В этот четверг, 25 ноября, собираемся для обсуждения докладов, задаем вопросы докладчикам шестого Big Monitoring Meetup. Доклады можно найти на нашем YouTube канале, задать вопрос в комметариях под видео или в нашем чате: https://xn--r1a.website/monhouse_tech.

Ссылка на доклды конференции: https://www.youtube.com/playlist?list=PL_6HEdnVWofdZwMqErh-eZ4hRF3PxHOyt

Участники встречи:

• Константин Михайлов, CEO в Saymon: Комьюнити версии продуктов Saymon

• Ольга Чаталян, продакт-менеджер в Tinkoff: Технические сложности миграции со спланка

• Николай Храмчихин, Software engineer в VictoriaMetrics: Примеры использования VMPodScrape

• Вячеслав Милованов, Paessler: Какие новые вещи начали мониторить, когда пришли в другой бизнес

• Майк Голубев, Solutions Architect в AWS: Использование Lambda Extensions для интеграции внешних решений мониторинга и observability

Регистрация: https://www.meetup.com/monhouse-tech/events/281711407/

25 ноября в 17:00 (MSK) буду участвовать в вебинаре "Новые вызовы при работе с Kubernetes и как их преодолевать." на площадке СЛЁРМ.

Рассмотрим какие вызовы встают перед компаниями, которые только начинают или уже используют Kubernetes. Посмотрим на это все со стороны разных департаментов: Management, Dev, Ops/SRE, DecSecOps, Security teams. А при рассмотрении различных кейсов коснёмся таких тем как troubleshooting, root cause analysis, optimizations, security и как их можно решить это сторонними OpenSource решениями и решением Luntry.

Будет 4 кейса, буде много live demo и я впервые на большую аудиторию покажу Luntry =)

Чего только не бывает

> We wanted to let you know that, between September 9th and November 18th, the Chromium source tree contained some test Office documents that included some unshielded malware. These samples were inadvertently committed to the repository without obfuscation in the process of testing the security feature to detect the presence of malware distributed through macros in Office documents. These test files were not included in any Chrome release.

[Important] Update your Chromium source code checkout to the latest version
https://groups.google.com/a/chromium.org/g/chromium-dev/c/-Jk-CXbCzEs/m/XYwgky74EwAJ

Запись вебинара. @k8security много полезного и интересного рассказал.

Новые вызовы при работе с Kubernetes и как их преодолевать.
https://www.youtube.com/watch?v=AGT8QK2xy4A

Слайды в комментарии закинул.

Московский слет FPGA разработчиков уже завтра 27 ноября! Начинаем в 10:00

Кто будет в офлайн формате, не забудьте взять пцр, qr или сертификат, и переобувку (весь день в зимних ботах тяжко). Приходите по-раньше, будет кофе и печеньки.
===
Трансляция для онлайн участников начнется в 10:00, ждем вас. Поставьте колокольчик и напоминание, что бы не пропустить. До встречи завтра.
https://youtu.be/zklfrAunxd8
==
PS перешлите ссылку на трансляцию трем знакомым плисоводам 😎

#news Исследователи выявили на портале Госуслуг еще две уязвимости, связанные с использованием Covert Redirect (скрытой переадресации). Важным отличием выявленных уязвимостей является возможность перехвата cookie-файлов при помощи технологии XSS (SSRF). Это позволяет злоумышленникам не только перенаправлять своих жертв на вредоносный ресурс, но и получать доступ к тем социальным аккаунтам, которые авторизованы в их браузере.

https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=http://gosulsug.ru/login/

https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=mailto:yourname@domain.com

@tomhunter

Мы периодически с @sysadmin_tools обсуждаем всякие железки интересные или ОС. Некоторое время назад обсуждали https://serenityos.org/.

Интересно вроде выглядит, интересно написано, но удивил подход к дистрибуции.

> Where are the ISO images?
> There are no ISO images. This project does not cater to non-technical users.

Пишут нам в FAQ - https://github.com/SerenityOS/serenity/blob/master/Documentation/FAQ.md

И такой подход не понятен. И я, и @terrifilch вполне можем его собрать и мы точно не подходим под non-technical users, но совершенно не хочется сидеть и билдить какой-нибудь артефакт продукта, тем более что в любом случае это занятие не на 5 минут.

