В феврале этого года энтузиаст запустил Windows XP на Apple TV (1st generation)
https://x.com/dosdude1/status/1891662119315046801
И вот в начале апреля вышло видео с подробностями (перезалил к посту)
How I ported Windows XP to the Original Apple TV
00:00 Introduction
01:21 Part 0: The Beginning
07:59 Part 0x3F8: The Descent
09:18 Part General Protection Fault: The Bootloader
15:56 Part 0xB4: The Video Driver
19:19 Part 0xA5: The HAL Problem(s)
24:52 Part 0x1D: The Video Driver 2: Electric Bootloop
28:02 Part 0xA: Revenge of the HAL
31:23 Part 777: Success, Failure, and Fame
35:12 Conclusion
Описание процесса создания прослойки лежит в отдельной доке
How I ported Windows XP to the original Apple TV
https://github.com/DistroHopper39B/NTATV/blob/main/Docs/Write-Up.md
Но и это ещё не всё. На AppleTV можно запустить и ReactOS 🌝
https://github.com/DistroHopper39B/reactos
Репозиторий проекта
The NTATV Project: Bringing Windows NT (Windows XP, Windows 2003, ReactOS) to the original Apple TV
https://github.com/DistroHopper39B/NTATV
https://x.com/dosdude1/status/1891662119315046801
И вот в начале апреля вышло видео с подробностями (перезалил к посту)
How I ported Windows XP to the Original Apple TV
https://www.youtube.com/watch?v=YkjrEXtZoWM00:00 Introduction
01:21 Part 0: The Beginning
07:59 Part 0x3F8: The Descent
09:18 Part General Protection Fault: The Bootloader
15:56 Part 0xB4: The Video Driver
19:19 Part 0xA5: The HAL Problem(s)
24:52 Part 0x1D: The Video Driver 2: Electric Bootloop
28:02 Part 0xA: Revenge of the HAL
31:23 Part 777: Success, Failure, and Fame
35:12 Conclusion
Описание процесса создания прослойки лежит в отдельной доке
How I ported Windows XP to the original Apple TV
https://github.com/DistroHopper39B/NTATV/blob/main/Docs/Write-Up.md
Но и это ещё не всё. На AppleTV можно запустить и ReactOS 🌝
https://github.com/DistroHopper39B/reactos
Репозиторий проекта
The NTATV Project: Bringing Windows NT (Windows XP, Windows 2003, ReactOS) to the original Apple TV
https://github.com/DistroHopper39B/NTATV
👀10💊10🔥4⚡2🤡2🥴2👍1🥱1😨1
Четверг, а значит время проектов от подписчиков! 🌝
Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://news.1rj.ru/str/tech_b0lt_Genona/4983
Слово автору @root_thedevscave
---
Когда я только начинал свой путь программиста, я влюбился в опен-сорс, открытость и комьюнити единомышленников. После накопления своего багажа знаний, я подумал что хочу внести свой вклад и поделиться им. Так я создал вебсайт, где объясняю различные темы связанные с программированием простыми словами
На данный момент самыми популярными статьями (опираясь на гугл аналитику) являются:
1. Статические vs Динамические библиотеки
2. Что такое сокет
3. OSI модель в деталях
4. Процесс сборки на С
5. Как данные перемещаются в сети
Помимо статтей я могу еще предложить вступить в наш небольшой Telegram чат, где иногда обсуждаются какие-то идеи и я выкладываю обновления по сайту. Именно из чата я узнал, что как минимум нескольким людям мой вебсайт помог разобраться в темах, которые им были непонятны. И поэтому я уже горжусь тем, что помог кому-то углубить свои знания
На сайте или в телеграм чате нет абсолютно никакой рекламы, потому что единственной целью которую я преследую является расширить знания людей. Я считаю что знания должны быть доступны каждому и хочу поспособствовать этому лично
Если тебя также как и меня будоражит все что связано с программированием и тебе интересно все айтишное, то я буду рад видеть тебя в нашем чате и буду надеяться что ты сможешь подчерпнуть для себя что-то новое в какой-то из статтей на моем вебсайте
Спасибо :)
---
Слово автору @root_thedevscave
---
Когда я только начинал свой путь программиста, я влюбился в опен-сорс, открытость и комьюнити единомышленников. После накопления своего багажа знаний, я подумал что хочу внести свой вклад и поделиться им. Так я создал вебсайт, где объясняю различные темы связанные с программированием простыми словами
На данный момент самыми популярными статьями (опираясь на гугл аналитику) являются:
1. Статические vs Динамические библиотеки
2. Что такое сокет
3. OSI модель в деталях
4. Процесс сборки на С
5. Как данные перемещаются в сети
Помимо статтей я могу еще предложить вступить в наш небольшой Telegram чат, где иногда обсуждаются какие-то идеи и я выкладываю обновления по сайту. Именно из чата я узнал, что как минимум нескольким людям мой вебсайт помог разобраться в темах, которые им были непонятны. И поэтому я уже горжусь тем, что помог кому-то углубить свои знания
На сайте или в телеграм чате нет абсолютно никакой рекламы, потому что единственной целью которую я преследую является расширить знания людей. Я считаю что знания должны быть доступны каждому и хочу поспособствовать этому лично
Если тебя также как и меня будоражит все что связано с программированием и тебе интересно все айтишное, то я буду рад видеть тебя в нашем чате и буду надеяться что ты сможешь подчерпнуть для себя что-то новое в какой-то из статтей на моем вебсайте
Спасибо :)
---
👍29🔥7👎3🥱2❤1🤡1
Тут произошла ДРАМА в камунити Matrix
Все, кто админил Matrix, а именно его наиболее известную имплементацию Synapse (https://github.com/element-hq/synapse/), тот знает, что это страшное поделие, которое жрёт кучу ресурсов.
