Почему мы соримся с близкими⬇️
Kак вы думаете в чем основная причина всех конфликтов? Грязная чашка или забытая годовщина-лишь верхушка айсберга.
И я хочу немного рассказать за незримую часть в глубине нашей психики. Самая главная и основная причина всех ссор и конфликтов в парах «Любим/значим ли я для тебя?». За каждой претензией, возмущением и попыткой «достучаться» стоит просьба о любви, близости и замаскированный вопрос понимании.
Прежде чем выслать армию обидных слов, подумайте, а что стоит за этим возмущением или критикой. И переведите эту эмоцию или желание в потребность.
К примеру, посмотрите на разницу между «Ты никогда меня не слушаешь! Ну что может быть важнее меня в этом телефоне?!» и «То, что я рассказываю очень важно для меня. Давай сначала я, а потом всё, что в телефоне.»
И да, с первого и даже со второго раза это не получится. С начала удастся вспоминать об этом после ссоры, потом начнёт получаться в разгар конфликта. И уже спустя множество попыток настанет долгожданный положительный опыт. И его нужно будет ещё много раз повторить, чтобы в голове закрепилось.
Но это лишь одна сторона медали, которая говорит о том, что мы мягкие внутри и очень хотим быть по-настоящему любимыми, и обрести родного человека.
Kак вы думаете в чем основная причина всех конфликтов? Грязная чашка или забытая годовщина-лишь верхушка айсберга.
И я хочу немного рассказать за незримую часть в глубине нашей психики. Самая главная и основная причина всех ссор и конфликтов в парах «Любим/значим ли я для тебя?». За каждой претензией, возмущением и попыткой «достучаться» стоит просьба о любви, близости и замаскированный вопрос понимании.
Прежде чем выслать армию обидных слов, подумайте, а что стоит за этим возмущением или критикой. И переведите эту эмоцию или желание в потребность.
К примеру, посмотрите на разницу между «Ты никогда меня не слушаешь! Ну что может быть важнее меня в этом телефоне?!» и «То, что я рассказываю очень важно для меня. Давай сначала я, а потом всё, что в телефоне.»
И да, с первого и даже со второго раза это не получится. С начала удастся вспоминать об этом после ссоры, потом начнёт получаться в разгар конфликта. И уже спустя множество попыток настанет долгожданный положительный опыт. И его нужно будет ещё много раз повторить, чтобы в голове закрепилось.
Но это лишь одна сторона медали, которая говорит о том, что мы мягкие внутри и очень хотим быть по-настоящему любимыми, и обрести родного человека.
Эффективное поведение во время конфликта:
☑️Дайте возможность партнёру или себе выпустить пар. Желательно не на друг друга. Отлично помогают слёзы и любая физическая активность. Да хоть выйдите в соседнюю комнату и поприседайте.
☑️Никаких отрицательных оценок. Говорите только о своих чувствах с помощью Я-сообщения. К примеру, не «Ты постоянно опаздываешь!», а «Я расстраиваюсь, потому что приходится долго ждать и мёрзнуть».
🧐Есть исследования, которые говорят о том, что чаще всего конфликт заканчивается так же, как и начался. Пробуйте начинать мягко с осознанием, что вам навредить не хотят, просто вы разные.
☑️Не бейте «ниже пояса» и не перебивайте собеседника, ничего не доказывайте. Ведите себя так же, как бы хотели, чтобы обращались с вами.
☑️Проясняйте конфликт. Высказывайте и обсуждайте факты и объективные доказательства.
☑️ Проговаривание чувств или эмоций, которые относятся к ситуации, - это фантастика и высший пилотаж. Быть уязвимым с близкими — это нормально, и это негласное разрешение, чтобы открылись и перед вами.
☑️Если эмоции всё же захватывают, и вы теряете контроль, то сделайте паузу. Разойдитесь по разным комнатам, выпейте чаю. Дайте себе и партнёру остыть и вернитесь к разговору с холодной головой.
☑️ Предложите сформулировать желаемый результат. Пусть итог будет ясным и прозрачным.
☑️Сбор предложений. Ничего сходу отвергать не нужно, пока только высказывайте оба варианты решения. И на этом шаге обязательно придерживайтесь позиции равенства.
☑️Выбор наиболее приемлемого решения. Обоснуйте, что и почему «да», а что «нет». Будьте честны и внимательны по отношению к близкому человеку.
☑️ Принесите свои извинения, если чувствуете вину. Страшного в этом ничего нет, а вот для партнёра может быть очень и очень важно.
☑️Реализуйте лучший варианта, с которым Согласились вместе.
☑️Дайте возможность партнёру или себе выпустить пар. Желательно не на друг друга. Отлично помогают слёзы и любая физическая активность. Да хоть выйдите в соседнюю комнату и поприседайте.
☑️Никаких отрицательных оценок. Говорите только о своих чувствах с помощью Я-сообщения. К примеру, не «Ты постоянно опаздываешь!», а «Я расстраиваюсь, потому что приходится долго ждать и мёрзнуть».
🧐Есть исследования, которые говорят о том, что чаще всего конфликт заканчивается так же, как и начался. Пробуйте начинать мягко с осознанием, что вам навредить не хотят, просто вы разные.
☑️Не бейте «ниже пояса» и не перебивайте собеседника, ничего не доказывайте. Ведите себя так же, как бы хотели, чтобы обращались с вами.
☑️Проясняйте конфликт. Высказывайте и обсуждайте факты и объективные доказательства.
☑️ Проговаривание чувств или эмоций, которые относятся к ситуации, - это фантастика и высший пилотаж. Быть уязвимым с близкими — это нормально, и это негласное разрешение, чтобы открылись и перед вами.
☑️Если эмоции всё же захватывают, и вы теряете контроль, то сделайте паузу. Разойдитесь по разным комнатам, выпейте чаю. Дайте себе и партнёру остыть и вернитесь к разговору с холодной головой.
