> В Петербурге мужчина перевел мошенникам почти ₽32 млн. за то, чтобы вступить в наследство «богатого родственника из Западной Африки»
https://xn--r1a.website/fontankaspb/93223
Шёл 2025 год
https://xn--r1a.website/fontankaspb/93223
Шёл 2025 год
🤣55😁10🙉3😱2❤🔥1
Команда открытого проекта runc столкнулась с ростом pull-request и отчётов об ошибках, сгенерированных ИИ
https://habr.com/ru/news/964714/
Оригинальная issue
[rfc] LLM policy?
https://github.com/opencontainers/runc/issues/4990
Вероятно, пришло время принять решение о том, что мы должны и чего не должны принимать из-за активности ИИ, и задокументировать эти моменты, пояснил мейнтейнер команды проекта opencontainers (Open Container Initiative) Алекса Сарай (Aleksa Sarai).
По мнению разработчика:
- команда не должна принимать ничего, сгенерированного ИИ или им следует рассматривать сгенерированный ИИ код и issue отдельно;
- как вариант, нужно закрывать все сгенерированные ИИ issue как спам, потому что, даже если они описывают реальные issue, всё их описание содержит так много ненужной (и, вероятно, неверной) информации, что было бы лучше, если бы они просто предоставили свой промпт к ИИ в качестве issue;
- что еще важнее, при рассмотрении issue разработчики должны предполагать, что то, что написал пользователь, действительно произошло с ним, но в случае с проблемами, сгенерированными ИИ, — кто знает, действительно ли описание описывает что-то реальное? (cм. #4982 и #4972 в качестве возможных примеров сгенерированных ИИ отчётов об ошибках);
- что касается сгенерированного ИИ кода, минимальным требованием должно быть то, что отправитель должен быть в состоянии ответить на review request своими собственными словами.
По мнению Алекса Сарай использование LLM вполне допустимо для перевода с иностранного языка на английский, поиска и исправления грамматических ошибок и опечаток, автозаполнения тривиальных текстов и кода (например, if err != nil { return nil, err }).
Напомню о том, как автор cURL "сгорел" от генерённых ИИ сесурити репортов
https://xn--r1a.website/tech_b0lt_Genona/5314
В эту же сторону пост от Devansh Batham в котором он рассказывает, что AI Slop в виде отчётов об уязвимостях перегружает людей, которые их оценивают и пытаются понять где реальные проблемы, а где нет
On AI Slop vs OSS Security
https://devansh.bearblog.dev/ai-slop/
> The National Vulnerability Database experienced catastrophic problems throughout 2024. CVE submissions jumped 32% while creating massive processing delays. By March 2025, NVD had analyzed fewer than 300 CVEs, leaving more than 30,000 vulnerabilities backlogged. Approximately 42% of CVEs lack essential metadata like severity scores and product information.
> Now layer AI slop onto this already stressed system. Invalid CVEs are being assigned at scale. A 2023 analysis by former insiders suggested that only around 20% of CVEs were valid, with the remainder being duplicates, invalid, or inflated. The issues include multiple CVEs being assigned for the same bug, CNAs siding with reporters over project developers even when there's no genuine dispute, and reporters receiving CVEs based on test cases rather than actual distinct vulnerabilities.
> HackerOne's research indicates that 70% of security researchers now use AI tools in their workflow. AI-powered testing is becoming the industry standard. The emergence of fully autonomous hackbots—AI systems that submitted over 560 valid reports in the first half of 2025—signals both opportunity and threat.
> The crisis isn't merely about bad vulnerability reports. It's about whether we'll choose to sustain the human foundation of technological progress, or whether we'll let it burn out under the weight of automated exploitation.
https://habr.com/ru/news/964714/
Оригинальная issue
[rfc] LLM policy?
https://github.com/opencontainers/runc/issues/4990
Вероятно, пришло время принять решение о том, что мы должны и чего не должны принимать из-за активности ИИ, и задокументировать эти моменты, пояснил мейнтейнер команды проекта opencontainers (Open Container Initiative) Алекса Сарай (Aleksa Sarai).
По мнению разработчика:
- команда не должна принимать ничего, сгенерированного ИИ или им следует рассматривать сгенерированный ИИ код и issue отдельно;
- как вариант, нужно закрывать все сгенерированные ИИ issue как спам, потому что, даже если они описывают реальные issue, всё их описание содержит так много ненужной (и, вероятно, неверной) информации, что было бы лучше, если бы они просто предоставили свой промпт к ИИ в качестве issue;
- что еще важнее, при рассмотрении issue разработчики должны предполагать, что то, что написал пользователь, действительно произошло с ним, но в случае с проблемами, сгенерированными ИИ, — кто знает, действительно ли описание описывает что-то реальное? (cм. #4982 и #4972 в качестве возможных примеров сгенерированных ИИ отчётов об ошибках);
- что касается сгенерированного ИИ кода, минимальным требованием должно быть то, что отправитель должен быть в состоянии ответить на review request своими собственными словами.
По мнению Алекса Сарай использование LLM вполне допустимо для перевода с иностранного языка на английский, поиска и исправления грамматических ошибок и опечаток, автозаполнения тривиальных текстов и кода (например, if err != nil { return nil, err }).
Напомню о том, как автор cURL "сгорел" от генерённых ИИ сесурити репортов
https://xn--r1a.website/tech_b0lt_Genona/5314
В эту же сторону пост от Devansh Batham в котором он рассказывает, что AI Slop в виде отчётов об уязвимостях перегружает людей, которые их оценивают и пытаются понять где реальные проблемы, а где нет
On AI Slop vs OSS Security
https://devansh.bearblog.dev/ai-slop/
> The National Vulnerability Database experienced catastrophic problems throughout 2024. CVE submissions jumped 32% while creating massive processing delays. By March 2025, NVD had analyzed fewer than 300 CVEs, leaving more than 30,000 vulnerabilities backlogged. Approximately 42% of CVEs lack essential metadata like severity scores and product information.
> Now layer AI slop onto this already stressed system. Invalid CVEs are being assigned at scale. A 2023 analysis by former insiders suggested that only around 20% of CVEs were valid, with the remainder being duplicates, invalid, or inflated. The issues include multiple CVEs being assigned for the same bug, CNAs siding with reporters over project developers even when there's no genuine dispute, and reporters receiving CVEs based on test cases rather than actual distinct vulnerabilities.
> HackerOne's research indicates that 70% of security researchers now use AI tools in their workflow. AI-powered testing is becoming the industry standard. The emergence of fully autonomous hackbots—AI systems that submitted over 560 valid reports in the first half of 2025—signals both opportunity and threat.
> The crisis isn't merely about bad vulnerability reports. It's about whether we'll choose to sustain the human foundation of technological progress, or whether we'll let it burn out under the weight of automated exploitation.
🫡13👍10🔥5❤2
Четверг, а значит время проектов от подписчиков! 🌝
Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://xn--r1a.website/tech_b0lt_Genona/4983
Слово автору @pwd_001
---
Все кто задавался целью найти утилиту для автоматической генерации YARA-правил (pattern-matching по байтовому содержимому файлов, применяемый для детектирования малвари), наверняка натыкались на проекты vxsig (https://github.com/google/vxsig) и yarGen (https://github.com/Neo23x0/yarGen). Однако vxsig использует слишком "умный подход" — дизассемблирование, биндиффинг и поиск наиболее частых подпоследовательностей инструкций, etc. Это круто, но не быстро, и оставляет за бортом большинство "лобовых" кейсов, где было бы достаточно просто накидать популярные строки из файлов.
