Piotr Konieczny

Google Open House i wykład lcamtufa

Dwa dni po poniedziałkowym Google TechTalk odbyła się kolejna impreza zorganizowana przez Google. Tym razem event nie był ogłaszany w prasie (był zamknięty i na zaproszenie). Impreza bardziej nakierowana na przechwycenie pracowników konkurencyjnych firm, niż studentów chcących załapać się na praktyki :-)

Przed wykładem...

Spotkanie zaczęło się od odszukania swojego identyfikatora. Mniej szczęśliwi musieli jeszcze postać przez chwilę w dłuuuugiej kolejce, ale formalności zostały nagrodzone smyczą z logo Google i loterią, w której można było wygrać iPoda.

Po rejestracji zaproszono wszystkich przed wejście do Auli AGH, gdzie firma cateringowa przygotowała niezłą wyżerkę.

Od mięsiwa, przez sałatki, aż do wina. Początkowo wszyscy byli zszokowani, bo jako napoje serwowano wyłącznie alkohol. Sytuacja uspokoiła się, kiedy odkryliśmy, że parędziesiąt metrów dalej, w niszy w korytarzu znajduje się stół z sokami i słodkościami (mimo wszystko, większość została przy winie :P). Najedzeni mogli polecieć do biura Google w Zurichu na specjalnym stanowisku wyposażonym w symulator lotu wbudowany w Google Earth.

Zanim rozpoczął się wykład, każdy miał okazję porozmawiać z Googlersami – nie tylko inżynierami, ale także tymi, którzy są odpowiedzialni za rekrutację. I to właśnie dla niektórych była najciekawsza część spotkania – dzięki praktycznym wskazówkom udzielonym przez rekrutujących, jestem pewien, że nie jeden inżynier zajdzie w rozmowach dalej niż osoba przypadkowa.

Networking to w ogóle podstawa wszelkiego rodzaju spotkań i konkurencji. Dwa razy wzięto mnie za pracownika Google, bo paradowałem, jak większość Googlersów, w koszulce z napisem www.google.pl. Mój T-Shirt miał jeszcze pierwsze polskie Doodle i był na tyle oryginalny, że nawet pracownicy Google patrzyli na niego z pożądaniem, a nasze rozmowy z reguły zaczynały się "Ooooo! Skąd masz taką koszulkę? Pracuję tu od X mcy, a nawet mnie takiej nie dali". Wyjaśnijmy więc tajemnicę; koszulkę przysłało mi biuro prasowe Google, a dostarczył Kris :-) Notabene, na pierwszym slajdzie prezentacji o krakowskim Google znalazło się właśnie logo pierwszego Polskiego Doodle.

Bezpieczeństwo Aplikacji Webowych

Ci, którzy w kuluarach podsłuchali, że Michał nie będzie miał czasu na piwko po wykładzie, bo śpieszy się na pociąg powrotny do Warszawy, wszelkie tematy próbowali poruszyć w trakcie wchodzenia publiczności na salę; w końcu mam podpis na Silence on the Wire :)



Michał mówił ciekawie o wszelkich pułapkach, jakie czekają na developerów aplikacji webowych. Poziomem starał się trafić do wszystkich, w związku z czym ludzie z branży mogli poczuć pewien niedosyt, ale na pewno uzupełnili wiedzę o interesujące przykłady. Lcamtuf opowiedział na czym polegają poszczególne ataki związane z protokołem HTTP, implementacjami HTML-a przez przeglądarki, i niefiltrowaniem danych pochodzących od użytkownika. Sporo było o UTF-ie, Javascripcie i SGML-u, a nawet o robaku rozprzestrzeniającym się onegdaj po MySpace.

Wykład był nagrywany, więc możliwe, że trafi do Googlowego zbioru TechTalków (o ile prelekcje prowadzone po polsku mogą tam w ogóle trafić).

Po wykładzie dwie osoby zadały lcamtufowi pytania i kiedy ja wstałem, żeby zadać pytanie jako trzeci, Wojciech Burkot (krakowski site leader) oznajmił, że sesja pytań jest skończona :-( Nie zrezygnowałem i pytanie przesłałem Michałowi e-mailem. Oto odpowiedź:

PK: Statystycznie, najczęściej wspominałeś o nieprofesjonalnym podejściu IE. Czy prowadziłeś jakiś ranking przeglądarek pod kątem bezpieczeństwa?

