1. Куча / Говнокод #27942

    0

    1. 1
    IT Оффтоп #142

    #112: https://govnokod.ru/27648 https://govnokod.xyz/_27648
    #113: https://govnokod.ru/27652 https://govnokod.xyz/_27652
    #114: https://govnokod.ru/27659 https://govnokod.xyz/_27659
    #115: https://govnokod.ru/27665 https://govnokod.xyz/_27665
    #116: https://govnokod.ru/27671 https://govnokod.xyz/_27671
    #117: https://govnokod.ru/27675 https://govnokod.xyz/_27675
    #118: https://govnokod.ru/27685 https://govnokod.xyz/_27685
    #119: https://govnokod.ru/27701 https://govnokod.xyz/_27701
    #120: https://govnokod.ru/27703 https://govnokod.xyz/_27703
    #121: https://govnokod.ru/27710 https://govnokod.xyz/_27710
    #122: https://govnokod.ru/27728 https://govnokod.xyz/_27728
    #123: https://govnokod.ru/27729 https://govnokod.xyz/_27729
    #124: https://govnokod.ru/27730 https://govnokod.xyz/_27730
    #125: https://govnokod.ru/27732 https://govnokod.xyz/_27732
    #126: https://govnokod.ru/27733 https://govnokod.xyz/_27733
    #127: https://govnokod.ru/27737 https://govnokod.xyz/_27737
    #128: https://govnokod.ru/27742 https://govnokod.xyz/_27742
    #129: https://govnokod.ru/27747 https://govnokod.xyz/_27747
    #130: https://govnokod.ru/27755 https://govnokod.xyz/_27755
    #131: https://govnokod.ru/27766 https://govnokod.xyz/_27766
    #132: https://govnokod.ru/27790 https://govnokod.xyz/_27790
    #133: https://govnokod.ru/27828 https://govnokod.xyz/_27828
    #134: https://govnokod.ru/27834 https://govnokod.xyz/_27834
    #135: https://govnokod.ru/27839 https://govnokod.xyz/_27839
    #136: https://govnokod.ru/27845 https://govnokod.xyz/_27845
    #137: https://govnokod.ru/27857 https://govnokod.xyz/_27857
    #138: https://govnokod.ru/27867 https://govnokod.xyz/_27867
    #139: https://govnokod.ru/27887 https://govnokod.xyz/_27887
    #140: https://govnokod.ru/27900 https://govnokod.xyz/_27900
    #141: https://govnokod.ru/27914 https://govnokod.xyz/_27914

    Запостил: nepeKamHblu_nemyx, 10 Января 2022

    Комментарии (428) RSS

    • Доброй ночи.

      Этот оффтоп сгенерирован автоматически.

      Индекс оффтопов: https://index.gcode.space/.
      Зеркала Говнокода и полезные ресурсы:
      * https://govnokod.xyz/ (альтернативный Говнокод)
      * https://gcode.space/ (read-only зеркало Говнокода)
      * https://t.me/GovnokodBot (Говнокод-бот в «Telegram»)
      * https://t.me/GovnokodChannel (Тематический канал в «Telegram»)
      * https://vorec.space/ (глоссарий Говнокода)
      * https://app.element.io/#/room/#govnokod:matrix.org (резервный чат)

      Примечание: автоматические перекаты в настоящее время осуществляются только с аккаунта nepeKamHblu_nemyx.
      Остерегайтесь подделок. Берегите себя и своих близких. Кок!
      Ответить
    • Хули Паккард на новых ноутбуках кнопку включения разместил прямо в верхнем ряду клавиатуры посреди других клавиш:

      https://nitter.fdn.fr/pani_v_zupani/status/1479099316056719360
      Ответить
      • //66А у меня на
        тчпаде3 ц


        ифры/8 какието//////
        Ответить
    • Кремниевая вафля:

      https://aliexpress.ru/item/1005002056371107.html
      Ответить
    • Используя систему Face Pay, в метро штрафуют за отсутствие маски

      https://roskomsvoboda.org/post/facepay-shtrafuyet-v-metro/

      Какая желтуха )))
      Ответить
      • >>>"он не знает, как теперь отозвать свое лицо из этой системы и кому оно еще досталось"

        ВЕРНИТЕ ЛИЦО )))
        Ответить
      • > Остальные тоже ездят без маски, но их нельзя идентифицировать по лицу.
        100% пидорашка, винит не себя за ебланство, а "остальных", которые не страдали херней.
        Ответить
      • > Face Pay
        > в метро штрафуют

        Поучительная история о том, почему не стоит торговать ебалом.
        Ответить
    • Почему, блядь, в 2022 году нету нормальной удобной питушни, чтобы ssh-сессии жили вечно?
      Если вы скажете КОКОКО ЕСТЬ ЖЕ TMUX, то я знаю, что он есть. Это тупое ПРЫЩЕГОВНО, где всё глючит, ломая терминал.
      Пользуюсь iterm2 на маке, подключаясь к прыщам.

      Тред отсоса прыщеблядей объявляется открытым.
      Ответить
      • Так как в любой момент сервер может отключиться, врямя жизни компоненитов ограничено, да и тепловая смерть вселенной не за горами, исследования в области вечноживущих сессий были признаны нецелесообразными.
        Ответить
        • «Вчера на улице ко мне подошла старуха и предложила купить вечную иглу для примуса. Вы знаете, Адам, я не купил. Мне не нужна вечная игла, я не хочу жить вечно.»
          Ответить
      • Ты хочешь, чтобы сессиям не прилетал SIGHUP?
        Тогда они утекут.

        Я закрыл сессию, и могу ночью срать, и не ворочаться, что у меня там какие-то левые процессы работают.

        Про tmux не поенял. Попробуй screen.

        Если тебе вот явно нужно сохранить процесс, но есть конечно nohup, но к вопросу отношения не имеет.

        Серьезно, я бы не хотел, чтобы мой sudoшнутый psql например висел на сервере, если я случайно отключился. Особливо если на сервере не я один топочусь
        Ответить
        • Говорят, утром срать полезнее всего.

          https://www.youtube.com/watch?v=ulCajelB6e4
          Ответить
        • > мой sudoшнутый psql например висел на сервере, если я случайно отключился

          Если отклчился, чтобы он ни висел. А если ноутбук закрыл, то висел. Терминал закрыл - не висел.
          Тебе понятен мой юзкейс?
          Я работаю на сервере: запускаю команды, запускаю тесты, прочую хуйню. И меня бесит каждый раз писать «ssh guest.pethu.ru» «cd ~/pethu/project» «./kok», теряя контекст. Я хочу оставаться там же, где закрыл ноутбук вчера.
          Ответить
          • iterm2бляди соснули.
            Ответить
          • >Если отклчился, чтобы он ни висел.
            >А если ноутбук закрыл, то висел. Терминал закрыл - не висел.

            Если ты закрыл ноутбук, то он отвалился по таймауту. Откуда он знает, закрыл ты ноутбук, или тебя инопланетяне забрали, и ты больше никогда не вернешься?

            Настрой ноутбук чтобы он при закрытии не засыпал, а тупо лочился, и ничего не отвалится
            Ответить
          • Ты хочешь, чтобы keep-alive было дольше, чем ты дрыхнешь?! В принципе можно tcp потюнить, но оно загнется после первого же портскана.
            Ответить
            • Можно сделать как в пинде с RDP. Там сессия живет некоторое время после закрытия (управляется групповыми политиками), но ты не можешь вроде две сессии с одного аккаунта иметь (во всяк случае без RD Host).

              Но я совсем не уверен, что на продакшен сервере это хорошо.
              Ответить
              • Меня бы устроило, чтобы терминал сам заходил туда, откуда меня выкинуло, и сохранял историю команд (стрелка вверх).
                Ответить
                • история у тебя и так сохранится (.bash_history) а что делать, если ты два раза туда зашел с двух терминалов?

                  А если кто-то спиздил твои креды, и зашел из КНР через секундупосле того, как тебя выкинуло, его тоже пускать в твою сессию?
                  Ответить
                  • Какие ещё креды спиздит? Я вручную захожу на сервер, используя ключ ~/.ssh/id_rsa, потом захожу в нужную директорию. Почему это нельзя делать автоматически?
                    Ответить
                    • Твои, ну.

                      или вот так: ты принес домой ноутбук, и зашел по ssh. Нужно открывать ту же сессию?
                      Ответить
                      • Мне не обязательно открывать ту же сессию, можно новую.
                        Ответить
                        • Почему? Ты же сам написал, что хочешь в ту же самую сессию
                          Ответить
                          • Ну ты меня убедил, что нельзя отличить закрыл ли я ноут, или меня инопланетяне забрали, поэтому хотя бы новую.
                            Ответить
                            • Если новую, то в чем проблема?

                              У большинства DE (и даже WM) есть хотки, чтобы при нажатии отдной клавиши открывался терминал, и в нем делалось "ssh [email protected]", а если пороль от ключа лениво вводить, то запускай при загрузке ssh agent.
                              Ответить
              • блять поцтеринг опять насрал

                https://www.freedesktop.org/software/systemd/man/logind.conf.html
                KillUserProcesses
                Takes a boolean argument. Configures whether the processes of a user should be killed when the user logs out.


                я уже нихуя непонимаю, как прыщи работают
                Ответить
                • > я уже нихуя непонимаю, как прыщи работают

                  >KillUserProcesses
                  А нейминг-то какой! Завоняло winApi.

                  >Note that setting KillUserProcesses=yes will break tools like screen(1) and tmux(1), unless they are moved out of the session scope. See example in systemd-run(1).

                  Няздец. Раздавите гадину — откажитесь от systemd.
                  Ответить
                  • А какой нужен нейминг?
                    «klusp» нужно было назвать?
                    Ответить
                  • Ну так архитектура получается как в винде, вот и именование такое
                    Ответить
                  • >Раздавите гадину

                    Чем система сложнее, тем больше в ней дырок и багов (привет MS).
                    Потому наиболее "системные" вещи (влияющие на максимальное число мест) должны быть максимально простыми.

                    Запуск системы это самое что ни на есть первое место в юзерспейсе, и чем оно тупее, железобетонее, примтивнее, легче для понимания даже нубу -- тем лучше.

                    Хочется пафосной питушни с XMLем или машинным обучением -- ну делайте поверх свою систему.

                    Но нет, мы хотим кушать говно

                    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15718

                    >An unprivileged user can exploit this by executing D-Bus methods that should be restricted to privileged users, in order to change the system's DNS resolver settings.


                    Ну чисто MS проблема же.
                    Ответить
              • Так в RDP сессия на сервере живет. А клиент остановлен и даже его IP стек остановлен. Некому поддерживать tcp когда ты засаспендил ноут.
                А про screen уже писали...
                Ответить
                • так и SSH на сервере
                  Ответить
                  • Так запусти tmux или screen на сервере и он будет там жить...
                    Ответить
                    • Дык он пишет, что у него tmux не дружит с iterm2

                      Я не знаю, почему (он не говорит). Могу предположить, что там говно какое-то с эмуляцией терминала, и надо смотреть на $TERM

                      А может там просто хотки общие, и кто-то не может в RTFM
                      https://iterm2.com/documentation-tmux-integration.html
                      Ответить
    • Давайте что-то обсуждать. Кто может вбросить хорошенечко?
      Ответить
      • Давайте.

