Полтора месяца назад я форвардил пост о том, что Героев 3 в браузере запустили.

И тогда в планах у команды был запуск HoTA (Horn of the Abyss) на этом же браузерном "движке"

Как я писал уже HoTA это не просто мод, это реально второе дыхание для Героев 3 (https://xn--r1a.website/tech_b0lt_Genona/4617), особенно, учитывая, что туда ещё одну новую фракцию затащить хотят (https://xn--r1a.website/tech_b0lt_Genona/4921)

И вот на днях сделали обещанное https://xn--r1a.website/gamebase54/1119

Особенности дополнения:

- Оригинальное дополнение от Hota Crew портированное на движок VCMI и реализующее все механики оригинального мода
- Новые фракции – Причал и Фабрика
- Три оригинальных кампании Hota включающие Horn of the Abyss, Under the Jolly Roger и Terror of the Seas
- Более 40 оригинальных кастомных сценариев, 
- Помимо оригинальных размеров карт — S, M, L и XL, —поддерживает три новых: H (Huge), XH (Extra Huge), G (Giant)
- Кроссплатформенный мультиплеер для пользователей VCMI
- Кроссплатформенность и поддержка практически любых браузеров и устройств. Windows, MacOS, Linux, Android, iOS
- Никакой рекламы, донатов, регистраций, смс и прочей неприкольной фигни!
- Сохранение и загрузка прогресса. Доступны сохранения как локально, так и в кэш браузера. Также работает автосейв

Так же есть отдельный чат для любителей именно этой браузерной версии (туда же можно и о проблемах писать)
https://xn--r1a.website/dzhomm3

Играть тут - https://homm3.zip/

При запуске можно выбрать, как русскоязычную версию (https://archive.org/details/homm3ruslang), так и англоязычную (https://archive.org/details/data_20241222).

Miro на каждое действие, даже простое перемещение по доске, отправляет какие-то запросы. Если посмотреть содержимое, то там можно найти анонимный ID, действие, браузер, ОС, название видеокарты... В сумме один такой запрос весит около 7,5 КБ. Это примерно столько же, сколько весит текст этого поста, повторенный 6 раз. А так как эти запросы отправляются чуть ли не каждую секунду, то уже через пару минут трафик начнёт исчисляться в мегабайтах, что уже будет сравнимо с весом изображений.

Так может, это запросы на получение информации с доски? А вот и нет: uBlock Origin блокирует эти запросы, что не мешает Miro функционировать как обычно. Вот таким простым образом uBlock Origin экономит ваш трафик.

https://mastodon.ml/@KoolTechLord/113947484020490853

Спасибо подписчику за ссылку

Помните историю двухлетней давности про "ненужный" чип, который вставляли в монитор, что бы баллы импортозамеса получать?

Я об этом у себя писал, вот ссылок пачка
https://xn--r1a.website/tech_b0lt_Genona/4009
https://xn--r1a.website/tech_b0lt_Genona/4314
https://xn--r1a.website/tech_b0lt_Genona/4374
https://xn--r1a.website/tech_b0lt_Genona/4405

Если кратко, то на Макса Горшенина подали в суд за то что он указал, что в монитор ставился ненужный чип, а на мировую на условиях "ЛайтКом" он идти отказался.

В итоге Макс суд выиграл у LightCom, теперь ждут аппеляцию. Так же выпустил видео с адвокатом, где пояснил и рассказал как что и к чему.

