https://myachinqa.blogspot.com/2022/03/blog-post.html описал свои мысли о том, как бы лучше Яндексу и другим организовать работу своих доставок, дабы утечек не могло бы быть чисто технически
Blogspot
Схема Мячина. Об утечке Яндекса и других
Блог об Android и тестировании программного обеспечения. A blog about Android abd software testing.
👍1
Те ТГ каналы об инфобезе, на которые я подписан, все игнорируют очень любопытную вещь.
Вот все (кто варится в ИБ) слышали про CVE-2022-0847 - Dirty Pipe в Linux kernel 5.8 и выше (уже исправлена: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9d2231c5d74e13b2a0546fee6737ee4446017903)
Google затащил фикс к себе 24 февраля: https://android-review.googlesource.com/c/kernel/common/+/1998671 Этой уязвимости подвержены только самые свежие устройства, такие как Galaxy S22 от Samsung и Pixel 6 Pro от Google.
Но вот из-за чего я пишу это сообщение. Google так и не выпустил обновление для Android. Фикса нет ни в мартовских, ни в апрельских обновлениях безопасности:
- https://source.android.com/security/bulletin/2022-03-01
- https://source.android.com/security/bulletin/2022-04-01
Нет их ни в общих наборах, ни в персональных для Pixel. И тогда Samsung сам выпустил обновление для своих телефонов, закрыв уязвимость: https://security.samsungmobile.com/securityUpdate.smsb
Почему google не выпускает обновление? Уж не является ли эта дыра - для кого надо дыра? И тот, "кто надо", попросил Гугл придержать с обновлением, а Гугл и взял под козырёк?
Вот все (кто варится в ИБ) слышали про CVE-2022-0847 - Dirty Pipe в Linux kernel 5.8 и выше (уже исправлена: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9d2231c5d74e13b2a0546fee6737ee4446017903)
Google затащил фикс к себе 24 февраля: https://android-review.googlesource.com/c/kernel/common/+/1998671 Этой уязвимости подвержены только самые свежие устройства, такие как Galaxy S22 от Samsung и Pixel 6 Pro от Google.
Но вот из-за чего я пишу это сообщение. Google так и не выпустил обновление для Android. Фикса нет ни в мартовских, ни в апрельских обновлениях безопасности:
- https://source.android.com/security/bulletin/2022-03-01
- https://source.android.com/security/bulletin/2022-04-01
Нет их ни в общих наборах, ни в персональных для Pixel. И тогда Samsung сам выпустил обновление для своих телефонов, закрыв уязвимость: https://security.samsungmobile.com/securityUpdate.smsb
Почему google не выпускает обновление? Уж не является ли эта дыра - для кого надо дыра? И тот, "кто надо", попросил Гугл придержать с обновлением, а Гугл и взял под козырёк?
👍1
Клиент ВТБ Онлайн под Андроид весит 400+ МБ: https://cdn.vtb.ru/apk/vtbonline.apk Странные люди
Идея для шоу. Сначала о каком-то проекте рассказывают менеджеры этих проектов. Показывают рекламные ролики этих проектов. Берут интервью у довольных пользователей.
Так набирают с десяток разных проектов разных фирм. Везде радуга и пони.
А потом тестировщики этих проектов собираются в баре, знакомятся, общаются, пьют. И начинают друг другу рассказывать об этих проектах.
Вот тут и будет самый жир шоу. Послушать, что там творится на самом деле.
Так набирают с десяток разных проектов разных фирм. Везде радуга и пони.
А потом тестировщики этих проектов собираются в баре, знакомятся, общаются, пьют. И начинают друг другу рассказывать об этих проектах.
Вот тут и будет самый жир шоу. Послушать, что там творится на самом деле.
👍2
Извините за фото, а не скриншот, но вот так.
Это Win11 на 1440p без масштабирования
Это Win11 на 1440p без масштабирования
👍3
Смотрели Мобиус? Если нет, я написал для вас краткую суть:
- Мы почитали документацию и сейчас вам перескажем её, но кратко. По ссылке вы найдёте полную
- Мы посмотрели одну штуку, которая в статусе пре-альфа-прототип и даже начали внедрять. Она так красиво показывает анимации!!!