Когда вы читает в доке
Естественно, стали появляться другие реализации, в том числе на Rust (оригинальный написан на Python)
Одним из таких проектов стал Conduwuit
https://github.com/girlbossceo/conduwuit
И вот основатель проекта сгорел
Полностью тут
https://girlboss.ceo/~strawberry/conduwuit.txt
На самом деле камунити вокруг Matrix, а точнее альтернативные реализации, будто проклято. Почитать про все срачи можно тут (я орал)
Problems with Matrix homeserver implementations
https://hedgedoc.computer.surgery/s/qMd17DXxP
А теперь немного про проекты
https://gitlab.com/famedly/conduit - известная реализация. Автор замешан в срачах.
https://github.com/matrix-construct/tuwunel - позволяет переехать с закрывшегося Conduwuit, но нельзя с Conduit и Synapse. Автор замешан в срачах и помогал пилить Conduwuit.
https://gitlab.computer.surgery/matrix/grapevine - форк Conduit, который появился потому что разработка первого, да и в целом Matrix, в говне. Автор замешан в срачах.
Все, кто админил Matrix, а именно его наиболее известную имплементацию Synapse (https://github.com/element-hq/synapse/), тот знает, что это страшное поделие, которое жрёт кучу ресурсов.
Когда вы читает в доке
At least 1GB of free RAM if you want to join large public rooms like #matrix:matrix.org, то не верьте этому (https://element-hq.github.io/synapse/latest/setup/installation.html)Естественно, стали появляться другие реализации, в том числе на Rust (оригинальный написан на Python)
Одним из таких проектов стал Conduwuit
https://github.com/girlbossceo/conduwuit
И вот основатель проекта сгорел
conduwuit was on track, and arguably already was, to being the best actively maintained synapse alternative. the success of conduwuit stemmed primarily from my co-maintainer Jason, who i have had noticeably rough times collaborating with but overall still stuck together until yesterday.
yet, since creating conduwuit, over the past 12 months i have had nothing but constant abuse and retaliation and toxicity from all kinds of people across matrix, and none of these people getting repercussions because the world of matrix is incredibly small and they all talk to eachother and participate in eachother's rooms and activities towards me
. . .
and my ambitions for matrix are too high and my project is a threat to taking over synapse and killing all other homeserver implementations
. . .
over the past 12 months, i have faced and still am facing:
- fake security vulnerabilities made up and posted on fediverse to attack me and my project, by queer folks
- false accusations of "withholding security vulnerabilities" on fediverse and matrix
- a highly falsified and libeled document about me that has been primarily passed around the nix community, including by folks who are quite high up involved in nix, to drive away conduwuit users or potential ones, including even posting it in my own rooms, and even recurring donators cancelling their donations
- my servers ACL'd and transfem.dev users banned from queer-owned rooms just because the homeserver is conduwuit
- threats of attempting mass defederation just because i dont participate in spec pedantry so conduwuit "is a threat to federation stability"
- baselessly labeled a zoophile, dogfucker, pedophile, etc on fediverse and on matrix, by queer folks
- getting posted on 4chan, kiwifarms and harassed by those users
- attempts at trying to take control of my project or trying to strong-arm it into a way i dont agree with, primarily by the "rustaceans"
- harassed by docker users and nix users for failing to ensure "stability", "maintainability", better tagging, more frequent stable releases, and other completely minute and miniscule things that are not relevant to focus or worry about
- transfem.dev ddosed, mass-spam registrations, forced to block tor exit nodes and VPNs
- copyright trolls demanding i delete all their commits from conduwuit or face legal action
- an attempt at harassing my previous employer
- demands i ban my primary co-maintainer and being given falsified evidence or opinions of their "actions towards matrix"
Полностью тут
https://girlboss.ceo/~strawberry/conduwuit.txt
На самом деле камунити вокруг Matrix, а точнее альтернативные реализации, будто проклято. Почитать про все срачи можно тут (я орал)
Problems with Matrix homeserver implementations
https://hedgedoc.computer.surgery/s/qMd17DXxP
А теперь немного про проекты
https://gitlab.com/famedly/conduit - известная реализация. Автор замешан в срачах.
https://github.com/matrix-construct/tuwunel - позволяет переехать с закрывшегося Conduwuit, но нельзя с Conduit и Synapse. Автор замешан в срачах и помогал пилить Conduwuit.
https://gitlab.computer.surgery/matrix/grapevine - форк Conduit, который появился потому что разработка первого, да и в целом Matrix, в говне. Автор замешан в срачах.
