Будни разработчика

#молния дня В React обнаружили критическую уязвимость в механизме серверных компонентов (React Server Components). Из-за ошибки в том, как React разбирает входящие данные, сервер может попытаться выполнить вредоносный объект как часть своей логики. Достаточно специально подготовленного HTTP-запроса — и код на сервере окажется под контролем не того, кто его писал. Это не проблема конкретного фреймворка. Под удар попадает любой проект, где используются RSC: Next.js, Remix (с RSC-вставками), любые кастомные серверные интеграции, экспериментальные рантаймы, кастомные бандлы — неважно. Если у вас есть React Server Components, риск реальный. Уязвимы версии пакетов react-server-dom-* — 19.0.0, 19.1.0, 19.1.1, 19.2.0. Официальное описание: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components Next.js упоминают чаще всего просто потому, что он массово использует RSC «из коробки», и поэтому количество уязвимых приложений там особенно велико. Но это не его эксклюзивная проблема — это дыра именно в React. Патчи уже вышли: React закрыл её в версиях 19.0.1, 19.1.2, 19.2.1. Если у вас Next.js, то актуальные безопасные релизы: 15.0.5+ и 16.0.7 (детали: https://nextjs.org/blog/CVE-2025-66478) Суть в том, что если ваш сервер хоть как-то отдаёт RSC-ответы и принимает RSC-запросы, обновиться нужно обязательно. Если серверных компонентов нет — пофигу. Кстати, вот и технический разбор как проблемы, так и патча: https://www.ox.security/blog/rce-in-react-server-components/ #react #rsc #next

Agile или курятник 🐔 Какое-то время я долго себя винил за то, что пишу якобы недостаточно гибкий код. Ведь каждый день приходят координально новые изменения, а мой код НЕ может адаптироваться под них, и значит я живу ВНЕ Agile. Но сейчас я понимаю, что это БРЕД! Agile - это корректировки в исходный план, но не координальная смена вектора. И даже такие корректировки должны происходить не чаще чем раз в месяц, и они должны быть обоснованными. Хотите изменить страницу авторизации? Хорошо... На основе каких метрик? На сколько денег бизнес заработает больше, если мы это реализуем? Если каждую неделю вектор разработки меняется на 180, это не agile, это пубертатный подросток пытается найти свое предназначение в жизни. И такой бизнес обязательно умрет и вас сократят к чертям. Поэтому бегите с этого коробля первыми. Почему то, что я говорю - правда? Дело в том, что продукты создаются для пользователей. Пользователь - это либо компания, либо сам человек. И у того и у другого есть свои привычки и паттерны поведения, и они сохраняются ГОДАМИ. И все, что нужно продуктовому менеджменту - это изучить эти паттерны и привычки и спокойно пилить под это дело продукт с небольшими корректировками. Но часто - все превращается в какой-то курятник, где все бегают с горящими жопами... Понравился пост - у меня таких много! Подпишись Реклама. Трумпель В.Д. ИНН 290501305013.

#статья дня Google в очередной раз доказал всем, что дизайн — это не про них. Если вы, как и я, понимаете, что на этой иллюстрации не так — обнимемся. Если же нет, или хотите понять больше — есть всё ещё пока лучшая в русскоязычном сегменте интернета статья Оптическое выравнивание и пользовательские интерфейсы. — Почему при обычном центрировании слоёв и фигур иконки всё равно могут выглядеть «смещёнными» и невыровненными? — Почему важно не просто «на глаз» выравнивать иконки, а знать, где у фигуры настоящий центр — её геометрический «центр тяжести» (барицентр)? — Почему автоматизация поиска центра фигуры и её выравнивание — более надёжный путь, чем ручная корректировка, особенно при большом количестве иконок в интерфейсе? Всё там :) Очень рекомендую. Кстати, раз уж снова подняли эту тему, маленький лайфхак для дизайнеров: размойте иконку и сразу станет понятно, сбалансирована она, или нет. Вот как тут. #design #alignment #icons

#дайджест недели Понедельник Jhey показал эффект с подсветкой краёв карточек по движению мыши — координаты курсора, CSS и SVG-фильтры. Аккуратная демка, чистая реализация. https://t.me/htmlshit/3914 Вторник virtua — библиотека для виртуализации списков с динамическими размерами, бесконечным скроллом и поддержкой популярных фреймворков. Быстрая и универсальная. https://t.me/htmlshit/3916 Среда ESLint Plugin De Morgan переписывает отрицания по законам де Моргана. Два правила, автофикс, без зависимостей — мелочь, но делает логику чище. https://t.me/htmlshit/3917 Пятница Хороший буст к скорости тестов: заменить ts-jest на @swc/jest. SWC работает быстрее за счёт native-кода и отсутствия проверки типов — проекты ощутимо ускоряются. https://t.me/htmlshit/3919

