Намери подобно съдържание

В частных беседах меня порой пытаются убедить, что увиденные мною UX-проблемы Телеграма глубоко субъективны. Что ж. #web

Несколькими постами ниже я ругал Инстаграм за приторность и за навязывание модной попсовой функции. Но помимо реалистичности контента есть и другой аспект — средний возраст авторов. Я несколько раз листал Клипы ВК и вот теперь специально полистал для сравнения Instagram Reels. И вот что скажу: в Клипах по содержанию очень подростковый контент. Почти нет авторской мысли, чего-то красивого и оригинального. 10% туповатых пранков, 20% всяких кувырков на улице и 70% — школьницы, торгующие телом (Клипы просто переполнены этим). Это прям вот типичнейшая подборка для подростков на пике гормонального буйства — почти всё связано с сексом, немножко с ощущением себя крутым (кувырки на улицах — к слову сказать здесь авторы хотя бы что-то необычное умеют делать) и щепотка весьма глупых шуток, как правило связанных с унижением другого человека. В Reels ситуация совсем другая. Там приторный Инстаграм традиционно правит балом, но при всей цветастой вылизанности контент хотя бы взрослый: красивая природа, путешествия, горы. Довольно много экспериментов фотографов. Нередко экстремальный спорт. Стоит ли говорить, что музыкальный вкус авторов в подборе саундтрека тоже на порядок лучше, чем ВК? Конечно, можно подумать, что скорее всего система рекомендаций ВК работает плохо, а система рекомендаций Инстаграма хорошо. По другим рекомендациям это тоже видно: в тематических лентах ВК в основном ерунда, а дополнительная лента Инсты сносная (с поправкой на общую приторную специфику соцсети). Но это всё взаимосвязано: из-за рекомендаций взрослые люди видят много детского трэша и сами реже хотят что-то создавать на площадке. #web

Instagram запустил у себя ТикТок (назвал его Reels) и так же агрессивно, как ВК, впаривает пользователям: у некоторых уже заменилась самая главная кнопка — создание нового поста — на иконку Reels. Но здесь у меня меньше бомбит, чем от действий ВК. Во-первых, в инстаграме короткие видеоролики выглядят уместно. Они здесь и раньше были в основной ленте, просто теперь фактически то же самое в новом интерфейсе. «Соцсеть» с самого своего основания сконцентрирована на коротком жвачкоподобном контенте без вдумчивости. Во-вторых, инстаграм уже давно был, прямо скажем, не самым внимательным к пользователю сервисом. Некоторые люди ведут его вопреки, потому что там массовая аудитория (менее взыскательная), но плюются от неудобства и бестолковых ограничений. А кто мог терпеть всё, что там делалось, стерпит и кнопку. Куда показательнее другой момент: корпорации-монополисты могут позволить себе делать ну практически что угодно. И если в экономике монополию стараются пресекать специальными законами, но монополии различных сервисов и соцсетей живут себе спокойно. Причём, при наличии социального графа такие монополии очень прочны: вы можете вместо айфона купить себе андроид сегодня же, и ваших друзей это затронет слабо, но переехать из какого-нибудь Фейсбука в ВК так просто не выйдет. Именно поэтому мы видим ситуации, когда самым популярным становится сервис, уступающий конкурентам вообще по всем показателям, и на порядок менее удобный (например WhatsApp и Telegram). И поэтому, в числе прочего, крупные игроки строят экосистемы и пытаются создать внутри себя копии популярных решений конкурентов. Если привязать пользователя и сделать процесс ухода для него сложным и некомфортным, то потом можно ему хоть рекламой всё забивать, хоть кнопки менять, хоть глупые функции добавлять в главное меню — никуда он уже не денется, скушает за милую душу. В антиутопическом будущем по такому же принципу корпорации будут вшивать людям лишние предметы в тело, а те вместо отказа от услуг станут придумывать способы, как с этими предметами жить наиболее эффективно. Ещё и курсы откроют по обучению: «Раскрутка с топором в заднем проходе», «Как набрать первую воду в мешок на шее» и «Учимся таргетировать магнит в кишках на правильные объекты». #web

互联网开发已经变了，我们不再为互相链接和长期展示而创建内容，而是为了展示广告而创建内容。 内容的消费时间已经从几分钟下降到几秒钟，Facebook、Instagram 和 TikTok 这样的成瘾机器被认为是互联网的正确形式。 -- 《Web 的现状》 #Web

Telegram meluncurkan dua klien web baru Seperti yang direncanakan oleh pengembang, yang satu harus menjadi versi seluler, dan yang lainnya versi web desktop. Kedua versi mendukung stiker animasi, mode gelap, folder obrolan, dan lainnya. Informasi lebih lanjut: bugs.telegram.org/c/4002 webz.telegram.org webk.telegram.org #web

