CGAleksey

Как-то так получилось, очень много времени потратил на разбор ошибки, которая потом самоликвидировалась:

Надеюсь ликвидировалась с концами. В чем была проблема: нужно получить из локальной базы данных переписку пользователя. Эта база синхронизируется с сервером, приложение использует ее для вывода сообщений на экран.

Взять из БД и вывести все сообщения - это легко. Но мы же знаем к чему это может привести, когда сообщений тысячи. Так что просто брать и грузить все что есть в память - это тупиковый путь. Хотя... Если ты хомяк, у тебя нет конечной цели, есть только путь... то почему бы не заниматься абсолютно бесперспективной и бесцельной ерундой 😂

В итоге брал из БД сообщения и подгружал по мере необходимости. И так пока пользователь не доберется до начала переписки.
Проблемы были в момент подгрузки:
1) ListView.builder дергался
2) В момент подгрузки скрол терял каcание экрана
В итоге как-то само собой разрешилось. Нужно было всего лишь выставить reverse: true и еще какие-то мелочи специфичные сделать. Так и не понял что за "магия", но ладно.

Дело в том, что многие компоненты достаточно навороченные и под капотом много чего сами по себе делают. А еще сверху машина Flutter производит свои манипуляции. В общем, тонкостей хватает. Вот первый вариант сообщений в истории переписки:

Да-да, знаю что так себе выглядит. Внешний вид буду дорабатывать позже. Главное вынес все компоненты в разные классы, раскидал их на основе функций. Таким образом можно будет работать с каждым компонентом отдельно.

Нужны эмоджи? Пожалуйста, их тоже добавил и продумал задолго до работы над чатом 😂

Вот они:

Сообщения представляют из себя числа. Почему числа? Чтобы было проще видеть порядок и отследить ошибки.

Сдается мне я как всегда что-то не продумал и узнаю об этом в конце и это приведет к тому, что всю работу придется поставить с ног на голову. Но увидим, пока, вроде, получается.

Забыл добавить курсорную синхронизацию сообщений и эмоджи. Так что сообщения прилетели не с сервера, а пока из локальной БД (телефона) в которой их создал ручками.

Слева находится аватарка собеседника. Ее нужно подгрузить с профилем, сторис и прочим. Еще не сделал, но это следующая задача. В списке чатов эти данные подгружаются. Нужно бы и в переписку подобным образом грузить. А вообще, хорошо бы доработать сущность модели профиля пользователя, сейчас она немного аморфная.

А медиа можно передавать?

Вот медиа из БД в переписке, их тоже заранее продумал:

Да, да, сам в шоке от того как это выглядит, но и TotalReload ближе к началу выглядел так:

К концу вот так:

Так что не переживайте, все будет 😀

На ближайшее время запланирована работа над отображением профиля собеседника, синхронизация переписки и эмоджи.

Что с синхронизацией

Вообще, меня терзают смутные сомнения. Дело в том, что на форуме подсказали "просто синхронизируй". Но сдается мне что нужно "батчить". Из геймдева мне известно, что есть такие вещи как Пулинг и Батчинг. И это прям катастрофически важные механизмы, которые позволяют оптимизировать производительность. Пулинг - это, условно, умное хранение данных в ОЗУ. Устройства не любят постоянно обращаться к жесткому диску (или еще куда-то) для доступа к данным. Для этого используется пулинг.

А батчинг - это в основном про GPU (про видеокарту). Обьекты в сцене обьединяются в пачки и пачками подаются видеокарте для обработки. Видеокрты очень любят работать с "однородными" данными (пачками) и с радостью обрабатывают их всеми своими ядрами. За счет этого можно, условно, отрисовать 1000 сфер и иметь 30 ФПС. Без батчинга на той же карте можно, условно, отрисовать 50 сфер с тем же ФПС.
Разницу улавливаете, имеет смысл вникнуть в тему поглубже? Думаю ответ очевиден.

Так вот, пробегусь по вопросу насчет того как батчинг сказывается на производительности. Сдается мне что передавать данные по сети лучше пачками.

Пока на этом все. Если появятся новости, то обязательно сообщу.

--
По вечерам разрабатываю сервис для общения. Кому интересен сервис для общения, можете подписаться куда-нибудь на меня, попробуете его в числе первых.
Постепенно буду продолжать делиться успехами разработки.

