Полезные ссылки на живые мероприятия, видео, митапы, техтолки и книги – ниже в нашем еженедельном посте.

Начни новое:

• Что нового в консольках OpenShift 4.5 console для девелоперов
  Preview девелоперских ништяков в OpenShift 4.5, таких как создание источников событий из веб-консоли, расширенный OpenShift Pipelines Operator и унифицированные виртуальные машины.
• А как насчет улучшенной навигации OpenShift 4.5 – Developer perspective
  Red Hat OpenShift 4.5 обеспечивает более удобную и кастомизируемую навигацию, основанную – ТАДАМ! – на отзывах пользователей, настоящий user feedback.
• Best practices: использование health checks в консоли OpenShift 4.5
  Узнайте, как повысить application reliability и uptime приложений в Red Hat OpenShift 4.5 с помощью проверок работоспособности с использованием проб (и ошибок).
• Большой Шлем! В смысле Advanced Helm support в OpenShift 4.5 web console
  Изучите новые функции OpenShift 4.5 для доступа к release notes, обновлениям и ролбэкам чартов Helm, а также управления ими через веб-консоль OpenShift.

Строй:

• Разработка и тестирование в проде вместе с Kubernetes и Istio Workspace
  

  Вопрос от бизнес-тренера – насколько вы продуктивны? Вы продуктивны, работая над своим проектом на основе микросервисов, или ваш ноутбук уже перегрелся? Узнайте, почему тестирование имеет значение и как это сделать.

• От Spring Boot тестов к Quarkus (как взрослые)
• Flexible single sign-on authentication и другие интересные штуки в Open Liberty 20.0.0.7
• Шпаргалочка: MicroProfile OpenAPI
  

• Всем по eBookу! Kubernetes Operators
  

• 6 Kubernetes workflows и процессов, которые можно Автоматизировать
• Observability superpower: Correlation
• Обучаловка: Импортируйте ONNX model в TensorFlow для вывода (inference)

Пообщаться:

• 6 Августа, 2020 | Tech Talk @ 19:00 по Рязани
  Serverless Workflow: New approach to Kubernetes service orchestration
  Усовершенствуйте свою serverless архитектуру с помощью Cloud Native Computing Foundation (CNCF) Serverless Workflow and Kogito, нашего набора инструментов автоматизации бизнеса от Red Hat.
  Внимание, Регистрация на DevNation тутЬ: developers.redhat.com/devnation/?intcmp=7013a000002DkMdAAK

По-русски:

• Вебинар: Лучшая в отрасли защита проектов на основе виртуализации RHV
  4 августа приходите на совместный вебинар с Commvault, который пройдет в необычном формате – практической демонстрации сценариев резервного копирования платформы RHV. Заходите на огонек, чтобы узнать о единой и консистентной защите данных в инфраструктурах Red Hat.
• Смотреть запись вебинара Red Hat OpenShift Container Storage
  Red Hat OpenShift Container Storage позволяет получить полностью совместимый слой хранения для Kubernetes и управлять им в автоматизированном режиме за счет использования функционала операторов Kubernetes. Послушайте вебинар и узнайте как работает OpenShift Container Storage и что с ним делать.

Привет! Сегодня речь пойдёт о том, как готовилось вручение дипломов ВГУ в MMORPG «Аллоды Онлайн» со стороны команды проекта. Многие из вас наверняка видели мелькавшие в игровых изданиях упоминания о проводимых в онлайн-играх мероприятиях. В случае с «Аллодами» мы решили провести церемонию вручения дипломов студентам. 

Начать стоит с того, что в ВГУ на базе факультета прикладной математики, информатики и механики существует проект Игросфера, в рамках которого ведутся два курса: разработка на Unity и тестирование игровых приложений. В ходе этой инициативы связь между ВГУ и Аллодами возникла как-то сама по себе и существует уже долгое время. 

В какой-то момент к команде «Аллодов» обратился заместитель декана ПММ, который предлагал провести в игре вручение дипломов ВГУ.

