Никогда не было и вот опять. https://www.opennet.ru/opennews/art.shtml?num=58416

Для совершения вредоносных действий атакующие воспользовались методом подмены зависимостей и загрузили в репозиторий PyPI пакет torchtriton, имеющий то же имя, что и пакет, размещённый в собственном репозитории PyTorch-nightly. Метод основан на том, что при использовании дополнительных репозиториев пакетный менеджер pip пытается загрузить внутренние зависимости и из публичных репозиториев, учитывая номер версии. Таким образом, при установке ночных сборок PyTorch пакетный менеджер pip обнаруживал более новый пакет torchtriton в репозитории PyPI и устанавливал его, вместо одноимённого пакета из репозитория PyTorch-nightly.

В опубликованную атакующими версию torchtriton был добавлен код для запуска исполняемого файла («PYTHON_SITE_PACKAGES/triton/runtime/triton»), который осуществлял поиск и отправку конфиденциальных данных с систем, работающих под управлением Linux. Среди прочего злоумышленникам отправлялась информация о системе (/etc/resolv.conf, /etc/hosts, /etc/passwd, переменные окружения, данные об учётной записи), а также содержимое $HOME/.gitconfig, $HOME/.ssh/* и первых 1000 файлов в домашнем каталоге, размером менее 100 КБ. Данные передавались через туннель, организованный поверх DNS (отправлялись шифрованные DNS-запросы к DNS-серверу атакующих).

Если кто не понял, на пальцах объяснение: в репозитории программы PyTorch был пакет torchtriton, необходимый для ее работы. С ним все нормально. Злоумышленники же загрузили в другой репозиторий - в PyPI, вредоносный вариант этого torchtriton. А менеджер установки софта радостно обнаружил более новую версию и загрузил ее сразу.

Это уже не первый случай компрометации через подмену зависимостей в программе, которые автоматические подкачиваются, в том числе и как новые обновления. Это уже стиль сложился, особенно в разных новых модных молодежных языках и фреймворках. Целая экосистема в том, что постоянно подкачиваются новые обновления библиотек, а оффлайн разработка оказывается затруднена.

Например, если хочется посмотреть выложенное каким-то автором в январе 2019-го года, к примеру. Неужели просто тупо скролить вниз пока не доскролишь. Так оно еще и точную дату выкладки не показывает, а сколько лет назад.

Решил пощупать, что это за зверь.

Пока не ставил. Возник дурацкий вопрос, но управлять им надо только через сеть что ли?

Просто хотелось бы использовать его вместо дуалбута, переключаясь между виртуальными машинами (в которых в том числе видеокарты проброшены) комбинацией клавиш на клавиатуре. Можно с промежуточным переходом в его консоль.

В том числе и установку гостевых систем. Нахрена мне для десктопного компа рулить им через сеть. Ну то есть, хорошо, что можно через сеть, но хотелось бы с клавиатуры.

Это можно или облом?

https://www.kommersant.ru/doc/5694346

Проект предусматривает, что НУЦ будет выпускать сертификаты в том числе на основе российских криптографических алгоритмов по ГОСТу. Правительство предлагает обязать всех, кто разрабатывает или дорабатывает браузеры и ОС в РФ, включать в продукты поддержку таких сертификатов.

В «Яндексе» уточнили “Ъ”, что, несмотря на наличие корневого сертификата НУЦ, доступ к сайтам с шифрованием по ГОСТу возможен только при установке стороннего компонента «КриптоПро». Добавлять в «Яндекс Браузер» встроенную поддержку не планируется. О том же говорят в VK.

Эксперт считает, что следующим шагом может стать блокировка сайтов или штрафы для разработчиков за отказ от российской криптографии.

В плане Linux и OpenSource замечу, что правовая база в РФ такова, что в принципе исключает выпуск OpenSource аналогов софта от КриптоПро. Собственно даже использование привычной криптографии для https соединений происходит на птичьих правах, особенно в случае коммерческой деятельности по разработке сайтов и прочих решений. Просто не трогают, так как совсем маразм был бы.

