Hacker News Digest

Как я случайно стал неофициальным разработчиком Apple Wallet для PureGym

47 секунд: зарождение злодея
Каждый вход в PureGym занимал 47 секунд: открыть приложение, дождаться загрузки, нажать «Gym access», дождаться QR. 6 дней в неделю — 282 секунды жизни на вход. Решил оптимизировать.

Восьмилетний PIN
8 лет подряд использую один и тот же 8-значный PIN на турникете. Он никогда не протухал. А QR-код обновляется каждую минуту — спектакль безопасности.

mitmproxy и GitHub
Попытка «заснять» QR и положить в Wallet провалилась — код умирает за минуту. На GitHub нашёл кучу недовольных разработчиков и старые репозитории PureGym.

PassKit: забытый ребёнок Apple
QR-коды PureGym — это обычные signed passes Apple Wallet. Формат .pkpass — ZIP с JSON и подписью. Сгенерировал собственный pass: pass.json, manifest.json, подписал через openssl.

Swift-backend на Vapor
Написал сервис на Vapor:

• авторизация по логину/паролю PureGym
• парсинг JSON с QR-кодом
• генерация нового .pkpass каждые 6 часов
• отдача по deeplink https://pass.puregym.local/{id}

The Great Gym Heist
Запустил сервер на домашнем Raspberry Pi. Первый вход — 3 секунды, без приложения. Через неделю 50+ человек используют мой сервис. Никто не заметил.

Apple Watch
Добавил Watch-расширение: показ pass на двойное нажатие боковой кнопки. Работает даже без телефона.

Цифры

• 47 → 3 секунды входа
• 282 → 18 секунд в неделю
• 50+ пользователей
• 0 жалоб

Бонус
Сделал push-уведомления, если pass не обновился. Добавил темную иконку для Vision Pro.

Неловкая правда
PureGym мог бы сам выдать Wallet-pass за день работы. Но 8 лет никто не заметил.

Этика
Никаких персональных данных не храню, только токен. Если закроют — открою исходники.

Что дальше
Планирую добавить NFC-таг у входа: поднёс Watch — дверь открылась.

• Пользователи делятся опытом работы с ужасным официальным приложением PureGym: медленный старт, отключение фоновой музыки, веб-обёртка вместо нативного клиента.
• Автор статьи сделал собственный Swift-бэкенд и Apple Wallet-пасс, чтобы мгновенно получать обновляющийся QR-код и не ждать 7 секунд загрузки.
• Обсуждают безопасность: 8-значный PIN выдаётся самим сервисом, может быть скомпрометирован, а API, похоже, не имеет нормального rate-limit.
• Сообщают аналогичные истории с другими сетями (TrainMore, Fitness SF, Better) и спорят, почему компании не добавляют Wallet: «не приоритет», «слишком дорого поддерживать», «никому не платят за UX».
• Поднимают юридические вопросы: использование неофициального клиента может нарушать ToS или законы (CFAA в США), но многие считают это разумным «гражданским хакингом».

Как построили бы HS2 по-швейцарски

Derailed: The Story of HS2 BBC показывает: HS2 — это британская притча о медленном, дорогом и неэффективном строительстве.
Швейцарцы действуют иначе.

Долгосрочное финансирование

У них есть закреплённый в законе инфраструктурный фонд, ежегодно выделяющий деньги.
Проект не начинается с линии (HS2), а с расписания 2045 г.: каким оно должно быть, чтобы достичь национальных целей? Затем двигаются назад.

Что бы увидели британские планировщики в 2008 г.

• Недостаточно платформ в Лидсе, Манчестере Пикcadilly, Бирмингеме New Street.
• Пригородные линии тормозят экспрессы: Ковентри–Бирмингем, Сток–Манчестер через Poynton. Нужны отдельные пути.
• Между второстепенными городами скорости низкие: Бирмингем–Манчестер, Лидс–Ноттингем, Шеффилд–Бирмингем. Требуются прямые высокоскоростные линии.
• Арка Оксфорд–Кембридж: больше жилья → больше остановочных поездов на West Coast → экспрессы нужно вывести на новую линию.
• Грузовые поезда требуют более низких скоростей на существующих магистралях.

Итог: начинать не с «строим HS2», а с «какое расписание нужно стране?».

• Швейцарцы строят инфраструктуру «с конца»: сначала выбирают целевой год и рисуют идеальное расписание, потом шаг за шагом доводят сеть до него.
• У них десятки мелких, почти ежегодных проектов, которые «держат цепочку поставок и людей в тепле» и позволяют учиться на ошибках без миллиардных сверхрисков.
• В UK и США наоборот: один «мегапроект» (HS2, Lower Thames Crossing) тянет десятилетия, стоит в разы больше и вдобавок сталкивается с NIMBY-исками, «туннелями для летучих мышей» и прочими юридическими тормозами.
• Разница усиливается культурой: в Швейцарии прямая демократия учит проигрывать и договариваться, а в UK правовая система превращается в оружие для срыва строек.
• Итог: у Швейцарии медленно, но верно получается идеальная сеть; у UK — вечные перерасходы и «никто не знает, каким будет итоговое расписание».

