и нет, и ваш старый 32-битный код будет просто работать". И конечно вынесли весь рынок.

И правильно сделали. А слово "Itanium" не помнят даже деды вроде меня.

Я все жду, когда появится такой "amd" для протокола IPv6. На который человечество пытается безуспешно перейти уже лет... 500?

С другой стороны, именно такие "хаки" - та причина, почему с технологиями все так ужасно.

Мы живем в мире костылей, ставших стандартами. В мире, где про то, "как в вебе выровнять что-то по вертикали" написаны аж целые книги. Где на переход с HTTP/1 на HTTP/2 ушло 20 лет. В мире где "chucknorris" - это красный цвет.

Подведите к HTML-коду далекого от программирования человека и спросите "как думаешь, каким тегом делаются линки в документах?" и он такой "ну может быть ?"

"А вот хуй тебе!", победно крикнете вы. Нужен тег ! Потому что /вставить нудное и душное историческое объяснение/

В такие моменты я реально рад, что мне 40. Я тупо был свидетелем изобретения всех этих костылей. Иначе запомнить это говно решительно невозможно.

Или вот, например, емейл. Классная штука. Уже 40 лет живет. Открытый стандарт. Знаю адрес человека - могу ему написать. Бесплатно. Но вот end-2-end шифрования в емейле - нету. Воу-воу-воу, стойте, я не про эту вашу ебаторию с PGP/GPG, публичными ключами и прочими геморроем на три дня. А вот просто - хобана - и весь емейл в мире с завтрашнего дня зашифрован. Нету же.

"Зашифрованный емейл" в наше время - это отправить zip с паролем.

В общем, все плохо и никто нам не поможет.

К чему я это все. Фаундер мессенджера Signal разродился большим постом, почему web3 - херня. Вот прямо из моей головы взял. Даже про емейл-шифрование написал, умница. Почитайте.

591 viewsedited  21:04

Открыть/Комментировать

2021-11-23 23:21:33 Самат ( ) позвал и допросил в своем подкасте венчурного инвестора и... я не могу это спокойно слушать.

Раз в пять минут приходилось выключать звук и орать "бляяяя" на весь пляж (я живу в глуши и бегаю по ночам вдоль холодного, серого, штормового моря, don't get too excited).

Все интервью пронизано красной линией "фаундеры идут на поклон к инвесторам".

Мол, это мы, фаундеры, должны заинтересовать инвестора питчем из трех предложений. Это мы, фаундеры, должны искать инвесторов в соц.сетях и осторожно писать им в личку. Это мы должны развивать софт-скиллы, знакомиться, строить нетворк и просить других, уже проинвестировнных фаундеров, порекомендовать нас фонду.

ДА СХУЯЛИ

Российские vc живут в каком-то выдуманном мире 10-летней давности.

Сейчас невиданный переизбыток свободных денег, в том числе из-за рекордных размеров ковидных вбросов в экономику. У всех vc- и private equity-фондов адски горит пукан, куда бы вложить деньги своих LP. Настолько, что половина фондов уже тупо пуляет деньги в крипту.

На рынке VC происходит та же история, что и в ИТ-найме. Когда-то давно это был рынок работодателя, на котором все мы "искали работу". А теперь - это рынок кандидата, где HR-ы изо всех сил бегают за разработчиками.

В общем, это ВЫ, дорогие инвесторы, пожалуйста ищите нас фаундеров в соцсетях. ВЫ делайте нетворкинг и холодный питч. ВЫ ищите выходы на перспективные команды и рыскайте по кранчбейзу в поисках, во что бы такое вложиться.

А мы, фаундеры, будем сидеть, развалившись, на диване и выбирать среди вас самую красивую.

Тут возникает резонный вопрос - но ведь как-то же надо попасть к инвесторам "на радар"? Что делать, чтобы меня нашли?

Сюрприз - заниматься маркетингом своего классного продукта. Это все равно придется делать, даже когда вам дадут инвестиции. Взаимодействие с прессой, PPC, SEO, сейлз - все эти скучные занятия вам ой как предстоят, даже после раунда на стопицот миллионов. Вот и займитесь этим заранее.

А там, глядишь, пойдут клиенты... Образуется какой-то traction, а может и выручка, а может и прибыль, а может и вуа-ля - и инвесторы-то уже не нужны? Может у вас и без них 8-значная годовая выручка в долларах?

