Как же я мог забыть про бриллиант. Спасибо коллеге, что напомнил.

Мы делаем 4 релиза в неделю и вот наш секрет:
1. Выпускаем билд. Т.к. цель - количество, а не качество, билд - говно.
2. Выпускаем хот фикс. Теперь билд хотя бы не падает на старте
3. Делаем пересборку с инкрементом версии. Нет, новой функциональности или багфикса нет. Только поднятие версии и всё
4. Повторяем предыдущий шаг ещё раз

Вот знаете, иногда бывает, что во время мозгового штурма предлагаешь какой-то бред, просто чтобы посмеялись и разрядили обстановку. А тут ребята натурально хвастаются, что 8 раз в месяц (считаю, что в месяце 4 недели) выпускают один и тот же билд без изменений и 4 раза в месяц выпускают сбоку, с заведомо проблемами.

Теперь утечка у ГикБрейнса. Это говорит о том, что ИБ отдел не обучался на собственных курсах или что курсы такие?

Коллеги автотестеры. Я уже смирился с вашими слипами в коде. Но заклинаю вас, прекратите бороться с флаками путём двух-трёх перезапусков.

Всякий раз, когда вы считаете, что это допустимый подход, прям вешайте себе лещей или просите кого-нибудь отвесить его вам. Вы можете связаться со мной, я приёду и отвешаю лично, только чтобы вы перестали делать перезапуски.

Нестабильный автотест - это не работающий тест вовсе. Его надо переписать или выбросить к хренам, заменив на другие, пусть даже несколько вместо одного.

У меня для вас есть три объяснения, почему нельзя делать перезапуски:
1. Вы привыкните к тому, что это нестабильный тест и пропустите момент, когда он станет падать не из-за внешней проблемы, типа тупой тестовой сети, а из-за проблемы продукта, например его зависания
2. Вы привыкните к подходу "количество тестов важнее их качества". А потом, когда к вам приду я, мне придётся всё это выбрасывать и писать снова, но уже как положено. Возможно придётся выбросить и вас, потому что необучаемые идиоты не должны допускаться к станку. Шучу, конечно. Просто большая масса тестов с заметной долей нестабильных не будет ничего говорить о стабильности продукта. Другими словами, время, потраченное на написание таких тестов было убито зря. Буквально, вы зря прожили в мире вот те часы жизни, которые уже никогда не вернёте
3. Я так сказал

Мигающие тесты с перезапусками допустимы только в случае, когда вы нарочно работаете с плохих условиях и вам нужно знать лишь только жив продукт или умер. То есть если тест и после пяти перезапусков стабильно не проходит, то только тогда пойдёте разбираться с причиной. Но даже в этом случае это не может быть тест из набора, которым проверяется качество продукта. Это пригодно для просто индикации, когда тест гоняется бесконечно 24/7. У меня таких тестов менее десятка и все они выполняются за 1 проход и этот проход занимает 3 минуты. Тесты не выключаются никогда, кроме как на обслуживание.

Но даже это ничтожное количество бесконечных тестов с 2 попытками прохода стабилизировал несколько дней. И продолжаю это делать — не смотря на то, что в данном конкретном случае флаки доспустим с натяжкой, т.к. он не про продукт, а про доступность инфраструктуры, которой я не управляю, всё равно повторы — зло.

В чём суть видео. В Android 12 и 13 (ниже не проверял) есть ошибка, которую успешно уже использует ВотсАпп, здесь и сейчас. Если отозвать разрешение специальным способом (в GUI вы так не сделаете, но это разрешение для всяких MDM решений и для разработчиков прошивок), то оно как бы отзовётся. Но на самом деле всё равно будет предоставлено. Причём оно будет предоставлено в обход журналов безопасности Андроид и в обход индикаторов.

Под ударом все разработчики прошивок, MDM решений и пользователи альтернативных прошивок, где этот механизм вытянут наружу.

Добавлено: пожалуй, выскажусь более нейтрально. Про MDM решения я ПРЕДПОЛАГАЮ, про альтернативные прошивки и разработчиков прошивок в принципе - это совершенно точно.

Ну и да. Вы даже без рута можете использовать эту фичу, между прочим. То есть она не требует прям совсем уж суровых прав, потому её легко и вытаскивают наружу производители прошивок.