MZ: Ja nie, ale wiele innych osób podejmowało się takich prób. Problem jednak w tym, że jest to bardzo trudne do wykonania - co właściwie mamy mierzyć? Jeśli liczbą opublikowanych błędów, to jest to bardziej funkcją popularności przeglądarki niż jakości kodu, zwłaszcza jeśli udział rynkowy MSIE jest blisko dwa rzędy wielkości większy, niż np. Opery. Poza tym jak policzyć te opublikowane błędy - sugerując się liczbą biuletynów security wypuszczonych przez producenta? To znowu problem, bo Microsoft ma zwyczaj grupować po 5-10 bugów w ramach jednego, ale nie ma tu ścisłej reguły; Firefox też ostatnio coraz częściej wypuszcza kumulatywne biuletyny. Poza tym co, jeśli producent pewne powodujące wiele problemów defekty (typu sniffowanie HTML na text/plain w MSIE) traktuje jako pożądaną funkcjonalność?

A jeśli badamy publikacje osób trzecich, to musimy je zweryfikować, upewnić się, że się nie powtarzają, oszacować ryzyko (co czasem nie jest łatwe, bo ostatnio modne jest publikowanie informacji z pogranicza notek PR, "znaleźliśmy buga, jest bardzo poważny, dostawca załatał, koniec"). Bardzo łatwo tu o pomyłkę lub stronniczość.

Poza tym, czy liczba wcześniejszych podatności mówi nam o tym, ile jeszcze zostało w kodzie? Może ostatni patch był już ostatnim?;-)

Można oczywiście zgadywać, jak dobry jest aktualny kod - ale jak przewidzieć znaczącą część problemów, których jeszcze nikt nie wykrył i nie załatał? Nie można nawet porównać funkcjonalności z jakimś wzorcem - wiele z dziur, z którymi się borykamy, wynika z tego, że standardy są po prostu kiepskie albo pewnych obszarów wcale nie obejmują, więc każdy implementuje funkcjonalność po swojemu, a co jakiś czas ktoś inny znajduje sposób, by to przełamać.

Chciałbym powiedzieć, że Firefox jest dużo bezpieczniejszy, ale niestety ciągnie on za sobą bagaż przestarzałego i często niebezpiecznego kodu i przytrafiają mu się poważne wpadki w obszarach, które w MSIE są już obsłużone. Z drugiej strony oczywiście, Internet Explorer też zupełnie nie ma się czym pochwalić. Safari powtarza bardzo wiele błędów z innych przeglądarek sprzed lat i wygląda na to, że tak jeszcze przez pewien czas pozostanie. Opera przyłożyła się ostatnio do bezpieczeństwa, ale też nie jestem przekonany, czy można ją ze spokojnym sercem polecić jeśli bezpieczeństwo jest jedynym argumentem - po prostu przy udziale rynkowym poniżej 1%, niewielkie są szanse na to, że została gruntownie przebadana przez innych.

PK: Co mógłbyś poradzić internautom, żeby wzmocnić zabezpieczenia swojej przeglądarki (jakieś rozszerzenie dla Firefoksa? Wyłączenie JS pod Operą? Doinstalowanie poprawek do IE?).

MZ: Nie ma dobrych rad, poza regularną aktualizacją, ostrożnością, oraz edukacją we własnym zakresie. Niestety w tej chwili bezpieczne surfowanie dalej bez pewnej podstawowej wiedzy technicznej i uważnego czytania dziesiątek komunikatów oraz setek opcji konfiguracyjnych jest właściwie niewykonalne.

Wyłączanie JS pod dowolną przeglądarką jest oczywiście możliwe, ale jest sportem dla masochistów - bardzo wiele ambitniejszych witryn, a czasem nawet zupełnie prozaicznych stron, zupełnie sobie bez Javascriptu nie radzi. Swego czasu NoScript został ogłoszony przez jakiś całkiem znany magazyn "najmniej praktycznym dodatkiem do Firefoxa"... trochę się z tym zgadzam, przynajmniej z perspektywy użytkownika bez szczególnej wiedzy technicznej - oczywiście, możesz wybiórczo decydować, którym stronom na korzystanie z JS pozwalasz, ale po pierwsze oznacza to, że wszelkie ataki XSS za pośrednictwem tej domeny, także te związane z błędami w przeglądarkach, będą możliwe; a po drugie, w większości przypadków, oznacza albo ufanie witrynom na ślepo, albo rezygnowanie z oglądania wielu z nich.

