Как отвечать баг-баунти хантерам?
В подкасте Самата про безопасность обсуждалась индустрия "охоты за багами" (АКА "баг-баунти" - это когда хакеры взламывают компанию из благих побуждений, чтобы потом вежливо сообщить об уязвимости и получить за это вознаграждение). Только у Самата это обсуждали с точки зрения баг-хантеров, а я расскажу, как это выглядит со стороны компании.
Начиная с какого-то уровня вашему стартапу начнут приходить вот такие письма (орфография сохранена).
Hallo dear frend! I'm an independant security researcher and found a really very critical vulnerability on your website. Please get back to me!
Я, сука, даже сквозь экран слышу индийский акцент.
Алгоритм взаимодействия такой:
1. Половина этих ребят, скорее всего, просто погоняли на вашем сайте какой-нибудь XSS сканер. Их познаний едва хватает, чтобы вбить в URL "
Одна группа дебилов из Алжира уже третий год долбит нас каким-то древним нюкером для phpMyAdmin, периодически утомляя нас шантажирующими "репортами".
Таких можно посылать даже не отвечая.
Ну или забанить Алжир, например.
2. Из оставшихся - у 90% будет одноразовый ящик на gmail, нежный возраст и кривой английский. Таких тоже можно посылать, даже если уязвимость более менее трушная, но вы про нее давно знаете и ее тупо лень чинить (это, кстати, тоже способ отмахаться от школьников - оставить им такой honeypot, чтобы не засирали логи, а поскорее отвалили хвастаться "взломом" перед одноклассниками).
Как послать их быстро и безболезненно - спросить у них полное имя и адрес "для инвойса". 90% обиженно сольются в туман.
Заодно спросите банковский счет, на который вы переведете вознаграждение. Это еще один фильтр от кулхацкеров, плюс, счет все равно понадобится, чтобы нормально заплатить и списать налоги на расходы компании, ну не биткойн же им кидать...
Если человек нормальный и действительно ресерчер, а не школьник с ломаной виндой, он, конечно, все пришлет.
Вообще, это тонкий лед. Пока уязвимость не разглашена - вы у хантера в заложниках и это неприятно. Ваш единственный leverage - осторожно узнать их персональные данные.
После разглашения уязвимости - в заложниках уже они у вас. И именно этим меня весь этот бизнес раздражает - обе стороны вынуждены лавировать в шаге от банального шантажа :(
3. С оставшимися персонажами уже можно работать. Скажите, что баг-баунти программы у вас нет, но вы с удовольствием заплатите за найденную уязвимость. Перед выплатой попросите подписать NDA (это важно), где они обещают не пользоваться уязвимостью в личных целях и не разглашать ее третьим лицам. По крайней мере, пока вы ее не пофиксите, хотя мы обычно просим не публиковать вообще никогда, ибо у нас есть клиенты с "self-hosted" версиями, которые постоянно забывают пропатчиться. Шаблоны договоров, кажется, были на hackerone
Однажды мы, кстати, забыли сделать такой договор и у нас был неприятный эпизод с солидной американской ресерч-компанией, которая сообщила нам об уязвимости, получила вознаграждение, а потом все равно опубликовала большой пост-мортем в своем блоге. И на все попытки спросить "ээээ??" отвечала в духе "ну и че вы нам сделаете?" Было обидно (см. выше про шантаж).
А вообще, если вас ломают - поздравляю, это признание
В подкасте Самата про безопасность обсуждалась индустрия "охоты за багами" (АКА "баг-баунти" - это когда хакеры взламывают компанию из благих побуждений, чтобы потом вежливо сообщить об уязвимости и получить за это вознаграждение). Только у Самата это обсуждали с точки зрения баг-хантеров, а я расскажу, как это выглядит со стороны компании.
Начиная с какого-то уровня вашему стартапу начнут приходить вот такие письма (орфография сохранена).
Hallo dear frend! I'm an independant security researcher and found a really very critical vulnerability on your website. Please get back to me!
Я, сука, даже сквозь экран слышу индийский акцент.
Алгоритм взаимодействия такой:
1. Половина этих ребят, скорее всего, просто погоняли на вашем сайте какой-нибудь XSS сканер. Их познаний едва хватает, чтобы вбить в URL "
or 1=1; drop database" и с этой уловкой они уже 10 лет ломятся на все сайты мира, не разбирая версий.Одна группа дебилов из Алжира уже третий год долбит нас каким-то древним нюкером для phpMyAdmin, периодически утомляя нас шантажирующими "репортами".
Таких можно посылать даже не отвечая.
Ну или забанить Алжир, например.
2. Из оставшихся - у 90% будет одноразовый ящик на gmail, нежный возраст и кривой английский. Таких тоже можно посылать, даже если уязвимость более менее трушная, но вы про нее давно знаете и ее тупо лень чинить (это, кстати, тоже способ отмахаться от школьников - оставить им такой honeypot, чтобы не засирали логи, а поскорее отвалили хвастаться "взломом" перед одноклассниками).
Как послать их быстро и безболезненно - спросить у них полное имя и адрес "для инвойса". 90% обиженно сольются в туман.
Заодно спросите банковский счет, на который вы переведете вознаграждение. Это еще один фильтр от кулхацкеров, плюс, счет все равно понадобится, чтобы нормально заплатить и списать налоги на расходы компании, ну не биткойн же им кидать...
Если человек нормальный и действительно ресерчер, а не школьник с ломаной виндой, он, конечно, все пришлет.
Вообще, это тонкий лед. Пока уязвимость не разглашена - вы у хантера в заложниках и это неприятно. Ваш единственный leverage - осторожно узнать их персональные данные.
После разглашения уязвимости - в заложниках уже они у вас. И именно этим меня весь этот бизнес раздражает - обе стороны вынуждены лавировать в шаге от банального шантажа :(
3. С оставшимися персонажами уже можно работать. Скажите, что баг-баунти программы у вас нет, но вы с удовольствием заплатите за найденную уязвимость. Перед выплатой попросите подписать NDA (это важно), где они обещают не пользоваться уязвимостью в личных целях и не разглашать ее третьим лицам. По крайней мере, пока вы ее не пофиксите, хотя мы обычно просим не публиковать вообще никогда, ибо у нас есть клиенты с "self-hosted" версиями, которые постоянно забывают пропатчиться. Шаблоны договоров, кажется, были на hackerone
Однажды мы, кстати, забыли сделать такой договор и у нас был неприятный эпизод с солидной американской ресерч-компанией, которая сообщила нам об уязвимости, получила вознаграждение, а потом все равно опубликовала большой пост-мортем в своем блоге. И на все попытки спросить "ээээ??" отвечала в духе "ну и че вы нам сделаете?" Было обидно (см. выше про шантаж).