😢13😁12🤡7🤣4❤1🥱1🥴1
В прошлом году "Экспресс 42" пришли ко мне с просьбой разместить опрос о состоянии ДевоПсов в России https://news.1rj.ru/str/tech_b0lt_Genona/4376
Сам отчёт доступен тут
https://devopsrussia.ru/wp-content/themes/devopsrussia/assets/docs/StateOfDevOpsRussia2024.pdf
В этом году они пришли ко мне с аналогичной просьбой, что бы составить отчёт за 2025 год
На этот раз ключевая тема исследования - developer experience. А именно то, что помогает компаниям формировать позитивный опыт для разработчиков и как на него влияют внутренние платформы, ML/AI-инструменты, облачные технологии и практики ИБ.
Если есть желание, то пройти опрос можно по ссылке - https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF
Топики, отчёта за 2024 год:
- практики и инструменты DevOps
- инфраструктурные и контейнерные платформе
- облачные технологии
- рынок труда DevOps
- роль и функцию ИТ в компаниях
В этом году отчёт обещает быть не хуже и точно будет чего в нём посмотреть.
Чем больше людей ответит на вопросы, тем качественней будет статистика и результаты, поэтому важно мнение каждого (ноль иронии).
Ну и, как обычно, все участники исследования получат отчет сразу, как только он будет готов.
ЗЫ В этот раз тоже обещают призы между участниками опроса разыграть. Список призов от мерча и промокодов до билетов на конференции Highload++ и DevOpsConf.
Сам отчёт доступен тут
https://devopsrussia.ru/wp-content/themes/devopsrussia/assets/docs/StateOfDevOpsRussia2024.pdf
В этом году они пришли ко мне с аналогичной просьбой, что бы составить отчёт за 2025 год
На этот раз ключевая тема исследования - developer experience. А именно то, что помогает компаниям формировать позитивный опыт для разработчиков и как на него влияют внутренние платформы, ML/AI-инструменты, облачные технологии и практики ИБ.
Если есть желание, то пройти опрос можно по ссылке - https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF
Топики, отчёта за 2024 год:
- практики и инструменты DevOps
- инфраструктурные и контейнерные платформе
- облачные технологии
- рынок труда DevOps
- роль и функцию ИТ в компаниях
В этом году отчёт обещает быть не хуже и точно будет чего в нём посмотреть.
Чем больше людей ответит на вопросы, тем качественней будет статистика и результаты, поэтому важно мнение каждого (ноль иронии).
Ну и, как обычно, все участники исследования получат отчет сразу, как только он будет готов.
ЗЫ В этот раз тоже обещают призы между участниками опроса разыграть. Список призов от мерча и промокодов до билетов на конференции Highload++ и DevOpsConf.
🔥9❤6👎6👍4🤡3🥱1
QEMU один из тех проектов которым, как я считаю, может гордиться индустрия. Он прекрасен. Рад, что проект растёт и развивается.
Часть изменений
Опубликован эмулятор QEMU 10.0.0
https://www.opennet.ru/opennews/art.shtml?num=63129
Если в версии 9.2 была добавлена экспериментальная поддержка Rust
https://wiki.qemu.org/ChangeLog/9.2
То сейчас, оставшись экспериментальной, считается уже достаточно стабильной
Полный changelog
https://wiki.qemu.org/ChangeLog/10.0
Часть изменений
- В драйвер virtio-scsi, предоставляющий виртуальный SCSI-контроллер (SCSI Host Bus Adapter) для виртуальных машин, добавлена поддержка многоуровневой системы очередей (multiqueue), позволяющей разделить очереди для разных блочных устройств для обеспечения многопоточного доступа на многоядерных системах (разные очереди одного накопителя могут обрабатываться разными потоками ввода/вывода). По сравнению с драйвером виртуального блочного устройства (virtio-blk) виртуальный SCSI-контроллер немного отстаёт по производительности, но позволяет использовать более 28 дисков.
- В VFIO (Virtual Function I/O) улучшена поддержка проброса IGD (Integrated Graphics Device) для интегрированных GPU, используемых в 11 (Rocket Lake) и 12 (Alder Lake) поколениях процессоров Intel. Добавлена поддержка старых GPU ATI (x550). Реализована базовая поддержка PCI PM (Power Management).
- Добавлен новый режим Live-миграции "cpr-transfer" (CheckPoint and Restart), позволяющий переместить гостевую систему в новый экземпляр QEMU, запущенный на том же хосте. Режим минимизирует время приостановки за счёт того, что память гостевой системы отражается в виртуальное адресное пространство нового QEMU без копирования содержимого.
- Значительно переработана и расширена документация к протоколу QMP (QEMU Machine Protocol), позволяющему приложениям управлять QEMU.
- В эмуляторе архитектуры x86 реализована поддержка моделей процессоров Intel Xeon Clearwater Forest и Sierra Forest v2. Ускорена эмуляция инструкций для манипуляции строковыми данными.
