“Чего-то хотелось: не то конституции, не то севрюжины с хреном, не то взять бы да ободрать кого-нибудь.”
Мне вот захотелось устроить “перестановку в комнате”.

Этот канал когда-то появился с прицелом на Android-разработку, но со временем всё активнее и активнее смотрел по сторонам. Да и я сам несколько сменил область, по крайней мере пока.

Контент остаётся тем же, каким он был в последнее время. Каких-то других изменений в планах нет (разве что подумываю закрыть зеркала в twitter, мало кто знает, что такие есть!). Контент про Android не исчезнет, я всё ещё поглядываю, что там происходит. По-прежнему не будет рекламы, а любые анонсы ивентов - только от друзей и хороших знакомых.

Короче говоря, до свидания, и добро пожаловать!

Тут большое бурление началось из-за Web Integrity API, который Google хотят пропихнуть (и уже начали) в браузер. Суть примерно как у Play Integrity API. Идёшь на какой-то сайт, он тебе возвращает специальную ошибку, идёшь к специальной третьей сущности, получаешь подтверждение, что твой браузер нормальный, окружение соответствует линии партии, а форма черепа самая что ни на есть правильная, и уже с этим подтверждением сайт даст тебе войти. Основная цель этого дела, насколько понимаю, - борьба с ботами. Пока выглядит так, что юзеры с браузеров, которые в этот стандарт не вписались, будут чуть чаще выбирать квадратики со светофорами, но народ боится, что те самые attesters, которые выдают подтверждение, начнут ограничивать неправоверные браузеры, системы и адблоки. Несколько источников, чтобы чуть лучше разобраться в вопросе: eins, zwei, drei.

#google #browser #network

Очередные радостные вести с JS полей: NPM Registry не валидирует и никогда не валидировал манифест пакета относительно контента. Это значит, например, что я могу нарисовать красивый и правильный манифест для своего пакета, а на деле устанавливать зловредные пакеты или выполнять произвольные скрипты, не афишируя, что они в моём пакете есть.

#js #cybersec #vulnerability

История появления UTF-8. Роб Пайк и Кен Томпсон буквально за пару дней нафигачили спеку и встроили в Plan 9 OS.

#history #text #encoding

Zero-knowledge proofs - горячая тема в современной криптографии, попался неплохой пост, как в это можно быстро погрузиться. Какое-то понимание, конечно, после него появится, но не прямо хорошее. Но есть много примеров кода и ссылок, куда копать дальше, и в этом ценность.

#zk #cryptography

В меру детальный разбор того, что происходит, когда мы просим, например, python, сделать нам print hello world. Почти все шаги разобраны - поиск бинарника, форк процесса, динамическая линковка и т.п. Ну и инструменты, которыми это можно инспектировать, описаны.

#linux #os

Пачка рассуждений о том, чему мы с вами могли бы поучиться и что перенять из авиации.

#learning #aviation

Тут разбирают, как Джон Кармак добивался плавного скролла и эффективной перерисовки тайлов в Commander Keen.

#gamedev #history

Тут расскажут, как защитить gradle билд от supply-chain атак. Про валидацию зависимостей, проверку источников зависимостей и даже про валидацию gradle wrapper.

#gradle #build #cybersec

Чел написал игрушечную JVM на Rust в учебных целях. По ссылке - серия постов, где он разбирает .class файлы, байткод и разные другие детали своей погремухи.

#java #jvm #rust

Очередная изобретательная атака. На этот раз - на клавиатуру ноутбука. Звук нажатий пишется во время видеозвонка, либо на телефон, который лежит рядом, потом нейронка это разбирает, и "плакали ваши денежки".

#cybersec #keyboard #sound

Совсем оффтоп, но очень уж примечательный пост. Студент с горем пополам провёл эксперимент с целью проверить известные свойства кристаллов германия. И, по его словам, эти известные свойства оказались большой ложью. Собственно, о сложностях, подходе, результатах и сожалениях он и написал.

#physics #science

Не скажу, что хардкор, но не самый лёгкий, хоть и очень интересный пост. Про ZKRP (Zero-Knowledge Range Proof). Идея простая: доказать кому-то, что число лежит на определённом отрезке, не раскрыв при этом само число. Описана пачка применений, совсем разные подходы, плюс куча ссылок на сами работы, куда можно дальше копать.

#zk #cryptography #math

Хороший разбор bloom filters. Структура данных, которая даёт за константное время и маленькую память проверить, входит ли значение в множество. Но есть один нюанс: если ответ "не входит", то точно не входит. А вот если ответ "входит", то может быть и false positive. Коллизии, мать их.

#cs #datastructure

Штош, когда в следующий раз всё пойдёт по одному месту, вы знаете, что делать. Во всём виноват Терри. Уже нашли своего?)

#humor

Здесь чувак популяризирует HTML тэги. Идеи по сути две. Первая: HTML - хороший markup сам по себе, машинам проще парсить и учиться на таких данных. Вторая: не надо изобретать очередной кастомный компонент, многое уже есть, и сразу будет работать хорошо почти везде.

#html #web #ml

Тут описывают ряд техник, которыми Android малварь защищалась от анализа. Самая красивая - использование нестандартного метода сжатия APK. Большинство тулов разобрать архив не могут, а API 28+ девайсы кушают и не жалуются.

#android #cybersec

Я тут частенько агитирую за "делай просто". Вот взгляд с несколько другой стороны. Вкратце, чел пишет, что "просто для разработчиков" всё равно не получится, поэтому думать надо про "проще для пользователя". В т.ч. если пользователь - разработчик.

#complexity #code

Недавное видели игрушечную JVM на Rust. Нашёлся более амбициозный проект - пишут JVM на Go. Тут пост про то, как машинка находит методы классов. А тут несколько ссылок, если захочется больше деталей.

#jvm #go #java

Идея Proof-of-Work когда-то появилась, чтобы бороться с email спамом (небольшая computation задачка при отправке одного письма незаметна, при массовой рассылке - дорого и долго). Теперь вот Tor берёт адаптивную PoW защиту на вооружение, чтобы бороться с DoS атаками.

#network #tor #cybersec

Красивая история про чувака, который делает крафтовые, так сказать, компьютеры. Неплохое занятие на пенсию, м?)

#hardware #story