Google отписал, что проверили у себя и всё работает как положено - происходит запись тишины. Ребята просто посмотрели, что рисуется пустая линия, будто бы тишина, но не попытались воспроизвести запись.
Признаюсь, я сам также сделал в самый первый раз, как об этой проблеме стало известно. В Гугле сидят такие же безотвественные люди, как и я :)

Хотя, на самом деле, ребята у них похуже. Потому что я приложил 2 видео с воспроизведением, записанное с двух разных источников, чтобы было видно, что это не монтаж

Что же, сейчас отправил ещё один видос, который только что записал. Если и после этого скажут, что всё нормально, перестану пытаться доказать им что-то

Смотрите, ахахахах, как смешно, ахахаха, вот умора.
1. Опустим, что так пути писать нельзя
2. Опустим, что в Windows есть сразу несколько механизмов защиты от подобного
3. Самое главное - os.remove() вообще не удаляет директории в Python. Не важно, пустая папка, не пустая, защищённая или нет. Если это папка, то метод бросит исключение IsADirectoryError и скрипт просто упадёт

Шутники хреновы.

https://id.vk.ru

Есть вот такой ID для логина в разные сервисы. На сайте большими буквами написано, что профиль в социальной сети "вконтакте" не требуется. Ну то есть VK ID - это такой аналог openID, например. Ну, лады. Он необходим для работы RuStore. Этот магазин приложений не работает больше без VK ID.

Создал ID. А сменить имя не могу. В техподдержке сказали, что сменить можно через сайт. Хорошо, сменил имя. Заодно поставил пароль, включил 2FA и решил привязать ещё email, вдруг доступ к телефонному номеру будет утерян.

Привязал email и на почту упало письмо, где нужно пройти по ссылке для подтверждения. Ну, стандартно. Проходишь по ссылке и сразу получаешь профиль вконтакте.

ТП ответили, что удалить профиль вконтакте без удаления vk id не получится. Не нравится - используйте sber id. Которого у меня нет.

Даже понятно, что это происходит потому что сервис, который был создан только для ВК пытаются выдрать, но у него осталось ещё очень много завязок на социальную сеть и они то и дело стреляют. Но зачем тогда большими буквами писать про то, что профиль не нужен?

Наша команда сделала PoC для демонстрации и Google таки признал проблему:

Based on our published severity assessment matrix (1) it was rated as Moderate severity. This issue has been assigned to the appropriate team for remediation, and we’re targeting a fix for release in an upcoming quarterly update of Android.

Ну то есть когда я им видосы с реальным приложением - WhatsApp показывал - они говорили, что всё норм, я тупой прост. Когда им предоставили хелло ворд с таким же поведением, Гугл такие: "ой, да, правда". Я, возможно, сгущаю краски, но выглядит так, что Вотсапу просто можно слушать микрофон скрыто, вот и проигнорировали. А теперь уже нельзя, т.к. есть ещё приложение и оно, ужас, от разработчиков из России.

Но, возможно, это была просто лень тех, кто делал первую проверку. Выбирайте для себя тот вариант, который вам нравится.

Напоминаю, что уязвимость затрагивает OEM производителей (типа Samsung, ага) и разработчиков MDM решений. Это API для них. Ну и в кастомах всяких оно тоже может быть использовано.

Читали уже сообщение гражданина Дурова П.? https://t.me/durov/196 Он в очередной раз поносит WhatsApp за его дырявость, но делает это так, что лучше бы молчал. Там почти в каждом абзаце перегибание палки.

И начинается прямо с самого первого предложения: "Hackers could have full access (!) to everything on the phones of WhatsApp users." Действительно, WhatsApp исправил две RCE: https://www.cvedetails.com/vulnerability-list/vendor_id-19851/product_id-54433/year-2022/opec-1/Whatsapp-Whatsapp.html (ещё 20 июля, если вам интересно) Им ещё даже рейтинг не присвоили. Только каким образом, интересно, можно получить полный доступ к телефону, если само WhatsApp живёт в песочнице у обеих мобильных ОС? Доступ можно получить не далее, чем дозволено самому приложению. И даже этот набор данных ограничивается песочницей — приложения не могут просто так взять и скрыто считать всё вокруг — обе ОС дают по рукам за такое сегодня. В общем, даже без проведения импакт анализа Павел уже сделал выводы "полный доступ, отвечаю". Да и не известно ещё, кто нашёл. Одно дело ITW (то есть реально используемая), а другое - Project X какой-нибудь или вообще сами разработчики продукта.

Далее следует утверждение, что обновление клиента не поможет защититься, потому что дыры находились и раньше. Простите? Вам не поможет это сегодня и завтра, потому что вчера были проблемы? Но ладно, мы понимаем, что он имеет в виду: проблемы могут появиться. И, с одной стороны, да, так и есть! Дыры в приложениях бывают. Их находят, исправляют. Такова жизнь — никто не умеет писать идеальный код. Но с другой стороны — дыры могут быть завтра, даже если вчера их не было. По той же самой причине — никто не может писать сразу идеальный код.

