Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

( читать дальше... )

>>> Ссылка на исследование

Где «компактный» есть язык, минимальный набор пакетов для выполнения которого в Debian займёт мегабайт пять. Задача – в гитлабовском пайплайне обойти кучу файлов, распарсить и выплюнуть шаблонизированный отчёт, в идеале на манер Mustache.

Перл и питон не хочу. Круто, если найдётся что-нибудь лисповое, хотя не уверен, что кроме GNU CLISP что-то вообще есть.

Искаробочные в Debian, если есть, ещё круче, но емнип, того же Guile там нет.

Пока сижу дома с простудой, решил заняться светодиодной RGB-панелью и "скрестить" ее с STM32F103. Поначалу ничего не выходило, как оказалось, сдвиговым регистрам панели нужны полноценные 5В на входе, пришлось паять буферы (подробности у меня в ЖЖшке).

Компьютер домашний достаточно древний: i5 760 @2.8GHz, всего лишь 6ГБ оперативки. Видеокарту заменил недавно на GT710, т.к. старая не справлялась с широкоформатным монитором (обновку купил год назад, когда началась "САОизоляция" и я около месяца работал исключительно удаленно). Нынешня видеокарта полноценно "тянет" все три нагрузки (и есть еще резервный выход на четвертую): два рабочих монитора + телевизор, висящий сверху для просмотра кино. На компе все также единственный популярный из оставшихся в живых дистрибутивов линукса — Gentoo.

Китайской паяльной станцией тоже обзавелся в начале "САОизоляции", обычно паял все на работе. Паяльная станция, конечно, хреновенькая (импульсная, а не трансформаторная), но если использовать нерегулярно, сгодится.

На официальном сайте raspberry имеется образ операционной системы (полный) https://downloads.raspberrypi.org/rpd_x86/images/rpd_x86-2021-01-12/2021-01-11-raspios-buster-i386.iso

Проблема образа: Микрокомпьютер использует в качестве диска карту памяти микро SD. При работе операционная система выполняет запись на диск (логи, какие то иные данные). Причем достаточно активно пишет. Из-за недолговечности носителя и риска повреждения файловой системы в следствие внезапного отключения энергии, возникла необходимость, полностью исключить запись на диск в процессе работы. В итоге диск компьютеру должен быть нужен, только для загрузки операционной системы и в процессе работы использоваться не должен (вплоть до удаления диска из слота).

Задача, модифицировать файлы операционной системы таким образом что бы в процессе работы, диск операционной системе был не нужен совсем, только для загрузки операционной системы.

На борту компьютера 4гб оперативной памяти. Графическая оболочка не нужна. Необходима работа всех внутренних устройств и полная потдержка окружения pyton

Перемещено leave из job

Разработчик из проекта River's Educational Channel представил оболочку командной строки, которая понимает человеческий язык и переводит его в команды интерпретатора Bash. Новая оболочка использует OpenAI и позволяет выполнять как простые команды для работы с файлами и директориями, так и использовать утилиты вроде ImageMagick, ffmpeg со сложными параметрами.
Видео с демонстрацией работы на YouTube

( читать дальше... )

>>> Подробности

Подскажите нормального VPS хостера. Из желаемого:

• Запрашивает минимум инфы или хотя бы не банит за фейковые данные (адрес проживания/имя-фамилия).
• Предлагает конфиг типа «2 ядра, 1GB RAM, гигабитный линк» за 5-7$
• Кладет болт на DMCA (или аналог в ЕС) или хотя бы не банит по первой абузе
• Датацентр в Европе
• Бесплатный IPv6
• KVM виртуализация и возможность загрузить свой ISO или наличие свежих OpenBSD или alpine-virt.

Раньше пользовался услугами CrownCloud, но они перестали предоставлять IPv6 на classic kvm тарифе.

15 апреля Mozilla объявила о решении удалить из Firefox поддержку протокола FTP. В запланированном на 19 апреля выпуске Firefox 88 поддержка FTP будет пока просто отключена по умолчанию (настройка browserSettings.ftpProtocolEnabled будет переведена в режим «только для чтения»). В 90 версии браузера планируется удаление кода, обеспечивающего поддержку этого протокола.

