Привет, ЛОР!

Сабж принят. Текст пока не опубликован в свободный доступ, поэтому вместо новости пишу тут.

https://ieeexplore.ieee.org/document/10555529

Привет, ЛОР!

Занимательное чтиво попалось мне. А именно, история о том, как, оказывается, можно без проблем загрузить в магазин дополнений к VSCode троянского коня и через полчаса тебе посыпится профит. Итак:

1. Берём популярную цветовую тему.
2. Меняем слегка название, пару цветов, рисуем логотип, добавляем вредоносный код. В данном случае, код просто отправляет содержимое открытого файла на наш сервер.
3. Покупаем домен с названием нашей темы, настраиваем его и т.д.
4. Заливаем тему в магазин приложений VSCode. Домена достаточно, чтобы наша тема получила официальную зелёную галочку рядом с именем. В package.json мы при этом можем указать ссылку на любой репозитарий на гитхабе, никто это не проверяет. Поэтому указываем репозитарий без зловреда.
5. Ждём.
6. ???????????
7. PROFIT!!!11

Некие чуваки вот так всё сделали и уже на следующее утро их вредоносная тема была установлена сотней с лишним аболтусов, засветилась на главной странице с дополнениями к VSCode, а им самим стал прилетать в том числе проприетарный код из всяких крупных копрораций.

Мораль истории: ну ты понел.

Ссылка для !Ъ: https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7

Привет, ЛОР!

В свежие выпуски Firefox вроде как добавили поддержку глобального меню без необходимости в сторонних патчах. У кого-нибудь получилось это заставить работать? Я включил у себя в about:config опцию widget.gtk.global-menu.enabled, но что-то нифига не произошло. В консоли ошибок нету.

Хочу историю успеха, иначе буду дальше думать что мозилловцы не могут.

Привет, ЛОР!

Известный борец за права свободного ПО и сексуальных меньшинств Eric S. Raymond выпустил версию 1.0 инструментария для избавления проектов от чудовища под названием Autotools – Autodafe.

Autodafe анализирует файлы configure.ac и Makefile.am и генерирует на их место компактный Makefile, плюс список для проверок. Автор обещает, что получившийся код работает куда быстрее, а главное подходит для чтения и модификации живым человеком, а не семируким трёхголовым гуманоидом с планеты Ананус.

Теперь-то автолулзам точно капец!

Ссылка: https://gitlab.com/esr/autodafe

Привет, ЛОР!

Сабж. Как это сделать в Firefox? Дефолтное поведение просто тошнотно, ни в какой вселенной я бы никогда не хотел, чтобы при перетаскивании файла мышкой в окно браузера этот браузер пытался его открыть.

Решение: Можно выключить через скрипт для Tamper/Grease/ViolentMonkey.

Как выключить открытие файла при перетаскивании мышкой? (комментарий)

Привет, ЛОР!

Это казалось невозможным, но один энтузиаст наклепал патчей для Windows XP и запустил эту ОС на клоне i486 от AMD.

Скриншот: https://postlmg.cc/TLNxkRfg

Жирный тред с патчами, инструкциями и прочим: https://msfn.org/board/topic/186080-xp-running-on-a-486-cpu/

Теперь линуксу точно капец!

Привет, ЛОР!

Скажи, а есть чо? Хочется прозрачного сжатия на уровне файловой системы для Ext4. Быстрый гугл не выдаёт ничего путного, но вдруг я не то ищу. В основном, гугл показывает всякие странные решения через FUSE с монтированием ZIP-архивов, что попахивает глюками и дикими тормозами.

Ситуация такая: есть старый хост с Ext4 вместо файловой системы, там база средней жирности (~300G) в PostgreSQL. Есть новый хост с ZFS и сжатием через lz4, там ровно та же база занимает ~70G реального места, то есть степень сжатия почти три раза. Хочется аналогичный результат на первом хосте без полного переформатирования диска.

Перемещено hobbit из general

Привет, ЛОР!

Нашёл интересное чтиво про инициативу Лёнечки по замене sudo на что-то там новое и улучшенное. Вкратце: dbus дыра, systemd дыра, всё дыра, сплоиты уже готовы заранее.

Немного цитат:

Here’s a quick PoC to demonstrate root permission hijacking by exploiting the fact «systemd-run» (the basis of uid0/run0, the sudo replacer) creates a user owned pty for communication with the new «root» process.

