Forwarded from PRO Hi-Tech
В Max обнаружена серьезная дыра в безопасности. Фотографии, пересылаемые в личных сообщениях, оказались общедоступными.
Если злоумышленнику известен точный веб-адрес изображения из веб-версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы.
Это также означает, что злоумышленники и системы автоматизированного сбора информации (в том числе иностранные) могут получить доступ к случайным изображениям случайных пользователей путем перебора ключа, состоящего из нескольких десятков символов.
До устранения уязвимости мы считаем разумным воздержаться от пересылки через Max любых изображений, которые могут содержать медицинскую или иную тайну, фото паспорта и банковских карт, а также фотографий листочков с логинами и паролями.
Увы, по ссылке можно получить доступ и к фотографиям, пересылаемым в личных сообщениях в VK.
Если злоумышленнику известен точный веб-адрес изображения из веб-версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы.
Это также означает, что злоумышленники и системы автоматизированного сбора информации (в том числе иностранные) могут получить доступ к случайным изображениям случайных пользователей путем перебора ключа, состоящего из нескольких десятков символов.
До устранения уязвимости мы считаем разумным воздержаться от пересылки через Max любых изображений, которые могут содержать медицинскую или иную тайну, фото паспорта и банковских карт, а также фотографий листочков с логинами и паролями.
Увы, по ссылке можно получить доступ и к фотографиям, пересылаемым в личных сообщениях в VK.
Forwarded from PRO Hi-Tech
Представители Max прокомментировали ТАСС ситуацию с доступностью фото из личных переписок по ссылке любому пользователю сети.
- сказали в пресс-службе.
Пресс-служба заявила, что вся эта ситуация "наброс" и она "опровергается ИБ-экспертами", а "все данные пользователей мессенджера, что касается и фото, надежно защищены".
Из этого можно сделать вывод, что в MAX на сегодня не видят проблемы в данной ситуации и не считают ее серьезной дырой в безопасности. И не сообщают ничего о планах усилить безопасность MAX.
Возможно, в случае с хакерами-одиночками и их потенциальными жертвами, у которых они хотят угнать личные документы, уровень безопасности и правда приемлемый. Подобрать перебором конкретный ключ для конкретной фотографии займет слишком много времени, чтобы злоумышленник этим занимался.
Мы же смотрим на ситуацию, возможно, с неким дополнительным уровнем паранойи - не нужно упрощать жизнь злоумышленникам, когда речь идет о национальном мессенджере, особенно, если учитывать, что злоумышленник может быть спонсирован другим государством, иметь мощности, мозги, бюджет и задачу постоянно проверять все возможные комбинации ключей для файлов и фото, чтобы массового воровать бигдату россиян. То есть не ваш конкретный файл, а, вообще, всё, до чего сможет дотянуться, всё, что попадется. Доступ к файлу без дополнительной проверки в виде хотя бы базовой авторизации в Max в нашем понимании удешевляет для злоумышленников такую задачу.
Раз представители Max обратили внимание, хотелось бы, чтобы они удлинили ключи для всех новых файлов, а когда будет техническая возможность, в одном из следующих обновлений установили запрет на просмотр файлов в системе без авторизации. Получил ссылку на фото в Max - войди в свой аккаунт Max, чтобы просмотреть. В нашем понимании, это значительно усилит безопасность Max.
"Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать",
- сказали в пресс-службе.
Пресс-служба заявила, что вся эта ситуация "наброс" и она "опровергается ИБ-экспертами", а "все данные пользователей мессенджера, что касается и фото, надежно защищены".
Из этого можно сделать вывод, что в MAX на сегодня не видят проблемы в данной ситуации и не считают ее серьезной дырой в безопасности. И не сообщают ничего о планах усилить безопасность MAX.
Возможно, в случае с хакерами-одиночками и их потенциальными жертвами, у которых они хотят угнать личные документы, уровень безопасности и правда приемлемый. Подобрать перебором конкретный ключ для конкретной фотографии займет слишком много времени, чтобы злоумышленник этим занимался.
