В доинтернетные времена печатать фигню, передавать по радио и тем более показывать на телевидении было ооочень затратно -- поэтому верили печатному слову, ну и была ответственность.

В FidoNet тоже никакой анонимности -- имена, телефоны известны, каналы оплачивали из своего кармана, многие друг друга знали лично, а в Конституции были штрафные санкции и экскоммуникация как крайняя мера. За базаром следили, правила соблюдали.

Когда связь стала совсем дешёвой и доступной АНОНИМНО каждому пида школоло гражданину -- началась вакханалия (а доверие печатному слову пока никуда не делось!)

Стоимость массовой публикации сначала текста, потом аудио и видеосообщений (отмирание повременной и помегабайтной оплаты Интернета, рост скоростей) плавно ушла в ноль. До кучи удешевлена возможность каждому вышеуказанному субъекту генерить фейки сначала аудио, а потом и видео чуть не в реальном времени (а вера в ТВ опять же инерционно не пропадает). И анонимность (фейк источника) только растёт.

Потому имеем -- что имеем. Самое простое -- блокировать всё нафиг, что и делают, ибо количество фейка всех видов завалило весь Интернет уже хуже, чем спам. Варианты с платным контентом для отправителя в случае спама ещё как-то могло сгладить проблему, но для информационной войны с её бюджетами и целями -- неэффективно.

Вижу только один пока рабочий вариант -- тотальная деанонимизация источников информации и ответственность за фейки. Как альтернатива блокировкам. Пишите что хотите, публикуйте -- но отвечайте за базар. Цифровая подпись под каждым существенным, затрагивающим чьи-то интересы вбросом, иначе блок. Можешь постить хню, но с оговоркой, что это лишь твоё личное мнение и догадки, без претензий. Наговор, фейк -- вероятен суд и личная/корпоративная ответственность. Полагаю, в перспективе это пока единственная возможность оставить текущий Интернет в рабочем состоянии.

И как отдельный метод обеспечения деанонимизации -- переход на IPv6 с возможностью выдачи персонального адреса каждому устройству с жёсткой привязкой к субъекту.

#prog #article

GSoC 2025: Usability Improvements for the Undefined Behavior Sanitizer

clang поддерживает несколько санитайзеров, в том числе UBSan для отловки неопределённого поведения (с оговорками). Запускать их при этом можно в двух разных режимах. Первый — с добавлением рантайма, который при детектировании UB перед завершением работы программы печатает, что конкретно пошло не так. Второй вариант — без рантайма, в котором при детектировании UB просто исполняется trap-инструкция процессора.

Второй вариант больше годится для случаев, когда важны оверхед на производительность и размер компилированного кода (в embedded, например). Проблема в том, что UX у такого решения ужасный: получай аварийное завершение программы, а что именно пошло не так — гадай сам. И даже дебаггер в этих случаях не особо помогает, потому что он максимум укажет на инструкцию рядом с trap и на соответствующую строку исходного кода, но не более.

Anthony Tran задался целью исправить этот недостаток. С этой целью он модифицировал кодогенерацию так, чтобы к trap-инструкции прицеплялась отладочная информация, в которую уже включалось человекочитаемое сообщение об ошибке. Этот подход хорош тем, что сразу же подхватывается существующими отладчиками. Разумеется, дополнительная отладочная информация требует места, но оверхед на размер кода на практике пренебрежимо мал.

Не обошлось без костылей из-за ограниченности DWARF:

To accomplish this, we needed to find a place to “stuff” the string in the DWARF DIE tree. Using a
DW_TAG_subprogram was deemed the most straightforward and space-efficient location. This means we create a synthetic DISubprogram which is not a real function in the compiled program; it exists only in the debug info as a container.
<...>
When a trap is hit in the debugger, the debugger retrieves this string from the debug info and shows it as the reason for trapping.

В мире *BSD что-то происходит 🌝

20 лет назад, когда был выпущен gcc4, компилятор g77 был заменён на gfortran. Однако из-за некоторых возникших с ним проблем он был исключён из базового образа NetBSD. Благодаря недавно внесённым изменениям в NetBSD-current, gfortran теперь снова поставляется в базовом образе операционной системы

В базовую систему NetBSD вернули компилятор языка Fortran
https://www.opennet.ru/opennews/art.shtml?num=64642
Оригинал
fortran support finally back in base - please test
https://mail-index.netbsd.org/current-users/2026/01/19/msg047295.html

Проект ChaosBSD развивает периодически синхронизируемый форк FreeBSD, нацеленный на тестирование драйверов перед их включением в основной состав FreeBSD. Проект предоставляет площадку для разработки и портирования новых драйверов, а также проверки, обкатки и стабилизации частично работоспособных, нестабилизированных и недоделанных драйверов, состояние развития которых не позволяет включить их в основной состав FreeBSD. После стабилизации подобные драйверы будут переноситься во FreeBSD.