Наконец почти переделал серверную систему рассылки сообщений и событий.
Некоторые события (например события "пользователь пишет" / "пользователь не пишет") вынес в отдельный поток обработки. Важность этих событий достаточно низкая, так что гарантия доставки таких событий теперь будет "низкой".
"Низкая гарантия доставки" - это значит, что событие может потеряться, но на коммуникацию это сильно не повлияет. Да и время жизни таких событий теперь ограничено двумя секундами. Если за это время событие не будет доставлено до получателя, то оно не будет доставлено никогда.

Осталось еще раз внимательно посмотреть на всю систему рассылки, потестировать ее и...

И что "И..." ?

На данный момент система рассылки поддерживает рассылку в случае, когда у пользователя в сети только одно устройство. Можно залогиниться с нескольких устройств (например с двух телефонов), но текущая доставка корректно работать не будет 😔

Ранее писал, что реализовывал возможность поддержки нескольких устройств. Нужно бы сделать чтобы и доставка сообщений работала корректно в случае подключения к одному аккаунту нескольких устройств.

Ранее писал про слабое место, которое обнаружил в сервисе Госуслуги: Эксплуатируем уязвимости в безопасности в госуслугах

В коментариях человек подсказал другое слабое место в сервисе nalog.ru: #comment_394723288

Проверил, да, есть проблема. После выхода из аккаунта могу перемещаться по профилю и получать доступ к своим данным:

После выхода из сервиса можно иметь доступ к данным пользователя. Эх, почему разработчики сервисов и государство как заказчик так халатно относятся уровню безопасности пользовательских данных. К сожалению на данный момент у меня нет возможности (времени) писать в поддержку, но если кому-то интересно, то можете взяться за это дело. А может я и сам позже доберусь и свяжусь с ответствнными по этому вопросу.

Немного о новостях

Ранее сообщалось: Apple исключила Max из AppStore
Далее последовал логичный шаг правительства: В России решили предустанавливать мессенджер «Макс» на легально ввезенные смартфоны
Пока правительство решает вопрос с Максом, другим разработчикам доступ к рынку закрыт
Происходящее не замечает ФАС. А ведь власти очень даже и могут все что хочешь делать, когда захотят.

Apple, по идее, имеет возможность предустановить мессенджер, но он не будет обновляться и полноценно работать. Например не будут приходить уведомления или еще что-то отключат. Наверно в правительстве придумают что-нибудь для преодоления этой проблемы (например запретят ввоз продукции, которая не поддерживает полноценную работу предустановленных программ).
❌ - начать разрабатывать свою ОС и смартфоны
✅ - пытаться продолжать пропихивать Макс

--
По вечерам разрабатываю сервис для общения. Кому интересен сервис для общения, можете подписаться куда-нибудь на меня, попробуете его в числе первых.
Постепенно буду продолжать делиться успехами разработки.

31 мая был турнир по настольному теннису на стадионе Лужники и меня на него пригласили старые товарищи. Давно собирал ракетку для настольного тенниса с "крутыми параметрами" и турнир оказался поводом дособрать ее:

На соревнование пришло около 7к игроков, было интересно. Всего 25 зон по 8 столов, наигрались все:

А вот и моя готовая ракетка/основание (слева):

Просто для сравнения параметров (за что бился) привожу скрин веса рукоятки моего основания и ракетки из Спортмастера:

Да, у меня рукоятка не такая пестрая и яркая как из магазина. 22 гр против 10 гр (на самом деле менее даже 10), вес основания 60 гр. Мне кажется весовые параметры очень достойные 🙂 Обьективно привести остальные параметры (жесткость и прочее) пока не могу.

Основание собрал из бальсы, карбона, березового шпона. Клеить решил эпоксидкой ЭД-20. Приобрел через авито упаковку чуть более 1 кг.

С эпоксидками у меня часто не складывалось: в основном почему-то они у меня не затвердевали. Чего только не делал чтобы исправить.

Взял небольшую порцию (10гр), смешал в пропорции 10:1 с отвердителем (все по инструкции) и склеил экспериментальный кусок дерева. Вес вычислял на электронных весах. Вроде склеилось, но неохотно как-то твердело, эпоксидка липкая была спустя 24 часа. Но меня устроило.

В итоге решил клеить свои основания 😂

Понеслась

Смешал 140 гр эпоксидки с 14 гр отвердителя. Мешал качественно, 8 минут. Отложил смесь на 3 минуты. Потом снова помешал минут 5. Приступил к склейке.

Нанес эпоксидку на одно основание и отправил его под пресс. Начал клеить второе основание.

