Про Plugins и App в Grafana

Небольшое руководство по расширению и настройке Grafana. Какие бывают плагины, на каких версиях (Commercial/Community версии) можно рассчитывать на те или иные плагины, а также где их можно найти.

https://grafana.com/blog/2025/02/25/data-sources-visualizations-and-apps-a-guide-to-extending-and-customizing-grafana/

#showconfig #grafana #observability #monitoring

🔍 ICANN: Запуск RDAP и закат WHOIS

Новость, которая почему-то прошла мимо ИТ-пабликов. С 28 января 2025 года протокол RDAP (Registration Data Access Protocol) будет становиться основным источником информации о регистрации общих доменных имен верхнего уровня (gTLD) вместо устаревших служб WHOIS.

Пользователям рекомендуется использовать службу поиска ICANN на основе RDAP на сайте:
- https://lookup.icann.org/en

Или клиент ICANN с открытым исходным кодом для командной строки:
- https://github.com/icann/icann-rdap/wiki/RDAP-command

Список других реализаций клиента можно найти на https://rdap.rcode3.com/client_implementations/index.html

#showconfig #ICANN #IETF #RDAP

🔗 Что происходит, когда вы вводите google.com в браузере?

На технических собеседованиях часто спрашивают вопрос: Что происходит, когда вы вводите адрес сайта в адресную строку браузера?

Статья предлагает глубокое погружение в технические процессы (попросите интервьюера открыть форточки заранее), которые происходят, когда мы взаимодействуем с интернетом. Она охватывает ключевые этапы, такие как DNS-запросы, маршрутизация данных и работа серверов, объясняя, как все это связано и как мы получаем доступ к информации.

Советую к прочтению, оно не так грузит голову, как Таненбаум.

https://github.com/alex/what-happens-when

#showconfig #DNS #SRE

Почти заброшенный канал :)

На днях получил доступ к SourceCraft.
Впечатления:
- оно очень минималистичное (репы, задачи, PR, CI/CD).
- оно работает.
- CI/CD, в целом работает. Хотя не всё и не всегда (но кто ждёт гладкой работы от очень превью сервиса). Успел даже баг-репорт сформировать за те 3 часа пока игрался :)
- там нет артефактов (package/container и так далее)... Но, может для Яндекс это и ОК... Лично мне бы его хотелось.
- правила для CodeReview лежат в коде репа... Неожиданно для меня :) Но, в целом ОК.

Есть канал в ТГ и чат.

В целом, положительно. Больше конкуренции - лучше пользователям.

🔒Секьюрно
Актуальные знания по безопасности

Проект «Секьюрно» – персональный ассистент по комплексной безопасности человека. Это волонтерский проект, разработанный специалистами по информационной безопасности и юристами Роскомсвободы. Авторы заявляют, что персональный ассистент поможет пользователям разобраться в аспектах цифровой, финансовой и личной безопасности, не прикладывая лишних усилий.

Сайт проекта: https://securno.org

​​☁️ Про Маx, но не iPhone

Бегло про стек
https://web.max.ru/_app/immutable/nodes/ – Apache
https://web.max.ru/ – фронт на Svelte

Клиенты
https://help.max.ru/help/about/na-kakih-ustrojstvah-rabotaet-max - где отечественный дистрибутив Linux?

HTTP Headers
- Mozilla HTTP Observatory
Имеет грейд – D
https://developer.mozilla.org/en-US/observatory/analyze?host=web.max.ru

- Security Headers
Имеет грейд – F
https://securityheaders.com/?q=web.max.ru&followRedirects=on

DNS Записи
217.20.152.206
217.20.155.113
217.20.147.57
https://ipinfo.io/217.20.152.206

И, кажется, хотели сначала назвать OneMe
https://www.rustore.ru/catalog/app/ru.oneme.app
https://play.google.com/store/apps/details?id=ru.oneme.app
И домен регался https://oneme.ru, можно отследить историю на Archive.org
Право владение домен max.ru истекает 31 августа 2025

А еще был мессенджер ТамТам (https://about.tamtam.chat/)...

@showconfig #max #tamtam

В России потихонечку блокируют Cloudflare. Это крупнейший сервис по ускорению и защите сайтов, через него мы открываем каждую пятую страницу в интернете.