- В эмуляторе архитектуры ARM реализована поддержка плат NPCM8445 Evaluation и i.MX 8M Plus EVK. Добавлена эмуляция расширений FEAT_AFP, FEAT_RPRES и FEAT_XS, а также физических и виртуальных таймеров EL2. Объявлена устаревшей поддержка CPU Arm PXA2xx и эмуляция инструкций iwMMXt.
Опубликован эмулятор QEMU 10.0.0
https://www.opennet.ru/opennews/art.shtml?num=63129
Если в версии 9.2 была добавлена экспериментальная поддержка Rust
Support for device models written in the Rust programming language has been added. It is considered experimental and not stable, and it is not recommended to be used for anything other than development. It is disabled by default and can be enabled by passing the flag --enable-rust to the configure noscript.
https://wiki.qemu.org/ChangeLog/9.2
То сейчас, оставшись экспериментальной, считается уже достаточно стабильной
Support for device models written in the Rust programming language is still considered experimental, and does not have full feature parity compared to QEMU binaries that are compiled with --disable-rust. However, it has matured enough that developing new devices can (almost entirely) be done in the safe subset of Rust.
Полный changelog
https://wiki.qemu.org/ChangeLog/10.0
🎉24👍10😁5🤡2
This media is not supported in your browser
VIEW IN TELEGRAM
Пятница! (давненько не было, конечно)
Игра сделана на SQL полностью, включая ИИ врагов, рендеринг, 3D raycasting и т.д.
A Doom-like game using DuckDB
https://github.com/patricktrainer/duckdb-doom
Почитать подробнее как это работает можно тут
Abusing DuckDB-WASM by making SQL draw 3D graphics (Sort Of)
https://www.hey.earth/posts/duckdb-doom
Запуск происходит в WebAssembly версии DuckDB
https://github.com/duckdb/duckdb-wasm
https://shell.duckdb.org/
За наводку спасибо подписчику
Игра сделана на SQL полностью, включая ИИ врагов, рендеринг, 3D raycasting и т.д.
How It Works
The game uses SQL in interesting ways:
- 3D Rendering: Uses recursive CTEs to implement raycasting
- Game state: Stored in tables (player, enemies, bullets, map)
- Physics: SQL queries handle collision detection and movement
- Rendering: Views transform the 3D world state into ASCII art
A Doom-like game using DuckDB
https://github.com/patricktrainer/duckdb-doom
Почитать подробнее как это работает можно тут
Abusing DuckDB-WASM by making SQL draw 3D graphics (Sort Of)
https://www.hey.earth/posts/duckdb-doom
Запуск происходит в WebAssembly версии DuckDB
https://github.com/duckdb/duckdb-wasm
https://shell.duckdb.org/
За наводку спасибо подписчику
🔥23🤡10❤🔥1👎1😁1
Forwarded from AlexRedSec
Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣ Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣ Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣ Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣ Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣ Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢 Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢 Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢 Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢 Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢 Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?
Рекомендуемые критерии выбора и оценки инструментов:
🟠 Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠 Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠 Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠 Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠 Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
Рекомендуемые критерии выбора и оценки инструментов:
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
💯10👍5🔥4🤡3❤2👎1🥱1
Forwarded from Заметки Слонсера (Slonser)
Последнее время начали распространять довольно странный материал, примеров много но прикреплю один - https://news.1rj.ru/str/innostage_group/2274
В чем суть, люди пишут о магическом эксплойте виджета телеграмм:
Суть атаки заключается по описанию в том что телеграм при логине через widget передает auth code через fragment как-то так:
И тут началось безумие, насколько я понимаю началось все с недавней статьи на хакере https://xakep.ru/2025/04/22/telegram-widget-bug/
Начнем с того что об этом упоминалась уже 11 месяцев назад в статье - https://lyra.horse/blog/2024/05/stealing-your-telegram-account-in-10-seconds-flat (Там кстати более реальный кейс атаки, но только при физическом доступе к устройству )
А теперь начнем с того как это начали раздувать, на примере того что выпустил Innostage:
1.
.
Без XSS на web.telegram.org вы не сможете получить fragment, а если у вас есть XSS на web.telegram.org, то существует более простые атаки, как минимум вы можете просто прочитать localStorage (Не перепроверял, но раньше telegram не хендлил проверку на то что сессия между устройствами перекинулась)
2.
Если расширение читает URL на который перешел пользователь, скорее всего у него просто есть возможность запускаться в контексте contentScript, следовательно он может просто выполнить те же самые действия что и в контексте XSS. Полезного тут мало.
3.
На web.telegram.org включен
Браузер будет пытаться всегда установить соединение через
4.
Тут тоже особо не добавляет новой поверхности атаки, при таком доступе и возможности чтения памяти, есть более простые вектора атак
5.
Действительно единственный рабочий сценарий, который однако требует физического доступа и просто упрощает атаку, а не вводит что-то новое.