https://xn--r1a.website/imaxairu/14914

Я оставлю часть ключевых, как мне видится, временных меток

01:29 Почему дело против меня – уникальное, первое в России и прецедент
03:24 С чего начался мой ролик про мониторы LightCom
05:23 Первое дело, связанное с 719 Постановлением Правительства и признания электроники российской
06:35 Недостаток и прадокс сегодняшней системы признания российскости – непубличность
09:21 У госзаказчика нет возможности проверить реестровое оборудование! Поставляют контрафакт
11:30 Причина привлечения в качестве третьих лиц в суде Минпромторга и Торгово-промышленную палату РФ
12:04 Компания Лайтком при подаче иска в суд воспользовалась закрытостью и непубличностью результатов проверки при включении в Реестр
13:23 Линия защиты компании LightCom: их исключили из реестра на основании.. их собственного заявления
18:20 Я должен был заплатить убытки в 5 280 000 рублей за сорванный контракт. А существовали ли эти убытки в реальности?
22:00 Можно ли наказать компанию, если она подала на проверку в Реестр ложную информацию?
25:55 Про «Честный Реестр»
28:20 Примеры обмана: на китайский системник клеят лист А4 с чужой реестровой записью и поставляют в школы
32:50 Должен быть механизм сличения фактически поставленного оборудование с тем, на что получили реестровую запись
33:27 Подделка российской техники в Китае
34:20 Портал госзакупок не заточен на выявление контрафакта (нужно добавить один фильтр всего лишь)
34:50 Два механизма защиты госзаказчика от поставки контрафакта под видом реестрового оборудования
37:10 Пример компании Life Tech: в реестр внесли ПК на процессоре Байкал, а поставляли на процессоре AMD
38:36 Еще один случай поставки сомнительного оборудования
39:14 Общественный контроль
41:39 Несколько дел, выявленных Честным реестром, где ущерб для государства составил сотни миллионов рублей
42:43 Если никто не будет бороться с контрафактом и обманом, то ничего и не поменяется
45:58 Странности оборудования «Первого уровня»
47:50 Предложение производителя мониторов, как убедится эксперту из ТПП, что у «разработчика» мониторов реально есть весь исходный код на прошивку монитора
49:13 Пусть в ТПП посчитают сколько станки у компании могут производить электроники в год и поделить на количество поставленной техники этой компании
54:33 Первая ошибка LightCom: некачественно подготовили документы в суд
55:20 Вторая ошибка LightCom: воспользоваться закрытостью процедуры подачи в Реестр
56:22 Третья ошибка LightCom: напомнить о себе, когда все давно забыли
57:17 Четвертая ошибка LightCom: постоянно менять показания в СМИ/публичных выступлениях/документах в суде
59:40 Пятая ошибка LightCom: заказать лингвистическую и техническую внесудебные экспертизы
01:01:30 Документы по мониторам LightCom мы получили от Минпромторга не в полном объеме
01:02:20 Дело блогера «Папа Карло» и Интерскол
01:04:08 Почему моя позиция в суде была слабой с самого начала и как мы выиграли дело в суде?
01:05:31 САМАЯ БОЛЬШАЯ ДЫРА В РЕЕСТРЕ МИНПРОМТОРГА
01:10:50 Какой алгоритм действий, если есть сомнения, что поставленная техника – из Реестра?

Ссылки на видос
Всё-таки НЕ центральный контроллер? Как "LightCom" проиграл суд против меня
YouTube - https://www.youtube.com/watch?v=bRLqj9ywCpk
RuTube - https://rutube.ru/video/a684ff1a8642f08abae6e6f7b4e36ca0/
VK - https://vk.com/video-177129873_456239528

В целом не открытие, конечно, но масштабы впечатляют

TL;DR

After more than couple dozen hours of trying, here are the main takeaways:

-    I found a couple requests sent by my phone with my location + 5 requests that leak my IP address, which can be turned into geolocation using reverse DNS.
-    Learned a lot about the RTB (real-time bidding) auctions and OpenRTB protocol and was shocked by the amount and types of data sent with the bids to ad exchanges.
-    Gave up on the idea to buy my location data from a data broker or a tracking service, because I don't have a big enough company to take a trial or $10-50k to buy a huge database with the data of millions of people + me.
-    Well maybe I do, but such expense seems a bit irrational.
-    Turns out that EU-based peoples` data is almost the most expensive. 

But still, I know my location data was collected and I know where to buy it! 

Everyone knows your location: tracking myself down through in-app ads
https://timsh.org/tracking-myself-down-through-in-app-ads/

TL:DR: Тем временем в Linux один активный долбоёб мейнтейнер Christoph Hellwig активно мешает #Rust for Linux.

