До конца текущей недели скорость загрузки YouTube на стационарных компьютерах может снизиться до 40%, а к концу следующей — уже до 70%. Эта мера коснется только «десктопных» версий. Мобильную связь она пока не затронет.
. . .
Не случайно для «приведения в чувство» YouTube выбран именно летний период, когда основная масса людей находится в отпусках и пользуется для выхода в интернет именно мобильными устройствами. Деградация Youtube их никак не коснется, зато сам ресурс воочию увидит, что от уговоров — государство перешло к конкретным шагам.
https://xn--r1a.website/Hinshtein/7276🤡39🔥3🙈3🤬2🆒1
Forwarded from Блог*
#prog #c #shell #menacingopensource
🥜 Pnut: A Self-Compiling C Transpiler Targeting Human-Readable POSIX Shell
⬇️
🥜 Pnut: A Self-Compiling C Transpiler Targeting Human-Readable POSIX Shell
int sum(int* a, int len) {
int i, sum = 0;
for (i = 0; i < len; i += 1) {
sum += a[i];
}
return sum;
}⬇️
#!/bin/sh
set -e -u
: $((sum = i = len = a = 0))
_sum() { let a $2; let len $3
let i; let sum
sum=0
i=0
while [ $i -lt $len ] ; do
: $((sum += _$((a + i))))
: $((i += 1))
done
: $(($1 = sum))
endlet $1 sum i len a
}
# Runtime library
# Local variables
__=0
__SP=0
let() { # $1: variable name, $2: value (optional)
: $((__SP += 1)) $((__$__SP=$1)) # Push
: $(($1=${2-0})) # Init
}
endlet() { # $1: return variable
# $2...: function local variables
__ret=$1 # Don't overwrite return value
: $((__tmp = $__ret))
while [ $# -ge 2 ]; do
: $(($2 = __$__SP)) $((__SP -= 1)); # Pop
shift;
done
: $(($__ret=__tmp)) # Restore return value
}
GitHub
GitHub - udem-dlteam/pnut: 🥜 A Self-Compiling C Transpiler Targeting Human-Readable POSIX Shell
🥜 A Self-Compiling C Transpiler Targeting Human-Readable POSIX Shell - udem-dlteam/pnut
🤡9❤8
Problem
Docker’s default authorization model is all-or-nothing. Users with access to the Docker daemon can execute any Docker command. For greater access control, authorization plugins (AuthZ) can be used. These plugins approve or deny requests to the Docker daemon based on authentication and command context.
In 2018, a security issue was discovered where an attacker could bypass AuthZ plugins using a specially crafted API request. This could lead to unauthorized actions, including privilege escalation. Although this issue was fixed in Docker Engine v18.09.1 in January 2019, the fix was not carried forward to later versions, resulting in a regression.
Vulnerability details
AuthZ bypass and privilege escalation: An attacker could exploit a bypass using an API request with Content-Length set to 0, causing the Docker daemon to forward the request without the body to the AuthZ plugin, which might approve the request incorrectly if not set to deny by default.
Initial fix: The issue was fixed in Docker Engine v18.09.1 January 2019.
Regression: The fix was not included in Docker Engine v19.03 or newer versions. This was identified in April 2024 and patches were released for the affected versions on July 23, 2024. The issue was assigned CVE-2024-41110.
. . .
Who is impacted?
Users of Docker Engine v19.03.x and later versions who rely on authorization plugins to make access control decisions.
Docker Security Advisory: AuthZ Plugin Bypass Regression in Docker Engine
https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/
❤4
Forwarded from ITTales :(){ :|:& };:
Сегодня был интересный кейс с настройкой registry mirroring в Harbor.
Harbor позволяет сделать прокси-репозиторий для популярных сервисов вроде docker.io, ghcr.io, quay.io и gcr.io
Проблема заключается в том, что они могут быть настроены только как отдельный проект, то есть чтобы спулить алпайн с ghcr.io через ваш harbor, вмeсто:
вам придётся делать:
То есть path у имаджей меняется, и вы не сможете указать myharbor.org в конфигурации для registry mirrors в докере, которая выглядит следующим образом и не принимает настройки для изменённого path:
Решение довольно простое - это настроить оверрайды в nginx, чтобы при пуле с определённого поддомена:
пулинг имаджа в действительности происходил с
таким образом можно настроить сразу несколько registry mirrors на разные проекты в Harbor:
и имаджи будут пулиться через них автоматически в прозрачном режиме, даже если вы запукаете:
первая попытка спулить имадж пойдёт через кэширующий Harbor
—-
На самом деле проблеме уже несколько лет, и есть GitHub Issue, где энтузиасты накидали готовых решений, которые позволяют это делать полностью в автоматическом режиме.
