Forwarded from Ever Secure (Aleksey Fedulaev)
Друзья, это свершилось! 😱✨
Честно? Мы сами до конца не верили, что этот день настанет... но она — в печати!
Да-да, наша книга теперь существует в реальном, бумажном формате 📖🔥
Уже завтра мы забираем первую партию, и поверьте, она выглядит круче, чем мы ожидали!
А совсем скоро вы тоже сможете её заказать — предзаказ уже на подходе 👀
Следите за новостями, будет кое-что интересное… Может быть, даже небольшой сюрприз для первых заказов?🤔
👀 @ever_secure
Честно? Мы сами до конца не верили, что этот день настанет... но она — в печати!
Да-да, наша книга теперь существует в реальном, бумажном формате 📖🔥
Уже завтра мы забираем первую партию, и поверьте, она выглядит круче, чем мы ожидали!
А совсем скоро вы тоже сможете её заказать — предзаказ уже на подходе 👀
Следите за новостями, будет кое-что интересное… Может быть, даже небольшой сюрприз для первых заказов?🤔
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Человек и машина
#машины_разное
Позавчера закончилась Tech Internals Conf Berlin, и я был рад пообщаться с ветеранами индустрии.
Под конец конфы у нас был форум, посвященный извечному дискурсу «Скорость против Качества», где два лагеря обсуждали, стоит ли делать быстро, или же правильно.
Вне всяких сомнений, ответ на этот вопрос будет «it depends», но к нему есть важное дополнение.
Время - ограниченный ресурс, и тратить его надо на то, что важно и нужно сейчас, а значит, на некоторые недостатки (даже на страницу, которая грузится 15 секунд, да-да, я тебя запомнил!), можно и нужно закрывать глаза.
Интересная и одновременно с этим приятная мудрость придет тогда, когда вы начнете отпускать те маленькие и крупные недостатки, которые уж очень раздражают, но практическая польза от их устранения стремится к нулю.
Если же вы и только вы знаете, насколько это важно и нужно и надо прямо сейчас, я приглашаю вас прочитать хороший пост на тему избавления от острой потребности чинить все, до чего дотянутся руки.
Отвечать за весь мир нет необходимости. :)
Позавчера закончилась Tech Internals Conf Berlin, и я был рад пообщаться с ветеранами индустрии.
Под конец конфы у нас был форум, посвященный извечному дискурсу «Скорость против Качества», где два лагеря обсуждали, стоит ли делать быстро, или же правильно.
Вне всяких сомнений, ответ на этот вопрос будет «it depends», но к нему есть важное дополнение.
Время - ограниченный ресурс, и тратить его надо на то, что важно и нужно сейчас, а значит, на некоторые недостатки (даже на страницу, которая грузится 15 секунд, да-да, я тебя запомнил!), можно и нужно закрывать глаза.
Интересная и одновременно с этим приятная мудрость придет тогда, когда вы начнете отпускать те маленькие и крупные недостатки, которые уж очень раздражают, но практическая польза от их устранения стремится к нулю.
Если же вы и только вы знаете, насколько это важно и нужно и надо прямо сейчас, я приглашаю вас прочитать хороший пост на тему избавления от острой потребности чинить все, до чего дотянутся руки.
Отвечать за весь мир нет необходимости. :)
NotAShelf
The Curse of Knowing How, or; Fixing Everything | Blog
A reflection on control, burnout, and the strange weight of technical fluency.
Forwarded from Технологический Болт Генона
Неплохо
https://aus.social/@phs/114583927679254536
Подсмотрел в чате Victoria Metrics - @VictoriaMetrics_ru1
We're replacing our ElasticSearch cluster (27 nodes, ~588 CPU Cores, with 4656gb RAM) with a single VL Node (8 CPU Cores, 64gb RAM).
https://aus.social/@phs/114583927679254536
Подсмотрел в чате Victoria Metrics - @VictoriaMetrics_ru1
Forwarded from commit -m "better"
Songs on the Security of Networks
Telegram is indistinguishable from an FSB honeypot
Many people who focus on information security, including myself, have
long considered
Telegram suspicious and untrustworthy.
