🫡

Андреас Тилле (Andreas Tille), лидер проекта Debian, опубликовал отчёт, в котором упомянул о проблемах в команде Data Protection Team - три представителя, работавших в данной команде, одновременно сложили с себя полномочия. В качестве причины ухода упоминается отсутствие возможности и энтузиазма продолжать работу. Команда осталась без участников и проект срочно ищет добровольцев их замещения.

Команда Data Protection Team была создана в 2018 году для координации соблюдения европейского законодательства в области защиты данных (GDPR), реагирования на запросы о хранимых проектом данных, консультирования разработчиков Debian по вопросам обработки персональных данных и улучшения политики конфиденциальности. Желающие присоединиться участники должны иметь практические знания в области защиты данных и понимание требований GDPR.

Участники команды Debian Data Protection Team сложили полномочия
https://www.opennet.ru/opennews/art.shtml?num=64563

> проект срочно ищет добровольцев их замещения

"Очередь за забором"

Серия постов про то как наше железо (и не только) привязывают всё больше к облакам, подпискам и прочей шляпе

https://xn--r1a.website/tech_b0lt_Genona/5163
https://xn--r1a.website/tech_b0lt_Genona/5166
https://xn--r1a.website/tech_b0lt_Genona/5195
https://xn--r1a.website/tech_b0lt_Genona/5197
https://xn--r1a.website/tech_b0lt_Genona/5657
https://xn--r1a.website/tech_b0lt_Genona/5810
https://xn--r1a.website/tech_b0lt_Genona/5828

Logitech забыла продлить сертификат разработчика — и миллионы мышек на Mac превратились в кирпичи
https://habr.com/ru/articles/983388/

> 6 января в 22:39 по мск у Logitech истёк Apple Developer Certificate. Одномоментно по всему миру у пользователей Mac перестало работать приложение Options+ — а вместе с ним пропали все кастомные настройки мышек MX Master и клавиатур.

> ПК-бояре сейчас напишут: «Не знаю, у меня всё работает». Но macOS жёстко относится к истёкшим сертификатам: без валидного Developer Certificate приложение не запустится, это правило безопасности системы. Но Apple тут ни при чём: как можно ЗАБЫТЬ продлить сертификат для такого массового продукта? Ведь Logitech контролирует примерно 21% глобального рынка компьютерных мышек, на Mac у них миллионоы пользователей.

> Да, старые модели мышек работают без Options+, но новые линейки MX Master 3S и MX Master 4 для настройки и работы своей широкой функциональности требуют обязательной установки этого приложения. Игровое приложение G HUB тоже перестало работать на Mac.

> Временные решения нашлись быстро: можно откатить системную дату Mac на несколько дней назад (но это ломает SSL-соединения и iCloud), или поставить старую версию 1.60.495862 через Homebrew

> Logitech пообещала «скоро» выпустить фикс. Но проблема продолжается уже более 12 часов. UPD: спустя 1,5 часа после этой публикации по ссылке появился патч — его нужно скачать и установить, чтобы вернуть полную функциональность.

> Главная проблема — сама архитектура современного софта, где для настройки и поддержки корректной работы железа требуется внешняя валидация.

Дурка

В конце прошлого года нашли считавшуюся утерянной магнитную ленту с UNIXv4

UNIX V4 tape from University of Utah (raw)
https://archive.org/details/utah_unix_v4_raw

Так как squoze.net лежит похоже, то вот ссылка на Web Archive
UNIX Fourth Edition
https://web.archive.org/web/20251227091354/https://squoze.net/UNIX/v4/README

An initial analysis of the discovered Unix V4 tape
https://www.spinellis.gr/blog/20251223/

Эта ОС была сделана для PDP-11/45 в 1973 году
https://gunkies.org/wiki/PDP-11/45

Эмулятор
Authentic Computing Experience from 1973
https://unixv4.dev/

Были выложены сырцы и я их пошёл посмотреть (естественно, что там всё на С и ассемблере)
https://github.com/Equilateral-AI/UnixV4-Resurrection

+-----------------+-------+---------------+
|      Type       | Files | Lines of Code |
+-----------------+-------+---------------+
| C Source        | 122+  |        27,429 |
| PDP-11 Assembly | 207+  |        33,538 |
| Header Files    | 13    |           418 |
| Total           | 342+  |        61,385 |
+-----------------+-------+---------------+

И код, конечно, вообще не тот к которому мы сейчас привыкли. Просто сравните читаемость кода ls (комментариев в UNIXv4 везде приблизительно 0)

https://github.com/Equilateral-AI/UnixV4-Resurrection/blob/main/usr/source/s1/ls.c
https://github.com/coreutils/coreutils/blob/master/src/ls.c

И неудивительно, что там нашёлся практически сразу баг.