В процессе склейки смотрю в баночке выделяются пузырьки. "Такое бывает" - подумал я, экзотермическая реакция. Обычно даже смола нагревается, собственно она и нагрелась немного. В течение следующих 15 секунд продолжал наносить смолу на поверхность палочкой, а пузырьки что-то не останавливались, а наоборот начали выделяться интенсивней. За 5 секунд вяло идущая реакция стала не такой и вялой, а скорее реактивной 😂

Пока я соображал что происходит смола начала шипеть, свистеть, на поверхности появилось что-то напоминающее "вот-вот сейчас вспыхнет". Но я еще не понял, что оно собралось вспыхивать и решил взять стакан в руку дабы рассмотреть поближе что там творится.

Стакан был пищевой, из пластика, который держит высокие температуры, пока я его брал он начал плавиться. В итоге пришло осознане, что мой клей если еще и не горит, то выделяет едкий дым и дожидаться пока он загорится мне не стоит так как он уже плевался смолой во все стороны.

Накрыл клеек тарелкой и бросил в тазик с водой (на этот момент он воспламенился) 😂 В воде клей успешно пару раз хлопнул (наверно от резкой смены температуры) и на этом процесс его полимеризации подошел к концу. И тазика с водой вынул кусок застывшей эпоксидки:

Связался с продавцом, описал ситуацию. Продавец сказал, что греться может, но взрываться и гореть не должно 😂 Особенно если "объем смолы маленький".

Продавец сослался на тару, сказал что скорее всего из-за нее реакция пошла не по плану. Типа пищевой пластик вступил в реакцию со смолой. Попросил повторить эксперимент с разводом смолы в бумажном стаканчике.

У меня не так много смолы, чтобы заниматься экспериментами, да и дорогая она. Потому все же не стал рисковать остатками. На текущий момент продавец эту смолу почему-то не продает, объявление больше не действительно 😂

Какая мораль, заключение?

Вроде периодически работал со смолой, но такое случилось впервые за 20 лет. Так что будьте осторожны при работе с эпоксидкой, она и пожар устроить может.

Что с сервисом для общения?

Процесс движется, не так хотелось бы, но движение есть. Извините, у меня нет возможности уделить все силы этому проекту. Все еще работа над системой доставки сообщений. Надеюсь на этих выходных закончу наконец эпопею с системой рассылок.

Нашел на днях пару статей где человек делится процессом развития мессенджера: Habr

Ребяра добросовестно разрабатывают сервис для общения, но им почему-то не дали публиковаться в RuStore. В общем, на лицо пример недобросовестной конкуренции и бездействия ФАС. Преступная халатность ФАС, на мой взгляд.

Еще одна новость: Apple исключила Max из AppStore
Интересно как пытаются делить рынок пользователей в РФ: с одной стороны в РФ блокируются продукты, которые созданы обычными работягами. С другой стороны навязанные Максы банятся нашими недоброжелателями. Как результат: шаром покати, нет нормального сервиса для общения 😂

По идее эта ситуация должна подтолкнуть к разработке своих смартфонов и ПО. Но что-то как-то "в зад их не первый десяток лет пинают", а продукта все нет и нет. Разве что OK и VK.

--
По вечерам разрабатываю сервис для общения. Кому интересен сервис для общения, можете подписаться куда-нибудь на меня, попробуете его в числе первых.
Постепенно буду продолжать делиться успехами разработки.

Со мной периодически связываются люди и делятся своим опытом того как их обманули телефонные мошенники. Ситуация примерно одинаковая во всех случаях, но появилось пара НО 😂

Ситуация 1

На самом деле таких ситуаций сразу три:
В первом случае мошенник по неосторожности скинул жертве свой реальный номер телефона.

Во втором случае жертва смогла самостоятельно узнать номер мошенника (человек попросил не раскрывать способ)
В третьем случае жертвой оказался представитель мессенджера в котором все это дело разворачивалось 😂
Пока эти ситуации висят, жертвы запуганы мошенниками и опасаются подать заявление в полицию. Давайте поддержим пострадавших! Возможно они все же соберутся и накатают заявление. Кстати, они читают мои посты и коментарии под ними.

Ситуация 2

Ко мне обратится дальний родственник с просьбой помочь. Как-то так получилось, что он всех учил как защитить свой аккаунт госуслуг от мошенников (и меня в том числе), а тут оказалось что сам своими руками скинул им пароль 🤦

Ну а что тут сделаешь? Кое-как пострадавший сменил пароль от аккаунта. У человека был установлен запрет на получения кредитов и этого всего. В итоге отделался только легким испугом. И вроде бы мошенник отступил и все на этом.