        Труд программистов переоценён. Программисты специально выбирают ЯП, сложные для изучения, чтобы показать работодателю/заказчику, как они устают, и выбить повышенную зарплату, хотя могли бы решить задачу на «PHP» в две строчки.
        Ответить
        • В ещё они сделали «TypeScript», чтобы нихуя не делать и говорить «компилируется».
          Ответить
          • И «npm» со 100500 пакетами тоже для этого. Зависимости сами сломались, я не виноват.
            Ответить
            • Иногда выбирают страдальца, который популярным пакетом устраивает всем внеочередной выходной
              Ответить
              • Достаточно включить свой пакет в зависимости, чтобы иметь выходной когда захочется.
                Ответить
                • Если публиковать его анонимно, то годная идея.
                  Ответить
                  • Так вот для чего gost'у файка pethu в «npm».
                    Ответить
                    • Интересно, можно ли научить npm тянуть зависимости напрямую с govnokod.ru? Тут всё иммутабельно (кроме vanished), так что должно быть надёжнее, чем напрямую с npm.
                      Ответить
                      • >тут всё иммутабельно

                        можно использовать ГК для бекапа. Неудаляемые бекапы самый надёжный способ защиты от вирусни, хакеров, и прочей нечисти
                        Ответить
                      • Плюс несколько децентрализованых зеркал с независимыми поставщиками услуг.
                        Ответить
    • Задачка для анал-итиков ма-те-ма-ти-ков.

      Питухи из браузера ходят на адрес https://pethu.ru/ko-kok
      Есть логи запросов. Допустим, кроме IP питуха известен его ID.

      Адрес этот с Cache-Control с 30 минутами.

      Имеется дневной тренд: ночью в среднем на сервер приходят 100 питухов в секунду (нижний экстремум), днём 1000 (верхний экстремум).

      Задача: прикинуть сколько придёт питухов в секунду, если отключить кеширование.
      Ответить
      • Недостаточно данных. Отключи кеширование для IP, кратных 42, и экстраполируй. Аналитику включать не предлагаю, т.к. не этично.
        Ответить
        • Это онлайн эксперимент, нужно всё посчитать офлайн
          Или анскильная лалка
          Ответить
          • А как ты оффлайн отключишь кеширование?
            Ответить
            • Он не хочет, чтобы ты проводил эксперемент
              Он хочет, чтобы ты подставил цифирки в волшебную формулу, и сказал: "получится примерно сорок два питуха и еще пол крылышка"
              Ответить
              • Блин, читать не умею. Ну получишь магический коэффициент и домножишь на него offline. Если онлайн эксперимент проводить нельзя, то можно брать любой: никто не проверит.
                Ответить
              • Очевидно, одной формулой не отделаешься, так как неизвестен характер нагрузки.
                Может быть питух стучит раз в секунду, и это видно будет по логам: он пришёл в 12:00:33 и в 12:30:33. Или раз в сутки - будет 1 запрос за сутки.
                Ответить
                • Зачем думать? Обучи нейросетку на логах.
                  Ответить
                  • Снаут, конечно, прав. В реальности проще экспериментом проверить.
                    Ответить
      • 0, потому что вместе с отключение кеширования, ты всё сломаешь и не заметишь.
        0, потому что все кто хотели зайти на сайт уже зашли.
        Ответить
      • Если что, задача реальная, но решать я её не буду. Просто было интересно что здесь придумают.
        Ответить
      • > ночью в среднем на сервер приходят 100 питухов в секунду
        С учётом Cache-Control один сферический питух в вакууме не может совершать больше, чем f=1/1800 запросов сквозь кэш в секунду, следовательно, реальных питухов там не меньше чем (1/f)*rate_cached = 180000. А вот сколько запросов они отправляют в кэш выяснить никак нельзя: это может быть любое число от 100 в секунду (от всех питухов) и до бесконечности.
        Ответить
    • tips please to find HYdra, Portfuck and Brute force on windows ;-)

      hello boys and girls, my name is Nykita,
      I have a small question, I don’t know if this is the right place … but in case … so here is where I can find the software
      brute force,
      Hydra and Portfuck please I look everywhere but everything I see … have had only viruses or other, so I come to ask for a little help, to pro :wink: LOL tracks I’m interested. to have these software functional.
      see you soon and thank you all for your answers see you soon :wink:
      Nyki
      Ответить
      • Потом этот Nykita 14-ти летний зайдет по RDP в фирму аникеевского админа, и запустит там шифровальщика
        Ответить
    • https://jcenter.bintray.com/org/projectlombok/lombok/maven-metadata.xml

      Error: Server Error


      ну положим бывает, а что случилось? это скоро починят или можно идти ставить чаёк?

      https://status.bintray.com/

      502 Bad Gateway
      nginx


      ладно.
      Ответить
      • шокол nginx не виноват, что бекенд лёг
        Ответить
      • Jcenter/ Bintray is deprecated, has been for almost a year now

        окей, допустим я не знал, давайте оставим только мавен централ в проекте

        > Ctrl + Shift + F "jCenter()"
        > No results found

        [i.e. это опять прописано даже не в самом нашем проекте, а в одном из company-wide плагинов]

        бля когда же это кончится
        Ответить
        • Мне очень интересно, что творилось в голове у человека, который создал систему, одним из шагов сборки которой является «скачать что-то из интернета» и не увидел ничего страшного. Не «докачать чего не хватает», не «скачать, если поступила команда обновить либы из репозитория», даже не «заглянуть на всякий случай, вдруг что-то новое».
          Ответить
          • А что не так?

            Бздёвые порты так работали еще тридцать лет нозад
            Ответить
            • Ты полагаешься, что третья сторона, которая не имеет никакого отношения к тебе и твоему приложению, не решит переехать, поменять что-то, разориться или закрыться.
              А также, что четвертая сторона, которая опять же, никакого отношения к автору приложения или пользователю не имеет, не решит свой критически важный left-pad удалить. Или насрать туда.
              Ответить
              • Ну чтобы не срали нужно знать хеш.
                Что до стороны, то в случае портов я ей доверяю. В случае бинтрея -- да, обосрамс вышел
                Ответить
                • Подобные системы сборки — плевок в будущее. Вот представь себе, через 50 лет любитель устаревшего говна ретрокомпутинга порыщет по помойкам и соберёт свой i5, поставит его на полочку рядом с клоном Спектрума, нароет исходники программы, начнёт собираться и тут облом.
                  Ответить
                  • А как бы ты сделал? В каждую программу поковал бы все 1004000 зависимостей?

                    Вообще логично конечно иметь отдельные шаги:
                    collect_deps

                    и
                    build

                    Первый качает и кладет все в папку "deps"

                    Второй пускай падает с ошибок
                    `libposo.so` not found in "deps", either run "collect_deps" or copy it manually from diskette # 22

                    так?

                    так-то ".node_modules" получица
                    Ответить
          • В чем разница между "скачать" и "докачать"?

            У гредлов-мавенов же есть локальный кеш.
            Или ты о зависимости на "последнюю версию"?
            Ответить
            • Не уверен, что имел в виду reaver, но в моем случае это сраный HEAD-запрос в один из репозиториев (их сконфигурировано несколько), а локально точно есть рабочая версия.
              Наверняка у градла есть какие-то ключи, которые позволят не ходить в удаленные репозитории.
              Да только это всё блядь происходит внутри IDEA и ее ебанутой интеграции с градлом (с другой стороны, а как из этой dsl-помойки еще выдирать зависимости?), поэтому у меня вообще никакого контроля, а IDEA не может увидеть зависимости из соседнего модуля (который я только что прописал зависимостью, но IDEA этого не может, потому что не может перезагрузить градловский проект, потому что проблема выше)
              Ответить
              • у градла есть ``.gradle`` в твоей домашней папке.

                Вероятно, Ты обновил проект, а у тебя нету еще там нужново говна.
                Ну что я могу сказать?

                Если у тебя в конторе еболее трех петухов, то подымите свое зеркало.
                У нас есть например, чтобы двадцать петухов и тридцать агентов на CI не качали семь раз в день один и тот же файл на 800 мегабайт
                Ответить
                • > Вероятно, Ты обновил проект, а у тебя нету еще там нужново говна.

                  Точно есть. Он просто смотрит не появилось ли чего новее (и в принципе это правильно, только не надо валиться на нормальном хттп-ответе)

                  > Если у тебя в конторе еболее трех петухов, то подымите свое зеркало.

                  Оно тоже есть, при чем вроде от того же производителя.
                  Хохма в том, что билд валится при попытке проверить лишь один из источников, а их несколько
                  Ответить
                  • может, у вас вручную это написано в каком-то шаге? Бага в билдскрипте?
                    Ответить
                    • Такое вполне может быть. Я боюсь лезть глубоко внутрь. Я хочу одеялко и тортик.
                      Ответить
                      • Никто не любит трогать гредлвые скрипты, особенно на груви. Но будь мужиком, выложи сюда build.gradle и settings.gradle
                        Ответить
                        • Я не могу кидать рабочее сюда -_-

                          Но там ничего такого. Это какой-то из наших плагинов его тащит, скорее всего тот, который автоматом наш миррор конфигурирует.
                          Ответить
                          • > Я не могу кидать рабочее сюда -_-

                            Скажи, что govnokod.ru — это сервис-стартап для коллективного code review и security audit.
                            Ответить
          • Ой да ладно, всякая житуха на житхабе именно так и распространяется и далеко не у всех есть инструкция, где внятно написано "перед сборкой ставь этот, тот и вон такой пакеты", надо сидеть гадать чего там gcc не хватает.

            А еще бывает wget в мейкфайле.
            Ответить
    • https://en.wikipedia.org/wiki/SNOBOL

      Азазаза ШНОБЕЛЬ азазаза

      *звенит звонок, девятый класс возвращается на урок*

      > much like later object-oriented languages such as JavaScript whose patterns are known as regular expressions.

      Вот так горбатишься, пишешь один из ранних языков, придумываешь абсолютно новые концепты - а тебя сравнивают с «регулярками, известными как паттерны джаваскрипта».
      Ответить
      • Как в советском анекдоте про Брежнева, которого оживили в 22-м веке, и он прочитал про себя в энциклопедии: "мелкий политический деятель эпохи творчества Аллы Пугачевой"
        Ответить
      • В русскоязычной Вике такого позорного сравнения нет ни в статье про Снобол, ни в статье про Icon.
        Ответить
    • В кабель вполне можно встроить мелкий микроконтроллер с wifi, после чего передать хоть всё, что есть на телефоне, если человек случайно подтвердит запрос о доступе (или если есть известные баги).
      Ответить
      • ESP-32 вполне влазит в корпус стандартного разъёма USB-A, да. Заодно можно разослать запросов по Bluetooth и пиздить данные и с других телефонов.
        Ответить
      • Именно поэтому я за китайские говнокабели, в которых есть только два проводка - питание и земля. Мне такой с наушниками достался.
        Ответить
        • Никакой избыточности, один переломится и кабель ёк.
          Ответить
    • призыв убить ИМХО - уже за гранью, какие могут быть возражения? Я против цензцры в любом виде, но! выйдя из 7летней самоизоляции по личным причинам, я таки вижу что например "явные призывы к убийству людей по некоторым признакам/причинам" - должны банится и немедля. =.=
      Мир таков, ИМХО, что психически здоровых людей все меньше и меньше вокруг, да я и сам...того, с своми "чебурашками". Просто один раз вот чисто случайно залез в какойто дремучий, забытый форум в дарк нете и там внезапно обнаружил, сообщество людей гдето чисельностью около 10к, которые верят что они "избранные" и с ними говорят "высшие силы/ангелы/рептилоиды/масоны/бог/матрица/архитектор/глава государсва и тд и тп." И они все ждут сигнала что бы исполнить свою цель в жизни, если что форум был ру говорящий, наверное в анг.язычном все намного больше/хуже. И вот как вы думаете...вот они верят в свою избранность/высшую миссию и тут на телефон приходи к примеру, с месенджера пуш с темы порядка "убей первых 3 женщин которых ибо первородный грех изза евы и ты искупишь грехи человечества"...
      Так что таки, лично я бы банил такие призывы.
      Ответить
      • > убей первых 3 женщин которых ибо первородный грех изза евы