Нашли переполнение буфера в утилите su
[TUHS] Buffer overflow found/fixed in v4 tape ;)
https://www.tuhs.org/pipermail/tuhs/2026-January/032966.html

Fixing a Buffer Overflow in UNIX v4 Like It’s 1973
https://sigma-star.at/blog/2025/12/unix-v4-buffer-overflow/

Вы просто посмотрите на этот кусок кода 🌝

  if(getpw(0, pwbuf))
    goto badpw;
  (&fin)[1] = 0;
  p = pwbuf;
  while(*p != ':')
    if(*p++ == '\0')
      goto badpw;
  if(*++p == ':')
    goto ok;
  gtty(0, ttybuf);
  ttybuf[2] =& ~010;
  stty(0, ttybuf);
  printf("password: ");
  q = password;
  while((*q = getchar()) != '\n')
    if(*q++ == '\0')
      return;
  *q = '\0';
  ttybuf[2] =| 010;
  stty(0, ttybuf);
  printf("\n");
  q = crypt(password);
  while(*q++ == *p++);
  if(*--q == '\0' && *--p == ':')
    goto ok;
  goto error;

В любом случае это прекрасная новость, люблю такое.

Про "балканизацию" интернета я говорю ~15 лет уже.

Прости нас, Тим! Мы всё проебали.

Cloudflare оштрафовали в Италии на 14.2 млн евро за отказ блокировки пиратских сайтов в DNS-сервисе 1.1.1.1
https://www.opennet.ru/opennews/art.shtml?num=64586

Итальянское управление по надзору в сфере связи (AGCOM) оштрафовало компанию Cloudflare на 14.2 млн евро за нарушение требований в отношении блокирования пиратского контента в публичном DNS-сервисе 1.1.1.1. Выставленный Cloudflare штраф стал крупнейшим взысканием за не выполнение анипиратского законодательства Италии, так как размер штрафа начисляется от общей выручки компании.

В феврале 2025 года AGCOM выдал компании Cloudflare предписание о прекращении DNS-резолвинга доменов и IP-адресов, через которые распространяется контент, нарушающий авторские права. Компания Cloudflare отказалась реализовать в DNS-сервисе 1.1.1.1 блокировку по предоставленному списку, назвав такую блокировку неоправданной и несоразмерной, а также указав на техническую невозможность реализации фильтров в сервисе 1.1.1.1, обрабатывающем 200 миллиардов запросов в день, без негативного влияния на производительность. В сервисе 1.1.1.1 изначально заявлено отсутствие какой-либо фильтрации, а для блокировки вредоносных ресурсов и сайтов только для взрослых предоставляются отдельные DNS-резоверы 1.1.1.2 и 1.1.1.3.

После отказа в AGCOM было проведено разбирательство, которое пришло к выводу, что компания Cloudflare открыто нарушила действующие в Италии правовые нормы, обязывающие провайдеров DNS и VPN блокировать пиратские сайты. В AGCOM сочли названную причину недостаточной и не согласились с доводом, что введение фильтров приведёт к снижению качества сервиса, так как компания Cloudflare не всегда является нейтральным посредником и известна своими сложными механизмами управления трафиком. По данным AGCOM у Cloudflare есть необходимый опыт и ресурсы для внедрения требуемой блокировки.

До этого, компания Cloudflare выступала с критикой действующей в Италии с 2024 года инициативы "Piracy Shield", в ходе которой под блокировку вместе с пиратскими сайтами часто попадали и легитимные ресурсы, пользующиеся теми же платформами хостинга и сетями доставки контента. Недовольство также связано с отсутствием прозрачности при наполнении списков блокировки "Piracy Shield", которые включают около 65 тысяч доменных имён и 14 тысяч IP-адресов.

Мэтью Принс (Matthew Prince), руководитель и сооснователь Cloudflare, также указал на порочность выдвигаемых AGCOM требований, предписывающих осуществлять блокировку в течение 30 минут после уведомления. За такой короткий промежуток времени невозможно полноценно верифицировать новые записи в списке блокировки, что не исключает возникновение ложных блокировок и создаёт риски превращения 1.1.1.1 в сервис для цензурирования ресурсов, неугодных европейским издателям контента, и навязывания своих условий о том, что допустимо, а что нет в интернете. Действия AGCOM также критикуются за отсутствие судебного надзора, прозрачности, формализованной процедуры и инструментов для подачи апелляций.