Куда более простой и понятный подход у проекта yarGen — ищем интересные строчки во входных файлах, исключаем строки, которые в базе хороших файлов, и вуаля — яра готова. Но архитектурно yarGen — это монолитный python-скрипт на 3+к строк, портированный ещё с python2. Он медленный и давно прекратил своё развитие, так что применить его в своих проектах или как-то поправить оставаясь в рамках монолитного скрипта и мертвого репозитория было очень сложно — будь добр, используй два cli-шных юзкейса, которые автор запихнул в main-функцию.
Я столкнулся с этими же проблемами и постарался перевайбкодить и освежить yarGen, что вылилось в проект https://github.com/ogre2007/yarobot. Проект ещё сыроват, но что есть уже щас:
- код декомпозирован и исправлены ключевые проблемы, которые приводили к замедлению, немного обложен тестами;
- самые "горячие" части кода портированы на Rust;
- режим http-сервиса с веб-интерфейсом;
- выкладка на PyPi под некоторые версии - можно скачать и использовать как cli, как либу, или завести как локальный сервис под linux или windows.
АХТУНГ:
Хоть в проекте и есть небольшая магия под капотом, программа мало знает о малвари, и качество сгенерированных сигнатур не сравнится с ручными. Но отчасти это купируется базами "хороших" строк, которые вы можете сами сгенерировать из своих файлов (в будущем планирую выложить "чистые" базы, как это было у yarGen до остановки их сайта).
попробуйте сами и предложите что улучшить:
https://github.com/ogre2007/yarobot
---
Слово автору @pwd_001
---
Все кто задавался целью найти утилиту для автоматической генерации YARA-правил (pattern-matching по байтовому содержимому файлов, применяемый для детектирования малвари), наверняка натыкались на проекты vxsig (https://github.com/google/vxsig) и yarGen (https://github.com/Neo23x0/yarGen). Однако vxsig использует слишком "умный подход" — дизассемблирование, биндиффинг и поиск наиболее частых подпоследовательностей инструкций, etc. Это круто, но не быстро, и оставляет за бортом большинство "лобовых" кейсов, где было бы достаточно просто накидать популярные строки из файлов.
Куда более простой и понятный подход у проекта yarGen — ищем интересные строчки во входных файлах, исключаем строки, которые в базе хороших файлов, и вуаля — яра готова. Но архитектурно yarGen — это монолитный python-скрипт на 3+к строк, портированный ещё с python2. Он медленный и давно прекратил своё развитие, так что применить его в своих проектах или как-то поправить оставаясь в рамках монолитного скрипта и мертвого репозитория было очень сложно — будь добр, используй два cli-шных юзкейса, которые автор запихнул в main-функцию.
Я столкнулся с этими же проблемами и постарался перевайбкодить и освежить yarGen, что вылилось в проект https://github.com/ogre2007/yarobot. Проект ещё сыроват, но что есть уже щас:
- код декомпозирован и исправлены ключевые проблемы, которые приводили к замедлению, немного обложен тестами;
- самые "горячие" части кода портированы на Rust;
- режим http-сервиса с веб-интерфейсом;
- выкладка на PyPi под некоторые версии - можно скачать и использовать как cli, как либу, или завести как локальный сервис под linux или windows.
АХТУНГ:
Хоть в проекте и есть небольшая магия под капотом, программа мало знает о малвари, и качество сгенерированных сигнатур не сравнится с ручными. Но отчасти это купируется базами "хороших" строк, которые вы можете сами сгенерировать из своих файлов (в будущем планирую выложить "чистые" базы, как это было у yarGen до остановки их сайта).
попробуйте сами и предложите что улучшить:
https://github.com/ogre2007/yarobot
---
👍9❤3👎1
🫡
Ingress NGINX Retirement: What You Need to Know
https://kubernetes.io/blog/2025/11/11/ingress-nginx-retirement/
> To prioritize the safety and security of the ecosystem, Kubernetes SIG Network and the Security Response Committee are announcing the upcoming retirement of Ingress NGINX. Best-effort maintenance will continue until March 2026. Afterward, there will be no further releases, no bugfixes, and no updates to resolve any security vulnerabilities that may be discovered. Existing deployments of Ingress NGINX will continue to function and installation artifacts will remain available.
> The breadth and flexibility of Ingress NGINX has caused maintenance challenges. Changing expectations about cloud native software have also added complications. What were once considered helpful options have sometimes come to be considered serious security flaws, such as the ability to add arbitrary NGINX configuration directives via the "snippets" annotations. Yesterday’s flexibility has become today’s insurmountable technical debt.
> Despite the project’s popularity among users, Ingress NGINX has always struggled with insufficient or barely-sufficient maintainership. For years, the project has had only one or two people doing development work, on their own time, after work hours and on weekends. Last year, the Ingress NGINX maintainers announced their plans to wind down Ingress NGINX and develop a replacement controller together with the Gateway API community. Unfortunately, even that announcement failed to generate additional interest in helping maintain Ingress NGINX or develop InGate to replace it. (InGate development never progressed far enough to create a mature replacement; it will also be retired.)
> SIG Network and the Security Response Committee recommend that all Ingress NGINX users begin migration to Gateway API or another Ingress controller immediately.
Ingress NGINX Retirement: What You Need to Know
https://kubernetes.io/blog/2025/11/11/ingress-nginx-retirement/
> To prioritize the safety and security of the ecosystem, Kubernetes SIG Network and the Security Response Committee are announcing the upcoming retirement of Ingress NGINX. Best-effort maintenance will continue until March 2026. Afterward, there will be no further releases, no bugfixes, and no updates to resolve any security vulnerabilities that may be discovered. Existing deployments of Ingress NGINX will continue to function and installation artifacts will remain available.
> The breadth and flexibility of Ingress NGINX has caused maintenance challenges. Changing expectations about cloud native software have also added complications. What were once considered helpful options have sometimes come to be considered serious security flaws, such as the ability to add arbitrary NGINX configuration directives via the "snippets" annotations. Yesterday’s flexibility has become today’s insurmountable technical debt.
> Despite the project’s popularity among users, Ingress NGINX has always struggled with insufficient or barely-sufficient maintainership. For years, the project has had only one or two people doing development work, on their own time, after work hours and on weekends. Last year, the Ingress NGINX maintainers announced their plans to wind down Ingress NGINX and develop a replacement controller together with the Gateway API community. Unfortunately, even that announcement failed to generate additional interest in helping maintain Ingress NGINX or develop InGate to replace it. (InGate development never progressed far enough to create a mature replacement; it will also be retired.)
> SIG Network and the Security Response Committee recommend that all Ingress NGINX users begin migration to Gateway API or another Ingress controller immediately.
😢18👀8🫡7🤯3👍2🥱2😁1🤬1
В мае я писал о том, что в Ubuntu 25.10 по умолчанию было решено затащить
https://xn--r1a.website/tech_b0lt_Genona/5319
И тогда же я написал, что предстоит ещё много работы по обкатке
Так и получилось. Ошибки некритичные (что радует) и вполне попадают под "обкатку"
Обновление sudo-rs 0.2.10 с исправлением двух уязвимостей
https://www.opennet.ru/opennews/art.shtml?num=64226
- CVE-2025-64517 - привилегированный пользователь, имеющий полномочия выполнения через sudo команд под другими пользователями или с правами root, мог запустить через sudo команды под пользователем, пароль которого он не знает, несмотря на включение дополнительных настроек, требующих ввода пароля целевого пользователя. Атака возможна если этот привилегированный пользователь знает пароль хотя бы одного пользователя, для которого ему разрешено выполнение команд в настройках sudo.
Уязвимость имеет смысл только при включении в настройках sudoers флагов rootpw и targetpw, которые по умолчанию отключены и поддерживаются начиная с версии sudo-rs 0.2.5, опубликованной в апреле.
