Помните как Python Software Foundation отказалась от гранта в полтора миллиона долларов?

https://xn--r1a.website/tech_b0lt_Genona/5821

В итоге им подсобил Anthropic, который выделил те же полтора ляма

Anthropic invests $1.5 million in the Python Software Foundation and open source security
https://pyfound.blogspot.com/2025/12/anthropic-invests-in-python.html

Использовать их будут для CPython, сесурити и инфраструктуры

> This investment will enable the PSF to make crucial security advances to CPython and the Python Package Index (PyPI) benefiting all users, and it will also sustain the foundation’s core work supporting the Python language, ecosystem, and global community.

Из интересного, что хотят проверять проактивную защиту, т.е. сначала проверять пакеты, а только потом делать их публичными

> Planned projects include creating new tools for automated proactive review of all packages uploaded to PyPI, improving on the current process of reactive-only review. We intend to create a new dataset of known malware that will allow us to design these novel tools, relying on capability analysis. One of the advantages of this project is that we expect the outputs we develop to be transferable to all open source package repositories.

А ещё собрали 500 тыщ через донаты!

!!!!!! YOU DID IT- you helped us raise over ✨$500k✨ to support #PythonForEveryone 🥹🤯 We are astonished and deeply committed to making every dollar count.

https://fosstodon.org/@ThePSF/115854323204938524

tl;dr

Касательно поста на форуме про утечку MAX'а и, соответственно, новостей про этот пост. Никакой утечки в MAX не было.

Инструментарий для удаления избыточной функциональности из Chrome, Edge и Firefox
https://www.opennet.ru/opennews/art.shtml?num=64609

Представлен проект Just the Browser, подготовивший инструментарий для проведения чистки браузеров от излишней функциональности, напрямую не связанной с навигацией в Web. Проект предоставляет скрипты для изменения конфигурации Google Chrome, Microsoft Edge и Mozilla Firefox, и отключения в них сопутствующих возможностей, часто раздражающих пользователей, таких как работа с AI-сервисами, интеграция со сторонними продуктами, отправка телеметрии и показ рекомендованного контента на странице открытия новой вкладки. Код инструментария написан на Shell и распространяется под лицензией MIT.

Заявлено об удалении инструментарием следующих возможностей:

- Функциональность, связанная с генеративными AI-моделями и взаимодействия с AI-сервисами (как локальными, так и облачными), например, интеграция Copilot в Edge и использование AI для рекомендации группировки вкладок в Firefox.
Инструменты для шопинга, такие как отслеживание цен в интернет-магазинах и получение купонов.

- Показ стороннего или спонсируемого содержимого, например, рекламные рекомендации сайтов в адресной строке и показ статей при открытии новой вкладки.

- Типовые напоминания, такие как всплывающие окна с предложением изменить выбор браузера по умолчанию.
Запросы, показываемые при первом запуске, такие как экран приветствия первого запуска и предложения импортировать данные из других браузеров.

- Сбор и отправка телеметрии.

- Опции автозапуска, позволяющие автоматически открывать браузер после загрузки операционной системы.

Оригинал
Just the Browser
https://justthebrowser.com/

https://github.com/corbindavenport/just-the-browser

Те кто меня знают, то так же знают что я люблю выступать на конференциях, митапах и участвовать в разных мероприятиях вне Москвы и Санкт-Петербурга.

Собственно так я посетил за последнее время Нижний Новгород, Ульяновск, Пермь и Орёл.

А вот в Екатеринбурге не был ни разу. Ещё в 2024-2025 я хотел податься на DUMР (https://dump-ekb.ru/), который и в Екб проводится, но всё никак не складывалось.

В этом году они завезли новый трек AppSec и я решил, что это знак!

В общем подался со своим докладом (и вы тоже подавайтесь 🌝), поэтому, если его примут, то можно будет пересечься в апреле в Екатеринбурге.

4:19

Гражданам не стоит беспокоиться за судьбу мессенджера Telegram в России – полная блокировка платформы не ожидается. Об этом сообщил зампред комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов.

"Считаю, что Telegram достаточно эффективно взаимодействует с правительствами большинства стран мира, в том числе и с Россией. Поэтому за судьбу Telegram, я думаю, что можно не беспокоиться", – приводит ТАСС слова парламентария.

https://www.m24.ru/news/politika/16012026/864202

4:20

Роскомнадзор частично блокирует Telegram, об этом «Москва 24» сообщил источник на телеком-рынке. В новом году пользователи жалуются на медленную загрузку видео в мессенджер.

