Я нахожусь в убеждении, что наличие атрибутов куки SameSite=Lax и его дефолт в браузерах полностью отменяет всякую необходимость в CSRF-защите (ну вот все это положили в hidden поле идентификатор сессии и проверили при сабмите) для современных браузеров, и это уже вопрос доп. сложности, которую можно тянуть, чтобы защитить владельцев древних браузеров, а можно не тянуть (и хер с ним для части сайтов). Что думаете?

Кстати, Антон, звёздочек огонечков уже 12
https://t.me/ex_coder_tsarev/147
Нужен канал

17 огонечков и вот канал Антона
https://t.me/ComputershikAnton

Иногда горит что-то такое про работу не техническое, но я не пишу в канал, неприлично. Да и не стоит.
А иногда есть вопрос, который в целом выглядит показательным для поста, но не хотелось бы давать повод коллегам выяснять в комментариях сиюминутное: при обсуждении какого вопроса это возникло, и кто из руководителей на какой позиции стоял. Придумал писать в будущее через год. Там сиюминутное будет не важно, а полезное останется. Кинул первый такой пост. Может он не доживёт, удалю. А может и доживёт.

Мы, деды, иногда пишем фронт не SPA (на пет-проектах). У нас там есть разные смешные приколы, например, как бы получить бутстрап в проекте? Раньше мы его тащили нагетом, который при инсталляции (не при билде) запускал скрипт install.ps1, который копировал бутстрап в нужный каталог, и ты его там коммитил в репу. Да, серьезно.

В какой-то момент уважаемые люди из команды SDK сломали это поведение нахер, просто перестали его запускать.
Были недовольные, даже внутри Microsoft, команда Enitity Framework писала открытые письма команде SDK. В общем, перестало это работать.

Есть реально слой потребности людей, которые не хотят тащить в рот полную фронт сборку с npm, node, webpack и другими модными фронт словами — просто потому, что это дополнительная сложность. Для таких людей Microsoft сделала LibMan — простую поделку, которая умеет скачивать и класть в Output дистрибутивы с npm/unpkg. Она встроена в Visual Studio. И вот у этой тулзы есть ее версия Cli и виде MSBuild таски. Выглядит надежно — берем при билде скачиваем все с npm/unkpg и кладем в output. В репе ничего нет, все красиво, все просто, никакой магии, никакого node.js при сборке.

Но есть бага. Спорадические падения. Как хороший мальчик, я добавил в либу ретрай и логирование https://github.com/aspnet/LibraryManager/pull/753. Правда, вслепую, потому что как многие MS либы она собирается хер знает как и на самом деле не опенсорсная, требует сборки через Arcade и доступа к приватным нагет фидам

В общем, несколько месяцев я ждал релиза. И вот он вышел. В Visual Studiio внутри есть мои ченджи. А cli-тулзу и билд таксу не пересобрали.
И вот месяц я жду, пока ее не соберут. Напоминает примерно мои контрибушены в EntityFramework 6, куда я решил добавить трансляцию DateTimeOffset, Guid и создание миграцией в UTF-8 примерно тогда, когда они решили застопорить ее разработку. Правда, большая часть их успела попала в 6.3 (примерно через год после того, как я их сделал). Вот это "через год" это просто каеф, конечно.

https://habr.com/ru/articles/860828/

Яндекс.Станции сломали NTP-сервера по всей России (но вроде бы проблема сейчас уже решена)

https://news.ycombinator.com/item?id=42231489

О расколе в C++ и двух фракциях. Автор статьи утверждает, что эволюцию C++ тормозит ориентация на клиентов с древним тулингом. Тех клиентов, которые не могут внести изменения в свой исходный код.

Интересно, насколько эта аналогия корректна для Ziiot platform:-)

https://news.ycombinator.com/item?id=42239607

Redis пытается захватить контроль над всеми клиентскими либами в попытке борьбы с Valkey

«Мы решили отказаться от самописного велосипеда в ServiceMesh и перейти на Istio».

46 слайд: итак, мы форкнули istio....

https://highload.ru/moscow/2024/abstracts/13831

Заявил Поломодову на его дискуссии с Филом Дельгядо про пользу и вред System Design Interview, что готовятся к собеседованию вообще и собеседованию по системному дизайну в частности только слабые и неуверенные в себе спортсмены только лохи.