This isn’t the only bug of course, it’s not possible on Linux to read the environment of a root owned process but as systemd creates a service in the system slice, you can query D-BUS and learn sensitive information passed to the process env, such as API keys or other secrets.

Это, кстати, правда. Если открыть консольку и забрать там busctl --user monitor, можно много интересного увидеть, включая свои пароли, летающие из keyring в запрашивающее их приложение.

Ссылка: https://twitter.com/hackerfantastic/status/1785495587514638559

UPD:

Для тех, у кого нет тваттера, вот другая ссылка: https://github.com/hackerhouse-opensource/exploits/blob/master/systemd-run-tty.txt

Привет, ЛОР!

Если кому-то нужно шкворца, пилите новость.

Подробности тут: https://downloads.haskell.org/~ghc/9.10.1/docs/users_guide/9.10.1-notes.html

Привет, ЛОР!

Нужна твоя мудрость. Сейчас многие ляптопы идут с OLED экранами в качестве единственной опции. Скажи, стоит брать или заморочиться и поискать другую модель с IPS? Меня смущает выгорание всякого на экране.

Если у кого тут есть опыт хотя бы в год с таким ноутбуком, хочу знать все интимные подробности про качество экрана и т.д.

Линукс тут при том, что на ляптопе будет NixOS, конечно же.

UPD: истории про телефоны с OLED мне не интересны, спасибо.

Привет, ЛОР!

Собственно, сабж. Спустя почти 50 лет производства, корпорация Zilog Inc. разослала партнёрам уведомление о том, что последняя модель этих чипов, Z84C00, снимается с линии. Успеть оформить заказ можно до 14 июня этого года. После этого новых чипов семейства z80 больше не будет.

Такие дела.

Ссылка: https://www.mouser.com/PCN/Littelfuse_PCN_Z84C00.pdf

P.S. на всякий случай, для полных чайников: имеются ввиду чипы, основанные именно на оригинальном дизайне. Всякие расширения типа eZ80 всё ещё производятся, их сворачивать не планируют.

Привет, ЛОР!

Как ты, наверное, слышал, в новых выпусках TrueNAS будет использовать Linux как основу системы вместо ранее использовавшейся FreeBSD. Это решение вызывало шквал критики как среди пользователей TrueNAS, так и среди сообщества FreeBSD.

В блог-посте разработчики из iXsystems (компания-разработчик TrueNAS) ответили на некоторые из аргументов критиков. В частности, они заявляют, что у них уходило слишком много времени на разработку функционала для FreeBSD, который в Linux давно присутствует из коробки. Так же, на текущий момент основной платформой для OpenZFS является как раз Linux, а изменения в FreeBSD портируются с задержкой. Переход на Linux позволит сосредоточиться на функциях, часто запрашиваемых пользователями, в т.ч. корпоративными.

Вместе с тем отмечается, что версия TrueNAS на базе FreeBSD будет поддерживаться ещё несколько лет в силу контрактов с корпоративными пользователями.

Ссылка: https://blocksandfiles.com/2024/04/08/ixsystems-no-one-is-getting-marooned/

Привет, ЛОР!

Сабж. Удалить я удалил, а новую загрузить не могу.

Привет, ЛОР!

Сегодня в рубрике «Что там в GNOME?» очередное прекрасное.

Один перец решил замерить латентность в новом GNOME Console (переписанный и улучшенный GNOME Terminal) и выяснилось, что начиная с GNOME 46 он перестал так лагать, как лагал раньше. А всё потому что, и я цитирую:

The main change that caused this much improvement is likely this one by Christian that moves away from a 40 Hz VTE repaint timer to drawing every frame, synchronized with the monitor

Интересно, сколько ещё вызовов {u,}sleep() там раскидано по коду? На этом у меня всё.

Ссылка: https://bxt.rs/blog/just-how-much-faster-are-the-gnome-46-terminals/

Привет, ЛОР!

Разработчиками Fedora было внесено предложение перевода дистрибутива Fedora Workstation на KDE по умолчанию. Вариант с GNOME будет поставляться в виде отдельного spin off.

