Smart (and simple) ways to prevent symlink attacks in Go
https://blog.trailofbits.com/2020/11/24/smart-and-simple-ways-to-prevent-symlink-attacks-in-go/

Я вроде пару раз упоминал, как мне нравится Internet Archive (ах этот приближающийся тридцатник).

Короч, доклад про их инфру https://archive.org/details/jonah-edwards-presentation

TLDR: 750 машин, 1300 VM, 200Pb хлама места.

На самом деле доклад небольшой и дальше диалог.
Справа там еще есть кнопочки чтобы скачать, вдруг плеер не нравится.

Карочи, расчехляем CV и добавляем serverless. Ща начнется (я уже жду, когда Uber сделает подобны пост).

А по факту: Netflix переходит на новую архитектуру, которая построена на лямбдах. Интересно, что там с очередями, но деталей мало, пока.

https://netflixtechblog.com/the-netflix-cosmos-platform-35c14d9351ad

Я бтв тут проект на днях начинаю на лямбдах, чтобы вы посоветовали/отсебячили по организации кода, советам, докладам и прочему?

Конечно же go, но скорее все ресурсы зайдут. Буду признателен.

"This destroyes the RSA cryptosystem" (by proving polynomial time bound on integer factorization)

https://eprint.iacr.org/2021/232

UPD: reddit https://www.reddit.com/r/programming/comments/lwqi2w/this_destroys_the_rsa_cryptosystem/

UPD: hn https://news.ycombinator.com/item?id=26321962

[In reply to oleg_log]
Выглядит как яростный кликбейт.

Это не опубликованная статья, на Google Scholar отсутствует, не проходило никакого подробного peer review, цитирую https://eprint.iacr.org/ :
> Papers have been placed here by the authors and did not undergo any refereeing process other than verifying that the work seems to be within the scope of cryptology and meets some minimal acceptance criteria and publishing conditions.

Гуглится только PDF с сайта университета: https://www.math.uni-frankfurt.de/~dmst/research/papers/SVP9.pdf
Явно помечено как "work in progress 04.03.2020", то есть версия более новая, чем в архиве.

Пусть автор и сам Шнорр, но это ничего не значит. Легко могут быть ошибки, которые разрушают доказательство.

Дополнительно напрягает, что в заголовке написано "by proving polynomial time bound on integer factorization", но такого в abstract прямым текстом не упомянуто. Может, конечно, завуалировано, но чтобы понять "правда или нет", надо вникать в формулировки теорем. Там нет красивой теоремы "алгоритм X раскладывает число на множители за полином"

by Egor Suvorov (❤️ ! )

Мне тут 1 иф в JWT либу захотелось завести, пришлось почитать спецификацию JSON.

string = quotation-mark *char quotation-mark
....
quotation-mark = %x22      ; "

https://tools.ietf.org/html/rfc8259#section-7

То есть только двойная кавычка является валидным ограничителем(или как это звать?) строки.

А потом заходишь на 1ю ссылку в гугле по запросу json validator и https://jsonformatter.curiousconcept.com/# говорит. что {'a':123} это валидное (кавычки одинарные).

Хотя все другие ругаются и слушаются спецификации. Такие дела :(

(мимоссылка https://github.com/cristalhq/jwt #hq)

уматовое UPD: там включена галочка Fix JSON, оно и заменяет кавычки, лол

Приглашаю всех 17-го марта в 19:00 на митап где John Owens (автор курса udacity cs344 - Intro to Parallel Programming) расскажет о динамических структурах данных на GPU: https://www.meetup.com/CUDA-Community-Meetup-Group/events/276706179/. Помимо этого наш митап был включён в программу поддержки JetBrains, по этому я буду разыгрывать бесплатные лицензии CLion среди участников.

Меня привлек этот паттерн, как пишет большинство? (как можете догадаться timeout мы используем, flushTimeout аля из конфига)

timeout := 3 * time.Second
if flushTimeout != 0 {
    timeout = flushTimeout
}

// vs

timeout := flushTimeout
if timeout == 0 {
    timeout = 3 * time.Second
}

Интересная ко-история к квадратичному парсеру. С простым выводом - каждый может ошибиться.

(Obviously, the moral of the story is to not use sscanf to repeatedly parse single tokens off the front of a string; I'm sure you'll do fine if you can just avoid that)

https://www.mattkeeter.com/blog/2021-03-01-happen/

400 коментов на ХН (триггеред!) https://news.ycombinator.com/item?id=26337046

Даж какой-то фикс в FreeBSD https://reviews.freebsd.org/D29007

У меня тут сильно пригорело с UX go.googlesource.com и редиректов с pkg.go.dev на стдлиб, что я прам наругался матом в лс хорошему человеку (даже в твитор поныл).

Но как заметил хороший человек, лучше было бы сделать ишью, чтобы это пофиксили, хоть я и не сильно надеюсь.

Вдруг интересно, вот моя боль https://github.com/golang/go/issues/44832 (апвот приветствуется)

(самое смешное было смотреть код декодера base64 и получать этот же код в base64, с юмором у Вселенной все ок)

Ахахахха(

Я теперь понимаю, почему он друг Jonathan Blow, отличный бугурт, прям идеально перед понедельником (хотя видосу почти год)

https://www.youtube.com/watch?v=GC-0tCy4P1U

Ого, книга по ffmpeg. Даже не бесплатная. Но ффмпег тот еще комбайн, 80 глав звучит как то, что надо,

https://ffmpegfromzerotohero.com/

Если бы мне давали 1 доллар за каждый найденный захардкоженный пароль/токен/чтоугоднооколосесурити то я бы зарабатывал по 5 баксов в месяц (прям как сейчас)

Не уверен, на сколько это законно, а скорее незаконно, но запустить grep по приватным репам Github/Gitlab кому-то из сотрудников думаю всегда хотелось бы.

А ведь это сколько потенциальных дыр....Мне посчастливилось встретить в 2/3 финпроектах такие штуки. Жаль за такое не дают круглое bug bounty :(

HODL https://www.technologyelevation.com/2021/03/bill-gates-says-that-bitcoin-is-bad-for.html

Какую красивую альтернативу привезли https://cs.opensource.google/go/go/+/master:src/encoding/base64/base64.go

Можно ходить по коду как по бульвару. Супер.

До чего тупые вещи творят люди. Не побоюсь сказать, что Г экосистема одна из самых всратых среди фаанг.

https://arstechnica.com/?p=1747061