Я 19 февраля писал про то как Discord решил пилотировать Persona KYC + OpenAI для верификации пользователей
https://xn--r1a.website/tech_b0lt_Genona/6190
А оказывается 16 февраля вышел большой и классный пост как раз про то как ковыряли эту связку и что нашли (похека не было).
the watchers: how openai, the US government, and persona built an identity surveillance machine that files reports on you to the feds
https://vmfunc.re/blog/persona
Пост выгрузил в виде PDF и положу в комменты
Оригинальный пост большой, сжать его у меня не получится никак, поэтому кратко накидаю некоторые тезисы
- Были найдены сервера отвечающие за верификацию личности и они существовали за полтора года до того как саму верификацию ввели
- Насканировали исходный код на TypeScript
- Данные отправляются напрямую ответственным службам не только в США, но и в Канаду
- Канадские программы по взаимодействию захардкожены в коде
- Собираемые данные (хранятся 3 года)
- Есть функция сопоставления лиц с лицами известных людей
- Имеется 269 маркеров/проверок, которые делятся на 14 типов
- Примеры проверок касающиеся лиц
Авторы накатали вопросы к Persona, требую публичных ответов, но думаю, что ответов они не дождутся 🌝
ЗЫ Особой пикантности доставляет то, что всё это было обмазано FedRAMP (единый стандарт/сертификации безопасности для госухи в США)
ЗЫЫ От дизайна сайта пробилась ностальгическая слеза
https://xn--r1a.website/tech_b0lt_Genona/6190
А оказывается 16 февраля вышел большой и классный пост как раз про то как ковыряли эту связку и что нашли (похека не было).
the watchers: how openai, the US government, and persona built an identity surveillance machine that files reports on you to the feds
https://vmfunc.re/blog/persona
Пост выгрузил в виде PDF и положу в комменты
Оригинальный пост большой, сжать его у меня не получится никак, поэтому кратко накидаю некоторые тезисы
- Были найдены сервера отвечающие за верификацию личности и они существовали за полтора года до того как саму верификацию ввели
- Насканировали исходный код на TypeScript
- Данные отправляются напрямую ответственным службам не только в США, но и в Канаду
- Канадские программы по взаимодействию захардкожены в коде
// FINTRAC public-private partnership intelligence programs
publicPrivatePartnershipProjectNameCodes:
{ const: 1, title: 'Project ANTON' }
{ const: 2, title: 'Project ATHENA' }
{ const: 3, title: 'Project CHAMELEON' }
{ const: 5, title: 'Project GUARDIAN' }
{ const: 6, title: 'Project LEGION' }
{ const: 7, title: 'Project PROTECT' }
{ const: 8, title: 'Project SHADOW' }
- Собираемые данные (хранятся 3 года)
const LIST_TYPE_TO_LIST_ITEM_TYPE = {
ListGovernmentIdNumber // government ID numbers
ListIpAddress // IP addresses
ListName // names (with fuzzy matching option)
ListPhoneNumber // phone numbers
ListEmailAddress // email addresses
ListGeolocation // geolocations
ListBrowserFingerprint // browser fingerprints
ListDeviceFingerprint // device fingerprints
ListFace // FACES
ListCountry // countries
ListField // inquiry fields
ListString // arbitrary strings
ListSelfieBackground // selfie backgrounds
}- Есть функция сопоставления лиц с лицами известных людей
- Имеется 269 маркеров/проверок, которые делятся на 14 типов
- Примеры проверок касающиеся лиц
SelfieIdComparison - face vs ID photo
SelfieAccountComparison - face vs existing account
SelfieLivenessDetection - spoof detection
SelfiePublicFigureDetection - do you LOOK LIKE someone famous?
SelfieSuspiciousEntityDetection - you look "suspicious." literally.
SelfieExperimentalModelDetection - EXPERIMENTAL ML models on your face
SelfieRepeatDetection - duplicate selfie detection
SelfieSimilarBackgroundDetection - same background as another user
SelfieAgeComparison - estimated age from face
SelfieAgeInconsistencyDetection - age doesn't match ID
SelfieFaceCoveringDetection - wearing a mask? flagged.
SelfieGlassesDetection - glasses? noted.
SelfiePoseRepeatDetection - same pose as last time?
Авторы накатали вопросы к Persona, требую публичных ответов, но думаю, что ответов они не дождутся 🌝
ЗЫ Особой пикантности доставляет то, что всё это было обмазано FedRAMP (единый стандарт/сертификации безопасности для госухи в США)
ЗЫЫ От дизайна сайта пробилась ностальгическая слеза
🔥36🫡2❤1👍1
Серия новых уязвимостей в telnetd, позволяющих получить root-привилегии в системе
https://www.opennet.ru/opennews/art.shtml?num=64869
Следом за выявленной в конце января уязвимостью, позволявшей подключиться под пользователем root без проверки пароля, в сервере telnetd из набора GNU InetUtils выявлено несколько способов повышения своих привилегий, ставших следствием неполного устранения уязвимости в 1999 году (CVE-1999-0073).