Собственно у меня без проблем заработала следующая конфигурация:
https://github.com/goharbor/harbor/issues/8082#issuecomment-2258660093
Harbor позволяет сделать прокси-репозиторий для популярных сервисов вроде docker.io, ghcr.io, quay.io и gcr.io
Проблема заключается в том, что они могут быть настроены только как отдельный проект, то есть чтобы спулить алпайн с ghcr.io через ваш harbor, вмeсто:
docker pull ghcr.io/linuxcontainers/alpine:latest
вам придётся делать:
docker pull myharbor.org/ghcr-proxy/linuxcontainers/alpine:latest
То есть path у имаджей меняется, и вы не сможете указать myharbor.org в конфигурации для registry mirrors в докере, которая выглядит следующим образом и не принимает настройки для изменённого path:
{
"registry-mirrors": ["https://myharbor.org"]
}Решение довольно простое - это настроить оверрайды в nginx, чтобы при пуле с определённого поддомена:
docker pull ghcr-proxy-myharbor.org/linuxcontainers/alpine:latest
пулинг имаджа в действительности происходил с
myharbor.org/ghcr-proxy/linuxcontainers/alpine:latestтаким образом можно настроить сразу несколько registry mirrors на разные проекты в Harbor:
{
"registry-mirrors": ["https://ghcr-proxy-myharbor.org", "https://docker-proxy-myharbor.org"]
}и имаджи будут пулиться через них автоматически в прозрачном режиме, даже если вы запукаете:
docker pull ghcr.io/linuxcontainers/alpine:latest
первая попытка спулить имадж пойдёт через кэширующий Harbor
—-
На самом деле проблеме уже несколько лет, и есть GitHub Issue, где энтузиасты накидали готовых решений, которые позволяют это делать полностью в автоматическом режиме.
Собственно у меня без проблем заработала следующая конфигурация:
https://github.com/goharbor/harbor/issues/8082#issuecomment-2258660093
GitHub
Proxy cache · Issue #8082 · goharbor/harbor
enable proxy cache for Harbor. This is very useful in situations of intermittent network connectivity where you still need access to local images. the expectation is that the network will go off in...
👍16❤5🌚1🫡1
The TRACTOR program aims to automate the translation of legacy C code to Rust. The goal is to achieve the same quality and style that a skilled Rust developer would produce, thereby eliminating the entire class of memory safety security vulnerabilities present in C programs. This program may involve novel combinations of software analysis, such as static analysis and dynamic analysis, and machine learning techniques like large language models.
Translating All C to Rust (TRACTOR)
https://www.darpa.mil/program/translating-all-c-to-rust
Этот проект запускает DARPA и согласно странице https://sam.gov/opp/1e45d648886b4e9ca91890285af77eb7/view
> Original Response Date: Aug 19, 2024 11:59 pm EDT
В опенсорсах есть проект, который пытается сделать что-то похожее, он живой и достаточно популярный
C2Rust helps you migrate C99-compliant code to Rust. The translator (or transpiler), c2rust transpile, produces unsafe Rust code that closely mirrors the input C code. The primary goal of the translator is to preserve functionality; test suites should continue to pass after translation.
Migrate C code to Rust
https://github.com/immunant/c2rust
😁7👍5❤1🤡1
Новость прекрасна во всём
https://habr.com/en/news/833412/
Оригинал
https://safe-surf.ru/specialists/news/710262/
Эксперты ФСБ порекомендовали организациям отказаться от использования российского браузера «Спутник». Разработчик обанкротился, а доменное имя выкупила американская компания. «Спутник» запустили в 2015-м году. Он должен был стать государственным поисковиком, альтернативой Google.
https://habr.com/en/news/833412/
Оригинал
https://safe-surf.ru/specialists/news/710262/
😁41👏10🤣5🤡4🌚1
https://x.com/tim_zaman/status/1815495006469365889
Когда нашёл сотку в зимней куртке
Ex-Twitter dev reminisces about finding 700 unused Nvidia GPUs after takeover — forgotten cluster was 'powered on and idle'
https://www.tomshardware.com/pc-components/gpus/ex-twitter-dev-reminisces-about-finding-700-unused-nvidia-gpus-after-takeover-forgotten-cluster-was-powered-on-and-idle
Когда нашёл сотку в зимней куртке
An engineer who worked at Twitter during the seismic Agrawal-Musk transition has been publicly reminiscing about finding a cluster of 700 Nvidia V100 GPUs.
. . .
