Kurgan-Telecom Ru | Информационные технологии

Инженеры узнают о межсайтовом скриптинге (Cross-Site Scripting, XSS) тремя способами.

Счастливчики узнают о нем благодаря полезному анализу кода или проактивному правилу проверки кода. Внимательные — во время аудита безопасности, который выявляет уязвимость до того, как она попадет в продакшн.

А есть те, кто узнает о нем через страдания, когда их сайт становится уязвимым. Когда злоумышленник внедряет скрипт, который крадет токены сессий из localStorage, перехватывает файлы cookie или перенаправляет пользователей на фишинговый сайт. Я лично присоединился к клубу «пострадавших» еще в 2005 году, когда встроенная Flash-подпись на форуме, которым я владел, превратилась в кошмар с точки зрения безопасности… но это уже другая история.

В этой статье мы рассмотрим, как браузер, наконец, снимает с нас бремя очистки данных (sanitizing) благодаря новому HTML API Sanitizer.

Несколько месяцев назад в публичном пространстве появилась история, которую в engineering-сообществе стали называть поучительной. Команда AWS использовала внутренний AI-инструмент Kira для ускорения работы. Kira предложила джуниорам сценарий: переразверни продакшн-слой. Инженеры согласились. Следующие шесть часов весь AWS не работал. После разбора полётов компания объявила новое правило: финальный апрув на изменения, предложенные агентом, должен давать сениор-инженер.

На первый взгляд, решение логичное. На второй, уже менее. Если агент генерирует изменения в темпе, к которому люди не привыкли, один сениор превращается в бутылочное горлышко для бесконечного потока PR. Это не решение проблемы. Это антипаттерн, оформленный как процесс.

История AWS точно формулирует главный вызов 2025-2026 годов: AI научился быстро писать код, но индустрия пока не научилась с такой же скоростью его доставлять, проверять и принимать решения о нём. Данные, собранные в рамках масштабного исследования State of AI4SDLC, это подтверждают.

Astro — фреймворк для сайтов, который минимизирует поставку JavaScript на клиент, обеспечивая высокую производительность. 22 июня вышла седьмая версия, в которой разработчики серьёзно прокачали скорость. Компилятор .astro переписали на Rust, туда же перенесли обработку Markdown и MDX, а движок рендеринга заменили на систему с очередями. Вкупе с Vite 8 и новым бандлером Rolldown сборки ускорились на 15–61% по внутренним бенчмаркам. А поскольку самая быстрая сборка — та, которую не нужно запускать вовсе, в Astro 7 также стабилизировали кэширование маршрутов и добавили экспериментальных CDN-провайдеров кэша для Netlify, Vercel и Cloudflare.

В Astro 7 добавили продвинутый роутинг: появляется точка входа src/fetch.ts, дающая полный контроль над конвейером обработки запросов в Astro. Для разработки с участием ИИ Astro теперь умеет определять coding agents, запускать dev-сервер в фоне и выводить структурированные JSON-логи, когда агентам нужен машиночитаемый ответ.

Загрузка операционной системы — процесс многоступенчатый и разнообразный. Несколько лет назад я писал о процессе загрузки сервера x86 в режимах Legacy и UEFI, но акцент тогда был именно на «железной» части.

Пришло время сместить внимание на программную составляющую. Посмотрим, какие стадии преодолевает ядро Linux, что происходит, и какие «фишки» можно выполнить на старте системы.

За два года учёбы и жизни в Японии у меня накопились папки с распечатками, уведомлениями, банковскими формами, визовыми документами и школьными памятками. 

Бумага здесь живёт не только в бюрократии и связана с подарками, каллиграфией, оригами и культурой аккуратного оформления. В этой статье попробую рассказать, где именно бумага встречается в современной Японии и почему она до сих пор остается важной частью быта.

В прошлый раз я писал о японских технологии и цифровизации.

Финансовые данные в компании обычно уже есть: в 1С, в хранилище, витринах, аналитических кубах. Но в конце отчётного периода аналитики всё равно часто делают одно и то же: выгружают числа в Excel, собирают сводные таблицы, вручную считают отклонения и готовят презентации для руководства. В этой статье покажем, как перевести такой процесс в промышленный контур: создать OLAP-модель, вынести бизнес-логику в семантический слой и получать живые отчёты в Web, Excel и LibreOffice без ручного копипаста. Выгружать данные будем из 1С, но в виду большого количества способов это сделать мы коснёмся этой темы в следующей статье, а здесь сосредоточимся я на возможностях анализа данных.