Уязвимости вызваны наличием в telnetd возможности передачи клиентом переменных окружения на сервер при помощи опции ENVIRON. Подобные переменные окружения выставляются и обрабатываются в контексте процесса telnetd и передаются в запущенные им дочерние процессы, включая запускаемый с правами root процесс /bin/login. Уязвимость CVE-1999-0073 позволяла telnet-клиенту передать переменную окружения LD_LIBRARY_PATH, выставление которой приводит к загрузке указанной пользователем разделяемой библиотеки при запуске процесса login. При возможности загрузки файлов в систему, поддерживающую подключение по протоколу telnet, атакующий может загрузить специально оформленную библиотеку и организовать её загрузку с правами root.
В telnetd из набора GNU InetUtils уязвимость была устранена путём запрета опасных переменных окружения через фильтрацию по маскам "LD_", "LIBPATH", "ENV", "IFS" и "_RLD_". При этом незаблокированной оказалась переменная окружения "CREDENTIALS_DIRECTORY", обрабатываемая при запуске /usr/bin/login. При помощи данной переменной окружения пользователь мог изменить каталог с настройками учётных данных и разместить в новом каталоге файл login.noauth со значением "yes", активирующим вход без пароля (аналог передачи процессу login флага "-f"). Настройка действует для всех пользователей, включая root.
Атака сводится к созданию непривилегированным пользователем подкаталога в своём домашнем каталоге, загрузки в него файла login.noauth и попытки входа с выставлением переменной окружения "CREDENTIALS_DIRECTORY=созданный каталог" и передачей переменной окружения "USER=root" (в telnet имеется режим автоматического подключения, в котором имя пользователя берётся не из командной строки, а передаётся через переменную окружения USER). Пример эксплоита.
Следом выявлен ещё один способ получения root-доступа через telnetd, связанный с манипуляцией переменными окружения OUTPUT_CHARSET и LANGUAGE, обрабатываемыми библиотекой GNU gettext, и переменной окружения GCONV_PATH, используемой в glibc. Через выставление переменных окружения OUTPUT_CHARSET и LANGUAGE атакующий может активировать в gettext функциональность преобразования кодировки символов, вызывающей функцию iconv_open(). В свою очередь, при выполнении функции iconv_open() при загрузке конфигурационного файла gconv-modules, путь вычисляется с учётом переменной окружения GCONV_PATH. Через подстановку файла gconv-modules можно организовать загрузку собственной разделяемой библиотеки во время вывода локализированной строки процессом login.
Оригинал
Telnetd Vulnerability Report
https://www.openwall.com/lists/oss-security/2026/02/24/1
> в 1999 году
Ставь 👾, если не ещё не родился, а Telnet уже похекали 🌝
https://www.opennet.ru/opennews/art.shtml?num=64869
Следом за выявленной в конце января уязвимостью, позволявшей подключиться под пользователем root без проверки пароля, в сервере telnetd из набора GNU InetUtils выявлено несколько способов повышения своих привилегий, ставших следствием неполного устранения уязвимости в 1999 году (CVE-1999-0073).
Уязвимости вызваны наличием в telnetd возможности передачи клиентом переменных окружения на сервер при помощи опции ENVIRON. Подобные переменные окружения выставляются и обрабатываются в контексте процесса telnetd и передаются в запущенные им дочерние процессы, включая запускаемый с правами root процесс /bin/login. Уязвимость CVE-1999-0073 позволяла telnet-клиенту передать переменную окружения LD_LIBRARY_PATH, выставление которой приводит к загрузке указанной пользователем разделяемой библиотеки при запуске процесса login. При возможности загрузки файлов в систему, поддерживающую подключение по протоколу telnet, атакующий может загрузить специально оформленную библиотеку и организовать её загрузку с правами root.
В telnetd из набора GNU InetUtils уязвимость была устранена путём запрета опасных переменных окружения через фильтрацию по маскам "LD_", "LIBPATH", "ENV", "IFS" и "_RLD_". При этом незаблокированной оказалась переменная окружения "CREDENTIALS_DIRECTORY", обрабатываемая при запуске /usr/bin/login. При помощи данной переменной окружения пользователь мог изменить каталог с настройками учётных данных и разместить в новом каталоге файл login.noauth со значением "yes", активирующим вход без пароля (аналог передачи процессу login флага "-f"). Настройка действует для всех пользователей, включая root.