Раньше зарплаты разработчиков росли вместе с опытом. Сейчас все иначе: пока ребята со стажем 10+ лет получают меньше 150 тысяч, зумерочки зарабатывают по 400+ тысяч. Сегодня больше зарабатывает тот, кто знает, сколько стоят его навыки, а не тот, кто 15 лет пишет идеальный код. Что это значит для нас? То, что нужно знать рыночек и понимать, на какие деньги сейчас реально можно претендовать. Чтобы не зарабатывать в два раза меньше, когда можно зарабатывать в два раза больше! Следите за ситуацией на рынке в канале «зэпэшки в разработке». Здесь разработчики, DevOps-инженеры, тестировщики и техлиды рассказывают, сколько они зарабатывают и что конкретно делают за эти деньги: • 450 000 ₽ у iOS-разработчика в 24 года • 60 000 ₽ у Fullstack-разработчика • 330 000 ₽ у DWH аналитика в 27 лет Подписывайтесь на «зэпэшки в разработке» и становитесь осведомленнее → @sweetsalaryD

#инструмент дня Зачем писать !(a && !b && c >= 10 && d !== e), если можно !a || b || c < 10 || d === e? Ответ на эти и другие вопросы прост: «Потому что не подумал». Но думать — сложно. И не всегда нужно. Поэтому в IDE от JetBrains встроен преобразователь логических вырадений по законам де Моргана. А тем, кто предпочитает быть свободным, приходится искать иные решения. Иногда — даже думать. И тут есть вариант, откуда не ждали: правило для ESLint! ESLint Plugin De Morgan: https://github.com/azat-io/eslint-plugin-de-morgan Запросто преобразует ваши const value = !(a || b !== c) в const value = !a && b === c. В плагине два правила: - no-negated-conjunction - no-negated-disjunction Все правила имеют автофикс. У плагина нет зависимостей. Поддерживает как современный, так и легаси формат ESLint конфигов. Твиттер автора с анонсом: https://x.com/azat_io/status/1888874193007132762 Пользуемся, котаны! #boolean #eslint #logic #бородач

#инструмент дня Кому адекватной современной виртуализации списков? Как-то так повелось, что задача отрисовки десятков, и даже сотен тысяч строк или ячеек на экране решается... волнами. Появляется решение, принимается всеми, а потом — буквально забрасывается. И вот мы годами ждём обновления того же react-window просто чтобы получить возможность рендерить строки разной высоты из коробки. А react-window сам по себе был и является рекомендованной заменой react-virtualized. В других фреймворках и ванильных средах ситуация ещё веселее. При этом разработчики, например, мобильных приложений на тех же Flutter и SwiftUI в принципе лишены этой проблемы, просто потому что им надо заботиться о рендере элементов самостоятельно, заранее объявляя, что тут должен быть скролл. Насильная виртуализация, так сказать. Если вы были застигнуты врасплох моими утверждениями и не понимаете вообще, о чём я, то вкратце поясню: чтобы дать возможность человеку поскроллить тысячи и сотни тысяч объектов на экране, совсем не обязательно отрисовывать их все разом. Можно отрисовать штук 10-20 строк, заполнив экран, и просто переиспользовать эти элементы раз за разом. Виртуальные списки, буквально. Итак, для чего я всё это пишу? А вот: вашему вниманию предъявляется универсальная библиотека виртуализации списков virtua. GitHub: https://github.com/inokawa/virtua Умеет в динамические высоты строк из коробки! Умеет в бесконечный скролл. Умеет занимать всю высоту окна. Умеет в RSC. Ну и не ограничивается одним только React: Vue, Solid и Svelte тоже поддерживаются. Отличное современное решение. #scroll #virtual #бородач

Заказчик кинул с деньгами? Отправьте его в суд. Чаще из-за ошибок в договоре правда может быть не на вашей стороне. 8 пунктов для безопасного договора — проверьте прямо сейчас. В 2026 году требования к IT-компаниям и фрилансерам станут жёстче. Разберитесь с налогами, сайтами и договорами уже сейчас. Подписывайтесь на LAWLEGKO — канал практикующего юриста Инны Вялковой. Новости от государства и юридические тонкости простым языком. Или передайте всё юристам: договоры, налоги, реклама — юридическое абонентское сопровождение. Вы занимаетесь работой, юристы LAWLEGKO — вашим спокойствием.

#codepen дня Jhey стал очень редко радовать нас новыми дропами — готовится к изданию своего курса по эффектной вёрстке, потому кодом делиться — увы — почти перестал. Но надо отдать должное, когда идея не полностью исходит от него — он всё ещё продолжает демонстрировать уровень! Итак, помните мы с вами пытались делать эффект Ambilight? Как оказалось, ту же идею можно применить чтобы подсветить края карточек! Немного JS для передачи координат курсора в CSS, немного SVG-фильтров для размытия продублированного контента — и вы неотразимы! Собственно, пример: https://codepen.io/jh3y/pen/WbwZaNa Не забудьте потыкать настройки, чтобы понять реализацию. #svg #css #ambilight

#дайджест недели Понедельник Supercookie — демонстрация того, как обычная favicon может работать как устойчивый идентификатор. Старый трюк, но теперь есть аккуратный POC, который узнаёт вас по иконке. https://t.me/htmlshit/3909 Четверг Как вставлять табличные данные из Google Sheets прямо в форму на сайте: ловим paste, парсим табы, раскладываем по input’ам. https://t.me/htmlshit/3911 Пятница HTML-in-Canvas: эксперимент, который позволяет <canvas> рисовать настоящий HTML со стилями и вложенностями. Пока сыро, но выглядит как первый нормальный путь к HTML-в-картинку без костылей. https://t.me/htmlshit/3912 Короткая неделя вышла, котаны.