Проблема вызвана тем, что после аутентификации через sudo пользователь должным образом не отражался в timestamp-файлах, используемых для кэширования учётных данных (UID-идентификатор пользователя, идентификатор сеанса и время начала сеанса). Кэширование применяется для возможности повторного выполнения операций без пароля в течении 15 минут после успешной аутентификации. При выставлении флага targetpw или rootpw в timestamp-файл записывался UID запускающего sudo пользователя вместо UID аутентифицированного пользователя. Уязвимости присвоен средний уровень опасности (4.4 из 10).
- CVE-2025-64170 - ошибка, из-за которой не до конца введённый пароль выводился в стандартный входной поток и показывался в консоли, если набор не был завершён клавишей Enter до наступления таймаута (по умолчанию 5 минут). Уязвимость проявляется только в конфигурациях без включённой настройки pwfeedback (по умолчанию не включена). Поддержка таймаута на ввод пароля добавлена в июльском выпуске sudo-rs 0.2.7. Проблеме присвоен низкий уровень опасности (3.8 из 10).
В августе 2025 sudo-rs проходила аудит
https://github.com/trifectatechfoundation/sudo-rs/blob/main/docs/audit/NGICore%20sudo-rs%20penetration%20test%20report%202025%201.0.pdf
По результатам найдена была фаззингом единственная Low-проблема приводящая к панике. Мне больше всего интересно было читать пятый раздел отчёта в котором описаны попытки, идеи и подходы, которые не увенчались успехом.
Репа - https://github.com/m0rt1c/sudo-rs-fuzz
sudo-rs написанный на Rust вместо привычного нам sudohttps://xn--r1a.website/tech_b0lt_Genona/5319
И тогда же я написал, что предстоит ещё много работы по обкатке
Так и получилось. Ошибки некритичные (что радует) и вполне попадают под "обкатку"
Обновление sudo-rs 0.2.10 с исправлением двух уязвимостей
https://www.opennet.ru/opennews/art.shtml?num=64226
- CVE-2025-64517 - привилегированный пользователь, имеющий полномочия выполнения через sudo команд под другими пользователями или с правами root, мог запустить через sudo команды под пользователем, пароль которого он не знает, несмотря на включение дополнительных настроек, требующих ввода пароля целевого пользователя. Атака возможна если этот привилегированный пользователь знает пароль хотя бы одного пользователя, для которого ему разрешено выполнение команд в настройках sudo.
Уязвимость имеет смысл только при включении в настройках sudoers флагов rootpw и targetpw, которые по умолчанию отключены и поддерживаются начиная с версии sudo-rs 0.2.5, опубликованной в апреле.
Проблема вызвана тем, что после аутентификации через sudo пользователь должным образом не отражался в timestamp-файлах, используемых для кэширования учётных данных (UID-идентификатор пользователя, идентификатор сеанса и время начала сеанса). Кэширование применяется для возможности повторного выполнения операций без пароля в течении 15 минут после успешной аутентификации. При выставлении флага targetpw или rootpw в timestamp-файл записывался UID запускающего sudo пользователя вместо UID аутентифицированного пользователя. Уязвимости присвоен средний уровень опасности (4.4 из 10).
- CVE-2025-64170 - ошибка, из-за которой не до конца введённый пароль выводился в стандартный входной поток и показывался в консоли, если набор не был завершён клавишей Enter до наступления таймаута (по умолчанию 5 минут). Уязвимость проявляется только в конфигурациях без включённой настройки pwfeedback (по умолчанию не включена). Поддержка таймаута на ввод пароля добавлена в июльском выпуске sudo-rs 0.2.7. Проблеме присвоен низкий уровень опасности (3.8 из 10).
$ sudo -s
[sudo: authenticate] Password: sudo-rs: timed out
$ testpassword
В августе 2025 sudo-rs проходила аудит
https://github.com/trifectatechfoundation/sudo-rs/blob/main/docs/audit/NGICore%20sudo-rs%20penetration%20test%20report%202025%201.0.pdf
По результатам найдена была фаззингом единственная Low-проблема приводящая к панике. Мне больше всего интересно было читать пятый раздел отчёта в котором описаны попытки, идеи и подходы, которые не увенчались успехом.
Репа - https://github.com/m0rt1c/sudo-rs-fuzz
🤡14👍12💊5
Продолжаем четверг!
Этот проект я заметил в чате по LaTeX @pro_latex и решил, что было бы хорошо про него рассказать и попросил автора расписать про него подробнее. Сам я люблю что-нибудь поделать на LaTeX, когда предоставляется такая возможность.
Слово автору @KroneckerCapelli
---
Это прототип чертежника с экспортом в TikZ - https://fipigenerator.ru/planic/
Я учитель математики, с какого то момента захотел создавать красивые презентации, используя для этих целей LaTex, но геометрия всегда вызывала проблемы, не смотря на то, что на каком то уровне освоил пакеты TikZ и Асимптоту, создание средней сложности планиметрического чертежа занимало уйму времени, к тому же часто сталкивался с тем, что у коллег и других людей, любящих математику и LaTex, это вызывает трудности. Начал искать, какие существует инструменты, способные удовлетворить потребности в создании чертежей у этой категории людей, ничего кроме геогебры с ее возможностями экспорта (не самыми продвинутыми) не нашел. Немного изучив вопрос, пришел к выводу, что даже моих скудных знаний JS при поддержке интернета, нейросеток и добрых людей в чатах, будет достаточно, чтобы воплотить довольно простую идею, которую почему то никто не воплотил еще (или мне об этом не известно).
Если затрагивать технические моменты, идея максимально проста, я лишь пришел к тому, что любой, сколь угодно сложный/красивый планиметрический чертеж может быть задан простыми операциями, соединением точек, кривыми и т.д. Т.е. надо просто обернуть математику в легкий визуал, дав пользователю возможность строить, чего он захочет, а потом считать координаты всех важных точек творения и завернуть в простой шаблон.
В общем, захотелось сделать доступный инструмент для людей (Ну и прежде всего для себя), которые периодически нуждаются в красивых векторных чертежах в своих презентациях/документах, но не особо хотят или не могут по причине нехватки времени на достаточном уровне освоить всякие графические пакеты для этого, Работу продолжаю, к пожеланиям, комментариям, советам открыт.
---
Этот проект я заметил в чате по LaTeX @pro_latex и решил, что было бы хорошо про него рассказать и попросил автора расписать про него подробнее. Сам я люблю что-нибудь поделать на LaTeX, когда предоставляется такая возможность.
Слово автору @KroneckerCapelli
---
Это прототип чертежника с экспортом в TikZ - https://fipigenerator.ru/planic/
Я учитель математики, с какого то момента захотел создавать красивые презентации, используя для этих целей LaTex, но геометрия всегда вызывала проблемы, не смотря на то, что на каком то уровне освоил пакеты TikZ и Асимптоту, создание средней сложности планиметрического чертежа занимало уйму времени, к тому же часто сталкивался с тем, что у коллег и других людей, любящих математику и LaTex, это вызывает трудности. Начал искать, какие существует инструменты, способные удовлетворить потребности в создании чертежей у этой категории людей, ничего кроме геогебры с ее возможностями экспорта (не самыми продвинутыми) не нашел. Немного изучив вопрос, пришел к выводу, что даже моих скудных знаний JS при поддержке интернета, нейросеток и добрых людей в чатах, будет достаточно, чтобы воплотить довольно простую идею, которую почему то никто не воплотил еще (или мне об этом не известно).
Если затрагивать технические моменты, идея максимально проста, я лишь пришел к тому, что любой, сколь угодно сложный/красивый планиметрический чертеж может быть задан простыми операциями, соединением точек, кривыми и т.д. Т.е. надо просто обернуть математику в легкий визуал, дав пользователю возможность строить, чего он захочет, а потом считать координаты всех важных точек творения и завернуть в простой шаблон.