Набросанный в рамках общения объем работ сперва не выглядел большим:

• локация, где все смогут собраться вместе;
• набор игровых персонажей для ректора, преподавателей и студентов;
• помощь в обеспечении голосовой связи, ведь писать обращение в игровой чат было бы неудобно; 
• набор NPC, которые будут выдавать студентам их дипломы, а также сами дипломы в качестве игровых предметов.

Чтобы попасть в локацию, где вручался диплом, игроку необходимо было бы пройти длинное и эпичное обучение, которое знакомит с миром и набором игровых механик. Разумеется, для быстрого доступа этот вариант не подходил, а на реализацию плавной связки «регистрация с аккаунта из списка -> пропуск обучения и телепорт в локацию» времени не было.

После переговоров с игровой платформой MY.GAMES Store были созданы временные аккаунты, под которыми игрокам давалась возможность войти в Аллоды, что убирало необходимость проходить стартовый инстанс. 

Дальше наши дизайнеры собрали игровой диплом и нескольких NPC, которые бы эти дипломы вручали. Мы не добавляли ничего лишнего – ведь только что присоединившиеся к проекту игроки могли бы легко потеряться в локации, не разобравшись в игровом процессе. Всё это также было подкреплено достаточно подробным гайдлайном, помогающим в процессе авторизации как в игре, так и в Discord (реализовывать голосовой чат в игре мы были не готовы), а также сопровождалось гейм-мастерами в процессе проведения самого события. 

В запланированный день, после репетиции, ректор и преподаватели выступили перед собравшимися студентами, а те, в свою очередь, забрали подготовленные для них дипломы. 

Happy end, казалось бы. 

На самом же деле, очень хотелось всё сделать иначе, используя совершенно другой набор технологий. Планируя готовящееся через несколько месяцев похожее событие, мы уже сейчас прорабатываем системное решение, в рамках которого студентам достаточно будет завести себе аккаунты в MY.GAMES и получить доступ на отдельный сервер. 

Проведение мероприятия на отдельном сервере даст большое количество преимуществ:

1. Мы сможем разместить локацию события в зоне туториала.
2. Не нужно будет производить манипуляции с аккаунтами.
3. Регистрация будет проходить для пользователя привычным образом.

Проведение мероприятий или даже обучения в игровой среде может стать глотком свежего воздуха для уставших от однообразия студентов не только по причине всё ещё сохраняющейся самоизоляции, но и просто потому, что это весело.

Photo by Blaz Erzetic on Unsplash

Делимся опытом и рассказываем, по каким критериям мы выбираем музыку для роликов и что нужно делать, чтобы аудио- и видеоряд хорошо сочетались.

Когда мы делаем промо-ролики об играх и софте, приблизительно в 29 случаях из 30 мы покупаем музыку для видео на аудиостоках. Чаще всего мы подбираем треки на Audiojungle.net и Premiumbeat.com. Кроме этого, интересные варианты можно подыскать на Neosounds.com и Shockwave-sound.com. Чтобы не отвлекаться от главного, мини-обзор этих площадок мы разместили в конце статьи. А сейчас перейдём к советам по выбору треков для видеороликов.

1. Выбирайте музыку перед тем, как собирать анимацию

Это нужно, чтобы аниматор мог синхронизировать события в кадре с темпом музыки. Пусть это самый короткий совет, но он самый важный.

Идеальный момент для выбора трека — когда у вас готова раскадровка и записана дикторская озвучка. Статичный арт уже даёт представление о цветовой гамме будущего ролика, характере линий и плотности элементов в кадре, а значит — раскадровка подсказывает, какое настроение должно быть у музыки. А с оглядкой на готовую озвучку вы сможете понять, хорошо ли голос и конкретный трек сочетаются друг с другом по глубине, высоте и общей тональности.

Посмотрите, например, как сочетаются тема видео, тональность трека и голос диктора в этом видео.

Тема ролика — космическая, музыка — глубокая, электронная, минималистичная и футуристичная, а голос — звонкий, молодой, достаточно эмоциональный. Голос диктора выделяется на фоне музыки, но не диссонирует с ней. Пожалуй, поиск такого сочетания — это и есть цель, но в этом-то и сложность.