☑️ Предложите сформулировать желаемый результат. Пусть итог будет ясным и прозрачным.
☑️Сбор предложений. Ничего сходу отвергать не нужно, пока только высказывайте оба варианты решения. И на этом шаге обязательно придерживайтесь позиции равенства.
☑️Выбор наиболее приемлемого решения. Обоснуйте, что и почему «да», а что «нет». Будьте честны и внимательны по отношению к близкому человеку.
☑️ Принесите свои извинения, если чувствуете вину. Страшного в этом ничего нет, а вот для партнёра может быть очень и очень важно.
☑️Реализуйте лучший варианта, с которым Согласились вместе.
Небезопасный TikTok
Мобильное приложение TikTok за последний год вышло в топ самых популярных приложений. Оно позволяет создавать короткие видео и позже обмениваться ими, что объясняет его популярность среди тинейджеров.
И вот буквально вчера на ресурсе Checkpoint были опубликованы результаты исследования его безопасности. Точнее, небезопасности. Исследователям удалось установить, что приложение содержит целый ряд уязвимостей, которые в комплексе могут привести к раскрытию приватной информации о пользователе, удалению видео, но, гораздо хуже, загрузке произвольного видео от имени пользователя, а также изменению статуса видео с приватного на публичный.
В общем, не зря американцы как-то раз назвали ТикТок потенциальным риском для национальной безопасности :) А теперь, как выяснилось, оно еще и с авто-социалочкой.
Дальше немного (относительно) технических подробностей.
По сути, ошибка до боли распространенная: в основном все разворачивается из-за SMS-спуфинга. С веб-ресурса пользователь может отправить самому себе SMS для скачивания приложения. Штука стандартная: когда вы кликаете на отправку ссылки, веб-страница шлет на сервер запрос, в котором передает номер телефона пользователя и непосредственно ссылку на скачивание, а с сервера уже отправляется SMS с этой информацией на мобильное устройство. Пользователю остается кликнуть по ссылке. Злоумышленнику же достаточно отправить запрос со своего устройства, перехватить его любым проксирующим ПО, отредактировать, заменив свой телефон на телефон жертвы, а ссылку на скачивание подменить любой своей. Догадываетесь, чем пахнет?)
Но далее сценарий атаки может развернуться еще хитрее. В самом приложении были обнаружены некоторые логические ошибки в обработке приходящих запросов на авторизацию, которые в конечном счете приводят к ошибке Open Redirect. Так, в частности, если злоумышленник отправит жертве ссылку, содержащую запрос с https://login.tiktok.com, но при этом задаст параметр redirect_url в нужное ему значение, то редирект успешно произойдет. Успешно. На сайт злоумышленника, конечно же. В этом месте приложение, по-хорошему, должно проверять, куда его пользователя перенаправляют. И оно проверяет, но только регулярное выражение, которое за это отвечает, исследователям удалось обойти. То есть злоумышленник может зарегистрировать доменное имя, которое пройдет эту регулярку, а затем разместить там JavaScript код, который уже будет выполнять свое черное дело.
По ссылке https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/ доступно полное описание эксплуатации и даже видосик. Описание получилось клевое: там и XSS на сабдоменах, и обход CORS и SOP, и вообще шекспировские страсти. Рекомендую.
А вот сливать свои приватные видосики приложениям - не рекомендую. Им можно доверять еще меньше, чем людям. Но если он у вас все же стоит, то не кликаем по ссылочкам и ставим обновления, как только выйдут (а над ними уже работают. Обещали.)
Мобильное приложение TikTok за последний год вышло в топ самых популярных приложений. Оно позволяет создавать короткие видео и позже обмениваться ими, что объясняет его популярность среди тинейджеров.
И вот буквально вчера на ресурсе Checkpoint были опубликованы результаты исследования его безопасности. Точнее, небезопасности. Исследователям удалось установить, что приложение содержит целый ряд уязвимостей, которые в комплексе могут привести к раскрытию приватной информации о пользователе, удалению видео, но, гораздо хуже, загрузке произвольного видео от имени пользователя, а также изменению статуса видео с приватного на публичный.
В общем, не зря американцы как-то раз назвали ТикТок потенциальным риском для национальной безопасности :) А теперь, как выяснилось, оно еще и с авто-социалочкой.
Дальше немного (относительно) технических подробностей.
По сути, ошибка до боли распространенная: в основном все разворачивается из-за SMS-спуфинга. С веб-ресурса пользователь может отправить самому себе SMS для скачивания приложения. Штука стандартная: когда вы кликаете на отправку ссылки, веб-страница шлет на сервер запрос, в котором передает номер телефона пользователя и непосредственно ссылку на скачивание, а с сервера уже отправляется SMS с этой информацией на мобильное устройство. Пользователю остается кликнуть по ссылке. Злоумышленнику же достаточно отправить запрос со своего устройства, перехватить его любым проксирующим ПО, отредактировать, заменив свой телефон на телефон жертвы, а ссылку на скачивание подменить любой своей. Догадываетесь, чем пахнет?)
Но далее сценарий атаки может развернуться еще хитрее. В самом приложении были обнаружены некоторые логические ошибки в обработке приходящих запросов на авторизацию, которые в конечном счете приводят к ошибке Open Redirect. Так, в частности, если злоумышленник отправит жертве ссылку, содержащую запрос с https://login.tiktok.com, но при этом задаст параметр redirect_url в нужное ему значение, то редирект успешно произойдет. Успешно. На сайт злоумышленника, конечно же. В этом месте приложение, по-хорошему, должно проверять, куда его пользователя перенаправляют. И оно проверяет, но только регулярное выражение, которое за это отвечает, исследователям удалось обойти. То есть злоумышленник может зарегистрировать доменное имя, которое пройдет эту регулярку, а затем разместить там JavaScript код, который уже будет выполнять свое черное дело.
По ссылке https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/ доступно полное описание эксплуатации и даже видосик. Описание получилось клевое: там и XSS на сабдоменах, и обход CORS и SOP, и вообще шекспировские страсти. Рекомендую.