На публичном сетевом графике компании видно, что с 10 июня трафик упал почти в два раза. Я вижу на своих проектах, что пользователи из России жалуются, что не могут открыть сайт.

Ситуация здесь очень похожа на блокировку ютуба, который отказывается удалять видео по требованию властей РФ. Из-за алгоритмов шифрования, через которые мы открываем ютуб, власти не могут заблокировать отдельные видео на уровне провайдеров связи и поэтому блокируют ютуб целиком.

В случае Cloudflare власти не могут надёжно заблокировать отдельный сайт, который живёт на Cloudflare, поэтому блокируют Cloudflare целиком.

Это печально, потому что для совсем небольших проектов, для бесплатной защиты от DDoS и AI-скрепинга, Cloudflare не имеет альтернатив.

К тому же Cloudflare даёт очень классно управлять кешированием — благодаря этому даже слабенькие новостные сайты могут бесплатно выдерживать огромную нагрузку и открываться мгновенно.

Из платного в России есть DDoS Guard, от 8000 рублей в месяц, и Curator, от 23 тысяч рублей в месяц. К сожалению, уровень развития API, объём и качество дополнительных сервисов, типа хитрого кеширования, CDN и облачных функций, — несравнимые. Надеюсь, они будут развиваться, и в какой-то момент компании предложат бесплатные услуги для небольших проектов и медиа.

—

Прямо на наших глазах происходит ползучая балканизация интернета. Прощай, виртуальный фронтир! Поселенцы притащили колючую проволоку.

🤖 Что еще попутно происходит?

Роскомнадзор (РКН) начал массово блокировать запросы к серверам OCSP (Online Certificate Status Protocol) и CRL (Certificate Revocation List) для сертификатов Let's Encrypt, если домен использует Cloudflare.

Что это значит?
1. OCSP/CRL – это механизмы проверки отозванных SSL-сертификатов.
- Браузеры и операционные системы запрашивают у Let's Encrypt, действителен ли сертификат.
- Если доступ к этим серверам заблокирован, могут возникать ошибки при загрузке сайтов (например, "ERR_CERT_REVOKED" или задержки).

2. Почему Cloudflare в фокусе блокировки
- РКН блокирует не сам Cloudflare, а проверку сертификатов для сайтов, которые используют Cloudflare как CDN.
- Это может быть связано с тем, что Cloudflare часто используется для обхода блокировок (например, через 1.1.1.1 или WARP).

3. Последствия
- У некоторых пользователей в России сайты с Let's Encrypt будут долго грузиться или не открываться.
- Браузеры могут считать сертификаты недействительными, если не смогут проверить их статус.

@showconfig #letsencrypt #cloudflare

🐶 Про 16 миллиардов паролей

Первоисточник: https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/
Есть еще пост на Linkedin https://www.linkedin.com/feed/update/urn:li:activity:7341537884312645634/, зайдите обязательно на страничку автора поста (VPN Mode: On).

Ни один из сервисов, которые фигурировали в статье никак не отреагировали. Не было ни пушей, ни писем на почту с просьбой включить второй фактор и сменить пароль.

В сервисе https://haveibeenpwned.com и аналогичных ему, обновлений утечек нет. В российский ботах для "пробивов" тоже.

Есть такой твит https://x.com/troyhunt/status/1935976992588853261:

Troy Hunt:
"Finally have a day off after a super hectic period and this happens - thanks! I haven't seen this data, I'm making enquiries to understand more, not yet clear whether it's something we can get into HIBP or not:"

Надеюсь все всё понимают⁠⁠.

@showconfig #HIBP #infosec #passwords

Простым русским языком СО СМЕШНЫМИ КАРТИНКАМИ!!! про шифрование

End-to-end Шифрование Как мы перестали доверять облакам и научились шифровать

🔒Cloudflare опубликовал подробный разбор ситуации с доступом к интернету через свои сервисы в России

Оригинал статьи: https://blog.cloudflare.com/russian-internet-users-are-unable-to-access-the-open-internet/

С 9 июня российские провайдеры начали ограничивать доступ к сайтам, защищённым Cloudflare. Вместо полной блокировки используется “троттлинг”: после загрузки первых 16 КБ данных соединение обрывается. Это затрагивает большинство современных сайтов — они становятся недоступны или загружаются некорректно.
Ограничения касаются всех основных протоколов (HTTP/1.1, HTTP/2, HTTP/3, TLS) и применяются у крупнейших операторов связи. Трафик из России на сервисы Cloudflare снизился примерно вдвое, а аналогичные меры затронули и другие зарубежные хостинги.

