В крупных (или микросервисных) архитектурах у Backend'а есть свои Backend'ы. И, если какой-то сервис очень важный, он не всегда очень производительный. Как сделать так, чтобы ваша система продолжала отвечать, даже если важные источники информации перестали отвечать? Рассказываю о нашем опыте в Tinkoff: 1. Как мы выбирали СУБД и на чём остановились. 2. Как поддерживать версионность форматов данных. 3. Как понять, что ваш сервис умер или ожил. 4. Как встроить cache, не переписывая приложения на Scala. 5. Итоги и замеры."

На першому уроці буде розглянуто технологію HTML5 Web Components, її головні складові та причини виникнення. Також будуть розібрані деякі класичні завдання, які постають перед веб-розробниками, та методи їх вирішення за допомогою HTML5 Web Components. У цьому відеоуроці будуть розглянуті наступні теми: 1. Що таке Web Components, причини появи. 2. Проблеми, які вирішує Web Components. 3. Pollyfils. 4. Послідовність вивчення бібліотек, що працюють із Web Components. 5. Шаблони та Custom elements. 6. Життєвий цикл інтерфейсів користувача. 7. Приклад використання Web Components.

В докладе мы расскажем: 1. Что такое высоконагруженная фронтальная система банка, чем она отличается от веб-проекта. Место фронтальной системы в IT-ландшафте банка. 2. Как масштабируется СУБД в условиях Enterprise. Технологический стек ограничен и сложно изменяем, решения вендоров по масштабированию ненадежны. Поэтому шардируем экземплярами СУБД. 3. Для отказоустойчивости аналогично делим web-сервера, сервера приложений и т.п. Получаем слабо-связанные, независимо работающие блоки, каждый блок обслуживает часть клиентов. При отказе блока переключаемся на резервный. 4. Для распределения по блокам появляется компонент маршрутизации – как обеспечивается его отказоустойчивость? 5. Где брать данные клиента (история операций, профиль клиента) при переключении в резервный блок? Что можно, а что нельзя деградировать при отказах с точки зрения бизнеса. 6. Какие механизмы обеспечивают непрерывное обслуживание клиентов при отказах бэк-офисных систем. 7. Уголок перспективной архитектуры: омниканальность, наше видение микросервисной архитектуры.

Ловко придумать схему сжатия для своих данных умеют не все, а очень зря. Иногда (иногда) при помощи этой магии удается добиться как бы невозможного: одновременно и сэкономить диск или память, и при этом ускорить код. Как работает магия сжатия в целом? Как она работает более конкретно в очень разных продуктах: ""просто базах"" типа MySQL или Mongo; в поисковиках типа Lucene или Sphinx (или даже веб-поисках); в колоночных хранилищах типа Vertica или Clickhouse; в конце концов, внутри апдейтов Chrome? Обсудим это, пробежимся по всем важным ключевым словам от замшелых Huffman до моднейших Snappy - и, важнее, по ещё паре десятков других ключевых слов. Подробно разберем несколько особо интересных методов и трюков про сжатие и прочую перепаковку данных. Посмотрим пример на 100 строк кода со сжатием в 6 раз и одновременным ускорением работы в 5 раз (читерством, конечно), причем успешно написанный не специально обученным монстром, а совершенно обычными разработчиками. Посмотрим на скорость разных готовых кодеков, попытаемся понять, когда какой можно применять, а где нельзя. Бонус-трек в коридоре, если кому интересно, как устроено внутри сжатие картинок, видео и прочего такого. Условно прикинем на пальцах, как написать свой простенький игрушечный JPEG-декодер в сотню-другую строк; можно на JavaScript или Python. Или не JPEG!

Уязвимости Cross-Site Request Forgery (CSRF) являются "классикой" AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология "SameSite cookie", должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и "уходят в прошлое"? Практика показывает, что нет. Как правило, разработчики реализуют один из следующих популярных вариантов CSRF-защиты: CSRF tokens, Double Submit cookie, Referer-/Origin-based protection, Content-Type protection. Не очевидные особенности работы или баги отдельных браузеров и самого веб-приложения на практике позволяют обходить CSRF-защиту. В докладе пойдет речь о "трюках", которые позволяют атакующему обходить тот или иной тип CSRF-защиты, а также о том, на что следует обратить внимание разработчику или AppSec-инженеру при защите веб-приложения от CSRF.