А вот сливать свои приватные видосики приложениям - не рекомендую. Им можно доверять еще меньше, чем людям. Но если он у вас все же стоит, то не кликаем по ссылочкам и ставим обновления, как только выйдут (а над ними уже работают. Обещали.)
Про цветочки.
6-го февраля Гугл зарегистрировала новую торговую марку Pigweed. Это растение такое, Амарант или типа того. Ну и хрен ли тут интересного? А вот что.
Pigweed - новая операционная система, и о ее существовании никто слышать не слышал, пока какой-то проныра с Reddit не поделился этой новостью. Однако это название уже всплывало в коде другой цветочной операционки Fuchsia и в репозитории Chrome. Фуксия же, собранная в отличие от Android на своем собственном ядре, должна по планам Гугла полностью заменить и сам Андроид и Хром.
Система эта будет в корне (ну, у растений обычно есть корни) отличаться от того что вы сейчас держите в руках. Цитирую: "Конечная цель Google больше не в том, чтобы интегрировать ОС со своими сервисами, а в том, чтобы сделать саму ОС «Гуглом» .
Не будет никаких приложений с иконками, а будут панели, сущности и агенты. Даже звучит, сука, страшно. Сущность (человек, событие, сообщение) - единица информации, позволяющая распознавать системе с чем имеет дело пользователь. С такой информацией будут работать агенты, контролирующие все что отображается на экране. То есть, если сейчас для получения той же таргетированной рекламы вам нужно сделать запрос в браузере или дать приложениям типа Инсты доступ к микрофону, чтобы они могли вас "послушать", то новая ОС вообще будет Большим братом во плоти и будет знать все, чем бы ты ни занимался, но на гораздо более глубоком уровне. Например Вася пишет тебе сообщение: "Завтра в 8 на Дворцовой", а смарт самостоятельно ставит будильник на 6:45 с учетом расстояния до метро, количества станций, скоростью пассажиропотока и выводит на экран рекламу ближайших кафешек, где вы с Васей можете перетереть за чашечкой кофе. А если ты не любишь кофе и вчера был на дне рождения Маши (по координатам ты был весь вечер у нее в квартире, микрофон зафиксировал громкую музыку и смех, а в календаре стоит пометка об этом знаменательном дне), смарт подскажет где ближайшая пивная, чтобы ты смог похмелиться.
Что еще интересно, Фуксию, совместно с Гугл, разрабатывают и тестируют в... Huawei - самой продвинутой компании по созданию цифровых ошейников.
Вот такие "цветочки". "Ягодки" будут выпускаться по некоторым данным уже в следующем году.
6-го февраля Гугл зарегистрировала новую торговую марку Pigweed. Это растение такое, Амарант или типа того. Ну и хрен ли тут интересного? А вот что.
Pigweed - новая операционная система, и о ее существовании никто слышать не слышал, пока какой-то проныра с Reddit не поделился этой новостью. Однако это название уже всплывало в коде другой цветочной операционки Fuchsia и в репозитории Chrome. Фуксия же, собранная в отличие от Android на своем собственном ядре, должна по планам Гугла полностью заменить и сам Андроид и Хром.
Система эта будет в корне (ну, у растений обычно есть корни) отличаться от того что вы сейчас держите в руках. Цитирую: "Конечная цель Google больше не в том, чтобы интегрировать ОС со своими сервисами, а в том, чтобы сделать саму ОС «Гуглом» .
Не будет никаких приложений с иконками, а будут панели, сущности и агенты. Даже звучит, сука, страшно. Сущность (человек, событие, сообщение) - единица информации, позволяющая распознавать системе с чем имеет дело пользователь. С такой информацией будут работать агенты, контролирующие все что отображается на экране. То есть, если сейчас для получения той же таргетированной рекламы вам нужно сделать запрос в браузере или дать приложениям типа Инсты доступ к микрофону, чтобы они могли вас "послушать", то новая ОС вообще будет Большим братом во плоти и будет знать все, чем бы ты ни занимался, но на гораздо более глубоком уровне. Например Вася пишет тебе сообщение: "Завтра в 8 на Дворцовой", а смарт самостоятельно ставит будильник на 6:45 с учетом расстояния до метро, количества станций, скоростью пассажиропотока и выводит на экран рекламу ближайших кафешек, где вы с Васей можете перетереть за чашечкой кофе. А если ты не любишь кофе и вчера был на дне рождения Маши (по координатам ты был весь вечер у нее в квартире, микрофон зафиксировал громкую музыку и смех, а в календаре стоит пометка об этом знаменательном дне), смарт подскажет где ближайшая пивная, чтобы ты смог похмелиться.
Что еще интересно, Фуксию, совместно с Гугл, разрабатывают и тестируют в... Huawei - самой продвинутой компании по созданию цифровых ошейников.
Вот такие "цветочки". "Ягодки" будут выпускаться по некоторым данным уже в следующем году.
SSL - Что это, какой бывает и с чем его едят.
SSL(Secure Sockets Layer - уровень защищенных сокетов) - это протокол обеспечивающий безопасную передачу информации в интернете по средством ее шифрования.
Так как 1 версия, так и не увидела свет, то 2 версия вышла в 1995 году, в ней было довольно много уязвимостей, поэтому спустя год вышла версия 3.0. По умолчанию HTTPS использует 443 TCP-порт. Для шифрования данных используются 40, 56 и 128-битные, чем больше байт, тем надежнее ключ. Ключи в 128 бит используются только в США и в Канаде.
Handshake - это защищенное соединение, которое устанавливает браузер, когда посетитель заходит на сайт.
HSTS - это механизм, активирующий защищённое соединение.
