LINUX.ORG.RU

Сообщения x3al

 

I'm giving up on PGP

Форум — Security

https://blog.filippo.io/giving-up-on-long-term-pgp/

Для Ъ:

Я ни разу не возвращаюсь на плейнтекст. Но я не буду больше держать долговременных публичных ключей. Я собираюсь пользовать Signal или WhatsApp, которые обеспечивают гораздо лучшую endpoint-безопасность на iOS, эфемеральность и более прямую ротацию ключей.

 ,

x3al
()

Pre-14.04 ubuntu (GUI desktop) 0day

Форум — Security

http://scarybeastsecurity.blogspot.ru/2016/11/0day-exploit-compromising-linux...

Для Ъ:

sudo rm /usr/lib/x86_64-linux-gnu/gstreamer-0.10/libgstnsf.so
чинит (в убунте есть ещё один кодек, поэтому всё ок).

Для ЪЪ: дырка в gstreamer-плагине для nsf-файлов.

По ссылке — исполнение произвольного кода. О том, что из него на десктопе с иксами можно получить рута, все и без меня знают.

 

x3al
()

CVE-2016-7117 Use-After-Free Remote Code Execution (linux kernel, patched)

Форум — Security

http://www.securityfocus.com/bid/93304/discuss

TL;DR: в несвежем ядре (в upstream пофикшено в марте) — remote code execution/DoS. В андроиды прилетело только что. Последняя уязвимая версия — 3.19.3

Чтобы заюзать эту уязвимость, нужен юзерспейс-софт, делающий recvmmsg. На домашних системах его обычно нет.

 

x3al
()

Детектирование curl|bash-юзеров со стороны сервера

Форум — Security

 ,

x3al
()

К docker наконец-то появился юзабельный гуй

Форум — Talks

Сабж Для Ъ:

  1. Install Minecraft: minecraft.net

    The Minecraft client hasn't been modified, just get the official release.

  2. Pull or build Dockercraft image:

    docker pull dockercraft

    or

    git clone git@github.com:docker/dockercraft.git docker build -t dockercraft dockercraft

  3. Run Dockercraft container:

    docker run -t -i -d -p 25565:25565 -v /var/run/docker.sock:/var/run/docker.sock --name dockercraft dockercraft

    Mounting /var/run/docker.sock inside the container is necessary to send requests to the Docker remote API.

    The default port for a Minecraft server is 25565, if you prefer a different one: -p <port>:25565

    Open Minecraft > Multiplayer > Add Server

    The server address is the IP of Docker host. No need to specify a port if you used the default one.

    If you're using Docker Machine: docker-machine ip <machine_name>

  4. Join Server!

    You should see at least one container in your world, which is the one hosting your Dockercraft server.

    You can start, stop and remove containers interacting with levers and buttons. Some Docker commands are also supported directly via Minecraft's chat window, which is displayed by pressing the T key (default) or / key.

 , ,

x3al
()

Ransomware: теперь и в линуксе

Форум — Security

Пруф.

Ъ:

Called Linux.Encoder.1 the ransomware will encrypt your MySQL, Apache, and home/root folders. The system then asks for a single bitcoin to decrypt the files.

Once launched with administrator privileges, the Trojan dubbed Linux.Encoder.1 downloads files containing cybercriminals’ demands and a file with the path to a public RSA key.

TL;DR: теперь ССЗБ без бекапов можно стать и под линуксами.

 , ransomware,

x3al
()

А где топик?

Форум — Talks

http://git.busybox.net/busybox/commit/?id=accd9eeb719916da974584b33b1aeced5f3...

Для Ъ:

remove systemd support

systemd people are not willing to play nice with the rest of the world. Therefore there is no reason for the rest of the world to cooperate with them.

 ,

x3al
()

Joanna Rutkowska: Intel x86 considered harmful

Форум — Security

Свежая бумага про то, каким решетом является x86: http://blog.invisiblethings.org/2015/10/27/x86_harmful.html

Никаких новых атак не описано, просто систематизирована информация о существующих. 40+ страниц инглиша.

 

x3al
()

Определённые виды музыки могут оставить продолжительный эффект на головном мозге

Форум — Science & Engineering

Сабж, цитируемый и избавленный от изнасилования журналистами. Влияет только музыка, не слова. Эффект может быть как позитивный, так и негативный. Музыка влияет на настроение и фМРТ подтверждает это. Результаты могут быть использованы в терапии.