Прочитал тут в Твиттере про BeReal — новая соцсеть-стартап. Идея такая: приложение вам каждый день в случайное время высылает пуш, после которого вы в течение 2 минут должны сделать фото "Что я вижу перед собой прямо сейчас". Тупите в комп, бухаете, сидите на толчке — не важно, показывайте друзьям вашу настоящую жизнь без прикрас. Если сделали, то сможете видеть аналогичные фотографии друзей за этот день. Стартап уже оценён инвесторами в 150 миллионов долларов, и вообще вызвал у них там большой интерес. Понятно, тренд должен двигаться в какую-то такую сторону. Не секрет, что в Инстаграме блогеры тратят по полдня на создание "будничного" снимка в духе "Я только проснулась и буду сейчас завтракать". Эта пластмассовая ложь начинает потихоньку утомлять даже самых зашоренных людей. ТикТок — при всей его подростковой туповатости — сделал всё-таки важный шаг от Инстаграма в сторону реализма: видео там сложнее откровенно подделывать, а те, над которыми велась долгая работа по монтажу и подготовке, видны сразу. Но насколько далеко следует зайти? Фотографии в произвольный момент времени — это круто или уныло? Десятки снимков людей за компом на рабочем месте, за рулём в пробке, дома перед сериальчиком, и так далее. 90% населения бОльшую часть времени не занимаются ничем интересным. В 2018 году я пробовал каждый день снимать 1 секунду видео, а потом склеить из этого год (уже показывал вам, но приложу видео к этому посту). Я, конечно же, снимал не случайную секунду, а какую-то такую, которая характеризует день. То, чем я больше всего в этот день занимался. И всё равно там куча моментов в духе "Я сижу перед ноутбуком", "Я иду по улице". Хотя в динамике получилось неплохо, наблюдать за таким каждый день от десятков друзей — как мне кажется — будет скучно. В России сейчас регистрироваться в BeReal нет никакого смысла, но за новостями про сеточку буду следить, посмотрим. #web https://www.youtube.com/watch?v=BRFQ6NMokVM

Простите, задолбал вас уже этой темой. Но очень уж смешно. #web

Еще пара слов об ошибках UX в Телеграме. Как я писал раньше — все, кто занимается Телеграмом, без исключения сказали мне, что любой канал непрерывно теряет аудиторию, если не поддерживать его рекламой. Я поразмыслил, почему так, и ответ довольно очевиден. Сообщения в каналах приходят человеку напрямую, с уведомлением, в каком-то смысле навязываются ему и требуют внимания. Не как в других соцсетях — человек видит ленту когда сам зашёл её посмотреть. А как в телефонных звонках — человек отвлекается от текущих дел внешним раздражителем. Даже если уведомления отключены — а у большинства они в каналах отключены — это лишь более мягкая версия такого внедрения. Канал поднимается вверх в списке чатов. При этом канал напоминает о своём существовании, и тот процент подписчиков, кому он не очень интересен, может отписаться. А такой процент всегда есть, при любом качестве контента. Получается, что Телеграм наказывает авторов за посты. Если ты сидишь молча, твои подписчики падают медленнее, чем если пишешь. И это прям жёсткий косяк, одна из самых серьёзных ошибок команды Дурова. Причем, это именно просчёт, а не умысел, потому что сейчас Телеграм с рекламы между каналами не получает ничего. #web

🔖 Build your first Astro Blog | Docs #pinboard#web 也许 可能 大概 Maybe https://docs.astro.build/en/tutorial/0-introduction/

🌍 Web LLM Attacks. • What are LLMs? • Interactive Interfaces and Use Cases; • Security Considerations; • Protecting Against LLM Attacks; • Exploiting LLM APIs with excessive agency; • Exploiting vulnerabilities in LLM APIs; • Indirect prompt injection; • Exploiting insecure output handling in LLMs; • LLM Zero-Shot Learning Attacks; • LLM Homographic Attacks; • LLM Model Poisoning with Code Injection; • Chained Prompt Injection; • Conclusion; • References; • Security Researchers. #web#LLM

💣 Zip-бомбы для защиты сервера. • Вы ведь знаете, что такое Zip-бомбы? Если коротко, то термин «Zip-бомба» был придуман более 20 лет назад, равно как и сами ZIP-бомбы. Принцип работы заключается в следующем: представьте файл в сжатом виде, который никаким образом не вызывает подозрений, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя. К примеру, файл в сжатом виде занимающий всего 42 килобайта, при распаковки может занимать в памяти более 4,5 петабайт. • Дело в том, что основной объём трафика в вебе возникает из-за ботов (читалки RSS-фидов, поисковые движки, выполняющие краулинг контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM), но помимо всего прочего есть и зловредные боты, которые находят уязвимости и могут встроить в наш сервер зловредный скрипт, а затем превратить машину в ботнет, используемый для DDOS. Таких ботов создают спамеры, скрейперы контента и хакеры. • В общем и целом, автор этого материала описывает методы, где боту в ответ на запрос страницы передаётся сжатое содержимое, размер которого при распаковке многократно превышает размер переданных по сети данных. • Происходит следующее: боты получают файл и считывают заголовок, сообщающий им, что файл сжат. Они пытаются распаковать файл размером 1 МБ, чтобы найти в нём тот контент, который ищут. Но файл продолжает распаковываться снова, и снова, и снова, пока у них не заканчивается память и на их сервере не происходит сбой. Файл на 1 МБ распаковывается в 1 ГБ. Этого более, чем достаточно для того, чтобы поломать большинство ботов. Однако для тех надоедливых скриптов, которые не останавливаются, можно использовать файл на 10 МБ. Он распаковывается в 10 ГБ и мгновенно убивает скрипт. • Если интересно почитать, то статью можно найти вот тут: https://idiallo.com/blog/zipbomb-protection. Либо почитать перевод этого материала на хабре. #ИБ#Web

👨‍💻 Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF. • В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. • Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону. ➡Пример атаки; ➡BFF не панацея; ➡Поможет ли PKCE; ➡Рекомендации из BCP for OAuth 2.0 Security; ➡Упоминание атаки в FAPI 2.0 Security Profile; ➡Актуальность и применимость атаки; ➡Меры защиты. #Web#ИБ