HTTP(HyperText Transfer Protocol — протокол передачи гипертекста ) - это протокол, который служит для передачи информации между клиентским приложением и сервером. Чтобы определить использует ли сайт SSL шифрование достаточно посмотреть в адресную строку браузера, если вместо http, вы увидите https, значит сайт использует данный протокол:
SSL генерирует три ключа:
Публичный - это ключ, который шифрует ваши данные при отправке на сервер.
Приватный - это ключ, который расшифровывает ваши данные.
Сеансовый - это ключ, которые генерируется на время, которое пользователь проводит на сайте, он как шифрует, так и расшифровывает ваше сообщение.
После того как ключи сгенерированы, на основе публичного ключа формируется запрос на SSL-сертификат в Центр сертификации. SSL-сертификат содержит сведения о владельце ключа, центре сертификации n данные об открытом ключе. При использовании сертификата SSL сервер и клиент обмениваются приветственными сообщениями инициализации, содержащими сведения о версии протокола, идентификаторе сессии, способе шифрования и сжатия. Далее сервер отсылает клиенту сертификат или ключевое сообщение, при необходимости требует клиентский сертификат. После нескольких операций происходит окончательное уточнение алгоритма и ключей, отправка сервером финального сообщения и, наконец, обмен секретными данными. Такой процесс идентификации может занимать немало времени, поэтому при повторном соединении обычно используется идентификатор сессии предыдущего соединения. После перехода на https вам будет необходимо заменить все в полные ссылки на относительные и сделать так, чтобы ваш сайт был доступен только по https и активировать HSTS протокол:
Код:
Strict-Transport-Security: max-age=31536000;
Если у вас небольшой проект, например блог используйте сертификат с проверкой домена:
DCV Email - вам придет письмо, где нужно будет подтвердить, что именно вы владелец домена.
DNS CNAME - вам необходимо создать особую запись в вашем DNS, и центр сертификации его проверит.
(HTTP CSR Hash - вам дадут специальный .txt файл, который вы загрузите на свой сервер, потом центр сертификации должен будет убедится в его наличии и выдаст вам сертификат.
Если у вас крупный проект, то используйте Business Validation. Он проверяет не только домен, но и связь компании с сайтом:
Extended validation SSL - это сертификат с расширенной проверкой.
Wildcard SSL - используется когда у вас несколько поддоменов с разной региональной привязкой. Используется для защиты поддоменов.
SAN SSL - используется для защиты нескольких доменных имен, хостов, IP-адресов, шлюзов и межсетевых экранов.
CodeSigning SSL - используется для защиты приложений.
Если HTTPS не будет установлен на 443 порту, то некоторые антивирусные компании занесут ваш сайт в блэклист. Само собой SSL не дает 100% гарантию того, что ваши данные не перехватят, в этом протоколе достаточно уязвимостей. Например можно использовать sslstrip или злоумышленник может похитить приватный ключ имея доступ к клавиатуре, браузеру, операционной системе и PGP маршрутизатору. Также злоумышленник может выполнить MitM-атаку, злоупотребляя механизмом кэширования SSL/TLS-сеансов. MitM-атаку можно провести даже без подделки сертификатов и хищения ключа эксплуатируя логические ошибки.
SSL(Secure Sockets Layer - уровень защищенных сокетов) - это протокол обеспечивающий безопасную передачу информации в интернете по средством ее шифрования.
Так как 1 версия, так и не увидела свет, то 2 версия вышла в 1995 году, в ней было довольно много уязвимостей, поэтому спустя год вышла версия 3.0. По умолчанию HTTPS использует 443 TCP-порт. Для шифрования данных используются 40, 56 и 128-битные, чем больше байт, тем надежнее ключ. Ключи в 128 бит используются только в США и в Канаде.
Handshake - это защищенное соединение, которое устанавливает браузер, когда посетитель заходит на сайт.
HSTS - это механизм, активирующий защищённое соединение.
HTTP(HyperText Transfer Protocol — протокол передачи гипертекста ) - это протокол, который служит для передачи информации между клиентским приложением и сервером. Чтобы определить использует ли сайт SSL шифрование достаточно посмотреть в адресную строку браузера, если вместо http, вы увидите https, значит сайт использует данный протокол:
SSL генерирует три ключа:
Публичный - это ключ, который шифрует ваши данные при отправке на сервер.
Приватный - это ключ, который расшифровывает ваши данные.
Сеансовый - это ключ, которые генерируется на время, которое пользователь проводит на сайте, он как шифрует, так и расшифровывает ваше сообщение.
После того как ключи сгенерированы, на основе публичного ключа формируется запрос на SSL-сертификат в Центр сертификации. SSL-сертификат содержит сведения о владельце ключа, центре сертификации n данные об открытом ключе. При использовании сертификата SSL сервер и клиент обмениваются приветственными сообщениями инициализации, содержащими сведения о версии протокола, идентификаторе сессии, способе шифрования и сжатия. Далее сервер отсылает клиенту сертификат или ключевое сообщение, при необходимости требует клиентский сертификат. После нескольких операций происходит окончательное уточнение алгоритма и ключей, отправка сервером финального сообщения и, наконец, обмен секретными данными. Такой процесс идентификации может занимать немало времени, поэтому при повторном соединении обычно используется идентификатор сессии предыдущего соединения. После перехода на https вам будет необходимо заменить все в полные ссылки на относительные и сделать так, чтобы ваш сайт был доступен только по https и активировать HSTS протокол:
Код:
Strict-Transport-Security: max-age=31536000;
Если у вас небольшой проект, например блог используйте сертификат с проверкой домена:
DCV Email - вам придет письмо, где нужно будет подтвердить, что именно вы владелец домена.
DNS CNAME - вам необходимо создать особую запись в вашем DNS, и центр сертификации его проверит.
(HTTP CSR Hash - вам дадут специальный .txt файл, который вы загрузите на свой сервер, потом центр сертификации должен будет убедится в его наличии и выдаст вам сертификат.
Если у вас крупный проект, то используйте Business Validation. Он проверяет не только домен, но и связь компании с сайтом:
Extended validation SSL - это сертификат с расширенной проверкой.