Simon McGarr
Акт о безопасности в интернете Великобритании, как выяснилось в недавнем суде, создавался не для защиты детей, а для контроля сервисов, оказывающих значительное влияние на общественное мнение.

• Участники спорят, что цитаты из The Times вырваны из контекста: закон не «под прикрытием детей» нацелен на Amazon, а детская безопасность регулируется другими частями OSA.
• Некоторые американцы преувеличивают, называя Великобританию полицейским государством, где «сажают за оскорбления»; бриты считают это мифом.
• Критики считают, что реальная цель Category 1 — контроль крупных платформ и общественного дискурса, а не защита детей.
• Поддержка закона высока: все главные партии и значительная часть общества привыкли к «нянечному государству».
• Многие британцы политически апатичны: даже массовое хранение истории браузеров вызвало минимальный резонанс.

Кратко о ЦПТ
Если из любого распределения с конечным средним и дисперсией брать выборки размера n и считать их средние, то при n → ∞ распределение этих средних стремится к нормальному.

Эксперимент
Сгенерировано по 10 000 значений из шести распределений: uniform, normal, binomial, beta, exponential, χ².
Функция take_random_sample_mean() берёт случайную выборку размера 60 и возвращает среднее. Повторено 20 000 раз.

take_random_sample_mean <- function(data, n) {
  slice_sample(data, n = n) |> summarise(across(everything(), list(mean = mean, sd = sd)))
}

Результаты
Гистограммы 20 000 средних показывают, что даже для сильно ненормальных исходных распределений форма распределения средних близка к нормальной.

• Обсудили аналог ЦПТ для экстремумов — теорему Фишера–Типпета–Гнеденко (GEV).
• Подчеркнули важность симуляций для интуитивного понимания ЦПТ и поделились ссылками на визуализации.
• Отметили, что скорость сходимости к нормальному распределению зависит от исходного распределения (экспоненциальное сходится медленнее).
• Упомянули обобщения ЦПТ: для распределений без конечной дисперсии, ряды Эджворта, устойчивые распределения.
• Предупредили о риске завышенных ожиданий из-за «хорошо ведущих себя» примеров и дали ссылки на литературу.

• Старт: Паркер и Стоун познакомились в 1992-м на курсе кино в Университете Колорадо, сняли короткометражку Jesus vs. Frosty и в 1995-м — Jesus vs. Santa.
• Comedy Central: в 1997-м канал заказал сериал, дав всего $5 млн на 6 серий.
• Ключевой пункт контракта: 50 % от любой «нет-ТВ» прибыли (DVD, поток, мерч). Тогда это казалось безумным, но стало золотой жилой.
• DVD-бум: к 2007-му продано 2,5 млн дисков сезона 10-го — по $35–40 за штуку; Stone-Parker получили сотни миллионов.
• Цифровая сделка 2007-го: создали сайт southparkstudios.com и разделили доход 50/50 с Viacom.
• Paramount+ 2021-го: эксклюзив за $900 млн до 2027-го, плюс $600 млн на новые фильмы и спецвыпуски.
• Итог: к 2025-му каждый из авторов — миллиардер ($1,2 млрд по Forbes).

• Ключевой момент статьи – контракт 1997 г., по которому Паркер и Стоун получили долю от всех доходов, кроме эфира Comedy Central; тогда это казалось мелочью, а потом взорвалось на стриминге и мерче.
• Пользователи обсуждают, стоит ли им жертвовать миллиарды: одни считают, что они «не такие» миллиардеры, другие – что это их деньги и давить бессмысленно.
• Часть комментаторов ругает статью за раздутость и «википедийность», просят TLDR.
• Некоторые связывают шоу с формированием «South Park conservative» и дальнейшим alt-right, но другие напоминают, что сами авторы пародируют всех подряд и позже признавали свои ошибки.

Гигантский джет на камеру: астронавт NASA Николь Эйерс сняла редкое явление

С борта МКС астронавт Николь Эйерс запечатлела гигантский джет — мощную электрическую вспышку, уходящую из грозовой тучи прямо в ионосферу на высоту ~80 км.

• Что это: разновидность спрайтов, но в 10 раз мощнее; длится миллисекунды.
• Как сняла: использовала ночную камеру, ориентированную на Землю.
• Научная ценность: данные помогут изучить верхние слои атмосферы и влияние молний на климат.

Это первый случай, когда гигантский джет зафиксировали с орбиты в высоком разрешении.

• Пользователи жалуются на низкое разрешение официального изображения «гигантского джета» и ищут полноразмерную версию.
• Найдены прямые ссылки на качественное фото астронавта Николь Айерс и пояснения на Wikimedia.
• Обсуждают, что пилоты и моряки сообщали о подобных явлениях годами, но наука признала их только после «официальных» записей.
• Уточняют дату и место съёмки: 3 июля, граница Мексика-Техас.
• Спорят о природе красного свечения: версия — испускание атомарного кислорода на большой высоте.