В общем, захотелось сделать доступный инструмент для людей (Ну и прежде всего для себя), которые периодически нуждаются в красивых векторных чертежах в своих презентациях/документах, но не особо хотят или не могут по причине нехватки времени на достаточном уровне освоить всякие графические пакеты для этого, Работу продолжаю, к пожеланиям, комментариям, советам открыт.
---
👍25🔥17❤7
Тут Сергей Кузьменко из Роскачества рассказал очевидное об очевидном и это понесли по всем ресурсам
> Действительно, колонка постоянно находится в режиме прослушивания, однако было бы неверно утверждать, что она постоянно записывает и передает все ваши разговоры.
> Как ни парадоксально, гарантировать полную приватность можно только физическим отключением микрофона. Отключать его стоит в те моменты, когда колонка не используется. Например, если вы пользуетесь ей только по выходным, то в будние дни микрофон лучше держать выключенным. Многие современные колонки оснащены специальной кнопкой, которая аппаратно (а не программно) отключает микрофон.
https://rskrf.ru/tips/eksperty-obyasnyayut/kak-obezopasit-sebya-ot-proslushivaniya-umnoy-kolonkoy/
Яндекс даже пост выкатывал как у них "размыкатель" работает
Как работает кнопка Mute на Яндекс Станции. Подробный разбор логики и схем
https://habr.com/ru/companies/yandex/articles/799737/
Я не знаю как сейчас, но вот вам старый тред, где подробно расписано и обсуждается как работает кнопка в Станции (там настаивают комментаторы, что не всё так однозначно)
https://habr.com/ru/companies/yandex/articles/369353/comments/#comment_18706045
Эти же обсуждения возобновились, когда произошёл слив сырцов от кучи сервисов Яндекса
> Представитель «Яндекса» рассказал, что алгоритм, обнаруженный экспертами в утечке исходного кода, который позволяет активировать микрофон без упоминания слова «Алиса», доступен только в закрытой бета-версии сервиса внутри компании. Это часть системы настройки и отладки голосового ассистента, которая создана для тестирования технологии разработчиками, её кода нет в пользовательских устройствах.
«Яндекс» опроверг сообщения о прослушке пользователей «Алисы» без их ведома
https://habr.com/ru/news/714078/
Действительно ли это были исходники только для внутреннего использования я без понятия.
В любом случае такие обсуждения ведёт только Яндекс, ничего подобного про другие колонки я не видел (если есть, то кидайте в личку @rusdacent или в комменты).
Я никаким "кнопкам" конечно же не доверяю, поэтому никакие колонки не использую,
Вот пара ссылок под DIY (в инторентах много обсуждения и проектов разного уровня качества)
Моя безумная колонка или бюджетный DIY голосового ассистента для умного дома
https://habr.com/ru/companies/timeweb/articles/772080/
I replaced my smart speakers with cheaper open-source alternatives, and I'll never go back
https://www.xda-developers.com/replaced-smart-speakers-cheaper-open-source-alternatives/
Satellite1 Dev Kit is a Home Assistant-compatible DIY voice assistant with ESP32-S3 module, XMOS XU316 audio processor
https://www.cnx-software.com/2025/05/16/satellite1-dev-kit-is-an-home-assistant-compatible-diy-voice-assistant-with-esp32-s3-module-xmos-xu316-audio-processor/
ЗЫ
> Алиса в «Яндекс Станциях» не может слушать разговоры пользователя без его ведома. Пока не прозвучит активационное слово, устройства с Алисой работают в спящем режиме.
«Яндекс» ответил на совет не обсуждать секреты рядом с умными колонками
https://www.rbc.ru/rbcfreenews/6915c9839a79475aee6656fd
А как Алиса услышит активационное слово, если не будет постоянно слушать? 🌝
Картинка просто картинка
> Действительно, колонка постоянно находится в режиме прослушивания, однако было бы неверно утверждать, что она постоянно записывает и передает все ваши разговоры.
> Как ни парадоксально, гарантировать полную приватность можно только физическим отключением микрофона. Отключать его стоит в те моменты, когда колонка не используется. Например, если вы пользуетесь ей только по выходным, то в будние дни микрофон лучше держать выключенным. Многие современные колонки оснащены специальной кнопкой, которая аппаратно (а не программно) отключает микрофон.
https://rskrf.ru/tips/eksperty-obyasnyayut/kak-obezopasit-sebya-ot-proslushivaniya-umnoy-kolonkoy/
Яндекс даже пост выкатывал как у них "размыкатель" работает
Как работает кнопка Mute на Яндекс Станции. Подробный разбор логики и схем
https://habr.com/ru/companies/yandex/articles/799737/
Я не знаю как сейчас, но вот вам старый тред, где подробно расписано и обсуждается как работает кнопка в Станции (там настаивают комментаторы, что не всё так однозначно)
https://habr.com/ru/companies/yandex/articles/369353/comments/#comment_18706045
Эти же обсуждения возобновились, когда произошёл слив сырцов от кучи сервисов Яндекса
> Представитель «Яндекса» рассказал, что алгоритм, обнаруженный экспертами в утечке исходного кода, который позволяет активировать микрофон без упоминания слова «Алиса», доступен только в закрытой бета-версии сервиса внутри компании. Это часть системы настройки и отладки голосового ассистента, которая создана для тестирования технологии разработчиками, её кода нет в пользовательских устройствах.
«Яндекс» опроверг сообщения о прослушке пользователей «Алисы» без их ведома
https://habr.com/ru/news/714078/
Действительно ли это были исходники только для внутреннего использования я без понятия.
В любом случае такие обсуждения ведёт только Яндекс, ничего подобного про другие колонки я не видел (если есть, то кидайте в личку @rusdacent или в комменты).
Я никаким "кнопкам" конечно же не доверяю, поэтому никакие колонки не использую,
Вот пара ссылок под DIY (в инторентах много обсуждения и проектов разного уровня качества)
Моя безумная колонка или бюджетный DIY голосового ассистента для умного дома
https://habr.com/ru/companies/timeweb/articles/772080/
I replaced my smart speakers with cheaper open-source alternatives, and I'll never go back
https://www.xda-developers.com/replaced-smart-speakers-cheaper-open-source-alternatives/
Satellite1 Dev Kit is a Home Assistant-compatible DIY voice assistant with ESP32-S3 module, XMOS XU316 audio processor
https://www.cnx-software.com/2025/05/16/satellite1-dev-kit-is-an-home-assistant-compatible-diy-voice-assistant-with-esp32-s3-module-xmos-xu316-audio-processor/
ЗЫ
> Алиса в «Яндекс Станциях» не может слушать разговоры пользователя без его ведома. Пока не прозвучит активационное слово, устройства с Алисой работают в спящем режиме.
«Яндекс» ответил на совет не обсуждать секреты рядом с умными колонками
https://www.rbc.ru/rbcfreenews/6915c9839a79475aee6656fd
А как Алиса услышит активационное слово, если не будет постоянно слушать? 🌝
Картинка просто картинка
😁24👍2❤1🤡1🥴1
Эту пятницу объявляю просто конференцевой (без ностальгии, в отличии от вторника на прошлой неделе), а то опять поднакопилось чего рассказать.
Первой пойдёт RustCon 2025. Делают её мои хорошие знакомые, и это будет уже пятая по счёту конфа.