Wildcard SSL - используется когда у вас несколько поддоменов с разной региональной привязкой. Используется для защиты поддоменов.
SAN SSL - используется для защиты нескольких доменных имен, хостов, IP-адресов, шлюзов и межсетевых экранов.
CodeSigning SSL - используется для защиты приложений.
Если HTTPS не будет установлен на 443 порту, то некоторые антивирусные компании занесут ваш сайт в блэклист. Само собой SSL не дает 100% гарантию того, что ваши данные не перехватят, в этом протоколе достаточно уязвимостей. Например можно использовать sslstrip или злоумышленник может похитить приватный ключ имея доступ к клавиатуре, браузеру, операционной системе и PGP маршрутизатору. Также злоумышленник может выполнить MitM-атаку, злоупотребляя механизмом кэширования SSL/TLS-сеансов. MitM-атаку можно провести даже без подделки сертификатов и хищения ключа эксплуатируя логические ошибки.
Начальник-самодур эффективнее, чем менеджер, практикующий KPI
1. Закон Гудхарта: «Когда метрика превращается в цель, она перестает быть хорошей метрикой». Люди начинают оптимизироваться конкретно под эту метрику, пренебрегая другими, не менее полезными, делами.
2. Поставим менеджерам по продажам KPI по количеству сделок — они перестанут дожимать сложных клиентов с потенциально большими объемами. Поставим KPI по объему продаж — они начнут гонятся за сомнительными толстыми журавлями в небесах, игнорируя мелких синиц, готовых свалиться им в руки. Поставим руководителю компании KPI по прибыли — он перестанет вкладывать деньги в рост, а бизнес через некоторое загнется на фоне ускоряющихся конкурентов. Поставим цель по росту выручки – никогда отлупа на карман не получим.
3. Парадоксальное наблюдение. Какая самая эффективная метрика? Это метрика, не имеющая объективной связи с показателями бизнеса.
4. Пример? Пожалуйста. Есть такое понятие — «эффективный рынок». Он основан, в том числе, на бирже как инструменте регулирования рынка. Что является главным биржевым показателем? Стоимость акций. Насколько объективна связь стоимость акций к показателям бизнеса? Объективная связь отсутствует. Вчера WeWork был любимцем рынка, а на следующее утро — с теми же самыми показателями, заметьте — уже изгой, которого надо срочно спасать. Один стартап оценивается в десять годовых выручек, а другой — с теми же показателями по выручке и убыткам — в одну прибыль. Почему? Инвесторы одного надеются на быстрый рост, а другого — нет. А на чем основаны надежды или их отсутствие? На чисто субъективных мнениях.
5. Не менее парадоксальное следствие. Начальник-самодур — от которого не знаешь, за что он будет хвалить, а за что ругать — может оказаться более эффективным руководителем, чем менеджер, практикующий систему KPI. Главное — чтобы самодур действительно был непредсказуемым, а не долбящим в одну точку. У такого самодура компания будет развиваться гармонично, а у менеджера с KPI — падать под горку Закона Гудхарта.
6. Короче, лучшие метрики для оценки бизнеса — это вовсе не метрики самого бизнеса. Сразу приходит на ум NPS. Более тупого вопроса (нельзя спрашивать людей о будущем!) и более тупой шкалы оценок придумать сложно — но ведь живет, курилка. Какие есть хорошие внешние метрики, не имеющей объективной связи с показателями самого бизнеса, но по которым можно судить о его качестве и перспективах?
1. Закон Гудхарта: «Когда метрика превращается в цель, она перестает быть хорошей метрикой». Люди начинают оптимизироваться конкретно под эту метрику, пренебрегая другими, не менее полезными, делами.
2. Поставим менеджерам по продажам KPI по количеству сделок — они перестанут дожимать сложных клиентов с потенциально большими объемами. Поставим KPI по объему продаж — они начнут гонятся за сомнительными толстыми журавлями в небесах, игнорируя мелких синиц, готовых свалиться им в руки. Поставим руководителю компании KPI по прибыли — он перестанет вкладывать деньги в рост, а бизнес через некоторое загнется на фоне ускоряющихся конкурентов. Поставим цель по росту выручки – никогда отлупа на карман не получим.
3. Парадоксальное наблюдение. Какая самая эффективная метрика? Это метрика, не имеющая объективной связи с показателями бизнеса.
4. Пример? Пожалуйста. Есть такое понятие — «эффективный рынок». Он основан, в том числе, на бирже как инструменте регулирования рынка. Что является главным биржевым показателем? Стоимость акций. Насколько объективна связь стоимость акций к показателям бизнеса? Объективная связь отсутствует. Вчера WeWork был любимцем рынка, а на следующее утро — с теми же самыми показателями, заметьте — уже изгой, которого надо срочно спасать. Один стартап оценивается в десять годовых выручек, а другой — с теми же показателями по выручке и убыткам — в одну прибыль. Почему? Инвесторы одного надеются на быстрый рост, а другого — нет. А на чем основаны надежды или их отсутствие? На чисто субъективных мнениях.
5. Не менее парадоксальное следствие. Начальник-самодур — от которого не знаешь, за что он будет хвалить, а за что ругать — может оказаться более эффективным руководителем, чем менеджер, практикующий систему KPI. Главное — чтобы самодур действительно был непредсказуемым, а не долбящим в одну точку. У такого самодура компания будет развиваться гармонично, а у менеджера с KPI — падать под горку Закона Гудхарта.
6. Короче, лучшие метрики для оценки бизнеса — это вовсе не метрики самого бизнеса. Сразу приходит на ум NPS. Более тупого вопроса (нельзя спрашивать людей о будущем!) и более тупой шкалы оценок придумать сложно — но ведь живет, курилка. Какие есть хорошие внешние метрики, не имеющей объективной связи с показателями самого бизнеса, но по которым можно судить о его качестве и перспективах?
Мечта или цель.
