Ещё раз про "Don’t roll your own crypto". Автор показывает, что
а) люди по-прежнему этим занимаются;
б) строить какую-то свою конструкцию поверх надёжных библиотек, предоставляющих примитивы, - всё ещё является нарушением этого правила.
#cryptography #cybersec
а) люди по-прежнему этим занимаются;
б) строить какую-то свою конструкцию поверх надёжных библиотек, предоставляющих примитивы, - всё ещё является нарушением этого правила.
#cryptography #cybersec
Dhole Moments
Hell Is Overconfident Developers Writing Encryption Code - Dhole Moments
Overconfident developers that choose to write their own cryptography code have plagued the information security industry since before it was even an industry. This in and of itself isn’t inhe…
❤3
Тут чел рассуждает над governance в open source проектах. Мечтает, чтобы при создании репо наравне с выбором лицензии нам предлагали выбор управленческой модели. Ну и описывает ряд готовых подходов.
#oss #community #repository
#oss #community #repository
Antonin Delpeuch
Off-the-shelf governance models for small FOSS projects?
A one-person open source project with a governance model, is that ridiculous? In this blog post I want to convince you it isn’t, and it could be key to solving widespread problems in the FOSS (Free and Open Source Software) ecosystem.
The problems The free…
The problems The free…
Замечательная история. Кандидату на собесе дали FizzBuzz, но с рядом ограничений. И сказали, что постепенно ограничения будут добавляться. Одним из запретов стало использование чисел и любых операций с числами. Но чел красава, решил всё чисто на системе типов TypeScript.
#interview #ts #type
#interview #ts #type
kranga on Notion
The fizzbuzz that did not get me the job | Notion
Fizzbuzz is a toy algorithm that used to be popular in the context of technical interviews.
🤯6👏1
Forwarded from Авва
Можете быстро определить, какой из этих двух URLов легитимный, а какой ведет на фишинг-сайт?
Подсказка: это не какой-то странный вид /, и не кириллическая буква вместо латинской.
Правильный ответ:первый URL ведет на сайт v1271.zip (да, есть такие домены .zip), и передает ему юзернейм "https" и пароль "// github.com/..../refs/tags/ ".
Впечатляет, в общем. Я это в теории знал, но на практике настолько хитро спрятанные примеры не встречал, кажется.Следите за @ в URLах, короче. И если вы скачиваете какой-то файл данных, а скачался .exe, не запускайте никогда. Надеюсь, что это хоть и без меня понимаете.
Подсказка: это не какой-то странный вид /, и не кириллическая буква вместо латинской.
Правильный ответ:
Впечатляет, в общем. Я это в теории знал, но на практике настолько хитро спрятанные примеры не встречал, кажется.
🔥5😱3
Новая история из JS и NPM мира, но на этот раз вполне себе милая, без трэша. Автор рассказывает, как ему в голову пришла прекрасная идея сократить размер всех пакетов на ~5%, сохраняя обратную совместимость. Он довёл это всё до RFC и до обсуждений с мейнтейнерами NPM, после чего копнул глубже, детальнее разобрал трейдоффы, понял, что игра не стоит свеч и закрыл RFC.
#js #compression #optimize
#js #compression #optimize
Evanhahn
My failed attempt to shrink all npm packages by 5%
It seemed like a great idea at first.
👍5
Кайф, SLAP и FLOP уязвимости в свежих Apple процессорах. Позволяют злоумышленникам без каких-либо привилегий удалённо читать интересную память.
#apple #cybersec #vulnerability
#apple #cybersec #vulnerability
👍1
Тут интересное: чел ищет строки, которые в Base64 сохраняют то же ASCII сообщение в подстроках.
#ascii #encoding
#ascii #encoding
SequentialRead
Words in a base64-encoded string... Which decodes to the same words in ascii
... so if you imagine f is the computation you want to remain the same regardless of whether it's operating on a base64'd input or not, and g is the base64 function, and x is a not-base64'd input, then f(g(x)) = g(f(x))
...
Oooooohhhhh yes so f = user…
...
Oooooohhhhh yes so f = user…
В Go тоже ловят добряков, решивших импортировать зависимость с опечаткой. Ловят, а потом reverse shell, и обижают.
#go #cybersec #vulnerability
#go #cybersec #vulnerability
Тут у Вастрика забавный пост про шифрование из конца в конец. Не сильно много деталей или тех. подробностей, но задорно рассказывает, как строится e2e encryption в групповых чатах на много участников, чтобы сохранять секретность и вперёд, и назад.
#encryption #cybersec
#encryption #cybersec
vas3k.blog
End-to-end Шифрование
Как мы перестали доверять облакам и научились шифровать всё вокруг себя, даже огромные чаты
👍6
Заблуждения разработчиков о NULL указателях. Именно об указателях. Не те NullPointerException, к которым мы с вами привыкли. Читая всё это, немного стареешь внутри.
#c #memory #compiler
#c #memory #compiler
purplesyringa's blog
Falsehoods programmers believe about null pointers
Null pointers look simple on the surface, and that’s why they’re so dangerous. As compiler optimizations, intuitive but incorrect simplifications, and platform-specific quirks have piled on, the odds of making a wrong assumption have increased, leading to…
Тут вот серия из 2-х (по крайней мере пока) постов (бип, боп), где сравнивают Datomic и Postgre на одних и тех же игрушечных примерах. Пытаются показать, чего такого особенного понаписали в Datomic, и где это может быть полезно.
#db #datomic #postgre
#db #datomic #postgre
Flexiana
Datomic vs PostgreSQL: Modeling, Setup, and Basic Queries (Part 1) - Flexiana
Let's highlight the differences in data modeling between postgreSQL and Datomic. We will get into codes for better understanding.
Тут просто короткий рэнт про то, какую срань творит VSCode, чтобы работать с нашей машинкой по SSH.
#vscode #ssh #rant
#vscode #ssh #rant
Fly
VSCode’s SSH Agent Is Bananas
Documentation and guides from the team at Fly.io.
Очень занимательный пост подвернулся. Почему криптографические конструкции опираются не на NP-полные задачи, а на задачи, случайная формулировка которых достаточно сложна.
#cryptography #math #cs
#cryptography #math #cs
Тут прямо нормальный такой разбор XOR, как на него можно смотреть, и что с ним можно интересного делать. Я помню, как впервые понял, что XOR круче всяких AND и OR: препод дал задачку найти число, у которого нет двойника, в длинном массиве случайного порядка за линейное время и константную память (
#math #cs #binary
[3, 1, 2, 3, 4, 2, 1] => 4). Вот она, кстати, на LeetCode.#math #cs #binary
👍9
Этим прямо не могу не поделиться. Бесплатная инди игрушка (работает прямо в браузере, даже с телефона) Dragon Sweeper. Оригинальный взгляд на привычного "сапёра". Не казуал-фрэндли на старте, надо конкретно потыкаться, чтобы понять, как в это играется, но идея, простота и сложность впечатляют. Она и правда непростая, на момент написания поста я так и не победил дракона.
#game #gamedev #indie
#game #gamedev #indie
👍7🔥2😱1
Тут серия из нескольких постов, где чел пытается провести что-то вроде короткого любительского аудита Signal, пытаясь найти интересные уязвимости, и документирует свои заходы.
#cybersec #cryptography #signal
#cybersec #cryptography #signal
Dhole Moments
Reviewing the Cryptography Used by Signal - Dhole Moments
Last year, I urged furries to stop using Telegram because it doesn’t actually provide them with any of the privacy guarantees they think it gives them. Instead of improving Telegram’s c…