        нет первородный грех не изза евы а изза аски
        Ответить
      • >И они все ждут сигнала что бы исполнить свою цель в жизни

        Не трогай, это на новый год.
        Ответить
      • > выйдя из 7летней самоизоляции по личным причинам
        По какой статье самоизолировался?
        Ответить
    • Нужно диск для бекапов пердолить в GPT, или можно просто сделать mkfs и срать туда бекапом?
      Ответить
      • тебе нужно сначала разбить диск в MBR или GPT, потом сделать на нем файловую систему через mkfs.
        Ответить
      • Блять, это копипаста или Лолечка?
        Ответить
      • По настроению. Работать будет и так и так.
        Ответить
        • Можно ли сделать mkfs на сырой диск?
          Почему оракл и mssql умеют срать на сырой диск, а постгрес не умеет?
          Почему прыщи умеют свапить на сырой раздел, а винда не умеет?
          Почему прыщи и винда умеют делать fs на разделе, а бздям нужна своя разбивка на слайсы?
          Правда ли, что луна сделана из сыра?
          Ответить
          • Томущо в винде своп это просто файл или набор файлов (никогда такого не видел), а в прыщах оверинжинерят томущо на модных файловых системах нет дефрагментации.
            Ответить
          • Это очень интересно, -
            От кого река бежит?
            Это очень интересно, -
            Что в трамвае дребезжит?
            Почему скворец поёт?
            Почему медведь ревёт?
            Почему один в берлоге,
            А другой в гнезде живёт?

            Это очень интересно, -
            Кто деревья посадил?
            Кто придумал крокодилу
            Это имя Крокодил?
            Кто назвал слоном Слона?
            Это очень интересно, -
            Кто Сазану и Фазану
            Дал такие имена?

            Это очень интересно -
            Поглядеть на муравья,
            Это очень интересно, -
            Как живёт его семья?
            Нелегко живётся ей,
            Потому что меньше кошки,
            Меньше мухи, меньше мошки,
            Всех он меньше, муравей!

            Это очень интересно, -
            Где ночует стрекоза?
            Это очень интересно, -
            Почему молчит коза?
            Это очень интересно, -
            В барабан ли бьёт гроза?

            Это, это же чудесно,
            Что у всех, у всех детей
            И у всех, у всех людей
            На лице живут глаза!
            Ответить
        • Подтверждаю, работает и так, и так, НО

          Я читал, что для GPT-размеченных дисков происходят какие-то финты ушами, чтобы создать избыточность и контролировать данные, какие-то испорченные сектора перебякивать...

          Наверное, сделаю всё-таки GPT-разметочку.
          Ответить
          • Разметка ничего особенного к данным не добавляет.

            У GPT действительно есть дублирование таблицы разделов (в отличие от MBR). Но это к делу не относится т.к. дублируется только сама таблица, а не твои данные.
            Ответить
            • Это спасёт, получается, только если я сделаю «dd», но вовремя одумаюсь и нажму ^C?

              Я так и знал, что в интернете обманывают: это же забота файловой системы заниматься дублированием данных, избыточностью и прочими штуками...
              Ответить
              • Скорее RAID'ов и утилит для бекапа. Далеко не каждая файлуха содержит механизмы для защиты данных. В большинстве даже банального CRC от данных нету.
                Ответить
              • файлуха защищает свои структуры (табл файлов), но не данные

                данные в каком-то смысле защищают ZFS (именно потому я за солярис) и всякие VSS винды
                Ответить
            • > дублирование таблицы разделов (в отличие от MBR).
              у MBR она тупая, ее легче поди восстановить

              а файлухи же и свои MFT тоже копируют в середину диска

              а суперблок кстати копируют?
              Ответить
              • > суперблок кстати копируют

                Да, в каждую группу блоков, номер которой является степенью 3, 5 или 7. Тут вроде даже постили этот алгоритм.

                З.Ы. Группа -- это где-то 128 метров.
                Ответить
      • > можно просто сделать mkfs и срать туда бекапом

        В принципе, можно вообще ничего не делать и срать бекапом прямо на диск....
        Ответить
        • ну да, на стримера же так и делали
          Ответить
          • Ты неправ, стример таки размечал свои кассеты.
            Ответить
        • Можно вообще бекапы не делать
          Ответить
          • Я и не делаю

            У меня реально ниразу не было чтобы диск накрылся, так что не вижу повода тратить на них время.

            Все истории про "сломанные диски" скорее всего выдумывают авторы софта для бекапа, чтобы ты их софт покупал. Сам подумай, кому это выгодно
            Ответить
            • > авторы софта для бекапа

              причем, замечу, в подавляющем большинстве они сидят в странах НАТО!!!!
              Ответить
              • Кстати нихуя

                вееам и акронис россияне. Из пиндосных только сёмантек
                Ответить
                • Arcserve наш! Ряяяяя! Хуйло пре3идент мира!

                  Арконис это же какая то хуита полная, клон Northon Ghost. Впрочем, как как и обычно в рашке....
                  Ответить
            • То же самое с презервативами. От какого-то «ВИЧ» якобы защита. Явно придуманная питушня, чтобы покупали
              Ответить
            • > софт для бекапа

              Ты про "cp"? Он же вроде «бесплатный».
              Ответить
    • Бесят «лицензия»-дебилы. «MIT», «HUIT», «GPL», «GPL-100». Не хотите чтобы ваш код использовали - не выкладывайте. Делайте обфускацию, выкладывайте бинарники, не пишите на скриптоговне. Ещё бы мне какой-то петух указывал как и при каких условиях можно использовать найденный в интернете код. Есть статья в законах РФ какая-то на этот счёт?
      Ответить
      • Кстати, есть хороший шанс, что краснознаменный ордена ленина имени ленина усть-басманный сут не признает всякие там лицензии без голограммы, так что вполне можно отжать себе суевреные духовно-скрепные прыщи.

        А за одно комсомолец штульман откушает говна от гегемона марксизма-ленинизма
        Ответить
      • Вот да, производителю табуретки «Рагнарёк» наверняка насрать, будут ли использованы фрагменты его чертежей при производстве табуреток других марок.

        А производителям гвоздей совершенно похую, в какие изделия забьют их гвозди.

        И только программисты выёбываются, ограничивая в правах тех, кто случайно заметит их сранину.
        Ответить
        • На самом деле нет. Компания X вполне может засудить компанию Y за то, что та использовала какие-то запатентованные хуйни из ее табуреток в своих табуретках.
          Ответить
          • Кстати, недавно прочитал, что производители «WD-40» не стали патентовать свою ссанину, потому что в патенте нужно указывать точный состав. Они боятся, что их парашу склонируют.
            Ответить
        • Если бы ма-те-ма-ти-ки накладывали ограничения на употребление разработанных ими формул, прогресс бы застопорился.
          Ответить
          • Патенты на алгоритмы существуют. Чем "алгоритм" не "формула"?
            Ответить
            • Можно дойти до абсурда:

              https://ru.wikipedia.org/wiki/Незаконное_число
              Ответить
              • Какой багор )))

                https://ru.wikipedia.org/wiki/Незаконное_простое_число

                Одно из первых незаконных простых чисел было построено в мае 2001 года Филом Кармоди (англ. Phil Carmody). Его двоичное представление связано со сжатой версией программы на языке С, выполняющей алгоритм дешифрования DeCSS, который может быть использован для обхода защиты от копирования DVD.

                Нужно запретить числа
                Ответить
            • Потент это не ограничение, а наоборот.
              Ответить
              • Хуйня с уже истекшим патентом на LZW (который в GIF использовался) это именно что ограничение - кому-то надо платить бабло, чтобы этот алгоритм использовать. См. https://ru.wikipedia.org/wiki/Алгоритм_Лемпеля_—_Зива_—_Велча#Патенты
                Как они при этом собирались брать бабло с опенсорсного свободно распространяемого ПО - отдельный интересный вопрос.
                Ответить
                • Помню, из-за этого LZW в своё время удаляли поддержку GIF из графических редакторов.

                  Вот да, если у проекта неограниченное количество контрибьюторов и неограниченное количество форков, то кто должен платить: каждый контрибьютор и за каждый форк или нужно назначить козла, который платит за всех?
                  Ответить
                  • Въёбываем библиотеку, которая умеет в LZW. Все графические редакторы отправляют запросы на зо/розжатие, фактическая манипуляция делается этой библиотекой, платить приходится один раз всему миру.

                    Типичный копроподход же, когда и кодом под ГПЛ попользоваться хочется, и раскрывать свой код не хочется.
                    Ответить
                    • > Въёбываем библиотеку, которая умеет в LZW.

                      Тут возникает вопроы: а под какой лицензией эта библиотека? Исходники к ней есть? Могу ли я эту библиотеку переписать на PHP и ничего при этом не платить?
                      Ответить
                      • > Могу ли я эту библиотеку переписать на PHP
                        А зачем? Весь смысл в том, чтобы она была внешним приложением, не имеющим отношения к твоему приложению, чтобы ты мог заявить, что к LZW даже не притрагиваешься, передаёшь всё дальше, а что там у пользователя стоит для жатия, тебя не касается.
                        Ответить
                        • Не, хрень это полная. Что если мне это нужно в контроллере под нестандартную архитектуру, а библиотека есть только под x86 и x86-64 в бинарном виде? А если в библиотеке используется динамическая память(malloc), а в контроллере я хочу по-царски всё сделать на статической памяти?
                          Ответить
                        • Можно чтобы пользователь вводил номер простого числа, которое в бинарном виде является программой которая зожимает алгоритмом LZW, чтобы ты мог заявить, что к LZW даже не притрагиваешься, передаёшь всё дальше, а что там вводит пользователь, тебя не касается.
                          Ответить
                • > кому-то надо платить бабло, чтобы этот алгоритм использовать
                  Ой, божечки-кошечки, капиталистические отношения!
                  Но при этом отстать от джонсонов и не юзать гиф никак нельзя, типичный большевизм.
                  Ответить
                  • Каким именно образом "капитализм" относится к хуйне из серии "я придумал что можно делать X так что ты теперь плати мне, если хочешь делать X"? Это больше похоже на "налог".
                    Капитализм разве о том, что можно что-то всем вокруг запретить делать, если ты это типа "первый придумал"?
                    Ответить
                    • Таким, что ты платишь копеечку, чтобы приобщиться к тому, что иначе было бы коммерческой тайной.
                      Ответить
                      • Да лучше б оно и было коммерческой тайной, кто-нибудь потом переизобретет. Нахуй эти говнокостыли.
                        А то какое-то говно из серии "кто первым встал, того и тапки". И тут конечно же нужно какое-то "государство", которое б выдавало эти говнопатенты и следило за их исполнением. Рыночек такой рыночек.
                        Ответить
                        • > кто-нибудь потом переизобретет

                          а потом у нас восемь недокументированных, несовместимых протоколв
                          Ответить
                          • Тогда пусть договариваются и делают единый правильный протокол.
                            Ответить
                            • Пусть договариваются, пусть изобретут...
                              Ответить
                    • Спорная питушня

                      Ты три года пилил алгоритм, полысел весь, похудел, кредит в банке брал на еду,а потом его какой-то хуй реверснул, и сделал бесплатную версию.

                      Не очень-то честно.

