#prog #itsec #article
MAD Bugs: "cat readme.txt" is not safe in iTerm2
TL;DR: кастомный протокол iTerm2 с in-band signaling для удалённого доступа без аутентификации поверх SSH, под который можно подделаться локально.
MAD Bugs: "cat readme.txt" is not safe in iTerm2
TL;DR: кастомный протокол iTerm2 с in-band signaling для удалённого доступа без аутентификации поверх SSH, под который можно подделаться локально.
blog.calif.io
MAD Bugs: Even "cat readme.txt" is not safe
Turning "cat readme.txt" into arbitrary code execution in iTerm2.
🎉11🤯4
Красные пики
Представьте горшок с землёй, из него растёт огромное растение. Вы поливаете его, а оно растёт. Земли меньше не становится, а растение сверху получается большое и довольно твёрдое. Откуда оно берёт материал для своей конструкции? Ну… из земли? Я докапывался…
Telegram
Красные пики
Деревья умеют натягивать воду как пружину. Знаю, звучит странно, сейчас объясню.
В обсуждении про то, что деревья медленно конденсируются из воздуха был вопрос, как же они транспортируют воду. Вопрос отличный. Это не капиллярные процессы, потому что растения…
В обсуждении про то, что деревья медленно конденсируются из воздуха был вопрос, как же они транспортируют воду. Вопрос отличный. Это не капиллярные процессы, потому что растения…
👍4
#prog #rust #article
stable specialization in Rust
TL;DR: Iterator::fuse возвращает адаптер, который на вызовах
stable specialization in Rust
TL;DR: Iterator::fuse возвращает адаптер, который на вызовах
.next() после возврата None продолжает возвращать None. Однако для типов, реализующих FusedIterator (то есть тех, кто уже обещает данное поведение), этот адаптер не отслеживает вызовы и просто вызывает .next() у нижележащего типа напрямую. Можно реализовать FusedIterator для своего типа, сделав её условной по предикату, который мы хотим проверить специализацией (например, реализует ли тип Send), и в реализации не соблюсти этот контракт. Тогда можно вызвать на этом типе, обёрнутом в Fuse, метод next() два раза, проверить, сколько раз next() был вызван реально, и тем самым получить ответ на предикат.doc.rust-lang.org
Iterator in std::iter - Rust
A trait for dealing with iterators.
🤔6😭6👍3😁2❤1
Forwarded from Технологический Болт Генона
Вчер спрашивал про Github и блокировку скачивания артефактов с него
https://xn--r1a.website/tech_b0lt_Genona/6457
Так вот где-то в ~2:00 по МСК отъебнули
Хочется сказать за это спасибо, ведь блокировка GitHub точно сделает безопасней интернет для граждан РФ.
https://xn--r1a.website/tech_b0lt_Genona/6457
Так вот где-то в ~2:00 по МСК отъебнули
githubusercontent.com потому что когда писал пост про новую уязвимость в Linux (https://xn--r1a.website/tech_b0lt_Genona/6458) на GitHub в README не грузилась GIF-демка эксплуатации. Сейчас работает, видать тесты закончились 🌝Хочется сказать за это спасибо, ведь блокировка GitHub точно сделает безопасней интернет для граждан РФ.
This media is not supported in your browser
VIEW IN TELEGRAM
🤩3
Forwarded from HN Best Comments
Re: Cloudflare to cut about 20% of its workforce
I’ve seen managers hiring people with an intent to lay them off when winds change to protect themselves and their close circle. I can only imagine they’ve had great KPIs in both cases: first for scaling the team, and then for cutting costs.
scott01, 8 hours ago
I’ve seen managers hiring people with an intent to lay them off when winds change to protect themselves and their close circle. I can only imagine they’ve had great KPIs in both cases: first for scaling the team, and then for cutting costs.
scott01, 8 hours ago
🌚8😁5
#prog #itsec #web #article
The React2Shell Story
The React2Shell Story
On November 30th 2025, I reported a critical remote code execution vulnerability ("React2Shell") to Meta. On December 3rd, Meta released a fix and public advisory (CVE-2025-55182), urging developers to immediately update.
Funnily enough, I didn't set out to find a vulnerability in React. I just wanted to understand a protocol so I could be better at hacking modern web applications. But instead, I fell down a rabbit hole to a critical vulnerability that affected millions of websites.
lachlan.nz
The React2Shell Story
The story of CVE-2025-55182 (React2Shell)
🎉6
Forwarded from partially unsupervised
Наблюдая одним глазом за внедрением кодинг агентов на разных уровнях в разных компаниях, я не могу ответить на один вопрос: зачем топ-менеджеры поддерживают (а иногда и форсят) политику, что менеджеры теперь всерьез должны коммитить код. Не тимлиды, а настоящие менеджеры менеджеров, часто директора и выше. Не только прототипы на коленке, но и прямо в основные репозитории.
На реддите воют, что такие директорские пуллреквесты в лучшем случае бесполезны. Типичный директор и так не страдает от безделия, у него есть возможность мультипликативно усилить свою команду. И даже самые умные из них обычно знают кишки проектов хуже рядовых разработчиков. Агенты - великие уравнители; и директор, и L4 гребец будут промптить примерно одинаково, только инженер, будучи в контексте проекта, с большей вероятностью отловит слоп до попадания в прод.