А вообще, если вас ломают - поздравляю, это признание
👍1
S&P 500: привет, я вырос на 1%
Я: блин, рано
S&P 500: +2% !
Я: блин, рано
S&P 500: +3% !!
Я: а, ладно! возьму индексный фонд
S&P 500: -5%
Я: ....
Я: блин, рано
S&P 500: +2% !
Я: блин, рано
S&P 500: +3% !!
Я: а, ладно! возьму индексный фонд
S&P 500: -5%
Я: ....
Мой дружбан из большого инвест-банка любит повторять, что "от любого кризиса всегда, сука, выигрывают ИТ-шники".
Поболтал тут с несколькими знакомыми стартапами...
В сфере eCommerce-платформ все сидят в шоколаде. Шопифай, Магенто и весь этот долбаный ОКЕАН плагинов и сервисов для них - цветет бурным цветом. Народ, краснея, делится новостями, что этот март стал самым успешным месяцем в истории.
Джордан Гал, например, - основатель CartHook.com (платформа апселлинга и cart abandonment), - рассказал, что у них сейчас месячная выручка сильно больше, чем была за весь предрождественский сезон, со всеми его "черными пятницами", "cyber monday", Рождеством и Thanksgiving'ом вместе взятыми (!).
Говорит, что это очень сюрреалистичное чувство - с одной стороны у тебя огромный MRR и очередь из инвесторов, с другой - паника за окном и отсутствие туалетной бумаги.
Такие сервисы сейчас в самом sweet spot - они, с одной стороны, сидят внутри переживающей бум индустрии, с другой - избавлены от всего геморроя с собственно доставкой и сбором заказов. Просто присосались сбоку и отъедают свой кусок.
Сами еКоммерсы тоже, в общем, неплохо себя чувствуют, но ходят с красными глазами, не спят ночами и вообще еле живы - ибо за считанные дни у них ебнул такой рост, которого они собирались ждать годами.
У них не "sweet", у них "SWEAT spot". Сервера лагают, курьеры не успевают, телефонисты охуевают, заказы не уезжают. Те, кто успел заскейлиться и как-то справиться с потоком - сделали это в долг и теперь не спят ночами, ибо понимают, что вирус не навсегда.
Один "знакомый знакомого" год назад решил дауншифтнуться и запустил ферму-стартап в Коннектикуте - чтобы сидеть в глуши, курить траву и тихо выращивать эко-шмеко молоко, яйца и прочую херь "без глютена"... У них тоже теперь бум. Ибо весь Нью-Йорк ломанулся жить в загородные дома, а он теперь носится на джипе по соседям и срочно скупает коров. Дауншифтнулся парень.
Хуже всего консалтинговым компаниям. Ребята лишились клиентов. СЕОшники, интеграторы, ИТ-консалтеры распускают офисы и задерживают бонусы.
"Некритичные" SaaS-продукты, которые не встроены в ядро бизнеса, тоже замедлились. Всякая там SMM-аналитика и прочие кэжуал продукты "потыкать раз в неделю, если не забыл" оказались нахер никому не нужны.
Зато "критичные" SaaS-продукты, которые встроены в core-процессы и без которых бизнес уже не может (ну типа github, office365, JIRA... или мы, хехе) - вообще ничего не почувствовали. Ни вверх, ни вниз. Небольшой рост у тех, кто помогает работать удаленно, но - небольшой.
Ну и, конечно, стоящий над всем этим Zoom. У которого плодятся клоны и раз в пару дней находят очередную дыру в безопасности/приватности - это уже даже смешно.
Как-то так. На репрезентативность выборки не претендую.
Поболтал тут с несколькими знакомыми стартапами...
В сфере eCommerce-платформ все сидят в шоколаде. Шопифай, Магенто и весь этот долбаный ОКЕАН плагинов и сервисов для них - цветет бурным цветом. Народ, краснея, делится новостями, что этот март стал самым успешным месяцем в истории.
Джордан Гал, например, - основатель CartHook.com (платформа апселлинга и cart abandonment), - рассказал, что у них сейчас месячная выручка сильно больше, чем была за весь предрождественский сезон, со всеми его "черными пятницами", "cyber monday", Рождеством и Thanksgiving'ом вместе взятыми (!).
Говорит, что это очень сюрреалистичное чувство - с одной стороны у тебя огромный MRR и очередь из инвесторов, с другой - паника за окном и отсутствие туалетной бумаги.
Такие сервисы сейчас в самом sweet spot - они, с одной стороны, сидят внутри переживающей бум индустрии, с другой - избавлены от всего геморроя с собственно доставкой и сбором заказов. Просто присосались сбоку и отъедают свой кусок.
Сами еКоммерсы тоже, в общем, неплохо себя чувствуют, но ходят с красными глазами, не спят ночами и вообще еле живы - ибо за считанные дни у них ебнул такой рост, которого они собирались ждать годами.
У них не "sweet", у них "SWEAT spot". Сервера лагают, курьеры не успевают, телефонисты охуевают, заказы не уезжают. Те, кто успел заскейлиться и как-то справиться с потоком - сделали это в долг и теперь не спят ночами, ибо понимают, что вирус не навсегда.
Один "знакомый знакомого" год назад решил дауншифтнуться и запустил ферму-стартап в Коннектикуте - чтобы сидеть в глуши, курить траву и тихо выращивать эко-шмеко молоко, яйца и прочую херь "без глютена"... У них тоже теперь бум. Ибо весь Нью-Йорк ломанулся жить в загородные дома, а он теперь носится на джипе по соседям и срочно скупает коров. Дауншифтнулся парень.
Хуже всего консалтинговым компаниям. Ребята лишились клиентов. СЕОшники, интеграторы, ИТ-консалтеры распускают офисы и задерживают бонусы.
