гномпоражение.рф

Subject: CVS: cvs.openbsd.org: ports
From: Antoine Jacoutot <ajacoutot () cvs ! openbsd ! org>
Date: 2025-11-13 8:19:16

Log message:
Bump GNOME to version 49.
Not everything is in yet.

Note that this will probably be the last GNOME version that will be able to run on OpenBSD; it's already heavily patched. GNOME 50 is dropping support for X11 and systemd dependency is becoming a hard one (along with GUdev and other functions we don't support).
See:
https://blogs.gnome.org/adrianvovk/2025/06/10/gnome-systemd-dependencies/

https://marc.info/?l=openbsd-ports-cvs&m=176302122719362

Пользуясь случаем - @whygnomesucks

У некоторых пользователей «Госуслуг» при авторизации пропала возможность пропустить скачивание мессенджера MAX. При входе в аккаунт через мобильную версию браузера сервис требует установить приложение, и избежать этого больше нельзя. На это жалуются интернет-пользователи из разных городов России в соцсетях.

https://www.e1.ru/text/world/2025/12/05/76158102/

Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.

Варианты второго фактора защиты

- с помощью одноразового кода в мессенджере МАХ
- с помощью одноразового кода из специального приложения
- по биометрии
- СМС — только для пользователей десктопной версии Госуслуг

https://digital.gov.ru/official-position/vhod-v-prilozhenie-gosuslugi-mozhno-podtverdit-raznymi-sposobami

Спасибо

Вторым фактором для Госуслуг может быть TOTP

По коду TOTP
- Установите приложение для работы с одноразовым кодом (TOTP): для iOS, Android или HarmonyOS. Одноразовый код будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти на Госуслуги с одноразовым кодом не получится
- В личном кабинете откройте: Профиль → Безопасность → Вход в систему
- Выберите: Вход с подтверждением → Одноразовый код (TOTP) → Продолжить
- Откройте на телефоне приложение для работы с одноразовым кодом
- В приложении отсканируйте QR‑код или введите ключ — появится запись «Gosuslugi» с кодом, который будет периодически обновляться
- Введите на Госуслугах одноразовый код из приложения

https://www.gosuslugi.ru/help/faq/login/101923

Тогда никакой MAX требовать не будет

Cloudflare выложили разбор вчерашнего инцидента

Cloudflare outage on December 5, 2025
https://blog.cloudflare.com/5-december-2025-outage/

Попробую кратко описать чо там у них случилось, если где-то неправильно понял, то поправьте в комментариях

Как и писал CTO (https://xn--r1a.website/tech_b0lt_Genona/5926), они катили изменения для того, что бы закрыть свежую и нашумевшую уязвимость React'а (https://xn--r1a.website/tech_b0lt_Genona/5918, https://xn--r1a.website/tech_b0lt_Genona/5923)

Для этого они провели два действия:

- Они обнаружили что балалайка, котрая тестирует их WAF, не поддерживает нужный размер буфера тела HTTP-запроса, поэтому они её отключили (нужен был 1 MB, а умела только 128 KB)

- Выкатили практически моментально на все сервера изменения. Если я понял правильно, то они так настроили/сделали систему конфигурации после прошлого отвала - https://xn--r1a.website/tech_b0lt_Genona/5885

Как и в прошлый раз, сейчас тоже упоминаются две реализации их прокси - FL1 (старая, я не помню на чём, но там есть Lua) и FL2 (новая на Rust)

FL1 стало плохо после отключения балалайки, которая тестировала WAF и его правила, и начала "пятисотить". Происходило это из-за того, что поломался кусок, который отвечал за правила (Lua часть)

[lua] Failed to run module rulesets callback late_routing: /usr/local/nginx-fl/lua/modules/init.lua:314: attempt to index field 'execute' (a nil value)

И это объясняет почему у части работало всё нормально, а у части нет. Проблем не было у тех чей трафик шёл через FL2

> Customers that have their web assets served by our older FL1 proxy AND had the Cloudflare Managed Ruleset deployed were impacted

> Customers that did not have the configuration above applied were not impacted. Customer traffic served by our China network was also not impacted.

Когда CF увидели, что всё посыпалось, то вообще должна была отработать система "отката". Но что-то пошло не так 🌝

Правила, когда отрабатывают, то выполняются определённые действия (в том числе и к трафику)

> Typical actions are “block”, “log”, or “skip”. Another type of action is “execute”, which is used to trigger evaluation of another ruleset.

Но как выяснилось они никогда не откатывали аварийно правила с типом execute и при откате сломавшего всё нового правила возникла ошибка в логике

if rule_result.action == "execute" then
  rule_result.execute.results = ruleset_results[tonumber(rule_result.execute.results_index)]
end

> This code expects that, if the ruleset has action=”execute”, the “rule_result.execute” object will exist. However, because the rule had been skipped, the rule_result.execute object did not exist, and Lua returned an error due to attempting to look up a value in a nil value.