Как правило, для промо-роликов мы выбираем треки, в которых нет голосовых вставок и ярко выраженных высоких ноток. Вокальные сэмплы в треке будут конфликтовать с голосом диктора. А высокие нотки могут «бить по ушам», сливаться со звуковыми эффектами и оставлять от просмотра видео не то чтобы неприятное, но слегка раздражающее ощущение.

Если в ролике нет голосовой озвучки, музыку с вокалом можно рассматривать как вариант. Для нашего демо-рила мы выбрали как раз такой трек.

2. Не обращайте особого внимания на названия треков на стоке

Иногда названия бывают говорящими: Energetic Action, Commercial Groove… Например, для ролика об игре Darklings II подошёл трек с названием Darkness.

Но бывает и так, что подходящий вам трек прячется за поэтичным, образным названием вроде Clouds on the Moon или Play with Me. Например, трек с названием My Right to Happiness подошёл для… видеопрезентации компании, делающей игры на HTML5.

Не проходите мимо треков, названных странно, только потому, что по вашим ощущениям музыка для вашего видео просто не может называться вот так. Очень может быть, что да. Проверяйте!

3. Обращайте внимание на осциллограмму

Отличный признак хорошего трека — когда музыкальная тема выстроена по структуре драматического произведения: экспозиция, завязка, развитие, кульминация, спад, развязка. Часто подсказкой на этот счёт служит осциллограмма трека — визуальное представление аудиосигнала. Чтобы получить представление о структуре трека, обратите внимание на осциллограмму и прослушайте моменты, в которые она меняется.

Вот, к примеру, осциллограмма трека Epic Trailer выглядит многообещающе.

Четыре пика в начале намекают на ярко выраженную экспозицию, пауза на 0:37 и плотный рисунок после неё говорят о резком переходе от развития к кульминации, а пики в концовке указывают на эффектную развязку.

Длина трека вас при этом ни к чему не обязывает. Трек можно смонтировать так, чтобы конкретные фрагменты мелодии попали в тайминг анимации. Послушайте, как мы смонтировали этот трек для ролика об игре Guard of Wonderland.

У фоновых, нейтральных треков, в которых музыкальная тема довольно монотонна и не имеет черт драматического произведения, осциллограмма, как правило, выглядит иначе: равномерное чередование пиков и спадов, однообразная плотность.

4. Смотрите, есть ли у трека вариации

Иногда кажется, что мелодия подошла бы идеально, если бы не… (барабаны, бас-гитара, свист — нужное подчеркнуть). В таких случаях обращайте внимание на наличие вариаций трека. Не исключено, что у понравившейся вам музыки есть, например, версия вокальная и инструментальная, с клавишной партией и без.

На Audiojungle вариации иногда входят в стоимость трека, причём найти их можно даже если трек относится к категории Music, а не Music Packs. Когда в нагрузку к основной мелодии идут приятные сюрпризы, это будет видно по осциллограмме на превью и отмечено в описании.

На Premiumbeat, как правило, в стоимость лицензии входит не только сам трек, но и фрагменты, из которых он составлен. Это упрощает монтаж трека на стадии его сведения с анимацией. Иногда даже встречается разведение по партиям: отдельно — дорожка с ударными, отдельно — с акустической гитарой, и т.д., а также 15-секундные, 30-секундные и минутные вариации.

Ниже — скриншот странички трека на Premiumbeat. Синей рамкой мы выделили 12 фрагментов мелодии, которые можно бесшовно зациклить, а розовой — 14 дорожек с отдельными партиями каждого инструмента, которые совпадают по таймингу с основной версией трека.

У треков на Neosounds и Shockwave-sound тоже бывают вариации, которые можно купить отдельно от основного трека или в дополнение к нему. Так, например, выглядят вариации трека на Shockwave-sound.

Если ситуация обратная: трек идеально подходит по настроению, но кажется немного пресноватым, — подумайте о том, что к видео можно добавить звуковые эффекты, которые сделают звучание более интересным.