Отмечаются четыре стадии продвижения драйвера: достижение возможности сборки; избавление от ошибок и стабилизация; проведение чистки и создание документации; передача в основной состав FreeBSD. ChaosBSD рассматривается как платформа для тестирования, не гарантирующая сохранение истории изменений и коммитов - периодически репозиторий сбрасывается, синхронизируется с кодовой базой FreeBSD и состояние восстанавливается.

ChaosBSD - форк FreeBSD для тестирования драйверов
https://www.opennet.ru/opennews/art.shtml?num=64636

GitHub - https://github.com/seuros/ChaosBSD-src

Меры против Telegram вводятся в России последовательно в связи с отказом мессенджера выполнять требования по пресечению преступлений. Об этом заявил ТАСС заместитель председателя Совета по развитию цифровой экономики при Совете Федерации, сенатор Артем Шейкин, комментируя информацию о проблемах с загрузкой видео в Telegram, на которые в последние дни жалуются пользователи.

"Роскомнадзор последовательно применяет меры в отношении интернет-сервисов, нарушающих законодательство РФ. Иностранные мессенджеры используются для организации и проведения террористических актов на территории России, для мошеннических и иных преступлений против граждан нашей страны. Telegram не выполняет требования, направленные на предупреждение и пресечение совершения преступлений на территории РФ. В связи с этим с августа 2025 года поэтапно вводились ограничительные меры в отношении данного мессенджера: не "проходят" аудио- и видеозвонки, отчасти замедляется передача медиафайлов", - сказал он.

https://tass.ru/politika/26212127

Спасибо

Помните я писал, что Даниэль Стенберг (автор cURL) сгорел от нейропараши, которую сдают под видом уязвимостей в программу Bug Bounty?

https://xn--r1a.website/tech_b0lt_Genona/5314

Эта идиотия продолжилась и cURL прекратил делать выплаты с конца января

cURL removes bug bounties
https://etn.se/index.php/nyheter/72808-curl-removes-bug-bounties.html

cURL has been flooded with AI-generated error reports. Now one of the incentives to create them will go away.

The vast majority of AI-generated error reports submitted to cURL are pure nonsense. Other open source projects are caught in the same pandemic.

”AI slop and bad reports in general have been increasing even more lately, so we have to try to brake the flood in order not to drown”, says cURL maintainer Daniel Stenberg to Swedish electronics industry news site etn.se.

“We hope this removes some of the incentives for people to send us garbage. We spend far too much time handling slop due to findings that are not real, exaggerated, or misunderstood.”

При всё при этом Bug Bounty до AI-спама реально приносила пользу

In total, 87 bug reports to cURL have over the years amounted to USD 101,020 in bounties.

В этой же статье обратились за комментарием к багхантеру Джошуа Роджерсу (Joshua Rogers) и он поддержал идею отказа от выплат не смотря на то что сам использует ИИ в своей работе

Interestingly, his reports were generated with the help of AI tools. But he doesn’t just vibe along in the dark — he reviews and adds to AI's analysis before submitting anything.

Despite being an active code vulnerabilities hunter himself, he thinks removing the bounty money is a stellar idea ; something that should have been done a long time ago.

“I think it's a good move and worth a bigger consideration by others. It's ridiculous that it went on for so long to be honest, and I personally would have pulled the plug long ago,”

И он не считает, что в случае с cURL отмена выплат сильно повлияет на результат, потому что cURL ковырять и найти там реальную багу это статусно само по себе

“Not much. The real incentive for finding a vulnerability in cURL is the fame ('brand is priceless'), not the hundred or few thousand dollars. $10,000 (maximum cURL bounty) is not a lot of money in the grand scheme of things, for somebody capable of finding a critical vulnerability in curl.”

Вообще, у Джошуа интересный блог и я иногда его почитываю (слава RSS-фиду у него на сайте 🌝)
https://joshua.hu/

Касательно выплат и вообще программ BB он высказался в итоговом посте 2025 года
My 2025 Bug Bounty Stories
https://joshua.hu/2025-bug-bounty-stories-fail

Главный его посыл "Нахера это всё надо в таком виде?". Выплаты не пойми какие, критерии такие же.