И вот тут наступает вообще самый-самый sweet spot. Можно забыть про "инвесторов" и спокойно зарабатывать деньги. А в почте настроить фильтр: если в письме есть слова "vc" "equity" "m&a" и прочее "non-dilutive funding options" - сразу в спам, идите пожалуйста нахер. Я так и сделал, очень удобно.

Классная есть поговорка "the best time to sell is when you don't need to sell", так и с инвестициями то же самое. The best time to raise is when you don't need to raise. Открыть/Комментировать

2021-11-16 22:29:33 Обожаю "Fork", очень удобный GUI-клиент для git.

Самое крутое в нем, конечно, то, что программу пилит семейная пара indie-разработчиков. Причем "наших" разработчиков - Данила и Таня Приступовы, живущие в Праге. Раньше они кодили проект в свободное время, а теперь уволились и развивают его фуллтайм. Такой вот семейный bootstrapped стартап - милота.

Но и без этого клиент прямо классный, не зря он регулярно вылезает в топы Hacker News. Быстрее, проще и удобнее всяких ГитКракенов, SourceTree, Tower и т.д.

И конечно всегда приятно увидеть хоть что-то кроссплатформенное не на долбанном электроне

Гит-гуй нужен нечасто, но когда нужен, Форк - топ. Мой любимый use case - стейджить файлы "по кусочкам". Старый добрый git add -p конечно работает, но скроллить диффы в терминале - это не для меня. Или вот интерактивный rebase, как верно подсказали в комментах.

P.S. это ни разу не реклама и вообще там есть бесплатная версия. Она раз в месяц робко напоминает, что "меня ваще-то можно купить". Открыть/Комментировать

2021-11-12 19:54:57 Извините, воспользуюсь каналом в личных целях. У нас вакансия. Мы ищем фуллтайм тех.саппортера (-ршу) на удаленку, с отличным английским, отвечать на тикеты клиентов.

Для тех кто на этом месте поморщился - мы не смотрим на саппорт свысока, мы не считаем их людьми второго сорта, мы платим им как полноценным разработчикам, уважаем и слушаемся.

Примеры тикетов

—

КЛИЕНТ: "Хочу инвойс"

ВЫ: "Клик-клик, вот инвойс"

ВЫ (в слэке): "Меня бесит генерить долбаные инвойсы, запилите клиентам кнопку!"

—

КЛИЕНТ: "Я хочу фичу Х розового цвета"

ВЫ: "А что вы пытаетесь сделать? ааа, так это уже есть! вон там"

ВЫ (в слэке): "Вашу дурацкую фичу опять никто не может найти"

—

КЛИЕНТ: "Селф-хостед приложение на IIS за nginx-прокси выдает ошибку [текст ошибки] после апгрейда с версии Х на Y"

ВЫ: "Смотрю исходный код, судя по коллстеку на вашем виндовс-сервере нужно обновить .net core hosting bundle"

ИЛИ: "Похоже баг, клик-клик, я завела issue в беклоге, скоро починим"

ИЛИ: "Ой, ничего не понятно, щас позову кого-нибудь"

—

КЛИЕНТ: ...a.....1....0LHQu9GP0YI=

ВЫ (в слэке): "АЛО, ПРОД УПАЛ, где все?!!"

—

ВЫ (в слэке): У меня важное свидание с парнем/девушкой, меня завтра нет

МЫ: Ок

__

Большинство наших клиентов - в Штатах и ЕС поэтому желательно (но не обязательно) быть "поближе" к западным таймзонам. Команда русскоговорящая, все в разных странах, но все в UTC+1 плюс-минус.

Начальная вилка 1000-2500 Евро в зависимости от тех. знаний. У нас есть плюшки и нет зум-созвонов и митингов. Наш стек - ASPNETCore + SQL Server. Есть клиенты и из мира линух, и виндовс. Последних к сожалению много, поэтому нужно отдаленно понимать, что такое "windows-integrated авторизация" или "AD домен". Это нужно редко, но нужно... Впрочем, такому "айти" мы научим, главное хоть какой-то опыт в саппорте, свободный английский, софты и выдержка )) Плюс умение грамотно выражать мысли в письменном виде. Как говорится, Clear writing == Clear thinking

Вакансию я пока никуда не выкладывал, пусть тут повисит. Если вам понятны и комфортны все слова в примере тикета №3, шлите резюме в телеге @jitbit

UPD: в РФ у нас нет юридического лица. Но мы вместе придумаем как все официально оформить, опыт есть.