                      С другой стороны "я придумал писать if, и теперь платите мне по триста баксов за каждый if" тоже ебанина
                      Ответить
                      • > Ты три года пилил алгоритм, полысел весь, похудел, кредит в банке брал на еду,а потом его какой-то хуй реверснул, и сделал бесплатную версию.

                        Ну так пусть это финансируют с налогов как фундаментальные научные исследования. Тебе выделяют грант на алгоритм, ты его разрабатываешь, потом он выкладывается в общий доступ и кто угодно может его реализовывать. Не будет тупых ебланских запретов из серии "вы не можете написать такой код потому что кто-то там это когда-то изобрел и запатентовал"
                        Ответить
                        • Как ты себе это представляешь?

                          Привет, я Джон, мне двадцать лет, и я кажется придумал интересный алгоритм. Мне нужно миллион долларов и год времени. Дорогой Байден, давай мне скорее грант
                          Ответить
                          • А как это по-твоему работает, когда физики-теоретики придумывают очередную теорию суперструн?
                            Например ты можешь описать свой алгоритм и опубликовать статью, ее там какие-то компютер саентисты проверят, протестят алгоритм и дадут тебе какую-то премию, если алгоритм представляет какую-то ценность
                            Ответить
                            • Сначала они двадцать лет пыхтят чтобы получить ученые степени
                              Потом еще десять лет бьются за гранты.

                              Потом некоторым из них везет их получить.

                              А что делать прикладникам?
                              Ответить
                              • > А что делать прикладникам?

                                Если "прикладики" никак вообще не могут обойтись без говнопатентов, посредством которых можно всем вокруг запрещать реализовывать алгоритмы, то пошли они вообще нахуй. Пусть в дворники переквалифицируются.
                                Человеческая цивилиация отлично существовала без патентного права, так что никакой фундаментальной проблемы тут нет. Просто кто-то хочет делать на этом бабло, вот они и педалирует эти говнозаконы.
                                Я против патентов т.к. это ссаный кривоуебанский уродливый костыль, которым кто-то может кому-то запрещать писать какой-то код.
                                Ответить
                                • Человеческая цивилизация только в 19-м веке научилась довольно быстро копировать информацию, до этого проблем с патентами не было. Зато надо было платить за право пользования землей, например, и это никого не удивляло.

                                  >вообще нахуй.
                                  ну ты можешь их говном и не пользоваться.

                                  Как-то например Де Раат реализовал какой-то цискин протокол по спеке, а когда циска захотела с него денег, он послал их нахуй, и сделал свой прот -- CARP
                                  Ответить
                                  • > ну ты можешь их говном и не пользоваться.

                                    Тут жопа в том, что я не могу 100% знать, пользуюсь ли я их говном. Вот например я могу вполне независимо изобрести некий алгоритм сортировки, заюзать его в какой-то программе, но вдруг окажется, что какой-то Хуй-с-Горы его когда-то 5 лет до меня изобрел и запатентовал, он эту сортировку может обнаружить в моей опубликованной под GPLv3 софтине и теоретически он может с меня кучу денег потребовать, хотя я вообще не ебу что это за Хуй-с-Горы, никаких его патентов не читал и вообще пошел он нахуй.

                                    Ну т.е. в целом эта идея патентования - тупое ущербное говно т.к. вынуждает меня тратить время на какую-то ссаную хуйню вроде патентного поскать, типа "а не реализовал ли я случайно некоторую хуйню, которая когда-то кем-то где-то была запатентована".
                                    Ответить
                                    • Это проблема.

                                      С другой стороны, я могу взять какую-то тулу, прикрутить его к своему софту, а через пять лет окажется, что там внутри был GPL, и мне какой-то хуй из FSF будет названивать.

                                      GPL тупое ущербное говно т.к. вынуждает меня тратить время на какую-то ссаную хуйню вроде "а позволяет ли мне конкретно эта лицензия ликновать свой код таким-то вот образом". У нас реально для этого юристы сидят.

                                      именно потому я за BSD
                                      Ответить
                                      • > GPL тупое ущербное говно т.к. вынуждает меня тратить время на какую-то ссаную хуйню вроде "а позволяет ли мне конкретно эта лицензия ликновать свой код таким-то вот образом". У нас реально для этого юристы сидят.

                                        Вообще надо придумать такую лицензию, что если в своем коде используешь код под этой лицензией, то тогда ты не имеешь права запрещать кому-то дизассемблировать, декомпилировать и свободно копировать, модифицировать и передавать бинари (исходники выкладывать необязательно). Можно конечно встроить какую-то DRM-защиту, но если кто-то ее взломает, то за это ему нихуя сделать нельзя. Типа ты можешь продавать свои бинарники, можешь не продавать, кто-то их может дизассемблировать, отреверсить, выпустить кряк, переписать это на Си и выложить в гитхаб, и ты нихуя с этим не сделаешь
                                        Можно разрешить только такую лицензию, а все прочие отменить, и посмотреть, что за хуйня из этого получится.
                                        Ответить
                                        • > Вообще надо придумать такую лицензию

                                          GPLv3. Собственно причина срачика между Линусом и Столлманом.
                                          Ответить
                                          • Не, GPL еще требует какие-то исходники выкладывать, а предлагаемая мной лицензия вообще нихуя не требует. Это такая лицензия, будто б никаких лицензий вообще нихуя нет, есть просто какие-то байтики, которые ты откуда-то получаешь, можешь их изменять и выкладывать измененые байтики, свободно их распространять, и тебе нихуя за это не сделают.

                                            А то блядь понапридумывали херни какой-то, типа "нельзя декомпилировать, нельзя дизассемблировать кококо надо выкладывать исходники если выкладываешь бинарники, можно линковаться или нельзя линковаться"... нахуй пошли. Какие-то ебаные гандоны понапридумывали каких-то ебаных законов о каком-то ебаном говне, и всем их навязывают, да пошли они нахуй
                                            Ответить
                                            • Законами физики никакие "копирайты", "патенты", "торговые марки" и "авторское право" не предусмотрено. Лично меня никто не спрашивал на каких-либо референдумах о том, нравятся ли мне такие законы, или мне они не нравятся, т.е. речь идет о том, что какие-то ебланы на верхах решили, что такие законы являются правильными, и всем их надо соблюдать, а я лично эти законы считаю ссаным говном.
                                              Ответить
                                            • http://www.wtfpl.net/
                                              Ответить
                                              • wtfpl разрешает кому-то спиздить код в свое проприетарное поделие и наложить анальных ограничений, а я против этого. Т.е. надо чтоб была лицензия, которая запрещает запрещать какую-либо хуйню и запрещает требовать какую-либо хуйню
                                                Ответить
                                                • > хорошие анальные ограничения
                                                  > запрещают плохие анальные ограничения
                                                  Какой большевизм )))
                                                  Ответить
                                                  • У нас — доблестные разведчики разумные пределы.
                                                    У них — подлые шпионы анальные ограничения.
                                                    Ответить
                                                  • Сделайте чтоб не было ограничений - не будет ограничений, которые запрещают делать ограничения.
                                                    Ответить
                                • > кривоуебанский уродливый костыль,
                                  согласен, но как пофиксить я не знаю.

                                  Тоже самое с любой лицензией.

                                  Тупо, когда мне запрещают перепеть песню певца бесплатно, но так-же тупо ждать, что человек должен забесплатно отдать тебе свои труды.

                                  Это его добрая воля, а не обязанность. Мой софт не бесплатен, например, увы
                                  Ответить
                            • "дадут премию" не звучит как бизнес план)


                              В качестве промежуточного решения я бы разрешил использовать патентованное говно в некоммерческих целях.

                              То есть если ты студент или опенсурсер, то используй.
                              А если ты гугл или банк какой-нить, то плати давай.
                              Или заплати автору алгоритма 0.5% от прибыли


                              Вообще деньги лучше брать с тех, у кого их много. И чем больше у них денег -- тем больше их надо брать
                              Ответить
                              • > студент
                                > в некоммерческих целях
                                Академическая схема монетизации на порядок мерзотнее, чем то, что j123123 называет "налогом".
                                Ответить
                            • > и опубликовать статью
                              Чтобы её какой-нибудь попов взял и спиздил?
                              Как видишь, открытость под надзором государя ни хера не решает вопрос пиратства.
                              Ответить
                        • > грант на алгоритм
                          > как фундаментальные научные исследования
                          Тебя и """глобальное потепление""" не разбудило.
                          Ответить
    • public abstract class Vector<E> extends jdk.internal.vm.vector.VectorSupport.Vec tor<E>

      да впрочем что тут комментировать-то
      Ответить
      • @IntrinsicCandidate
            public static <V> V maybeRebox(V v) {
                // The fence is added here to avoid memory aliasing problems in C2 between scalar & vector accesses.
                // TODO: move the fence generation into C2. Generate only when reboxing is taking place.
                U.loadFence();
                return v;
            }


        микки-маус рвет глаза.жпг
        Ответить
        • > fence is added here to avoid memory aliasing problems

          Ну это же кишки какие-то.
          Жавухи обычно туда смотреть не должны.
          Зачем им думать про кокой-то «алиасинг»?
          Это поехавшие деды хуйню какую-то сочинили.
          Ответить
          • > memory aliasing
            > jawa

            Пиздец. Сишка уже и туда пришла?
            Ответить
    • питухи как мне запустить вин11 если у меня нет тэ пэ эм?
      Ответить
      • BypassTPMCheck лал
        Ответить
      • Включить его эмуляцию в ME (PTT). Если же материнка совсем старая и в настройках этого нету, то 11 винда тебе нинужна.
        Ответить
        • > 11 винда тебе нинужна.

          Вот и хорошо, буду дальше сидеть на ляликсе.
          Ответить
        • > винда тебе нинужна.
          А так типа она нужна?

          Недавно нашли уязвимость в принтер спуллере, позволящую получить права SYSTEM удаленному питуху через дырку для подключения шаренных принтеров

          Дырка эта идет через именованные каналы, сиречь поверх SMB, через 445 порт, а принтер спулер по умолчанию включен, и доступен с наружи.


          Как вообще может существовать операционная система, где:
          * нельзя отделить файрволом принтер, шару и половину RPC
          * принтер спулер работает от админа
          ?
          Ответить
          • Так не пользуйтесь софтом, который эксплуатирует эти дыры.
            Ответить
            • . У Вовчика машина бронированная был, только ведь она от нормальных людей бронированная, а не от выродков... (с)
              Ответить
          • Кстати, недавно в прыщеядре нашли очередную уязвимость в eBPF https://www.opennet.ru/opennews/art.shtml?num=56497
            Поэтому я за контроллеры - там никакого eBPF нет, и никакого SMB тоже нет
            Ответить
        • > Если же материнка совсем старая и в настройках этого нету, то 11 винда тебе нинужна.

          Винда 11 не нужна безотносительно того, какая у него там материнка.
          Ответить
      • включи поддержку в биосе
        Ответить
    • https://ezzeriesa.notion.site/Rewriting-my-toy-blockchain-in-Rust-9a130f225666488491ba497004821fbb
      >Rewriting my toy blockchain in Rust

      there's nothing about this sentence I don't love
      Ответить
      • хз, пока это пет-проекты а не серьезные щи, можно играться с чем угодно
        Ответить
      • а вот это уже мякотка:

        > The nonce is chosen such that the leading bytes of the block hash are zero
        Ответить
        • --А можно мне случайное число?
          --1243234
          --Нет, такое число мне не подходит, придумайте другое
          Ответить
          • вспоминается https://img.ifunny.co/images/ebf5591c346c4e532095bf43695406b25bc39504 c020c1b51b7fa3f1659ad9ee_1.jpg
            Ответить
        • > leading bytes of the block hash are zero

          Эм, ну классика блокчейнов-с-доказательством-работы же? Тот самый перебор, на который толпы китайских асиков сжигают ресурсы планеты...
          Ответить
          • > толпы китайских асиков
            Теперь уже казахстанских.
            Ответить
          • а зачем?
            Ответить
            • Ну что, никто не знает?
              Ответить
            • Proof of Work.