В FL2 проблемы не существовало такой, потому что, цитирую

> This is a straightforward error in the code, which had existed undetected for many years. This type of code error is prevented by languages with strong type systems.

Как утверждается в посте, что они извлекли уроки от прошлого масштабного падения и начали вносить изменения, но не успели за две недели доделать.

Короче, растпобеда случилась 🗿

Сергей в своём канале Протестировал поделился важной новостью и поднял важную тему про свой инструмент luzer.

Для тех, кто не в курсе, luzer - это инструмент для тестирования Lua-кода методом фаззинга с анализом покрытия. Про него есть отличные материалы:

- Доклад «Добавляем поддержку скриптового языка в AFL и LibFuzzer на примере Lua» с конференции Heisenbug
- Доклад «Фаззинг как основа эффективной разработки на примере LuaJIT» с последнего PHDays и его текстовая версия в виде статьи на Хабре на русском языке или на английском в блоге Сергея

А что же с важным:

- Инструмент luzer добавили в Sydr Fuzz, который разрабатывается ИСП РАН, поэтому все пользователи Crusher получили возможность фаззить и Lua API.
- Стартовала инициатива по добавлению luzer в OSS-Fuzz https://github.com/google/oss-fuzz/issues/13782, полайкайте (и накидайте звёздочек самой репе luzer, а то сам забыл), ну а ребята, приближенные к Google Security Team, возьмите на заметку пожалуйста!

Причём из-за ошибки в одной из программ, использующих Lua, недавно пострадало почти треть траффика Сloudflare, которые оперативно обновили свой WAF под нашумевшую уязвимость CVE-2025-55182 в React. В оригинальном посте команда пишет такие строки (на русском языке можно прочитать здесь или здесь)

This is a straightforward error in the code, which had existed undetected for many years.

И вспоминая моё любимое эссе "How to Prevent the next Heartbleed" действительно интересно, помог бы ли тут фаззинг найти проблему раньше?


P.S. А ещё интересно, кто-то уже попробовал luzer и nmap в качестве таргета…

Минцифры планирует вернуть коллективные антенны для приёма эфирных телеканалов на крыши многоквартирных домов
https://habr.com/ru/news/974466/

> «Коллективных антенн на крышах домов практически не осталось, и мы видим в этом проблему, которую надо решать», — заявила директор департамента развития массовых коммуникаций и международного сотрудничества Минцифры РФ Екатерина Ларина.

> Ларина также отметила, что наличие коллективных антенн становится вопросом безопасности — в случаях ограничений проводного или мобильного интернета, а также для своевременного получения экстренных оповещений, которые транслируются именно на телеканалах.

Предлагаю поставить антенны такие, чтобы интернет не отключался, тогда не надо будет с телевизором разбираться

Добрый день 🌝

Сидите вы и работаете свою обычную работу, а потом в какой-то момент у вас отъёбывает одномоментно все сессии Telegram на всех устройствах, вы пытаетесь войти, а войти не получается, потому что в РФ блочатся СМС и звонки от Telegram.

"Был же уже email введён" скажете вы? Да! И он был привязан.

Что делают всякие "лохи" типа Google или AWS? Они шлют уведомления на почту про то что проиходит что-то подозрительное.

Что делает Телега? Отвязывает привязанную почту, чтобы враги точно не пробрались к аккаунту.
Гению, который это придумал выдайте там премию, пожалуйста.

И в итоге я остался без нихуя и возможности залогиниться.

Через пару дней стало понятно, что это не угон аккаунта (номер телефон светился тот же) и не перевыпуск SIM-ки, потому что моя SIM-карта была жива и прекрасно себя чувствовала (при перевыпуске она бы померла).

Если что, то я не занимаюсь никакой автоматизацией, не насилую API и не пишу ботов. С чего вдруг Телеграм решил, что меня надо выкинуть и отвязать от всего не понятно абсолютно.

Но если кому интересно узнать, почему может теоретически вас выкинуть из всех сессий, то вот
https://tginfo.me/terminated_sessions/

Как вы видите, акк я себе вернул в итоге. Насиловать меня вопросам типа "А как ты это сделал?", пожалуйста, сейчас не надо. Я обязательно расскажу, но потом как-нибудь.

Я понимаю, что на мои советы и призывы всем будет поебать, но всё же. Сначала Телеге

0. Чините поддержку, пожалуйста.

Про поддержку в Телеге я писал несколько раз уже. Её как бы нет.

Я понимаю, что это сложно и дорого, но у Телеги база пользователей уже в ~1 млрд. человек. Дело не в том даже, что есть страны, где Телегу блочат, а в том, что в принципе при проблемах человек остаётся с ними один на один и идёт на хуй.