Мы же смотрим на ситуацию, возможно, с неким дополнительным уровнем паранойи - не нужно упрощать жизнь злоумышленникам, когда речь идет о национальном мессенджере, особенно, если учитывать, что злоумышленник может быть спонсирован другим государством, иметь мощности, мозги, бюджет и задачу постоянно проверять все возможные комбинации ключей для файлов и фото, чтобы массового воровать бигдату россиян. То есть не ваш конкретный файл, а, вообще, всё, до чего сможет дотянуться, всё, что попадется. Доступ к файлу без дополнительной проверки в виде хотя бы базовой авторизации в Max в нашем понимании удешевляет для злоумышленников такую задачу.
Раз представители Max обратили внимание, хотелось бы, чтобы они удлинили ключи для всех новых файлов, а когда будет техническая возможность, в одном из следующих обновлений установили запрет на просмотр файлов в системе без авторизации. Получил ссылку на фото в Max - войди в свой аккаунт Max, чтобы просмотреть. В нашем понимании, это значительно усилит безопасность Max.
TACC
В Mах опровергли данные о "личных фотографиях в общем доступе"
Ссылкой на них для просмотра человек должен поделиться по своей воле
Не знаю фейк ли или нет но прецедент интересный
Израильские ребята случайно засветили интерфейс секретной программы Graphite, которая умеет взламывать смартфоны и следить за тобой в реальном времени.
Скриншот на пару минут появился в LinkedIn, но потом его быстренько убрали. Автор фото — один из боссов компании Paragon Solutions, которая делает шпионское ПО для госструктур.
На картинке видно, что Graphite, после того как залезет в твой телефон, даёт доступ к геолокации, микрофону и камере. А ещё можно читать переписки в Viber, Signal, Snapchat и Telegram.
Израильские ребята случайно засветили интерфейс секретной программы Graphite, которая умеет взламывать смартфоны и следить за тобой в реальном времени.
Скриншот на пару минут появился в LinkedIn, но потом его быстренько убрали. Автор фото — один из боссов компании Paragon Solutions, которая делает шпионское ПО для госструктур.
На картинке видно, что Graphite, после того как залезет в твой телефон, даёт доступ к геолокации, микрофону и камере. А ещё можно читать переписки в Viber, Signal, Snapchat и Telegram.
Ладно, я дурак, прошу меня за это простить
Повёлся на ProHiTech, не стал перепроверять его.
Повёлся на ProHiTech, не стал перепроверять его.
Forwarded from Похек (Сергей Зыбнев)
Разбор фейка о фото в МАХ
В телеграм-каналах распространяется фейк о фото в МАХ от пользователя с Пикабу. Не надо быть мидлом пентестером, чтобы понять, что это не реалистичный сценарий атаки -_-
Во время переписки пользователей при передаче медиа контента (фото, видео) файл попадает на внутренние хранилища того сервиса, на который выкладывается. Это делается для того, чтобы пользователь мог открыть изображение или переслать его. Так работают все платформы — от российского МАХ до запрещенных FaceBook и Instagram
Например, https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not1LVzwMmiSsq_k0ZzTM6Hp5bBJ_5Cu3FMzK9WPICitn8 — используется сложный алгоритм шифрования, который не получится перебрать и получить доступ к чужим файлам. Если не верите, попробуйте сбрутить :)
Если ссылку передать кому-то, то, конечно, он сможет по ней перейти и получить информацию о файле. Проще говоря, пользователи могут увидеть фотографию только когда владелец добровольно поделится ей или ссылкой на нее. А личные фото недоступны никому, кроме владельца.