When cryptocurrency firms award a maximum of $10,000 for critical findings which could be used to steal $1,000,000, perhaps one can correctly guess why there is an impression that the divide between actual risk versus reward is imbalanced, such that one could also actually rationally conclude, “crime does pay”.

When companies set arbitrary rules which only hamper the efforts of whitehat hackers, while enabling blackhat hackers to thrive, then arbitrarily use those rules to discourage reporting of extremely serious issues, it begs the question, “why should I even bother? I can just play the lottery.”

Спасибо

Мессенджер MAX понадобится россиянам на работе
https://ura.news/news/1053061586

Минтруд РФ разработал законопроект, который может сделать отечественный мессенджер MAX обязательным инструментом для взаимодействия между работниками и работодателями. Согласно проекту, с 1 сентября 2026 года через этот сервис можно будет обмениваться кадровыми документами, запрашивать справки и даже заключать трудовые договоры.

«Минтруд РФ разработал законопроект о внесении изменений в Трудовой кодекс (ТК), предусматривающий использование с 1 сентября мессенджера MAX при взаимодействии работника и работодателя...» — пишет «Интерфакс». Издание ссылается на свой источник.

Согласно проекту, к MAX смогут подключаться внутренние системы работодателей, а также цифровая платформа «Работа в России». Это создаст единый канал для официальной коммуникации.

Помимо того, работодатели через MAX смогут предоставлять сотрудникам по их запросу документы или их заверенные копии, а также направлять документы, подписанные простой электронной подписью. Сейчас такая функция доступна преимущественно через личный кабинет на портале Госуслуг.

Для удаленных работников появится возможность заключить трудовой договор или дополнительное соглашение к нему через MAX. Для этого нужно будет использовать неквалифицированную электронную подпись.

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://xn--r1a.website/tech_b0lt_Genona/4983

Автор этого проекта приходил уже и рассказывал интересное

https://xn--r1a.website/tech_b0lt_Genona/5231
https://xn--r1a.website/tech_b0lt_Genona/5674

Про этот проект я тоже знал ещё до публичного релиза и обсуждал в личке, так сказатб

Слово автору @Dobry_kot

---

Всем привет 🙃

Годы идут, многие по-прежнему живут на классических инструментах вроде Ansible, Puppet, SaltStack и их аналогах. Параллельно те, кто строит всё «внутри Kubernetes», уже давно создают собственные решения — как это сделали Gardener и OpenShift со своими реализациями MCO (Machine Config Operator).

Без длинного сравнения плюсов и минусов: по нашему опыту наиболее зрелой и продуманной оказалась реализация OpenShift. Она закрывает порядка 90% типовых проблем управления конфигурацией узлов. Однако у неё есть существенный практический недостаток — Red Hat MCO хоть и открыт, но его трудно просто взять и запустить вне OpenShift. Требуется масса сопутствующих CRD и связок, а сама система представляет собой большой монолит из переплетённых компонентов, а не набор атомарных модулей.

Поэтому мы решили переосмыслить этот подход и реализовать свой MCO — проще в установке, модульнее по архитектуре и готовый к дальнейшему расширению под наши сценарии.

Мы постарались дать максимум полезного «из коробки»:

- Декларативное управление конфигурацией узлов через Kubernetes API
- Базовые концепции: MachineConfig, MachinePool и рендеринг состояний
- Безопасное обновление файлов на старте (sysctl, systemd unit — в следующей версии)
- Предсказуемые перезагрузки узлов и контроль конфигурационного дрейфа


Полезная информация:
- Документация - https://github.com/PRO-Robotech/machine-config-operator/tree/main/docs
- Демо - https://demo.in-cloud.io/openapi-ui/default/api-table/mco.in-cloud.io/v1alpha1/machineconfigpools
- Исходный код - https://github.com/PRO-Robotech/machine-config-operator

---

Наша постоянная, но подзабытая рубрика

Обновляем гитлабчики 💅💅💅

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник должен знать идентификатор учётных данных жертвы. Уязвимость вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации.

Кроме того, в новых версиях устранены ещё 4 уязвимости, две из которых помечены опасными. Данные проблемы приводят к отказу в обслуживании при отправке специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при созданию специально оформленного Wiki-документа (CVE-2025-13335).

Пост
GitLab Patch Release: 18.8.2, 18.7.2, 18.6.4
https://about.gitlab.com/releases/2026/01/21/patch-release-gitlab-18-8-2-released/