              Сложность подписи блока важна для фиксации истории без доверенного центра. Чем больше сил сеть въёбывает на подпись каждого блока, тем сложнее обогнать её и переделать историю.
              Ответить
              • --в будущем люди будут летать на венеру
                --нет, в будущем люди будут делать бессмысленные действия ради действия
                Ответить
              • Пиздец. Я всегда знал что блокчейн это наебалово, но. Система реально создана для того, чтобы работать вхолостую?
                Ответить
                • > Система реально создана для того, чтобы работать вхолостую?
                  Мы сейчас про блокчейн или бюрократический аппарат?
                  Ответить
                • >Система реально создана для того, чтобы работать вхолостую?

                  а нахуя людям золото, например? Почему не использовать вместо него гусиный помет?

                  Потому что его легко эмитить, в отличие от золота.
                  Тоже и с битговном
                  Ответить
                  • почему мы тогда не рассчитываемся сортировками джунов?
                    Ответить
                • При чём здесь блокчейн, если вышеупомянутый алгоритм (hashcash) был изначально придуман для защиты email от спама, и к блокчейну отношения не имеет?
                  Ответить
                • > Система реально создана для того, чтобы работать вхолостую?

                  А по-другому это работать не будет, к сожалению. Иначе в первый же день весь твой блокчейн засрут мусором. Вот такая вот цена децентрализации.
                  Ответить
                  • В теории можно считать что-то полезное. Нужно @home запустить какую-нибудь криптопарашу, основаную на общественно полезных вычислениях.
                    Ответить
                    • > общественно полезных вычислениях
                      Например? Монеро для детей-серот?
                      Ответить
                      • g: [email protected], [email protected]
                        Ответить
                        • [email protected] это же продвижение Coronahoax, второе похоже тоже. Это ведь не просто бесполезно, а общественно вредно.
                          И главное нихуя не продвигает побочно технологию поскольку у прыщепердоликов нет поддержки GPU.
                          Ответить
                          • > поскольку у прыщепердоликов нет поддержки GPU
                            ?

                            У Folding с 2006 есть поддержка GPU (в прыщах как-то раз сломаная, а потом завезенная обратно), а Rosetta вообще на BIONIC работает, который с незапамятных времен в GPU умеет.
                            Ответить
                            • Оно же должно в фоне работать, не? А GPU в фоне не умеют утилизировать.

                              > сломаная, а потом завезенная обратно
                              OpenCL, небось...
                              Ответить
                              • > OpenCL

                                Про конкретную прогу не знаю, но в целом куд-куда работает.
                                Ответить
                                • Я давно уже не видел в прыщах слова "кудах", может это торговая марка... Везде унификация через OpenCL, в том числе центральные процы.

                                  Но ссуть в том, что забрать свободное время жпу в фоне, не мешая нормальной работе - задача нетривиальная.
                                  Ответить
          • > сжигают ресурсы планеты
            Какой treehugging )))
            Ответить
      • 1986: хахаха, борода, свитер, ноулайф
        2016: хахаха, смузи, макбук, джаваскрипт
        2021: хахаха, раст, блокчейн
        Ответить
    • Почему дизайнеры выглядят как пидоры какие-то: ходят в помещении в шапке, например, или какой-то другой нестандартной поебени? Фронтендеры некоторые тоже.
      Ответить
      • Ну сам подумай, пойдёт ли психически здоровый человек работать дизайнером.
        Ответить
        • <сказано на форуме программистов>
          Ответить
          • Взошли толпой, не поклонясь,
            Икон не замечая;
            За стол садятся, не молясь
            И шапок не снимая.

            На первом месте брат большой,
            По праву руку брат меньшой,
            По леву голубица
            Красавица девица.

            Крик, хохот, песни, шум и звон,
            Разгульное похмелье...

            Пир весело бушует,
            Лишь девица горюет.

            Сидит, молчит, ни ест, ни пьёт
            И током слезы точит,
            А старший брат свой нож берёт,
            Присвистывая точит;

            Глядит на девицу-красу,
            И вдруг хватает за косу,
            Злодей девицу губит,
            Ей праву руку рубит.
            Ответить
            • К слову о необходимости закона о домашнем насилии
              Ответить
            • Хто це в синьому халаті ходить в тебе по кімнаті?
              Раз за патли та ногою – стала баба до двобою
              “Я не знала, я не знала” - бідолаха закричала
              Сплутаю їй патли, наступлю на ногу

              Хто це в синьому халаті скаче в тебе на кроваті?
              Раз за патли та ногою – стала баба до двобою
              Лясь-лясь по мордасі, щоб не лазила до Васі
              Видеру їй патли, поламаю ноги

              Підкажи, падруга Ніна, шо зробити з піганіно
              Лусь, лусь, розлетілось піганіно, вже нема.
              Трах! Бах! Р”яна баба ще й приставку полама!
              А тоді взяла сокиру й порубала всю квартиру!

              Швидка їде швидко, поліцаї тоже
              Так робить не гоже, може хто поможе
              Ответить
      • А программисты типа нормально выглядят?

        У вас с зелеными волосами и кольцом в носу программисты не ходят?
        Или лысые как коленка, даже если им двадцать три года?
        Ответить
      • > ходят в помещении в шапке

        Чтобы голову не мыть.
        Ответить
        • Вообще-то для этого заплетают дреды.
          Ответить
          • Это те, кому лень стричься. А кто постригся, просто не снимает шапку.
            Ответить
      • В шапке-ушатке?
        Надо пуританку нанять в эйчары чтобы разогнала торгующих в храме труда
        Ответить
    • охуеть:
      > Does having no 'if' blocks in code mitigate side-channel attacks?
      Ответить
      • Does having no code mitigate side-channel attacks?
        Ответить
      • Неа.
        Ответить
        • Ну от мельдауна и спектра спасет же. проц просто не пойдет по ненужной ему ветке

          Другой вопрос, что есть и другие сайд аттаки. От них я бы советовался защищиться отказавшись от многозадачности.

          Если у вас на комптютер е исполняется ровно один поток, и в нем нет ифоф, то сайд эффект ему не страшен

          или нет?
          Ответить
          • Я бы советовал отказаться от компьютера. Если у вас нету дома компьютера, пожары атаки ему не страшны.
            Ответить
            • Ну я стараюсь пользоваться компьютером по минимуму. У меня бумажные книги, бумажный блокнот, и тедефон Texet за 999 рублей.

              К сожалению, некоторые задачи эффективнее решать с помощью компьютера даже не смотря на риски
              Ответить
            • Предлагаю контроллеры без MMU и MPU. Там нет никаких мелтдаунов и спектрумов.
              Ответить
              • Предлагаю компутер без кеша и без sensitive amplifiers в DRAM, тогда целый класс сайд аттак отвалится
                Ответить
            • Если у вас нету if'а, его не замерит сосед.
              Ответить
          • сайд ченнел может быть любым, время доступа к линиям кэша это только один из сайд ченнелов

            если у тебя процессор электрически скрипел бы по-разному на каждый бит ключа, то ты смог бы выдернуть этот ключ с помощью микрофона, плевать вообще есть там ифы или нет*

            *я уже не помню ни сути, ни конкретного компонента, через который предполагалось уязвимить кампуктер, но какие-то реальные предложения вытягивать информацию через акустику я точно видел
            Ответить
          • > или нет?

            Или нет.

            Вообще, страшны ведь не ифы, а зависимость времени/тока/помех от каких-то конфиденциальных данных. В случае со spectre и её компанией -- зависимость времени доступа к кешу от спекулятивно прочитанных процом данных.

            А мельдоний тут вообще не в тему, ему на твой код вообще насрать.
            Ответить
            • Так время доступа к кешу зависит от того, читал ли ты эти данные, и при спекулятивном выполнении ты можешь считать данные, и другой процесс может узнать, что ты туда сходил.

              Нету ифоф -- нету и спекулятивного исполнения. Правда цикл со счетчиком тоже придется запретить, но ведь это же частный случай ифа
              Ответить
              • > Нету ифоф -- нету и спекулятивного исполнения.

                Скорее нету препятствий для него )))

                А поводы для отката наспекулированной хуйни и без ифа найдутся -- возврат, к примеру. Или косвенный переход. Их тоже тогда надо запрещать...
                Ответить
                • Можно наверное сделать специализированный компилятор для чистой ФП хуйни, который бы генерировал код, который на любых вореантах всегда одинаковое число тактов жрет. Для нефункциональной хуйни уже нужны будут какие-то дикие костыли с откатыванием стейта
                  Ответить
                • А чем косвенный переход отличается от ифа?
                  Ответить
                  • Косвенным переходом может оказаться даже вызов функции.
                    Ответить
          • > проц просто не пойдет по ненужной ему ветке

            Смешались в кучу кони, люди...

            В случае с классической side channel атакой на твой код, злоумышленник изучает время, ток и прочие доступные ему величины во время исполнения твоего кода. Поэтому тебе надо не просто убрать if'ы (лолшто), а устранить зависимость времени, тока, обращений к памяти и т.п. от конфиденциальных данных. Т.е., к примеру, нельзя индексировать массивы байтами из ключа (привет, наивный AES из студенческих лаб). И да, контроллеров это тоже касается.

            В случае с недавними атаками на интеловский проц, злоумышленник изучает влияние спекулятивно исполняемого кода на кеш. От некоторых версий спектры можно было спастись придержав спекуляцию, но для большинства из этих атак ты, к сожалению, ничего сделать не можешь. Разве что обновить микрокод и/или чистить кеши и прочие аппаратные блоки вилкой при переключении контекста. Ну или вообще не гонять недоверенный код на своём проце, лол.
            Ответить
            • > В случае с классической side channel атакой на твой код, злоумышленник изучает время, ток и прочие доступные ему величины во время исполнения твоего кода. Поэтому тебе надо не просто убрать if'ы (лолшто), а устранить зависимость времени, тока, обращений к памяти и т.п. от конфиденциальных данных.

              От атаки по энергопотреблению защититься в общем случае будет крайне проблематично, но это обычно нахер не нужно. Считаю что если защита построена на идее, что в устройстве где-то прошит суперсекретный ключ, который если спиздят, то защите пизда (и мы предполагаем, что пиздить этот ключ могут люди с паяльниками, осциллографами и прочими такими сложными хуевинами, анализируя потребление тока и вызывая направленные сбои в работе чипа, чтоб по косвенной хуйне таки спиздить ключ), то эта защита - говно по определению.
              Ответить
            • Если же говорить об неинвазивных атаках по времени выполнения, например когда от количества неправильно введенных букв пароля через SSH зависит то, как быстро тебе ответит "пароль введен неверно", то тут можно тупо вводить искуственные задержки для самого худшего случая. Т.е. незачем даже херачить на ассемблере, чтоб там всегда одинаковое количество тактов было на все случаи, да и сложно это, учитывая всякие кеши процессора
              Ответить
              • > искуственные задержки

                Говорят, их удаётся устранить т.к. они слишком "ровные", особенно если это просто sleep операционки.
                Ответить
                • А что значит "устранить"?