Атака сводится к созданию непривилегированным пользователем подкаталога в своём домашнем каталоге, загрузки в него файла login.noauth и попытки входа с выставлением переменной окружения "CREDENTIALS_DIRECTORY=созданный каталог" и передачей переменной окружения "USER=root" (в telnet имеется режим автоматического подключения, в котором имя пользователя берётся не из командной строки, а передаётся через переменную окружения USER). Пример эксплоита.
Следом выявлен ещё один способ получения root-доступа через telnetd, связанный с манипуляцией переменными окружения OUTPUT_CHARSET и LANGUAGE, обрабатываемыми библиотекой GNU gettext, и переменной окружения GCONV_PATH, используемой в glibc. Через выставление переменных окружения OUTPUT_CHARSET и LANGUAGE атакующий может активировать в gettext функциональность преобразования кодировки символов, вызывающей функцию iconv_open(). В свою очередь, при выполнении функции iconv_open() при загрузке конфигурационного файла gconv-modules, путь вычисляется с учётом переменной окружения GCONV_PATH. Через подстановку файла gconv-modules можно организовать загрузку собственной разделяемой библиотеки во время вывода локализированной строки процессом login.
Оригинал
Telnetd Vulnerability Report
https://www.openwall.com/lists/oss-security/2026/02/24/1
> в 1999 году
Ставь 👾, если не ещё не родился, а Telnet уже похекали 🌝
😁47👾27🔥2❤1
Сегодня четверг, а четверговых проектов нет 🌝
Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://xn--r1a.website/tech_b0lt_Genona/4983
Мы тут с @opengrad обсуждали какие есть активные каналы про DevOps. И чего-то ощутили что часть из них померло или "переквалифицировалось", поэтому решили спросить у дорогих подписчиков.
А накидайте, пожалуйста, в комменты и/или в личку кто чего читает сейчас по темам
- DevOps
- DevSecOps
- Сисадминство (надеюсь оно не вымерло)
- Сети
, а мы через недельку всё соберём в кучу и одним постом опубликуем.
Можете кидать несколько, можете кидать свои.
Мы тут с @opengrad обсуждали какие есть активные каналы про DevOps. И чего-то ощутили что часть из них померло или "переквалифицировалось", поэтому решили спросить у дорогих подписчиков.
А накидайте, пожалуйста, в комменты и/или в личку кто чего читает сейчас по темам
- DevOps
- DevSecOps
- Сисадминство (надеюсь оно не вымерло)
- Сети
, а мы через недельку всё соберём в кучу и одним постом опубликуем.
Можете кидать несколько, можете кидать свои.
👍9
Forwarded from Lasiar работает 💡
Кстати, про SIMD
Вроде все просто:
• У нас есть регистр который может хранить вектор (массив);
• У нас есть операции, которые могут работать с векторами;
• ... Profit!!!
Используя AVX-512 можно хранить в векторе аж 64 байта и всего лишь одним векторным сравнением (AVX-512BW) получить маску совпадений по всем 64 байтам (по-сути поиск по всему вектору).
НО, инструкции AVX-512 нагружают тепловой пакет ядра процессора, из-за чего turbo boost снижает его частоту.
Intel это снижение описывает через Power Levels:
И это еще не все:
Переходы между уровнями тоже не бесплатны, этот переход называется block time, когда ядро не исполняет инструкций.
На старых поколениях процессоров этот прееход осуществляется за 10-20us, а на новых (3rd Generation Intel) уменьшено почти до ~0us.
В связи с этим есть рекомендации использовать все AVX-512 за раз, чтоб не было оверхеда на block time.
Так что на всем известную картинку можно смело добавлять еще один слой:
Вроде все просто:
• У нас есть регистр который может хранить вектор (массив);
• У нас есть операции, которые могут работать с векторами;
• ... Profit!!!
Используя AVX-512 можно хранить в векторе аж 64 байта и всего лишь одним векторным сравнением (AVX-512BW) получить маску совпадений по всем 64 байтам (по-сути поиск по всему вектору).
НО, инструкции AVX-512 нагружают тепловой пакет ядра процессора, из-за чего turbo boost снижает его частоту.
Intel это снижение описывает через Power Levels:
Power Level 0 -- scalar/SSE и легкий AVX
максимальная частота
Power Level 1 -- тяжелый AVX2 и легкий AVX-512
частота зависит от поколения и модели
Power Level 2 -- тяжелый AVX-512
частота ниже, чем в Level 1
И это еще не все:
Переходы между уровнями тоже не бесплатны, этот переход называется block time, когда ядро не исполняет инструкций.