Да, это новые ограничения со стороны РКН, — уточнил источник

https://xn--r1a.website/infomoscow24/104004

Спасибо

Антон (@itpgchannel) в конце прошлого года героически решил пересобирать Java с целью бутстрапа. И в целом ему это удалось

https://xn--r1a.website/itpgchannel/3692
https://xn--r1a.website/itpgchannel/3704

но на одном из этапов поймал вот такую ошибку

Error: time is more than 10 years from present: 1420063200000
java.lang.RuntimeException: time is more than 10 years from present: 1420063200000

https://xn--r1a.website/itpgchannel/3666

Я хотел про неё написать сразу, но из-за проблем с Телегой (https://xn--r1a.website/tech_b0lt_Genona/5942) пост этот отложился на сейчас.

Я такую ошибку ловил сам, когда собирал Java под ReactOS, но тогда я забил и просто выкинул эту проверку из кода.

А тут Антон задался вопросом
> Сука, почему вообще кого-то ебет, насколько старый файл участвует в сборке?!?

Для начала разберёмся вообще зачем это ограничение существует.

Есть стандарт ISO 4217, который отвечает за коды валют (в том числе и устаревшие). Сам он платный, но вот тут можно бесплатно получить "выжимку"
https://www.six-group.com/en/products-services/financial-information/market-reference-data/data-standards.html#scrollTo=currency-codes

И вот разработчики Java решили, что было бы неплохо не связываться с валютами вышедшими из обращения и не грузить в "рантайм" устаревшее, поэтому эта проверка и есть.

Исходя из информации выше логично и понятно теперь почему эта проверка лежит в файле GenerateCurrencyData.java

hg clone http://hg.openjdk.java.net/jdk6/jdk6 openjdk6 && cd openjdk6 && sh ./get_source.sh

$ hg log ./make/tools/src/build/tools/generatecurrencydata/GenerateCurrencyData.java
changeset:   974:4fa5032c91be
user:        yhuang
date:        Fri Jan 02 16:35:52 2015 +0000
summary:     7066203: Update currency data to the latest ISO 4217 standard

А сам код такой

    long time = format.parse(timeString).getTime();
    if (Math.abs(time - System.currentTimeMillis()) > ((long) 10) * 365 * 24 * 60 * 60 * 1000) {
        throw new RuntimeException("time is more than 10 years from present: " + time);
    }

По результатам работы этой "механики" создаются properties-файлы, выглядят они приблизительно так

diff -r 95999a031f69 -r 4fa5032c91be src/share/classes/sun/util/resources/CurrencyNames.properties
--- a/src/share/classes/sun/util/resources/CurrencyNames.properties     Fri Jan 02 15:40:43 2015 +0000
+++ b/src/share/classes/sun/util/resources/CurrencyNames.properties     Fri Jan 02 16:35:52 2015 +0000
@@ -106,6 +106,7 @@
 COP=COP
 CRC=CRC
 CSD=CSD
+CUC=CUC
 CUP=CUP
 CVE=CVE
 CYP=CYP
@@ -232,6 +233,7 @@
 THB=THB
 TJS=TJS
 TMM=TMM
+TMT=TMT
 TND=TND

В Jira OpenJDK есть issue (в мае 2024 выпилили из JDK8)
Remove 10 year old transition check in GenerateCurrencyData tool
https://bugs.openjdk.org/browse/JDK-8332085
https://github.com/openjdk/jdk8u-ri/pull/17

Ну и старое обсуждение в OpenJDK
https://mail.openjdk.org/pipermail/jdk7u-dev/2016-June/010559.html

В 2014 в NixOS и поставили 20 лет 🌝
https://github.com/NixOS/nixpkgs/commit/9b81769950b6d0221643c7b0758d894f7742a62a

Вот обсуждение в Guix из 2024 (там просто закомментили эту проверку)
Time bomb in icedtea/openjdk
https://issues.guix.gnu.org/68333

Gentoo
dev-java/icedtea-7.2.5.3: does not compile
https://bugs.gentoo.org/534118

NetBSD
Compiling OpenJDK compile error
https://mail-index.netbsd.org/pkgsrc-users/2014/12/30/msg020843.html

Debian
https://lists.debian.org/debian-lts/2015/01/msg00018.html

FreeBSD
Error: time is more than 10 years from present: 1104530400000 when building java/openjdk*
https://lists.freebsd.org/pipermail/freebsd-java/2014-December/011035.html

Короче, проблем это принесло и вопрос "Нахуя, а главное зачем это было сделано таким образом?" остался.

