oleg_log
О0о0о, такой вопрос, а на какие рассылки вы подписаны Я про те мейловые, раз в неделю/2/месяц с новостями, статьями и чем-то важным за последний период. Захотелось сборник сделать, поэтому в лс @olegkovalov
Такс, сперва мои подписки, конечно же го:
https://golangweekly.com/
http://www.go-gazette.com/
http://www.go-gazelle.com/
(самая популярная, оппозиционная и для новичков соотв)
Тут много других (golangweekly оттуда же)
https://cooperpress.com/publications/
Но читаю следующие:
http://postgresweekly.com/
https://mongodb.email/
https://serverless.email/
И еще
https://redislabs.com/resources/redis-watch-archive/
https://www.getrevue.co/profile/dataeng
Агрегатор всего за неделю (порой оффтопик, да и не только скейл)
http://highscalability.com/
Если любите разбор научных статей https://blog.acolyer.org/
А теперь от подписчиков:
Cloudflare
O'Reilly programming newsletter https://www.oreilly.com/programming/newsletter.html
Языки
https://realpython.com/newsletter/
https://mail.python.org/mailman3/lists/python-dev.python.org/
https://haskellweekly.news/
https://scalatimes.com/
Девопс/SRE
https://devopschat.co/
http://devopsweekly.com
https://sreweekly.com
https://devopsish.com
https://weekly.statuscode.com/
Про всё что происходит https://tproger.ru/news/
О стартапах https://static.crunchbase.com/daily/content_share.html
"Rockstar Propaganda от Rockstar Games с 2006 года и до сих пор любуюсь красивым стильным дизайном каждого письма" (c) один из фанатов
https://www.rockstargames.com/newswire
UPD: super-mega-bonus @hn_best_comments 👌
https://golangweekly.com/
http://www.go-gazette.com/
http://www.go-gazelle.com/
(самая популярная, оппозиционная и для новичков соотв)
Тут много других (golangweekly оттуда же)
https://cooperpress.com/publications/
Но читаю следующие:
http://postgresweekly.com/
https://mongodb.email/
https://serverless.email/
И еще
https://redislabs.com/resources/redis-watch-archive/
https://www.getrevue.co/profile/dataeng
Агрегатор всего за неделю (порой оффтопик, да и не только скейл)
http://highscalability.com/
Если любите разбор научных статей https://blog.acolyer.org/
А теперь от подписчиков:
Cloudflare
O'Reilly programming newsletter https://www.oreilly.com/programming/newsletter.html
Языки
https://realpython.com/newsletter/
https://mail.python.org/mailman3/lists/python-dev.python.org/
https://haskellweekly.news/
https://scalatimes.com/
Девопс/SRE
https://devopschat.co/
http://devopsweekly.com
https://sreweekly.com
https://devopsish.com
https://weekly.statuscode.com/
Про всё что происходит https://tproger.ru/news/
О стартапах https://static.crunchbase.com/daily/content_share.html
"Rockstar Propaganda от Rockstar Games с 2006 года и до сих пор любуюсь красивым стильным дизайном каждого письма" (c) один из фанатов
https://www.rockstargames.com/newswire
UPD: super-mega-bonus @hn_best_comments 👌
Если вам не повезло работать с пхп, то советую глянуть на линтер NoVerify от команды VK
https://habr.com/ru/company/vk/blog/473718/
Быстро-линк на гитхаб https://github.com/VKCOM/noverify
https://habr.com/ru/company/vk/blog/473718/
Быстро-линк на гитхаб https://github.com/VKCOM/noverify
Хабр
Как добавить проверки в NoVerify, не написав ни строчки Go-кода
В статическом анализаторе NoVerify появилась киллер-фича: декларативный способ описания инспекций, который не требует программирования на Go и компиляции кода. Ч...
oleg_log
таааааааааакс, стоп. в последней версии хрома выпилили Bookmark all open tabs? Серьезно?
Спасибо добрым людям, оно просто уехало в меню, я спасен
Может слышали, на днях Lyft (такси-пузырь) выкинули в опенсурс свой ratelimit. Вроде ух, круто, крупная фирма делится своим опенсурсом 🌈 но...что-то тут не так.
В зависимостях полу-мертвые репы, некоторые версии датируются 2017 годом (прям как 1й комит в репо), и все это намекает, что сервис им ничего не значит. Я прям хотел сказать выкинули старье, которое чем-то замениили, но стабильно раз в месяц у них были какие-то коммиты.