                  Давай конкретику рассмотрим на игрушечном примере. Вот допустим есть программа, которая проверяет пароль. Для простоты будем считать, что пароль всегда из 100 байт состоит, и допустим есть некая зависимость от того, сколько времени проверяется пароль и того, сколько байт в пароле правильно угаданы. Если угаданы все байты, то тогда проверка проходит быстрее всего. Если ни один не угадан - медленнее всего. Ты не хочешь переписывать код так, чтобы он всегда одинаковое количество тактов потреблял, и поэтому ты просто вставляешь задержку вида
                  auto t1 = gettime()
                  password_chk(pwd);
                  while(gettime() < t1 + worst_time)
                  {
                    noop();
                  }


                  И что ты тут будешь устранять?
                  Ответить
                  • Если gettime() -- это какой-нибудь rdtsc, то наверное норм. Если же это обычные часики с низким разрешением, то слегка шевеля момент вызова функции можно поймать момент, когда вторая строчка исполняется на грани переключения часов. И таким образом оценить сколько занимает проверка.

                    Можно ещё одно ожидание в начало добавить, наверное. Тогда зависимости времени от данных не будет.
                    Ответить
                  • пока выполнение одного цикла не несоизмеримо мало по сравнению с проверкой одной буквы, ты все равно будешь видеть изменение времени выполнения в зависимости от введенных данных

                    для наглядности, если у тебя цикл занимает плюс-минус 5нс, а проверка IsBukva внутри password_chk 7нс, то ты все равно будешь видеть флуктуации и сможешь отслеживать корректность ввода
                    Ответить
                    • Вся эта херня так или иначе фиксится. Если ты видишь проблему в том, что время passw_chk() варьируется не кратно задержке цикла, можешь получать значение счетчика циклов, там уже на ассемблере сделать "дозадержку" в точности до такта
                      Ответить
                      • для достижения этой точности тебе будут нужны идеальные часы (не существуют) и знание сколько будет выполняться алгоритм в "хорошем" случае (что тоже неизвестная переменная)

                        теоретически - да, практически - не верю
                        Ответить
                        • > для достижения этой точности тебе будут нужны идеальные часы
                          Ложная предпосылка.
                          Ответить
                  • > сколько байт в пароле правильно угаданы.
                    очень надеюсь, что ты сравнгиваешь хеши, а не пароли, всё таки:)

                    >одинаковое количество тактов потреблял
                    Почему не сделать это число случайным? Зачем пытаться подогнать то, что на высоконагруженной многопроцессной системе не реального времени вообще очень сложно подогнать?
                    Ответить
                    • Сравнивать хеши ненадёжно по причине возможных коллизий.
                      Ответить
                      • Получается, надо хранить пароли?
                        Ответить
                      • Попробуй использовать современные хеши, например sha256
                        Ответить
                        • А если будет коллизия?
                          Ответить
                          • Тогда надо вызывать Государственную Aes-Инспекцию и оформлять Дискретно-Парольное Происшествие.
                            Ответить
                            • Кстати, есть реальные примеры красивых коллизий? А то в примерах, которые я видел, как минимум в одной строке из пары есть непечатаемые символы.
                              Ответить
                              • Меня тоже интересуют коллизии.

                                Вот я спиздил у кербероса сессионный ключ, зашифрованный хешем питуха.

                                Хеш sha-1-96
                                Зашифрован AES, если это важно, но наверное не важно.

                                Я знаю сессионный ключ, так что мне нужно просто найти такой пароль, чтоб его хеш подошел к этому шифру.

                                Известно, что пароль из восьми символов.
                                Что мне делать?

                                Я могу арендовать у AWS всё нужное железо?
                                Ответить
                          • Один хакер поймал сниффером хеш пароля из 24-х случайных буков и цифер

                            начал его брутить. Считается, что время брута такого пароля превышает время жизни вселенной, но хакеру повезло, и хеш пароля совпал с хешем числа "1".

                            Могло ли такое быть?
                            Ответить
                            • Я видел «PHP». Я ничему не удивляюсь.

                              https://www.securitylab.ru/news/472902.php
                              Ответить
                              • А, так вот зачем биткойнерам спецовый префикс обязательно нужен
                                Ответить
                            • Оверинженеры думают, что это коллизия с высоких полей и лугов мерсенна, а на самом-то деле это настоящий пароль.
                              Ответить
                        • Есть форумные движки с хешами md5(md5) и sha1(sha1). Вот зачем они так делают?
                          Ответить
                          • Чтобы подобрать пороль было в 2 раза сложнее.
                            Ответить
                          • Чтобы буртить было дороже

                            This password type was introduced around 1992 and it is essentially a 1,000 iteration of MD5 hash with salt. The salt is 4 characters long (32 bits).
                            Ответить
                            • И что же, такой пароль невозможно взломать?
                              Ответить
                              • Только не на РНР. Ни у одной макаки не хватит усидчивости напастить md5(md5(md5(candidate))) 1000 раз.
                                Ответить
                                • У меня хватит. Пишешь «md5(» десять раз, потом выделяешь и добавляешь девять копий. Потом снова выделяешь всё и вставляешь девять копий.

                                  10*(1+9)*(1+9) = 1000.
                                  Ответить
                              • https://www.security.org/how-secure-is-my-password/
                                Ответить
                                • Чтобы взломать "Какой багор )))" потребуется 5 биллионов лет)))
                                  Ответить
                                  • Это словарное слово

                                    чтобы сломать "whatafuck" понадобица 2 минуты
                                    Ответить
                                • aaaaaaaaaaaaaaaaaaaa
                                  15 billion years

                                  хуита какая
                                  впрочем они же какое-то govnoware впаривают и больше ничего
                                  Ответить
                                • У них всё тупо: если пароль есть в словаре английских слов, возвращает «Instantly», в остальных случаях проверяет только длину пароля и никак не измеряет его «энтропию».
                                  Ответить
                                  • Опровергаю.
                                    Для «123123» и «123123x» возвращаются сильно разные результаты.
                                    Подозреваю, что они проверяют наличие в пароле символов из разных наборов (буквы нижние, буквы верхние, цифры, символы и так далее), что является неплохлой аппроксимацией чистой энтропии (которая на очень коротких данных вроде паролей работает весьма хуёво, я в том году проверял и результаты на ГК публиковал).
                                    Ответить
                                    • Они еще паттерны провяряют.

                                      Пароли dfgefdte и zxcvbnm, хоть и равны по колву буков, но второй явно хуже.

                                      К сожалению, у них нет словаря для других слов в русской расскладе.

                                      Потому что transilvania будет крякаься столько же, сколько и nhfycbkmdfybz, если ты знаешь, что я русский
                                      Ответить
                                      • > паттерны провяряют
                                        Ты бы хоть проскроллил. Очень примитивная поебень.

                                        12345678901
                                        Character Variety: Just Numbers
                                        Possibly a Telephone Number / Date
                                        Ответить
                                  • Ну и да, с точки зрения «энтропии», «123456» и «123M(x» — абсолютно одинаковые пароли, в то время как с практической — это две очень большие разницы: первый можно подобрать перебором по цифровому словарю, а вот для второго придётся использовать цифры + буквы большие + буквы маленькие + спецсимволы, что замедлит перебор на многие порядки.
                                    Именно поэтому, собственно, и возникают правила о том, что в пароле нужно использовать цифру, букву, символ и прочая.
                                    Ответить
                                    • ну да, количество возможных вариантов же равно "кол-во-буков-в-алфавите" в степени "кол-во-мест-в-пароле" (вроде это комбинаторика учит?)

                                      Так что для пароля в 8 символов переход от "только цифры" (10) до "цифры и буквы" просто взрывает количество вариантов
                                      Ответить
                                      • Немного сложнее: с точки зрения комбинаторики, алфавит обоих паролей одинаков — для первого это «123456», для второго — «123M(x» (повторений же нет), поэтому, если хакер знает, что в первом пароле используются цифры от 1 до 6, а во втором — цифры от 1 до 3, а также символы «M», «(» и «x», то подбор этих паролей не будет отличаться ничем.
                                        Но проблема хакера-брутфорсера в том, что он не знает точные алфавиты паролей, он может их только угадывать. И вот первый пароль он сможет подобрать, если запустит перебор на алфавите «0123456789», а второй — на алфавите «0123456789» + большие буквы + спецсимволы.
                                        Ответить
                                        • А как хакер выбирает алфавит?

                                          Скажем, он знает, что большиство питухов не использует цифры, и запускает проверку по алфавиту [a-z](insensitive), и только потом добавляет цифры?
                                          Ответить
                                          • > Скажем, он знает, что большиство питухов не использует цифры, и запускает проверку по алфавиту [a-z](insensitive), и только потом добавляет цифры?

                                            Приблизительно так это и работает. Анализируются дампы паролей, требования к паролям на популярных ресурсах и подбираются алфавиты/длины подбираемых паролей, чтобы минимизировать среднее время подбора пароля типичного питуха.
                                            Ответить
              • >то тут можно тупо вводить искуственные задержки для самого худшего случая.
                это чудесный прием защиты, да.

                Допустим, ты проверяешь пользователя, и если сего нет -- сразу отвечаешь что пароль неверен. А если есть, то идешь в удаленную базу за хешем пароля.

                Так вот что бы я не узнал какие пользователи есть, ты делаешь рендомный слип после проверки пользователя дольше, чем время доступа к базе паролей
                Ответить
                • > Так вот что бы я не узнал какие пользователи есть, ты делаешь рендомный слип после проверки пользователя дольше, чем время доступа к базе паролей

                  Рандом нихуя не сделает, потому что достаточно собрать необходимое количество семплов и посмотреть, какие из них выполняются дольше - среднее время "успешных" все равно будет отличаться от "неуспешных". С учетом того, что комплюхтеры сами по себе не будут выполнять такую операцию за постоянное время (шедулер ос, наличие нужных данных/инструкций в кэше цпу, куча разных переменных с разным воздействием на общее время выполнение операции), никто и не будет смотреть на время выполнение отдельных попыток, атака будет сводиться к сбору статистики и сравниванию среднего времени выполнения в зависимости от входных данных. Тебе нужно эмулировать именно недостающее время, и тут-то и начинаются приключения, потому что надо подгонять с точностью до наносекунд и меньше.
                  Ответить
                  • Если слип выполняется на порядок дольше удачной проверки, то как я соберу семплы?

                    Еще раз: слип очень рендомный, он может быть 0, а может быть время_удачной_проверки*10, причем случайность зависит от настоящего источника шума, например

                    Причем у успешных попыток тоже будет слип
                    Ответить
                    • питухи, бамп

                      как сломать систему если sleep рэндомен, используется даже для успешных попыток, и время его превышает во много раз время поиска по базе
                      Ответить
                      • Через «log4j».
                        Ответить
                      • Статистически.

                        На большом количестве семплов будет прекрасно видно, что матожидания времени выполнения более длительной операции (сходить в базу) больше, чем матожидание более короткой (сразу дать отлуп).

                        g: «математическое ожидание».