На старых поколениях процессоров этот прееход осуществляется за 10-20us, а на новых (3rd Generation Intel) уменьшено почти до ~0us.
В связи с этим есть рекомендации использовать все AVX-512 за раз, чтоб не было оверхеда на block time.
Так что на всем известную картинку можно смело добавлять еще один слой:
👍33😁9❤4🔥3👎2🤯2❤🔥1
Всё ПО закону: банки нарастили закупки оборудования для включения в белые списки
https://iz.ru/export/google/amp/2048794
Банки массово нарастили закупку специального оборудования для включения в так называемые белые списки Минцифры, чтобы их приложения смогли работать при ограничении мобильного интернета. Туда уже вошли «Альфа», ВТБ и ПСБ, сообщили «Известиям» в Минцифры. Кредитные организации обязаны выполнять ряд требований ФСБ, в том числе по подключению к системе оперативно-разыскных мероприятий и внедрению сервисов хранения переписок.
. . .
— Банки не очень хотят внедрять СОРМ, потому что для некоторых из них это дорого, сложно и не очень нужно с точки зрения ведения бизнеса, — сообщил «Известиям» источник на рынке безопасных коммуникаций.
. . .
Формальной ответственности за невыполнение требований пока нет, и если банк может затягивать процесс, он этим пользуется, отметил независимый специалист по криптовалютным расследованиям Григорий Осипов. Дополнительным фактором остается репутация: кредитные организации могут не хотеть открыто ассоциироваться с силовым блоком и публично заявлять о передаче данных о переписках пользователей. Ведь в их мобильных приложениях клиенты могут обмениваться сообщениями.
. . .
Опасения банков по поводу оттока клиентов связаны скорее с доверием и репутацией, чем с реальным уходом пользователей из-за одной технической меры
. . .
С точки зрения объема предоставляемой информации ничего не поменяется — банки и раньше «не ссорились с ФСБ» и предоставляли информацию по ее запросам, хотя это так открыто не афишировалось, подчеркнул Григорий Осипов. По сути, у людей исчезнет иллюзия полной приватности, которой на самом деле не было и раньше.
. . .
Главный риск связан не с доступом ведомств к данным, а с появлением единых точек их концентрации, заключил юрист для IT эксперт по защите персональных данных Георгий Трельский. Такие хранилища неизбежно станут приоритетной целью для кибератак, поэтому банки будут вынуждены обеспечивать для них беспрецедентный уровень защиты, чтобы избежать утечек.
Пока читал всё ждал, когда будет текст про риск утечек, а он в последнем абзаце оказался.
> чтобы избежать утечек
- Не будет утечек?
- Нет.
- Твёрдо и чётко?
- Твердо и четко.
https://iz.ru/export/google/amp/2048794
Банки массово нарастили закупку специального оборудования для включения в так называемые белые списки Минцифры, чтобы их приложения смогли работать при ограничении мобильного интернета. Туда уже вошли «Альфа», ВТБ и ПСБ, сообщили «Известиям» в Минцифры. Кредитные организации обязаны выполнять ряд требований ФСБ, в том числе по подключению к системе оперативно-разыскных мероприятий и внедрению сервисов хранения переписок.
. . .
— Банки не очень хотят внедрять СОРМ, потому что для некоторых из них это дорого, сложно и не очень нужно с точки зрения ведения бизнеса, — сообщил «Известиям» источник на рынке безопасных коммуникаций.
. . .
Формальной ответственности за невыполнение требований пока нет, и если банк может затягивать процесс, он этим пользуется, отметил независимый специалист по криптовалютным расследованиям Григорий Осипов. Дополнительным фактором остается репутация: кредитные организации могут не хотеть открыто ассоциироваться с силовым блоком и публично заявлять о передаче данных о переписках пользователей. Ведь в их мобильных приложениях клиенты могут обмениваться сообщениями.
. . .
Опасения банков по поводу оттока клиентов связаны скорее с доверием и репутацией, чем с реальным уходом пользователей из-за одной технической меры
. . .
С точки зрения объема предоставляемой информации ничего не поменяется — банки и раньше «не ссорились с ФСБ» и предоставляли информацию по ее запросам, хотя это так открыто не афишировалось, подчеркнул Григорий Осипов. По сути, у людей исчезнет иллюзия полной приватности, которой на самом деле не было и раньше.
. . .
Главный риск связан не с доступом ведомств к данным, а с появлением единых точек их концентрации, заключил юрист для IT эксперт по защите персональных данных Георгий Трельский. Такие хранилища неизбежно станут приоритетной целью для кибератак, поэтому банки будут вынуждены обеспечивать для них беспрецедентный уровень защиты, чтобы избежать утечек.