Now, based on findings
published by the investigative journalism outlet ISt
long considered
Telegram suspicious and untrustworthy.
Now, based on findings
published by the investigative journalism outlet ISt
🔥1
Forwarded from Технологический Болт Генона
ИИ пишет — мозг молчит: первое исследование с ЭЭГ от MIT доказало, что ChatGPT снижает активность мозга
https://www.ixbt.com/news/2025/06/19/ii-pishet--mozg-molchit-pervoe-issledovanie-s-jejeg-ot-mit-dokazalo-chto-chatgpt-snizhaet-aktivnost-mozga.html
Анонс на сайте MIT
Your Brain on ChatGPT
https://www.media.mit.edu/projects/your-brain-on-chatgpt/overview/
Сайт исследования
Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task
https://www.brainonllm.com/
Исследование (положу так же в комменты)
https://arxiv.org/pdf/2506.08872
ЗЫ Жду комментарии про калькуляторы, Гугл, ручки и что там принято ещё писать в таких случаях 🌝
https://www.ixbt.com/news/2025/06/19/ii-pishet--mozg-molchit-pervoe-issledovanie-s-jejeg-ot-mit-dokazalo-chto-chatgpt-snizhaet-aktivnost-mozga.html
Группа исследователей из MIT Media Lab и нескольких других американских университетов провела первое масштабное исследование, напрямую связавшее использование нейросетей с изменениями в работе мозга и способностью усваивать информацию. Результаты демонстрируют: при написании текстов с помощью ChatGPT мозг активируется заметно слабее, а написанное хуже запоминается. Учёные подчёркивают — речь идёт не просто о корреляции, а о доказанной причинно-следственной связи.
В эксперименте участвовали 54 человека в возрасте от 18 до 39 лет. Все они были носителями английского языка и не имели опыта профессионального копирайтинга. Участников разделили на три группы. Первая писала эссе с помощью ChatGPT, вторая использовала традиционный Google-поиск (без доступа к AI-ответам), третья полагалась только на собственные знания. Темы эссе были близки к тем, что встречаются в тестах SAT, например: «Следует ли измерять успех только через карьеру?» или «Имеет ли неудача ценность?».
. . .
Результаты оказались однозначными. Участники, писавшие с помощью ChatGPT, демонстрировали самую низкую нейронную активность в ключевых областях, отвечающих за внимание, рабочую память и контроль. ЭЭГ фиксировала снижение активности в альфа- и бета-диапазонах, а также уменьшение связности между лобными и теменными участками мозга. В то же время участники, писавшие без помощи нейросети, показывали более активное и устойчивое включение мозга на протяжении всей сессии.
Разница особенно проявилась в четвёртой сессии. Те, кто сначала использовал ChatGPT, а потом писал без него, сохраняли низкую вовлечённость: мозг словно «отвыкал» от работы. Участники хуже запоминали написанное — в среднем только 28% могли воспроизвести хотя бы одно предложение из собственного эссе. У тех, кто всё время работал без ИИ, этот показатель был вдвое выше.
. . .
Исследователи описывают этот эффект как когнитивный долг — уменьшение умственного участия в моменте снижает способность к обучению и формированию устойчивых навыков в дальнейшем. Иными словами, ChatGPT действительно помогает упростить процесс письма, но делает его более поверхностным с точки зрения мозговой активности и долгосрочного запоминания.
Авторы подчёркивают: нейросети — не зло и не угроза, но их регулярное использование требует осторожности, особенно в образовании. «LLM могут быть полезны как поддержка, но не как костыль. В противном случае они ослабляют именно те когнитивные функции, ради которых мы и учимся», — резюмируют исследователи.