                        Реальный пример моделирования:
                        import random
                        from typing import Callable
                        
                        
                        # Длительная операция: ходим в базу
                        def long() -> float:
                            return random.uniform(1, 5)
                        
                        
                        # Короткая операция: отлуп
                        def short() -> float:
                            return random.uniform(0, 2)
                        
                        
                        # «Зоощита от тайминг-атак»
                        def protective_sleep() -> float:
                            return random.uniform(0, 1000)
                        
                        
                        def do_op(op: Callable[[], float]) -> float:
                            return op() + protective_sleep()
                        
                        
                        def main() -> None:
                            N = 20000
                            
                            for _ in range(10):
                                test_long = 0
                                for i in range(N):
                                    test_long += do_op(long)
                                
                                test_short = 0
                                for i in range(N):
                                    test_short += do_op(short)
                                
                                print(f'Long_op: {test_long}, short_op: {test_short}, winner: {["short", "long"][test_long > test_short]}')
                        
                        
                        if __name__ == '__main__':
                            main()

                        Результат:
                        Long op: 10059351.059274405, short_op: 10033146.206998492, winner: long
                        Long op: 10004003.793090537, short_op: 10075500.642603112, winner: short
                        Long op: 10054900.07210693, short_op: 10043372.104454482, winner: long
                        Long op: 10072812.474895457, short_op: 10031932.043955028, winner: long
                        Long op: 10053724.785586145, short_op: 10000232.170423014, winner: long
                        Long op: 10057455.51845573, short_op: 10033035.419356115, winner: long
                        Long op: 10061054.76361629, short_op: 9997547.248688981, winner: long
                        Long op: 10069757.85841433, short_op: 10050003.850979906, winner: long
                        Long op: 10104486.21061742, short_op: 10079375.793003477, winner: long
                        Long op: 10048009.779655775, short_op: 10044857.107364938, winner: long
                        Ответить
                        • Тогда нужно сделать два слипа, чтобы у каждой операции было одинаковое математическое ожидание.
                          Ответить
                        • Ты сгруппировал операции, заранее зная, какая из них короткая, а какая длинная.

                          А если мы ломаем систему, как группировать?
                          Ответить
                          • если мы все еще обсуждаем классический тайминг атак строкового сравнения - по префиксу вводимых данным, разумеется
                            Ответить
                        • То есть на большом количестве семплов мы увидим, что долгая+слип все же дольше, чем короткая+слип.
                          А если мы начнем укорачивать слипы у долгой операции, то станет еще хужее

                          Окей, принято. А может ли эта ваша теория вероятности сказать, сколько таких семплов нужно?

                          В реальной системе я забаню тебя на сутки на третьей попытке, но всё равно интересно
                          Ответить
                          • ну что, Колмогоровы, никто не знает сколько нужно семплов чтобы эффективно отсечь мой рендомный слип? как посчитать?
                            Ответить
                          • Для этого надо помнить слова навроде «стандартное отклонение», «дисперсия», а я их не помню, и вспоминать лень.

                            У тебя есть три случайных величины с каким-то распределением: время успешной операции A, время неуспешной операции B и время твоего слипа C. Если ты сложишь A с C и B с C (== добавил случайный слип в каждую операцию), то матожидание итоговой величины будет равно сумме матожиданий слагаемых: M(A + C) == M(A) + M(C), и именно поэтому можно наблюдать эффект, который я продемонстрировал выше.

                            Чтобы рассчитать желаемый тобой показатель — тебе нужно найти информацию о распределениях A, B и C, после чего применить очень сильные вореантностные колдунства, чтобы значение N количества шагов алгоритма, после которых вероятность ошибки будет < x. Для этого нужно, во-первых, построить модель эксперимента, а во-вторых — упороться сложными формулами (подозреваю, нужны будут условная вероятность, формула Бернулли и всякое другое по мелочи).
                            Ответить
                            • Спасибо

                              Можно ли эту штуку сформулировать так:

                              На очень большом количестве повторений слип можно просто сократить, потому что слип от проверки пароля не зависит
                              Ответить
                              • В принципе да.

                                Ещё можно так: слип на random.uniform(0, 1000) секунд в среднем заснёт на 500 секунд, поэтому если успешная проверка пароля занимает в среднем 10 секунд, а неуспешная — 2 секунды, то со слипом успешная проверка будет в среднем длиться 510 секунд, а неуспешная — 502.
                                Ответить
                                • да, так еще проще) спасибо.

                                  То есть у нас два варианта:
                                  * "метод j123123" всегда для всех проверок реализовывать одинаковое количество тактов (например, в двадцать раз больше, чем обычно нужно для проверки пароля). Но это не работает если ты не реалтайм небось, и если у тебя там куча задач.

                                  * ограничить число семплов. Банить каждые 3 попытки на пол часа, например.
                                  Ответить
                                  • Вариант (2) не спасает от распределённого подбора. Если у тебя 10 тысяч питухов, к примеру, то ты будешь собирать семплы со скоростью 150/сек. Если больше — быстрее.
                                    Ответить
                                    • Тут уже поможет только IDS.

                                      Появление охулиона записей "пароль неверен" в логах системы должно поставить на уши дежурного админа.

                                      Хотя ботнет на 10К петухов вполне реален, к сожалению.
                                      Даже не нужно быть Bank of America, чтобы тебя такой зверь атаковал
                                      Ответить
                                    • Причём тут расперделенный? Несколько попыток и юзер лочится на несколько минут. На этом атака и закончится.
                                      Ответить
                                      • ну так я тебе довольно быстро всех юзверей залочу

                                        Были же всякие байки, как ддос атакой залочили на сутки все аккаунты в какой-то виндоговносети типа AD, включая доменных админов
                                        Ответить
                                        • Ну залочишь и залочишь. Не повод отключать аккаунт локаут проактивно чтобы эта прыщебейсиковая онлайн атака работала с оффлайновыми скоростями.

                                          Напоминает старый DoS для 802.11 который вроде как должен убедить дурака-админа, что WPA не работает и надо откатиться на WEP.
                                          Ответить
                                          • В первую очередь надо банить по айпишнику. Лочить админские аккаунты надо в последнюю очередь, если ты под пиздец серьезной отакой.

                                            Но админскую питушню просто нехуй выставлять на всеобщее обозрение. Я за белые списки.

                                            Кстати, от понятия "username" можно вовсе отказаться.
                                            Пускай покажет мне ключ длинной 256 бит, а я по нему пойму, кто он. Юзернейм не нужен.


                                            Но в первую очередь нужно выкинуть на мороз пароли.

                                            Пароль это искуственно урезенный ключ, который должен помещаться в голове у куска мяса. Реально тупое ограничение.

                                            Пароли не нужны.

                                            У компов нет никаких проблем запомнить и набрать пароль из 1024 цифр и букв, а у человека есть
                                            Ответить
                                  • > например, в двадцать раз больше, чем обычно нужно для проверки пароля
                                    Для безопасного сравнения строк (паролей, хэшей, подписей) обычно используется проход по обеим строкам с выполнением одинаковых действий для каждого символа.
                                    Реальный пример из сорцов «CPython»:
                                    /*
                                     * timing safe compare
                                     *
                                     * Returns 1 of the strings are equal.
                                     * In case of len(a) != len(b) the function tries to keep the timing
                                     * dependent on the length of b. CPU cache locally may still alter timing
                                     * a bit.
                                     */
                                    static int
                                    _tscmp(const unsigned char *a, const unsigned char *b,
                                            Py_ssize_t len_a, Py_ssize_t len_b)
                                    {
                                        /* The volatile type declarations make sure that the compiler has no
                                         * chance to optimize and fold the code in any way that may change
                                         * the timing.
                                         */
                                        volatile Py_ssize_t length;
                                        volatile const unsigned char *left;
                                        volatile const unsigned char *right;
                                        Py_ssize_t i;
                                        volatile unsigned char result;
                                    
                                        /* loop count depends on length of b */
                                        length = len_b;
                                        left = NULL;
                                        right = b;
                                    
                                        /* don't use else here to keep the amount of CPU instructions constant,
                                         * volatile forces re-evaluation
                                         *  */
                                        if (len_a == length) {
                                            left = *((volatile const unsigned char**)&a);
                                            result = 0;
                                        }
                                        if (len_a != length) {
                                            left = b;
                                            result = 1;
                                        }
                                    
                                        for (i=0; i < length; i++) {
                                            result |= *left++ ^ *right++;
                                        }
                                    
                                        return (result == 0);
                                    }

                                    Основная мякотка — в последнем цикле.
                                    Ответить
                                    • Годный фикс для варианта сравнения паролей например, чтобы ты не мог понять, сколько символов совпало.
                                      Ответить
                        • А у прыщебейсика стабильное время исполнения?
                          Ответить
            • > ток и прочие доступные ему величины
              А вот на Сетуни можно было бы представить битики секрета в виде пар 1,-1 и -1,1. Операции с ними потребляли бы одинаковый ток, да ещё и компенсировали электромагнитное излучение. Бинарные бляди соснули.
              Ответить
            • Я говорил конечно про второй вариант, а не про классическую атаку, когда ты считал первый и двадцатый элементы массива, и злоумшленник по времени доступа к ним узнал, что ты это сделал.

              >лол што
              ну это же изначально идиотская тема)
              Ответить
    • Всё таки так ловко обосраться мог только микрософт.

      Аналог курла в ПШ называется ``Invoke-WebRequest``. Он качает файлы, но страшно медленно.
      Я заметил, что он при этом рисует прогресс, где реально указывает кол-во скаченных байт.

      Да. Вот я качаю 100 мегабайт в секунду, он 100 миллионов раз обновляет картинку.

      Дело в том, что каждый кмдлет может сообшать прогресс, и ПШ его показывает.
      отключается это на уровне пыша так:
      https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_preference_variables?view=powershe ll-5.1#progresspreference
      $ProgressPreference=SilentlyContinue


      и скорость стала нормальной.

      То есть автор тулы для скачки говна из Интернета прекрасно знал, что высирая прогресс он ставит ее раком, но ему было похцуй
      Ответить
      • Он тестировал её на бесплатном аккаунте рапидшары. Там похуй.
        Ответить
      • Он тестировал её в прыщеконсоли, видимо... Потому что она не так пиздецово лагает, как виндовая.
        Ответить
        • Разве?
          Ответить
          • Проверь.
            Ответить
            • Я несколько раз видел, как «Midnight commander» в «Линуксе» перерисовывает окна.

              «FAR» в винконсоли у меня обновлял информацию мгновенно.
              Ответить
              • А теперь высри в виндовую консоль какой-нибудь лог приличной длины и подожди, пока её отпустит... В прыщах такой хуйни нет.
                Ответить
                • А, ну если программа просто последовательно срёт в консоль, так что информация на экране не помещается и включается скроллинг, то в «Windows» она работает медленно. Я в таких случаях специально перенаправляю вывод в файл (хотя бы с помощью знака «>» в командной строке), чтобы программа работала быстрее.
                  Ответить
        • Использовать ``Invoke-WebRequest`` в прыщах это примерно как написать кусочек кода на bat файле, и запускать его из С++ программы через "system"
          Ответить
    • ВЦИОМ заявил о неважности ежедневного интернета для 92% россиян
      Ответить
    • Ебанутться.
      "Wildberries" при входе требует только код с СМС для входа.
      Выходит, зная номер телефона, можно с вероятностью 1/10000 зайти в чужой аккаунт?
      Охуеть.
      Ответить
    • Нука без гугла быстро назвоните три внутренних и две внешних сортировки
      Ответить
      • А можно загуглять что такое внутренняя/внешняя сортровка?
        Ответить
        • Внутренняя это когда в оперативке все данные (ну максимум в свапе), внешняя это они текут из стрима/стримера
          Ответить
          • Это же масштабирование из введения в базы данных
            Ответить
          • Как это на алгоритм влияет?
            Ответить
            • Это влияет на возможность случайного доступа и на его цену, вероятно
              Ответить
          • ЕМНИП во внешней сортировке используется либо вариант сортировки слиянием, котда ты сортируешь куски, влезающие в память, а затем мерджишь всё это, либо вариант быстрой сортировки, где ты сначала делишь последовательность на куски, влазящие в память, а потом сортируешь их отдельно.
            Ответить
            • Что мешает отсортировать пузырьком?
              Ответить
              • отсортируй мне пузырьком на стриммере пожалуйста, который в одну сторону работает
                Ответить
                • Можно подумать остальные алгоритмы работают за 1 проход
                  Ответить
                  • Дело не в проходе, а в стоимости случайного доступа.