DMA (Direct memory access) — технология, предоставляющая (относительно) прямой доступ к RAM для периферии. Это позволяет процессору управлять IO с устройствами асинхронно, не блокируясь на каждую операцию ввода-вывода. Использование DMA позволяет серьёзно повысить быстродействие системы в целом, а для, скажем, видеокарт и сетевых карт это и вовсе практически обязательная вещь из-за объёма обмениваемых данных.

Разумеется, в Linux есть свой API для DMA. По понятным причинам его используют практически все драйвера. Для того, чтобы сделать Rust for Linux практичным, нужно предоставить доступ к DMA для кода на Rust, и соответствующий патч от 8 января 2025 года именно это и делает. В нём добавляется минимально необходимый для использования код: RAII-обёртка над выделенными регионами памяти, операции для записи и небезопасная операция для чтения (почему unsafe? Потому что соответствующий метод read предоставляет доступ к выделенной памяти, как неизменяемый растовый слайс, и это пользователю API нужно удостовериться, что, пока слайс жив, железо не меняет данные под слайсом и тем самым не вносит UB).

Первым же ответом от Кристофа Хэллвига — человека, который отвечает за DMA в Linux — было "No rust code in kernel/dma, please". Да, это ответ целиком. Эта претензия абсолютно необоснована — достаточно взглянуть на первые diff-а, чтобы понять, что меняется лишь растовый код, а не сишный в kernel/dma.

Последующий тред показал, что Кристоф абсолютно против существования растовой абстракции над DMA в любом виде, причём без предоставления внятных технических аргументов.

Скажем, вот как диалог пошёл после первого ответа:

(Miguel Ojeda): > What do you suggest?

> Keep the wrappers in your code instead of making life painful for others.

(Danilo Krummrich): > What does "your code" mean? Duplicated in every driver? Otherwise rust/kernel/dma.rs seems reasonable, no?

> Yes, interfaces to the DMA API should stay in readable C code and not in weird bindings so that it reminds greppable and maintainable.

Последующий обмен сообщениями показал, что Кристоф, судя по всему, считает, что этот код делает Linux многоязычным и потому автоматически плохим. Замечания от мейнтейнеров R4L о том, что никто не ожидает от Кристофа, что он будет заниматься поддержкой растового кода, ни к чему не привели. Сообщения Кристофа содержали такие занимательные цитаты:

(link)

If you want to make Linux
impossible to maintain due to a cross-language codebase do that in
your driver so that you have to do it instead of spreading this cancer
to core subsystems. (where this cancer explicitly is a cross-language
codebase and not rust itself, just to escape the flameware brigade).

(link)

Every additional bit that the another
language creeps in drastically reduces the maintainability of the kernel
as an integrated project. The only reason Linux managed to survive so
long is by not having internal boundaries, and adding another language
complely breaks this.
<...>
I do not want it [Rust — прим. моё] anywhere near a huge C code base that I need to
maintain.

(link)

> I do acknowledge your reservations about the possible maintenance burden
> due to the introduction of a rust (or another language) consumer of the
> dma-api. But I was hoping that we could arrive at some sort of common
> ground?

The common ground is that I have absolutely no interest in helping
to spread a multi-language code base. I absolutely support using
Rust in new codebase, but I do not at all in Linux.

Для понимания масштаба неадекватности претензий: R4L уже существует довольно продолжительное время, причём в транке, по понятным причинам там уже есть приличное количество абстракций над API ядра, а патч, с которого и начался весь сыр-бор, оборачивает один (1) сишный тип, две (2) сишные функции и пачку связанных с этими функциями флагов.

Оказывается автор поста есть в телеге @timshbnv и ведёт канал @linksfromme

Ну и трафика нормально навалило ему 🌝
https://xn--r1a.website/linksfromme/788

Начинаем рассказывать про четверговые проекты подписчиков с необычного дитрибутива Linux 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://xn--r1a.website/tech_b0lt_Genona/4983

Слово автору @anton_samokhvalov
---
Всем привет.