Cele i plany krakowskiego Google

Po Michale głos zabrał site leader krakowskiego biura, Wojciech Burkot. Wojtek zdradził, że z 40 obecnie zatrudnionych osób placówka rozrośnie się aż do 80-ciu (sic!) do końca 2008. Są też bliżej niesprecyzowane plany stworzenia działu inżynierii we Wrocławiu, ale rozsądek podpowiada, że Google nie podzieli się tak szybko.

Kraków zajmuje się głównie polskimi produktami (czyli spolszczeniami?) i rozwojem Google Checkout. Dlaczego właśnie w Polsce? Głównie ze względu dobrze rozwiniętej w Europie bankowości internetowej. Podczas kiedy Amerykanie, niczym jaskiniowcy, dalej posługują się czekami jako podstawową formą płatności, u nas prawie każdy ma konto w banku internetowym. Suma sumarum, lepiej znamy rynek i jego potrzeby.

Podczas prelekcji padło zdanie, że Google zainteresował się Polską, bo Polacy dobrze wypadają na międzynarodowych konkursach programistycznych. Zapytałem, ile w takim razie osób w krakowskim oddziale jest laureatami tych prestiżowych konkursów. Odpowiedź trochę mnie zaskoczyła: 3. Większość pewnie pomyśli, że to strasznie mało... Ale ja chciałbym tutaj zwrócić Waszą uwagę na to, czym charakteryzują się finaliści konkursów. To z reguły ludzie z pasją, doskonale znający swoje potrzeby i ścieżkę rozwoju. Pytanie, czy Google w Krakowie wydaje się im atrakcyjne? Czy jest w stanie zaspokoić ich wszystkie potrzeby rozwojowe i czy produkt taki jak Checkout może być dla nich wyzwaniem? Można zripostować, że przecież istnieje migracja pomiędzy placówkami Google'a na świecie. Istnieje, ale z informacji uzyskanych od Googlersów, procedurę przenoszenia z reguły można zacząć dopiero po 18-tu miesiącach...

Wojtek mówił też o wewnętrznym polecaniu pracowników na stanowiska w Google. Ponoć ten rodzaj rekrutacji jest najskuteczniejszy. Osoby te generalnie lepiej radzą sobie z procesem rekrutacji. Mało tego, jeśli osoba polecona przez Googlera dostanie pracę, to Googler dostanie bonu$$$ :-)

Burkot stosunkowo ostro skrytykował konkurencję – projekt Zumi (Onet). Wyśmiał możliwości (Zumi nie odnalazło siedziby krakowskiego Google po wpisaniu "Google, Krupnicza 16, Kraków") i interface bliźniaczo podobny do znanego nam z Google Maps. Pytanie czy Google Maps faktycznie lepiej sobie radzi z tym samym pytaniem. Zostawiam to Wam do rozstrzygnięcia :-)

Prezentacja była przeplatana zdjęciami z biura, i ciekawostkami dot. pierwszych kroków Google w Krakowie. Zdjęcia pierwszego serwera, i plastykowego gniazdka, które Anglicy przesłali Polakom, w obawie, że u nas nie da się ich nigdzie kupić :-)

Wojtek potwierdził, że Googlersi z Krakowa kontynuują firmową tradycję TGIF i organizują piątkowe spotkania po pracy, podczas których przy piwku uczestniczą w eventach zagranicznych kolegów , oglądając ich przez videokonferencję.

BTW. Wojtek kilka razy, zamiast wyszukiwarka używał słowa przeglądarka, ale potem szybko się poprawiał. Niektórzy sugerują, że było późno i było wino... :-) Inni spekulują, że Google w Krakowie prowadzi prace nad tajnym projektem przeglądarki Google.

Po dawce Googlowej "propagandy", chętni mogli udać się do kwatery Google w Krakowie, celem zweryfikowania, czy Google rzeczywiście zapewnia najlepsze warunki pracy swoim inżynierom... :)

C. D. N.

Fotorelację z wizyty w krakowskiej siedzibie Google zdam w następnym poście (dziś/jutro). Stay tuned!

• Następny post: Googleplex w Krakowie - fotorelacja
• Poprzedni post: Google Tech Talk w Krakowie (Relacja)

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.