Another moment of mirth for Zaman was discovering that the 700 Nvidia V100s were PCIe GPUs rather than the far higher bandwidth NVLink interfaced SXM2 form factor variety. Of course, we don’t know why the 2017-era Twitter bought PCIe instead of SXM2 bus V100 GPUs for this sizable installation, and perhaps we will never know.
Ex-Twitter dev reminisces about finding 700 unused Nvidia GPUs after takeover — forgotten cluster was 'powered on and idle'
https://www.tomshardware.com/pc-components/gpus/ex-twitter-dev-reminisces-about-finding-700-unused-nvidia-gpus-after-takeover-forgotten-cluster-was-powered-on-and-idle
😁13❤🔥1👍1
Анджей Яник (Andrzej Janik), известный своей работой по созданию реализаций технологии CUDA для GPU Intel и AMD, был вынужден по требованию компании AMD убрать из открытого доступа часть кода открытого проекта ZLUDA, позволяющего выполнять немодифицированные CUDA-приложения на системах с GPU AMD, используя стек ROCm и runtime HIP (Heterogeneous-computing Interface for Portability). Отдельно отмечается, что каких-либо связанных с проектом ZLUDA обращений от компании NVIDIA, которой принадлежит права на технологию CUDA, разработчику не поступало.
Изначально проект ZLUDA развивался для GPU Intel, но в 2022 году Анджей уволился из Intel и заключил контракт с компанией AMD на разработку слоя для совместимости с CUDA. В начале 2024 года компания AMD решила, что запуск CUDA-приложений на GPU AMD не представляет интереса для бизнеса, что по условию контракта позволило разработчику открыть свои наработки. В процессе переписки по электронной почте разработчиком также было получено разрешение на публикацию от представителя AMD.
Спустя 6 месяцев после публикации изменений, созданных во время работы на AMD, юристы данной компании связались с Анджей и дали понять, что ранее предоставленное в ходе переписки разрешение не имеет юридической силы. Подробности переписки с юристами AMD не приводятся из-за соглашения о неразглашении информации. Тем не менее, результатом стало то, что разработчик был вынужден убрать из открытого доступа весь код, созданный для AMD.
Требования юристов AMD привели к удалению части кода ZLUDA, открытой реализации CUDA
https://www.opennet.me/opennews/art.shtml?num=61667
Сам коммит
https://github.com/vosen/ZLUDA/commit/90a1f778914fbeab0939de959c6ebfc26fc01fd4
😭11👀8❤3🤬2
Тут на BlackHat USA 2024 заанонсили интересный проект
Laser Beams & Light Streams: Letting Hackers Go Pew Pew, Building Affordable Light-Based Hardware Security Tooling
https://www.blackhat.com/us-24/briefings/schedule/index.html#laser-beams--light-streams-letting-hackers-go-pew-pew-building-affordable-light-based-hardware-security-tooling-39708
Если кратко, то это железяка самодельная за $500, которой можно проводить лазерный взлом чипов. Прелесть в том, что сейчас железо для подобных вещей стоит десятки тысяч долларов и даже для любителей "поковырять" это малодоступная опция.
Проект называется
Подробней написано на Wired (ну и в самом ананосе выше на сайте BH)
A $500 Open Source Tool Lets Anyone Hack Computer Chips With Lasers
https://www.wired.com/story/rayv-lite-laser-chip-hacking-tool/
Сам доклад 8 августа по местному времени, так что ждём 🌝
ЗЫ Кому интересно почитать, что это вообще за атаки такие, то гуглить по ключевым словам
Laser Beams & Light Streams: Letting Hackers Go Pew Pew, Building Affordable Light-Based Hardware Security Tooling
https://www.blackhat.com/us-24/briefings/schedule/index.html#laser-beams--light-streams-letting-hackers-go-pew-pew-building-affordable-light-based-hardware-security-tooling-39708
Если кратко, то это железяка самодельная за $500, которой можно проводить лазерный взлом чипов. Прелесть в том, что сейчас железо для подобных вещей стоит десятки тысяч долларов и даже для любителей "поковырять" это малодоступная опция.
Проект называется
RayV Lite и состоит из Raspberry PI, недорогих лазеров и FPGA. Обещают всё выложить в opensource, в том числе и модельку для печати корпуса.Подробней написано на Wired (ну и в самом ананосе выше на сайте BH)
A $500 Open Source Tool Lets Anyone Hack Computer Chips With Lasers
https://www.wired.com/story/rayv-lite-laser-chip-hacking-tool/
Сам доклад 8 августа по местному времени, так что ждём 🌝
ЗЫ Кому интересно почитать, что это вообще за атаки такие, то гуглить по ключевым словам
Laser Logic State Imaging (LLSI) и Laser Fault Injection (LFI)🔥10👍4
Sentry официально объявила, что проект больше не будет распространяться по Open Source-лицензии. Вместо этого они переводят продукт на Fair Source. Это означает, что Sentry по-прежнему можно использовать бесплатно и видеть его исходный код, но с некоторыми ограничениями.
