Примерно раз в год ко мне приходят коллеги, с предложением заменить хорошую функцию https://github.com/yandex/yatool/blob/main/util/random/entropy.cpp#L39 на плохую https://www.opennet.ru/opennews/art.shtml?num=64066, пххр, такие дела.
GitHub
yatool/util/random/entropy.cpp at main · yandex/yatool
Yatool is a cross-platform distribution, building, testing, and debugging toolkit focused on monorepositories - yandex/yatool
😁22🤡14🤣5❤3💩3🔥2😱1
Forwarded from The Экономист
Хакеры взломали всех юзеров Мах — из госмессенджера выкачали всю базу данных, включая личную информацию и сведения о работе программы. Хакеры сразу опубликовали информацию на форум, сообщив, что у них в руках данные почти 47 млн пользователей.
🤑 The Экономист
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡59💅20🔥11🏆5🤔3👍2🍌2🤯1🫡1
Forwarded from Стой под стрелой (Nikita Prokopov)
Сегодня упал AWS, и все пошли на очередной круг обсуждений про «глупо держать весь интернет в одной корзине». Но, насколько я понимаю, говорящие это имеют в виду «заведите больше корзин», то есть больше AWS-ов, может быть от других вендоров.
А я, если честно, так и не понял, зачем этот AWS нужен. У нас в Instant были четыре машинки там (база + три сервака), и я так и не понял, что они делали такого, что не сделали бы четыре точно таких же выделенных сервера.
Посудите сами: мы не использовали масштабирование. Метрики в их консоли хуй посмотришь, там навигация хуже кафкианского замка и в итоге оно все равно не показывает такие простые вещи как например CPU или память. Чтобы задеплоить, нужен целый танец из специальных утилит и заклинаний, чтобы все где нужно возникло, собралось, переместилось и возникло где нужно. Сервера сами по себе не особо надежные, периодически висли и чинить приходилось вручную. По ssh нормально не зайдешь, к файловой системе доступ тоже хуй пойми какой, коннекш стринг надо специальной командой доставать. Базу нужную тоже не поставишь, надо ждать, пока она «начнет поддерживаться». Веб-интерфейс такой, что каждый раз хочется совершить роскомнадзор. Названия их идиотские на каждый чих еще. Cognito, блять. Kendra, нахуй.
И я серьезно не понимаю. Вот допустим мы бы закидывали на сервер jar-ку по ssh. Чем это хуже? Какие минусы? Я не утрирую, я действительно не понимаю. Перечислите мне, прям по пунктам: чувак, вот это проще и вот это и вот это.
Сложность я вижу и сам, ее вагон. Ценник вижу, он идиотский просто. Десятки тысяч в месяц. А покупаем-то мы на это что? Метрики сами, бэкапы сами. На ssh и деплой надо какой-то огород городить. Надеждность не потрясающая. Лежим вместе со всем миром.
Так что, зачем вообще нужен ваш AWS?
А я, если честно, так и не понял, зачем этот AWS нужен. У нас в Instant были четыре машинки там (база + три сервака), и я так и не понял, что они делали такого, что не сделали бы четыре точно таких же выделенных сервера.
Посудите сами: мы не использовали масштабирование. Метрики в их консоли хуй посмотришь, там навигация хуже кафкианского замка и в итоге оно все равно не показывает такие простые вещи как например CPU или память. Чтобы задеплоить, нужен целый танец из специальных утилит и заклинаний, чтобы все где нужно возникло, собралось, переместилось и возникло где нужно. Сервера сами по себе не особо надежные, периодически висли и чинить приходилось вручную. По ssh нормально не зайдешь, к файловой системе доступ тоже хуй пойми какой, коннекш стринг надо специальной командой доставать. Базу нужную тоже не поставишь, надо ждать, пока она «начнет поддерживаться». Веб-интерфейс такой, что каждый раз хочется совершить роскомнадзор. Названия их идиотские на каждый чих еще. Cognito, блять. Kendra, нахуй.
И я серьезно не понимаю. Вот допустим мы бы закидывали на сервер jar-ку по ssh. Чем это хуже? Какие минусы? Я не утрирую, я действительно не понимаю. Перечислите мне, прям по пунктам: чувак, вот это проще и вот это и вот это.