Теперь при открытии ссылок, начинающихся с ftp:// будет открываться стороннее приложение для работы с этим протоколом, при условии, что оно установлено в системе и заданы соответствующие настройки приложений по умолчанию.

Причиной прекращения поддержки FTP называется незащищенность протокола от перехвата и модификации трафика при MITM-атаках. По мнению разработчиков для загрузки файлов в современных условиях лучше использовать протокол HTTPS. Также отмечено, что код поддержки FTP достаточно старый, что создает проблемы при его поддержке и сопровождении.

>>> Подробности

Вечер добрый всем! Случилась очень интересная ситуация, стояла себе и работала IP камера, на ноутбуке была запущена программа для настройки и мониторинга этой самой камеры, при запуске программа сканирует устройства и добавляет их в список доступных, иногда, если камера находится не в той подсети программа меняет ей адрес на «правильный». И вот эта самая программа, решила сменить камере адрес на 127.0.0.12 и все! Сама, сука, написала, что устройство оффлайн и больше найти ее не могла, разные пляски с бубном помогли камеру найти и удостовериться, что она висит в сети под адресом 127.0.0.12, но как на нее зайти? Винда вообще не разрешает вписать адрес 127 в настройках сетевого адаптера, Линукс позволяет, но подключится так и не удалось. Прописанный маршрут при нормальной адресации тоже не дает возможности зайти на камеру. Может кто-то может подсказать, как поменять адрес камере? Заранее благодарю!

1. Покупаем на авито thinkpad T440p с отстойной TN-матрицей, HDD и 4gb RAM, CDROM. Проц любой, они меняются, но i5 4300m хватит с избытком, у него же не U на конце. На конце «T440p» буква p - это важно - туда ставят съёмные 47-ваттные процы, а не припаивают на мять 15-ваттные U-модели процов. Данный ноут ещё хорош тем, что закупался мегакорпорациями и мог остаться на складах, их списывали вагонами. Если вы живёте в богатой Швейцарии, то может посто достаточно по помойкам вечером пройтись. ~13000 руб.

2. Важно найти модель T440p без дискретной Nvidia. В названии «T440p» не отражается, есть там нвидиа или нет, просто T440p бывает с двумя вариантами матери - на одну из матерей припаяна NVidia, на другую нет и стоит система охлаждения полегче (без одной трубки-площадки до чипа нвидии). Толку от nvidia нет, ускорение в игрунях 0.0000001% а зря греется и жрёт питалово. А без неё надёжнее, экономичнее. Это важный пункт выбора породистого девайса - nvidia быть не должно. Авито завален в основном T440p + Nvidia, поэтому нужно тщательно отбирать.

3. Покупаем на aliexpress правильную матрицу LP140WF3-SPD1 (можете погуглить варианты вокруг неё, но там то цветопередача не та, то яркость), старую выдёргиваем, эту втыкаем (там 1 разьём воткнуть - паять не надо - там такой 40-пиновый разьём - ноут просто находит монитор новой модели) - получаем немерцающий кошерный IPS экран FullHD. Не 4K и хорошо, тормозов поменьше и всё предсказуемее. В матрице официально 262K цветов, но по исследованиям каких-то чуваков из ссылки ниже, цветопередача там лучше, чем в тех про которые написано, что там 16.2M цветов. 4700 руб.

4. Покупаем на aliexpress touchpad для T450. Родной T440p слишком модный и без физических кнопок, а на T450 физические нормальные кнопки вернули обратно. T450-touchpad физически совместим с T440p - 1500 руб.

5. Втыкаем SSD любимой модели, я ставил samsung evo pro 860 256G (фильмы не качаю, в игруни не играю, фотки и музло не храню, мне с избытком). В этом ноуте вы упираетесь в скорость SATA. В этом ноуте есть M.2, в который втыкают LTE-модемы, но с SSD там то-ли места не хватает, то-ли не все поддерживаются, то-ли надо что-то мутить в BIOS и непонятно что там будет за скорость. Возможно это самое дорогое, скажем 6-12 тыр.