1. Чем лавочник отличается от предпринимателя? У одного из них есть мечта.
2. Нет, вы не угадали — мечта есть у лавочника. Он мечтает, например, о большой яхте или миллионе долларов. Причем, если сесть и посчитать модель его бизнеса — никакого миллиона долларов на карман там не вырисовывается. Поэтому миллион долларов становится мечтой. А мечты — это что-то недостижимое.
3. А у предпринимателя есть цель. А если это цель, то есть план ее достижения. План, конечно, может не сработать — но тогда можно один план поменять на другой.
4. Разница между мечтой и целью проявляется иногда в самых неожиданных бытовых ситуациях. Например, «Мы хотим открыть сеть школ». «А что вы для этого делаете?». «Мы тестируем учебные методики». «А почему вы не тестируете открытие новых школ?». Или: «Я хочу иметь большой бизнес». «А чем ты сейчас занимаешься?». «Я работаю маркетологом». «А почему ты еще не открыл свой первый бизнес?».
5. В общем, если вы хотите что-то иметь, надо буквально это и делать. А если вы этого не делаете — значит, у вас есть мечта.
1. Чем лавочник отличается от предпринимателя? У одного из них есть мечта.
2. Нет, вы не угадали — мечта есть у лавочника. Он мечтает, например, о большой яхте или миллионе долларов. Причем, если сесть и посчитать модель его бизнеса — никакого миллиона долларов на карман там не вырисовывается. Поэтому миллион долларов становится мечтой. А мечты — это что-то недостижимое.
3. А у предпринимателя есть цель. А если это цель, то есть план ее достижения. План, конечно, может не сработать — но тогда можно один план поменять на другой.
4. Разница между мечтой и целью проявляется иногда в самых неожиданных бытовых ситуациях. Например, «Мы хотим открыть сеть школ». «А что вы для этого делаете?». «Мы тестируем учебные методики». «А почему вы не тестируете открытие новых школ?». Или: «Я хочу иметь большой бизнес». «А чем ты сейчас занимаешься?». «Я работаю маркетологом». «А почему ты еще не открыл свой первый бизнес?».
5. В общем, если вы хотите что-то иметь, надо буквально это и делать. А если вы этого не делаете — значит, у вас есть мечта.
«А почему стартапы оценивают по выручке? Надо же по прибыли!»
1. Потому что деньги сами по себе дешевы. Просто бизнес просто зарабатывающий деньги можно продать всего лишь за плюс-минус годовую прибыль.
2. Что же покупают в стартапе, если не прибыль? В стартапе покупают созданный им актив. А актив — это такая штука, которая может принести покупателю больше денег, чем продавцу.
3. Например, Lenovo купил у IBM бренд ThinkPad и продает под ним китайские ноутбуки по премиальной цене. Или Facebook купил Instagram за $1B, а в 2019 Instagram принес Фейсбуку выручку в $20B, что немногим больше четверти всей выручки Фейсбука. Учитывая, что оценка Фейсбука около $500B — можно грубо оценить сегодняшнюю стоимость Инстаграма в $75–125B. Столько он может принести владельцам Фейсбука в случае его продажи.
4. Ровно поэтому за стартап — вернее, за его актив — могут заплатить и 5, и 10, и 15 его годовых выручек. Потому что покупатель оценивает ту прибыль, которую он сам может заработать на этом активе. Выручка и темпы ее роста в руках продавца — это всего лишь показатель привлекательности актива.
5. Прибыльность или убыточность бизнеса повышает или понижает стоимость актива. Правда, при этом смотрят не столько на операционные прибыли/убытки, а на сходимость юнит-экономики. Потому что, если стартап хочет повысить стоимость своего актива, ему нужно сильно вырасти, для чего приходится вкладывать максимальное количество денег в рост.
6. В общем, каждому начинающему бизнесу стоит определиться со стратегией. Либо зарабатывать отлуп на карман. Либо понять, что может стать его активом, и растить его изо всех сил. К сожалению, эти две стратегии чаще всего противоречат друг другу, потому что не получается растить актив изо всех сил, всё время вытаскивая деньги из бизнеса.
1. Потому что деньги сами по себе дешевы. Просто бизнес просто зарабатывающий деньги можно продать всего лишь за плюс-минус годовую прибыль.
2. Что же покупают в стартапе, если не прибыль? В стартапе покупают созданный им актив. А актив — это такая штука, которая может принести покупателю больше денег, чем продавцу.
3. Например, Lenovo купил у IBM бренд ThinkPad и продает под ним китайские ноутбуки по премиальной цене. Или Facebook купил Instagram за $1B, а в 2019 Instagram принес Фейсбуку выручку в $20B, что немногим больше четверти всей выручки Фейсбука. Учитывая, что оценка Фейсбука около $500B — можно грубо оценить сегодняшнюю стоимость Инстаграма в $75–125B. Столько он может принести владельцам Фейсбука в случае его продажи.
4. Ровно поэтому за стартап — вернее, за его актив — могут заплатить и 5, и 10, и 15 его годовых выручек. Потому что покупатель оценивает ту прибыль, которую он сам может заработать на этом активе. Выручка и темпы ее роста в руках продавца — это всего лишь показатель привлекательности актива.
5. Прибыльность или убыточность бизнеса повышает или понижает стоимость актива. Правда, при этом смотрят не столько на операционные прибыли/убытки, а на сходимость юнит-экономики. Потому что, если стартап хочет повысить стоимость своего актива, ему нужно сильно вырасти, для чего приходится вкладывать максимальное количество денег в рост.
6. В общем, каждому начинающему бизнесу стоит определиться со стратегией. Либо зарабатывать отлуп на карман. Либо понять, что может стать его активом, и растить его изо всех сил. К сожалению, эти две стратегии чаще всего противоречат друг другу, потому что не получается растить актив изо всех сил, всё время вытаскивая деньги из бизнеса.
В чем я плох?