Сложность я вижу и сам, ее вагон. Ценник вижу, он идиотский просто. Десятки тысяч в месяц. А покупаем-то мы на это что? Метрики сами, бэкапы сами. На ssh и деплой надо какой-то огород городить. Надеждность не потрясающая. Лежим вместе со всем миром.
Так что, зачем вообще нужен ваш AWS?
🤡42🔥22❤8💯7👍5
commit -m "better"
* "В ядро принята новая реализацией файловой системы NTFS, открытая компанией Paragon Software."
https://www.opennet.ru/opennews/art.shtml?num=64084
Ой какая красота, еще один драйвер ntfs для Linux!
Скоро придем к тому, что лучшей FS для Linux станет ntfs, примерно так же, как лучший способ распространять бинарники под Linux - это .exe файлы, ага.
Ой какая красота, еще один драйвер ntfs для Linux!
Скоро придем к тому, что лучшей FS для Linux станет ntfs, примерно так же, как лучший способ распространять бинарники под Linux - это .exe файлы, ага.
🤣27😁11🔥7🤡5👍2💯2🤷♂1💩1
https://www.phoronix.com/news/Rust-TARmageddon
"Yes, this high severity vulnerability with remote code execution (RCE) vector happened even with the code being written in the Rust programming language that is typically promoted for its memory safety guarantees"
Я, кстати, несколько раз на полях своего блога гонял тему, что большое количество #CVE, связанных с use-after-free и прочими переполнениями стека связано с тем, что их проще искать, а не потому, что их особенно много.
Вот, #almost_memory_safe почти убрал этот класс проблем, теперь безопасники будут чаще находить другие классы проблем.
Меньше известных уязвимостей не станет, СиБ тоже хочет кушать!
(предложка)
"Yes, this high severity vulnerability with remote code execution (RCE) vector happened even with the code being written in the Rust programming language that is typically promoted for its memory safety guarantees"
Я, кстати, несколько раз на полях своего блога гонял тему, что большое количество #CVE, связанных с use-after-free и прочими переполнениями стека связано с тем, что их проще искать, а не потому, что их особенно много.
Вот, #almost_memory_safe почти убрал этот класс проблем, теперь безопасники будут чаще находить другие классы проблем.
Меньше известных уязвимостей не станет, СиБ тоже хочет кушать!
(предложка)
Phoronix
TARmageddon Strikes: High Profile Security Vulnerability In Popular Rust Library
Going public today is CVE-2025-62518, or better known by the name given by the security researchers involved: TARmageddon
🔥21❤6🤡6🥴3👎1
commit -m "better"
"Не используйте ее, нигде и никогда. Ее поведение максимально плохо определено, и, в реальной жизни, введет вас в какой-нить deadlock. Потому что тестов на этот участок кода вы все равно не напишите"
https://mazzo.li/posts/stopping-linux-threads.html
TL;DR - коллеги опять пытаются в #pthread_cancel. Конец, конечно, предсказуем - в языках с устоявшимся #ABI эта задача не решается.
Кстати, подобная техника используется в горутинах, для обеспечения voluntary preemption - https://github.com/golang/go/issues/24543, начиная, ЕМНИП, c go 1.14. Это можно делать, гарантируя, что в твоих горутинах не выполняется код с чужеродным runtime (cgo, например, выполняется в отдельном thread pool), и это реально сложно. Недавно писал про ошибку в go runtime - https://xn--r1a.website/itpgchannel/3478 https://blog.cloudflare.com/how-we-found-a-bug-in-gos-arm64-compiler/, она как раз про эту технику.
UPD: мне, в комментариях, совершенно справедливо, указали, что про этот текст я уже писал.
https://xn--r1a.website/itpgchannel/1578
Что можно сказать?
* из головы вылетело абсолютно, пока сам не увидел, не поверил бы, что писал. Память иногда творит странные выкрутасы.
* наблюдается дрейф от "интересное техническое решение" к "все равно ничего работать не будет", хотя суть и не меняется.
* за прошедшее время я узнал что-то новое, например, про подобную технику в golang.