В телеграм-каналах распространяется фейк о фото в МАХ от пользователя с Пикабу. Не надо быть мидлом пентестером, чтобы понять, что это не реалистичный сценарий атаки -_-
Во время переписки пользователей при передаче медиа контента (фото, видео) файл попадает на внутренние хранилища того сервиса, на который выкладывается. Это делается для того, чтобы пользователь мог открыть изображение или переслать его. Так работают все платформы — от российского МАХ до запрещенных FaceBook и Instagram
Например, https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not1LVzwMmiSsq_k0ZzTM6Hp5bBJ_5Cu3FMzK9WPICitn8 — используется сложный алгоритм шифрования, который не получится перебрать и получить доступ к чужим файлам. Если не верите, попробуйте сбрутить :)
Если ссылку передать кому-то, то, конечно, он сможет по ней перейти и получить информацию о файле. Проще говоря, пользователи могут увидеть фотографию только когда владелец добровольно поделится ей или ссылкой на нее. А личные фото недоступны никому, кроме владельца.
Паттерны проектирования — это проверенные решения типовых задач в программировании, которые представляют собой общие концепции для адаптации под конкретные ситуации. Они делятся на категории:
1. Порождающие
2. Структурные
3. Поведенческие
4. Архитектурные
Важно понимать
1. Паттерны проектирования представляют собой рекомендательные подходы, а не обязательные нормы. Их использование должно быть осознанным и обоснованным, направленным на решение конкретных задач и проблем.
2. Избыточное применение паттернов может привести к усложнению структуры кода и снижению его читаемости. Рекомендуется начинать с простых и эффективных решений, усложняя архитектуру программного обеспечения только при объективной необходимости.
#ооп #программирование
1. Порождающие
2. Структурные
3. Поведенческие
4. Архитектурные
Важно понимать
1. Паттерны проектирования представляют собой рекомендательные подходы, а не обязательные нормы. Их использование должно быть осознанным и обоснованным, направленным на решение конкретных задач и проблем.
2. Избыточное применение паттернов может привести к усложнению структуры кода и снижению его читаемости. Рекомендуется начинать с простых и эффективных решений, усложняя архитектуру программного обеспечения только при объективной необходимости.
#ооп #программирование
Я тут вспомнил, что уже практически год пользуюсь M2 SSD накопителем от компании Гравитон как переносным жёстким диском.
Вообще, я приверженец того, что любая покупка должна быть практична и оправдана. Не просто "Ну бля, хочется", а в не должен быть смысл
Делать такой сетап я решил, потому что это надёжнее чем флешка, больше места и отличные скорости. Ну и решил для этого приобрести российский накопитель (благо, смог урвать его по цене, равной какому-то Netac)
Тесты скоростей проводились через USB шину, поэтому они меньше заявленных, но все равно радуют.
Сейчас решил, что сделаю из этой гигафлешки себе диск
1-Файловым хранилищем
2-Дистрибутивом Kali для запуска с диска
3-Дистрибутивом для Альта для запуска и установки с диска
240 Гб это потянут
Вообще, я приверженец того, что любая покупка должна быть практична и оправдана. Не просто "Ну бля, хочется", а в не должен быть смысл
Делать такой сетап я решил, потому что это надёжнее чем флешка, больше места и отличные скорости. Ну и решил для этого приобрести российский накопитель (благо, смог урвать его по цене, равной какому-то Netac)
Тесты скоростей проводились через USB шину, поэтому они меньше заявленных, но все равно радуют.
Сейчас решил, что сделаю из этой гигафлешки себе диск
1-Файловым хранилищем
2-Дистрибутивом Kali для запуска с диска
3-Дистрибутивом для Альта для запуска и установки с диска
240 Гб это потянут
Пост боли...
Короче,суть такая. Пишу приложение на Laravel с мультиязычностью.
Добавил значит проверку locale, создал middleware - пользовательские маршруты работают. Но зацепило и маршруты админа.
Казалось бы - просто выполняй проверку на этих маршрутах . И я так думал, пока не столкнулся с тем, что это НЕ РАБОТАЕТ.
Два часа ругани выполнения кучи проверок и куча убитых нервов, чтобы ... Найти этот самый секретный ингредиент
Оказывается, дело было в том, что логика маршрута обрабатывалась не так, как надо (кто бы бл мог подумать). А решение - другое расположение маршрутов.