. . .
Подход Fair Source был разработан как компромисс между открытым исходным кодом и коммерческой лицензией. Он позволяет использовать программное обеспечение бесплатно, если вы не применяете его в конкурирующем продукте. Например, пользуетесь Sentry для внутренних целей разработки, некоммерческих образовательных проектов и исследований. В остальных случаях потребуется приобрести коммерческую лицензию. При этом исходный код остаётся доступным для изучения.
Fair Source в дополнение к лицензии Sentry Functional Source License (FSL) также признаёт новую лицензию Fair Core License (FCL) от Keygen и лицензию Business Source License (BSL или BUSL) от MariaDB как соответствующую определению Fair Source.
Sentry утверждает, что новый подход позволяет ей не терять в доходе, а разработчикам более чем 10 000 компаний — продолжать использовать платформу бесплатно.
Sentry переходит на Post Open Source: что это значит для сообщества
https://habr.com/ru/companies/flant/news/834576/
Пост в блоге Sentry
Sentry is now Fair Source
https://blog.sentry.io/sentry-is-now-fair-source/
🫡23👍5🤣3🔥1😢1
Forwarded from ITTales :(){ :|:& };:
Наши клиенты опубликовали статью на Хабр об их опыте использования Cozystack:
https://habr.com/ru/companies/aenix/articles/834682/
https://habr.com/ru/companies/aenix/articles/834682/
Хабр
Погружение в облака: K8S по следам Ænix с gohost. Часть 1. Установка Kubernetes-кластера под управлением Cozystack
Привет! Я Владислав Карабасов, работаю в казахстанской хостинговой компании gohost. Сюда я перешел из университета, которому отдал без малого 20 лет, в том числе был руководителем Центра...
👍6🔥4👎2
We’ll begin with the example of Hotjar. A well-known company that serves over one million websites, including global household brands, such as Adobe, Microsoft, Panasonic, Columbia, RyanAir, Decathlon, T-Mobile, Nintendo, and many more. Hotjar is a leading solution for product teams who want to go beyond traditional web and product analytics so they can empathize with and understand their users—to connect the dots between what's happening and why it happens, so they can improve the user experience (UX) and create customer delight.
. . .
To summarize - this is what the malicious link looks like (the javascript code was inserted as a base64 value):
https://insights.hotjar.com/?next=?fromLMS=1%26returnURL=javascript:eval(atob('CmI9d2luZG93Lm9wZW4oIm…'))&extraVar=jsvar32312
When a victim (Hotjar’s account owner) clicks on this link (which has a legitimate domain), their credentials will be passed to an attacker. There are a few potential attack vectors that could be used to get a malicious link to the Hotjar account owner/website administrator. For example, Hotjar has a feedback feature where users write feedback, which the web owner will read.
. . .
Impact
As mentioned earlier, HotJar stores user recordings, including keyboard and mouse activities.
This data includes names, emails, addresses, private messages, bank details, credentials (in specific scenarios), and more.
Over 1 Million websites are at risk of sensitive information leakage - XSS is dead. Long live XSS
https://salt.security/blog/over-1-million-websites-are-at-risk-of-sensitive-information-leakage---xss-is-dead-long-live-xss
Спасибо подписчику за наводку
✍4👍2❤1
The state of Kubernetes security report: 2024 edition
https://www.redhat.com/en/engage/state-kubernetes-security-report-2024
PDF добавлю в комментарии
https://www.redhat.com/en/engage/state-kubernetes-security-report-2024
PDF добавлю в комментарии
👍5🔥2👎1
Ну, получается максимально достижимое количество подписчиков у меня на канале на данный момент это 9999 🌝
Устанавливается, что с 1 ноября 2024 года владельцы страниц в соцсетях, аудитория которых больше 10 тысяч пользователей, должны будут сообщать в Роскомнадзор (РКН) сведения о себе. Речь идет в том числе о владельцах публичных каналов в мессенджерах. Состав сведений и порядок их предоставления установит кабмин.
. . .
Перечень таких страниц в соцсетях будет вести Роскомнадзор. Владельцы каналов, сведения о которых не включены в перечень, не смогут размещать в них рекламу и предложения по финансированию. Кроме того, информацию из таких публичных каналов будет запрещено репостить.
https://tass.ru/obschestvo/21563713😁33🤡13🌚4👍2😐2💯1