В общем, не надо так. Думается, что это очевидно, но, видимо, не всегда.

Естественно, я такое вижу не первый раз, но чего-то перед началом новой недели захотелось мыслЯми поделиться, что ли.

Мама, я в телевизоре! 😅
https://habr.com/ru/company/vk/blog/590935/

В США рассекретили документ от ноября 2020 года о том, какой доступ к каким мессенджерам имеет ФБР. iMessage и Whatsapp выдают больше всего, причем iMessage выдает расшифрованные бэкапы сообщений из iCloud (если они там есть), зато Whatsapp делится информацией о новых действиях в нужных аккаунтах почти в реальном времени.

▪️Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся.
▪️Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма.
▪️Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил).
▪️iMessage: содержание сообщений предоставляет "ограничено" (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register - это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте.
▪️Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) - сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил.

Еще в таблице есть информация про Line, Threema, Wechat и Wickr, но это уже сами почитайте) Интересно, что у всех мессенджеров вроде почти одинаковое шифрование (кроме Telegram, дада), но метаданные все выдают по-разному.

https://propertyofthepeople.org/document-detail/?doc-id=21114562

#prog #rust #js #article #successstory

Статья о том, как переписали с нуля плеер asciinema на Rust (с компиляцией в WASM) и Solid.js и получили прирост производительности в 50 раз.

Цитаты:

"At first I planned to implement the terminal emulation part in Rust without any optimizations, just write idiomatic Rust code, then revisit the tricks from the old implementation. The initial benchmarks blew my mind though, showing that spending additional time on optimizing the emulation part is absolutely unnecessary."

"I still thought I may need to implement some form of terminal state snapshot/restore to support the “seeking” feature. This feature requires feeding the terminal emulator with the whole text stream between the current position and the desired position, or in the worst case when you’re seeking back, feeding the emulator with the whole text from the very beginning of the recording up to the desired position. Optimizing this could be done, for example, by keeping snapshot of the terminal emulator state at multiple time points, sort of like having key-frames every couple of seconds. In ClojureScript implementation this came for free, thanks to the immutable data structures. In the new JS+Rust implementation this would have required extra work, but it turned out, that’s not needed either - clicking on the progress bar in the new player, to jump to the desired time in the recording, results in instantaneous jump, even when it has to feed the emulator with megabytes of data to parse and interpret."

Вот это поворот

> Peter ZAITSEV
> Founder

https://www.ferretdb.io/about-1/

Итак, куда же я ушёл? Что может быть лучше такого прекрасного стартапа?

Только свой (потенциально ещё более прекрасный) стартап.

Я тут писал выше про MangoDB. Так вот – это мы делаем. Реакция на анонс месяц назад была настолько большой и позитивной, что мы решили заняться этим более серьёзно и пошли делать проект фул-тайм, попутно пытаясь понять, как на этом заработать. Сегодня мы анонсировали новое имя и наши имена.

Когда вы прочитаете это сообщение, зайдите, пожалуйста, на https://news.ycombinator.com/newest, найдите там "MangoDB has a new name" (через More внизу, не поиском), и плюсаните.

P. S. И если вы ждали подвоха с Sidero Labs / Talos Systems – так его нет. 😃 Подавайтесь на вакансию.

Производители умных ТВ зарабатывают на слежке за пользователями больше, чем на самих телевизорах
https://habr.com/ru/company/globalsign/blog/592407/

Спасибо за ссылку @ldviolet

Большой и подробный пост о том как разломали GoCD

Agent 008: Chaining Vulnerabilities to Compromise GoCD
https://blog.sonarsource.com/gocd-vulnerability-chain

Предыдущий пост
Agent 007: Pre-Auth Takeover of Build Pipelines in GoCD
https://blog.sonarsource.com/gocd-pre-auth-pipeline-takeover

Умелец подключил к своему ПК б/у клавиатуру с трекболом от системы управления пуском ядерных ракет
https://habr.com/ru/news/t/593383/

9 декабря 10:00 MSK (Online) состоится VK Kubernetes Conference!

И там мне посчастливилось в очень крутой компании выступить с докладом "Kubernetes Resource Model (KRM): Everything-as-Code". Буду про YAML рассказывать и то как на него Dev, Ops и Sec командам нужно правильно смотреть в Kubernetes =)

Регистрация открыта ;)