5. Обращайте внимание на BPM трека

Темп музыки — не абстрактная характеристика, а конкретный и исчисляемый параметр. BPM — это количество ударов в минуту (похоже на измерение пульса). Обычно треки с BPM менее 90 считаются медленными, до 110 — среднетемповыми, до 140 — оживлёнными, более 140 — быстрыми. По нашему опыту, оптимальный темп музыки для роликов-эксплейнеров — около 120 ударов в минуту.

С видео об играх всё гораздо более индивидуально. Для ролика с атмосферой саспенса наверняка подойдёт что-то медленное или среднетемповое, а для видео в стиле экшен — что-то быстрое или даже очень быстрое. Бывает даже так, что в одном ролике можно задействовать два разных трека с разными BPM и это не мешает ролику выглядеть целостным произведением. Так мы сделали в ролике об игре Bubble Illusion.

Первый трек, для вступления, — саспенс с африканскими мотивами и бамбуковыми флейтами. Второй, для основной части ролика, — энергичная и эпичная мелодия с драматичными нотками. Хотя вообще, по нашему опыту, сочетание двух треков в одном рекламном видео — достаточно редкое явление. Использовать такой приём мы бы рекомендовали в исключительных случаях и только если оба трека идеально подходят вам по атмосфере, а различие темпа анимации не будет противоречить сюжетной линии.

6. Проверяйте BPM, указанный в информации о треке

Количество ударов в минуту часто указывается прямо на страничке трека на стоке, но лучше перепроверить это как специальным софтом (поисковый запрос BPM Analyzer покажет варианты), так и своими ушами: просто запустите выбранный трек параллельно со звуком метронома. Например, https://metronomer.com/ позволит выставить не только нужное количество ударов в минуту, но и сильные доли. Поискать другие варианты метрономов можно по запросу metronome.

Чтобы убедиться, что вы правильно рассчитали BPM, откройте в аудиоредакторе сам трек и созданный под него метроном и сопоставьте осциллограммы. На скриншоте ниже — как раз такой пример. В жёлтой рамке вверху — трек, в зелёной рамке внизу — метроном. Пиковые доли трека совпадают с ударами метронома на всей протяжённости: значит, BPM рассчитан правильно. Для примера, мы выделили пару «контрольных точек» красными рамками.

7. Старайтесь оценивать перспективы монтажа трека под свою анимацию

Иногда от этого зависит, сможете ли вы в принципе задействовать конкретный трек в своём ролике. Расскажем маленькую историю.

Когда мы подбирали музыку для промо-видео HelpDesk for Jira, нам очень понравился этот трек. Стильный хай-тек с чистым звучанием, уместными глитчами, запоминающимся мотивом и — вишенка на торте — звуком футуристичных капель, добавляющим треку шарма и оригинальности. В нашем ролике предполагалась интенсивная динамика и высокая плотность событий, а у трека как раз был указан достаточно высокий BPM (138 ударов в минуту). Казалось бы, идеальное совпадение: покупай и используй!

Но мы поняли, что смонтировать этот трек под наш видеоряд не получится. Потому что звук падающей капли, идеально подходящий для сопровождения ключевых событий в анимации, повторяется с интервалом в 7 секунд. Обратите внимание, где этот звук располагается в треке: 0:16, 0:23, 0:30…

Если мы сократим разбежку, например, до 3 секунд, из-за монтажа сломается ритмический рисунок: мотив утратится, очарование музыки растает. А если мы подчиним визуальные действия музыкальному интервалу, анимация в нашем ролике получится слишком медленной. Чтобы выдерживать 7-секундный перерыв между значимыми действиями, нужно будет плавно скользить камерой и неторопливо летать курсором в ожидании, пока в треке прозвучит ключевой звук. В итоге анимация будет провисать — и это несмотря на то, что по формальному критерию BPM трек идеально подходил.

В итоге мы остановились на другом треке для этого ролика — и вот что у нас получилось.

8. Передавайте метроном аниматору вместе с треком

Метроном — своего рода «скелет» музыки, на который можно нанизывать анимированные события. Например, второстепенное действие вроде разворота выпадающего меню можно сделать на слабой доле. А действия вроде нажатия на главную кнопку, появления смыслообразующего элемента в кадре или смены сцен — завязать на удар сильной доли.