1. Все любят искать свои сильные стороны. Но самое важное качество основателя стартапа — знать, в чем он плох. Только так можно найти партнера, который в этом хорош.
2. Если не отдавать себе отчет, в чем ты плох, то все время тянет искать партнеров, похожих на себя. В результате, получается команда основателей, которая дублирует и мешает друг другу, стараясь заниматься одним и тем же. А то, в чем оба плохи — становится не просто недостатком, а стоп-фактором.
3. Сила хорошей команды — не в объединении усилий, а в возможности их разъединения. Чтобы каждый занимался своим делом, и все важные вопросы были закрыты.
1. Все любят искать свои сильные стороны. Но самое важное качество основателя стартапа — знать, в чем он плох. Только так можно найти партнера, который в этом хорош.
2. Если не отдавать себе отчет, в чем ты плох, то все время тянет искать партнеров, похожих на себя. В результате, получается команда основателей, которая дублирует и мешает друг другу, стараясь заниматься одним и тем же. А то, в чем оба плохи — становится не просто недостатком, а стоп-фактором.
3. Сила хорошей команды — не в объединении усилий, а в возможности их разъединения. Чтобы каждый занимался своим делом, и все важные вопросы были закрыты.
Вы обычный или необычный?
1. 99% людей думают, что они находятся в 1% необычных людей, делающих необычные вещи необычным способом. Как следствие, они делают то же самое, что и остальные 99%, думающих так же. В результате, у них получается то же, что у 99% — то есть ничего необычного.
2. 1% людей понимает, что они такие же, как обычные 99%. Именно поэтому они всеми силами пытаются делать совсем не то, что делают эти 99%. В результате, у них появляется шанс попасть в 1% людей, делающих что-то необычные. И у них это может получиться.
1. 99% людей думают, что они находятся в 1% необычных людей, делающих необычные вещи необычным способом. Как следствие, они делают то же самое, что и остальные 99%, думающих так же. В результате, у них получается то же, что у 99% — то есть ничего необычного.
2. 1% людей понимает, что они такие же, как обычные 99%. Именно поэтому они всеми силами пытаются делать совсем не то, что делают эти 99%. В результате, у них появляется шанс попасть в 1% людей, делающих что-то необычные. И у них это может получиться.
Чем опасны банковские приложения.
Про мобильные приложения различных банков дискутировали мы уже не первый раз, но надеюсь сейчас поставили точку.
Буду объяснять на примере приложения от Привата, так как большинство им пользуется. Не смотря ни на что. С приложениями других банков ситуация аналогичная. Сразу же скажу, что все эти "страшилки" годятся для обычных нубасов, которые нихрена не знают как работать со СВОИМ, бля, смартфоном.
Итак, вот список критичных разрешений этой проги (всего приложение требует 49 разрешений для работы, но я остановлюсь только на тех, которые могут серьезно повлиять на вашу безопасность и конфиденциальность):
Фото- и видеосъемка
Запись аудио
Доступ к местоположению (по координатам сети и спутникам GPS)
Просмотр подключений WiFi
Просмотр сетевых подключений
Изменение сетевых настроек
Закрытие других приложений
Получение данных о запущенных приложениях
Доступ к дополнительным командам управления источниками геоданных
Поиск аккаунтов на устройстве
На последнем остановлюсь подробнее, ибо что бы вы там не думали - оно самое опасное. Допустим, на вашем смарте стоят себе рядышком Телеграм, Вотсап и Киви-кошелек. При регистрации в этих приложениях вы создаете аккаунты, которые хранятся на смарте (просмотреть какие проги имеют свои аккаунты на смартфоне можно в настройках. В строке поиска забиваете "Аккаунты" и с удивлением пялитесь на ID-идентификатор в Телеге и номер телефона в Киви).
При установке Приват 24 приложение получает доступ к информации об этих аккаунтах и связывает вместе себя, любимое, ваш акк в Телеге и кошелечек. Таким образом оно создает единый профиль пользователя. И хоть обшифруйтесь. Надеюсь, мысль ясна.
Тут же возникает паническая атака и вопрос: "Хули делать? Мы под колпаком! Все пропало!"
Можно накормить приложение фейковыми данными. Как это сделать я говорить не буду. А также почему это лучше, чем лишить прогу тех или иных разрешений.
Запретить приложению доступ к микрофону, камере и местоположению можно в настройках любого кастома (да и во многих стоковых прошивках тоже). Там же можно запретить получать данные о запущенных приложениях и тд. А вот два последних разрешения ("Доступ к дополнительным командам управления источниками геоданных" и "Поиск аккаунтов на устройстве") необходимо сразу вырезать под корень. Я уже рассказывал, как это сделать перед установкой при помощи Advanced Permission Manager (прога в канале). Это можно сделать и с уже установленным работающим приложением.
Есть один нюанс. Приложение от Привата имеет защиту в виде проверки целостности APK. То есть, удаляя из файла разрешения, вы нарушаете его целостность. Если вносить изменения в уже установленное приложение, оно тупо не запустится. Чтобы обойти это, необходимо отключить проверку целостности АРК. Это делается одноименным патчем Андроида и выполняется как для отдельного приложения (с помощью APK Editor), так и для всей системы (с помощью Lucky Patcher).
Про мобильные приложения различных банков дискутировали мы уже не первый раз, но надеюсь сейчас поставили точку.
Буду объяснять на примере приложения от Привата, так как большинство им пользуется. Не смотря ни на что. С приложениями других банков ситуация аналогичная. Сразу же скажу, что все эти "страшилки" годятся для обычных нубасов, которые нихрена не знают как работать со СВОИМ, бля, смартфоном.