Тут: https://www.jyu.fi/hum/laitokset/musiikki/en/research/coe/materials/emotion/s... можно скачать музыку из эксперимента.

Дискасс, что ли.

 нейрология

x3al
()

Python — простой и понятный язык, говорили они.

Форум — Development

https://github.com/cosmologicon/pywat

Предлагаю померяться скором в прилагаемом quiz'е.

 ,

x3al
()

VT100+ эмуляторы терминала — решето. А что делать?

Форум — Security

https://miteshshah.github.io/sysadmin/terminal-escape-sequences-the-new-xss-f...

Ъ:

$ printf '#!/bin/bash\necho doing something evil!\nexit\n\033[2Aecho doing something very nice!\n' > backdoor.sh

$ chmod +x backdoor.sh

$ cat backdoor.sh
#!/bin/bash
echo doing something very nice!

$ ./backdoor.sh
doing something evil!
Как с подобным бороться? Признаюсь: иногда делаю wget чего-нибудь, cat чтобы убедиться в чистоте и после этого запускаю. Что стоит поменять? Заалиасить cat и прочие тулзы?

 ,

x3al
()

Ramda-cli кто пользуется?

Форум — Development

Я про это: https://github.com/raine/ramda-cli

Юзкейсы напоминают jq, но полностью на JS и соответственно умеет подключать любой модуль из npm в обмен на тормоза. Ну и дофига ФП.

Перемещено true_admin из talks

 , , ramda

x3al
()

[UPDATED] Chrome принудительно показывает полноразмерную видеорекламу на Youtube пользователям adblock

Форум — Talks

Сабж. В приложениях хрома (chrome://apps) теперь есть Youtube, которое делает вроде как одну вещь — обходит adblock и скрывает кнопку skip на видеорекламе.

Энжой юр хром.

UPDATE: Тут обсуждение бага. Хроморазработчики заявляют, что это случайный баг, возникший при впиливании security-фикса, подробности которого пока не могут раскрыть и советуют удалить YouTube из chrome://apps тем, кого затронуло.

 , ,

x3al
()

Разработчик PyParallel считает, что оффтопик удобнее для реализации параллелизации

Форум — Development

Для !Ъ: раз срач, два срач

Контекст: PyParallel — форк py3 с сохранением GIL и прочего, умеющий в многоядерность и линейно (!) скалящийся при этом. Проект в альфе с прицелом на то, чтобы влиться в py4. На данный момент оно состоит из платформо-пофигистических изменений в cpython и жёстко привязанной к оффтопику платформозависимой части (но если оно будет вливаться в cpython, то кроссплатформенным оно рано или поздно будет). Производительность выглядит неплохой для альфы.

Trent Nelson, разработчик всего этого а заодно core python commiter, высказывается:

(цитата для Ъ)

You could port PyParallel to Linux or OS X — there are two parts to the work I’ve done: a) the changes to the CPython interpreter to facilitate simultaneous multithreading (platform agnostic), and b) the pairing of those changes with Windows kernel primitives that provide completion-oriented thread-agnostic high performance I/O. That part is obviously very tied to Windows currently.

So if you were to port it to POSIX, you’d need to implement all the scaffolding Windows gives you at the kernel level in user space. <...> you’d have to manage your threadpools yourself, and each thread would have to have its own epoll/kqueue event loop. The problem with adding a file descriptor to a per-thread event loop’s epoll/kqueue set is that it’s just not optimal if you want to continually ensure you’re saturating your hardware (either CPU cores or I/O). <...>

As soon as you issue a blocking file I/O call on one of those threads, you have one thread less doing useful work, which means you’re increasing the time before any other file descriptors associated with that thread’s multiplex set can be served, which adversely affects latency. And if you’re using the threads == ncpu pattern, you’re going to have idle CPU cycles because, say, only 6 out of your 8 threads are in a runnable state. <...> The best example of how that manifests as an issue in real life is make –jN world — where N is some magic number derived from experimentation, usually around ncpu*2. Too low, you’ll have idle CPUs at some point, too high and the CPU is spending time doing work that isn’t directly useful. There’s no way to say make –j<just-do-whatever-you-need-to-do-to-either-saturate-my-I/O-channels-or-CPU-cores-or-both>

<...>with Windows, it’s a completely different situation. The whole kernel is architected around the notion of I/O completion and waitable events, not “file descriptor readiness”. This seems subtle but it pervades every single aspect of the system. The cache manager is tightly linked to the memory management and I/O manager – once you factor in asynchronous I/O this becomes incredibly important because of the way you need to handle memory locking for the duration of the I/O request and the conditions for synchronously serving data from the cache manager versus reading it from disk. The waitable events aspect is important too – there’s not really an analog on UNIX. Then there’s the notion of APCs instead of signals which again, are fundamentally different paradigms. The digger you deep the more you appreciate the complexity of what Windows is doing under the hood.