Даже если это кажется излишними теоретизированием и перфекционизмом — попробуйте. Как только вы замените метроном, точно подобранный под трек, на саму дорожку музыкального сопровождения — вы увидите, что всё в кадре просто танцует в такт музыке, и это прекрасно.

Вот пример. Сначала собираем анимацию под метроном, чтобы пульсация смартфонов попадала в такты.

Затем проверяем, что трек и метроном точно совпадают друг с другом.

И выводим анимацию под музыку, убрав метроном. Вуаля, танец!

Если интересно, вот ролик целиком.

Вам когда-нибудь приходилось выбирать музыку на стоках? Были любопытные наблюдения? Делитесь опытом и мнениями в комментариях.

Если вы пока не знакомы с аудиостоками — надеемся, наш блиц-обзор ниже поможет вам на них освоиться.

Блиц-обзор аудиостоков

У каждого стока — своя специфика лицензионной политики, обзор которой занял бы ещё несколько экранов. Чтобы не отвлекаться от темы — просто дадим ссылки на разделы о типах лицензий на каждой площадке. А ниже немного расскажем о том, чем стоки отличаются друг от друга с точки зрения пользователя, который хочет найти на них подходящий трек.

Audiojungle.net (типы лицензий). На Audiojungle наравне с жанрами (классическая музыка, кантри, джаз, поп и т.д.) идут категории, обозначающие предназначение музыки: детская, корпоративная, для кино. Поначалу это может смутить: разве музыка для кино не может быть в стиле джаз или поп? По мере освоения на площадке это смешение «тёплого с мягким» перестаёт вызывать когнитивный диссонанс.

Premiumbeat.com (типы лицензий). Помимо классификации по жанрам, на Premiumbeat есть отдельная классификация по настроениям. В разделе Moods треки сгруппированы по контекстам, которым музыка подходит. Например, Adventure / Discovery или Suspense / Drama.

Neosounds.com (типы лицензий). На Neosounds, в дополнение к отдельным разбивкам на жанры, настроение и контексты, есть ещё и классификация по музыкальным инструментам. Такая функция упрощает поиск, если вам принципиально, чтобы в треке звучали, например, валторна (French horn) или клавесин (Harpsichord).

Shockwave-sound.com (типы лицензий). На Shockwave-sound — такое же разнообразие классификаций, как на Neosounds, плюс на первый уровень UI вынесена классификация по исполнителям. Впрочем, просмотр треков определённого автора в том или ином виде есть на всех упомянутых стоках.

Довольно полезная функция — просмотр похожих треков: More similar items на Audiojungle, More songs like this one на Premiumbeat, Show similar на Neosounds, Find similar tracks на Shockwave-sound.

Об авторе

Статья написана в Alconost. Мы уже 8 лет создаём видеоролики для игр и приложений, в том числе трейлеры, тизеры, прероллы и туториалы. Ролики в этой статье — примеры наших работ. Мы с удовольствием сделаем классное видео и о вашем продукте: пишите на video@alconost.com. А ещё мы занимаемся локализацией приложений, игр и сервисов на 70+ языков.

Подробнее: alconost.com. Подпишитесь на нас ВКонтакте, Фейсбуке или Твиттере, чтобы первыми увидеть наши свежие работы и анонсы новых публикаций.

Другие наши статьи о создании видеороликов

• Нужна ли голосовая озвучка роликам об играх?
• Нужна ли дикторская озвучка роликам о приложениях и веб-сервисах?
• Как заказать ролик об IT-продукте на аутсорсе и получить то, что нужно
• Как мы в Alconost делаем видеоролики и как клиент в этом участвует
• Сколько стоит сделать ролик об игре своими силами
• А также: Как написать сценарий продающего видеоролика-трейлера, Принципы анимации: как сделать хороший скринкаст программного продукта, Классификация продающих видеороликов об IT-продуктах, Философия продающих видеороликов.
• И ещё немного: Почему в роликах показывают условный интерфейс приложения вместо реального: шесть причин; Внезапная реклама в вашем ролике на Youtube: почему она появляется и как её убрать; Ролики для долгосрочной рекламной кампании мобильной игры: что делать, чтобы креативы не приедались аудитории?