UPD2: уточню еще раз: речь о фуллтайм-занятости, не о фрилансе Открыть/Комментировать

2021-10-29 20:47:50 Когда кто-то начинает спорить "чем UX-дизайн отличается от UI-дизайна", я всегда вспоминаю крутую историю про дропдаун-меню Амазона.

Вы наверняка замечали каскадные меню, которые исчезают, если "неправильно" провести по ним мышкой. Вот так. Бесит же.

Обычно с этим борются задержкой/debounce. Но глаз замечает задержку и это раздражает.

Амазон, у которого тогда был здоровенный дропдаун категорий товаров, решил проблему по другому. Скрипт следит за курсором и если "маршрут" мышки проходит внутри вот такого треугольника - правое меню не сбрасывается.

В результате дропдаун летает и не пропадает. Ничего другого от Амазона и не ждали: именно Амазон еще в 2006 году сделал знаменитое открытие, что каждые 100ms задержки роняют им выручку на 1%. Я уверен, что каждый пиксель на их, казалось бы, уродливой главной странице - на самом деле АБ-тестирован и оптимизирован до абсурда.


P.S. Я не могу понять, почему тот же самый Амазон сделал абсолютно дибильную панель AWS аж с тремя скроллбарами. Вот вам два разных отношения к дизайну - там где он влияет на выручку, и там где не очень.

P.P.S вот оригинал истории с исходниками, кому интересно Открыть/Комментировать

2021-10-25 11:18:13 Гугл поймали на таком количестве гадостей, манипуляций и просто нарушений закона, что волосы шевелятся.

Если кто пропустил, сразу 13 штатов подали в суд на Гугл. Разборка будет проходить в суде южного округа штата Нью-Йорк (привет сериалу "Billions") и вчера в сеть выложили неотцензурированный текст иска. Хотя адвокаты Гугла оооочень старались этого не допустить, но судья решил иначе.

Там от каждого абзаца челюсть выпадает.

Гугл манипулирует ценами на рекламу через подставных покупателей, подставных продавцов и подставные биржи. В гугле есть целый отдел gTrade, который занимается только этими манипуляциями.

Гугл вступил в сговор с Facebook ("проект Blue Jedi") чтобы, в числе прочего, бороться с последними фичами Apple по блокировке трекинга на айфонах. Самое смешное, что в документах есть целый раздел, как Гугл и Фейсбук должны друг друга выгораживать, если афера вдруг вскроется.

Гугл искусственно завышает AMP-страницы в результатах новостного поиска (AMP это проприетарный гугловый CDN). А также специально замедляет "не-AMP" страницы на 1 секунду (!), чтобы доказать, что "AMP работает быстрее" - все это чтобы заманить паблишеров на формат AMP, в котором они отсекают показы других рекламных сетей.

Гугл через лоббистов пытается всячески замедлить или саботировать принятие любых законов, направленных на защиту прайваси.

Гугл Хром, в котором нельзя вырубить гугл-логин - это часть долгосрочного "проекта NERA" по осознанному и постепенному захвату контроля над Интернетом. Прямо так и пишут во внутренних документах.

Гугл постоянно вступает в переговоры с MS, Apple и Facebook, как только те запускают прайваси-фишки, пытаясь давлением и уговорами этого не допустить.

И прочая жесть.

Сам я уже года четыре не пользуюсь Хромом, а два года назад мы убрали с сайтов Гугл-аналитику и переехали на селф-хостед гугл-фонты (да, через них тоже трекают). Чего и вам советую. Единственное, с чего никак не получается слезть - это gmail :(

(кстати о кэнселлинге Хрома. Я честно пытался в FF, но если ты хоть немного фронт - это ад. Дебаг кривой, сорсы не подгружаются, де-минимизация не работает, а степ-бай-степ перескакивает через строки. Да и кого мы обманываем, все равно придется тестить в хромиуме. Пару лет назад я попробовал MS Edge на маке, да так и остался. Быстрее хрома, совместим с экстеншенами, вертикальные табы ... А главное, кому еще доверить аудит кода корпорации зла - как не другой корпорации зла?)

P.S. кому интересны подробности, твит-стормы и прочие новости по теме - просто гляньте HN-поиск по "google" за неделю

P.P.S. не мог не обратить внимания, что большинство подавших иск штатов - это "красные", республиканские, традиционно консервативные штаты. Техас, Монтана, Аляска, Арканзас, Кентаки, Айдахо и тд. Это не значит что "республиканцы хорошие". Это значит, что политическая конкуренция (в обе стороны) - это очень круто. Открыть/Комментировать