🔒 Weakpass – где, pass от слова password

https://weakpass.com

Коллекция списков паролей для различных целей: от тестирования на проникновение до повышения безопасности паролей.

C поиском по хэшу и c API.

Бесплатно.

@showconfig #secutiy #password #API #pentest #infosec #redteam

🚫 Yandex Cloud немножко отдыхает

По законам трудовых будней страдаем с 9:00 понедельника.

Частичная недоступность сетевых дисков:
https://status.yandex.cloud/ru/incidents/1422

@showconfig #yandex #cloud #incident #storage #hdd #failure

Про Apache Cassandra от Тысяча фичей @tfeat

Кассандра это моя старая любимая боль, без которой у меня долгое время не начинался рабочий день. Изучайте, пользуйтесь, страдайте.

Клиент, сервер.
Как работает запись?
Как работает чтение из Кассандры?

- Первая часть: https://xn--r1a.website/tfeat/145 
- Вторая часть: https://xn--r1a.website/tfeat/151
- Третья часть: https://xn--r1a.website/tfeat/153

@showconfig #cassandra #nosql #keyvalue #db #apache

Взлет и падение StackOverflow.

Это был главный сайт вопросов и ответов для программистов. На пике популярности, в 2014-2018, там задавали по 200 тысяч вопросов в месяц! В прошлом месяце, на нем задали только 3 тысячи вопросов, столько же, как и в августе 2008, при запуске.

Нейросети — финальный удар, который добил гиганта. ИИ отвечает на конкретно твой вопрос мгновенно, а недавно научился искать по всему интернету. Это удобнее, чем часами, а то и днями ждать ответов от волонтеров.

Но сайт начал падение ещё в 2018 году! Ну и окончательно покатился вниз в 2021, задолго до появления нейросетей (первая сколько-то полезная chatgpt 3.5 выйдет только в ноябре 2022).

Что же это было? Две главные гипотезы:

1. Discord. Эту программу для чатов запустили в 2015 году и в 2016-17 туда начали переезжать популярные open source проекты. Это, кстати, огромная потеря, ответы на вопросы из Discord’а недоступны для поиска в «большом интернете». Есть проекты типа Linen, которые пытаются это исправить, но они стоят денег и по умолчанию сообщения «заперты» в чатах. А ещё Discord, конечно, продаёт доступ к чатам компаниям обучающим нейросети, но это отдельная история.

2. Очень злая модерация. Модераторы закрывали вопросы как дубликаты или как не подходящие под «правила сайта». В результате, новички часто не могли получить ответ на свои вопросы и уходили разозленные, а опытные участники разочаровывались и переставали отвечать. Классический синдром вахтера, когда суть подменяется формой, у википедии схожие проблемы.

Интересно, что сайт изначально имел двойственную суть: это была попытка создать полную, структурированную энциклопедию знания о программированию с одной стороны — это был посыл со-основателя Джефа Атвуда (он вышел из проекта в 2013) и сообщество людей, которые помогают друг-другу, с другой — идея Джоэля Спольски, второго сооснователя, вышедшего из проекта 2019 вместе с продажей.

Sic gloria transit mundi.

Кстати, SO — пример отличной архитектуры, когда люди не изобретают сложность на пустом месте. Один из самых популярных сайтов в интернете работал на десятке серверов, а временами выживал вообще на одной машине. Рекомендую серию статей 2016 года, где инженер оттуда рассказывает, как всё устроено под капотом. Есть чему поучиться.

А ещё у нас есть эпизод подкаста, где мы говорим с Николаем Чабановским, который сделал русский клон и продал его самому Джоэлю Спольски и отвечал за сообщества в SO.

Прям ностальгия...

🔍 Gixy-Next: Сканер безопасности конфигурации NGINX для аудита безопасности

Что это?
Открытый сканер для анализа nginx.conf на уязвимости и проблемы производительности. Активно поддерживаемый форк легендарного Gixy от Яндекса.

Ключевые возможности:
• Статический анализ конфигурации NGINX
• Встроенный сканер в браузере через
• WebAssembly — можно проверить конфиг прямо на сайте: https://gixy.io/scanner/
• Быстрая установка через pip/uv (пакет на PyPI)
• Экспорт конфигурации в единый файл-дамп
• Гибкая настройка проверок через плагины и фильтры

Чем лучше nginx -t?
nginx -t проверяет только синтаксис. Gixy-Next ищет уязвимости (например, misconfig в заголовках), риски производительности и помогает предотвратить сбои.

Исходный Gixy был заброшен.
Gixy-Next — это современный форк, который исправляет ошибки, удаляет AI-артефакты и развивает проект.

• https://gixy.io
• https://github.com/MegaManSec/Gixy-Next

@showconfig #nginx #безопасность #devops #инфраструктура #opensource

🔒Let's Encrypt: 6-дневные сертификаты и сертификаты на IP-адреса

Через Let's Encrypt теперь доступны сертификаты с коротким сроком действия и сертификаты для IP-адресов. Срок действия этих сертификатов составляет 160 часов, то есть чуть более шести дней. Чтобы получить сертификат с коротким сроком действия, просто необходимо выбрать профиль сертификата с коротким сроком действия в своем клиенте ACME.

https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability

P.S. А еще с 13 мая 2026 сертификаты буду выдаться сроком на 45 дней
https://letsencrypt.org/2025/12/02/from-90-to-45

🔐 Docker Hardened Images теперь БЕСПЛАТНО

Сюрприз от Docker: hardened-образы (Alpine, Debian, Python, Node, PostgreSQL и 1000+ других) теперь доступны без подписки.

Ключевые плюсы:
• Бесплатно — больше не нужен платный тариф Docker Pro/Team
• 1000+ образов — базовые ОС, рантаймы, БД, message brokers
• Supply chain security — образы собираются из исходников в контролируемом namespace
• Compliance «из коробки» — SBOM, аудиторские отчеты для ISO 27001, SOC 2, EU Cyber Resilience Act

Концепцию waterline (линия безопасности):
• DHI обеспечивает вам «линию безопасности». Ниже этой линии Docker отвечает за управление уязвимостями. Выше неё — вы. Когда сканер обнаруживает что-то в слое DHI, ваша команда не может предпринять никаких действий. Всё, что находится выше границы DHI, остаётся вашей ответственностью.
• Уязвимости никуда не деваются. Ниже линии безопасности (в базовых образах) нужно оперативно подтягивать пропатченные DHI-образы. Выше линии безопастности (в твоём слое) ты по-прежнему отвечаешь за код приложения, зависимости и всё, что накатил сверху.

🔗 Подробнее: https://www.docker.com/blog/hardened-images-free-now-what/

Сами образы тут: https://hub.docker.com/hardened-images/catalog

@showconfig #Docker #Security #DevSecOps #Containers #HardenedImages