"Некритичные" SaaS-продукты, которые не встроены в ядро бизнеса, тоже замедлились. Всякая там SMM-аналитика и прочие кэжуал продукты "потыкать раз в неделю, если не забыл" оказались нахер никому не нужны.
Зато "критичные" SaaS-продукты, которые встроены в core-процессы и без которых бизнес уже не может (ну типа github, office365, JIRA... или мы, хехе) - вообще ничего не почувствовали. Ни вверх, ни вниз. Небольшой рост у тех, кто помогает работать удаленно, но - небольшой.
Ну и, конечно, стоящий над всем этим Zoom. У которого плодятся клоны и раз в пару дней находят очередную дыру в безопасности/приватности - это уже даже смешно.
Как-то так. На репрезентативность выборки не претендую.
If you are no longer interested in a project you started, maybe you already got what you came for
На HN кто-то пожаловался, что не может долго работать над сайд-проектами. Концентрации хватает на 3-4 дня погружения, дальше становится скучно. Через пару недель - rinse and repeat - работаем над новым сайд-проектом.
(Мой сын так собирает Лего: как только конструктор собран - он теряет к нему интерес)
В ответ кто-то посоветовал охерическую книгу Refuse to Choose Барбары Шер. Основная мысль:
"If you are no longer interested in a project you started, maybe you already got what you came for"
Несмотря на то, что Барбара - специалист по "личностному росту", "самореализации" и прочему буллшиту, эта книга - прикольная.
Если совсем вкратце - там описан специальный психотип людей - "Сканеры". Если вы Сканер - вам интересно делать десять дел одновременно. Сканеры любят учиться, пробовать и генерить идеи.
Не надо путать это с ADHD. ADHD (он же "синдром дефицита внимания") - это когда через 10 минут довольно поверхностной работы вы вдруг обнаруживаете себя смотрящим комиков на ютубе.
Сканеры же погружаются в свои множественные проекты с головой. Они испытывают искреннее и очень интенсивное любопытство сразу по нескольким направлениям.
В отличие от ADHD-шников, во все эти направления они закапываются полностью, не замечая окружающего мира. При этом постоянно между ними переключаясь (самые прокачанные - проваливаются в несколько кроличьих нор одновременно).
И вместо того, чтобы с этим бороться - научитесь этим наслаждаться.
Большинство программистов - сканеры. Помните об этом, земляне!
UPD: русский перевод "Отказываюсь выбирать". Сами книги тут: амазон - лабиринт. Впрочем, я уже все рассказал
На HN кто-то пожаловался, что не может долго работать над сайд-проектами. Концентрации хватает на 3-4 дня погружения, дальше становится скучно. Через пару недель - rinse and repeat - работаем над новым сайд-проектом.
(Мой сын так собирает Лего: как только конструктор собран - он теряет к нему интерес)
В ответ кто-то посоветовал охерическую книгу Refuse to Choose Барбары Шер. Основная мысль:
"If you are no longer interested in a project you started, maybe you already got what you came for"
Несмотря на то, что Барбара - специалист по "личностному росту", "самореализации" и прочему буллшиту, эта книга - прикольная.
Если совсем вкратце - там описан специальный психотип людей - "Сканеры". Если вы Сканер - вам интересно делать десять дел одновременно. Сканеры любят учиться, пробовать и генерить идеи.
Не надо путать это с ADHD. ADHD (он же "синдром дефицита внимания") - это когда через 10 минут довольно поверхностной работы вы вдруг обнаруживаете себя смотрящим комиков на ютубе.
Сканеры же погружаются в свои множественные проекты с головой. Они испытывают искреннее и очень интенсивное любопытство сразу по нескольким направлениям.
В отличие от ADHD-шников, во все эти направления они закапываются полностью, не замечая окружающего мира. При этом постоянно между ними переключаясь (самые прокачанные - проваливаются в несколько кроличьих нор одновременно).
И вместо того, чтобы с этим бороться - научитесь этим наслаждаться.
Большинство программистов - сканеры. Помните об этом, земляне!
UPD: русский перевод "Отказываюсь выбирать". Сами книги тут: амазон - лабиринт. Впрочем, я уже все рассказал
В американском твиттере быстро набирает обороты трогательный флешмоб #buystamps он же #SaveThePostOffice
Почтовые службы вего мира, включая USPS (государственная почта США), испытывают сейчас огромные трудности.
Если очень вкратце: в любой стране есть труднодоступные районы, куда можно добраться только на гидросамолете или, скажем, на снегоходе. И почта все равно гарантирует туда доставку - об этом в конституции многих стран даже есть целая статья.
Коммерческие службы DHL/FedEX с этой глухоманью связываться не хотят и со всеми этими геморройными посылками они делают что? Правильно - выгружают на ближайшей почте.
Почта это "последняя миля" доставки в большинстве rural-районов. При этом доставка пакета туда все равно стоит 50 центов - цена одной марки. Отрицательная прибыль на этих участках компенсировалась супердешевой доставкой в больших городах.
Но эта бизнес модель в последний месяц, конечно, сильно исказилась: в городах писем и открыток стало меньше, а за городом - больше.
При этом в Америке, например, почта не финансируются из бюджета, их единственный источник выручки - продажа вот этих самых марок. Трамп выкручивается и специально тянет с обещанной помощью, ибо хочет воспользоваться моментом и приватизировать почту, что конечно разрушит "последнюю милю", ибо она абсолютно, катастрофически нерентабельна.
Собственно, потому и начался трогательный флешмоб "купи марку - спаси почту".
Большой эмоциональный твиттер-тред американского почтальона с которого все началось https://twitter.com/lildipshit3/status/1248741868440940544
Почтовые службы вего мира, включая USPS (государственная почта США), испытывают сейчас огромные трудности.
Если очень вкратце: в любой стране есть труднодоступные районы, куда можно добраться только на гидросамолете или, скажем, на снегоходе. И почта все равно гарантирует туда доставку - об этом в конституции многих стран даже есть целая статья.
Коммерческие службы DHL/FedEX с этой глухоманью связываться не хотят и со всеми этими геморройными посылками они делают что? Правильно - выгружают на ближайшей почте.
Почта это "последняя миля" доставки в большинстве rural-районов. При этом доставка пакета туда все равно стоит 50 центов - цена одной марки. Отрицательная прибыль на этих участках компенсировалась супердешевой доставкой в больших городах.