Пока читал всё ждал, когда будет текст про риск утечек, а он в последнем абзаце оказался.
> чтобы избежать утечек
- Не будет утечек?
- Нет.
- Твёрдо и чётко?
- Твердо и четко.
😁33✍10🌭3
Forwarded from запуск завтра
«Интересная» ситуация между американскими военными и Anthropic.
Они подписали контракт на поставку ИИ для нужд армии. Теперь военные требуют, чтобы им можно было не следовать стандартным правилам пользования сервисом (Usage Policy).
Anthropic согласен подвинуться, но хочет внести в договор пункты о том, что их искусственный интеллект нельзя использовать для массовой слежки за американцами и для автономных роботов убийц.
Министерство войны США (они недавно официально переименовались) в ответ грозится не только разорвать контракт, но еще и воспользоваться законом о военном производстве, который позволяет правительству заставлять коммерческие структуры выполнять заказы критичные для оборонки.
А ещё министр пугает эту американскую компанию тем, что её внесут в чёрный список правительства США (объявят supply chain risk, так обычно делали с китайскими компаниями), так что с ними не сможет работать ни один бизнес, который исполняет контракты для государства.
Вы наверняка слышали, что программисты теперь встанут перед таким же выбором, перед каким стояли физики при создании ядерной бомбы. Обычно об этом рассуждают философы, которые ничем не рискуют. А тут ведущая компания в области ИИ может не только потерять большой контракт, но вообще перестать существовать в привычном нам виде. И всё это практически в прямом эфире.
Дальнейшее чтение: позиция EFF (всё предсказуемо), бодрый разбор Astral Codex Ten, который я кратко пересказал выше, и подробный текст от Цви Моушовица.
Они подписали контракт на поставку ИИ для нужд армии. Теперь военные требуют, чтобы им можно было не следовать стандартным правилам пользования сервисом (Usage Policy).
Anthropic согласен подвинуться, но хочет внести в договор пункты о том, что их искусственный интеллект нельзя использовать для массовой слежки за американцами и для автономных роботов убийц.
Министерство войны США (они недавно официально переименовались) в ответ грозится не только разорвать контракт, но еще и воспользоваться законом о военном производстве, который позволяет правительству заставлять коммерческие структуры выполнять заказы критичные для оборонки.
А ещё министр пугает эту американскую компанию тем, что её внесут в чёрный список правительства США (объявят supply chain risk, так обычно делали с китайскими компаниями), так что с ними не сможет работать ни один бизнес, который исполняет контракты для государства.
Вы наверняка слышали, что программисты теперь встанут перед таким же выбором, перед каким стояли физики при создании ядерной бомбы. Обычно об этом рассуждают философы, которые ничем не рискуют. А тут ведущая компания в области ИИ может не только потерять большой контракт, но вообще перестать существовать в привычном нам виде. И всё это практически в прямом эфире.
Дальнейшее чтение: позиция EFF (всё предсказуемо), бодрый разбор Astral Codex Ten, который я кратко пересказал выше, и подробный текст от Цви Моушовица.
😁16👍6🤔2❤1😈1
Власти определились со сроками блокировки мессенджера Telegram и рассматривают возможность принятия этой меры в первых числах апреля, рассказал источник РБК, знакомый с обсуждениями в профильных ведомствах.
Два источника, близких к Кремлю, называют это окончательным решением. Среди обсуждавшихся причин блокировки они указали на то, что в последнее время участились случаи вербовки людей, в том числе несовершеннолетних, для совершения противоправных действий.
Ранее министр цифрового развития, связи и массовых коммуникаций Максут Шадаев говорил, что власти не планируют ограничивать работу Telegram в зоне специальной военной операции. «Принято решение не ограничивать сейчас работу Telegram в зоне СВО», — сообщал он на заседании комитета Госдумы по информполитике 18 февраля.
В то же время глава Минцифры заявил о надежде, что со временем военнослужащие перейдут на другие платформы. К апрелю Telegram будет работать только на фронте, подтвердил источник РБК, близкий к Кремлю. Телеграм-канал Baza ранее сообщал, что блокировка Telegram может произойти 1 апреля.
Власти определились со сроками блокировки Telegram
https://www.rbc.ru/technology_and_media/26/02/2026/69a059719a7947a5ece8f4e4
Спасибо
Два источника, близких к Кремлю, называют это окончательным решением. Среди обсуждавшихся причин блокировки они указали на то, что в последнее время участились случаи вербовки людей, в том числе несовершеннолетних, для совершения противоправных действий.