Но тут не все так прозрачно как могло бы показаться, особенно для меня после того как набил шишек на разработке своей системы авторизации и завершении сеансов. У меня начал дергаться глаз от флешбеков того что в этой системе может пойти не так:

Заваривайте чаек, берите закуски, сейчас будет небольшое расследование на человеческом (непрограммистком) языке :)

На самом деле в теме безопасности (хоть какой-то) мне пришлось начать разбираться с момента работы над собственным сервисом для общения. Будучи зарегистрированным на форуме с настоящими профессиональными разработчиками смог довольно плотно с ними пообщаться.
В какой-то момент приступил к разработке собственной системы авторизации, обмена токенами, завершения работы приложения, почитал статеек. Собственно так понял на своей шкуре как весь этот механизм работает и реализовал его надежно у себя.

О токенах

У токенов есть и достоинства и недостатки. Ох, придется заняться нудятиной и рассказывать обывателю что и как работает 😅 Но без этого, к сожалению, для ЛЛ могу заключить так: в госуслугах существует проблема в безопасности, дальше можете не читать.

JWT-токен (JSON Web Token) — это способ передачи информации между двумя сторонами. В случае авторизации пользователя в сервисе, сервер передает пользователю файл в котором, улосвно, написано: можно доверять что это Иванов Иван Иванович до 03.06.2026, до 18:00, подпись сервера.
Ключевым моментом здесь является подпись сервера. Только сервер может подписать документ.

Наглядно это можно представить так: я - сервер, Иван - пользователь. Вы подходите ко мне с паспортом. Я выполняю роль нотариуса, по паспорту смотрю что вы - это вы, составляю бумажку и и ставлю свою подпись и дату до которой считать документ действительным. С этого момента любой человек, который предоставит эту бумажку будет распознан мной как Иван. Если документ устарел, то придется показать паспорт повторно (ввести пароль).
Чтобы постоянно не вводить пароль придумали следующую штуку: при демонстрации паспорта я выписываю сразу 2 бумажки:
- 1 бумажка удостоверяет что вы - это вы и срок ее действия 1 час
- 2 бумажка удостоверяет что вы - это вы и срок ее действия 7 дней

Вторую бумажку можно использовать для обновления первой бумажки. То есть Иван может подойти ко мне и сказать: у меня просрочилась первая бумажка, но у меня есть вторая и мне нужно получить две новые бумажки (первую и вторую) с продленным сроком действия.

В приложениях эти действия делаются сами собой и пользователь их не замечает. Это избавляет пользователя от многократного периодического ввода пароля.

Проблемы токенов

У этого подхода есть плюсы и минусы. Заострим внимание на проблемах и на их решениях.
Очевидный минус - вор похитил бумажку или сделал ее копию. Теперь сервер не знает что бумажка похищена и будет считать мошенника Иваном до момента пока срок действия бумажки не пройдет. Как решается? Разработчики решают эту проблему по-разному:

- кто-то говорит: "хорошо, все равно через условные 5 мин срок действия бумажки пройдет, что программа может успеть сделать за 5 мин?"

- кто-то вводит механизм версионирования. Это значит, что помимо срока действия документа на бумажку записывается версия документа. И если версия ниже, чем версия на сервере, то документ считается недействительным.

Как это работает:
1) Иван получил бумажку с сроком действия, версия 1 и подписью сервера;
2) Вор украл \ скопировал бумажку Ивана;
3) Иван узнал о компроментации, вышел из приложения и снова в него зашел. После этого сервер выдал Ивану бумажку с новым сроком работы и уже версией 2;
4) Вор обратился к серверу, сервер проверил дату, но заметил, что документ устарел и не принял его; Вор остался "за бортом".

Это один из самых простых способов завершения работы и ограничения доступа.

Изучаем сервис Госуслуги

Приглашаю внимательно посмотреть как будет вести себя сервис когда пользователь сменил пароль.

Рассматривать ситуацию когда пользователь вышел из приложения на одном из своих устройств - бессмысленно т.к. в этом случае претензий к сервису нет.

Проводим эксперимент. Каждый может провести его самостоятельно. Для этого потребуется 2 телефона с доступом в интернет и сервис госуслуги (+ номер к которому привязан аккаунт).

Просто заходим в свой аккаунт с двух телефонов:
- телефон 1 пусть принадлежит мошеннику (для ясности подчеркну, вы передали ему код из СМС, он смог с его помощью залогиниться)
- телефон 2 пусть принадлежит владельцу

Данная ситуация имитирует момент кражи JWT-токена.