Пройдёт она 28 ноября в Москве («Пространство ВЕСНА», Спартаковский переулок 2с1, подъезд №7)
Физически я доехать не смогу, но доклады посмотреть собираюсь
- Михаил Мальцев, "Интеграция языка Rust, его библиотек и фреймворков для бэкенд разработки в операционные системы реального времени"
- Владислав Катасонов, "Двусторонний биндинг раст кода к Си"
- Дмитрий Богомазов, "Использование Rust и Aya для создания высокопроизводительных приложений фильтрации трафика на основе EBPF"
Там ещё будет воркшоп "Разработка модуля ядра Linux на Rust", но понятно, что это больше про оффлайн, так что мимо меня будет
Сайт с полной программой - https://rustcon.ru/
Чатик - @rustcon_russia
А так как это делают мои хорошие знакомые (да и я человек неплохой 🌝), то мне ещё выдали два промокода, на 100% покрытие стоимости билетов. Один на оффлайн, другой на онлайн.
Я никаких заумных розыгрышей устраивать не буду, поэтому просто напишите в комменты под этим постом
-
или
-
Я посмотрю количество желающих, выберу какое-то разумное количество отметившихся и через рандомайзер определим счастливчиков.
ЗЫ Розыгрыш окончен
Первой пойдёт RustCon 2025. Делают её мои хорошие знакомые, и это будет уже пятая по счёту конфа.
Пройдёт она 28 ноября в Москве («Пространство ВЕСНА», Спартаковский переулок 2с1, подъезд №7)
Физически я доехать не смогу, но доклады посмотреть собираюсь
- Михаил Мальцев, "Интеграция языка Rust, его библиотек и фреймворков для бэкенд разработки в операционные системы реального времени"
- Владислав Катасонов, "Двусторонний биндинг раст кода к Си"
- Дмитрий Богомазов, "Использование Rust и Aya для создания высокопроизводительных приложений фильтрации трафика на основе EBPF"
Там ещё будет воркшоп "Разработка модуля ядра Linux на Rust", но понятно, что это больше про оффлайн, так что мимо меня будет
Сайт с полной программой - https://rustcon.ru/
Чатик - @rustcon_russia
А так как это делают мои хорошие знакомые (да и я человек неплохой 🌝), то мне ещё выдали два промокода, на 100% покрытие стоимости билетов. Один на оффлайн, другой на онлайн.
Я никаких заумных розыгрышей устраивать не буду, поэтому просто напишите в комменты под этим постом
-
+, оффлайн, если вы хотите и можете посетить конфу физически в МСКили
-
+, онлайн, если вы хотите посетить конфу онлайнЯ посмотрю количество желающих, выберу какое-то разумное количество отметившихся и через рандомайзер определим счастливчиков.
ЗЫ Розыгрыш окончен
❤6🔥5🌚3❤🔥2👍1
Второй конфой конференцевой пятницы идёт Kuber Conf.
Пройдёт она 4 декабря в Москве (Сколковская "Матрёшка", ул. Блеза Паскаля, 2)
Конфа эта приурочена к созданию некоммерческой организации "Ассоциация облачно-ориентированных технологий". Да и сама конфа, можно сказать некоммерческая, это видно по стоимости билетов.
Физически я туда тоже доехать не смогу, поэтому буду ждать записей.
В программном комитете есть компании и лица, которые я на канале уже неоднократно упоминал: @kvaps (Ænix), @Qu3b3c (Luntry), @atitov (Флант)
По докладам я себе три в закладки положил
- Виталий Филиппов (@vitalif, привет!), Дмитрий Юсько / "Vitastor"
Так как из названия не понятно непосвящённому читателю, чего за такой Vitastor, то тут добавлю цитату из описания доклада
> Vitastor — это распределённая программная СХД. Быстрая и до 10 раз более производительная, чем аналоги. За 4 года Vitastor прошла путь от экспериментальной блочной SDS, поддерживающей только ВМ на основе QEMU, до готовой к продакшену системы с поддержкой блочного, файлового и объектного доступа, а также с полноценной поддержкой Kubernetes.
Про "до 10 раз" не скажу, сам ничего не замерял, замеры и обсуждения в @sds_ru видел. Там же и Виталия поймать можно.
- Михаил Петров / "Когда одного CNI мало: практический deep-dive в CNI chaining"
> Разберём, как рантайм вызывает цепочку плагинов, где это применяется в проде (включая GKE Dataplane v2), чем это отличается от Multus, и проведём живое демо: veth+IPAM → mirror по аннотации → Cilium.
- Александр Прохоров / "Кто следит за сторожем? Безопасная архитектура Gatekeeper в managed-k8s"
> В докладе расскажу, как безопасно развернуть Gatekeeper в архитектуре «Kubernetes в Kubernetes» (k8s-in-k8s), чтобы защитить управляющий слой от влияния пользователей, не жертвуя при этом гибкостью и производительностью.
Сайт с полной программой - https://aot-kuberconf.ru
Туда мне отсыпали три промокода, на 100% покрытие стоимости билетов.
Тут я тоже никаких заумных розыгрышей устраивать не буду, поэтому просто напишите в комменты под этим постом
Я посмотрю количество желающих, выберу какое-то разумное количество отметившихся и через рандомайзер определим счастливчиков.
ЗЫ Розыгрыш окончен
Пройдёт она 4 декабря в Москве (Сколковская "Матрёшка", ул. Блеза Паскаля, 2)
Конфа эта приурочена к созданию некоммерческой организации "Ассоциация облачно-ориентированных технологий". Да и сама конфа, можно сказать некоммерческая, это видно по стоимости билетов.
Физически я туда тоже доехать не смогу, поэтому буду ждать записей.
В программном комитете есть компании и лица, которые я на канале уже неоднократно упоминал: @kvaps (Ænix), @Qu3b3c (Luntry), @atitov (Флант)
По докладам я себе три в закладки положил
- Виталий Филиппов (@vitalif, привет!), Дмитрий Юсько / "Vitastor"
Так как из названия не понятно непосвящённому читателю, чего за такой Vitastor, то тут добавлю цитату из описания доклада
> Vitastor — это распределённая программная СХД. Быстрая и до 10 раз более производительная, чем аналоги. За 4 года Vitastor прошла путь от экспериментальной блочной SDS, поддерживающей только ВМ на основе QEMU, до готовой к продакшену системы с поддержкой блочного, файлового и объектного доступа, а также с полноценной поддержкой Kubernetes.
Про "до 10 раз" не скажу, сам ничего не замерял, замеры и обсуждения в @sds_ru видел. Там же и Виталия поймать можно.
- Михаил Петров / "Когда одного CNI мало: практический deep-dive в CNI chaining"
> Разберём, как рантайм вызывает цепочку плагинов, где это применяется в проде (включая GKE Dataplane v2), чем это отличается от Multus, и проведём живое демо: veth+IPAM → mirror по аннотации → Cilium.
- Александр Прохоров / "Кто следит за сторожем? Безопасная архитектура Gatekeeper в managed-k8s"
> В докладе расскажу, как безопасно развернуть Gatekeeper в архитектуре «Kubernetes в Kubernetes» (k8s-in-k8s), чтобы защитить управляющий слой от влияния пользователей, не жертвуя при этом гибкостью и производительностью.
Сайт с полной программой - https://aot-kuberconf.ru
Туда мне отсыпали три промокода, на 100% покрытие стоимости билетов.
Тут я тоже никаких заумных розыгрышей устраивать не буду, поэтому просто напишите в комменты под этим постом
+, если вы хотите и можете посетить конфу физически в МСКЯ посмотрю количество желающих, выберу какое-то разумное количество отметившихся и через рандомайзер определим счастливчиков.
ЗЫ Розыгрыш окончен
👍5❤2
Ну и третий участник конференцевой пятницы это открытая конференция ИСП РАН
Пройдёт она 9-10 декабря в Москве (Раменский бульвар, д. 1. Кластер «Ломоносов»)
Про неё я писал год назад (и не только)
https://xn--r1a.website/tech_b0lt_Genona/4864
И если я в том году катался на один день на секцию "Технологии анализа, моделирования и трансформации программ", то в этом году поеду на один день 10 декабря на секцию разработки безопасного ПО.