Александр не растерялся и в ответ подарил мне книжку (см рис), качественно меня таким образом попустив.

Если серьезно, дискуссия выглядит суперинтересно: по сути Фил грамотнейше вскрыл недостатки формализованных собесов, из зала и ведущий рассказывали про всякие ужасы вроде "балл кандидату, если он упомянул в ответе Kafka". Аргументы Александра тоже понятны: без стандартизированных собеседований масштабирование работать не может, нельзя нанимать в компанию (а не в команду), непонятно как вытягивать слабые команды и т.д., а за глупые чеклисты Александр отвечать не может. Позитивная повестка Фила выглядела довольно слабо: мол, если собеседующий реально умный и умеет собеседовать, он за 15 минут разговора поймет хороший ли кандидат или нет, а если собеседующий не умеет, пусть научится.

В моей практике кажется, что надо сочетать два подхода. Стандартизированные задачи дают базис для вытаскивания кандидата в живую дискуссию, и от интервьюеров в ЦИП мы требуем не только оценки по чеклисту, но и (а) финальной оценки кандидата по грейду, (б) субъективного мнения, хотел бы работать в одной команде или нет (в) обязательно собеседуем вдвоем с независимым выставлением оценок.

#highload

По замыслу разрабов Гринатома дохлый лев лучше, чем эксперименты на проде. Ок, пускай им дохлый лев продуктовые гипотезы и проверяет.
#highload

Торжественно праздную добавление 100го подписчика: Митяя М.

10 минутный техтолк со смыслом «если у вас будут компонентные автотесты, будете реже разьебывать прод и общий регрессионный стенд».
С одной стороны не поспоришь, с другой стороны вы вот читаете наверняка и думаете: жаль у нас мало автотестов.
Кстати схерали у вас их мало? Кто это сделал?
https://highload.ru/moscow/2024/abstracts/14009

#highload

Фичи и их внедрение, слайд для платформы #ziiot
#highload

https://t.me/engineering_manager

Прослушал доклад про фейлы, которые были при внедрении платформы в Сбермаркет. В целом полезный доклад про платформенный подход.

Вопрос, который мы все себе задаём: как убедить бизнес в инвестициях на платформу.
А вопрос, который следует себе задавать (и у меня, и у спикера нет ответа): как убедить себя в нужном объеме инвестиций. Как решить, что в платформенной команде должно быть Х инженеров, а не 0.8Х и и не 100Х?

#highload

Программисты регулярно задвигают про то, какие мы гигачадсверхразумы, а гуманитарии лохи. Но я тут слушал на #highload доклад про технологическую архитектуру Алисы, и при задавании вопросов программисты не смогли в простое гуманитарное "оставаться в заданных рамках дискуссии". Вот тебе только что рассказывали, как в Алисе есть рефразер, чем он отличается от сумматора и как оптимизировать EAGLEs модели, а ты такой: расскажите, когда Алиса будет надежно голос ребенка отличать, я озабоченный родитель, подумайте о детях.

С другой стороны вопрос к организаторам конференции, а они чего ожидали, когда поставили этот доклад в главный зал? Что там соберется элитная компания ML-специалистов?

С 28 декабря я освобождаюсь от ЦИП / Цифры, так что если кому-то я нужен, пишите.

Умею управлять технарями, подбирать команду и помогать ей работать, выстраивать отношения с бизнесом, переводить с технического на нормальный и обратно, налаживать и выстраивать процессы, прилично принимаю технические решения.

Шар, репост, лайк, благодарность в случае успеха!

«Для того, чтобы догнать лидеров, необходимо 5-6 лет. Или если мерять в попугаях 3-4 директора по цифровой трансформации»

https://ruitunion.org/posts/2024-12-20-we-were-exposed/

Коллеги из "профсоюза" немного ущемились моими вопросами в комментариях и выложили пост. Вот и дальше получается, вот есть Синодов (или например я). У нас есть фамилия, имя, отчество, какие-то координаты, история.
И есть простой русский анонимный программист Мыкола, из которого состоит ИТ-профсоюз. Мы абсолютно прозрачное горизонтальное сообщество, в котором есть НОЛЬ людей, которые могут назвать свое ФИО, вступай в чат, борись за права народа!