Cloudflare отмечает, что не получал официальных уведомлений от российских властей и не может восстановить доступ на своей стороне. Компания связывает происходящее с курсом на цифровой суверенитет и рекомендует владельцам сайтов обращаться к российским организациям для решения вопроса.

Таким образом, реализован новый-старый способ ограничения доступа к зарубежным сервисам — не через прямую блокировку, а через технические ограничения скорости передачи данных.

@showconfig #cloudflare #tcp #trottling #internet

Не далее как на прошлой неделе в рамках дискуссии на ПМЭФ, посвященной искусственному интеллекту и его регулированию, заместитель Председателя Правительства РФ Дмитрий Григоренко задавался вопросом стоит ли включать регуляторную машину на полную катушку, когда не до конца ясно, как его регулировать. С ним согласился Герман Греф, который привел в пример блокчейн, который зарегулировали до того, как он вообще окреп, и тем самым регулированием поставили на нем крест. И вот, кто-то обнаружил, что «Шедеврум» генерирует неправильные картинки. Немедленно возник вопрос: почему. И на него есть ответ.

Дело в том, что генеративные нейросети рисуют картинки на основе тех картинок, которые были доступны для обучения, в первую очередь, на общедоступных. Никакого – ни злого, ни доброго – умысла у нейросети нет, что ей было доступно, на том и обучилась. Почему-то не возникло вопросов к тому, что получить качественные фотографии от Роскосмоса сегодня не так-то и легко. Не возникло и вопросов к распространившимся юридическим фирмам, которые подают по сотне исков о защите авторского права на изображения, которые годами кочевали по Рунету. На чем тогда обучать нейросети? Как ему объяснить, как выглядит космонавт, если в открытом доступе и без последствий в виде миллионного иска есть фотографии только вражеских космонавтов?

Конечно, можно угрожать разработчикам той или иной сети уголовным преследованием, но это создает опасный прецедент, когда за результаты работы инструмента, будь то генеративная нейросеть или что-то еще, к ответственности хотят привлечь того, кто этот инструмент создал. Григоренко, Греф и остальные участники той дискуссии на ПМЭФ сошлись в одном: проблемы надо решать по мере поступления. Тем более решить их не так уж и сложно.

Например, оцифровывать уже имеющиеся данные и открывать к ним беспрепятственный доступ для того, чтобы нейросети лучше понимали культурный контекст. В архивах Роскосмоса и Музея космонавтики собрано огромное количество уникальных изображений и видео, так может заняться оцифровкой и созданием открытых, доступных всем изображений. Чтобы не только нейросеть могла обучиться, но и пользователи могли получить возможность не генерировать изображение космонавта, а выбрать из имеющихся. Тем более у нас их больше всех в мире.

Мягкая сила – это повсеместная и общедоступная информация, включая и видео, и изображения. И не вина «Шедеврума» или какой-то другой российской нейросети, что для обучения доступно так мало информации. У того же «Яндекса» уже накопился опыт работы с оцифровкой уникальных архивов, благодаря чему тысячи россиян нашли свои корни, а поклонники спорта смогли полистать газеты из прошлого. Может, лучше не критиковать, а созидать? Там и настоящий русский ИИ появится.

🛰 Звездная связь

Пользователям Starlink в Иране пригрозили ударами плетью и сроками!
https://www.rbc.ru/politics/30/06/2025/686229609a79472c481aea62

В Иране действуют около 20 тысяч купленных на черном рынке терминалов Starlink, которые помогают пользователям обходить цензуру.

Как устроен и как регулируется спутниковый интернет?
В одном из выпуском "Запуск завтра" на пальцах рассказывают как работает спутниковый интернет и почему Starlink не очень просто заглушить или заблокировать:
https://music.yandex.ru/album/9294155/track/136144549

🚀Алиса и самая мощная модель Яндекса - YandexGPT 5 Pro

Как говорится в новости https://xn--r1a.website/alice_yndx/1537, Яндекс представила обновление приложения с ассистентом Алиса — принципиально новый уровень голосового помощника на базе продвинутого ИИ.