Анонс на сайте MIT
Your Brain on ChatGPT
https://www.media.mit.edu/projects/your-brain-on-chatgpt/overview/
Сайт исследования
Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task
https://www.brainonllm.com/
Исследование (положу так же в комменты)
https://arxiv.org/pdf/2506.08872
ЗЫ Жду комментарии про калькуляторы, Гугл, ручки и что там принято ещё писать в таких случаях 🌝
https://medium.com/itnext/kubernetes-1-33-resizing-pods-without-the-drama-finally-88e4791be8d1
#k8s #kubernetes
#k8s #kubernetes
Medium
Kubernetes 1.33: Resizing Pods Without the Drama (Finally!) 🎉
Remember that feeling? You meticulously configured your Kubernetes pods, set the CPU and memory just right (or so you thought), only to…
Forwarded from Технологический Болт Генона
В статье подробно с примерами показано, что можно восстановить удалённые коммиты, а значит и всё что в нём было, просто коммит будет "висеть" без ветки.
Guest Post: How I Scanned all of GitHub’s “Oops Commits” for Leaked Secrets
https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets
Короче, GitHub это не просто git (вот так новость 🌝) и походу GH требуется хранить даже "удалённые" коммиты, что бы корректно отображать разную информацию.
Да и вообще удаление это "дорогая" операция (это я уже от себя добавляю)
Ситуация усугубляется ещё тем, что, помимо GitHub API (через который можно мониторить события и коммиты) есть ещё http://gharchive.org/, который собирает события GH и позволяет вытягивать различную информацию. Например
В конце поста есть пара интересных примеров:
- Искал по коммитам авторы которых имеют корпоративные почты (gmail.com, outlook.com, mail.ru и т.д.) и сообщал им о проблемах
- Одной из находок оказался токен разработчика, который позволял получить доступ ко всем репозиториям Istio (https://github.com/istio/istio)
Сама утилита из поста выложена на GH
Force Push Secret Scanner
https://github.com/trufflesecurity/force-push-scanner
ЗЫ
> MongoDB secrets leaked the most. Based on my review of the data, this is because a lot of junior developers and CS students leaked mostly non-interesting side-project MongoDB credentials. The most interesting leaked secrets were GitHub PAT tokens and AWS credentials. These also generated the highest bounties!
TL;DR
- GitHub Archive logs every public commit, even the ones developers try to delete. Force pushes often cover up mistakes like leaked credentials by rewriting Git history. GitHub keeps these dangling commits, from what we can tell, forever. In the archive, they show up as “zero-commit” PushEvents.
- I scanned every force push event since 2020 and uncovered secrets worth $25k in bug bounties.
- Together with Truffle Security, we're open sourcing a new tool to scan your own GitHub organization for these hidden commits.
Guest Post: How I Scanned all of GitHub’s “Oops Commits” for Leaked Secrets
https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets
Короче, GitHub это не просто git (вот так новость 🌝) и походу GH требуется хранить даже "удалённые" коммиты, что бы корректно отображать разную информацию.
Да и вообще удаление это "дорогая" операция (это я уже от себя добавляю)
Ситуация усугубляется ещё тем, что, помимо GitHub API (через который можно мониторить события и коммиты) есть ещё http://gharchive.org/, который собирает события GH и позволяет вытягивать различную информацию. Например
wget https://data.gharchive.org/2015-01-01-15.json.gz
cat 2015-01-01-15.json.gz | zcat | grep PushEvent | grep 'commits"\:\[\]'
В конце поста есть пара интересных примеров:
- Искал по коммитам авторы которых имеют корпоративные почты (gmail.com, outlook.com, mail.ru и т.д.) и сообщал им о проблемах
- Одной из находок оказался токен разработчика, который позволял получить доступ ко всем репозиториям Istio (https://github.com/istio/istio)
Сама утилита из поста выложена на GH
Force Push Secret Scanner
https://github.com/trufflesecurity/force-push-scanner
ЗЫ
> MongoDB secrets leaked the most. Based on my review of the data, this is because a lot of junior developers and CS students leaked mostly non-interesting side-project MongoDB credentials. The most interesting leaked secrets were GitHub PAT tokens and AWS credentials. These also generated the highest bounties!