Не бро
А вот это БРО
Теперь вы знаете больше
Короче,суть такая. Пишу приложение на Laravel с мультиязычностью.
Добавил значит проверку locale, создал middleware - пользовательские маршруты работают. Но зацепило и маршруты админа.
Казалось бы - просто выполняй проверку на этих маршрутах . И я так думал, пока не столкнулся с тем, что это НЕ РАБОТАЕТ.
Два часа ругани выполнения кучи проверок и куча убитых нервов, чтобы ... Найти этот самый секретный ингредиент
Оказывается, дело было в том, что логика маршрута обрабатывалась не так, как надо (кто бы бл мог подумать). А решение - другое расположение маршрутов.
Route::group(['prefix' => '{locale}','middleware' => [\App\Http\Middleware\SetLocale::class]], function() {
});
Route::middleware('auth','verified')->group(function () {
});
Не бро
Route::middleware('auth','verified')->group(function () {
});
Route::group(['prefix' => '{locale}','middleware' => [\App\Http\Middleware\SetLocale::class]], function() {
});
А вот это БРО
Теперь вы знаете больше
Forwarded from Техножнец
УСИЛОК ЮПИТЕР - Первый мой проект на гитхабе!
https://github.com/barometech/jupiter-sound-booster
У тебя колонки подключены к компу просто через аудиовыход, без внешнего питания? И звук тихий? JUPITER решает эту проблему.
Это бесплатная альтернатива Letasoft Sound Booster — программа делает системный звук громче, до +30 дБ (это в 31 раз громче!). При этом встроенный DSP-движок не даёт звуку хрипеть и захлёбываться.
Работает на
Для полного функционала рекомендуем установить Equalizer APO — это бесплатный аудио-драйвер, который позволяет усиливать звук на уровне системы с нулевой задержкой.
https://github.com/barometech/jupiter-sound-booster
ЛИЦЕНЗИЯ MIT!
🎵 Что это такое?
У тебя колонки подключены к компу просто через аудиовыход, без внешнего питания? И звук тихий? JUPITER решает эту проблему.
Это бесплатная альтернатива Letasoft Sound Booster — программа делает системный звук громче, до +30 дБ (это в 31 раз громче!). При этом встроенный DSP-движок не даёт звуку хрипеть и захлёбываться.
Работает на
Windows, Linux и Android. Открытый исходный код, лицензия MIT.Letasoft стоит $20.
JUPITER — бесплатный и делает больше.
Для полного функционала рекомендуем установить Equalizer APO — это бесплатный аудио-драйвер, который позволяет усиливать звук на уровне системы с нулевой задержкой.
Поддержать канал: https://tbank.ru/cf/8Xnajl01ehm
Поддержать канал: https://yoomoney.ru/fundraise/1C86E2DGIU9.250819
Горизонт» запустил массовое производство новой модели ноутбука. Релиз приурочили к 8 Марта и Году белорусской женщины в Беларуси. Главные особенности новинки — ультратонкий корпус в цвете «космический оранжевый» и вес менее 1 кг как символ яркого и активного образа современной женщины. Также компания продвинулась в локализации: теперь она сама выпускает ключевые компоненты для портативных ПК, включая материнские платы и SSD, но характеристики платформы не раскрыли.
🔥2
🧠Fujitsu вместе с 1FINITY показала первый инженерный образец процессора Monaka, который обещают выпустить в 2027 году. Чип собран на платформе Broadcom 3.5D eXtreme Dimension System in Package и включает 4 чиплета по 36 ядер Armv9-A, всего 144 ядра, плюс отдельные чиплеты ввода-вывода и SRAM-кеша. Monaka поддерживает 12-канальную DDR5, PCIe 6.0 с CXL 3.0 и Arm SVE2 для ИИ и HPC, а производить его будут на TSMC по техпроцессу 2 нм.
Это что - новый игрок на внутреннем рынке?
Это что - новый игрок на внутреннем рынке?