-Мы внедрили когда-то одну штуку, которая была в статусе пре-альфа-прототип, у нас всё падало, обратной совместимости апи не было, мы потратили миллиарды человеколет на сопровождение и багфикс, но теперь мы перешли, наконец, на другую штуку. Кстати, на момент презентации эта штука устарела на 15 версий, т.к. у нас там депенсити хелл, но мы всё равно расскажем, как всё получилось круто.
- Мы прикрутили красивые графики к CI. Они, конечно, ничего не означают и нужны только для вау-эффекта. Первые 2 часа мы сами в шоке были, ведь всё так красиво - кривые, спидометры, секции пирогов. Потом все забили на это хрен, конечно. Но посмотрите на скриншоты, ну круто же.
- Мы нашли очень крутой и хитрый баг, зарепортили о нём Гуглу, но Гугл кладёт на нас болт. Это, конечно, супер специфичный сценарий и вряд ли кто-то до конца жизни столкнётся с таким. Но мы всё равно расскажем вам свою историю, чтобы вы думали, насколько же мы крутые и шарим, а вы просто дно и не шарите.
- Наше приложение при старте лезло в сеть, чтобы отобразить на стартовом экране данные, весом в смешные 15 мегабайт. У нас всё работало в нашей идеальной сети на супер товопых устройствах, но нищеброды чёт ныли. Мы подключили наших супер экспертов и они придумали мега-технологию: кэш.
- Существуют фермы мобильных устройств. У нас, вот, есть. Спасибо за внимание.
- Флаттер сила! Нет, у нас нет плюсового кода, а почему вы спрашиваете?
- Мы почитали документацию и сейчас вам перескажем её, но кратко. По ссылке вы найдёте полную
- Мы посмотрели одну штуку, которая в статусе пре-альфа-прототип и даже начали внедрять. Она так красиво показывает анимации!!!
-Мы внедрили когда-то одну штуку, которая была в статусе пре-альфа-прототип, у нас всё падало, обратной совместимости апи не было, мы потратили миллиарды человеколет на сопровождение и багфикс, но теперь мы перешли, наконец, на другую штуку. Кстати, на момент презентации эта штука устарела на 15 версий, т.к. у нас там депенсити хелл, но мы всё равно расскажем, как всё получилось круто.
- Мы прикрутили красивые графики к CI. Они, конечно, ничего не означают и нужны только для вау-эффекта. Первые 2 часа мы сами в шоке были, ведь всё так красиво - кривые, спидометры, секции пирогов. Потом все забили на это хрен, конечно. Но посмотрите на скриншоты, ну круто же.
- Мы нашли очень крутой и хитрый баг, зарепортили о нём Гуглу, но Гугл кладёт на нас болт. Это, конечно, супер специфичный сценарий и вряд ли кто-то до конца жизни столкнётся с таким. Но мы всё равно расскажем вам свою историю, чтобы вы думали, насколько же мы крутые и шарим, а вы просто дно и не шарите.
- Наше приложение при старте лезло в сеть, чтобы отобразить на стартовом экране данные, весом в смешные 15 мегабайт. У нас всё работало в нашей идеальной сети на супер товопых устройствах, но нищеброды чёт ныли. Мы подключили наших супер экспертов и они придумали мега-технологию: кэш.
- Существуют фермы мобильных устройств. У нас, вот, есть. Спасибо за внимание.
- Флаттер сила! Нет, у нас нет плюсового кода, а почему вы спрашиваете?
👍7
Мой баг дня (записки тестировщика)
Смотрели Мобиус? Если нет, я написал для вас краткую суть: - Мы почитали документацию и сейчас вам перескажем её, но кратко. По ссылке вы найдёте полную - Мы посмотрели одну штуку, которая в статусе пре-альфа-прототип и даже начали внедрять. Она так красиво…
Как же я мог забыть про бриллиант. Спасибо коллеге, что напомнил.
Мы делаем 4 релиза в неделю и вот наш секрет:
1. Выпускаем билд. Т.к. цель - количество, а не качество, билд - говно.