Меня зовут Антон, я делаю свой дистрибутив Linux https://stal-ix.github.io/ , и иногда пишу про это блог (https://xn--r1a.website/itpgchannel)

Мой дистрибутив - интересный, такого раньше никто не делал:

* Полностью статически слинкован. Да, в системе нет /lib/ld-linux.so, и его аналога из мира musl. Зачем? Код работает быстрее, статически слинкованные приложения проще отлаживать, и вы никогда не столкнетесь с тем, что в системе не установлен какой-то plugin к gstreamer, из-за чего не показывается то или иное видео. Так же для меня это личный challenge, я хочу показать, что так можно построить большой, целостный, дистрибутив, с большой пакетной базой, пригодный для постоянного применения, а не какой-то там https://github.com/oasislinux/oasis Я использую свой дитсрибутив примерно везде, на ноутбуках, десктопном компе, и на своем серверном железе.

* В качестве основы выбран clang (например, потому, что он производит более хороший код, быстрее компилирует, и ест меньше памяти, а так же потому, что мне больше нравится его сообщества)

* В качестве основной библиотеки - musl, но не просто musl, а с "вкусом" от одного не самого плохого performance engineer. Например, там заменен аллокатор, и строковые функции, что позволяет, вкупе с тем, что clang дает более быстрый код, и за счет статической линковки, иметь, в среднем, более быстрые приложения, чем примерно в любом другом дистрибутиве.

* Система инициализации - runit, как в void. Про то, почему плох systemd, я регулярно пишу в совем канале.

* И, пожалуй, самая мякотка - пакетный менеджер. С точки зрения управления пакетами, stal/ix похож на смесь gentoo + nix. Feature флаги + content addressable store - это просто killer feature, потому что можно иметь часть системы иметь собранными с одним набором флагов, а другую - с другим. Хотите эксперимента - собираете себе browser с radeons mesa driver, а остальную часть системы - с чем-то еще, например, с драйверами для встройки от Intel. Пакетный менеджер, как и сама пакетная база, полностью написаны с 0, и, надо сказать, что это самый экономный пакетник из всех, что я знаю, просто потому, что у меня нет много времени, чтобы поддерживать 2k пакетов в up to date состоянии.

* Security. В системе нет ни одного suid бинаря, а схему, которую продвигают в systemd (run0) я придумал на несколько лет раньше. Только там не кастомный сервер с неизвестным числом багов, а хорошо отлаженный sshd.

* Спорное решение, но wayland only. Все понимаю, но тянуть еще и X, в одно рыло, тяжело, приходится выбирать.

Вообще, все это есть в https://stal-ix.github.io/STALIX.html, да еще и со ссылками, "почему так".

Зачем мне это?

* Хочется, на старости лет, иметь "правильно" устроенный Linux.

* Помимо дистрибутива, это еще и классная мета-сборочная система (по типу nix/guix), которой, например, собирается open source код для https://github.com/yandex/toolchain-registry

Зачем мне анонс от уважаемого @rusdacent ?

У меня нет пользовательской базы, и какого-то сообщества, которе бы помогало обновлять и добавлять пакеты, а это все нужно, чтобы дистрибутив действительно начал "жить".

Поэтому, как говорится, присоединяйтесь к движухе!
---

Продолжаем четверг!

Я решил по паре штук за день публиковать, а то очередь образовалась небольшая 🌝

Теперь это подкаст, который ведёт моя подписчица, UX-дизайнер. Слово автору @marsprivet

---
Очередной подкаст в сфере ИБ, где я, как UX-дизайнер, обсуждаю вечное противостояние между удобством пользователей и защитой данных. Почему иногда ради комфорта приходится жертвовать безопасностью, а в других случаях – наоборот? Внутри реальные примеры, ситуации из жизни и рабочие кейсы.

Первый выпуск — Конкурентная разведка
Второй — Пароли — это тупо или безопасно?

Подкаст на Mave — https://security-and-ux.mave.digital/

Всякие анонсы и другие приколюхи в канале https://xn--r1a.website/s3curity_and_UX
---

Инструкция о том как паять и чинить микроэлектронику от американских военных. 900 страниц с подробными иллюстрациями и фотографиями. Покрыты даже совсем маргинальные темы типа «как починить сломанную пополам плату».