Отдельно мне нравится такой мелкий наброс "Prior to 2016, WhatsApp didn't have encryption at all." Он сделан одним предложением в конце абзаца. Во-первых он выглядит в целом странно. Ну да, до 2016 не было шифрования. Мы что, в 2015-ом до сих пор или что? А во-вторых, сам Telegram до сих пор не имеет e2e шифрования по умолчанию. Почему Павел не пишет каждый день сообщения "Не используйте стандартные чаты Телеграма для переписок. Все ваши данных хранятся на серверах и открыты для изъятия. Телеграм не использует оконечное шифрование по умолчанию. Телеграм не приватен". Ведь у самого WhatsApp, пусть и только для чатов 1 на 1, как раз таки используется оконечное шифрование [добавлено: см. следующее сообщение]. То есть если просто начать общение с человеком в WhatsApp и в Telegram, первый не позволит Meta читать ваши переписки, а второй всё сохранит у себя и предоставит кому надо.

Далее идёт повторение тех же самых утверждений — WhatsApp не безопасен. Видимо Павел думает, что Telegram выбирают из-за приватности. Но нет. Его выбирают ради того же, ради чего раньше выбирали VK: очень удобная доставка пиратского контента, порно, новостей и записей интересных людей. Всего этого лишены и WhatsApp, и Signal. Если бы люди реально выбирали защиту своих переписок, все сидели бы на Jabber с PGP и в ус не дули.

В общем, хочу лишний раз напомнить. Telegram НЕ анонимен и НЕ приватен. Если вам нужна приватность + удобство, но можно пожертвовать анонимностью — есть Signal. Почему не секретные чаты Телеги? Просто потому что ВЫ про них знаете, а ваш собеседник может не знать и создать обычный чат. В Signal же нельзя создать не безопасный чат и знать про это ничего не требуется. Но Signal не анонимен. Если вам нужна ещё и анонимность, то к вашим услугам Briar, например. Если вам страшно смотреть на такой интерфейс или не хватает фич — используйте клиенты для Matrix: https://matrix.org/docs/projects/try-matrix-now/ Например, element. Если вы в принципе не хотите, чтобы сервер был где-то там, пусть даже e2ee используется, то поднимите его у себя https://matrix-org.github.io/synapse/latest/ и используйте эти же самые клиенты. Вариантов масса.

Ну и всегда нужно помнить, как Telegram запрещали там и сям, Пашка прилетал в страну и запреты отменяли. Ох не своим шикарным прессом он всех уговаривал.

Важная инфа по шифрованию WhatsApp. Мне верно подсказали, что e2ee в нём работает и в групповых чатах тоже, а не только 1 на 1. Как тебе такое, Павел? https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

А подгрузка нескольких прошлых сообщений происходит благодаря тому, что главное устройство просто отправляет копию последних сообщений, чтобы новичок был в контексте диалога.

До этого я считал, что групповые чаты не шифруются, потому я видел сообщения родительского чата после добавления. Но нет, это со мной устройство администратора поделилось и не всеми, а несколькими последними. А клиент на своей стороне отрисовал всё так, будто я был участником чата и раньше.

WhatsApp > Telegram

Если кто не знает (я не знал), в Госуслугах, наконец, добавили TOTP как второй фактор. Бегом включать! Впрочем, ГУ сделали всё по-своему и вам не дадут резервных кодов на случай, если потеряете второй фактор

Шикарный диалог: https://lor.sh/@hardworm/109268134125401614 Полезен и для аналитиков, которые не определяют предельных значений, и для тестировщиков, которые отталкиваются только от того, что в требованиях, игнорируя разум

ВТБ Мультибонус. Нищая компания ВТБ не может себе позволить нормальных разработчиков и тестировщиков

- Михалыч, нам ещё минус 18 тыщ надо!
- Да не могу, у меня null ещё в очереди!

https://issuetracker.google.com/issues/207626322

Google сломал эмулятор для образа API level 31 (Android 12). При чём оно сначала работает. Потом запускаешь в очередной раз - а оно не запускается. Если запускать с флагом -verbose, то будет бесконечно писать

VERBOSE | VirtIO WiFi: unexpected full virtqueue
VERBOSE | No acpi ini file provided, using default
VERBOSE | No acpi ini file provided, using default

А я сначала грешил на Wayland, но решил таки поисследовать. И оказалось, что баг известный и ему всего-навсего год. Надо просто подождать ещё 10 лет и баг переведут в obsolete и закроют.