Надои-то их как растут!

https://xn--r1a.website/dereference_pointer_there/10295

Опять, опять https://ru.wikipedia.org/wiki/Систематическая_ошибка_выжившего, оно же https://ru.wikipedia.org/wiki/Систематическая_ошибка_отбора

Перепишите все на #almost_memory_safe, pie chart будет другим, а известных уязвимостей меньше не станет.

#CVE

https://www.phoronix.com/news/Ubuntu-25.10-Broken-Upgrade

Продолжение эпопеи с rust coreutils.

Kill List: как два хакера взломали маркетплейс убийств в даркнете и спасли кучу людей

https://youtu.be/cYZmRp90hss

Еще в 2019 году хакер и журналист случайно наткнулись на сайт Besa Mafia в даркнете - сайт, на котором можно заказать убийство или похищение человека почти в любой стране у албанской мафии (лол).

Чтобы разобраться, как устроен процесс, один из авторов (Крис) зарегистрировался на сайте и опубликовал свой запрос на убийство.
Для обсуждения деталей сразу же был создан чат, в котором будущий убийца и заказчик могут обсуждать детали и договариваться.

Буквально в первые 5 минут Крис заметил IDOR-уязвимость (ровно как тут): в урле страницы чата прописан айдишник (условно 1234567), и если вписать вместо него другое число, можно попасть в чужой чат и увидеть все, что туда писали.

А дальше хакер получил контроль над вообще всем сайтом - там было полно разных уязвимостей, который позволили это сделать. В полученных данных были биткоин кошельки, все данные с серверов, страниц администраторов и т д.
Естественно, главного администратора сайта звали Юра (ну а как еще?).

Так появился Kill List: архив всех чатов, которые удалось собрать перебором айдишников, насчитывающий тысячи запросов на заказное убийство, данные покупателей и многое другое.

Меня абсолютно поразили цены на убийство, которые выставляли люди: 1000-2000$ за убийство человека в Европе / США - это прям копейки. Естественно, качество реализации за такие деньги тоже было очень низким - но об этом позже.

Естественно, первое что сделали авторы, когда получили доступ ко всему этому - позвонили в полицию (в Англии) и рассказали им обо всем, что нашли. Угадайте, как отреагировали полицейские?

Сначала решили провести ментал чек журналиста, который позвонил - думали, что он псих.
Потом убедились, что он не псих, но сказали, что в списке “недостаточно жертв в UK”, поэтому они ничего расследовать не будут(sic!).
Пообещали передать информацию в Интерпол, но и там люди в целом забили на албанцев.

Авторы решили сами уведомлять всех жертв, кого они смогли определить: буквально звонить им со словами “На вас планируется покушение, будьте осторожны” итд.
Люди, конечно же, не стали верить рандомному звонку, - ну а вы бы как поступили? Это даже хуже, чем “здравствуйте, это служба доставки”.

Поэтому авторам пришлось выстроить сеть из журналистов по всему миру - так как в “заказах” был адрес, журналисты могли прийти домой к жертвам и убедить их поговорить с авторами по зуму.
Некоторые люди вообще не были удивлены, что их заказали - например, женщина в Швейцарии рассказала, что проходит через жесткий развод, и муж, который должен был отдать половину своего имущества, вероятно заказал ее убийство.

После того, как журналисты устанавливали контакт с потенциальной жертвой, они передавали всю информацию по конкретному делу в полицию - вместе с предположениями о личности заказчика, которые высказывали жертвы.

Во многих случаях убийство не получались, - все таки, когда заказываешь хитмена за 1000$, за работу берется не самый профессиональный человек. Авторы расследования постоянно получали обновления по всем чатам, и видели все: хитмен потерялся, забыл или потерял оружие, громко топал и был замечен, и так далее.

Не буду долго пересказывать детали заказов - можете посмотреть оригинальное видео или послушать их подкаст (я не слушал).
Но там полная жесть. Заказы не только на убийства, но, например, на похищение женщины с целью неделю колоть ей героин и подсадить ее, - заказчиком был ее бывший муж, владелец благотворительной организации по помощи женщинам, столкнувшимся с зависимостью.

За 3 года авторы раскрыли 175 оплаченных заказов больше чем в 20 странах, что привело к 32 арестам, 28 признаниям и большим тюремным срокам - как для заказчиков, так и исполнителей.

В конце 2022 года румынские спецслужбы, по наводкам журналистов, провели несколько рейдов в Румынии и (похоже) поймали Юру.
Только спустя 3 года с начала расследования спецслужбы и органы власти наконец-то перехватили инициативу на себя и начали работать по той же схеме без помощи журналистов.

https://sr.ht/~jprotopopov/kefir/

А вот, например, еще один независимый компилятор С.

Выглядит очень вкусно, даже production ready, особенно учитывая, что это one man project.

Жалко, что он "рожает" ассемблерный листинг, а не бинарный код, то есть, нуждается во внешнем ассемблере и линкере, а значит, не очень подходит для #bootstrap.

У меня странный запрос к вам!