Но эта бизнес модель в последний месяц, конечно, сильно исказилась: в городах писем и открыток стало меньше, а за городом - больше.
При этом в Америке, например, почта не финансируются из бюджета, их единственный источник выручки - продажа вот этих самых марок. Трамп выкручивается и специально тянет с обещанной помощью, ибо хочет воспользоваться моментом и приватизировать почту, что конечно разрушит "последнюю милю", ибо она абсолютно, катастрофически нерентабельна.
Собственно, потому и начался трогательный флешмоб "купи марку - спаси почту".
Большой эмоциональный твиттер-тред американского почтальона с которого все началось https://twitter.com/lildipshit3/status/1248741868440940544
Twitter
Dingus J McGee, ESQ*, OBE*
Okay, I've been with USPS for several years now, so here's my big dumb #SaveThePostOffice thread. I don't know how many tweets it's gonna take for me to ramble through my thoughts, so stick with me. Or don't, whatever.
GitHub for teams с сегодняшнего дня стал бесплатным.
И во всех в бесплатных аккаунтах теперь анлимит на кол-во контрибьюторов.
https://twitter.com/github/status/1250092060339773441
И во всех в бесплатных аккаунтах теперь анлимит на кол-во контрибьюторов.
https://twitter.com/github/status/1250092060339773441
Twitter
GitHub
Today we’re announcing free private repositories with unlimited collaborators for teams with GitHub Free, and reducing the price of our paid Team plan to $4 per user/month. All of the core GitHub features are now free for everyone. Learn more: github.co/2RDo6SL
Постоянно на пробежках залипаю над вопросами бытия "после вируса".
Что будет со свободой перемещения? Станет ли, допустим, прививочный сертификат обязательным для визы в США?
Что будет с трудовой миграцией и индустрией гастарбайтеров? На ней, чего скрывать, держится половина экономики. Все прибалты, румыны и поляки, которые раньше работали в Даниях-Норвегиях (и паромы в наших северных морях заполнены, в основном, сезонными рабочими), а теперь сидят дома - кто работает вместо них?
Будет ли буст беспилотных автомобилей и прочей ML-роботизации, которая раньше сдерживались этическими стенаниями - "ойвэй, куда мы денем армию дальнобойщиков, которых только в США 4 миллиона?" - а теперь этот барьер вдруг сам собой растворяется...
И вдруг жена шлет мне статью exactly про это все, вот прямо в точку: https://www.forbes.ru/biznes/398231-tri-bolezni-civilizacii-kotorye-obostril-koronavirus почитайте, крутая и без нытья.
Что будет со свободой перемещения? Станет ли, допустим, прививочный сертификат обязательным для визы в США?
Что будет с трудовой миграцией и индустрией гастарбайтеров? На ней, чего скрывать, держится половина экономики. Все прибалты, румыны и поляки, которые раньше работали в Даниях-Норвегиях (и паромы в наших северных морях заполнены, в основном, сезонными рабочими), а теперь сидят дома - кто работает вместо них?
Будет ли буст беспилотных автомобилей и прочей ML-роботизации, которая раньше сдерживались этическими стенаниями - "ойвэй, куда мы денем армию дальнобойщиков, которых только в США 4 миллиона?" - а теперь этот барьер вдруг сам собой растворяется...
И вдруг жена шлет мне статью exactly про это все, вот прямо в точку: https://www.forbes.ru/biznes/398231-tri-bolezni-civilizacii-kotorye-obostril-koronavirus почитайте, крутая и без нытья.
Forbes.ru
Три болезни цивилизации, которые обострил коронавирус
Удар, нанесенный пандемией человеческой цивилизации, сравним с последствиями мировой войны. Чтобы выйти из этого испытания, человечеству придется искать новые пути глобальной кооперации, считает глава венчурного фонда «Орбита Кэпитал Партнерз» Евгени
Я тут запилил небольшой weekend project - шеринг экрана через браузер.
Никакого софта, никаких экстеншенов, полностью бесплатно, нужен только браузер. Пока надежно работает в Хроме, ненадежно - в FF. Сафари на подходе.
Потестируйте плз, а? И напишите в личку, если че.
https://www.jitbit.com/screensharing/
PS. Если интересно: работает через WebRTC. Стриминг видео происходит прямо между двумя браузерами, никаких серверов, сплошной p2p (отсюда, кстати, проблемы с НАТом, хотя мы вроде тестили). Плюс сигнальный сервер на Ноде для хендшейка, обмена сигнатурами и управления "комнатами".
Технологии WebRTC уже лет восемь, но она в статусе "вечной беты". Слава богу, с прошлого года хотя бы не надо ставить никаких экстеншенов, в большинстве браузеров все работает из коробки (правда они все равно виснут и вылетают).
Между тем, штука классная, вполне может когда-нибудь вытеснить традиционный софт (все эти Зумы и тимвьюверы).
Мне дико понравилось ее изучать - сразу на собственной жопе чувствуешь все прелести сетевого программирования (даже в таком детсадовском варианте): клиенты, сервера, хендшейки, сокеты, сигналеры, p2p-дискавери и прочее...
С одной стороны ничего сложного и код примитивный (можете глянуть "view source" на страничке). С другой - процесс разработки выглядит так: у тебя открыто 5 окон (фронты, беки, окна с девтулзами), во всех окнах понатыканы брейкпойнты, ты перепрыгиваешь между ними и пытаешься не сойти с ума (и не прибить заглянувших в комнату детей)
В общем, кому не лень - жду фидбека. Хотим сделать из этого полноценный (бесплатный) продукт.
Никакого софта, никаких экстеншенов, полностью бесплатно, нужен только браузер. Пока надежно работает в Хроме, ненадежно - в FF. Сафари на подходе.
Потестируйте плз, а? И напишите в личку, если че.
https://www.jitbit.com/screensharing/
PS. Если интересно: работает через WebRTC. Стриминг видео происходит прямо между двумя браузерами, никаких серверов, сплошной p2p (отсюда, кстати, проблемы с НАТом, хотя мы вроде тестили). Плюс сигнальный сервер на Ноде для хендшейка, обмена сигнатурами и управления "комнатами".