Forwarded from Информатика • Алексей Гладков
Возможно вы не знаете его по имени, но точно знаете по его продукту....
В 1995‑м появился WinRAR для Windows, ставший де‑факто стандартом сжатия файлов на ПК.
Спасибо за сжатие)
#вехи_истории
⸻
YouTube | VkVideo | Telegram | Pikabu
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания Anthropic подала иск против Министерства войны США, главы Пентагона Пита Хегсета, нескольких федеральных ведомств и чиновников администрации Дональда Трампа. Разработчик модели искусственного интеллекта Claude обвинил власти в попытке разрушить его бизнес из-за отказа подчиняться требованиям Пентагона, передает The Wall Street Journal.
Иск связан с тем, что Белый дом объявил компанию «угрозой для цепочки поставок». Этот статус фактически запрещает сотрудничество с ней: клиенты, продолжающие использовать технологии Anthropic, рискуют мгновенным разрывом контрактов со стороны Пентагона.
Иск связан с тем, что Белый дом объявил компанию «угрозой для цепочки поставок». Этот статус фактически запрещает сотрудничество с ней: клиенты, продолжающие использовать технологии Anthropic, рискуют мгновенным разрывом контрактов со стороны Пентагона.
Forwarded from LinQ: ускорители для ИИ
Отечественный ИИ-ускоритель LinQ HPQ от компании «ХайТэк» включен в Реестр российской промышленной продукции Минпромторга РФ
LinQ HPQ — модуль ускорения искусственного интеллекта на базе 4 тензорных процессоров собственной архитектуры LinQ H1М, также имеющих статус российской промышленной продукции Минпромторга РФ.
Ускоритель предназначен для запуска ИИ-приложений в инфраструктуре ЦОДов и в системах туманных вычислений.
Какие задачи решает
🔹 Компьютерное зрение
🔹 Промышленный контроль и IoT
🔹 Городская безопасность
🔹 Предиктивная аналитика и др.
Ключевые характеристики:
🔵 Пиковая производительность: 96 TOPS (int8)
🔵 Сверхнизкая задержка: 2,3 мс (оптимизируемо до 1,5 мс на ResNet-50)
🔵 Эффективность на малых батчах для CNN и Transformer
🔵 Полностью собственный ПО-стек, прямой запуск моделей из TensorFlow 2 и PyTorch (через ONNX)
🔵 Параллельный инференс нескольких моделей
LinQ HPQ — модуль ускорения искусственного интеллекта на базе 4 тензорных процессоров собственной архитектуры LinQ H1М, также имеющих статус российской промышленной продукции Минпромторга РФ.
Ускоритель предназначен для запуска ИИ-приложений в инфраструктуре ЦОДов и в системах туманных вычислений.
Какие задачи решает
Ключевые характеристики:
«Включение LinQ HPQ в реестр — это прямой ответ на запрос рынка: заказчикам нужен ИИ-ускоритель, который можно обоснованно закладывать в государственные и корпоративные проекты без рисков, связанных с иностранными компонентами и санкционным давлением.
Мы разрабатывали LinQ HPQ как высокопроизводительное многопроцессорное решение на базе собственного чипа таким образом, чтобы он полностью не зависел от зарубежных IP блоков — ни архитектурно, ни программно.
Теперь российские компании и ведомства могут разворачивать полноценные ИИ-системы — от чипа до программного стека — целиком на отечественных технологиях, с подтвержденным статусом и без компромиссов по производительности» — Михаил Фролов, заместитель генерального директора по научной работе «ХайТэк».
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Официальный канал Труконф
Милостивые государи!
С 1-го марта вступает в силу закон о защите русского языка. Посему мы подготовили небольшую памятку о коммуникациях и ВКС по-русски.
Сей есть словарь шутейный наш⤴️
@trueconf
С 1-го марта вступает в силу закон о защите русского языка. Посему мы подготовили небольшую памятку о коммуникациях и ВКС по-русски.
Сей есть словарь шутейный наш
@trueconf
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM