Сергей в своём канале Протестировал поделился важной новостью и поднял важную тему про свой инструмент luzer.

Для тех, кто не в курсе, luzer - это инструмент для тестирования Lua-кода методом фаззинга с анализом покрытия. Про него есть отличные материалы:

- Доклад «Добавляем поддержку скриптового языка в AFL и LibFuzzer на примере Lua» с конференции Heisenbug
- Доклад «Фаззинг как основа эффективной разработки на примере LuaJIT» с последнего PHDays и его текстовая версия в виде статьи на Хабре на русском языке или на английском в блоге Сергея

А что же с важным:

- Инструмент luzer добавили в Sydr Fuzz, который разрабатывается ИСП РАН, поэтому все пользователи Crusher получили возможность фаззить и Lua API.
- Стартовала инициатива по добавлению luzer в OSS-Fuzz https://github.com/google/oss-fuzz/issues/13782, полайкайте (и накидайте звёздочек самой репе luzer, а то сам забыл), ну а ребята, приближенные к Google Security Team, возьмите на заметку пожалуйста!

Причём из-за ошибки в одной из программ, использующих Lua, недавно пострадало почти треть траффика Сloudflare, которые оперативно обновили свой WAF под нашумевшую уязвимость CVE-2025-55182 в React. В оригинальном посте команда пишет такие строки (на русском языке можно прочитать здесь или здесь)

This is a straightforward error in the code, which had existed undetected for many years.

И вспоминая моё любимое эссе "How to Prevent the next Heartbleed" действительно интересно, помог бы ли тут фаззинг найти проблему раньше?


P.S. А ещё интересно, кто-то уже попробовал luzer и nmap в качестве таргета…

Минцифры планирует вернуть коллективные антенны для приёма эфирных телеканалов на крыши многоквартирных домов
https://habr.com/ru/news/974466/

> «Коллективных антенн на крышах домов практически не осталось, и мы видим в этом проблему, которую надо решать», — заявила директор департамента развития массовых коммуникаций и международного сотрудничества Минцифры РФ Екатерина Ларина.

> Ларина также отметила, что наличие коллективных антенн становится вопросом безопасности — в случаях ограничений проводного или мобильного интернета, а также для своевременного получения экстренных оповещений, которые транслируются именно на телеканалах.

Предлагаю поставить антенны такие, чтобы интернет не отключался, тогда не надо будет с телевизором разбираться

Добрый день 🌝

Сидите вы и работаете свою обычную работу, а потом в какой-то момент у вас отъёбывает одномоментно все сессии Telegram на всех устройствах, вы пытаетесь войти, а войти не получается, потому что в РФ блочатся СМС и звонки от Telegram.

"Был же уже email введён" скажете вы? Да! И он был привязан.

Что делают всякие "лохи" типа Google или AWS? Они шлют уведомления на почту про то что проиходит что-то подозрительное.

Что делает Телега? Отвязывает привязанную почту, чтобы враги точно не пробрались к аккаунту.
Гению, который это придумал выдайте там премию, пожалуйста.

И в итоге я остался без нихуя и возможности залогиниться.

Через пару дней стало понятно, что это не угон аккаунта (номер телефон светился тот же) и не перевыпуск SIM-ки, потому что моя SIM-карта была жива и прекрасно себя чувствовала (при перевыпуске она бы померла).

Если что, то я не занимаюсь никакой автоматизацией, не насилую API и не пишу ботов. С чего вдруг Телеграм решил, что меня надо выкинуть и отвязать от всего не понятно абсолютно.

Но если кому интересно узнать, почему может теоретически вас выкинуть из всех сессий, то вот
https://tginfo.me/terminated_sessions/

Как вы видите, акк я себе вернул в итоге. Насиловать меня вопросам типа "А как ты это сделал?", пожалуйста, сейчас не надо. Я обязательно расскажу, но потом как-нибудь.

Я понимаю, что на мои советы и призывы всем будет поебать, но всё же. Сначала Телеге

0. Чините поддержку, пожалуйста.

Про поддержку в Телеге я писал несколько раз уже. Её как бы нет.