Так что если кто хочет пообщаться, то пишите в комменты или в личку @rusdacent
Программа ещё не сформирована, но можно ознакомиться с тем что рассказывалось и показывалось в секции указанной выше в 2024
https://www.isprasopen.ru/2024/#Agenda
https://vkvideo.ru/video-214485707_456239026
Сайт - https://www.isprasopen.ru/
Про ресурсы сообщества РБПО я писал тут
https://xn--r1a.website/tech_b0lt_Genona/4784
Конференция бесплатная, поэтому
Пройдёт она 9-10 декабря в Москве (Раменский бульвар, д. 1. Кластер «Ломоносов»)
Про неё я писал год назад (и не только)
https://xn--r1a.website/tech_b0lt_Genona/4864
И если я в том году катался на один день на секцию "Технологии анализа, моделирования и трансформации программ", то в этом году поеду на один день 10 декабря на секцию разработки безопасного ПО.
Так что если кто хочет пообщаться, то пишите в комменты или в личку @rusdacent
Программа ещё не сформирована, но можно ознакомиться с тем что рассказывалось и показывалось в секции указанной выше в 2024
https://www.isprasopen.ru/2024/#Agenda
https://vkvideo.ru/video-214485707_456239026
Сайт - https://www.isprasopen.ru/
Про ресурсы сообщества РБПО я писал тут
https://xn--r1a.website/tech_b0lt_Genona/4784
Конференция бесплатная, поэтому
+ можно просто так в комменты поставить 🌝👍8❤🔥4🔥4
Forwarded from Стой под стрелой (Nikita Prokopov)
В английском языке есть термин “needy person”, что примерно переводится как несамостоятельный плюс навязчивый. Типа, человек, который постоянно пристает с какими-то вопросами и просьбами, которые вполне мог бы порешать сам, полностью перекладывает все решения на другого человека и не видит личных границ.
Ну вот, а я вижу это в программах. Раньше программы были инструментами — тебе что-то нужно сделать, ты ее взял, сделал и забыл. Она лежит себе, помалкивает, до следующего раза.
А сегодня шагу не ступишь, как программы до тебя не доебутся. Сначала создай аккаунт — куда без него. У меня уже столько аккаунтов, что на поселок городского типа хватит. Раньше были мемы про то, как тупо заряжать очки, книгу или сигарету, а сейчас можно делать про логины в стиральную машину и зубную щетку. Серьезно, это НЕ смешно уже.
(Понятно, что если ты уступишь и создашь аккаунт, то до тебя все равно доебутся — или 2FA включи, или пароль поменяй, или почту проверь, или разлогинят тебя просто чтобы не расслаблялся)
Дальше идут обновления, они же апдейты. Я во всем виню Хром (вроде он это начал), но сегодня каждая программа постоянно проверяет, не вышла ли новая версия, и если вышла, всю душу из тебя вынет, пока не обновишься.
Заметьте, что обновиться — не мое желание, не моя потребность. Если бы мне было нужно — баг там какой критический, нехватка функций — я бы пошел и сам нашел все нужные патчи и апдейты. Но мне НЕ НУЖНО. Если бы я не знал про новую версию, если бы меня не заебывали этими попапами, я бы сидел на старой и горя бы не знал. От того, что я обновлюсь, в моей жизни не изменится НИ. ЧЕ. ГО. Так и кому это нужно? Мне? Или программе?
Наконец, нотификации. Это вообще рак. Идея была светлая — ну, иногда пользователю реально нужно что-то сообщить. Рендер там закончился, загрузка, не знаю. Что-то в мире пользователя, про его задачи.
Но вместо этого нотификации — пакет кокаина, который выдали торчку и попросили использовать только по делу. Их засунули в каждую дыру, от ебучих красных точек везде уже рябит в глазах, а попапы закрываются на автомате даже не читая.
Ведь нотификация это что такое? Это что-то, что я не просил, но с чем мне нужно разобраться. Это буквально проблема программы, с которой она пришла ко мне. У меня есть скриншот свежеустановленной какой-то Джетбрейновской ИДЕ. Я запускаю ее в первый и раз и тут же получаю в рожу ТРИ нотификации. Я еще ничего не сделал. Мне от тебя еще ничего не нужно. Но я уже тебе что-то должен. Как минимум, закрыть нотификации. Are you охуели там, как говорится? VS Code не лучше, кстати, и нотификации одна из основных причин, почему я сбежал.
На одном конце спектра условный
На другом — Гугл Хром. Опять же, заглядываю как-то в ноут жены, она там какую-то страничку открывает, а хром ей: проверь аккаунт! что-то не так (что, блядь, может быть не так, всю жизнь было так, с чего бы вдруг сейчас что-то пошло не так?), а еще обновись! И нотификацию в рожу. Жену я бесконечно уважаю, потому что она четко видит, где ее проблемы (нужно что-то посмотреть на сайте), а где проблемы программы (обновления, аккаунт). И абсолютно хладнокровно игнорирует вторые.
Ощущение от needy программ — я решаю не свои проблемы, а проблемы программы. Обнови ее, залогинь, нотификации закрой. Ну и нафига мне такой тамагочи?
Будь как
Ну вот, а я вижу это в программах. Раньше программы были инструментами — тебе что-то нужно сделать, ты ее взял, сделал и забыл. Она лежит себе, помалкивает, до следующего раза.
А сегодня шагу не ступишь, как программы до тебя не доебутся. Сначала создай аккаунт — куда без него. У меня уже столько аккаунтов, что на поселок городского типа хватит. Раньше были мемы про то, как тупо заряжать очки, книгу или сигарету, а сейчас можно делать про логины в стиральную машину и зубную щетку. Серьезно, это НЕ смешно уже.
(Понятно, что если ты уступишь и создашь аккаунт, то до тебя все равно доебутся — или 2FA включи, или пароль поменяй, или почту проверь, или разлогинят тебя просто чтобы не расслаблялся)
Дальше идут обновления, они же апдейты. Я во всем виню Хром (вроде он это начал), но сегодня каждая программа постоянно проверяет, не вышла ли новая версия, и если вышла, всю душу из тебя вынет, пока не обновишься.
Заметьте, что обновиться — не мое желание, не моя потребность. Если бы мне было нужно — баг там какой критический, нехватка функций — я бы пошел и сам нашел все нужные патчи и апдейты. Но мне НЕ НУЖНО. Если бы я не знал про новую версию, если бы меня не заебывали этими попапами, я бы сидел на старой и горя бы не знал. От того, что я обновлюсь, в моей жизни не изменится НИ. ЧЕ. ГО. Так и кому это нужно? Мне? Или программе?
Наконец, нотификации. Это вообще рак. Идея была светлая — ну, иногда пользователю реально нужно что-то сообщить. Рендер там закончился, загрузка, не знаю. Что-то в мире пользователя, про его задачи.
Но вместо этого нотификации — пакет кокаина, который выдали торчку и попросили использовать только по делу. Их засунули в каждую дыру, от ебучих красных точек везде уже рябит в глазах, а попапы закрываются на автомате даже не читая.
Ведь нотификация это что такое? Это что-то, что я не просил, но с чем мне нужно разобраться. Это буквально проблема программы, с которой она пришла ко мне. У меня есть скриншот свежеустановленной какой-то Джетбрейновской ИДЕ. Я запускаю ее в первый и раз и тут же получаю в рожу ТРИ нотификации. Я еще ничего не сделал. Мне от тебя еще ничего не нужно. Но я уже тебе что-то должен. Как минимум, закрыть нотификации. Are you охуели там, как говорится? VS Code не лучше, кстати, и нотификации одна из основных причин, почему я сбежал.