Ранее министр цифрового развития, связи и массовых коммуникаций Максут Шадаев говорил, что власти не планируют ограничивать работу Telegram в зоне специальной военной операции. «Принято решение не ограничивать сейчас работу Telegram в зоне СВО», — сообщал он на заседании комитета Госдумы по информполитике 18 февраля.
В то же время глава Минцифры заявил о надежде, что со временем военнослужащие перейдут на другие платформы. К апрелю Telegram будет работать только на фронте, подтвердил источник РБК, близкий к Кремлю. Телеграм-канал Baza ранее сообщал, что блокировка Telegram может произойти 1 апреля.
Власти определились со сроками блокировки Telegram
https://www.rbc.ru/technology_and_media/26/02/2026/69a059719a7947a5ece8f4e4
Спасибо
🤡62🫡22🤬4❤2🤝2🔥1
В одном из обсуждений первоапрельской блокировки Telegram (https://xn--r1a.website/tech_b0lt_Genona/6220) прочитал, что MAX это вполне замена Telegram.
Это конечно же не так. Разница большая, как, например, между YouTube и Rutube
https://xn--r1a.website/tech_b0lt_Genona/4624
Я уж молчу про аудиторию и количество контента, который проходит в Telegram по сравнению с MAX.
Не очень понятно, как вообще можно что-то сравнивать, когда в официальной документации MAX для создания бота написано это
> Вы можете создать бота, только если у вас есть верифицированный профиль организации на платформе MAX для партнёров
> Верификация доступна для юрлиц и ИП, которые являются резидентами РФ. Её может пройти только владелец организации — единоличный исполнительный орган — или представитель с правом первой или единственной подписи.
Самозанятым, физическим лицам и нерезидентам верификация пока недоступна
> Для одной организации доступно создание 5 ботов
https://dev.max.ru/docs/chatbots/bots-nocode/create
https://dev.max.ru/docs/maxbusiness/connection#%D0%92%D0%B5%D1%80%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F%20%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8
Это конечно же не так. Разница большая, как, например, между YouTube и Rutube
https://xn--r1a.website/tech_b0lt_Genona/4624
Я уж молчу про аудиторию и количество контента, который проходит в Telegram по сравнению с MAX.
Не очень понятно, как вообще можно что-то сравнивать, когда в официальной документации MAX для создания бота написано это
> Вы можете создать бота, только если у вас есть верифицированный профиль организации на платформе MAX для партнёров
> Верификация доступна для юрлиц и ИП, которые являются резидентами РФ. Её может пройти только владелец организации — единоличный исполнительный орган — или представитель с правом первой или единственной подписи.
Самозанятым, физическим лицам и нерезидентам верификация пока недоступна
> Для одной организации доступно создание 5 ботов
https://dev.max.ru/docs/chatbots/bots-nocode/create
https://dev.max.ru/docs/maxbusiness/connection#%D0%92%D0%B5%D1%80%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F%20%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8
🤡36🤯20😁7🥱3🗿3🤷♂1😱1🤬1🥴1🫡1
День сегодня такой
На мой взгляд, многие негативные явления, с которыми мы боремся сегодня, — и мошеннические схемы, основанные на социнженерии, и фейковые новости, и даркнет, и т.д. — породил качающийся в разные стороны маятник отношения к интернет-анонимности. Корпорациям было выгодно, когда пользователи сливали в соцсети все данные о себе, конкурирующие с ними стартапы продавали пользователям возможность скрывать свою личность, а преступники с удовольствием использовали все эти возможности для своих целей.
. . .
Лично я считаю, что нужно выдерживать баланс. Тотальный контроль — не наш путь, это не соответствует российскому менталитету. Но любые возможности цифровых платформ, которые эксплуатируют преступники, должны быть для них закрыты.
https://xn--r1a.website/webstrangler/4685
Сообщает нам первый заместитель председателя ИТ-комитета Госдумы, председатель правления РОЦИТ Антон Вадимович Горелкин.
На мой взгляд, многие негативные явления, с которыми мы боремся сегодня, — и мошеннические схемы, основанные на социнженерии, и фейковые новости, и даркнет, и т.д. — породил качающийся в разные стороны маятник отношения к интернет-анонимности. Корпорациям было выгодно, когда пользователи сливали в соцсети все данные о себе, конкурирующие с ними стартапы продавали пользователям возможность скрывать свою личность, а преступники с удовольствием использовали все эти возможности для своих целей.
. . .
Лично я считаю, что нужно выдерживать баланс. Тотальный контроль — не наш путь, это не соответствует российскому менталитету. Но любые возможности цифровых платформ, которые эксплуатируют преступники, должны быть для них закрыты.
https://xn--r1a.website/webstrangler/4685
Сообщает нам первый заместитель председателя ИТ-комитета Госдумы, председатель правления РОЦИТ Антон Вадимович Горелкин.