Представьте себе, что у вас небольшой бизнес. В один прекрасный день вы получаете письмо, составленное роботом, в котором сообщается, что вы нарушаете какой-то пункт правительственных постановлений. Что именно вы нарушаете, не говорится, но вам дают четырнадцать дней на то, чтобы исправить ситуацию, иначе вас закроют. Если от вас поступит слишком много заявок на пересмотр, сообщает робот, вас закроют без права обжалования.

Вот в такую русскую рулетку заставляет играть разработчиков интернет-магазин Chrome. Некоторым везёт, и путём долгих препирательств и игр в угадайку они в конце концов проходят модерацию – так было с Pushbullet. Другим везёт меньше – им перекрывают кислород. Мы попали в число неудачников: одиннадцатого июня нас убрали с маркета. Бизнес на грани смерти, а решают его судьбу люди, которые отказываются выходить с нами на связь.

Наше расширение – инструмент для создания доступной онлайн-среды; оно позволяет людям с нарушениями двигательных функций или травмами использовать при работе с браузером голосовое управление вместо мышки и клавиатуры. Мы работаем честно: ни рекламы, ни выкачивания данных – просто прозрачный выбор между бесплатной версией и платной подпиской. Рейтинг составляет 4.7, число активных пользователей в неделю – около четырёх тысяч. Мы вложили в этот продукт три года работы «от звонка до звонка».

Двадцать шестого мая нас оповестили, что мы нарушаем правила следующим образом:

Приватность пользовательских данных

В вашем продукте обнаружены нарушения правил из раздела «Использование разрешений», согласно которым разработчики обязаны:
— Запрашивать доступ к минимальному набору возможностей, необходимому для функционирования инструментов или сервисов вашего продукта;
— Если несколько разных разрешений могут обеспечивать выполнение функции, выбирать то, которое даёт минимальный доступ к личным данным или функциональности;
— Не создавать «задел на будущее», запрашивая разрешения, которые могут оказаться полезны для еще не реализованных инструментов или возможностей.

Поломав голову над тем, какие разрешения они могут иметь в виду, мы несколько дней просидели допоздна, внося в расширение изменения, и отправили версию с урезанными запросами. Затаили дыхание и стали ждать.

Было: debugger, notifications, tabs, activeTab, tts, storage, unlimitedStorage, host permission
Стало: tabs, debugger, notifications, tts, storage, host permission

Шестнадцатого июня мы получили свеженькое оповещение о том, что приложение отклонено, но теперь уже по другой причине. Письмо показалось нам обнадёживающим: в нём говорилось, что предыдущая версия, которая прошла модерацию, останется на маркете, нам нужно будет только исправить описание. Проблема заключалась в том, что и предыдущая версия получила отказ из-за проблемы с разрешениями. Поэтому наше расширение по-прежнему было представлено на маркете страницей 404.

Текст повторного отказа:

Cпам и реклама в магазине

Не используйте неподходящие, вводящие в заблуждение или слишком многочисленные ключевые слова в описании продукта, заголовке или метаданных.
Пожалуйста, удостоверьтесь, что описание продукта ясно и непосредственно соотносится с его функциональностью.

Мы решили, что это хороший знак: значит, хотя бы с разрешениями всё правильно сделали. А это вопрос первостепенной важности – если бы мы стали ещё сильнее сокращать список разрешений, пришлось бы серьёзно урезать возможности продукта, включая и те, без которых нашим пользователям никак не обойтись.

Мы не очень поняли, где именно модераторы увидели злоупотребление ключевыми словами, но слов вообще было действительно многовато, потому что в описание входила хронология изменений по версиям. Соответственно, мы убрали эту часть, и описание сократилось на девяносто процентов. Вот отредактированный вариант.

Семнадцатого июня мы получили письмо с отказом всё по той же причине – спам и реклама в магазине. Тут мы уже вообще перестали что-либо понимать и стали ужимать описание по максимуму. Может, им не понравилось, что мы указывали конкретные сайты, под которые делали инструменты (Gmail, Google Sheets, Reddit, Hacker News)? У нас в расширении есть плагины, в которых предусмотрены особые функции именно для этих ресурсов. Ну, например, для Gmail есть специальные команды «написать», «ответить», «назад во входящие» и так далее. Возможно, модераторы не слишком вникали в частности.