2. Выпускаем хот фикс. Теперь билд хотя бы не падает на старте
3. Делаем пересборку с инкрементом версии. Нет, новой функциональности или багфикса нет. Только поднятие версии и всё
4. Повторяем предыдущий шаг ещё раз
Вот знаете, иногда бывает, что во время мозгового штурма предлагаешь какой-то бред, просто чтобы посмеялись и разрядили обстановку. А тут ребята натурально хвастаются, что 8 раз в месяц (считаю, что в месяце 4 недели) выпускают один и тот же билд без изменений и 4 раза в месяц выпускают сбоку, с заведомо проблемами.
Мы делаем 4 релиза в неделю и вот наш секрет:
1. Выпускаем билд. Т.к. цель - количество, а не качество, билд - говно.
2. Выпускаем хот фикс. Теперь билд хотя бы не падает на старте
3. Делаем пересборку с инкрементом версии. Нет, новой функциональности или багфикса нет. Только поднятие версии и всё
4. Повторяем предыдущий шаг ещё раз
Вот знаете, иногда бывает, что во время мозгового штурма предлагаешь какой-то бред, просто чтобы посмеялись и разрядили обстановку. А тут ребята натурально хвастаются, что 8 раз в месяц (считаю, что в месяце 4 недели) выпускают один и тот же билд без изменений и 4 раза в месяц выпускают сбоку, с заведомо проблемами.
👍6
Коллеги автотестеры. Я уже смирился с вашими слипами в коде. Но заклинаю вас, прекратите бороться с флаками путём двух-трёх перезапусков.
Всякий раз, когда вы считаете, что это допустимый подход, прям вешайте себе лещей или просите кого-нибудь отвесить его вам. Вы можете связаться со мной, я приёду и отвешаю лично, только чтобы вы перестали делать перезапуски.
Нестабильный автотест - это не работающий тест вовсе. Его надо переписать или выбросить к хренам, заменив на другие, пусть даже несколько вместо одного.
У меня для вас есть три объяснения, почему нельзя делать перезапуски:
1. Вы привыкните к тому, что это нестабильный тест и пропустите момент, когда он станет падать не из-за внешней проблемы, типа тупой тестовой сети, а из-за проблемы продукта, например его зависания
2. Вы привыкните к подходу "количество тестов важнее их качества". А потом, когда к вам приду я, мне придётся всё это выбрасывать и писать снова, но уже как положено. Возможно придётся выбросить и вас, потому что необучаемые идиоты не должны допускаться к станку. Шучу, конечно. Просто большая масса тестов с заметной долей нестабильных не будет ничего говорить о стабильности продукта. Другими словами, время, потраченное на написание таких тестов было убито зря. Буквально, вы зря прожили в мире вот те часы жизни, которые уже никогда не вернёте
3. Я так сказал
Мигающие тесты с перезапусками допустимы только в случае, когда вы нарочно работаете с плохих условиях и вам нужно знать лишь только жив продукт или умер. То есть если тест и после пяти перезапусков стабильно не проходит, то только тогда пойдёте разбираться с причиной. Но даже в этом случае это не может быть тест из набора, которым проверяется качество продукта. Это пригодно для просто индикации, когда тест гоняется бесконечно 24/7. У меня таких тестов менее десятка и все они выполняются за 1 проход и этот проход занимает 3 минуты. Тесты не выключаются никогда, кроме как на обслуживание.
Но даже это ничтожное количество бесконечных тестов с 2 попытками прохода стабилизировал несколько дней. И продолжаю это делать — не смотря на то, что в данном конкретном случае флаки доспустим с натяжкой, т.к. он не про продукт, а про доступность инфраструктуры, которой я не управляю, всё равно повторы — зло.
Всякий раз, когда вы считаете, что это допустимый подход, прям вешайте себе лещей или просите кого-нибудь отвесить его вам. Вы можете связаться со мной, я приёду и отвешаю лично, только чтобы вы перестали делать перезапуски.
Нестабильный автотест - это не работающий тест вовсе. Его надо переписать или выбросить к хренам, заменив на другие, пусть даже несколько вместо одного.