💊41😁9🤡5🗿2
This media is not supported in your browser
VIEW IN TELEGRAM
Мне скинули вчера в личку отрывок из сериала "Первый отдел" (5 сезон 13 серия) с Flipper'ом
33:08
https://www.ntv.ru/air/ntv?dvr_id=763366
А вы говорите, что Flipper Zero никому не нужен 🌝
33:08
https://www.ntv.ru/air/ntv?dvr_id=763366
А вы говорите, что Flipper Zero никому не нужен 🌝
😁56🔥8😱7❤2👍1
В sudo-rs по умолчанию включили обратную связь при вводе пароля
https://habr.com/ru/news/1004452/
В последних сборках Ubuntu 26.04 при запросе пароля командой sudo обратная связь по паролю теперь включена по умолчанию и отображает символы звёздочки (*) при вводе.
Коммит
https://github.com/trifectatechfoundation/sudo-rs/commit/fb51e41919c25e3b178c4f994e668a5fc80136ee
> Традиционно sudo не предоставляла обратную связь по паролю в целях безопасности, чтобы не раскрывать его длину, если кто-то просматривает или делает снимок экрана.
> Некоторых пользователей не устроило нововведение. Судя по комментариям, разработчики sudo-rs, похоже, не собираются отказываться от изменения значения по умолчанию.
> После этого обновления я получаю только “звёзды”. ПОЧЕМУ?! Это противоречит десятилетиям, когда не выводилась длина пароля, чтобы вы могли его “просматривать”», — жалуются пользователи.
И, кроме шуток, я понимаю настоящих параноиков
> Некоторых новых юзеров Linux поначалу смущало отсутствие каких-либо индикаторов и обратной связи при вводе пароля командой sudo.
Тут комментарии излишни. Обмельчали, конечно, "юзеры Linux"
https://habr.com/ru/news/1004452/
В последних сборках Ubuntu 26.04 при запросе пароля командой sudo обратная связь по паролю теперь включена по умолчанию и отображает символы звёздочки (*) при вводе.
Коммит
https://github.com/trifectatechfoundation/sudo-rs/commit/fb51e41919c25e3b178c4f994e668a5fc80136ee
> Традиционно sudo не предоставляла обратную связь по паролю в целях безопасности, чтобы не раскрывать его длину, если кто-то просматривает или делает снимок экрана.
> Некоторых пользователей не устроило нововведение. Судя по комментариям, разработчики sudo-rs, похоже, не собираются отказываться от изменения значения по умолчанию.
> После этого обновления я получаю только “звёзды”. ПОЧЕМУ?! Это противоречит десятилетиям, когда не выводилась длина пароля, чтобы вы могли его “просматривать”», — жалуются пользователи.
И, кроме шуток, я понимаю настоящих параноиков
> Некоторых новых юзеров Linux поначалу смущало отсутствие каких-либо индикаторов и обратной связи при вводе пароля командой sudo.
Тут комментарии излишни. Обмельчали, конечно, "юзеры Linux"
😁41😢8❤5👍2🤯1🤬1🤡1🤣1💊1
Ещё со времён, когда я пилил статический анализатор кода для C (https://xn--r1a.website/tech_b0lt_Genona/5614) я уже тогда знал про Veracode. Это прям олдовый продукт в области SAST.
Вспомнил я про них потому что у них отчёт вышел
2026 State of Software Security: Risky Debt is Rising, But Your Strategy Starts Here
https://www.veracode.com/blog/2026-state-of-software-security-report-risky-security-debt/
Отчёт интересно посмотреть, там много всяких цифирей, но я остановлюсь на, как по мне, самых важных.
На 36% выросло количество уявизмостей высокой критичности, да и в целом различные "долги" растут (первая прикреплённая картинка)
Отдельно цитатой:
> The 36% surge in high-risk vulnerabilities since 2025 represents one of 2026’s most critical findings, fundamentally challenging the narrative of steady security improvement. The concentration of flaws in the dangerous intersection of high severity and high exploitability has accelerated dramatically. There aren’t just more vulnerabilities; there’s more risk from vulnerabilities with real-world attack potential.
Компании явно не успевают фиксить всё и проблемы будут только нарастать, полноценно внедрять надо ИИ не только для разработки, но и для устранения баго. До кучи придётся внедрить процесс анализа зависимостей, да и вообще притащить механизмы которые позволят предотвращать попадание уязвимых компонент в продукты, потому что "вайбкодить" open source тоже стали больше.