Мы по-быстрому повыкидывали лишнее из текста, пока не осталось что-то такое.

Сегодня утром, восемнадцатого июня, нас поджидало очередное письмо счастья от магазина Chrome. На этот раз тема спама и рекламы не затрагивалась, но зато мы вернулись к тому, с чего начали – нам отказывали из-за разрешений. Каким образом нас отбросило на исходную позицию? Ведь мы вносили изменения только в описание, никаких новых пакетов с новыми разрешениями загружено не было. Бессмыслица какая-то.

Мы в полной растерянности. Попробовали обратиться в службу поддержки Chrome для разработчиков, но не получили ответа. Никто нам не говорит, какие из разрешений считаются избыточными для расширения. Сами мы тщательно проанализировали каждое и пришли к выводу, что все они строго необходимы для работы.

Все письма от администрации Chrome заканчиваются такими словами:

Регулярные или грубые нарушения правил интернет-магазина Chrome могут привести к заморозке вашего аккаунта разработчика или к запрету на использование платформы.

После трёх лет усилий ради того, чтобы сделать Chrome доступнее, такое безликое и бесчеловечное отношение со стороны администрации магазина шокирует. Приводим список разрешений, которые запрашиваем. На наш взгляд, все они продиктованы сугубо требованиями функциональности.

tabs

Разрешение activeTab пускает нас на ту вкладку, с которой пользователь кликнул на иконку расширения. Но для наших нужд этого недостаточно. Представьте: пользователь запускает расширение нажатием на иконку, а затем говорит: «Следующая вкладка», чтобы перейти на соседнюю вкладку в том же окне. При таком раскладе без разрешения tabs подавать команды он уже не сможет, ведь activeTab действует только в пределах той вкладки, где произошел запуск. Поэтому-то и требуется tabs, которое не имеет настолько строгих ограничений.

debugger

Необходимо, чтобы голосом нажимать клавиши («нажать на левую стрелку», «нажать на Enter»). Слушатели, реагирующие на сгенерированные события, во многих случаях не срабатывают, как например в Google Sheets или с некоторыми операторами div с атрибутом contenteditable. Сделать разрешение необязательным невозможно (ограничение прописано в манифесте).

host permission

Это разрешение добавляется по умолчанию, потому что скрипты ContentScript у нас должны свободно запускаться на всех страницах. Внедрять скрипты, которые взаимодействуют с DOM, нужно, чтобы дать пользователям возможность управлять содержимым страницы – нажимать на ссылки, пролистывать, проигрывать видео и так далее.

tts

Реализовано для пользователей с дислексией, которым необходимо, чтобы им озвучивали текст. Сделать разрешение необязательным невозможно (ограничение прописано в манифесте).

notifications

С его помощью мы сообщаем пользователям, что расширение LipSurf было отключено после долгого периода бездействия, или о том, что установлено обновление.

storage

Разрешение служит для хранения пользовательских настроек и кастомных плагинов.

Дополнение к статье, опубликованное позже

В этой битве мы победили, но войну не выиграли.

Мне повезло. Если бы я в тот день не выиграл главный приз в лотерее «Интерес интернетов», наш проект бы прикрыли и пользователи остались бы брошенными на произвол судьбы с инструментом, который выручал их в повседневной жизни, а теперь больше не поддерживается. Тысячи людей с ограниченными возможностями могли потерять комфортную онлайн-среду, а мы – свой бизнес, потому что судьба того и другого находилась в руках обезличенного контролёра, который тоже иногда ошибается.

Вкратце повторим: наше приложение для Chrome удалили с маркета, якобы потому что оно нарушало правила. После обширных правок кода, многочисленных неудачных попыток пройти модерацию и недели изгнания с маркета без возможности обсудить ситуацию с администрацией мы стали во весь голос возмущаться на Reddit. Наш пост попался на глаза кому-то, кто вхож во внутреннюю кухню интернет-магазина Chrome; этот человек написал нам в Твиттере – сказал, что произошло недоразумение и извинился. В тот же день мы в очередной раз отправили расширение на модерацию и снова появились на маркете.