Накопилась у меня за более, чем 10 лет уже кучи hdd, в них какие-то бекапы делал, что-то хранится. И я стал путаться и забывать, где что есть.

Софт должен

1) Сканировать hdd (каталог) и заносить в БД записи какие файлы где лежат.

2) Анализировать потом эту БД и выдавать список файлов с перечнем мест (носителей) для хранения. Одинаковыми считать файлы с одинаковыми именем и длинной. Может с фильтрами по размеру, дате и пр.

3) Не учитывать мусорные файлы, вроде тех, что рядом с сохраненными html. Сами html учитывать. А то будут мегатонны всяких js, css и прочего.

Есть что-то такое готовое?

Как зафакапить Linux.

1. Копируем что-то жирное на флешку (съемный носитель)

2. Набираем команду sync

3. Не дожидаясь окончания работы sync отмонтировать флешку. Почему-то получилось.

4. Невозможно после вынимания прекратить sync по Ctrl+C. Невозможно снять даже kill -9

5. Невозможно вставить смонтировать ранее вынутую флешку. mount виснет. Ни Ctrl+C, ни kill -9 не снимают mount (sync тоже так и висит в задачах)

6. На другом компе (тоже Linux) флешка нормально открывается и работается с ней. Только жирный файл побит, недокаченный.

КАК теперь поработать с флешкой на первом компе?!

Система Debian 11, ядро 5.16

Что-то мне подсказывает, что такого поведения не должно быть.

P.S. С другими флешками все работает. Скорее всего, после втыкания первой она опознается по guid или чему там и кому-то в ядре слегка крышу сносит.

Не успели переварить Поттерингизация линукса. Новую напасть придумал (и уже выпущен новый systemd с поддержкой UKI) у него очередное предложение

https://www.opennet.ru/opennews/art.shtml?num=58045

Леннарт предложил по возможности использовать только один загрузочный раздел и на системах с EFI по умолчанию размещать образы с ядром и initrd в VFAT-разделе /efi. На системах без EFI или если во время установки раздел EFI уже существует (параллельно используется ещё одна ОС) и в нём недостаточно свободного места, можно использовать отдельный раздел /boot с типом XBOOTLDR (раздел /efi в таблице разделов имеет тип ESP). Разделы ESP и XBOOTLDR предлагается создавать в отдельных каталогах (раздельное монтирование /efi и /boot вместо вложенного монтирования /boot/efi), сделать их автоопределяемыми и автомонтируемыми через идентификацию по типу XBOOTLDR в таблице разделов (без прописывания раздела в /etc/fstab).

Раздел /boot будет общим для всех установленных на компьютере дистрибутивов Linux, а разделение специфичных для дистрибутивов файлов будет осуществляться на уровне подкаталогов (для каждого установленного дистрибутива свой подкаталог). В соответствии со сложившейся практикой и требованиями спецификации UEFI в разделе с компонентами EFI используется только файловая система VFAT. Для унификации и избавления загрузчика от усложнений, связанных с поддержкой разных ФС, предлагается использовать VFAT и в качестве файловой системы для раздела /boot, что значительно упростит реализацию работающих на стороне загрузчика компонентов, осуществляющих доступ к данным в разделах /boot и /efi. Унификация позволит равноценно поддерживать оба раздела (/boot и /efi) для загрузки образов ядра и initrd.

Прочитал новость, что Минцифры видимо в каком-то виде склонно разрешить официальное использование нелицензии, если лицензию не продают.

https://www.kommersant.ru/doc/5645870

Минцифры понимает, что некоторые российские компании вынуждены использовать нелицензионное программное обеспечение от компаний, ушедших из России, сказал глава министерства Максут Шадаев. Он добавил, что сейчас в министерстве обсуждаются разные варианты решения проблемы, в том числе с переводом лицензионных отчислений на специальный счет. На следующей неделе тема будет обсуждаться на стратегической сессии, к концу месяца планируется выработать решение, отметил министр.