Технологии WebRTC уже лет восемь, но она в статусе "вечной беты". Слава богу, с прошлого года хотя бы не надо ставить никаких экстеншенов, в большинстве браузеров все работает из коробки (правда они все равно виснут и вылетают).
Между тем, штука классная, вполне может когда-нибудь вытеснить традиционный софт (все эти Зумы и тимвьюверы).
Мне дико понравилось ее изучать - сразу на собственной жопе чувствуешь все прелести сетевого программирования (даже в таком детсадовском варианте): клиенты, сервера, хендшейки, сокеты, сигналеры, p2p-дискавери и прочее...
С одной стороны ничего сложного и код примитивный (можете глянуть "view source" на страничке). С другой - процесс разработки выглядит так: у тебя открыто 5 окон (фронты, беки, окна с девтулзами), во всех окнах понатыканы брейкпойнты, ты перепрыгиваешь между ними и пытаешься не сойти с ума (и не прибить заглянувших в комнату детей)
В общем, кому не лень - жду фидбека. Хотим сделать из этого полноценный (бесплатный) продукт.
jitbit.com
Screen sharing
Free screen sharing via a browser, no software needed
Нас часто спрашивают (tm) как мы умудрились заполучить столько крутых имен на нашей странице "Клиенты", неужели у всех спрашивали разрешения?
Мол, во всех этих корпорациях наверняка сидят целые отделы бездельников (зачеркнуто) юристов, следящие за использованием торговых марок. С ними ведь придется договариваться?
Не придется, просто включите в EULA (тот самый текст "лицензионного соглашения", который никто никогда не читает) пункт "By installing this software you agree to be listed... бла-бла-бла"
И когда очередной интерн с длиииииииииинной емейл подписью напишет вам "эээ, ало??" вежливо отвечаете ему "иди нахер".
P.S. Но помните, что это, все-таки, чит. Лезть в бутылку не стоит. Если клиент настойчив - да уберем, жалко что-ли. Но таких будет ОЧЕНЬ мало.
Мол, во всех этих корпорациях наверняка сидят целые отделы бездельников (зачеркнуто) юристов, следящие за использованием торговых марок. С ними ведь придется договариваться?
Не придется, просто включите в EULA (тот самый текст "лицензионного соглашения", который никто никогда не читает) пункт "By installing this software you agree to be listed... бла-бла-бла"
И когда очередной интерн с длиииииииииинной емейл подписью напишет вам "эээ, ало??" вежливо отвечаете ему "иди нахер".
P.S. Но помните, что это, все-таки, чит. Лезть в бутылку не стоит. Если клиент настойчив - да уберем, жалко что-ли. Но таких будет ОЧЕНЬ мало.
Jitbit
Our clients - Jitbit
Jitbit's clients list. These companies use our software on a daily basis
При работе с аутсорсерами из бывшего СНГ больше всего раздражает вопрос "а какой у вас бюджет?"
Распространено среди маркетологов, пиарщиков, сеошников и иногда даже программеров.
- Надо сделать XYZ.
- А какой у вас бюджет?
Да любой у нас бюджет, епта. Вот вам задача. Вот измеримый результат - в цифрах. Сходите, подумайте, взвесьте, оцените сложность. И назовите цену. Хотите 100 долларов - заплатим 100 долларов. Хотите 20тыс долларов - заплатим 20тыс долларов. Хотите 2тыс в месяц "пока не взлетит" - fine!
Мы заплатим столько, во сколько вы оцениваете свою работу. Эта оценка не должна зависеть от моего "бюджета".
(Но будьте готовы взвешенно ответить, почему именно столько, особенно если берете крупную сумму. И не волнуйтесь, если будет слишком дорого - я скажу)
На все вопросы "какой у вас бюджет" - особенно если аутсорсер даже не взглянул на проект - я всегда отвечаю "неограниченный".
Вся эта "ай-нанэ" цыганщина, все это мутное маневрирование а-ля «возьми с клиента столько, сколько он готов заплатить», вся эта боязнь не дай бог продешевить (а заодно снять с себя ответственность - "ну, а что вы хотели, у вас слишком маленький бюджет") - все это страшно раздражает.
Будь мужиком, назови цифру.
Распространено среди маркетологов, пиарщиков, сеошников и иногда даже программеров.
- Надо сделать XYZ.
- А какой у вас бюджет?
Да любой у нас бюджет, епта. Вот вам задача. Вот измеримый результат - в цифрах. Сходите, подумайте, взвесьте, оцените сложность. И назовите цену. Хотите 100 долларов - заплатим 100 долларов. Хотите 20тыс долларов - заплатим 20тыс долларов. Хотите 2тыс в месяц "пока не взлетит" - fine!
Мы заплатим столько, во сколько вы оцениваете свою работу. Эта оценка не должна зависеть от моего "бюджета".
(Но будьте готовы взвешенно ответить, почему именно столько, особенно если берете крупную сумму. И не волнуйтесь, если будет слишком дорого - я скажу)
На все вопросы "какой у вас бюджет" - особенно если аутсорсер даже не взглянул на проект - я всегда отвечаю "неограниченный".
Вся эта "ай-нанэ" цыганщина, все это мутное маневрирование а-ля «возьми с клиента столько, сколько он готов заплатить», вся эта боязнь не дай бог продешевить (а заодно снять с себя ответственность - "ну, а что вы хотели, у вас слишком маленький бюджет") - все это страшно раздражает.
Будь мужиком, назови цифру.
Все уже, конечно, посмотрели фильм Дудя про Долину. Я тоже посмотрел и мне надо куда-то деть мысли, потерпите :)
У меня к самой Долине куча вопросов. Начиная от переоцененной картонной недвижимости и заканчивая переоцененными картонными программистами.
Но самый большой вопрос вызывает тотальная нацеленность на exit у большинства тамошних стартапов. Все ради экзита.
Раунд - Раунд - Раунд - Экзит.
Ангел - Раунд - Раунд - IPO.
Ангел - Раунд - Даунраунд - Пивот - Раунд - Экзит.
На выручку всем насрать. Никто не пытается сделать надежную, долго-работающую, несокрушимую бизнес-машину по печатанию денег и завоеванию галактики.
Все слишком заняты надуванием метрик для следующей презентации.
Нене, в funded-стартапах ничего плохого нет. Мало того, в каких-то нишах можно работать только с инвестициями. Считайте это лично моим профессиональным искажением - я ненавижу начальство. Даже лайтовое начальство в виде инвесторов.