Я понимаю, что вайбкодить - особенно в первое время - может быть тупо интересно. Но где тут рациональное зерно, зачем делать из дорогих менеджеров посредственных IC? Пожалуйста, расскажите в комментариях, что я упускаю - не готов поверить, что на волне хайпа экзеки просто слетают с катушек.
На реддите воют, что такие директорские пуллреквесты в лучшем случае бесполезны. Типичный директор и так не страдает от безделия, у него есть возможность мультипликативно усилить свою команду. И даже самые умные из них обычно знают кишки проектов хуже рядовых разработчиков. Агенты - великие уравнители; и директор, и L4 гребец будут промптить примерно одинаково, только инженер, будучи в контексте проекта, с большей вероятностью отловит слоп до попадания в прод.
Я понимаю, что вайбкодить - особенно в первое время - может быть тупо интересно. Но где тут рациональное зерно, зачем делать из дорогих менеджеров посредственных IC? Пожалуйста, расскажите в комментариях, что я упускаю - не готов поверить, что на волне хайпа экзеки просто слетают с катушек.
👍11❤1🍌1
#suckassstory #itsec #article
Google Chrome silently installs a 4 GB AI model on your device without consent. At a billion-device scale the climate costs are insane.
И эти веса даже не используются для "AI mode": для этой фичи используются не локальные модели, а инфраструктура Google. Если эти веса удалить, браузер скачает их заново. Отключить это через chrome://settings нельзя.
И ещё:
Anthropic secretly installs spyware when you install Claude Desktop
Claude.app (не путать с Claude code) при установке и каждом запуске прописывает для семи браузеров на основе Chromium (включая те, что у пользователя не установлены) в настройках манифест, который позволяет трём перечисленным расширениям запускать на системе бинари вне песочницы браузера с правами пользователя. Файлы прописываются заново при каждом обновлении, в настройках Claude.app про это ни слова, так что отключить это нельзя. Сами расширения Chrome от Anthropic сейчас, если что, существуют, но в бете.
Google Chrome silently installs a 4 GB AI model on your device without consent. At a billion-device scale the climate costs are insane.
И эти веса даже не используются для "AI mode": для этой фичи используются не локальные модели, а инфраструктура Google. Если эти веса удалить, браузер скачает их заново. Отключить это через chrome://settings нельзя.
И ещё:
Anthropic secretly installs spyware when you install Claude Desktop
Claude.app (не путать с Claude code) при установке и каждом запуске прописывает для семи браузеров на основе Chromium (включая те, что у пользователя не установлены) в настройках манифест, который позволяет трём перечисленным расширениям запускать на системе бинари вне песочницы браузера с правами пользователя. Файлы прописываются заново при каждом обновлении, в настройках Claude.app про это ни слова, так что отключить это нельзя. Сами расширения Chrome от Anthropic сейчас, если что, существуют, но в бете.
🌚22👍2
Forwarded from Технологический Болт Генона
Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google
https://www.opennet.ru/opennews/art.shtml?num=65420
Оригинал
Introducing Google Cloud Fraud Defense, the next evolution of reCAPTCHA
https://cloud.google.com/blog/products/identity-security/introducing-google-cloud-fraud-defense-the-next-evolution-of-recaptcha/
https://www.opennet.ru/opennews/art.shtml?num=65420
Компания Google анонсировала новое поколение системы отсеивания ботов reCAPTCHA, применяемой на многих сайтах для проверки обращения человеком. В новой реализации reCAPTCHA вместо выбора картинок, соответствующих заданному вопросу, применяется подтверждение через сканирование QR-кода смартфоном. Проблема в том, что в числе требований к смартфонам, которые могут использоваться для прохождения капчи, заявлены относительно новые версии iPhone/iPad, а также устройства с платформой Android c установленным проприетарным пакетом Google Play Services.
Устройства iPhone/iPad с iOS до версии 16.4, а также смартфоны с альтернативными прошивками на базе Android, поставляемые без сервисов Google (например, GrapheneOS), не смогут пройти новую капчу. Суть метода на основе QR-кода в подтверждении обладания сертифицированным устройством. В случае с Android, подтверждение осуществляется при помощи API Play Integrity, предоставляемого в Play Services для аттестации аппаратного обеспечения, и позволяющего убедиться, что устройство не модифицировано и сертифицировано в Google. Для устройств Apple используется API App Attest.
Дополнение: Проект GrapheneOS, разрабатывающий защищённую свободную прошивку на базе Android, считает, что продвижение API аттестации аппаратного обеспечения, на фоне усложнения их обхода и навязывания пользователям других ОС через капчу в Web, следует рассматривать как действия по подавлению конкуренции и построению компаниями Apple и Google дуополии в сфере мобильных устройств.
Оригинал
Introducing Google Cloud Fraud Defense, the next evolution of reCAPTCHA
https://cloud.google.com/blog/products/identity-security/introducing-google-cloud-fraud-defense-the-next-evolution-of-recaptcha/
💩15❤2
Если тебе (или кому-то, кого ты знаешь) от 13 до 18 лет и ты не придумал, как провести лето — вот тебе хороший вариант: школа "Лес".
(нет, ты сходи по ссылке и почитай)
(нет, ты сходи по ссылке и почитай)
Telegram
Школа "Лес"
👍3🍌2🤔1💩1