У меня для вас есть три объяснения, почему нельзя делать перезапуски:
1. Вы привыкните к тому, что это нестабильный тест и пропустите момент, когда он станет падать не из-за внешней проблемы, типа тупой тестовой сети, а из-за проблемы продукта, например его зависания
2. Вы привыкните к подходу "количество тестов важнее их качества". А потом, когда к вам приду я, мне придётся всё это выбрасывать и писать снова, но уже как положено. Возможно придётся выбросить и вас, потому что необучаемые идиоты не должны допускаться к станку. Шучу, конечно. Просто большая масса тестов с заметной долей нестабильных не будет ничего говорить о стабильности продукта. Другими словами, время, потраченное на написание таких тестов было убито зря. Буквально, вы зря прожили в мире вот те часы жизни, которые уже никогда не вернёте
3. Я так сказал
Мигающие тесты с перезапусками допустимы только в случае, когда вы нарочно работаете с плохих условиях и вам нужно знать лишь только жив продукт или умер. То есть если тест и после пяти перезапусков стабильно не проходит, то только тогда пойдёте разбираться с причиной. Но даже в этом случае это не может быть тест из набора, которым проверяется качество продукта. Это пригодно для просто индикации, когда тест гоняется бесконечно 24/7. У меня таких тестов менее десятка и все они выполняются за 1 проход и этот проход занимает 3 минуты. Тесты не выключаются никогда, кроме как на обслуживание.
Но даже это ничтожное количество бесконечных тестов с 2 попытками прохода стабилизировал несколько дней. И продолжаю это делать — не смотря на то, что в данном конкретном случае флаки доспустим с натяжкой, т.к. он не про продукт, а про доступность инфраструктуры, которой я не управляю, всё равно повторы — зло.
Будни тестировщика. Замер потребления трафика на видеозвонке передней и задней камерой. Чтобы кодеку приходилось создавать как можно больше ключевых кадров, выбрал единственный kPop клип, который знаю
👍5
В чём суть видео. В Android 12 и 13 (ниже не проверял) есть ошибка, которую успешно уже использует ВотсАпп, здесь и сейчас. Если отозвать разрешение специальным способом (в GUI вы так не сделаете, но это разрешение для всяких MDM решений и для разработчиков прошивок), то оно как бы отзовётся. Но на самом деле всё равно будет предоставлено. Причём оно будет предоставлено в обход журналов безопасности Андроид и в обход индикаторов.
Под ударом все разработчики прошивок, MDM решений и пользователи альтернативных прошивок, где этот механизм вытянут наружу.
Добавлено: пожалуй, выскажусь более нейтрально. Про MDM решения я ПРЕДПОЛАГАЮ, про альтернативные прошивки и разработчиков прошивок в принципе - это совершенно точно.
Ну и да. Вы даже без рута можете использовать эту фичу, между прочим. То есть она не требует прям совсем уж суровых прав, потому её легко и вытаскивают наружу производители прошивок.
Под ударом все разработчики прошивок, MDM решений и пользователи альтернативных прошивок, где этот механизм вытянут наружу.
Добавлено: пожалуй, выскажусь более нейтрально. Про MDM решения я ПРЕДПОЛАГАЮ, про альтернативные прошивки и разработчиков прошивок в принципе - это совершенно точно.
Ну и да. Вы даже без рута можете использовать эту фичу, между прочим. То есть она не требует прям совсем уж суровых прав, потому её легко и вытаскивают наружу производители прошивок.
👍7
Google отписал, что проверили у себя и всё работает как положено - происходит запись тишины. Ребята просто посмотрели, что рисуется пустая линия, будто бы тишина, но не попытались воспроизвести запись.
Признаюсь, я сам также сделал в самый первый раз, как об этой проблеме стало известно. В Гугле сидят такие же безотвественные люди, как и я :)
Хотя, на самом деле, ребята у них похуже. Потому что я приложил 2 видео с воспроизведением, записанное с двух разных источников, чтобы было видно, что это не монтаж
Признаюсь, я сам также сделал в самый первый раз, как об этой проблеме стало известно. В Гугле сидят такие же безотвественные люди, как и я :)
Хотя, на самом деле, ребята у них похуже. Потому что я приложил 2 видео с воспроизведением, записанное с двух разных источников, чтобы было видно, что это не монтаж
👍3
This media is not supported in your browser
VIEW IN TELEGRAM
Что же, сейчас отправил ещё один видос, который только что записал. Если и после этого скажут, что всё нормально, перестану пытаться доказать им что-то
👍2