Интервью с Дмитрием Бородиным, одним из трёх основателей компании Topface. О том как зарождался проект и каким по счету проектом он был. Об архитектуре и разработке крупного масштабируемого проекта и мастер-классе на Devconf. На какие два типа делятся программисты.

Мастер-класс Дмитрия на DevConf 2015 пройдет 20 июня

Ранее мы рассказывали об одном из наших кейсов, в рамках которого проект Hotels.ru воспользовался IaaS-инфраструктурой для масштабирования нагруженного веб-проекта.

Сегодня мы решили продолжить рассмотрение вопросов практического применения виртуальной инфраструктуры на примере мнений представителей российского ИТ-сектора.

Интро

Не так давно я выступал на конференции FrontendConf 2015 (РИТ++) с темой данной статьи. И при подготовке доклада начал искать информацию, а кто вообще выступал на данную тему и что есть в Сети на данный момент.

Оказалось, что информации совсем немного, более-менее можно было бы отметить доклад mikewest.org/2013/09/frontend-security-frontendconf-2013 от Mike West из компании Google, но какой-то «непентестерский» взгляд и уж совсем мало материала. И www.slideshare.net/eoftedal/web-application-security-in-front-end где тема раскрыта более детально, но выступление 2011 года. А за 4 года технологии и атаки на месте не стояли.

Долго и сложно выбирая темы, что же все-таки рассказать разработчикам фронтендов про безопасность, при этом минимум касаясь бекэнда (местами все-таки это неделимо), получился доклад, а здесь — его текстовый пересказ.

О чем вообще разговор?

А действительно, о чем тут вообще можно разговаривать? Говоря про взломы и безопасность невольно приходят в голову тезисы — слили базу, получили доступ к выполнению команд ОС на сервере, прочитали чужую переписку. Но это все — server side код. А что ж может «нагородить» фронтэндер? Главная опасность, конечно же, в обходе атакующим SOP — Same Origin Policy, главной политики безопасности браузеров, которая регулирует работу в разных Origin. Но не только, давайте разбираться.

Возвращаюсь в очередной раз из командировки в Гонконг и Шеньжень. 10 часов полета. Скучно. Вспомнилось, как я летел туда в первый раз несколько лет назад… Первое в жизни посещение ЮВА. Апрельские выставки электроники в Гонконге, потом выставка в Гуаньджоу, потом посещение 12 фабрик в Шеньжене. Насыщенная выдалась поездка. Благо, что мне помогли хорошие люди и я вляпался всего лишь в одну небольшую неприятность. Но вот денег я потратил гораздо больше, чем нужно, потому что очень многого не знал.
Вот и захотелось мне, имея в полете кучу свободного времени, написать эту статью — как наиболее эффективно потратить время и деньги (летаю я исключительно на свои, так что оптимизация затрат рулит), чтобы посетить Гонконг, посмотреть сразу две весьма интересные выставки электроники и получить массу положительных впечатлений. Конечно, я далеко не первый в мире эксперт по Гонконгу, т.к. бывал там в общей сложности только раз 15. Есть куда более опытные люди. Но, по-моему, никто из них еще не написал статью на Хабре, а до апреля (и, соответственно, выставок), осталось не так уж и много времени. С другой стороны, полтора десятка посещений — не так уж и мало, я люблю и нелохо знаю этот город, плюс я получаю много информации из первых рук: мой партнер с семьей живет в Гонконге уже больше 10 лет, а мой очень хороший приятель работает там по контракту 3.5 года, его жена — лицензированный гид по Гонконгу. В общем, сильно налажать с советами я не должен, ну и в комментариях меня знающие люди поправят, если что.

Все животные равны, но некоторые животные равнее других. Скотный Двор, Джордж Оруэлл (оригинал).

Достаточно много статей на хабре набирает существенное количество комментариев, e.g. в статьях "лучшее за месяц" их, как правило, более сотни. За годы чтения хабра, создалось впечатление, что примерно в половине случаев для комментариев первого уровня получается вот такая вот картина

(картинка сделана на основе хабра-статьи «Список скептика»).

Под катом рассказ, какие бывают сортировки комментариев, где они применяются и краткое рассуждение о том, как вообще можно сортировать комментарии (и зачем).

В предыдущей части были освещены общедоступные вопросы, касающиеся SAT и P-NP: история проблемы, интуитивные определения классов и задач, указаны основные приложения SAT и основные последствия, в случаи решения P ?= NP (там же можно найти достаточное число ссылок на различный материал для самостоятельного изучения тематики).

В данной статье мы рассмотрим техническую сторону вопроса, а так же формализуем и представим в деталях материал из предыдущей статьи.



картинка из статьи Boolean Satisfiability: From Theoretical Hardness to Practical Success (Communications of ACM)