В целом резюмирую. Из реальных векторов - упрощение атаки при физическом доступе к разблокированному устройству. Можно было бы наверное всем так писать, но к сожалению это не вызывало бы такого ажиотажа и классов в соц сетях
Не знаю зачем люди так делают, особенно компании. Но это хорошо показывает их уровень экспертизы
P.S. Советую заглядывать в таких случаях дальше хедера статьи, а не плодить панику у людей (особенно не связанных с ИБ) на пустом месте
В чем суть, люди пишут о магическом эксплойте виджета телеграмм:
Суть атаки заключается по описанию в том что телеграм при логине через widget передает auth code через fragment как-то так:
https://web.telegram.org/#/login?auth_token=eyJhbGciOi...
И тут началось безумие, насколько я понимаю началось все с недавней статьи на хакере https://xakep.ru/2025/04/22/telegram-widget-bug/
Начнем с того что об этом упоминалась уже 11 месяцев назад в статье - https://lyra.horse/blog/2024/05/stealing-your-telegram-account-in-10-seconds-flat (Там кстати более реальный кейс атаки, но только при физическом доступе к устройству )
А теперь начнем с того как это начали раздувать, на примере того что выпустил Innostage:
1.
Мошенники создают специально подготовленные веб-сайты, содержащие
внедрённый JavaScript-код, который автоматически извлекает токен из
URL-адреса после перенаправления на web.telegram.org.
.
Без XSS на web.telegram.org вы не сможете получить fragment, а если у вас есть XSS на web.telegram.org, то существует более простые атаки, как минимум вы можете просто прочитать localStorage (Не перепроверял, но раньше telegram не хендлил проверку на то что сессия между устройствами перекинулась)
2.
Расширения, установленные в браузере пользователя, отслеживают все
посещаемые URL. При обнаружении параметра auth_token= происходит
автоматическое извлечение токена и его передача на сервер
злоумышленника.
Если расширение читает URL на который перешел пользователь, скорее всего у него просто есть возможность запускаться в контексте contentScript, следовательно он может просто выполнить те же самые действия что и в контексте XSS. Полезного тут мало.
3.
В незашифрованных или скомпрометированных сетях злоумышленники
используют MITM-атаки, прокси-перехват, DNS-спуфинг и другие методы
для анализа трафика и перехвата авторизационных токенов.
На web.telegram.org включен
Upgrade-Insecure-Requests: 1
Браузер будет пытаться всегда установить соединение через
https, что уменьшает возможность атаки в публичных сетях. Ну и остальное тоже не очень релевантно, реально украсть аккаунт на расстоянии невозможно4.
Заражённые приложения могут получить доступ к истории браузера,
системным логам или оперативной памяти, откуда извлекаются токены.
Тут тоже особо не добавляет новой поверхности атаки, при таком доступе и возможности чтения памяти, есть более простые вектора атак
5.
При краткосрочном несанкционированном доступе к разблокированному
устройству, злоумышленник может вручную открыть ссылку во
встроенном браузере Telegram и скопировать токен из адресной строки.
Действительно единственный рабочий сценарий, который однако требует физического доступа и просто упрощает атаку, а не вводит что-то новое.
В целом резюмирую. Из реальных векторов - упрощение атаки при физическом доступе к разблокированному устройству. Можно было бы наверное всем так писать, но к сожалению это не вызывало бы такого ажиотажа и классов в соц сетях
Не знаю зачем люди так делают, особенно компании. Но это хорошо показывает их уровень экспертизы
P.S. Советую заглядывать в таких случаях дальше хедера статьи, а не плодить панику у людей (особенно не связанных с ИБ) на пустом месте
Telegram
Innostage
⚡️В браузере Telegram нашли опасную уязвимость
Знакомый прислал в мессенджере сообщение со ссылкой, и вы её открыли? Это могла быть ссылка на голосование, опрос, регистрацию или любую другую привычную страницу. Но если она была вредоносной и открылась во…
Знакомый прислал в мессенджере сообщение со ссылкой, и вы её открыли? Это могла быть ссылка на голосование, опрос, регистрацию или любую другую привычную страницу. Но если она была вредоносной и открылась во…
👍13🔥8
Несколько дней назад NATS решил, что не нужОн им этот ваш опенсорс и они решили ливнуть из CNCF, что бы поменять лицензию на BUSL (Business Source License).
Я напомню, что BUSL лицензия (она же BSL) накладывает ограничение на использование кода. Т.е. коммитить вы в него можете легко, а вот использовать бесплатно можете только при соблюдении условий определённых. Ну или покупать коммерческую лицензию.
Если кто помнит историю с HashiCorp (https://news.1rj.ru/str/tech_b0lt_Genona/3913), MySQL или ScyllaDB, то это оно.
В эту же сторону была история с Sentry
https://news.1rj.ru/str/tech_b0lt_Genona/4591
Но и это ещё не всё. До кучи Synadia хочет не просто уйти из CNCF, но ещё и получить ресурсы NATS в своё распоряжение, а именно
- https://github.com/nats-io
- https://nats.io/
Synadia натравила юристов, почитать письмо можно тут
https://github.com/cncf/foundation/blob/main/documents/nats/Cease%20and%20Demand%20Letter%20from%20Synadia%20Counsel.pdf
И это не смотря на то, что 7 лет подряд CNCF вкладывался в проект
Резюмируя:
Полностью почитать тут
Protecting NATS and the integrity of open source: CNCF’s commitment to the community
https://www.cncf.io/blog/2025/04/24/protecting-nats-and-the-integrity-of-open-source-cncfs-commitment-to-the-community/
NATS дропаем, короче 🫡
Я напомню, что BUSL лицензия (она же BSL) накладывает ограничение на использование кода. Т.е. коммитить вы в него можете легко, а вот использовать бесплатно можете только при соблюдении условий определённых. Ну или покупать коммерческую лицензию.