Когда-то давно, когда я еще работал по найму, в компаниях не было модных кампусов, бесплатных смузи и удаленной работы. Был хардкор, дресс-код, совещания с тупыми менеджерами, "корпоративная культура" и маленькие зарплаты. Все это выработало адскую неприязнь к боссам - любым - аж трясет.
В нашей компании единственный начальник - клиент. We don't report to anyone. We don't have to please anyone.
Не хочу board, не хочу чужих людей внутри компании. Не хочу питчи. Не хочу жить от раунда до раунда. Не хочу графиков и слайдов. Не хочу "умение презентовать себя" - что за, блять, Голливуд устроили?
Я люблю bootstrapped-бизнес. Как Basecamp/37signals. Как MailChimp. Как ConvertKit. Как Balsamiq. Как Braintree. Как GitLab или GitHub (сейчас все подумали про продажу MS но это был не "exit", это был, как говорят в штатах, "fuck you" money).
Все эти компании зарабатывают десятки, сотни миллионов и ни одна не создавалась "ради экзита". Как говорится, "profitable and proud".
НО!
При всех ее минусах, другой Долины, извините, нет. "Дайте мне такую же Долину, но с перламутровыми пуговицами" — нету.
Есть только такая. Жуй или проваливай.
Поэтому Долина — крутая. Стенфорд — охуенный. Ездить туда — надо. На конференциях бывать — надо. За трендами следить — надо. Учиться — надо. Rubbing shoulders с умнейшими людьми планеты — обязательно, в больших дозах, каждый день.
P.S. Но нет на свете круче удовольствия, чем на звонок из калифорнийского фонда ответить "спасибо, не интересует"
У меня к самой Долине куча вопросов. Начиная от переоцененной картонной недвижимости и заканчивая переоцененными картонными программистами.
Но самый большой вопрос вызывает тотальная нацеленность на exit у большинства тамошних стартапов. Все ради экзита.
Раунд - Раунд - Раунд - Экзит.
Ангел - Раунд - Раунд - IPO.
Ангел - Раунд - Даунраунд - Пивот - Раунд - Экзит.
На выручку всем насрать. Никто не пытается сделать надежную, долго-работающую, несокрушимую бизнес-машину по печатанию денег и завоеванию галактики.
Все слишком заняты надуванием метрик для следующей презентации.
Нене, в funded-стартапах ничего плохого нет. Мало того, в каких-то нишах можно работать только с инвестициями. Считайте это лично моим профессиональным искажением - я ненавижу начальство. Даже лайтовое начальство в виде инвесторов.
Когда-то давно, когда я еще работал по найму, в компаниях не было модных кампусов, бесплатных смузи и удаленной работы. Был хардкор, дресс-код, совещания с тупыми менеджерами, "корпоративная культура" и маленькие зарплаты. Все это выработало адскую неприязнь к боссам - любым - аж трясет.
В нашей компании единственный начальник - клиент. We don't report to anyone. We don't have to please anyone.
Не хочу board, не хочу чужих людей внутри компании. Не хочу питчи. Не хочу жить от раунда до раунда. Не хочу графиков и слайдов. Не хочу "умение презентовать себя" - что за, блять, Голливуд устроили?
Я люблю bootstrapped-бизнес. Как Basecamp/37signals. Как MailChimp. Как ConvertKit. Как Balsamiq. Как Braintree. Как GitLab или GitHub (сейчас все подумали про продажу MS но это был не "exit", это был, как говорят в штатах, "fuck you" money).
Все эти компании зарабатывают десятки, сотни миллионов и ни одна не создавалась "ради экзита". Как говорится, "profitable and proud".
НО!
При всех ее минусах, другой Долины, извините, нет. "Дайте мне такую же Долину, но с перламутровыми пуговицами" — нету.
Есть только такая. Жуй или проваливай.
Поэтому Долина — крутая. Стенфорд — охуенный. Ездить туда — надо. На конференциях бывать — надо. За трендами следить — надо. Учиться — надо. Rubbing shoulders с умнейшими людьми планеты — обязательно, в больших дозах, каждый день.
P.S. Но нет на свете круче удовольствия, чем на звонок из калифорнийского фонда ответить "спасибо, не интересует"
YouTube
Как устроена IT-столица мира / Russian Silicon Valley (English subs)
Продолжение этого выпуска: https://youtu.be/1SLvIof4-Zw
Поучаствовать в следующих выпусках вДудя https://taplink.cc/vdud
Подписывайся на телеграм Дудя https://news.1rj.ru/str/yurydud
Купить телевизоры Philips с Ambilight 50PUS7303/ 55PUS7303/ 65PUS7303 по промокоду…
Поучаствовать в следующих выпусках вДудя https://taplink.cc/vdud
Подписывайся на телеграм Дудя https://news.1rj.ru/str/yurydud
Купить телевизоры Philips с Ambilight 50PUS7303/ 55PUS7303/ 65PUS7303 по промокоду…
Как на самом деле выглядит продажа стартапа за 100 миллионов?
Вот мы продали компанию. В газетах написали, в Твиттере пошумели, в подкастах обсудили. "Сто милионафф!"
(100 МЛН!)
Половину сразу отдаем на налоги, ибо сделка наверняка будет в Штатах
(50 МЛН!)
Оставшееся разделили с кофаундером
(25 МЛН!)
Из оставшегося половину получаем акциями головной компании. И чтобы их продать придется побегать, тк компания не публичная, а даже если публичная, вы инсайдер и вам нельзя
(12 МЛН!)
Дальше вестинг: из оставшегося кеша хорошо если треть вы получите сразу, остальное выплачивается по графику. И только при выполнении определенных условий. Например, вы обязуетесь удвоить конверсии за полгода - получили еще миллион. Удвоили выручку за год - вот вам еще два. Про эти KPI будет целый эксель-файл с датами и формулами
(4 МЛН!)
Ах да, компанию вы продаете не сами, нужно нанимать специальных дядек. Вычитаем комиссии юристам, инвестбанкирам... И всем прочим, кто работал над сделкой - делал предпродажный дью-дилидженс, перерегистрацию компании в нужную юрисдикцию (никому не нужен ваш оффшор на банановых островах или, не дай бог, русское ООО - нужен только S-Corp и только в Штатах), аудит, очистку ip-прав и прочий гемор. И все это длится минимум год
(3 МЛН!)