Но жалобы в Сети не должны становиться каналом связи с администрацией. Разработчики не должны от безысходности полагаться на лотерею «Интерес интернетов». Магазин Chrome существует уже десять лет, пора бы им как-то навести у себя порядок. Ну а мы, команда LipSurf, хотим воспользоваться своим завидным положением в центре внимания, и помочь остальным разработчикам улучшить систему.

Для начала, хотим поблагодарить героя дня @DotProto. Он не только нас спас, но еще Pushbullet и многих других. Мало того, он этим занимается в свободное от работы время. Хотя @DotProto говорит, что администрация работает над отладкой процессов изнутри, с нашей стороны было бы как-то глупо стоять в сторонке, ждать и надеяться. Проблема явно носит системный характер, судя по тому, что форумы маркета усеяны мольбами о помощи, а в комментариях к нашему посту на Reddit собралась целая перепись подобных историй. Это может случиться и с другими и, скорее всего, случится.

Исходя из этого, сегодня мы открываем группу для разработчиков, сотрудничающих с интернет-магазином Chrome, которая будет вести диалог с маркетом. Это не канал техподдержки и не платформа, где можно привлечь внимание, если администрация на тебя не реагирует. Это место, где разработчики могут собраться и обсудить, как улучшить фундаментальные принципы сотрудничества. Инициатива не организована компанией Google и группа не состоит под её началом.

Вместе у нас будет больше шансов на успех в следующем:

1. Убедить Google Chrome разрешить магазины со сторонними расширениями. Это позволит внести разнообразие в прежде огороженный ассортимент расширений, поставит разработчиков в более выгодные условия и снизит риск того, что ваш продукт безвозвратно снесут просто потому что.
2. Добиться со стороны администрации магазина Chrome более справедливого отношения и большей готовности вступать в контакт. От шаблонных писем с отказами, в которых информация о нарушения даётся только в самых общих чертах, страдают все – и разработчики, и сотрудники компании. Тем и другим приходится зря терять время в попытках прояснить ситуацию, особенно когда кого-то отклоняют по ошибке.

Начинать сбиваться в кучу и выстраивать оборону нужно уже сейчас – если этого не сделать, всё так и останется в руках контролёра по имени Chrome. Форум будет открыт также для сотрудников компании и людей, которые отстаивают интересы разработчиков, как @DotProto. Мы ведь не воевать с ними собираемся, в самом деле – хорошая платформа и сама выступает за, а не против своих клиентов.

Если вы разрабатываете расширения для Chrome или у вас есть знакомые, которые этим занимаются – пожалуйста, поддержите начинание, заполнив форму или скинув ссылку. Мы планируем открыть форум, как только убедимся, что набирается достаточно заинтересованных людей.

TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com

Преамбула

И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.

Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.

Пару лет назад в Сети начали появляться вопросы относительно нового требования от ресурса: пользователь должен загрузить свой паспорт. Беглый гуглёж сразу приводит нас в справочный раздел, где перечислены необходимые действия для идентификации и поясняется, почему это хорошо.

Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.

Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.

Фабула

Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.

Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.

Действие 1. Человек заходит на cian.ru, начинает подавать объявление. Видно в перехвате по http, что полетели фото. 4 штуки (строки №6-9 на скриншоте).

Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.

Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.

Действие 2. Наступает интересный момент. После загрузки фото летят разные пакеты да по разным местам. Что-то на api циана, что-то в mail.ru, что-то в facebook. Зачем? Не знаю. Но явного криминала тут не нашли. Наконец, наступает момент, когда появляется шаг с подтверждением личности.

Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.

Взглянем на скрин поближе.

Если вы следили внимательно, то могли запомнить, что этот скрин находился на строке №27. Что же дальше по хронологии? Строка №28 спешит убить интригу – человек добавил свой паспорт. Но!

Вы только посмотрите, что творят канадцы! Паспорт улетает на api.sumsub.com. Можно убедиться, открыв в перехвате сам файл.

Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.

Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».

В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.