Если кто помнит историю с HashiCorp (https://news.1rj.ru/str/tech_b0lt_Genona/3913), MySQL или ScyllaDB, то это оно.
В эту же сторону была история с Sentry
https://news.1rj.ru/str/tech_b0lt_Genona/4591
Но и это ещё не всё. До кучи Synadia хочет не просто уйти из CNCF, но ещё и получить ресурсы NATS в своё распоряжение, а именно
- https://github.com/nats-io
- https://nats.io/
Synadia натравила юристов, почитать письмо можно тут
https://github.com/cncf/foundation/blob/main/documents/nats/Cease%20and%20Demand%20Letter%20from%20Synadia%20Counsel.pdf
И это не смотря на то, что 7 лет подряд CNCF вкладывался в проект
- Synadia committed in writing to transfer the NATS trademark to CNCF as part of the original donation;
- CNCF provided substantial financial, marketing, legal, and technical support to the NATS project for more than seven years;
- The NATS brand has become synonymous with CNCF and its promise of vendor-neutral governance.
Резюмируя:
In short: Synadia is attempting to convert a successful open source project into a closed, commercial product—and take the NATS community’s name, trust, and infrastructure with it. Imagine if Google tried to take back Kubernetes after all these years of it being a neutral open source and community-driven project.
Полностью почитать тут
Protecting NATS and the integrity of open source: CNCF’s commitment to the community
https://www.cncf.io/blog/2025/04/24/protecting-nats-and-the-integrity-of-open-source-cncfs-commitment-to-the-community/
NATS дропаем, короче 🫡
🫡43😁2❤1
Я тут соглашусь с Линусом. В 2025 году так не носят. Я могу допустить, что это теоретически нужно в каких-то совсем уж специфических ФС, но это точно не про Bcachefs.
> "Everything Should Be Made as Simple as Possible, But Not Simpler".
Линус Торвальдс раскритиковал регистронезависимые файловые системы
https://www.opennet.ru/opennews/art.shtml?num=63149
Почитать полностью переписку с Кентом Оверстритом (Kent Overstreet), основным разработчиком Bcachefs, можно тут
https://lore.kernel.org/lkml/CAHk-=wjajMJyoTv2KZdpVRoPn0LFZ94Loci37WLVXmMxDbLOjg@mail.gmail.com/
> "Everything Should Be Made as Simple as Possible, But Not Simpler".
Суть проблемы в том, что Unicode достаточно сложный стандарт и приведение символов к единому регистру (case folding) для всех его краевых случаев корректно не реализует практически никто. Более того - в силу специфики структуры Unicode, возможны ситуации, когда ожидания программ не совпадают с тем, как это фактически реализовано в той или иной файловой системе . . . Это приводит к ошибочному поведению - в том числе к потенциальным уязвимостям, потому что проверки в программах могут считать имена файлов разными, но ФС посчитает их совпадающими, или наоборот, что приведёт к проблемам с безопасностью.
По мнению Торвальдса, проблема некорректности приведения регистра символов в Unicode сводится к тому, что однозначного, правильного и безошибочного пути выполнять данную операцию просто не существует, и в результате попытки придать какое-то специальное значение байтам или их комбинациям ведут только к целым новым классам ошибок, включая и уязвимости. Торвальдс сообщил, что времена FAT давно закончились, но почему-то некоторые люди продолжают быть уверены, что поведение из эпохи FAT - полезная возможность, в то время как это ошибка.
Линус Торвальдс раскритиковал регистронезависимые файловые системы
https://www.opennet.ru/opennews/art.shtml?num=63149
Почитать полностью переписку с Кентом Оверстритом (Kent Overstreet), основным разработчиком Bcachefs, можно тут
https://lore.kernel.org/lkml/CAHk-=wjajMJyoTv2KZdpVRoPn0LFZ94Loci37WLVXmMxDbLOjg@mail.gmail.com/
What I personally strongly feel should have been done is to just limit case folding knowingly to a very strict subset, and people should have said "we're being backwards compatible with FAT" or something like that. Instead of extending the problem space to the point where it becomes a huge problem, re-introduces "locales" in a different guise, and creates security issues because people don't understand just how* big they made the problem space.
Oh well. Rant over.