Я понимаю, что это сложно и дорого, но у Телеги база пользователей уже в ~1 млрд. человек. Дело не в том даже, что есть страны, где Телегу блочат, а в том, что в принципе при проблемах человек остаётся с ними один на один и идёт на хуй.

Чтобы вы понимали на почту не приходит даже уведомления, что обращение в порддежрку принято.

По результатам отправки писем на почты support@telegram.org, sms@telegram.org и recover@telegram.org они выглядят как alias на /dev/null.

И да, в ВК при Дурове поддержка работала сильно лучше, чем сейчас в Телеге. Если что, то я прекрасно понимаю о чём говорю, потому что я с ВК провёл уже почти 20 лет (а в 2026 им 20 лет), хоть я и не веду там никакую активность последние лет 10, наверное. @durov приходил когда-то ко мне/нам модераторам на форум и просил рассказать про его, тогда ещё вообще неизвестный, проект форумчанам. Так что можно сказать, что общался с ним лично, когда это ещё не было мейнстримом (но онлайн 🌝)

1. Нахуя, а главное зачем привязка почты, если её "отвязывать"?! Думаем.

Теперь советы подписчикам

0. Держите не менее двух сессий на разных устройствах

Не смотря на то, что моя ситуация реально оказалась нестандартной, в каком-то смысле, когда меня выкинуло из всех сессий сразу, в обычных случаях это может помочь.

1. Прицепите почту к аккаунту

Не смотря на то, что моя ситуация реально оказалась нестандартной, когда мою почту "отвязало", в обычных случая это может помочь.

2. Создайте аккаунт в WhatsApp на тот же номер, что и в Телеге. Если кто не знал, то Telegram туда тоже присылает код доступа. Никаких привязок отдельно делать не надо.

У меня аккаунта в WhatsApp не было.

3. Сделайте Passkey

У меня не было его по одной простой причине. Анонс массовый был в воскресенье (https://xn--r1a.website/tech_b0lt_Genona/5937), а выкинуло меня в понедельник днём. Я хотел сделать его в понедельник вечером и банально не успел до глюка Телеги это сделать.

Да я понимаю, что это не очень безопасно там и "бла-бла-бла", все мы ждём TOTP, но что есть, то есть.

---

Вроде всё, что хотел сказать на данный момент сказал. Пока что я опять с вами ❤️

https://xn--r1a.website/mus_b0lt_Genona/330

"Хакиров" в Польше задержали

> zabezpieczono specjalistyczny sprzęt hakerski FLIPPER

„Podróżowali” po Europie z detektorem urządzeń szpiegowskich i sprzętem hakerskim
https://srodmiescie.policja.gov.pl/rs/aktualnosci/145521,Podrozowali-po-Europie-z-detektorem-urzadzen-szpiegowskich-i-sprzetem-hakerskim.html

Прочитал отчет The Performance Inequality Gap. Пишут, что медианная мобильная (!) веб-страничка (2.6 MiB) теперь весит больше оригинального Doom (2.48 MiB). Прикинь, твой телефон парсит несколько мегабайт кода, чтобы ты смог посмотреть на три строчки текста и картинку. О — оптимизация.

Также пишут, что пользователи SPA в среднем совершают около 1 навигации. То есть все эти мегабайты джаваскрипта, которые ты качаешь заранее, потому что «лучше день потерять, потом за пять минут долететь», в итоге выливаются в один-два клика И ВСЕ.

Фронтендерам доброе утро: плохо работаете, ребят. Все еще недостаточно медленно, старайтесь, пожалуйста, получше.

Not Just a Walnut — It's a Secret Camera I Created!
https://www.youtube.com/watch?v=j0rs7ny2t8A

NVIDIA объявила о приобретении SchedMD — ведущего разработчика открытой системы оркестрации Slurm для высокопроизводительных вычислений (HPC) и ИИ. Финансовые условия сделки не разглашаются.

Созданная SchedMD система Slurm обеспечивает планирование и управление большими вычислительными задачами в ЦОД, позволяя уменьшить количество ошибок, ускорить вывод продукции на рынок и снизить затраты. Как сообщает NVIDIA, сделка поможет укрепить экосистему ПО с открытым исходным кодом и стимулировать инновации в области ИИ для исследователей, разработчиков и предприятий.