Я как-то репостил мемас, устроенный примерно так:

* сначала рассказывают про то, как вырастет та или иная AI компания

* в конце выступает Лукашенко, с фразой "спрос на картофель будет колоссальный"

Не могу найти, помогите, пожалуйста!

Вдруг у кого память лучше, чем у меня?

Божечки, спасибо!

В си шарпе кстати с ии очень хорошо, симд инструкции для умножения матриц работают, Span<> есть, ONNX вообще идеально работает, без особых проблем код с питоновского пайторча переносил руками без жпт даже и все идеально пердит, ещё и кроссплатформенно, проблем не замечал кароче

Порекламирую мертвый язык, за такую-то помощь!

ChatGPT достиг человеческого уровня интеллекта, официально

Нейросети дали $10 тысяч, а затем отправили торговать криптой, и... она проебала 7200 долларов, проиграв 42 сделки из 44. Но ИИ не думает останавливаться и продолжает сливать деньги в надежде отыграться.

Тот самый кореш-лудоман

Как устроено взаимодействие rust thread local storage runtime, и C/C++ tls runtime?

Кажется, это очень нетривиальная задача, потому что tls - это разделяемое состояние между ядром и программой (ядро отвечает за правильное содержание tls base register, например), и кто настраивает содержимое области памяти по этому указателю - rust код, или C код?

В C/C++, например, есть возможность зарегистрировать callback для инициализации отдельных per thread объектов. Что будет делать тред, который создан в Rust, он будет звать эти коллбеки, или нет? Как зарегистрировать подобные коллбеки, нужные rust, в C runtime?

У нас возможны две ситуации:

* в программе только rust код, main тоже на rust. Кажется, в таком случае rust должен уметь полностью управлять tls? Или он требует наличие С runtime, если используется tls?

* смешанный rust/C код. C код ничего не знает про rust, и, вроде как, получается, что весь tls в программе должен управляться C runtime, а rust должен подстраиваться под структуры, создаваемые C runtime?

А если мы компилируем либу на rust, то как она узнает, будет ли она работать в составе rust only кода (и тогда рассчитывает на rust runtime), или в смешанном коде?

Вопросы, вопросы, ответов нет...

https://blogs.gnome.org/gtk/2025/10/23/svg-in-gtk/

TL;DR - они, оказывается, даже лучше, чем я думал!

"And its rust nature makes for an inconvenient dependency, so we held off on depending on it for a long time"

"There were some detours and complications along the way. Since my simple parser couldn’t handle 100% of Adwaita (let alone all of the SVGs out there), a fallback to a proper SVG parser was needed. So we added a librsvg dependency after all. Since our new Android backend has an even more difficult time with rust than our other backends, we needed to arrange for a non-rust librsvg branch to be used when necessary"

А еще они захотели динамику в #svg.

Ну и, как результат:

"GTK 4.22 will natively support SVG, including SVG animations"

Полагаю, что мы можем попрощаться с зависимостью от librsvg/Rust!

Работал сегодня в своем датацентре #lab #home_lab

Менял тушку одного из серверов, который купил самым первым, на распродаже, и вообще, я тогда в железе не понимал примерно ничего.

В общем, она начала барахлить, и я ее заменил.

Весь процесс занял минут 15 - выключить, вынуть флешку с OS, воткнуть ее в новый сервер, переместить диски с одних салазок на другие, и включить. Ну и прошить в efi новые ключи доступа.

Меня это, признаться, несколько пугало, потому что мой #minio уже достаточно важен для меня, и там даже лежат данные, которые потом восстановить будет не очень тривиально (например, коллекция видео для моего караоке), но все прошло хорошо.

https://www.opennet.ru/opennews/art.shtml?num=64119

Неоднозначная новость.

С одной стороны - хорошо, а с другой - ну, кажется, уже и поздно, поезд уехал.

Сам язык, за последние несколько лет, стал только хуже, одни времена компиляции чего стоят.

Злобную котяру вам в ленту, давно не было!

https://pyfound.blogspot.com/2025/10/NSF-funding-statement.html

TL;DR - PSF (python software foundation) отказались от гранта американского правительства (который они сами пытались получить), потому что:

These terms included affirming the statement that we “do not, and will not during the term of this financial assistance award, operate any programs that advance or promote DEI, or discriminatory equity ideology in violation of Federal anti-discrimination laws.” This restriction would apply not only to the security work directly funded by the grant, but to any and all activity of the PSF as a whole. Further, violation of this term gave the NSF the right to “claw back” previously approved and transferred funds. This would create a situation where money we’d already spent could be taken back, which would be an enormous, open-ended financial risk.

DEI (англ. diversity, equity, and inclusion) — концепция «Разнообразие, равенство и инклюзивность»

Вот так вот, американское правительство против навязывания DEI, а PSF потому не может взять денег.

UPD: я думал ("сейчас кофейку попью, и напишу"), что я раньше напишу, но opennet меня обогнал - https://www.opennet.ru/opennews/art.shtml?num=64123 !!