В общем, это вам не туториалы по пайке от Ледиады и даже не знаменитый комикс «Паять просто». Пролистывания по-диагонали мне хватило чтобы убедиться, что я вообще не умею паять, а тамошние инструкторы поставили бы моим поделкам 3/10 и то если бы были в хорошем настроении.

Полное название документа STANDARD MAINTENANCE PRACTICES MINIATURE/MICROMINIATURE (2M) ELECTRONIC ASSEMBLY REPAIR (USAF TO 00-25-259). Я публикую его потому что на титульнике написано "Approved for public release; distribution is unlimited."

Трекеры мои трекеры.

Хакерская группа объявила о взломе компании Gravy Analytics, занимающейся продажей данных о местоположении смартфонов правительственным структурам США. Злоумышленники утверждают, что получили доступ к значительному объёму информации, включая списки клиентов, сведения об отраслях их деятельности и точные геоданные пользователей. Хакеры угрожают опубликовать эти данные, если компания не ответит в течение 24 часов.

Данный инцидент стал серьёзным сигналом для всей индустрии, связанной с торговлей геолокационными данными. На протяжении многих лет компании собирали информацию о местоположении через мобильные приложения и рекламные сети, а затем продавали её частным организациям и государственным учреждениям. Среди клиентов числятся Министерство обороны США, Министерство внутренней безопасности, Налоговое управление и ФБР. Однако такие данные становятся привлекательной целью для киберпреступников.

На хакерских форумах были опубликованы образцы данных, содержащие точные координаты пользователей, время их перемещений и дополнительные признаки, например «вероятно за рулём». Среди информации обнаружены сведения о пользователях из различных стран, включая Россию, Мексику и Нидерланды. Известно, что некоторые из этих данных уже использовались американскими агентствами в миграционных операциях.

Злоумышленники заявляют, что получили доступ к инфраструктуре Gravy Analytics ещё в 2018 году. Предоставленные скриншоты демонстрируют полный контроль над серверами, доменами компании и хранилищами Amazon S3. Также сообщается, что взломанные серверы работают на операционной системе Ubuntu, что подчёркивает масштаб утечки информации.

Тут можно посмотреть, данные каких приложений были слиты.

Я у себя уже писал пару раз про движуху РБПО (Разработка Безопасного Программного Обеспечения) и "Центр исследований безопасности системного программного обеспечения"

https://xn--r1a.website/tech_b0lt_Genona/4755
https://xn--r1a.website/tech_b0lt_Genona/4784

И вот очередной интересный патч, который был получен благодаря той самой движухе

Я не знаю, замечали ли вы или нет, но покрытие от полных тестов в postgres можно нормально строить только при сборке gcc и нельзя в clang.

llvm при построении покрытия генерирует файлы в именах которых используется некий хеш. Хеш -- слабый, а тесты у постгреса -- мощные. При выполнении на многих процессорах достаточно быстро находится коллизия, несколько потоков начинают писать в один файл и все ломается.

Я обратился за помощью к коллегам из ИСП РАН, которые занимаются компиляторами. Некоторое время мы совместно созерцали эту проблему, потом перешли к действиям (они в первую очередь) и вот эти действия завершились успехом: патч добавляющий binary ID в имя файлов покрытия, и таким образом в должной мере разнообразящий имена файлов, был написан, и вот буквально вчера принят в основную ветку.

https://github.com/llvm/llvm-project/pull/123963

Ура, товарищи! Еще раз позвольте выразить благодарности Артему Синкевичу, написавшему патч, и его коллегам которые все это организовали!

Этот патч имеет больше значение не только для компании Postgres Professional, но и для всего мирового posgres-сообщества. Строить покрытия нужно всем, а использование clang в процессе разработки по многим причинам может быть более предпочтительным.

Я уже сообщил в списке рассылке hackers об этой новости
https://www.postgresql.org/message-id/flat/3398811.KgjxqYA5nG%40thinkpad-pgpro
надеюсь что эта новость будет оценена там по-достоинству

Источник: https://xn--r1a.website/sdl_dynamic/8409