Компания отметила, что рабочие нагрузки HPC и ИИ включают сложные вычисления с выполнением параллельных задач на кластерах, для чего требуется организация очередей, планирование и распределение вычислительных ресурсов. По мере увеличения размеров и мощности кластеров HPC и ИИ задача эффективного использования ресурсов становится критически важной.

https://servernews.ru/1133960

> NVIDIA купила разработчика Slurm, пообещав не забрасывать open source решение

Верим?

Оригинал

NVIDIA Acquires Open-Source Workload Management Provider SchedMD
https://blogs.nvidia.com/blog/nvidia-acquires-schedmd/

🫡

IBM поглощает компанию Confluent, развивающую Apache Kafka
https://www.opennet.ru/opennews/art.shtml?num=64398

Корпорация IBM достигла соглашения о покупке компании Confluent, развивающей решения для обработки потоковых данных на основе открытой платформы Apache Kafka. Компания Confluent была основана в 2014 году создателями платформы Apache Kafka и после выхода на IPO в 2021 году достигла капитализации в 10 миллиардов долларов. Сумма сделки с IBM составит 11 миллиардов долларов ($31 за акцию). Примечательно, что платформа Apache Kafka изначально была создана компанией LinkedIn как внутренний продукт, который в 2011 году был открыт и передан Фонду Apache. В 2016 году сервис LinkedIn был куплен Microsoft за 26 миллиардов долларов.

После завершения сделки Confluent продолжит работу в форме отдельного подразделения и сохранит свой бренд. Совместно с IBM планируется создать платформу обработки данных, оптимизированную для развёртывания AI-решений, позволяющую работать с потоковыми данными в реальном времени и упрощающую доступ к данным в облаках и микросервисах. Платформа обеспечит интеграцию приложений, платформ аналитики, AI‑агентов, систем хранения и обработки данных для повышения функциональности и устойчивости в гибридных облачных окружениях.

Оригиналы

IBM to Acquire Confluent
https://www.confluent.io/blog/ibm-to-acquire-confluent/

IBM to Acquire Confluent to Create Smart Data Platform for Enterprise Generative AI
https://newsroom.ibm.com/2025-12-08-ibm-to-acquire-confluent-to-create-smart-data-platform-for-enterprise-generative-ai

Но есть и хорошие новости

Проект GNOME запретил использование AI для генерации дополнений к GNOME Shell
https://www.opennet.ru/opennews/art.shtml?num=64419

В правила разработки дополнений к GNOME Shell добавлен новый пункт, запрещающий публикацию дополнений, сгенерированных при помощи AI-инструментов. Проектом теперь не будут приниматься дополнения, включающие признаки использования AI для генерации кода, такие как бессмысленные вставки в коде, разнобой в стиле, надуманное использование API и наличие комментариев с подсказами для AI.

Причиной введения новых требований стали участившиеся за последние два месяца случаи публикации дополнений с необработанным мусорным кодом, разбор которого отнимает много времени у людей, занимающихся рецензированием дополнений. В ряде случаев попытки уточнить некоторые вопросы, возникшие в процессе рецензирования подобных дополнений, привели к отправке их авторами ответов, также сгенерированных в AI.

Пример избыточного кода, генерируемого AI, который усложняет рецензирования:

destroy() {
    try {
        if (typeof super.destroy === 'function') {
            super.destroy();
        }
    } catch (e) {
        console.warn(`${e.message}`);
    }
}

На деле данный код можно свести к:

   destroy() {
       super.destroy();
   }

Оригинал

Extensions must not be AI-generated
https://gjs.guide/extensions/review-guidelines/review-guidelines.html#extensions-must-not-be-ai-generated

https://thisweek.gnome.org/posts/2025/12/twig-228/#shell-extensions

В МАХ зарегистрировались 75 миллионов пользователей
https://vk.company/ru/press/releases/12187/

Похоже на правду

Рубрика "трудо выебудни open source разработчика".