TL;DR - коллеги опять пытаются в #pthread_cancel. Конец, конечно, предсказуем - в языках с устоявшимся #ABI эта задача не решается.
Кстати, подобная техника используется в горутинах, для обеспечения voluntary preemption - https://github.com/golang/go/issues/24543, начиная, ЕМНИП, c go 1.14. Это можно делать, гарантируя, что в твоих горутинах не выполняется код с чужеродным runtime (cgo, например, выполняется в отдельном thread pool), и это реально сложно. Недавно писал про ошибку в go runtime - https://xn--r1a.website/itpgchannel/3478 https://blog.cloudflare.com/how-we-found-a-bug-in-gos-arm64-compiler/, она как раз про эту технику.
UPD: мне, в комментариях, совершенно справедливо, указали, что про этот текст я уже писал.
https://xn--r1a.website/itpgchannel/1578
Что можно сказать?
* из головы вылетело абсолютно, пока сам не увидел, не поверил бы, что писал. Память иногда творит странные выкрутасы.
* наблюдается дрейф от "интересное техническое решение" к "все равно ничего работать не будет", хотя суть и не меняется.
* за прошедшее время я узнал что-то новое, например, про подобную технику в golang.
mazzo.li
How to stop Linux threads cleanly
Stopping a Linux thread is a surprisingly annoying affair. In this post I present common pitfalls and some solutions -- although no truly satisfactory method exists.
👍12❤5🔥3🆒1
commit -m "better"
https://ria.ru/20251021/rossiya-2049618671.html
Надои-то их как растут!
😁10🔥6💩4❤2👏1🤡1
commit -m "better"
Я, кстати, несколько раз на полях своего блога гонял тему, что большое количество CVE, связанных с use-after-free и прочими переполнениями стека связано с тем, что их проще искать, а не потому, что их особенно много.
https://xn--r1a.website/dereference_pointer_there/10295
Опять, опять https://ru.wikipedia.org/wiki/Систематическая_ошибка_выжившего, оно же https://ru.wikipedia.org/wiki/Систематическая_ошибка_отбора
Перепишите все на #almost_memory_safe, pie chart будет другим, а известных уязвимостей меньше не станет.
#CVE
Опять, опять https://ru.wikipedia.org/wiki/Систематическая_ошибка_выжившего, оно же https://ru.wikipedia.org/wiki/Систематическая_ошибка_отбора
Перепишите все на #almost_memory_safe, pie chart будет другим, а известных уязвимостей меньше не станет.
#CVE
Telegram
Блог*
#prog #c #rust #article
"Just Use Rust": A Best-Case Historical Study of Open Source Vulnerabilities in C (PDF)
We identified 68 prominent open source projects with C code, collected their vulnerability history data, and used their CWE designations to explore…
"Just Use Rust": A Best-Case Historical Study of Open Source Vulnerabilities in C (PDF)
We identified 68 prominent open source projects with C code, collected their vulnerability history data, and used their CWE designations to explore…
👍10🤡7🔥4💯3❤2🤔2🆒1
Hacker News
Ubuntu 25.10's Rust Coreutils Is Causing Major Breakage for Some Executables Article, Comments
Phoronix
Ubuntu 25.10 Unattended Upgrades Broken Due To Rust Coreutils Bug
Besides the early fallout of switching to Rust Coreutils on Ubuntu 25.10 causing some breakage, a more pressing issue has been discovered: Ubuntu 25.10's unattended upgrades functionality for automatic security updates is currently broken due to a Rust Coreutils…
😁29🤡18🆒2❤1
Forwarded from Too Long, Did Read
Kill List: как два хакера взломали маркетплейс убийств в даркнете и спасли кучу людей
https://youtu.be/cYZmRp90hss
Еще в 2019 году хакер и журналист случайно наткнулись на сайт Besa Mafia в даркнете - сайт, на котором можно заказать убийство или похищение человека почти в любой стране у албанской мафии (лол).
Чтобы разобраться, как устроен процесс, один из авторов (Крис) зарегистрировался на сайте и опубликовал свой запрос на убийство.
Для обсуждения деталей сразу же был создан чат, в котором будущий убийца и заказчик могут обсуждать детали и договариваться.