Статья будет особенно полезна:

- BI-разработчикам;

- архитекторам данных;

- бизнес-аналитикам;

- финансистам;

- руководителям, которым важно быстро получать корректную управленческую отчётность.

С вниманием сейчас плохо у многих: многозадачность, постоянный онлайн и быстрые ответы в рабочих чатах должны были прибавить нам производительности, а получилось внезапно наоборот. Кажется, что год от года удерживать фокус становится всё сложнее. И очень уж хочется вместо вот этого всего позалипать в рилсы.

Сегодня продолжаю тему продуктивности со слегка нетипичной для меня стороны: эпоха обязывает. Будем говорить про СДВГ и всё, что под него маскируется. 

Начну с главного:

Вы открываете очередную бизнес-книгу на 400 страниц, и к странице 80-й понимаете: автор мог бы уложиться в главу, но ему нужно было набить объём, достаточный для корешка. Филлер в нон-фикшне — привычное дело: его вставляют, чтобы работа была достаточно длинной и оправдывала покупку физической книги. Отзывы, истории из жизни, третий пример на ту же мысль — всё это раздувает текст, но не всегда добавляет ценности.

С другой стороны, за прошедший год россияне прочитали в среднем по десять книг, а за три месяца — по шесть. При этом 57% читают для саморазвития, 40% — для удовольствия, и каждый четвёртый — по работе или учёбе. Времени у всех примерно одинаково мало. Именно поэтому рынок саммари — кратких пересказов ключевых идей — растёт взрывными темпами: глобальный рынок микрообучения, по прогнозу Technavio, вырастет на $1,34 млрд с 2022 по 2027 год с CAGR 10,57%.

Но вопрос не в том, читать саммари или нет. Вопрос — когда это действительно классный инструмент, а когда — лишь его иллюзия.

Как мы пришли к локальному скану, фильтру Блума и переезду очереди на Kafka — и почему это всё случилось 

Привет, Хабр. Я Данил Кислов, разработчик команды хранилищ. У нас в One-cloud (внутренняя корпоративная облачная платформа) лежит собственная S3-совместимая реализация — one-object-storage. Хочу рассказать, как эволюционировал метастор S3— та часть, что отвечает за метаданные объектов: списки версий, индексы, настройки бакетов и прочую служебную мелочь.

История начинается с того, что система, построенная под одни требования, перестаёт им соответствовать и постепенно адаптируется к новым. Почти каждое решение из дальнейшего — компромисс, который приехал под конкретную боль на конкретном масштабе. И почти у каждого есть свои плюсы и минусы.

В эволюции человека, с сопутствующими видами, есть достаточно любопытный момент. По какой-то причине, примерно 2 миллиона лет назад размеры нашего тела и мозга резко выросли. Это опровергает концепцию эволюции, как медленного и устойчивого прогресса через небольшие изменения. А может ли что-то устойчивое идти скачками?

В начале мая в инструменте Lighthouse от Google появилась новая категория проверок «Агентный просмотр».

Привет, Хабр!

Меня зовут Дмитрий, руководитель отдела рекламы и продвижения в Аспро. Мы запускаем интернет-магазины и развиваем систему управления бизнесом Аспро.Cloud.

Раньше покупатель сам проходил путь: вводил запрос, открывал несколько вкладок, читал характеристики, сравнивал цены и условия доставки — и в итоге выбирал. Интернет-магазин конкурировал за место в выдаче и за то, чтобы человек остался именно на его странице.

Сейчас этот путь берет на себя нейросеть. Покупатель пишет «посудомойка для семьи» — ИИ при необходимости уточняет бюджет и задачу, а потом выдает готовую подборку: несколько вариантов из разных магазинов с ценами, характеристиками и условиями доставки. Без единого клика по сайтам.

Всем привет! Меня зовут Олег Малышев. Я один из лидеров стека тестирования в компании «ТехВилл»

Мы продолжаем разговор о том, как применять ИИ в тестировании. В этой статье расскажу, как мы пишем API-автотесты с помощью OpenAPI Generator, Cursor/Claude Code и автоматически считаем покрытие по Swagger через swagger-coverage.