• Рынок труда разрезан: старшие разрабы жалуются на полное молчание рекрутеров, а кандидаты 5+ лет опыта всё ещё получают оферы на $50-100 к выше текущего оклада.
• Люди не переезжают: никто не хочет выпрыгнуть из ипотеки 3-4 % в 7-8 %, а при продаже дорогого дома некуда дешевле переселиться.
• Дефицит жилья и работы одновременно: мало домов там, где много вакансий, и мало работы там, где дома дешёвы.
• Причина дороговизны — регуляция: в большинстве городов по сути запрещено строить плотную многоэтажку, а собственники голосуют против новостроев, чтобы сохранить цены.
• Итог: застой мобильности, когда семье проще «застрять» в старом доме и на старой работе, чем рискнуть двойным переходом.

Конец «карусели» фармгигантов
Фармкомпании продают лекарства в США по ценам в 2–4 раза выше, чем в Европе и Канаде. Чтобы не платить налоги, они «каруселят» прибыль: американское подразделение перепродаёт патент дочке в Ирландии, та лицензирует производство в Швейцарии, а готовый препарат возвращается в США как «импорт». В итоге 80 % прибыли от высоких цен оседает в офшорах, а США теряют $50 млрд налогов ежегодно.

Решение
Конгресс может запретить вычет расходов на «роялти» офшорам и обязать раскрывать реальные затраты на R&D. Это снизит цены на лекарства и вернёт миллиарды в бюджет без ущерба инновациям.

• Участники обсудили, что «Double Irish» закрыли в 2020 г., но Apple и другие уже переключились на новые схемы через Джерси и Нидерланды.
• Нидерланды фигурируют как «низконалоговая» юрисдикция благодаря обилию налоговых соглашений и готовности властей помогать крупным компаниям.
• Несколько комментаторов спорили, действительно ли «торговый дисбаланс» — экономическое понятие или миф.
• Объясняли высокие цены на лекарства в США: без жёсткого регулирования цен и с дорогой системой одобрения препаратов стоимость перекладывается на потребителей.
• Предложили ввести распределение прибыли по выручке в стране продаж, но усомнились в политической проходимости реформы.

Я освоил 2042 кандзи за 11 месяцев по методу Хейсиг: сначала значение и чертёж, потом чтение. Писал тетрадями, всё запомнил. Прошло 20 лет, живу в Японии, язык лучше родного, но рукой вывести большинство иероглифов не могу — только читаю.

Японцы называют это «вапуро-бака» — «идиот от ворд-процессора». Нейронаука объясняет: чтение активирует зрительно-языковые зоны, письмо — моторные и париетальные центры. Это два независимых навыка, и один может исчезнуть, если не тренировать.

• Чтение и письмо кандзи/ханьцзы — это два разных навыка; забыть, как писать, но уметь читать — норма.
• Явление «提笔忘字» (взял ручку и забыл иероглиф) наблюдается и у носителей китайского, и у японцев.
• Термин ワープロ馬鹿 появился из-за 80-х/90-х «ворд-процессоров», а не MS Word.
• Многие изучающие сознательно пропускают письмо от руки, экономя время и усилия.
• Даже преподаватели уровня N1/N2 иногда заглядывают в словарь, чтобы вспомнить редкий иероглиф.
• В алфавитных языках забывают орфографию, а не буквы; аналогия та же.

• Ключ к «Kryptos» продаётся. Скульптор Джим Санборн выставил на аукцион Bonhams 20 августа «критически важную» подсказку к четвёртому (последнему) зашифрованному фрагменту своей знаменитой скульптуры у штаб-квартиры ЦРУ.
• Лот: оригинальный зашифрованный текст на металле, ручка Санборна и личное письмо-разъяснение. Оценка $50–70 тыс.
• История: 34 года никто не смог расшифровать 97 символов четвёртого раздела; три предыдущих расшифровал в 1999 г. комьютерщик из Калифорнии.
• Условие: покупатель подпишет NDA и не сможет публиковать решение, но может передать его кому-то «в лицо». Санборн, которому 79 лет, хочет, чтобы загадка была решена при его жизни.

• Участники сходятся во мнении, что K4 — плохо спроектированный криптопазл: при 24 из 97 известных символов всё рациональное уже опробовано и отброшено.
• Поднимается вопрос справедливости: автор шифра Эдвард Шайдт жив и, возможно, должен получить долю от будущего аукциона.
• Упоминается намёк Санборна на «берлинские часы» (Mengenlehreuhr), но неясно, как именно они связаны с решением.
• Несколько человек склоняются к версии «нелепого» ключа: от «puppy» до «password123».
• Общий тон: решение либо слишком изощрённое, либо просто плохо задуманное, и оно продолжает «iqlude» нас.