«Сейчас есть очень много нюансов в этой модели регулирования. Я надеюсь, до конца ноября придем к общему мнению. Но то, что мы должны дать какой-то ответ — это очевидно… Какую-то систему легализации, какие-то, как мы называем, "патенты на каперство", мы, скорее всего, будем выдавать»,— сказал господин Шадаев во время выступления на конференции CNews Forum.

Казалось бы причем тут усиление борьбы? Есть мысль, что для кого-то жирного сбор денег на такие специальные счета для отчислений станет хорошей кормушкой и сейчас обсуждают детали ее обустройства. Сейчас на «пиратство» продукции, ушедших с рынка фирм, смотрят сквозь пальцы. А будут очень мотивированно. Как например уже давно на 1C.

Линукс тут при том, что очень легко может оказаться, что де-факто легальный линукс - это только официально купленый линукс. В тему https://www.kommersant.ru/doc/5645539

Собеседники “Ъ” на российском IT-рынке рассказали, что Минцифры планирует определить три наиболее перспективные для господдержки отечественные операционные системы (ОС), включенные в реестр российского ПО. В дальнейшем министерство, говорит один из источников “Ъ”, хочет обязать российских разработчиков адаптировать свое ПО под эти системы.

Де-юре, конечно нет, но объяснять, что например, Arch или Debian стоят законно может оказаться слегка геморойно.

https://www.opennet.ru/opennews/art.shtml?num=57984

Ленька новое предложение опубликовал и что-то мне подсказывает, что оно как systemd почти все вытеснит в итоге

Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image), объединяющего образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. UKI-образ оформляется в виде исполняемого файла в формате PE, который может быть загружен не только при помощи традиционных загрузчиков, и напрямую вызван из прошивки UEFI.

Это нужно как бы и потому что недоверенно сейчас получается

Верификация образа initrd не поддерживается так как данный файл формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива, что сильно усложняет организацию проверки при использовании режима SecureBoot (для заверения initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивку UEFI). Кроме того, существующая организация загрузки не позволяет применять информацию из регистров TPM PCR (Platform Configuration Register) для контроля целостности компонентов, помимо shim, grub и ядра. Из имеющихся проблем также упоминается усложнение обновления загрузчика и отсутствие возможности ограничения доступа к ключам в TPM для старых версий ОС, ставших неактуальными после установки обновления.

Среди целей и такие значатся

Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.

Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.

Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки корневого диска.

При этом крипто в luks уже корректно обходится с initrd (оно просто зашифровано вместе со всем остальным) и в принципе, если кому нужна реально защищенность есть работающий механизм. И тут Ленька похоже оставляет простор для реального ухудшения безопасности перед теми, кто выпускает ключи.

Вот если Столлман основал и возглавил движение за свободную VMS, то что бы сейчас было в компьютерном мире, как бы выглядели операционки и программы вообще?

Встречал мнение, что в отличие от юниксов VMS всегда была более серьезной системой с правильным инженерным подходом к ее проектированию и с культурой тоже.

К слову, графическая подсистема X Window изначально была придумана для компьютеров VAX и системы VMS. И вообще полно фишек, которые там были задолго до того как это стало мейнстримом в виндах и юниксах, в том числе виртуализация и кластеризация.

К вопросу о развлекательном контенте для линуксоидов на выходных.

Позволю себе представить хороший боевичок в старом добром стиле. Без особой философии, глубин и повесточек, просто боевик.

Примерно с таким заголовком встретил обзор на ютубе на фильм «Последний рубеж / Homefront» еще 2013-го года. Как-то мимо меня он прошел.