6. Воткнуть 16 гигов оперативы. 2 sodimm DDR3L (1.35v), макс 16GB 2133Mhz DDR3 (например Corsair Vengeance 2133Mhz DDR3 Sodimm). 2 планки по 8 гигов: 3500 + 3500 руб

7. Клавиатура. Если повезло, у вас она американская (а не европейская с большим enter) и сразу с 2-уровневой подсветкой. Можно фильтровать на этапе покупки, если не повезло - аликспресс, но точную модель не знаю. possible 1500 rur

8. CD-ROM: выдёргиваем, покупаем на Ali sata caddy кейс для второго SSD: 600 руб. Может быть будет пустовать, зато сидюк не будет жрать питалово. Там можно спрятать немного бабла в свёрнутом виде! Потенциально в ноут втыкается до 3 физических дисков - рай файлового плюшкиниста или RAID-маньяка.

9. M.2 слот: можно втыкать наверное много чего, гипотетически 3-й диск или модем или второй wi-fi, но я не трогал.

Личный опыт - T440p + дефолтная убунта (16.04, 18.04, 20.04) - работает всё, режим сна прекрасен (закрыл крышку, кинул в рюкзак, через неделю открыл - работает), wi-fi 5ghz есть, BT есть, SD-карты читает (фотографам надо), LAN-гигабитка есть (HFT-трейдерам запускать low-latency торговых роботов). Ну ещё в выключенном состоянии работает как power bank через USB-порт, правда без fast charge.

В чём может быть печаль: 2 кг вместо 1 кг (lenovo carbon X1, macbook m1 и т.п. - я не страдаю, но есть капризные слабаки с лимитом в 1 кг), отсутствует задротский способ подключения внешних видюх (как на x230), нет USB-C. Клавиатура не классическая thinkpad, а «новая thinkpad», но старую клавиатуру официально похоронили решением ЦК КПСС навсегда, а её чертежами выстрелили из пушки на солнце, поэтому уже проще один раз перестроить мозговой движок слепой печати под эту новую клаву, чем вечно грустить о былом. Я страдал, я изменился, я полюбил 4++-серию клав.

Итого где-то вокруг 30 тыр получаем железяку с достаточно нормальным кол-вом оперативы и процом для агрессивного компиления и этой железки похоже хватит ещё надолго. Из породистых магазинных ноутов эту железку начинают рвать по производительности девайсы только подбираясь к 150-200 тырам, да и то на какие-то величины процентов в синтетических тестах, которые вам скорее всего похрен. Хотя конечно thinkpad P15 с 128 гигами ОЗУ будет интереснее, но это в 10 раз дороже)

Мегаинструкия на ту же тему с бОльшим колвом деталей и пояснений: https://octoperf.com/blog/2018/11/07/thinkpad-t440p-buyers-guide/#cpu

Бложик и личная история

Как я понял, развитие процов тормознуло к настоящему моменту. Всмысле, в руки попадают всякие thinkpad carbon X1 gen7 или Dell XPS и я не вижу преимуществ в них, относительно старой шарманки T440p i5 4300m. Единственное, что было заметно: T440p на каком-то Dell 27" через displayport на разрешении НИЖЕ 4K, но больше FullHD тянул на полный экран одну WebGL-игрушку в гуглхроме с микроподлагиваниями, а Dell XPS 13" с процом i7 7550U и какой-то новой интегрированной видяхой тянул БЕЗ подлагиваний и с меньшим поеданием электричества.

То есть, если нам нужна переносимость железки, компактность, но работаем мы всё равно от розетки и нам не важна разница между 3 часами и 10 часами от батарейки, то этот тред для вас. На практике при офисно-домашней жизни всё равно надо думать где у тебя зарядник. Какая разница когда об этом думат - через 3 часа или через 8: (хотя при компилении ядра 8 не будет никогда) - всё равно думать надо, а значит зарядник всегда где-то есть и это не нокия 3310 с неделей работы от зарядки.

Линус Торвальдс критикует использование Rust в ядре. Причины: возможность panic(), неделимость библиотеки и соответственно опасные попытки использования 128 bit типов (в ядре запрещено), бесполезность предложенных примеров драйверов.

>>> Подробности

Здравствуйте.

Подскажите чем пользоваться что бы экран виртуалки не превращался в пошаговую стратегию.