Про статический анализатор конфигов Nginx от Яндекс (https://github.com/yandex/gixy) я пару раз упоминал у себя на канале, но уже давненько

2019
https://xn--r1a.website/tech_b0lt_Genona/890

2021
https://xn--r1a.website/tech_b0lt_Genona/2529

Это хороший инструмент, но он несколько лет уже не развивается.

Есть форк, который развивается и поддерживается
https://github.com/dvershinin/gixy
https://pypi.org/project/gixy-ng/

Но есть ещё один форк
https://github.com/MegaManSec/Gixy-Next

И мотивация его появления интересна

> After some time, the maintainer of gixy-ng began to commit AI-generated changes to the codebase which introduced obvious regressions, broke critical behavior of the tool (which anybody using the tool would have picked up), added random AI-tooling artifacts, and introduced code which simply did not do what it was supposed to do. Most importantly, the maintainer also added marketing for their business to all documentation, all output, and all source code of gixy-ng.

Вот два поста в блоге автора Gixy-Next по этому поводу

Gixy-Next: an overview of a Gixy fork with updated, improved, and new checks
https://joshua.hu/gixy-ng-new-version-gixy-updated-checks

From gixy-ng to Gixy-Next: rescuing Gixy from AI slop
https://joshua.hu/gixy-ng-ai-slop-gixy-next-maintained

Gixy-Next поддерживает следующие проверки

- [add_header_content_type] Setting Content-Type via add_header
- [add_header_multiline] Multiline response headers
- [add_header_redefinition] Redefining of response headers by "add_header" directive
- [alias_traversal] Path traversal via misconfigured alias
- [allow_without_deny] Allow specified without deny
- [default_server_flag] Missing default_server flag
- [error_log_off] error_log set to off
- [hash_without_default] Missing default in hash blocks
- [host_spoofing] Request's Host header forgery
- [http_splitting] HTTP Response Splitting
- [if_is_evil] If is evil when used in location context
- [invalid_regex] Invalid regex capture groups
- [low_keepalive_requests] Low keepalive_requests
- [merge_slashes_on] Enabling merge_slashes
- [missing_worker_processes] Missing worker_processes
- [origins] Problems with referer/origin header validation
- [proxy_buffering_off] Disabling proxy_buffering
- [proxy_pass_normalized] proxy_pass path normalization issues
- [regex_redos] Regular expression denial of service (ReDoS)
- [resolver_external] Using external DNS nameservers
- [return_bypasses_allow_deny] Return directive bypasses allow/deny restrictions
- [ssrf] Server Side Request Forgery
- [stale_dns_cache] Outdated/stale cached DNS records used in proxy_pass
- [try_files_is_evil_too] try_files directive is evil without open_file_cache
- [unanchored_regex] Unanchored regular expressions
- [valid_referers] none in valid_referers
- [version_disclosure] Using insecure values for server_tokens
- [worker_rlimit_nofile_vs_connections] worker_rlimit_nofile must be at least twice worker_connections

Как и много лет назад я рекомендую к использованию такие инструменты.

Если вы переживаете, что как-то не так катите релизы, то не переживайте, а просто почитайте пост от NodeJS про security обновление от декабря 2025

https://nodejs.org/en/blog/vulnerability/december-2025-security-releases

UPD страницу обновили, поэтому вот ссылка на WebArchive
http://web.archive.org/web/20260109134345/https://nodejs.org/en/blog/vulnerability/december-2025-security-releases

У нас них есть 3 high issue, которые должны были закрыть 15 декабря

The Node.js project will release new versions of the 25.x, 24.x, 22.x, 20.x releases lines on or shortly after, Monday, December 15, 2025 in order to address:

3 high severity issues.
1 low severity issue.
1 medium severity issue.

15 декабря выходит обновление поста

The team is still working on a particularly challenging patch, for this reason the release is being postponed to Thursday, December 18th or shortly after.

17 декабря обновления NodeJS не вышло, но вышло обновление поста "всем удачи мы отдыхать"

(Update 17-Dec-2025) Security Release target January 7th

We have decided to delay the release further to Wednesday, January 7th, 2026. Many of the downstream projects and users are on holiday break at the end of the year, and the security release will disclose the vulnerabilities being fixed as soon as the patches are available.

Вышло ли обновление 7 января, как нам говорили? Нет 🌝

Our team decided to postpone the release to Thursday, January 8th, 2026, due to complications in the Node.js testing CI.

8 января тоже ничего не появилось, теперь ждём 13 января

(Update 08-Jan-2026) Security Release postponed to January 13th

Our team has decided to postpone the release to Tuesday, January 13th, 2026. This additional time will allow us to properly test all backports and re-run CITGM to ensure the highest quality for our users. Additionally, releasing on Tuesday rather than Friday helps ensure that security updates are available during regular business hours across all time zones, particularly for our users in the Asia-Pacific region.