Ключевое:
- Собственный ИИ-движок: В основе — собственная LLM (YaFS), способная к сложным рассуждениям, анализу контекста и решению нетривиальных задач (не забудьте переключить тогл в настройках для "Рассуждений").
- Голосовой интерфейс: Понимает сложные многошаговые запросы, ведет осмысленный диалог, запоминает контекст разговора.
- Бесплатное использование: Пока работает без подписки (это только пока).
- Доступность: Приложение уже в App Store (скоро и на Android), и десктоп тоже есть - через браузер.

Что огорчило 🤔

Для инженерной деятельности использовать скорее всего не получится, либо совсем чуть-чуть. Я провел быстрое сравнение из нескольких вопросов:

1) На какой архитектуре ты основана и какие уникальные технологии или подходы используются?
2) Можешь рассказать техническим языком, какой стек технологий при этом используется?
3) Как проверить, что это правда и ничего лишнего не добавила?
4) С учетом комментария выше, напиши итоговый стек технологий?
5) Предоставь ссылку на документацию с техническим описанием

И как ответили на эти вопросы Алиса, Qwen и DeepSeek (тоже бесплатные, кстати):
- Алиса https://disk.yandex.ru/d/l7G3CZrIGQNSSw
- DeepSeek https://disk.yandex.ru/i/HLYkdyuU__c6TQ
- Qwen https://disk.yandex.ru/i/IK6L8b-TCwRx-g

Еще задавал вопросы по организации кластера NoSQL базы данных Cassandra. Хороший ответ получился у Qwen, с примерами конфигурации и объяснением. Алиса провалила задание, а DeepSeek добавил много лишнего и некоторые выдуманные пункты.

Без хейта ❤️

P. S. У Алисы без сомнения самый крутой голосовой интерфейс взаимодействия. Все напоминания о встречах и других важных делах, я менеджерю через Алису голосом.

@showconfig #Яндекс #ИИ #AI #Yandex #DeepSeek #LLM

🐞VK запустила программу Bug Bounty для поиска уязвимостей в мессенджере Max. Эта программа доступна на всех платформах, где размещена общая программа VK Bug Bounty, включая BugBounty.ru, Standoff 365 и BI.ZONE Bug Bounty. Программа позволяет исследователям безопасности выявлять уязвимости в сервисах VK, включая мессенджер Max, и получать вознаграждения, размер которых зависит от критичности найденных проблем (к размеру выплате есть вопросы, но...).

- https://bugbounty.bi.zone/companies/max/main
- https://bugbounty.standoff365.com/programs/max

@showcofig #bugbounty #infosec #max #tamtam

🙈 Как я встретил вашу маму или thecheapskatemom.com

Я использую на своем ноуте LuLu, это аналог Little Snitch, только некрасивый. С помощью LuLu можно отслеживать какое приложение куда проситься в "мир". И ты можешь разрешать или запрещать прогулку в Интернет. Иногда это доставляет сложности и неудобства, но оно стоит того.

Я решил, что давно не открывал Network Monitor и хочу посмотреть, что нет "лишних" исходящих сетевых соединений. Но они были. Я смотрю на процесс клиента Mattermost и вижу, что есть попытки коннекта до адреса nice.thecheapskatemom.com. Так как домен оканчивается на mom, то ничего хорошего быть там точно не может.

Открыв две вкладки в браузере – Google и Shodan – смотрю, быть может я одна из жертв какого-нибудь ботнета. Google про этот домен ничего особо не знает и никакой около инфосек темы не затрагивает. Shodan тоже предательски молчит. Иду дальше и делают nslookup nice.thecheapskatemom.com, чтобы вычислить по IP и набить ебало лицо. Получаю IP-адрес и вижу, что он мне почему-то кажется знакомым, но снова иду в Shodan и делаю поиск по этому IP-адресу, потому что моя память, точной картины мира откуда мне знаком этот адрес, не дала.

Shodan мне показывает хостнейм, где фигурирует мой домен, и тут мне стало ясно, что ранее это был тестовый стенд для Mattemost. А в клиенте я просто забыл удалить настройки подключения для тестового стенда, хотя там указаны параметры подключения для моего домена, отличные от тех, что показывает Network Monitor. Да, по мониторингу было видно, что никаких данных на этот хост не передает, но было неприятно.