На одном конце спектра условный
ls: тоже программа, но никогда не попросит тебя создать аккаунт или обновиться. Это спокойный, уверенный в себе инструмент. Или, если нужен пример посложнее, Syncthing: программа для синка файлов между машинами, в которой нет аккаунтов, нотификаций, которой можно сразу начинать пользоваться, а про апдейт которой я недавно случайно узнал от друга. И не стал обновляться! (потому что зачем)На другом — Гугл Хром. Опять же, заглядываю как-то в ноут жены, она там какую-то страничку открывает, а хром ей: проверь аккаунт! что-то не так (что, блядь, может быть не так, всю жизнь было так, с чего бы вдруг сейчас что-то пошло не так?), а еще обновись! И нотификацию в рожу. Жену я бесконечно уважаю, потому что она четко видит, где ее проблемы (нужно что-то посмотреть на сайте), а где проблемы программы (обновления, аккаунт). И абсолютно хладнокровно игнорирует вторые.
Ощущение от needy программ — я решаю не свои проблемы, а проблемы программы. Обнови ее, залогинь, нотификации закрой. Ну и нафига мне такой тамагочи?
Будь как
ls. Не будь как Хром. Проблем у нас всех своих хватает.💯57❤15👍9🤡3🔥2👎1👏1
> Группа депутатов во главе с первым заместителем председателя комитета Госдумы по информполитике Антоном Горелкиным внесла на рассмотрение палаты парламента законопроект об административных штрафах до 700 тыс. рублей для владельцев российских сайтов за нарушения правил авторизации пользователей, а именно авторизацию с помощью зарубежных сервисов, в том числе иностранной электронной почты
Спасибо
https://tass.ru/obschestvo/25628233
Спасибо
https://tass.ru/obschestvo/25628233
😁37🖕21💊14👎6🙈6🔥4❤1👍1🤡1
Forwarded from disasm.me channel
Это индонезийский гастрономический DDoS 🥘
На протяжении последних дней злоумышленники используют несколько десятков учётных записей, заполоняя NPM 80+ тысячами пакетами, состоящих из названий индонезийских блюд и имён. Аналитики из SourceCode RED назвали эту атаку
Пакет при попытке запустить его основную логику:
👫 Заглядывает в свой словарь, чтобы придумать трёхсложное название новому пакетy.
👫 Изменяет свой package.json, подменяя название и придумывая случайную версию пакета.
👫 Пытается опубликовать пакет от вашего имени через
👫 Спит 7 секунд — и пойдёт по циклу по новой.
В пакетах реализован только механизм червя, без дальнейших попыток дальше как-либо вас скомпрометировать (например, украсть данные, установить бэкдор). Но тем не менее, это создаёт значительную нагрузку на сам NPM и команды, занимающиеся его безопасностью.
Ниже кусок кода, отвечающего за генерацию:
👋
#npm #worm
@disasm_me_ch
На протяжении последних дней злоумышленники используют несколько десятков учётных записей, заполоняя NPM 80+ тысячами пакетами, состоящих из названий индонезийских блюд и имён. Аналитики из SourceCode RED назвали эту атаку
"IndonesianFoods" NPM Worm.Пакет при попытке запустить его основную логику:
npm publish (сработает, если вы добавили креды от NPM в свой пакетный менеджер).В пакетах реализован только механизм червя, без дальнейших попыток дальше как-либо вас скомпрометировать (например, украсть данные, установить бэкдор). Но тем не менее, это создаёт значительную нагрузку на сам NPM и команды, занимающиеся его безопасностью.
Ниже кусок кода, отвечающего за генерацию:
const indonesianNames = ["andi", "budi", "cindy", "dewi", "erwin", "fitri", "gilang", "hendra", "irma", "joko", "kiki", "lina", "maya", "nina", "ocha", "patria", "qori", "rina", "sari", "tuti", "udin", "vina", "wati", "xaver", "yanti", "zain", "ade", "bayu", "citra", "dian", "eko", "fauzi", "gita", "hadi", "ida", "joni", "kurnia", "lisa", "maman", "nana", "ogi", "putri", "rudi", "sinta", "tomi", "umi", "vera", "wawan", "yuni", "zul", "agus", "bambang", "cici", "dono", "eka", "fajar", "galih", "hanafi", "indah", "joko", "kurniawan", "lutfi", "mulyono", "nurul", "okta", "putra", "riana", "siska", "tania", "utomo", "vida", "wibowo", "yanti", "zaki", "arif", "bella", "candra", "dewanto", "erick", "fadhil", "gita", "hadianto", "iwan", "jaja", "kresna", "laila", "mahesa", "nadia", "oktafian", "putri", "rifqi", "surya", "tiara"];
const indonesianFoods = ["rendang", "sate", "nasiuduk", "lontong", "bakso", "soto", "gudeg", "pecel", "gado-gado", "nasipecel", "tongseng", "rujak", "rawon", "nasicampur", "buburayam", "bubursumsum", "tahutek", "keraktelor", "serabi", "jengkol", "asinan", "nasi", "mie", "mieayam", "mieaceh", "miemee", "miebogor", "gorengan", "dodol", "klentik", "kupat", "mendoan", "gepuk", "rangginang", "kripik", "martabak", "nasisayur", "rujaksoto", "sroto", "jamblang", "brongkos", "semur", "telurtahu", "tempe", "sambel", "oncom", "tumis", "empal", "sambel", "telur", "gulai", "empal", "ikan", "bakwan", "botok", "brengkes", "donat", "esdoger", "kemplang", "kentang", "kue", "lapis", "mangut", "martabak", "naget", "oblok", "ongol-ongol", "otak-otak", "papeda", "pisang", "ragi", "rojak", "ronde", "sambalado", "sate", "semur", "soto", "tahu", "teh", "tempe", "toge", "tomat", "jus", "lodeh", "mangga", "kolak", "bika", "takokak", "tapai", "ketoprak", "sego", "liwet", "rangi", "lepet", "rangi", "sasag", "kembang", "gandul", "enting", "lutis", "tiwul", "ruwet", "saguer", "getuk", "mangut", "nasi", "lengko", "menjes", "bakwan", "ketan", "kue", "lapis", "taiwan", "kue", "lumpur", "kue", "kacang", "kue", "lupis", "kue", "moci", "kue", "mendut", "klanting", "keripik", "kepok", "klipo", "peyek", "gembus", "tahu", "tek", "wajit", "getas", "serimuka", "lapis", "dradag", "bubur", "gaplek", "kupang", "keripik", "ubi"];
function generateRandomName() {
const randomName = indonesianNames[Math.floor(Math.random() * indonesianNames.length)];
const randomFood = indonesianFoods[Math.floor(Math.random() * indonesianFoods.length)];
const randomNumber = Math.floor(Math.random() * 100) + 1;
return `${randomName}-${randomFood}${randomNumber}`;
}
function generateRandomDelay() {
return 7000; // set delay to 7 seconds
}
generateRandomDelay настолько рандомный, что детерминирован #npm #worm
@disasm_me_ch
Please open Telegram to view this post
VIEW IN TELEGRAM
😁33🤷♂3🥴3❤2
Forwarded from Блог*
#prog #rust #article
Rust in Android: move fast and fix things
Rust in Android: move fast and fix things
The 2025 data continues to validate the approach, with memory safety vulnerabilities falling below 20% of total vulnerabilities for the first time.
We adopted Rust for its security and are seeing a 1000x reduction in memory safety vulnerability density compared to Android’s C and C++ code. But the biggest surprise was Rust's impact on software delivery. With Rust changes having a 4x lower rollback rate and spending 25% less time in code review, the safer path is now also the faster one.
We'll analyze a near-miss memory safety bug in unsafe Rust: how it happened, how it was mitigated, and steps we're taking to prevent recurrence. It’s also a good chance to answer the question “if Rust can have memory safety issues, why bother at all?”