В любом случае, организация кода уровня "у меня были выходные, я решил чет запушить на гитхаб, чтобы квадратики были". Мдэ
сурс https://github.com/lyft/ratelimit (не вздумайте так же писать)
В зависимостях полу-мертвые репы, некоторые версии датируются 2017 годом (прям как 1й комит в репо), и все это намекает, что сервис им ничего не значит. Я прям хотел сказать выкинули старье, которое чем-то замениили, но стабильно раз в месяц у них были какие-то коммиты.
В любом случае, организация кода уровня "у меня были выходные, я решил чет запушить на гитхаб, чтобы квадратики были". Мдэ
сурс https://github.com/lyft/ratelimit (не вздумайте так же писать)
Симпатичный баг в Гитхабе и OAuth flow, аж на 25к баксов
(пофиксили еще в июня, отбой)
https://blog.teddykatz.com/2019/11/05/github-oauth-bypass.html
(пофиксили еще в июня, отбой)
https://blog.teddykatz.com/2019/11/05/github-oauth-bypass.html
Teddy Katz’s Blog
Bypassing GitHub’s OAuth flow
For the past few years, security research has been something I’ve done in my spare time. I know there are people that make a living off of bug bounty programs, but I’ve personally just spent a few hours here and there whenever I feel like it.
Пора валить. Странно, что на мыло анонс не пришел (или он прост заранее твитнул) https://www.hashicorp.com/blog/deprecating-terraform-0-11-support-in-terraform-providers/
Заходите сюда https://ifttt.com/discover
Пишите в поиск телеграм/твиттер/купить гараж
(возможно замечаете, как пухнет ваш url)
Решаете вернуться назад и наблюдаете 0 изменений, разве что "анимацию" в строке url.
Однако debounce подорожал #madskillz
UPD: код не смотрел, но как заметил @defront: "history.replaceState чуваки юзают pushState, поэтому история перехода ломается"
Пишите в поиск телеграм/твиттер/купить гараж
(возможно замечаете, как пухнет ваш url)
Решаете вернуться назад и наблюдаете 0 изменений, разве что "анимацию" в строке url.
Однако debounce подорожал #madskillz
UPD: код не смотрел, но как заметил @defront: "history.replaceState чуваки юзают pushState, поэтому история перехода ломается"
Software architecture is the discipline of growing and shrinking organizations elastically to build software solutions based on business needs
(c) twitter
(c) twitter
Forwarded from Кавычка (Emil Lerner)
Знали ли вы, что второй аргумент
Оказывается, glibc поддерживает синтаксис для указания кодировок, это можно сделать вот так:
В итоге, если вы можете для чужого приложения
1) переопределить переменную окружения
2) куда-нибудь записать свою so-шку и файл
3) дописать
то вы получите выполнение кода.
Конечно, в реальных приложениях такое вряд ли встретится, но это доказывает что даже в самых базовых библиотеках полно интересного.
Кстати, эта же система кодировок-модулей используется и в
Подробности можно прочитать в посте японца, который это заметил.
fopen (тот самый, который w или, например, r+) умеет исполнять код? Ну почти.Оказывается, glibc поддерживает синтаксис для указания кодировок, это можно сделать вот так:
fopen("file", "w,ccs=<encoding>"). Сами кодировки подгружаются динамически, функции для работы с каждой кодировкой лежат в отдельном .so-файле. Конфиг, содержащий пути к этим библиотекам называется gconv-modules и обычно лежит где-нибудь в /usr/lib/x86_64-linux-gnu/gconv/, но если переопределить переменную окружения GCONV_PATH, то он будет браться из указанной директории. И path traversal, конечно, в нем полностью поддерживается.В итоге, если вы можете для чужого приложения
1) переопределить переменную окружения
GCONV_PATH2) куда-нибудь записать свою so-шку и файл
gconv-modules3) дописать
,css=payload во второй аргумент fopenто вы получите выполнение кода.
Конечно, в реальных приложениях такое вряд ли встретится, но это доказывает что даже в самых базовых библиотеках полно интересного.
Кстати, эта же система кодировок-модулей используется и в
iconv (и утилите, и библиотеке), поэтому трюк можно использовать для обхода disabled_functions в php. Правда, для того, чтобы задать GCONV_PATH должен быть разрешен putenv, а это уже само по себе небезопасно.Подробности можно прочитать в посте японца, который это заметил.
Тут залили видосы с GoLab 2019, правда почему-то дни 2 и 3, а 1го не вижу
https://www.youtube.com/channel/UCMEvzoHTIdZI7IM8LoRbLsQ/playlists
https://www.youtube.com/channel/UCMEvzoHTIdZI7IM8LoRbLsQ/playlists