Раньше я уже записывал большое двухчасовое видео по Cursor, где показывал в том числе, как мы генерируем автотесты. Но с тех пор подход немного изменился: мы сильнее завязались на OpenAPI-контракт, добавили Swagger Coverage, JSON-отчёты для LLM и специальные skills для генерации недостающих тестов.

Привет, Хабр! Это Сергей Перевозчиков, основатель агентства контекстной рекламы «КонтекстЛаб». Когда ко мне обратился производитель деревянных игрушек, главной проблемой была не выручка, а экономика продаж. Я часто вижу такую ситуацию на маркетплейсах: продажи вроде есть, а прибыли почти нет, потому что бизнес не считает реальные показатели по товарам и не замечает скрытые возможности для роста.

Мы внимательно разобрали ассортимент, посчитали экономику каждого товара и нашли точки роста, которые раньше оставались незамеченными. В результате клиент смог не просто повысить прибыльность, но и создать продукт с высокой добавленной ценностью — настолько высокой, что покупатели были готовы платить 2 000 рублей за изделие из дерева, которое на первый взгляд кажется очень простым. Итогом этой работы стал рост бизнеса в 14 раз.

Этот кейс для меня — про то, что на маркетплейсах выигрывают не те, кто продаёт больше всех, а те, кто лучше понимает свою экономику и умеет находить скрытые резервы для роста.

Так получилось, что нам посчастливилось принять участие в разработке синтеза для новой версии игры "Ил-2 Штурмовик". Это был длинный путь, но в итоге у нас получилось:

«У меня не получается одинаково хорошо поворачивать в обе стороны», — сетует Дерек Зуландер в одноимённой сатире нулевых годов о самом популярном в мире мужчине-модели и его редком комплексе на подиуме. «Эта проблема у меня с самого детства… Я не могу поворачивать налево».

Теперь исследования показывают, что эта странность, угрожавшая карьере модели, была ещё более необычной, чем считалось ранее. Тесты показывают, что когда люди неспешно прогуливаются, у них есть естественная склонность поворачивать налево и двигаться против часовой стрелки.

«Если просто попросить кого-нибудь начать ходить — будь то прогулка по музею, супермаркету или даже по пустой комнате — с удивительно большой вероятностью он начнёт двигаться против часовой стрелки», — сказал доктор Иньяки Эчеверрия Уарте из Университета Наварры в Испании.

Flaky-тесты в Go — неизбежны, но наивные ретраи делают только хуже. Разбираем, почему retry — это не цикл и как правильно реализовать повторный запуск автотестов.

В компании нанимают менеджера по продажам. У новичка горят глаза, он прошёл собеседование, он мотивирован. Ему дают доступ к CRM, скидывают ссылку на папку с инструкциями и записями звонков. Просят опытного коллегу помочь. Проходит месяц. Новичок задаёт одни и те же вопросы, путается в скриптах, боится сложных возражений. Проходит два месяца. Он всё ещё не закрыл первую сделку. Почему так происходит?

Недавно внимание ИТ-сообщества привлекла статья о том, что даже сеньоры не всегда способны эффективно передавать свою экспертизу — ни менеджерам, ни менее опытным коллегам-программистам. Мы в Beeline Cloud решили поговорить о том, как недостаток софт-скиллов разработчиков мешает обмену знаниями, какие опасности он таит для проектов и при чем тут «фактор автобуса». 

На Хабре есть серия статей, касающаяся заблуждений программистов о, казалось бы, простых вещах: о времени, почтовых адресах, именах и даже дверях. Я недавно пообщался с ребятами, пилящими медицинский софт, и решил собрать набор таких же заблуждений, только применительно к врачебному делу. А чтобы было чуть интереснее, собрал это в виде истории, которой позавидует любой индийский фильм или турецкий сериал.

Итак, перед нами молодой джун Игорь (здесь и далее все имена и фамилии вымышлены), который работает в компании, разрабатывающей софт для больниц. Его только что отправили разгребать легаси-код для ПО, установленного во множестве родильных домов. Одновременно в больницу поступила Елена Соколова, благополучно беременная двойней - будущий кармический спутник Игоря. Но не в романтическом смысле - просто благодаря Елене наш Игорь пройдет через множество Edge-случаев...