Я ажно пасту за 300 родил по мотивам поста

У нас было 3 high severity issues, 1 medium severity issue, 1 low severity issue и большое желание их закрыть 15 декабря 2025 года. Не то что бы нам необходимо было скипнуть выпуск этого патча. Но если начал скипать, становится трудно остановиться. То что вызывало у меня опасение - это отпуска. Нет ничего более беспомощного, безответственного и испорченного, чем отпуска сотрудников. Я знал, что рано или поздно мы перейдем и на эту дрянь.

Спасибо подписчику за наводку.

Роскомнадзор выявил у 33 операторов нарушения правил установки ТСПУ
https://rkn.gov.ru/press/news/news74975.htm

Протоколы составляются в отношении операторов, нарушающих требования по пропуску интернет-трафика через технические средства противодействия угрозам (ТСПУ).

За нарушения предусмотрены штрафы: для сотрудников – на сумму от 30 до 50 тыс. рублей, для индивидуальных предпринимателей – от 50 до 100 тыс. рублей, для компании – от 500 тыс. до 1 млн рублей. При повторном нарушении штрафы для юрлиц возрастают до 3–5 млн рублей.

За повторный пропуск трафика в обход ТСПУ должностным лицам и предпринимателям грозит уголовная ответственность по статье 274.2 УК РФ до трех лет лишения свободы.

Спасибо

Надо ещё запретить стримерам уезжать, что бы они не жаловались на безопасный интернет, а делали его лучше.

Помните как Python Software Foundation отказалась от гранта в полтора миллиона долларов?

https://xn--r1a.website/tech_b0lt_Genona/5821

В итоге им подсобил Anthropic, который выделил те же полтора ляма

Anthropic invests $1.5 million in the Python Software Foundation and open source security
https://pyfound.blogspot.com/2025/12/anthropic-invests-in-python.html

Использовать их будут для CPython, сесурити и инфраструктуры

> This investment will enable the PSF to make crucial security advances to CPython and the Python Package Index (PyPI) benefiting all users, and it will also sustain the foundation’s core work supporting the Python language, ecosystem, and global community.

Из интересного, что хотят проверять проактивную защиту, т.е. сначала проверять пакеты, а только потом делать их публичными

> Planned projects include creating new tools for automated proactive review of all packages uploaded to PyPI, improving on the current process of reactive-only review. We intend to create a new dataset of known malware that will allow us to design these novel tools, relying on capability analysis. One of the advantages of this project is that we expect the outputs we develop to be transferable to all open source package repositories.

А ещё собрали 500 тыщ через донаты!

!!!!!! YOU DID IT- you helped us raise over ✨$500k✨ to support #PythonForEveryone 🥹🤯 We are astonished and deeply committed to making every dollar count.

https://fosstodon.org/@ThePSF/115854323204938524

tl;dr

Касательно поста на форуме про утечку MAX'а и, соответственно, новостей про этот пост. Никакой утечки в MAX не было.

Инструментарий для удаления избыточной функциональности из Chrome, Edge и Firefox
https://www.opennet.ru/opennews/art.shtml?num=64609

Представлен проект Just the Browser, подготовивший инструментарий для проведения чистки браузеров от излишней функциональности, напрямую не связанной с навигацией в Web. Проект предоставляет скрипты для изменения конфигурации Google Chrome, Microsoft Edge и Mozilla Firefox, и отключения в них сопутствующих возможностей, часто раздражающих пользователей, таких как работа с AI-сервисами, интеграция со сторонними продуктами, отправка телеметрии и показ рекомендованного контента на странице открытия новой вкладки. Код инструментария написан на Shell и распространяется под лицензией MIT.

Заявлено об удалении инструментарием следующих возможностей:

- Функциональность, связанная с генеративными AI-моделями и взаимодействия с AI-сервисами (как локальными, так и облачными), например, интеграция Copilot в Edge и использование AI для рекомендации группировки вкладок в Firefox.
Инструменты для шопинга, такие как отслеживание цен в интернет-магазинах и получение купонов.

- Показ стороннего или спонсируемого содержимого, например, рекламные рекомендации сайтов в адресной строке и показ статей при открытии новой вкладки.

- Типовые напоминания, такие как всплывающие окна с предложением изменить выбор браузера по умолчанию.
Запросы, показываемые при первом запуске, такие как экран приветствия первого запуска и предложения импортировать данные из других браузеров.

- Сбор и отправка телеметрии.

- Опции автозапуска, позволяющие автоматически открывать браузер после загрузки операционной системы.

Оригинал
Just the Browser
https://justthebrowser.com/

https://github.com/corbindavenport/just-the-browser