P.S. LuLu можно скачать тут https://github.com/objective-see/LuLu

@showconfig #LuLu #infosec #LittleSnitch #Shodan #macOS

🚨 В Chrome исправили очередную 0-day уязвимость

Google выпустила экстренные патчи для устранения уязвимости CVE-2025-6554, которую уже активно используют хакеры. Это ошибка типа type confusion в JavaScript-движке V8, которая позволяет злоумышленникам через специально созданную веб-страницу выполнять произвольный код на устройстве жертвы.

Эта уязвимость активно используется в реальных атаках, в том числе, предположительно, государственными или продвинутыми хакерскими группами, что подтверждается участием команды Google Threat Analysis Group (TAG) в её обнаружении. Эксплойт существует и применяется злоумышленниками, что делает обновление браузера критически важным для безопасности.

Это уже четвертая 0-day в Chrome за 2025 год.

https://xakep.ru/2025/07/02/cve-2025-6554/
https://habr.com/ru/companies/tomhunter/articles/922678/

@showconfig #google #chrome #0day #CVE

🕵️‍♂️ Сканирование Oops Commits на GitHub в поисках утёкших секретов — разбор кейса

🔍 Кратко:

- GitHub хранит все публичные коммиты, даже те, которые разработчики “удаляют” через force push.
- Эти “удалённые” коммиты (zero-commit PushEvents) доступны в архиве GitHub навсегда.
- Автор проекта, белый хакер Шарон Бризинов (Sharon Brizinov) просканировал все force push события с 2020 года и нашёл секреты на сумму $25,000 в баунти.

⚡️ Что интересного:

- Удалить коммит на GitHub невозможно:
Даже после force push коммиты остаются доступны по хэшу — их можно найти и восстановить.

- Автоматизация поиска секретов:
Используется GitHub Event API + GH Archive для поиска zero-commit PushEvents (force push без новых коммитов).
Новый инструмент Force Push Scanner позволяет сканировать такие “висячие” коммиты на секреты/пароли.

- Результаты поиска:
• Найдены тысячи активных секретов/паролей/токенов.
• Самые ценные находки — GitHub PAT и AWS credentials.
• Чаще всего секреты утекали из файлов: .env, application.properties, docker-compose.yml, main.py.

- Кейс: предотвращение supply-chain атаки:
Был найден GitHub PAT с правами администратора ко всем репозиториям Istio(!) (36k звезд, 8k форков). Это могло привести к масштабной supply-chain атаке, но команда быстро отреагировала и удалила ключ.

- Важные выводы:
• После коммита секретов их нужно немедленно отзывать — “удаление” из истории не спасает.
• Для защиты стоит регулярно сканировать dangling commits в своих репозиториях.

🛠 Полезные инструменты:
Для поиска секретов в удалённых коммитах:
• https://github.com/trufflesecurity/trufflehog
• https://github.com/trufflesecurity/force-push-scanner

Рекомендую: если работаете с GitHub — проверьте свои репозитории и настройте автоматический поиск утёкших секретов!

Источник: https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets

@showconfig #безопасность #github #secrets #tokens #devops #trufflehog

🥇Получите сертификат от Минцифры

Госуслуги предлагают пройти тестирования по различным направлениям айти и подтвердить свою ИТ-компетенцию на деле, путем получения электронного сертификата прям в Личный кабинет на Госуслугах и отображением его на hh.ru

Можно пройти тестирование по таким ИТ-компетенциям, как:

С#, Git, HTML, Java, JavaScript, PostgreSQL, Python, SQL, ООП, функциональное тестирование, алгоритмы и структуры данных, API, CSS, PHP и Docker. Перечень постоянно расширяется.

🧠 Подтвердить свои ИТ-компетенции:
https://www.gosuslugi.ru/itskills

Законодательная база:
• https://ivo.garant.ru/#/document/411477805/paragraph/1:0
• https://digital.gov.ru/documents/prikaz-minczifry-rossii-%E2%84%96-505-ob-utverzhdenii-metodicheskih-rekomendaczij-po-voprosam-organizaczii-proczedury-podtverzhdeniya-it-kompetenczij-v-ramkah-provedeniya-eksperimenta-po-predost

@showconfig #Госуслуги #БесплатноеОбучение #ИТ #Git #Docker #SQL