Предистория. Начал осваивать виртуализацию kvm, пробросил в виртуалку видеокарту(intel gvt), но все попытки поиграть превращаются в пошаговую стратегию. Пробовал vnc и nomachine.

Вобщем, дошли руки потыкать палочкой.

Я вот что не пойму - зачем и кому он нужен, ну правда?

Это же новый C++. То есть, чрезмерно переусложненный язык, в котором, как говорил Луговский, разобраться может разве что хорошая зубрилка, а не хороший программист, но при этом не дающий никаких бонусов к продуктивности, и никакими киллер-фичами не обладающий.

Close to metal? Нет, извините, мне когда надо будет close to metal - я пойду сишку возьму. Которая реально, и Close To Metal, и со стабильным ABI, так важным для низкоуровневого программирования, и так далее. А если просто производительности не будет хватать, в том числе там из-за GC, так ведь - что в Java, что в Common Lisp, есть огромное количество возможностей затюнить производительность до нужного уровня, при этом не стреляя себе в ногу.

Продуктивность разработчика? Я сильно в этом сомневаюсь. Потому что вот есть языки программирования, предлагающие наибольшую продуктивность, не ограничивающие пользователя практически никак, и, конечно, вместе с тем, довольно сильно нагружающие межушной нервный узел, довольно нетривиальные для изучения. Как пример, лиспы всевозможные. Но Rust в их число не входит. Там на каждом углу костыли, подпорки, железные двери с замками, и чуть что так обухом по голове можно получить.

Наконец, ну безопасность чтоли, хваленая? Ну, опять нет. Взять тот же unsafe. Если вам нужна прямо таки безопасность-безопасность - берите что-нибудь вроде хаскеля(или какого-нибудь Coq, или что-нибудь подобное, с зависимыми типами, если совсем упоролись), ну или на худой конец, что-нибудь вроде Java, где все безопасно прямо как в дурдоме с мягкими стенами.

Вобщем, не вижу зачем этот язык нужен, нам и C++ хватает, если надо не ехать, а шашечки(т.е. тупо позадротствовать, да).

Хочется на кнопку «Make New Project» в студии нажать, а вручную создать каждый файлик и осмысленно написать каждую строку Манифеста, зато поняв что происходит. Да и в качестве IDE на 2021 год vim + LSP + нужный language server + консоль + велосипедные скрипты куда интереснее, чем тормозная монструозная хрень от JetBrains. Хочется рецептов, статей, как собирать, чем лить (adb), текстов про опыт.

UPDATE

Нашёл древнее: https://authmane512.medium.com/how-to-build-an-apk-from-command-line-without-ide-7260e1e22676. Переработал, осмыслил, проапдейтил схемы установки всего. Слегка потрахался с настройкой USB в мобиле, чтобы adb увидело девайс.

Получился такой мануал: http://0x0.st/-Ty0.txt Выполнил его, достиг успеха. Маленький фикс мануала: adb install надо не на hello.apk а на hello.unaligned.apk, который до Align ZIP шага, потому что Aligning ломает цифровую подпись как-то.

Но при установке на живую мобилу (samsung note 9) мобила сказала такое: http://0x0.st/-TyG.jpg ( https://imgur.com/a/VHTpdc8 ). Получилась такая иконка в установленных: http://0x0.st/-Ty5.jpg При старте заявило: http://0x0.st/-Tyh.jpg Но работать не отказалось. Выглядит как-то так: http://0x0.st/-TyC.jpg

Возможно у меня есть эмулятор, но я незнаю. Это всё на живом девайсе. Ось: свежая убунта 20.04 с дефолтным ядром. Интересно заслушать экспертов о ругани мобилы на старину платформы приложения. Возможно вместо «platforms;android-30» надо ставить что-то свежее как-то, но инстяллятор вроде свежее ничего не предлагал, хотя я может быть смотрел жопой. Главная позитивная новость в реальности процесса и в размере занимаемых ресурсов на уровне 100 КБ.

10 апреля вышел OpenToonz V1.5 - свободный редактор 2D анимации, продолживший развитие професионального пакета Toonz, который использовался при создании мультсериала «Футурама» и нескольких других проектах, некоторые из которых в последствии были номинированы на премию «Оскар».