Сейчас генерится куча говнокода и прочего нейрохрючева, который, если в компании нет политик и регламентов, не проверяется должным образом и тащится в прод. Конечно, я видел кучу раз аргумент "люди и до ИИ писали говнокод". Есть одно большое отличие, которое заключается в том, что сейчас ИИ научились генерировать код который "типа работает" в огромных количествах (эксперимент Anthropic с компилятором С показателен, https://xn--r1a.website/tech_b0lt_Genona/6132) и если за ним не следить, то "протекать" будет куча всякой шняги в прод. И как бы мне не рассказывали что-то типа "я вот слежу", это не работает, потому что даже по чатам, проектам open source и другим источникам видно, что "слежение" не работает. Это работает когда опытный разработчик реально повидавший всякого понимает что он хочет, как он хочет и понимает где ИИ ерунду пишет. Опытных разработчиков меньшинство абсолютное. До кучи должны быть обкатанные принципы и правила работы со сгенерированным ИИ кодом.
Понятно, что дело бизнес гонит разработку в сторону фич, поэтому такой резкий рост и разрыв. Из-за гонки ради фич на проверки ИИ с помощью ИИ, помимо привычных, не даётся достаточно количество времени (возможно и денег). Я уже писал что всякое тестирование и проверки прям хорошая, полезная и достаточно безопасная ниша для использования ИИ (https://xn--r1a.website/tech_b0lt_Genona/6136). Но имеем, что имеем и я уверен, что техдолг в этом смысле будет только расти.
В отчёте в конце, есть ещё упоминания про сосурити чемпионов и что-то типа "делайте хорошо и не делайте плохо", но это за много лет так и не заработало, но стата, повторюсь, интересная.
Дискасс 🌝
Полный отчёт положу в комменты
Вспомнил я про них потому что у них отчёт вышел
2026 State of Software Security: Risky Debt is Rising, But Your Strategy Starts Here
https://www.veracode.com/blog/2026-state-of-software-security-report-risky-security-debt/
Отчёт интересно посмотреть, там много всяких цифирей, но я остановлюсь на, как по мне, самых важных.
На 36% выросло количество уявизмостей высокой критичности, да и в целом различные "долги" растут (первая прикреплённая картинка)
Отдельно цитатой:
> The 36% surge in high-risk vulnerabilities since 2025 represents one of 2026’s most critical findings, fundamentally challenging the narrative of steady security improvement. The concentration of flaws in the dangerous intersection of high severity and high exploitability has accelerated dramatically. There aren’t just more vulnerabilities; there’s more risk from vulnerabilities with real-world attack potential.
Компании явно не успевают фиксить всё и проблемы будут только нарастать, полноценно внедрять надо ИИ не только для разработки, но и для устранения баго. До кучи придётся внедрить процесс анализа зависимостей, да и вообще притащить механизмы которые позволят предотвращать попадание уязвимых компонент в продукты, потому что "вайбкодить" open source тоже стали больше.
Сейчас генерится куча говнокода и прочего нейрохрючева, который, если в компании нет политик и регламентов, не проверяется должным образом и тащится в прод. Конечно, я видел кучу раз аргумент "люди и до ИИ писали говнокод". Есть одно большое отличие, которое заключается в том, что сейчас ИИ научились генерировать код который "типа работает" в огромных количествах (эксперимент Anthropic с компилятором С показателен, https://xn--r1a.website/tech_b0lt_Genona/6132) и если за ним не следить, то "протекать" будет куча всякой шняги в прод. И как бы мне не рассказывали что-то типа "я вот слежу", это не работает, потому что даже по чатам, проектам open source и другим источникам видно, что "слежение" не работает. Это работает когда опытный разработчик реально повидавший всякого понимает что он хочет, как он хочет и понимает где ИИ ерунду пишет. Опытных разработчиков меньшинство абсолютное. До кучи должны быть обкатанные принципы и правила работы со сгенерированным ИИ кодом.
Понятно, что дело бизнес гонит разработку в сторону фич, поэтому такой резкий рост и разрыв. Из-за гонки ради фич на проверки ИИ с помощью ИИ, помимо привычных, не даётся достаточно количество времени (возможно и денег). Я уже писал что всякое тестирование и проверки прям хорошая, полезная и достаточно безопасная ниша для использования ИИ (https://xn--r1a.website/tech_b0lt_Genona/6136). Но имеем, что имеем и я уверен, что техдолг в этом смысле будет только расти.
В отчёте в конце, есть ещё упоминания про сосурити чемпионов и что-то типа "делайте хорошо и не делайте плохо", но это за много лет так и не заработало, но стата, повторюсь, интересная.
Дискасс 🌝
Полный отчёт положу в комменты
👍6❤5🤡1