🤝22👍7💯1
Технологический Болт Генона
Есть такой проект Organic Maps, который делает бесплатное мобильное приложение для автономной навигации, которое, в свою очередь, базируется на OpenStreetMap. Я знаю про него очень давно, пользовался мало, но считаю проект классным и полезным. И всё бы ничего…
Помните я писал про Organic Maps и цирк, который там творится?
https://news.1rj.ru/str/tech_b0lt_Genona/5115
И вот продолжение истории. Я всё так же считаю, как и в прошлый раз, что проект накрывается "медным тазом"
Полностью всё письмо тут
Open Letter to Organic Maps Shareholders
https://openletter.earth/open-letter-to-organic-maps-shareholders-a0bf770c
Чат для обсуждения открытого письма - @CoMaps_RU
https://fosstodon.org/@CoMaps
Спасибо подписчику за ссылку
https://news.1rj.ru/str/tech_b0lt_Genona/5115
И вот продолжение истории. Я всё так же считаю, как и в прошлый раз, что проект накрывается "медным тазом"
Summary
Community contributors to Organic Maps have expressed serious concerns about the project's governance, transparency, and the potential for shareholder profit at the expense of the community. They are calling for a shift to a nonprofit structure, greater inclusivity in decision-making, and financial transparency, and are considering starting a new project if these issues are not addressed.
Preface
This open letter is an almost verbatim copy of the letter composed by some Organic Maps community contributors and sent to the Organic Maps Shareholders via the team's internal channels on March 21, 2025. Each individual shareholder was asked to reply within 7 days.
. . .
This letter's intent is to express our concerns regarding the current Organic Maps project crisis, and to find a path forward that aligns with the project's stated values and the interests of the community. We've collected these common concerns about the project governance that have been building up over the past few years due to a lack of transparency and defined project goals. Many of these concerns have previously been mentioned to you, with little or no dialogue or response.
The Organic Maps project has been built and promoted under the premise of being an open community project, so it's troubling to discover that the majority of shareholders consider it to be their sole property. More concerns include lack of transparency and accountability in project governance and violation of stated Free and Open Source Software values.
. . .
When exploring conflict resolution options, we'd like Shareholders to acknowledge and consider the community's interests. Please share your post-conflict vision of the project's future and the community's role in it.
Полностью всё письмо тут
Open Letter to Organic Maps Shareholders
https://openletter.earth/open-letter-to-organic-maps-shareholders-a0bf770c
Чат для обсуждения открытого письма - @CoMaps_RU
https://fosstodon.org/@CoMaps
Спасибо подписчику за ссылку
🫡15😢6🤡2👍1
А тут есть кто Rutube пользуется? У вас тоже видео само с паузы снимается?
А то я заметил, что у меня открыто видео, стоит на паузе на неактивной вкладке в свёрнутом браузере, потом в какой-то момент само начинает проигрываться дальше. Я уже заёбся на паузу жать заново.
Это Rutube KPI выполняет по просмотрам и количеству проигранных минут или чо за нантехнологии изобрели такие?
Я сколько разных сервисов видал, ещё со времён Flash, ни разу такой херни не видел ни у кого.
А то я заметил, что у меня открыто видео, стоит на паузе на неактивной вкладке в свёрнутом браузере, потом в какой-то момент само начинает проигрываться дальше. Я уже заёбся на паузу жать заново.
Это Rutube KPI выполняет по просмотрам и количеству проигранных минут или чо за нантехнологии изобрели такие?
Я сколько разных сервисов видал, ещё со времён Flash, ни разу такой херни не видел ни у кого.
😁64🤡48💊19🤷♂5👎3🙉1
Такое мы любим
Проект PyXL развивает процессор для выполнения байт-кода Python
https://www.opennet.ru/opennews/art.shtml?num=63157
Сайт - https://www.runpyxl.com/
Когда-то давно, лет 10 назад, был проект pyCPU, но так и не развился во что-то большое (картинку, как проект работал, я прицепил к посту)
https://pycpu.wordpress.com/
Представлен специализированный процессор PyXL, предназначенный для ускорения выполнения кода на языке Python. Байт-код Python напрямую выполняться чипом без JIT, интерпретации и виртуальных машин. Файлы на языке Python вначале транслируются в байт-код CPython, после чего байт-код преобразуется в специализированный набор инструкций PySM, выполняемых чипом. Инструментарий для подготовки кода к выполнению написан на Python и работает в стандартном окружении на базе немодицифированного CPython. Реализация процессора разработана с нуля и оформлена на языке описания и моделирования электронных систем Verilog. Рабочий прототип процессора тестируется на платах с FPGA Zynq-7000.
В проведённых тестах, оценивающих скорость обработки событий GPIO, PyXL опережает решение на базе MicroPython и платы Pyboard в 30 раз. При выполнении тестового кода при помощи реализации PyXL, работающей с тактовой частотой 100MHz, задержка обработки запроса GPIO (Roundtrip Latency) составила 480 нс, а при помощи MicroPython Pyboard (168MHz) - 14741 нс. Предполагается, что повышение тактовой частоты PyXL до уровня Pyboard позволит увеличить разрыв до 50 раз.
Архитектура набора команд процессора PyXL спроектирована с оглядкой на структуру байт-кода CPython и его эффективную обработку на аппаратном уровне с учётом специфики, такой как динамическая обработка типов и динамическая диспетчеризация. ISA включает инструкции для манипуляции стеком, бинарные операции, операции сравнения и ветвления, возможности вызова функций и доступа к памяти.