С технической точки зрения разрабатывать PostgreSQL не сложно. Это просто большая программа на Си. Используемые алгоритмы хорошо описаны в литературе, и даже есть видео-лекции на YouTube. Субъективно, главная сложность носит эмоциональный характер. Вот например протолкнуть относитльно простой рефакторинг заняло у меня полгода:

https://git.postgresql.org/gitweb/?p=postgresql.git;a=commit;h=9303d62c6

И еще где-то три месяца ушло на тот что был перед ним:

https://git.postgresql.org/gitweb/?p=postgresql.git;a=commit;h=b45242fd3

Ну почему тааак медленно... Характерно еще, что подобные изменения не попадают в release notes, потому что это не видимые с перспективы пользователей изменения.

Предупреждаю на случай, если кто-то рассматривает какой-то такой карьерный путь. Будьте морально готовы к тому что вас ждет 😅

Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust
https://www.opennet.ru/opennews/art.shtml?num=64439

В вошедшем в состав ядра Linux 6.18 механизме межпроцессного взаимодействия Binder, написанном на языке Rust, устранена уязвимость (CVE-2025-68260). Проблема вызвана состоянием гонки при выполнении операций в блоках unsafe, напрямую работающих с указателями на предыдущий и следующий элементы списка. При успешной эксплуатации уязвимость в Binder ограничивается аварийным завершением и не приводит к повреждению памяти.

Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, написал, что Rust не является панацеей, позволяющей избавиться от всех проблем безопасности, но данный язык действительно помогает защититься от определённого класса уязвимостей. Примечательно, что помимо уязвимости в Binder вчера были опубликованы сведения о 159 уязвимостях в различных компонентах ядра Linux, написанных на языке Си.

Про unsafe в целом и сколько его в Rust (прошлогодняя стата)
https://xn--r1a.website/tech_b0lt_Genona/4838

Базу уникальных номеров мобильных устройств планируют создать в РФ в 2026 году
https://www.interfax.ru/digital/1063713

"Создание базы IMEI. Предлагаем ввести учёт номеров IMEI. Напомню, что у нас, помимо сим-карты, каждый телефон имеет свой уникальный номер", - сказал Угнивенко в среду на заседании Общественного совета при Минцифры, говоря о планах на 2026 год.

"В случае, если мы создадим эту базу и привяжем их к конкретным номерам, мы точно можем тогда идентифицировать, что сим-карта не находится в БПЛА, и тогда, будем надеяться, что, может быть, слегка отпустит этот режим блокировок. Потому что это уже более точечная привязка", - отметил он.

Спасибо

Короче, ребята. В Питере в январе будет проходить вторая сессия конференции/перформанса/крутой тусовки с загадочным названием «День независимости электроприборов». В первой части, проходившей в Москве, я принимал некоторое участие, надеюсь, смогу вырваться в Питер и подготовить нечто более существенное, чем импровизация на басу и вращение в свете.

В общем, что это такое — собираются конструкторы и изготовители самых разных музыкальных инструментов — электронных, электромеханических, цифровых и аналоговых, тусуются вместе, делают доклады о своих находках и изобретениях, рассказывают о разных интересных теоретических и практических нюансах этого дела, играют музыку, болтают и веселятся. Мероприятие очень душевное, открытое, костяк сообщества (да и сообщество в целом) составляют открытые, отзывчивые и любопытные люди, с которыми можно запросто познакомиться и болтать о том, о сём.

Можно подать заявку и выступить с чем-то музыкальным, или сделать доклад, или представить свои самоделки, на этом сайте: http://ediday.ru. Как-то так, в общем. )

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://xn--r1a.website/tech_b0lt_Genona/4983

Слово автору @jvk77

---

Всем привет!

Я зарелизил на публику Gateryx - это наш собственный WAF/веб-прокси на расте, делался для embedded поэтому выглядит быстрым и с небольшим memory footprint.

Текущую версию можно в принципе уже пользовать всем (мы сами сидим на пререлизах с лета).

Почему проект вообще появился? Причина банальна - надоело на каждый сетап разворачивать связки traefik/nginx/authentik (хотя можно подключать и внешний IDP). Ну и я внезапно полюбил пасскеи и OIDC token flows, а они пока там не очень. Вторая причина - это мой личный проект по экспериментам с прикладной криптографией.

Есть пакеты для Debian/Ubuntu и докеры для aarch64 и legacy-x86. cargo audit проходит, к чистым дампам воркеров приучен.

Репозиторий - https://github.com/eva-ics/gateryx

Мой канал - @psauxww

---