Теперь вы осознали факт кражи и решили что-то с этим делать. Что вы будете делать, какие ваши действия? Допустим в полицию вы позвонили (как и в моем случае), что дальше?

Смена пароля? Смените пароль на Госуслугах через телефон 2. После успешной смены пароля попробуйте использовать телефон 1 (телефон мошенника). Как видим, мошенник как был в аккаунте, так и продолжает в нем быть, смена пароля не помогла.

Собственно этот момент меня и смутил в данном сервисе. Пошел дальше, закрыл приложение на телефоне мошенника, открыл его через 15 минут зашел в приложение с помощью четырехзначного пароля:

И все зашлось без всяких проблем. Это все, что нужно знать про то, как можно "грамотно" реализовать двухфакторную аутентификацию 😂

Ребят, россиян 120 млн человек, почему я сталкиваюсь с подобными проблемами?
Отмечу, это не первая проблема, которая была зщамечена мной в данном сервисе. Какие-то проблемы (которые подсвечивал сервису) они правили, какие-то - нет. По мере развития своих профнавыков кидаю в сервис репорты. И этот случай скинул:

Госуслуги могут замять мое обращение и ответить что все "соответствует ТЗ и проблем у нас нет". Собственно так они и отвечают, когда не хотят ничего менять. И будут в какой-то мере правы так как если вы разбираетесь в тонкостях работы системы авторизации, то вы наверняка знаете что можно завершить сессию вора в каком-то разделе госуслуг. Вот только попробуйте найти куда они спрятали этот раздел. И кто у нас разбирается в этих тонкостях?
Рядовой пользователь не знает тонкостей, не имеет представления чем авторизация отличается от аутентификации, а на мой вопрос про "вышел из сессий?" спросил "что это такое и с чем едят?":

Надеюсь пост был полезен и вы узнали немного больше о безопасности. А Госуслуги, надеюсь, сделают что-то с ответственным за безопасность сервиса. Например, кинут его "в костер" 😂

--
По вечерам разрабатываю сервис для общения. Кому интересен сервис для общения, можете подписаться куда-нибудь на меня, попробуете его в числе первых.
Постепенно буду продолжать делиться успехами разработки.

Недавно приобрел маршрутизатор. Начал процесс обновления железа с мелочевки :)

Вычитал, что MikroTik hEX S RB760iGS обеспечивает пропускную способность до 1 Гбит/с. Так заявлено, но по факту со всеми защитами и прочими плюшками, говорят, пропускная способность падает вдвое. Стоит устройство дороговато, но оно того стоит. Далее будем думать над приобретением сервера 😀

Пока не проверял как падает пропускная способность. Подключил устройство к сети, настроил (в тч и безопасность), пустил интернет через него. Также подключил через него проводным соединением сервер на котором провожу тесты. В итоге получилось так:
- сервер висит на одном порту
- Wi-Fi роутер висит на другом
- на первый порт идет сетевой кабель

Поступили новости

На днях человек скинул в личные этот пост: https://x.com/durev_vpn/status/2060060734302679306

Какие-то коллеги разработали отечественый сервис для общения, но его вроде как не пропускают на RuStore.

Скрин выглядит как фейк, ограничение так не делается. Обычно фильтры отсева везде вводят классическим способом, например: в некоторых ресторанах цены космические не потому, что сервис космический (хотя и это тоже), но и потому, что это отсеивает определенную категорию граждан, которые нежелательны в качестве посетителей. Подобное встречается везде, в бизнесе, в тендерах....
Что касается публикации сервиса для RuStore - могли бы подобный фильтр ввести и тут. Например какие-то нелепые требования, в которые ни рядовой гражданин-трудяга-разработчик, ни ООО не смогли бы вписаться. Сослались бы на бюрократию, посмеялись бы над чиновником-козлом отпущения (лучшем случае) который бы заявил эти "нелепые" требования. Люди побурчали-побурчали и забыли бы. Так что, на мой взгляд, что-то непонятное на скрине.

Что с сервисом

Занимаюсь подсервисом рассылок. Работа оказалась кропотливой. Часть подсервиса переделана, часть довожу до ума. Обмен сообщениями уже переделан. Переделываю рассылку команд работы с сообщениями: редактирование, удаление, отправка эмодзи и др.

--
Кому интересен сервис для общения, можете подписаться куда-нибудь на меня, попробуете его в числе первых.
Постепенно буду продолжать делиться успехами разработки.