Toonz — программное обеспечение для создания двумерной анимации. Изначально программное обеспечение производилось компанией Dwango, 19 марта 2016 года был открыт исходный код и создан продукт OpenToonz.

Wikipedia ©

Основные изменения:

( читать дальше... )

>>> GitHub проекта

>>> Сайт проекта

>>> Подробности

PEP8 рекомендует ставить побольше пробелов для читабельности кода, и в то же время говорит, что для ключевых слов использовать пробелы нежелательно. В чем прикол? Может они там сами никак не определятся?

Перемещено leave из general

Группа энтузиастов реализовала хак, отдающий PCI ID «профессиональных» карт-ускорителей проприетарным драйверам от компании NVIDIA для Linux. Хак отрабатывает как на этапе опроса присутствующего в системе оборудования, так и на этапе проверки верификации ID карты через цифровую подпись драйвером.

«Обманутые» таким образом драйвера публикуют интерфейс, необходимый для эмуляции нескольких виртуальных карт на одном физическом устройстве. В частности, это позволяет использовать аппаратные возможности карт в операционных системах, запущенных под управлением qemu-kvm.

Ниже представлена таблица соответствия реальных карт их профессиональным моделям, реализованная в хаке.

( читать дальше... )

>>> Подробности

Сабж. Кто-нибудь знает нормальный метод это сделать?

Есть скрипт, у которого ну прям очень явно течет память. При этом gc debug рапортует что усе собирается, а tracemalloc вообще считает что скрипт больше 10 метров не ест.

Память течет только под нагрузкой в проде, на локальной машине и тестовом стенде все чисто.

Пока думаю попробовать снять дамп через haystack посмотреть чем эта зараза сожрала полтора гига

upd: залез gdb, говорит 20 метров. система говорит 400. wtf?

Сегодня (10.04.2021) состоялся первый релиз библиотеки YAFL.

YAFL - это библиотека, написанная на Си, содержащая несколько алгоритмов Калмановской фильтрации, распространяемая под лицензией Apache-2.0.

Библиотека ориентирована на применение во встраиваемых системах на базе микроконтроллеров с аппаратной поддержкой вычислений с плавающей точкой.

Для прототипирования алгоритмов обработки сигналов с использованием YAFL предполагается использовать Python 3.5+ и написанное на Cython расширение yaflpy.

Отличительные особенности библиотеки:

• библиотека нацелена на преимущественное использование статического выделения памяти;
• по мере возможности использованы алгоритмы, минимизирующие кеш-промахи;
• в YAFL реализованы квадратнокорневые варианты алгоритмов фильтрации на основе UDU-разложения;
• применены численно-стабильные методы вычислений, а так же регуляризация;
• библиотека содержит алгоритмы, в которых применены меры для:
  • устранения расходимости фильтров
  • взвешивания результатов измерений с целью снижения влияния промахов/помех.

YAFL находится на ранней стадии разработки, код и документация могут содержать ошибки. Текущая версия библиотеки: 0.10.0.

>>> Подробности

День добрый

Нужна база данных, умеющая сохранять объекты как они есть в базу, что-то вроде ZODB

Этот ZODB весьма хорош, для доступа различных процессов использовал сервер ZEO, но при попытках изменения одного и того же объекта разными процессами, возникает ConflictError, который непонятно как разрешать, а вся документация весьма неполная, зато полна битых ссылок на уточнения.

Есть какие либо варианты? Основные критерии: сохранение объектов как они есть (все SQL отпадают разом), изменение сохранённых объектов прямо в базе, возможность изменения всей базы из разных процессов

Смотрел в сторону MongoDB, но она оказалась документоориентированной, а перестраивать работу приложения под представление объектов в JSON формате - совсем не вариант

Американский верховный суд вынес решение в пользу Google в патентном споре с Oracle о правах на Java API.

Суд отменил решение суда низшей инстанции, в котором говорилось о нарушении авторских прав со стороны Google, и заявил, что частичное копирование кода Java является добросовестным использованием.

Oracle обвинила Google в незаконном копировании более 11 тысяч строк кода Java API для разработки Android. Oracle требовала возмещения убытков в связи с недополучением дохода от программного обеспечения Java.

>>> Подробности