Чтобы вы понимали на почту не приходит даже уведомления, что обращение в порддежрку принято.

По результатам отправки писем на почты support@telegram.org, sms@telegram.org и recover@telegram.org они выглядят как alias на /dev/null.

И да, в ВК при Дурове поддержка работала сильно лучше, чем сейчас в Телеге. Если что, то я прекрасно понимаю о чём говорю, потому что я с ВК провёл уже почти 20 лет (а в 2026 им 20 лет), хоть я и не веду там никакую активность последние лет 10, наверное. @durov приходил когда-то ко мне/нам модераторам на форум и просил рассказать про его, тогда ещё вообще неизвестный, проект форумчанам. Так что можно сказать, что общался с ним лично, когда это ещё не было мейнстримом (но онлайн 🌝)

1. Нахуя, а главное зачем привязка почты, если её "отвязывать"?! Думаем.

Теперь советы подписчикам

0. Держите не менее двух сессий на разных устройствах

Не смотря на то, что моя ситуация реально оказалась нестандартной, в каком-то смысле, когда меня выкинуло из всех сессий сразу, в обычных случаях это может помочь.

1. Прицепите почту к аккаунту

Не смотря на то, что моя ситуация реально оказалась нестандартной, когда мою почту "отвязало", в обычных случая это может помочь.

2. Создайте аккаунт в WhatsApp на тот же номер, что и в Телеге. Если кто не знал, то Telegram туда тоже присылает код доступа. Никаких привязок отдельно делать не надо.

У меня аккаунта в WhatsApp не было.

3. Сделайте Passkey

У меня не было его по одной простой причине. Анонс массовый был в воскресенье (https://xn--r1a.website/tech_b0lt_Genona/5937), а выкинуло меня в понедельник днём. Я хотел сделать его в понедельник вечером и банально не успел до глюка Телеги это сделать.

Да я понимаю, что это не очень безопасно там и "бла-бла-бла", все мы ждём TOTP, но что есть, то есть.

---

Вроде всё, что хотел сказать на данный момент сказал. Пока что я опять с вами ❤️

https://xn--r1a.website/mus_b0lt_Genona/330

"Хакиров" в Польше задержали

> zabezpieczono specjalistyczny sprzęt hakerski FLIPPER

„Podróżowali” po Europie z detektorem urządzeń szpiegowskich i sprzętem hakerskim
https://srodmiescie.policja.gov.pl/rs/aktualnosci/145521,Podrozowali-po-Europie-z-detektorem-urzadzen-szpiegowskich-i-sprzetem-hakerskim.html

Прочитал отчет The Performance Inequality Gap. Пишут, что медианная мобильная (!) веб-страничка (2.6 MiB) теперь весит больше оригинального Doom (2.48 MiB). Прикинь, твой телефон парсит несколько мегабайт кода, чтобы ты смог посмотреть на три строчки текста и картинку. О — оптимизация.

Также пишут, что пользователи SPA в среднем совершают около 1 навигации. То есть все эти мегабайты джаваскрипта, которые ты качаешь заранее, потому что «лучше день потерять, потом за пять минут долететь», в итоге выливаются в один-два клика И ВСЕ.

Фронтендерам доброе утро: плохо работаете, ребят. Все еще недостаточно медленно, старайтесь, пожалуйста, получше.

Продам планку памяти DDR5. Дорого.

Канифолька

Not Just a Walnut — It's a Secret Camera I Created!
https://www.youtube.com/watch?v=j0rs7ny2t8A

NVIDIA объявила о приобретении SchedMD — ведущего разработчика открытой системы оркестрации Slurm для высокопроизводительных вычислений (HPC) и ИИ. Финансовые условия сделки не разглашаются.

Созданная SchedMD система Slurm обеспечивает планирование и управление большими вычислительными задачами в ЦОД, позволяя уменьшить количество ошибок, ускорить вывод продукции на рынок и снизить затраты. Как сообщает NVIDIA, сделка поможет укрепить экосистему ПО с открытым исходным кодом и стимулировать инновации в области ИИ для исследователей, разработчиков и предприятий.

Компания отметила, что рабочие нагрузки HPC и ИИ включают сложные вычисления с выполнением параллельных задач на кластерах, для чего требуется организация очередей, планирование и распределение вычислительных ресурсов. По мере увеличения размеров и мощности кластеров HPC и ИИ задача эффективного использования ресурсов становится критически важной.

https://servernews.ru/1133960

> NVIDIA купила разработчика Slurm, пообещав не забрасывать open source решение

Верим?

Оригинал

NVIDIA Acquires Open-Source Workload Management Provider SchedMD
https://blogs.nvidia.com/blog/nvidia-acquires-schedmd/