Дискасс.

TL;DR: ему лень писать уйму низкоуровневого клея для линуксов когда в винде внезапно оказались подходящие примитивы, с которыми всё просто работает.

Перемещено true_admin из talks

 , pyparallel,

x3al
()

Рекомендации по обеспечению безопасности рабочих ПК от Linux Foundation

Форум — Talks

https://github.com/lfit/itpol/blob/master/linux-workstation-security.md

Для Ъ немного выдержек:

  • System supports SecureBoot (CRITICAL)
  • UEFI boot mode is used (not legacy BIOS) (CRITICAL)
  • SecureBoot is enabled (CRITICAL)
  • Distro choice: Fully supports UEFI and SecureBoot (CRITICAL)
  • Firefox for work and high security sites; NoScript (CRITICAL)
  • Use a password manager (CRITICAL)

Дискасс, в общем. Особенно интересно мнение любителей legacy и биоса. Ну и нелюбителей SecureBoot.

 checklist,

x3al
()

OpenBSD убивает поддержку не-UTF8 локалей в -current

Форум — Talks

Пруф. Дискасс.

Приглашаются любители KOI8-R.

 , ,

x3al
()

На новой вкладке в Firefox будет показываться реклама. В бета-ветке — уже через неделю.

Форум — Talks

https://blog.mozilla.org/futurereleases/2015/05/21/help-test-changes-to-new-t...

https://blog.mozilla.org/advancingcontent/2015/05/21/providing-a-valuable-pla...

https://blog.mozilla.org/advancingcontent/2015/03/10/mozillas-mission-in-the-...

https://bugzilla.mozilla.org/show_bug.cgi?id=1120311

Обещают, что не будут продавать души пользователей рекламодателям. Браузер будет сам тянуть Рекомендуемые Тайлы™ с серверов Мозиллы, основываясь на истории посещённых страниц.

Мозилловцы не будут специально проверять работоспособность адблока с этим экраном.

https://blog.mozilla.org/advancingcontent/files/2015/05/KYTFK3YKa_Fu5czxt2dM4... — как это будет выглядеть.

 ,

x3al
()

Два 4096-битных RSA-ключа сломаны

Форум — Talks

http://trilema.com/2015/full-disclosure-4096-rsa-key-in-the-strongset-factored/

По непонятной причине один из множителей оказался до неприличия маленьким. Возможно, баг в софте. Если этот софт до сих пор не пропатчен — heartbleed покажется мелочью.

Линукс тут очень даже при чём. Первый найденный ключ — GPG-ключ этого человека

RSA НЕ СЛОМАН, но известные ключи, уже находящиеся в паблике, могут быть гораздо слабее, чем предполагалось.

UPD: https://news.ycombinator.com/item?id=9561091

 , ,

x3al
()

Гугл собирается убить ЛОР

Форум — Talks

'Troll hunting' algorithm could make web a better place.

The study, funded by Google, looked at the behaviour of internet trolls over time to see what eventually resulted in them being banned.

Users who ended up being permanently banned from sites demonstrated a very clear set of behaviours and characteristics. From the get-go, the quality of their posts was far worse than those by other users, and continued to degrade over time. As well being «harder to understand according to standard readability metrics», posts written by trolls tended to be more likely to contain «language that may stir conflict», including negative words and profanities.

 ,

x3al
()

Проверено: Почему клиент-сайд шаблоны не нужны.

Форум — Talks

http://www.onebigfluke.com/2015/01/experimentally-verified-why-client-side.html

Для Ъ: там про Angular and templating и конкретно про абзац

Populating an HTML page with default data is a server-side job because there is no reason to do it on the client, and every reason for not doing it on the client. It is a needless performance hit that can easily be avoided by a server-side templating system such as JSP or ASP.

с замерами времени на десктопном/мобильном хромом до начала/конца отрисовки страницы на примере котиков.

 , ,

x3al
()

RSS подписка на новые темы