❤12🤷♂5🤡2👍1💊1
Что-то про анализ
Сюда же
https://xn--r1a.website/tech_b0lt_Genona/3503
https://xn--r1a.website/tech_b0lt_Genona/3834
https://xn--r1a.website/tech_b0lt_Genona/5802
ЗЫ Скрин не мой
Сюда же
https://xn--r1a.website/tech_b0lt_Genona/3503
https://xn--r1a.website/tech_b0lt_Genona/3834
https://xn--r1a.website/tech_b0lt_Genona/5802
ЗЫ Скрин не мой
😁23👍4🤡2🥰1
> I just wanted to give an update on this issue since I was the one who originally reported it. My child, who was not yet born when this issue was first reported, will be starting school soon. Here they are with their new backpack:
https://github.com/grafana/loki/issues/3045#issuecomment-3065556715
https://github.com/grafana/loki/issues/3045#issuecomment-3065556715
😁69🔥14🤓3🥰1
16 лет прошло, а в Chromium так и не добавили подтверждения закрытия окна при нажатии
https://issues.chromium.org/issues/40964518
Запредельные технологии, видимо
Ctrl+Qhttps://issues.chromium.org/issues/40964518
Запредельные технологии, видимо
😁55🤡9🤬1🥴1
Forwarded from Кадровый Болт Генона
Крупные IT-компании должны договориться с вузами о мерах поддержки
https://www.vedomosti.ru/technology/articles/2025/11/17/1155350-krupnie-it-kompanii-dolzhni-dogovoritsya-s-vuzami
Крупные аккредитованные IT-компании обяжут к 1 июня 2026 г. заключить соглашения с вузами о мерах финансовой поддержки и нефинансовой помощи в подготовке кадров. Это нужно для того, чтобы сохранить IT-аккредитацию, не лишиться льгот и брони для сотрудников от военной службы. Новые меры анонсировал замминистра цифрового развития Сергей Кучушев на форуме «Цифровые решения».
IT-компании должны будут выделять на поддержку вузов до 5% от средств, сэкономленных благодаря налоговым льготам. Речь идет о средствах, которые компании смогут сэкономить благодаря сохранению нулевого НДС для ИТ-компаний. Эта льгота будет закреплена поправками в Налоговый кодекс, объявил вице-премьер Дмитрий Григоренко 23 октября.
До 1 июня 2026 г. IT-компании должны подать заявления о подтверждении аккредитации с приложением заключенных соглашений с вузами и колледжами, сказано в презентации Кучушева. Эти сроки будут прописаны в постановлении правительства, которое сейчас готовится. В течение трех месяцев с момента публикации постановления будет утвержден порядок взаимодействия и отчетов, рассказал замминистра.
«Нововведение о заключении соглашения с вузами для подготовки кадров коснется только крупных аккредитованных IT-компаний, выручка которых превышает 1 млрд руб. в год, с численностью сотрудников не менее 100 человек», – уточнил представитель Минцифры. Требование предъявляется только к компаниям, пользующимся IT-льготами. Заключить соглашение должны те подпадающие под перечисленные критерии компании, которые хотят подтвердить статус аккредитованной, указал собеседник.
Наиболее эффективные формы поддержки и сотрудничества с вузами уже стали «классическими», рассуждает директор по персоналу группы компаний «Корус консалтинг» Дарья Цирулева. В первую очередь речь идет об организации практики для студентов. Важно, чтобы практика не носила формальный характер и проходила «в полях».
Также со стороны IT-компании важно давать доступ обучающемуся к базе данных для исследовательских проектов, участвовать в академических советах и формировать образовательные программы с преподаванием различных дисциплин. Такой подход позволяет сформировать кадры, которые востребованы как на рынке в целом, так и в конкретной IT-компании. Финансовая помощь учебным заведениям может быть эффективна только в том случае, если она целевая: например, если средства выделяются на прикладные проекты, исследования и направления, которые потом будут востребованы, заключила Цирулева.
Компании финансируют создание и оснащение совместных научно-образовательных центров и учебно-прикладных лабораторий современным оборудованием, как это происходит в МГТУ им. Н. Э. Баумана и НИЯУ МИФИ, рассказали «Ведомостям» представители этих вузов. П
Университеты привлекают специалистов-практиков к учебному процессу. Например, ИТМО работает с крупнейшими IT-компаниями страны и IT-«дочками» крупных организаций, например «Яндексом», VK, «Сбером», МТС, Yadro, «Авито», «Самолетом», «Газпром нефтью» и др., перечислила директор по стратегическому развитию университета Дарья Козлова.
https://www.vedomosti.ru/technology/articles/2025/11/17/1155350-krupnie-it-kompanii-dolzhni-dogovoritsya-s-vuzami
Крупные аккредитованные IT-компании обяжут к 1 июня 2026 г. заключить соглашения с вузами о мерах финансовой поддержки и нефинансовой помощи в подготовке кадров. Это нужно для того, чтобы сохранить IT-аккредитацию, не лишиться льгот и брони для сотрудников от военной службы. Новые меры анонсировал замминистра цифрового развития Сергей Кучушев на форуме «Цифровые решения».
IT-компании должны будут выделять на поддержку вузов до 5% от средств, сэкономленных благодаря налоговым льготам. Речь идет о средствах, которые компании смогут сэкономить благодаря сохранению нулевого НДС для ИТ-компаний. Эта льгота будет закреплена поправками в Налоговый кодекс, объявил вице-премьер Дмитрий Григоренко 23 октября.
До 1 июня 2026 г. IT-компании должны подать заявления о подтверждении аккредитации с приложением заключенных соглашений с вузами и колледжами, сказано в презентации Кучушева. Эти сроки будут прописаны в постановлении правительства, которое сейчас готовится. В течение трех месяцев с момента публикации постановления будет утвержден порядок взаимодействия и отчетов, рассказал замминистра.
«Нововведение о заключении соглашения с вузами для подготовки кадров коснется только крупных аккредитованных IT-компаний, выручка которых превышает 1 млрд руб. в год, с численностью сотрудников не менее 100 человек», – уточнил представитель Минцифры. Требование предъявляется только к компаниям, пользующимся IT-льготами. Заключить соглашение должны те подпадающие под перечисленные критерии компании, которые хотят подтвердить статус аккредитованной, указал собеседник.
Наиболее эффективные формы поддержки и сотрудничества с вузами уже стали «классическими», рассуждает директор по персоналу группы компаний «Корус консалтинг» Дарья Цирулева. В первую очередь речь идет об организации практики для студентов. Важно, чтобы практика не носила формальный характер и проходила «в полях».
Также со стороны IT-компании важно давать доступ обучающемуся к базе данных для исследовательских проектов, участвовать в академических советах и формировать образовательные программы с преподаванием различных дисциплин. Такой подход позволяет сформировать кадры, которые востребованы как на рынке в целом, так и в конкретной IT-компании. Финансовая помощь учебным заведениям может быть эффективна только в том случае, если она целевая: например, если средства выделяются на прикладные проекты, исследования и направления, которые потом будут востребованы, заключила Цирулева.
Компании финансируют создание и оснащение совместных научно-образовательных центров и учебно-прикладных лабораторий современным оборудованием, как это происходит в МГТУ им. Н. Э. Баумана и НИЯУ МИФИ, рассказали «Ведомостям» представители этих вузов. П
Университеты привлекают специалистов-практиков к учебному процессу. Например, ИТМО работает с крупнейшими IT-компаниями страны и IT-«дочками» крупных организаций, например «Яндексом», VK, «Сбером», МТС, Yadro, «Авито», «Самолетом», «Газпром нефтью» и др., перечислила директор по стратегическому развитию университета Дарья Козлова.
🤡32👍8🖕4😁3👎1🫡1