Буквально в первые 5 минут Крис заметил IDOR-уязвимость (ровно как тут): в урле страницы чата прописан айдишник (условно 1234567), и если вписать вместо него другое число, можно попасть в чужой чат и увидеть все, что туда писали.
А дальше хакер получил контроль над вообще всем сайтом - там было полно разных уязвимостей, который позволили это сделать. В полученных данных были биткоин кошельки, все данные с серверов, страниц администраторов и т д.
Естественно, главного администратора сайта звали Юра (ну а как еще?).
Так появился Kill List: архив всех чатов, которые удалось собрать перебором айдишников, насчитывающий тысячи запросов на заказное убийство, данные покупателей и многое другое.
Меня абсолютно поразили цены на убийство, которые выставляли люди: 1000-2000$ за убийство человека в Европе / США - это прям копейки. Естественно, качество реализации за такие деньги тоже было очень низким - но об этом позже.
Естественно, первое что сделали авторы, когда получили доступ ко всему этому - позвонили в полицию (в Англии) и рассказали им обо всем, что нашли. Угадайте, как отреагировали полицейские?
Сначала решили провести ментал чек журналиста, который позвонил - думали, что он псих.
Потом убедились, что он не псих, но сказали, что в списке “недостаточно жертв в UK”, поэтому они ничего расследовать не будут(sic!).
Пообещали передать информацию в Интерпол, но и там люди в целом забили на албанцев.
Авторы решили сами уведомлять всех жертв, кого они смогли определить: буквально звонить им со словами “На вас планируется покушение, будьте осторожны” итд.
Люди, конечно же, не стали верить рандомному звонку, - ну а вы бы как поступили? Это даже хуже, чем “здравствуйте, это служба доставки”.
Поэтому авторам пришлось выстроить сеть из журналистов по всему миру - так как в “заказах” был адрес, журналисты могли прийти домой к жертвам и убедить их поговорить с авторами по зуму.
Некоторые люди вообще не были удивлены, что их заказали - например, женщина в Швейцарии рассказала, что проходит через жесткий развод, и муж, который должен был отдать половину своего имущества, вероятно заказал ее убийство.
После того, как журналисты устанавливали контакт с потенциальной жертвой, они передавали всю информацию по конкретному делу в полицию - вместе с предположениями о личности заказчика, которые высказывали жертвы.
Во многих случаях убийство не получались, - все таки, когда заказываешь хитмена за 1000$, за работу берется не самый профессиональный человек. Авторы расследования постоянно получали обновления по всем чатам, и видели все: хитмен потерялся, забыл или потерял оружие, громко топал и был замечен, и так далее.
Не буду долго пересказывать детали заказов - можете посмотреть оригинальное видео или послушать их подкаст (я не слушал).
Но там полная жесть. Заказы не только на убийства, но, например, на похищение женщины с целью неделю колоть ей героин и подсадить ее, - заказчиком был ее бывший муж, владелец благотворительной организации по помощи женщинам, столкнувшимся с зависимостью.
За 3 года авторы раскрыли 175 оплаченных заказов больше чем в 20 странах, что привело к 32 арестам, 28 признаниям и большим тюремным срокам - как для заказчиков, так и исполнителей.
В конце 2022 года румынские спецслужбы, по наводкам журналистов, провели несколько рейдов в Румынии и (похоже) поймали Юру.
Только спустя 3 года с начала расследования спецслужбы и органы власти наконец-то перехватили инициативу на себя и начали работать по той же схеме без помощи журналистов.
https://youtu.be/cYZmRp90hss
Еще в 2019 году хакер и журналист случайно наткнулись на сайт Besa Mafia в даркнете - сайт, на котором можно заказать убийство или похищение человека почти в любой стране у албанской мафии (лол).
Чтобы разобраться, как устроен процесс, один из авторов (Крис) зарегистрировался на сайте и опубликовал свой запрос на убийство.
Для обсуждения деталей сразу же был создан чат, в котором будущий убийца и заказчик могут обсуждать детали и договариваться.