Итак, вот список критичных разрешений этой проги (всего приложение требует 49 разрешений для работы, но я остановлюсь только на тех, которые могут серьезно повлиять на вашу безопасность и конфиденциальность):
Фото- и видеосъемка
Запись аудио
Доступ к местоположению (по координатам сети и спутникам GPS)
Просмотр подключений WiFi
Просмотр сетевых подключений
Изменение сетевых настроек
Закрытие других приложений
Получение данных о запущенных приложениях
Доступ к дополнительным командам управления источниками геоданных
Поиск аккаунтов на устройстве
На последнем остановлюсь подробнее, ибо что бы вы там не думали - оно самое опасное. Допустим, на вашем смарте стоят себе рядышком Телеграм, Вотсап и Киви-кошелек. При регистрации в этих приложениях вы создаете аккаунты, которые хранятся на смарте (просмотреть какие проги имеют свои аккаунты на смартфоне можно в настройках. В строке поиска забиваете "Аккаунты" и с удивлением пялитесь на ID-идентификатор в Телеге и номер телефона в Киви).
При установке Приват 24 приложение получает доступ к информации об этих аккаунтах и связывает вместе себя, любимое, ваш акк в Телеге и кошелечек. Таким образом оно создает единый профиль пользователя. И хоть обшифруйтесь. Надеюсь, мысль ясна.
Тут же возникает паническая атака и вопрос: "Хули делать? Мы под колпаком! Все пропало!"
Можно накормить приложение фейковыми данными. Как это сделать я говорить не буду. А также почему это лучше, чем лишить прогу тех или иных разрешений.
Запретить приложению доступ к микрофону, камере и местоположению можно в настройках любого кастома (да и во многих стоковых прошивках тоже). Там же можно запретить получать данные о запущенных приложениях и тд. А вот два последних разрешения ("Доступ к дополнительным командам управления источниками геоданных" и "Поиск аккаунтов на устройстве") необходимо сразу вырезать под корень. Я уже рассказывал, как это сделать перед установкой при помощи Advanced Permission Manager (прога в канале). Это можно сделать и с уже установленным работающим приложением.
Есть один нюанс. Приложение от Привата имеет защиту в виде проверки целостности APK. То есть, удаляя из файла разрешения, вы нарушаете его целостность. Если вносить изменения в уже установленное приложение, оно тупо не запустится. Чтобы обойти это, необходимо отключить проверку целостности АРК. Это делается одноименным патчем Андроида и выполняется как для отдельного приложения (с помощью APK Editor), так и для всей системы (с помощью Lucky Patcher).
Ресурсное состояние: Как войти в него и поддерживать?
1. Сделайте небольшой проект от начала и до конца, либо завершите его полностью до результата. Вы увидите результат своих усилий и это вас мотивирует. Например, я прошлой ночью запилил прошивку для усилителя с цифровым темброблоком, и он наконец заработал. И это порадовало.
2. Сделайте водные процедуры: примите ванну, искупайтесь в бассейне или водоёме. Посидите на берегу моря, озера или реки, посмотрите на воду. За час вы приобретёте больше идей и понимания возможностей, чем за дни поисков. Как правило, я не могу купаться долго, потому, что хочется быстрее начать внедрять то, что придумал.
3. Помогите другому человеку. Всегда будут те, кто нуждается в вашей помощи, и те, в чьей помощи вы нуждаетесь. Чтобы получать энергию — нужно её отдавать. Кому-то ваш совет или участие могут быть очень важны. Щедрость всегда красит человека.
4. Закройте долг. В долгах (любых) замораживается ваша энергия. Когда вы возвращаете долг — ваша энергия возвращается к вам.
5. Пообщайтесь с любимыми людьми, семьёй, друзьями, подругами. Напишите старому знакомому, с которым давно не общались, позвоните маме или папе, скажите что любите их и благодарны за всё.
6. Смените род деятельности — например, для программиста поход в лес — отличная возможность сменить обстановку. А если это ещё и поход на 2-3 дня длиной более 20 км, с палатками и гитарами у костра, с чаем и печёной картошкой, с новыми интересными увиденными местами — это равнозначно перерождению.
1. Сделайте небольшой проект от начала и до конца, либо завершите его полностью до результата. Вы увидите результат своих усилий и это вас мотивирует. Например, я прошлой ночью запилил прошивку для усилителя с цифровым темброблоком, и он наконец заработал. И это порадовало.
2. Сделайте водные процедуры: примите ванну, искупайтесь в бассейне или водоёме. Посидите на берегу моря, озера или реки, посмотрите на воду. За час вы приобретёте больше идей и понимания возможностей, чем за дни поисков. Как правило, я не могу купаться долго, потому, что хочется быстрее начать внедрять то, что придумал.
3. Помогите другому человеку. Всегда будут те, кто нуждается в вашей помощи, и те, в чьей помощи вы нуждаетесь. Чтобы получать энергию — нужно её отдавать. Кому-то ваш совет или участие могут быть очень важны. Щедрость всегда красит человека.
4. Закройте долг. В долгах (любых) замораживается ваша энергия. Когда вы возвращаете долг — ваша энергия возвращается к вам.
5. Пообщайтесь с любимыми людьми, семьёй, друзьями, подругами. Напишите старому знакомому, с которым давно не общались, позвоните маме или папе, скажите что любите их и благодарны за всё.
6. Смените род деятельности — например, для программиста поход в лес — отличная возможность сменить обстановку. А если это ещё и поход на 2-3 дня длиной более 20 км, с палатками и гитарами у костра, с чаем и печёной картошкой, с новыми интересными увиденными местами — это равнозначно перерождению.
Важно или неважно?
1. Неважные вещи — это те, где мы прикладываем усилия, чтобы они не загнулись.
2. Важные — там где мы прикладываем усилия, чтобы они росли.
3. К сожалению, больше всего времени и усилий мы тратим на первое, чем на второе.
1. Неважные вещи — это те, где мы прикладываем усилия, чтобы они не загнулись.
2. Важные — там где мы прикладываем усилия, чтобы они росли.
3. К сожалению, больше всего времени и усилий мы тратим на первое, чем на второе.
This media is not supported in your browser
VIEW IN TELEGRAM
Когда карантин заебал и стресс снимается только так.