Проект PyXL развивает процессор для выполнения байт-кода Python
https://www.opennet.ru/opennews/art.shtml?num=63157
Сайт - https://www.runpyxl.com/
Когда-то давно, лет 10 назад, был проект pyCPU, но так и не развился во что-то большое (картинку, как проект работал, я прицепил к посту)
The Python Hardware Processsor (pyCPU) is a implementation of a Hardware CPU in Myhdl. The CPU can directly execute something very similar to python bytecode (but only a very restricted instruction set). The Programcode for the CPU can therefore be written directly in python (very restricted parts of python). This code is then converted to this restricted python bytecode. Since the hardware denoscription is also in python, the slightly modified bytecode is then automatically loaded into the CPU design.
Most “bytecode” instructions are executed in the Hardware CPU with one instruction per cycle. If you have enought hardware available you can simply instantiate more cores on an FPGA with different Programmcode to make them run in parallel.
https://pycpu.wordpress.com/
🤡35🔥18👍4😁2🤯1😱1🐳1
Тут пишут с Go на Rust ливают (я лично такого не наблюдаю)
Полностью тут
Why Big Tech Is Quietly Abandoning Golang
https://medium.com/@akshatkapil2249/why-big-tech-is-quietly-abandoning-golang-09328a520a4c#bypass
PDF-версию положу в комменты
UPD
Комменты из обсуждения
> Автор спамит по 5 статей в день, так что авторитетность в целом вызывает сомнения
> Статья говно, куча мнений, ни одного факта
Big Tech is quietly backing away from Go. Not with fanfare, not with outright rejection — but with subtle shifts: job postings favoring Rust or TypeScript, flagship open-source projects switching languages, and internal engineering decisions leaning toward alternatives.
So what happened? Why is Go losing its luster in the eyes of the very companies that once championed it?
Let's dive into the reasons.
. . .
1. Go's Simplicity Doesn't Scale with Complexity
2. Error Handling Is a Nightmare at Scale
3. Concurrency Is Great — Until It's Dangerous
4. Performance Bottlenecks in Critical Systems
5. Developer Ergonomics Matter at Scale
6. The Rise of Rust, TypeScript, and WASM
7. Internal Migrations Speak Louder Than Words
. . .
Final Thoughts: Go Isn't Dead — But Its Time at the Top Might Be
Let's be clear: Go isn't going away. It's still one of the best tools for:
- Writing simple backend services
- Spinning up microservices fast
- DevOps automation and cloud-native infrastructure
But the age where Go was the future of programming? That's fading.
Big Tech is investing in languages that offer:
- More power with fewer trade-offs
- Safety without verbosity
- Developer joy and long-term maintainability
Go was a great response to the problems of the past. But the future? That might just belong to Rust, Kotlin, TypeScript — and whatever comes next.
Полностью тут
Why Big Tech Is Quietly Abandoning Golang
https://medium.com/@akshatkapil2249/why-big-tech-is-quietly-abandoning-golang-09328a520a4c#bypass
PDF-версию положу в комменты
UPD
Комменты из обсуждения
> Автор спамит по 5 статей в день, так что авторитетность в целом вызывает сомнения
> Статья говно, куча мнений, ни одного факта
🤡38💅21😁9🗿6👍5👎2❤1🤔1
Я недавно писал про то как сайты и прочие ресурсы страдают из-за AI-краулеров
https://news.1rj.ru/str/tech_b0lt_Genona/5122
https://news.1rj.ru/str/tech_b0lt_Genona/5249
Автор пишет, что защищается от подобного с помощью zip-бомб. Правда из статьи не понятно, какова эффективность такого подхода.
I use Zip Bombs to Protect my Server
https://idiallo.com/blog/zipbomb-protection
https://news.1rj.ru/str/tech_b0lt_Genona/5122
https://news.1rj.ru/str/tech_b0lt_Genona/5249
Автор пишет, что защищается от подобного с помощью zip-бомб. Правда из статьи не понятно, какова эффективность такого подхода.
These are RSS Feed readers, search engines crawling your content, or nowadays AI bots crawling content to power LLMs. But then there are the malicious bots. These are from spammers, content scrapers or hackers. At my old employer, a bot discovered a wordpress vulnerability and inserted a malicious noscript into our server. It then turned the machine into a botnet used for DDOS. One of my first websites was yanked off of Google search entirely due to bots generating spam. At some point, I had to find a way to protect myself from these bots. That's when I started using zip bombs.
. . .
On my server, I've added a middleware that checks if the current request is malicious or not. I have a list of black-listed ips that try to scan the whole website repeatedly. I have other heuristics in place to detect spammers. A lot of spammers attempt to spam a page, then come back to see if the spam has made it to the page. I use this pattern to detect them.
. . .
That's all it takes. The only price I pay is that I'm serving a 10MB file now on some occasions. If I have an article going viral, I decrease it to the 1MB file, which is just as effective.
I use Zip Bombs to Protect my Server
https://idiallo.com/blog/zipbomb-protection
🤡32🔥25👍1😁1