Уязвимость в Android-прошивке, позволяющая выполнить код через отправку сообщения
https://www.opennet.ru/opennews/art.shtml?num=64632

Исследователи из команды Google Project Zero подробно разобрали технику создания рабочего эксплоита, позволяющего удалённо выполнить свой код с правами ядра Linux, через отправку SMS- или RCS-сообщения со специально оформленным звуковым вложением. Атака осуществляется без выполнения каких-либо действий пользователем, в том числе не требует просмотра или прослушивания полученного сообщения.

В эксплоите задействованы две уязвимости: в библиотеке Dolby Unified Decoder (CVE-2025-54957) и драйвере bigwave для ядра Linux (CVE-2025-36934). Ранее для эксплуатации уязвимостей в кодеках было необходимо, чтобы пользователь прослушал или просмотрел полученный вредоносный контент. После интеграции AI-помощников в последних выпусках Android-прошивок полученный мультимедийный контент автоматически декодируется после получения, что существенно увеличивает поверхность атак, не требующих действий от пользователя (0-click). В контексте звуковых SMS- и RCS-сообщений, приложение Google Messages при помощи сервиса com.google.android.tts автоматически формирует транскрипцию для применения к звуковым сообщениям текстового поиска, что позволяет без участия пользователя эксплуатаировать уязвимости в имеющихся звуковых кодеках.

Проблема в Dolby Unified Decoder вызвана целочисленным переполнением при расчёте размера буфера под обрабатываемые структуры данных syncframe, что может использоваться для записи за пределы выделенного буфера. В результате переполнения может быть перезаписан указатель, используемый при обработке следующего синхронизирующего кадра, изменение которого, в свою очередь, позволяет перезаписать контролируемыми атакующим данными указатель на функцию и организовать выполнение своего кода с правами "mediacodec", ограниченными через SELinux.

Оригинал
A 0-click exploit chain for the Pixel 9 Part 1: Decoding Dolby
https://projectzero.google/2026/01/pixel-0-click-part-1.html

> После интеграции AI-помощников в последних выпусках Android-прошивок

Я просто напомню, что надо пользоваться правильными устройствами 🌝

https://xn--r1a.website/tech_b0lt_Genona/5442
https://xn--r1a.website/tech_b0lt_Genona/5815

Обнаружил тут вот такое, от Января 1997 года.

В доинтернетные времена печатать фигню, передавать по радио и тем более показывать на телевидении было ооочень затратно -- поэтому верили печатному слову, ну и была ответственность.

В FidoNet тоже никакой анонимности -- имена, телефоны известны, каналы оплачивали из своего кармана, многие друг друга знали лично, а в Конституции были штрафные санкции и экскоммуникация как крайняя мера. За базаром следили, правила соблюдали.

Когда связь стала совсем дешёвой и доступной АНОНИМНО каждому пида школоло гражданину -- началась вакханалия (а доверие печатному слову пока никуда не делось!)

Стоимость массовой публикации сначала текста, потом аудио и видеосообщений (отмирание повременной и помегабайтной оплаты Интернета, рост скоростей) плавно ушла в ноль. До кучи удешевлена возможность каждому вышеуказанному субъекту генерить фейки сначала аудио, а потом и видео чуть не в реальном времени (а вера в ТВ опять же инерционно не пропадает). И анонимность (фейк источника) только растёт.

Потому имеем -- что имеем. Самое простое -- блокировать всё нафиг, что и делают, ибо количество фейка всех видов завалило весь Интернет уже хуже, чем спам. Варианты с платным контентом для отправителя в случае спама ещё как-то могло сгладить проблему, но для информационной войны с её бюджетами и целями -- неэффективно.

Вижу только один пока рабочий вариант -- тотальная деанонимизация источников информации и ответственность за фейки. Как альтернатива блокировкам. Пишите что хотите, публикуйте -- но отвечайте за базар. Цифровая подпись под каждым существенным, затрагивающим чьи-то интересы вбросом, иначе блок. Можешь постить хню, но с оговоркой, что это лишь твоё личное мнение и догадки, без претензий. Наговор, фейк -- вероятен суд и личная/корпоративная ответственность. Полагаю, в перспективе это пока единственная возможность оставить текущий Интернет в рабочем состоянии.

И как отдельный метод обеспечения деанонимизации -- переход на IPv6 с возможностью выдачи персонального адреса каждому устройству с жёсткой привязкой к субъекту.