Буквально в первые 5 минут Крис заметил IDOR-уязвимость (ровно как тут): в урле страницы чата прописан айдишник (условно 1234567), и если вписать вместо него другое число, можно попасть в чужой чат и увидеть все, что туда писали.
А дальше хакер получил контроль над вообще всем сайтом - там было полно разных уязвимостей, который позволили это сделать. В полученных данных были биткоин кошельки, все данные с серверов, страниц администраторов и т д.
Естественно, главного администратора сайта звали Юра (ну а как еще?).
Так появился Kill List: архив всех чатов, которые удалось собрать перебором айдишников, насчитывающий тысячи запросов на заказное убийство, данные покупателей и многое другое.
Меня абсолютно поразили цены на убийство, которые выставляли люди: 1000-2000$ за убийство человека в Европе / США - это прям копейки. Естественно, качество реализации за такие деньги тоже было очень низким - но об этом позже.
Естественно, первое что сделали авторы, когда получили доступ ко всему этому - позвонили в полицию (в Англии) и рассказали им обо всем, что нашли. Угадайте, как отреагировали полицейские?
Сначала решили провести ментал чек журналиста, который позвонил - думали, что он псих.
Потом убедились, что он не псих, но сказали, что в списке “недостаточно жертв в UK”, поэтому они ничего расследовать не будут(sic!).
Пообещали передать информацию в Интерпол, но и там люди в целом забили на албанцев.
Авторы решили сами уведомлять всех жертв, кого они смогли определить: буквально звонить им со словами “На вас планируется покушение, будьте осторожны” итд.
Люди, конечно же, не стали верить рандомному звонку, - ну а вы бы как поступили? Это даже хуже, чем “здравствуйте, это служба доставки”.
Поэтому авторам пришлось выстроить сеть из журналистов по всему миру - так как в “заказах” был адрес, журналисты могли прийти домой к жертвам и убедить их поговорить с авторами по зуму.
Некоторые люди вообще не были удивлены, что их заказали - например, женщина в Швейцарии рассказала, что проходит через жесткий развод, и муж, который должен был отдать половину своего имущества, вероятно заказал ее убийство.
После того, как журналисты устанавливали контакт с потенциальной жертвой, они передавали всю информацию по конкретному делу в полицию - вместе с предположениями о личности заказчика, которые высказывали жертвы.
Во многих случаях убийство не получались, - все таки, когда заказываешь хитмена за 1000$, за работу берется не самый профессиональный человек. Авторы расследования постоянно получали обновления по всем чатам, и видели все: хитмен потерялся, забыл или потерял оружие, громко топал и был замечен, и так далее.
Не буду долго пересказывать детали заказов - можете посмотреть оригинальное видео или послушать их подкаст (я не слушал).
Но там полная жесть. Заказы не только на убийства, но, например, на похищение женщины с целью неделю колоть ей героин и подсадить ее, - заказчиком был ее бывший муж, владелец благотворительной организации по помощи женщинам, столкнувшимся с зависимостью.
За 3 года авторы раскрыли 175 оплаченных заказов больше чем в 20 странах, что привело к 32 арестам, 28 признаниям и большим тюремным срокам - как для заказчиков, так и исполнителей.
В конце 2022 года румынские спецслужбы, по наводкам журналистов, провели несколько рейдов в Румынии и (похоже) поймали Юру.
Только спустя 3 года с начала расследования спецслужбы и органы власти наконец-то перехватили инициативу на себя и начали работать по той же схеме без помощи журналистов.
🔥37😱7❤3👍2🆒2🤷♂1👎1
https://sr.ht/~jprotopopov/kefir/
А вот, например, еще один независимый компилятор С.
Выглядит очень вкусно, даже production ready, особенно учитывая, что это one man project.
Жалко, что он "рожает" ассемблерный листинг, а не бинарный код, то есть, нуждается во внешнем ассемблере и линкере, а значит, не очень подходит для #bootstrap.
А вот, например, еще один независимый компилятор С.
Выглядит очень вкусно, даже production ready, особенно учитывая, что это one man project.
Жалко, что он "рожает" ассемблерный листинг, а не бинарный код, то есть, нуждается во внешнем ассемблере и линкере, а значит, не очень подходит для #bootstrap.
🆒9🔥7🤔3❤2