Среди причин названы лучшая совместимость между релизами и больший набор возможностей в сравнении с GNOME. Например, в KDE поддерживается трей, необходимый для работы многих профессиональных приложений, который в GNOME поставляется в виде отдельного расширения и часто ломается из-за изменений API. Помимо этого, указывается, что KDE уже поддерживает или планирует поддерживать расширенные протоколы Wayland, как например позиционирование программами своих окон на экране (ext-placement), поддержку которых разработчики GNOME отказываются реализовать по религиозным причинам.

Ссылка: https://fedoraproject.org/wiki/Changes/FedoraPlasmaWorkstation

Нет, это не первоапрельская шутка. Пока что предложение находится на стадии обсуждения в списке рассылок. Если оно будет принято, то переход будет осуществлён в Fedora Workstation 42.

Привет, ЛОР!

На новость пока не тянет, потому что RC1, но штука очень интересная. Radicle – полностью децентрализованная платформа для разработки, аналог GitLab или Gitea. Отличием является то, что состояние git-репозитария автоматически зеркалируется по множеству независимых серверов, как например в Bittorrent. В качестве протокола обмена данными используется похожий на SecureScuttlebutt и Bitcoin Lightning протокол. Помимо кода, в git репозитариях так же хранится информация о багах, пулл реквестах и подобные штуки.

Ссылка: https://radicle.xyz/

Написано, конечно же, на Rust.

P.S. если кому-то хочется шкворца, можете новость сделать. Релиз 1.0.0 не за горами.

Привет, ЛОР!

У меня тут навязчивые мысли в голову бредут. А почему, собственно, каждая программа, лезущая в сеть, сама занимается разруливанием сертификатов, шифрованием и так далее? Для других протоколов, например DNS, такого не происходит и в DNS используется системный ресолвер.

Есть ли смысл городить по аналогии общесистемный TLS Proxy? Из плюсов, что я вижу:

• Простота управления сертификатами;
• Возможность централизованно выключать небезопасные алгоритмы;
• Сильно упрощает дебаг софта с TLS позволяет следить за передаваемыми данными без ptrace.

Минусы? Навскидку:

• Прокся может стать узким местом по производительности (вряд ли сильно актуально);
• В теории, локальный зловред может использовать её для слежки, но если у тебя локальный зловред, то всё уже слишком плохо.

Что я упускаю? Почему это не стало относительно стандартной фичей? Или просто никто не додумался пока?

Привет, ЛОР!

Нашёл довольно интересную заметку о том, почему некоторые до сих пор используют Mercurial. В частности, Facebook этим славен. Может кому интересно тут будет.

https://graphite.dev/blog/why-facebook-doesnt-use-git

TL;DR для Ъ:

Года до 2012 в Facebook царствовал Git, но с ним были проблемы. У лицекниги была жирная монорепа, и Git начинал ощутимо лагать на ней. Перцы из Facebook написали разрабам гита с предложением ускорить работу собственно гита, но те их послали, предложив место этого распилить монорепу на кусочки. Лицекниговые такой поворот сюжета не оценили, и тут им подвернулся Mercurial, разрабы которого как раз без проблем приняли патчи с улучшением производительности.

С тех пор в мордокниге царствует Mercurial.

Привет, ЛОР!

В тредах про Rust и сишечку периодически всплывает пример языка Ada в качестве аргумента, что Rust, дескать, не нужен.

Скажи, а есть ли примеры историй успеха, связанных с этим языком? Вот, например, передо мной сейчас стоит задача написать некоторое количество довольно низкоуровневого кода и хочется использовать инструменты, от которых не придётся отказываться через 5 лет. И если этот инструмент будет лучше чем сишка по скорости и качеству разработки, то о нём как минимум стоит слышать.

Про Ada Core, SPARK и Alire я в курсе. Хочу историй типа «у нас было три килограмма говнокода на C, мы его выкинули и переписали на Ada, и теперь багов стало с 8 раз меньше, а девки стали давать в 5 раз чаще».

Пока что есть только история неуспеха от анонимуса, но этого явно мало, чтобы судить об инструменте.

Привет, ЛОР!

Я тебе покушать принёс. Белый Дом (ну ты знаешь, в США который) выпустил доклад, согласно которому всем стоит вот прямо сейчас переходить на языки с безопасной работой с памятью, такие как… Rust!

Ссылка: https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf

Если даже старик Байден осознал необходимость перехода на Rust, то что мешает лоровским сишникам? Загадка!