Собственно из названия темы уже должно быть все ясно =)

Бывший коп (Джейсон Стэйтем), работавший под прикрытием, после некоторых бурных событий спокойно живет в тихом, мирном маленьком городке и растит дочку. Все меняется, когда девочка оказалась вынуждена дать сдачи и крепко поколотить школьного хулигана, который издевался над ней. Однако администрации подвиги девочки не понравились и в школу вызвали папу. Казалось бы обыкновенные мелкие школьные дрязги, но с них все и завертелось, да и городок оказался не таким тихим и мирным как могло показаться.

Пришлось в итоге папе взяться за старое и начать наносить добро и причинять справедливость, отчего залетали по городу клочки по закоулочкам...

В воскресенье, общаясь с пользователями, Торвальдс признал, что процесс идёт, но очень медленно, так как он был вынужден пересесть за ноутбук, ожидая доставки новых модулей памяти.

В моем компьютере буквально случайным образом вышел из строя модуль DIMM после 2,5 лет его абсолютно стабильной работы. Проверено сначала путем загрузки старого ядра, а затем с помощью memtest86+.

Линус Торвальдс

https://www.ixbt.com/news/2022/10/12/razrabotka-linux-vo-vsem-mire-zamedlilas...

https://www.theregister.com/2022/10/10/linus_torvalds_ecc_memory_fail

Хотя его комп может использовать ECC память (и ее доставки он ждет), но кажется работал без нее, пока не столкнулся с массовыми багами

Torvalds needs the DIMMs because over the last few days he experienced what he described as «some instability on my main desktop the … with random memory corruption in user space resulting in my allmodconfig builds randomly failing with internal compiler errors etc.»

Ибо не поставил ECC

His post also mentions that his main PC was set up for error correction code memory (ECC memory), but «during the early days of COVID when there wasn't any ECC memory available at any sane prices. And then I never got around to fixing it, until I had to detect errors the hard way.»

Ну и по Intel проехался за их маркетинговую политику из-за чего ECC на рынке считается чем-то специальным. На самом деле ECC должна быть для всех

Don't fall for the bullshit. ECC is not for servers. ECC is for everybody, and wanting to pay a bit extra for RAM shouldn't mean that you are then limited in other ways.

В дополнение к новости Обновления безопасности: matrix-js-sdk 19.4.0 и matrix-react-sdk 3.53.0 которую почти никто не понял

https://www.opennet.ru/opennews/art.shtml?num=57844

Разработчики платформы децентрализованных коммуникаций Matrix предупредили о выявлении критических уязвимостей в библиотеках matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, позволяющих администраторам серверов выдавать себя за других пользователей и читать сообщения в чатах со сквозным шифрованием (E2EE). Уязвимости вызваны ошибками в отдельных реализациях протокола Matrix и не являются проблемами самого протокола. В настоящее время, проектом выпущены обновления проблемных SDK и части построенных на их основе клиентских приложений.

Однако!

Европейские и американские похоже йок, скоро 8-й пакет санкций будет, говорят туда включат запрет на ИТ-услуги для россиян. Я так понимаю, что это коснется и уютненьких vps-ок в том числе.

Кто что думает по этому поводу? В техническом смысле, без нацпола.

Посмотрел некоторые варианты. Какие-то они дороговатые и с ограниченным трафиком зачастую. Европейским как-то даже на дешевых тарифах пофиг если Tb туда Tb сюда.

Еще момент, некоторые берут оплату в том числе WebMoney. Это сейчас работает? Давно с WM дел не имел, больше 10 лет и уже кошельки забыл, буду заново заводить, если смысл имеется. Мне что-то смутно мерещится, что с некоторых пор российская WM не совсем тоже самое, что заграничная.

Ситуация. Есть старый древний ноутбук SonyVaio. Есть dv-камера. Есть ExpressCard с разъемами Firewire (2 шт.) и USB. Там стоит Debian wheezy (7.11) 32-битный.

И вот лыжи не едут или лыжник того как понять?

Камера исправная (проверено на другом компе).

Симптомы: dvgrab камеру не находит. Если воткнуть флешку тоже ее не видно.

lspci девайс (карту) видит, но без подробностей о производителе. Просто 1394 на таком-то порту.