https://developers.redhat.com/articles/2024/02/21/virtio-live-migration-technical-deep-dive
#livemigration #virtio
#livemigration #virtio
Red Hat Developer
Virtio live migration technical deep dive | Red Hat Developer
Do you need to move a virtual machine (VM) from one hypervisor to another or update the hypervisor version without stopping the VM? Live migration has you covered. The virtio-net failover blog
Forwarded from Кубернетичек
Если у user или sa есть права на создание ролей в кубе, но в создаваемой роли навесить права, которых у данного user или sa нету, то куб не даст их назначить. Это часть RBAC privilege escalation prevention. Но так как я не ИБ и рубрику вредные советы люблю, то
есть два verbs которые позволяют это обойти: escalate и bind.
https://kubernetes.io/docs/concepts/security/rbac-good-practices/#escalate-verb
есть два verbs которые позволяют это обойти: escalate и bind.
https://kubernetes.io/docs/concepts/security/rbac-good-practices/#escalate-verb
Kubernetes
Role Based Access Control Good Practices
Principles and practices for good RBAC design for cluster operators.
Forwarded from ScratchAuthorEgo
📊 Channel Analysis Results by @ScratchAuthorEgoBot
🎯 Channel:
🔥 Roast Analysis:
Так, дружище, давай начистоту. Твой телеграм-канал — это не блог, это просто твой
Серьезно, кто в здравом уме постит гайд по написанию кастомных девайсов для QEMU? Нормальные люди в свободное время смотрят сериалы, а ты, походу, читаешь исходный код ядра Linux вместо сказки на ночь. Твоя лента выглядит так, будто робот-пылесос научился пользоваться интернетом и у него развилась одержимость виртуализацией. Поспорим, ты даже своей девушке (если
И эта смесь старья с ультра-модерном... DOOM, Quake, и тут же Cilium. Ты пытаешься запустить мультиплеер Quake на кластере из Raspberry Pi, где сеть управляется через Wireguard-in-WebSocket, а конфиги раскатываются через GitOps? Просто признайся. А гороскоп деплоя? Наконец-то, хоть какое-то научное объяснение тому, почему все твои пет-проекты навсегда застряли в
Клянусь, если бы можно было сделать
🎯 Channel:
@rxd_txd🔥 Roast Analysis:
Так, дружище, давай начистоту. Твой телеграм-канал — это не блог, это просто твой
~/.bash_history, выведенный в паблик. Ты вообще с людьми разговариваешь словами, или только ссылками на Red Hat Developer Blog? Кажется, у тебя в организме дефицит мемов и переизбыток манифестов для Kubernetes. Я почти уверен, что ты пытался дебажить свой утренний кофе с помощью eBPF, чтобы понять, почему у него такая высокая задержка.Серьезно, кто в здравом уме постит гайд по написанию кастомных девайсов для QEMU? Нормальные люди в свободное время смотрят сериалы, а ты, походу, читаешь исходный код ядра Linux вместо сказки на ночь. Твоя лента выглядит так, будто робот-пылесос научился пользоваться интернетом и у него развилась одержимость виртуализацией. Поспорим, ты даже своей девушке (если
kubectl get pods -n girlfriend не возвращает Error: NotFound) объясняешь свои чувства через Kubernetes conditions: Status: True, Type: Love, Reason: EfficientIO.И эта смесь старья с ультра-модерном... DOOM, Quake, и тут же Cilium. Ты пытаешься запустить мультиплеер Quake на кластере из Raspberry Pi, где сеть управляется через Wireguard-in-WebSocket, а конфиги раскатываются через GitOps? Просто признайся. А гороскоп деплоя? Наконец-то, хоть какое-то научное объяснение тому, почему все твои пет-проекты навсегда застряли в
ImagePullBackOff.Клянусь, если бы можно было сделать
git blame на твою личность, там было бы 90% коммитов от "some-guy-from-habr" и 10% от Митчелла Хашимото. Хватит архивировать интернет, выйди на улицу. Только, пожалуйста, не пытайся применить rsync к деревьям в парке. Просто потрогай траву. И нет, /dev/null — это не трава.