Ок, ну хотя бы с этими 3 миллионами можно красиво ускакать в закат?
Хуй там.
Вы остаетесь работать в головной компании на 2-3 года - фигачить эти самые kpi.
PS. и чтоб два раза не вставать, вот интересный пост "Про Долину и Дудя" (эк как всех триггернуло). Пост, как и фильм, немного перекошен, но уже в другую сторону https://www.facebook.com/100007240326331/posts/2567969790121007/
Вот мы продали компанию. В газетах написали, в Твиттере пошумели, в подкастах обсудили. "Сто милионафф!"
(100 МЛН!)
Половину сразу отдаем на налоги, ибо сделка наверняка будет в Штатах
(50 МЛН!)
Оставшееся разделили с кофаундером
(25 МЛН!)
Из оставшегося половину получаем акциями головной компании. И чтобы их продать придется побегать, тк компания не публичная, а даже если публичная, вы инсайдер и вам нельзя
(12 МЛН!)
Дальше вестинг: из оставшегося кеша хорошо если треть вы получите сразу, остальное выплачивается по графику. И только при выполнении определенных условий. Например, вы обязуетесь удвоить конверсии за полгода - получили еще миллион. Удвоили выручку за год - вот вам еще два. Про эти KPI будет целый эксель-файл с датами и формулами
(4 МЛН!)
Ах да, компанию вы продаете не сами, нужно нанимать специальных дядек. Вычитаем комиссии юристам, инвестбанкирам... И всем прочим, кто работал над сделкой - делал предпродажный дью-дилидженс, перерегистрацию компании в нужную юрисдикцию (никому не нужен ваш оффшор на банановых островах или, не дай бог, русское ООО - нужен только S-Corp и только в Штатах), аудит, очистку ip-прав и прочий гемор. И все это длится минимум год
(3 МЛН!)
Ок, ну хотя бы с этими 3 миллионами можно красиво ускакать в закат?
Хуй там.
Вы остаетесь работать в головной компании на 2-3 года - фигачить эти самые kpi.
PS. и чтоб два раза не вставать, вот интересный пост "Про Долину и Дудя" (эк как всех триггернуло). Пост, как и фильм, немного перекошен, но уже в другую сторону https://www.facebook.com/100007240326331/posts/2567969790121007/
👍1
Фраза «делайте B2B-стартапы, не делайте B2C» настолько всем приелась, что ее уже воспринимают, как «ешьте полезную еду, не ешьте вредную».
Все понимают, что так, вроде, правильнее, но все равно срываются и жрут на ночь всякий джанк.
...или пилят очередной туду-лист за $1.99
Все понимают, что так, вроде, правильнее, но все равно срываются и жрут на ночь всякий джанк.
...или пилят очередной туду-лист за $1.99
Наткнулся на офигенскую штуку - внутренние гайдлайны Амазона по написанию текстов.
Больше всего понравилось - "если отвечаете на вопрос, есть только четыре варианта ответа:
1. Да
2. Нет
3. "Число"
4. Не знаю
ps. стянуто из блога Денни Шеридана, главного в AWS по стартапам
Больше всего понравилось - "если отвечаете на вопрос, есть только четыре варианта ответа:
1. Да
2. Нет
3. "Число"
4. Не знаю
ps. стянуто из блога Денни Шеридана, главного в AWS по стартапам
This media is not supported in your browser
VIEW IN TELEGRAM
Оффтопик: немного красоты вам в ленты.
PS. Особенно эпично выглядит на фоне пустых карантинных улиц (это в Корее)
PPS. Зануда внутри меня не мог не заметить, что девайс нормально выглядит всего с пары ракурсов (с них как раз снимают)
PPPS. и раз уж мы про видео, вот вдогонку демка нового Unreal Engine 5. От освещения сносит крышу, а от цифры "16 миллиардов полигонов только в этой комнате" старому геймеру хочется плакать.
https://www.youtube.com/watch?v=qC5KtatMcUw
PS. Особенно эпично выглядит на фоне пустых карантинных улиц (это в Корее)
PPS. Зануда внутри меня не мог не заметить, что девайс нормально выглядит всего с пары ракурсов (с них как раз снимают)
PPPS. и раз уж мы про видео, вот вдогонку демка нового Unreal Engine 5. От освещения сносит крышу, а от цифры "16 миллиардов полигонов только в этой комнате" старому геймеру хочется плакать.
https://www.youtube.com/watch?v=qC5KtatMcUw
Поговорим о SEO ("вжуххх" - это от канала отписалась четверть подписчиков)
Мне половину рабочего времени приходится заниматься маркетингом, это страшно бесит и надо куда-то излить душу...
Есть один ужасно важный фактор ранжирования в Гугле, о котором никто не говорит - связанность вашего бренда с той или иной нишей. Ренди Фишкин кричит об этом на каждом углу уже много лет, но его никто не слушает.
(между тем у гугла даже есть патент где это сказано открытым текстом)
Как проверить - возьмите топ-20 гугла по вашей теме и прогоните через любую TF/IDF тулзу (я пользуюсь вот этой, и кажется там даже можно один запрос в день бесплатно).
Это простой и быстрый способ понять, какие слова сам Гугл считает релевантными вашей нише.
Вбиваем, например, "project management software" (пример от балды, я только что переключился в соседнее окошко и вбил) - что мы наблюдаем? Помимо слов типа "gantt", "team", "project" и прочих очевидных штук мы видим что? Бинго - бренды. Я знал.
Бах - "Trello". Бах - "Basecamp". Бах - "Wrike".
У сайтов этих компаний может вообще не быть ссылок, но они всегда будут в топе. Потому, что когда люди обсуждают проджект-софт - они упоминают эти бренды.
Но как поднять упоминание своего бренда на нишевых страницах?
Однажды я познакомился с крутым эстонским чуваком по имени Andrus Purde и он взорвал мне мозг двумя предложениями. Он спросил:
-Вот топ 10 результатов гугла по твоей теме - на каком месте ты бы хотел быть?
-(я) нууу, топ 4.