Другая ExpressCard с кардридером для SD-флешек тоже странно ведет. Сам кардридер видно, ни одна флешка нет.

Как бы не прибегая к другим устройствам убедиться кто виноват?

P.S. Вообще нужны ли драйвера для таких карт? До сих пор все везде совсем прозрачно работало, даже не задумывался.

Есть ли хорошие?

В моем понимании это должна быть программа, запускаемая локально вручную или автоматически.

Могут быть предопределенные списки сайтов, но разумеется должна уметь добавлять новые и удалять не нужные. Возможно какие-то донастройки для краулинга конкретных сайтов.

Программа должна использовать как RSS, так и краулить автоматически, причем успешно при этом притворяться человеком, а то некоторые сайты взяли моду обнаруживать автоматическое сканирование.

Должны быть гибко настраиваемые фильтры поиска. Как минимум просто по ключевым словам с учетом морфологии и/или с регулярными выражениями.

Результаты поиска должны интеллектуально обрабатываться. Уметь группировать примерно одинаковые новости, распознавая как-то одинаковость. Байесовые фильтры? Нейросетки всякие наверное не очень годятся, в том числе из-за монструозности для конечных пользователей.

Все это конечно в архив должно уметься заноситься с поиском и/или по нему.

И очень принципиальное: это все должно уметь работать строго локально (или на своем сервере). Никаких облаков, никакой телеметрии, удаленных хранений настроек и прочей дичи.

Как-то так?

Что-то и вообще не особо находится и тем более СПО-ное. Не с одной стороны, хватает разных краулеров, но или они совсем примитивные или что-то они не совсем тем занимаются, например, https://vc.ru/seo/175966-bolshoe-sravnenie-20-desktopnyh-veb-kraulerov - это скорее инструменты SEO-ника, чем для удовлетворения интереса к новостям.

Контент на вечер пятницы =)

Задумал видеоблогер «дядя Лёша» из Ассоциации сервисных центров (ремонтируют ноутбуки) старое отопление на новое у себя на даче поменять. Обратился с этим в Леруа-Мерлен. На а чё, крупная фирма, стройматерилами торгует и сразу можно заказать и проект системы и ее установку.

Какой лютый 3.14-ц из этого вышел можно увидеть https://www.youtube.com/watch?v=dbltNuMbe6E

Linux тут при том, что вообще-то этот человек ремонтирует ноутбуки. А на ноутбуки можно поставить Linux =)

В своих видео ремонтов ноутбуков автор частенько показывает, как разные мошенники, попорукие и прочие развели простоватого клиента на говноремонт, где все поломали. А тут сам попался.

И все же такой п-ц этот ремонт, что это просто видеть надо на видео, такое нарочно не придумаешь.

Наткнулся в одной из новостей https://www.ixbt.com/news/2022/08/25/ministerstvo-oborony-ssha-otkazalos-ot-z... она не об этом, но последние строчки заинтересовали:

Тантал используется во многих сферах. Так, из него изготовляют ... танталовую проволоку для криотронов — сверхпроводящих элементов, устанавливаемых в вычислительной технике.

Чего-чего? Что я не знаю?

В википедии ссылки на статьи 70-х годов, но даже и так любопытно, не припомню, чтобы читал про сверхпроводники в ЭВМ. А сейчас как с ним интересно? В английской вики инфы поболее, получается и сейчас с ними экспериментируют.

Вот вообще не знал.

Почему у некоторых объявлений можно увидеть телефон, не логинясь, а у некоторых нельзя?

Нет ли какого читерского способа глянуть без логина в любом случае?

HDR мониторы и телики уже минимум лет с пять, а то и более достаточно широко распространены. Сколько уже с тех пор всякой движухи по написанию и переписанию всего и вся, а HDR нет.

Ибо это не просто очередную версию какого тулкита выпустить, поломав совместимость. Тут реальное дело надо сделать, подумав и как 8 бит не поломать и как новое интегрировать.