-Неа. Правильный ответ - НА ВСЕХ
Топ-10 результатов гугла по софтверным тематикам - это как правило маркетплейсы и аггрегаторы. Capterra, G2crowd, SoftwareSoggest и похожие... Ваш бренд должен быть листнут на всех этих страницах. И современный SEO - это не закупка ссылок на индусоблогах - это PPC на этих платформах, налаживание контактов с тамошними редакторами, а самое главное - кропотливый и аккуратный емейл-маркетинг на уже имеющихся клиентов, чтобы шли туда и оставляли отзывы.
Мне половину рабочего времени приходится заниматься маркетингом, это страшно бесит и надо куда-то излить душу...
Есть один ужасно важный фактор ранжирования в Гугле, о котором никто не говорит - связанность вашего бренда с той или иной нишей. Ренди Фишкин кричит об этом на каждом углу уже много лет, но его никто не слушает.
(между тем у гугла даже есть патент где это сказано открытым текстом)
Как проверить - возьмите топ-20 гугла по вашей теме и прогоните через любую TF/IDF тулзу (я пользуюсь вот этой, и кажется там даже можно один запрос в день бесплатно).
Это простой и быстрый способ понять, какие слова сам Гугл считает релевантными вашей нише.
Вбиваем, например, "project management software" (пример от балды, я только что переключился в соседнее окошко и вбил) - что мы наблюдаем? Помимо слов типа "gantt", "team", "project" и прочих очевидных штук мы видим что? Бинго - бренды. Я знал.
Бах - "Trello". Бах - "Basecamp". Бах - "Wrike".
У сайтов этих компаний может вообще не быть ссылок, но они всегда будут в топе. Потому, что когда люди обсуждают проджект-софт - они упоминают эти бренды.
Но как поднять упоминание своего бренда на нишевых страницах?
Однажды я познакомился с крутым эстонским чуваком по имени Andrus Purde и он взорвал мне мозг двумя предложениями. Он спросил:
-Вот топ 10 результатов гугла по твоей теме - на каком месте ты бы хотел быть?
-(я) нууу, топ 4.
-Неа. Правильный ответ - НА ВСЕХ
Топ-10 результатов гугла по софтверным тематикам - это как правило маркетплейсы и аггрегаторы. Capterra, G2crowd, SoftwareSoggest и похожие... Ваш бренд должен быть листнут на всех этих страницах. И современный SEO - это не закупка ссылок на индусоблогах - это PPC на этих платформах, налаживание контактов с тамошними редакторами, а самое главное - кропотливый и аккуратный емейл-маркетинг на уже имеющихся клиентов, чтобы шли туда и оставляли отзывы.
(обещаю, что следующий пост будет про стартапы, а пока зажмурьтесь и промотайте, будет техническое нытье в стиле @DHH )
Почти все движки баз данных в каком-то виде умеют "полнотекстоый поиск", он же Full Text Search, он же Full Text Index.
Он есть в SQL Server, Postgres, Oracle и даже, простихосподи, MySQL.
Но на весь интернет слышны стоны "FTS какашка, юзайте Elastic!"
(иногда "юзайте Lucene/Solr!", или даже "юзайте Sphinx!")
И меня от этого страшно бомбит.
FTS - не какашка (ну, скажем так, не совсем какашка). Дело в подходе:
- Когда люди юзают "внешние" движки типа Эластика - они пишут дохрена кода, который собирает из нескольких таблиц красивое текстовое представление объекта, потом записывает объект в индекс, следит за обновлениями, удалениями; Потом народ настраивает всякие фильтры (чтобы, например, вычищать HTML- или PDF-разметку), поднимает поисковый кластер, ставит Kafka/RabbitMQ, чтобы к нему обращаться...
- А когда люди юзают full text - они кликают галочку "install" в настройках и ждут, что все заработает.
Само.
И оно, конечно, нихуя не работает.
Если к fts-поиску подойти так же нежно и задумчиво, как мы подходим к Эластику - он будет работать почти так же хорошо.
Например, тоже создавать текстовые представления объектов (через специальные индексированные вьюхи или даже computed-колонки), вычищать HTML (во всех движках есть фильтры), выносить вьюхи и индексы на отдельные диски (или даже отдельные сервера), стараться не использовать mixed-запросы - т.е. комбинацию полнотекстового поиска с обычным SQL; например, запрос
В общем, "Tools are never evil. Applications of those tools can be."
Не знаю, зачем я это написал, считайте это продолжением поста про SQL
Почти все движки баз данных в каком-то виде умеют "полнотекстоый поиск", он же Full Text Search, он же Full Text Index.
Он есть в SQL Server, Postgres, Oracle и даже, простихосподи, MySQL.
Но на весь интернет слышны стоны "FTS какашка, юзайте Elastic!"
(иногда "юзайте Lucene/Solr!", или даже "юзайте Sphinx!")
И меня от этого страшно бомбит.
FTS - не какашка (ну, скажем так, не совсем какашка). Дело в подходе:
- Когда люди юзают "внешние" движки типа Эластика - они пишут дохрена кода, который собирает из нескольких таблиц красивое текстовое представление объекта, потом записывает объект в индекс, следит за обновлениями, удалениями; Потом народ настраивает всякие фильтры (чтобы, например, вычищать HTML- или PDF-разметку), поднимает поисковый кластер, ставит Kafka/RabbitMQ, чтобы к нему обращаться...
- А когда люди юзают full text - они кликают галочку "install" в настройках и ждут, что все заработает.
Само.
И оно, конечно, нихуя не работает.
Если к fts-поиску подойти так же нежно и задумчиво, как мы подходим к Эластику - он будет работать почти так же хорошо.
Например, тоже создавать текстовые представления объектов (через специальные индексированные вьюхи или даже computed-колонки), вычищать HTML (во всех движках есть фильтры), выносить вьюхи и индексы на отдельные диски (или даже отдельные сервера), стараться не использовать mixed-запросы - т.е. комбинацию полнотекстового поиска с обычным SQL; например, запрос
SELECT x FROM y WHERE CONTAINS(blabla) AND MagicNumber = 42 гарантированно сведет планировщик с ума (quick & dirty решение - внести "MagicNumber42" прямо в индексируемый текст) - и всякий прочий тюнинг.В общем, "Tools are never evil. Applications of those tools can be."
Не знаю, зачем я это написал, считайте это продолжением поста про SQL