                    В массиве в памяти у тебя случайный стоит O(1).
                    На внешнем носителе он может и O(N) стоить, и даже наверное дороже, если кассету вон мотать надо.

                    Потому сортировки не все подходят.
                    Ответить
              • 20GB кассета читается где-то 1,5 часа (очень оптимистично берём). Если у нас есть только 2КБ памяти для хранения промежуточных результатов, то, чтобы полностью отсортировать данные на стримере выборкой, нам понадобится что-то около 10 миллионов проходов или больше 1700 лет.

                Боюсь, начальство будет мешать, если им озвучить такую длительность сортировки.
                Ответить
                • И да, я не учёл уменьшение количества данных, которые нужно просмотреть. Поэтому не больше 1700 лет, а больше 850.

                  Правда я время на отмотку обратно тоже не учёл...
                  Ответить
    • "Всю жизнь овца волков боялась, а съел её пастух". Грузинская пословица.
      Ответить
    • https://i.postimg.cc/T2F2yV5g/image.png
      Ответить
      • > Grow with AnyDesk.
        Какая ферма́ )))
        Ответить
      • Кто из них chayt?
        Ответить
      • > You like...

        Мне казалось, что в английском вопрос должен начинаться с вопросительного слова либо с глагола, причём вместо большинства глаголов используется «do». Например, «do you like...»

        Я чего-то не знаю?
        Ответить
        • Разговорная форма.
          If (x), then (y) → (x)? (y).

          Я лингвист не настоящий, но мне кажется, что в данном случае это tag question с оторванным tag.
          Ответить
          • А бывает побочная ветка, как у тернарника?
            Ответить
          • Пример:
            Kind sir, if you won't listen to my humble request to stop using such language, unbecoming of fine gentleman, I will regretfully have to resort to more physical way of convincing yourself to cease these vile acts of profanity.
            |
            V
            Talk shit? Get hit.
            Ответить
            • Это из Арканума?
              Ответить
              • В Аркануме можно в мусорках находить поношенные ботинки и продавать их. А если б там был линолеум, наверняка можно было б из него крафтить вентилятор.
                Поэтому я за Арканум.
                Ответить
    • ВЦИОМ заявил, что 92% россиян не нуждаются в ежедневном доступе к «Интернету».
      Ответить
      • Ну так. Им нужна сеть для доступа в ВК, а это, в общем, не Интернет совсем (хотя интернет с маленькой буквы, бо tcp/ip)
        Ответить
        • Казахстан узнал, что такое потерять доступ к «Интернету». У них не работали терминалы для оплаты картой в магазинах, можно было расплатиться только наличкой.

          Так что сейчас это не только ВК. Хотя мы не знаем, что имели в виду опрошенные.
          Ответить
          • Опрпошенные знать не знаю, что такое этот ваш "интернет"
            Ответить
            • Да он нам нахуй не нужон интернет ваш.
              Ответить
          • > У них не работали

            Самое печальное, что у нас всё необходимое работать будет... Вот и доказывай потом, зачем тебе "интернет" понадобился, а не локалочка внутри страны.
            Ответить
            • > Самое печальное, что у нас всё необходимое работать будет...

              Только если у тебя деньги не на карточке какого-нибудь банка не из рашки. И если ты не хочешь покупать какую-нибудь хрень, которая за пределами рашколокалочки (типа игр в стиме)
              Ответить
              • > типа игр в стиме

                На самом деле, если ты не знаешь, что по ту сторону фаервола есть какие-то там "3д игры", то и программируемый калькулятор с листочком бумаги сойдёт.

                Будущие поколения даже не будут задумываться, что когда-то интернет был глобальным и в нём можно было искать и постить всё что угодно без регистрации и смс.
                Ответить
                • Это как на Кубе ездят машины 1961-го года выпуска, и всем заебись
                  Ответить
            • Сайт «Сделано у нас» работать не будет. Потому что он хостится у «Хетцнера» в гермашке.
              Ответить
              • ; <<>> DiG 9.14.2 <<>> sdelanounas.ru
                ;; global options: +cmd
                ;; Got answer:
                ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27129
                ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5
                
                ;; OPT PSEUDOSECTION:
                ; EDNS: version: 0, flags:; udp: 4096
                ;; QUESTION SECTION:
                ;sdelanounas.ru.			IN	A
                
                ;; ANSWER SECTION:
                sdelanounas.ru.		21600	IN	A	88.198.230.37


                88.198.0.0/16 — это AS24940, принадлежащая Hetzner Online GmbH:
                https://bgp.he.net/ip/88.198.230.37
                Ответить
                • Как отличить ламера от сетевого нёрда?
                  Нёрд пользуется dig, а ламер nslookup:)
                  Ответить
                  • Ламеры сейчас про nslookup даже не знают. Они идут на сайт 2ip.ru или на подобные.
                    Ответить
                    • а можешь без гугла посмотреть SRV или TXT запись, например?
                      Найдешь SPF, DMARC или KDC?
                      Ответить
                      • Просто у dig вторым аргументом указываешь ANY (очень редко выдаёт все записи) или тип нужной тебе записи.

                        SDELANOUNAS.RU.		21574	IN	TXT	"v=spf1 a:sdelanounas.ru ip4:88.198.230.37/24 ip6:2a01:4f8:190:5237::2 -all"
                        Ответить
              • тут про то где сделано, а не где хостится! не вижу логической ошибки! ссылочку на рт, пожалуйста! и вообще, это экспорт!
                Ответить
                • Мне уже охраняшки сказали, что хостинг был выбран в Германии для того, чтобы продемонстрировать иностранцам мощь российской промышленности (о том, что у сайта нет версии на других языках, например, на немецком и на английском, можно умолчать).

                  Да, в моих выкладках у них тоже были сомнения, потому что об этом не рассказывали в РТ.
                  Ответить
                  • ну это очевидно же! эти дикари не ходят по сайтам, используя домены, они слишком пугливые - они ходят прямо по айпи-адресам, потому что только так можно быть уверенным в том, что это безопасный сайт из нейборхуда!
                    Ответить
                    • А проверим.

                      http://88.198.230.37/

                      Картинки, CSS, JS не грузятся.

                      https://88.198.230.37/

                      Соединение не защищено. Если проигнорировать невалидность сертификата для айпишника, всё грузится.
                      Ответить
                      • Когда-нить роскомнадзор введет для всего Интернета в России Керберосv5. Тогда вы по айпишнику никуда не зайдете
                        Ответить
                        • Чо? А на мобиле он будет работать?
                          Ответить
                          • Почему бы нет?
                            Ответить
                            • И поддержка со стороны софта уже есть?

                              И он совместим с СОРМ?
                              Ответить
                              • Думаю есть.

                                СОРМу как раз он заебись, потому что сессионные ключи для двух любых питухов генерятся на KDC.
                                Ответить
                                • Как я прямо сейчас могу проверить работоспособность этого протокола?
                                  Ответить
                                  • разверни керберос от MIT у себя, или возьми любую виндовую сеть с доменом
                                    Ответить
                                    • У меня в контроллерах нет никакого "Kerberos". Не, его там наверняка можно реализовать, то только не очень понятно, нахуй он там нужен.
                                      Ответить
                                    • Не хочу ничего разворачивать. Приведи реальный пример готовой сети.
                                      Ответить
                                      • У меня на работе
                                        Ответить
                                        • И как туда зайти? Что я должен набрать в браузере?
                                          Ответить
                                          • Что бы попасть к нам на работу ты должен набрать в адресной строке hh.ru, найти имя нашей организации, подобрать вакансию, и отправить нам резюме, далее нужно будет пройти собеседование

                                            Так ты сможешь попасть в офисную сеть, и увидеть керберос.

                                            В принципе, он есть в любой сети, где есть AD. А значит любой ООО "Вектор" где более двух сотрудников тебе тоже подойдет
                                            Ответить
                                            • Понятно. Значит, это для мелких интранетов, и Роскомпетух глобально это вводить не будет.
                                              Ответить
                                              • И правда, чойто я:
                                                https://i.postimg.cc/TwZDN65Y/image.png
                                                Ответить
                                                • А помните протокол NetBEUI?
                                                  Ответить
                                                  • Помню, он нужен для запуска NetBIOS поверх голого эзернета, а не поверх TCP/IP (как делал NBT)

                                                    NetBIOS позволял:
                                                    * найти компьютер по имени (теперь это делает DNS)
                                                    * найти контроллер домена (теперь это делает DNS). На самом деле контрорллер это просто спец имя.
                                                    * получить список комптютеров (теперь это делает мультикаст говно типа WSD). На самом деле надо было сначала найти браузер, а это тоже спец имя
                                                    * запустить поверх себя SMB (теперь это делает SMB Direct: 445 порт)

                                                    NetBIOS-то тоже не нужен, между нами девочками.
                                                    Ответить
                                                  • Вообще Krb5 это замена NTLM, а не нетбивиса (того уже давно заменили)

                                                    Правда, работает она только внутри сети. Снаружи есть проблема курицы и ица, и там все еще царствует NTLM.
                                                    У хорошево админа NTML только v2, и только на одном сервере для "входа" в сеть

                                                    Kerberos и в прыщах отлично работает, кстати. Есть PAM для него, есть керберосные telnet, модуль для апача итд
                                                    Ответить
                      • ну и пидарасы.

                        у нормальных был бы 301 на https с доменом.

                        алсьо, hsts preload нет
                        https://hstspreload.org/?domain=sdelanounas.ru

                        В SPF очень забавная маска. Видимо кто-то запомнил "видишь маску -- пиши 24"
                        https://mxtoolbox.com/SuperTool.aspx?action=spf%3asdelanounas. ru&run=toolpage

                        DKIM поди воще нет (не проверял)

                        наружу торчит 8181 http://88.198.230.37:8181/
                        торчит dns (зачем?)

                        ssh торчит без ключа

                        в MX прописан этот хост, и yandex, то порт 25 закрыт.

                        Видимо, шлют они с сервера (иначе SPF бы все сломал) а получают на яндекс. Нахрен тогда mx указывать на закрытый порт? чтобы почта дольше
                        шла?
                        Ответить
              • Чем МС-21 лучше Boeing и Airbus. Показываю очень наглядно
                21 December 2021
                116k full reads
                Это первый лайнер за более чем полвека, заходя в салон которого, вы будете точно знать, что находитесь именно в МС-21, а не в Аэрбас или Боинг.


                а что, это настолько очевидно, что предыдущие полвека я не находился в мс-21?

                Но и это еще не всё. Посмотрите на следующий кадр

                Чемодан поместился на полку поперек. И она закрывается при этом!
                Ответить
              • Летные испытания новейшего российского легкого многоцелевого самолета «Байкал» вступают в активную фазу: как стало известно, машина оторвалась от земли. Это можно считать прологом к полноценному первому полету, намеченному на этот январь на аэродроме Уктус в Свердловской области.

                Я даже хуй знает.
                Испытания новейшего многоцелевого веб-сервиса вступают в активную фазу: как стало известно, приложение запросило у операционки порт.
                Это можно считать прологом к полноценной первой обработке запроса, намеченной на этот январь в датацентре Уктус в Свердловской области.

                *этот январь- это месяц, от которого остался десяток дней и еще немношк
                Ответить
              • https://i.postimg.cc/SxyV7WNG/image.png

                если это непубличная запись, то почему я её вижу?
                Ответить
                • Стало интересно, чем у них публичные от «непубличных» отличаются.
                  Ответить
              • закончим пожалуй этим

                На площадке по сооружению Курской АЭС-2 выполнен годовой план по укладке песка
                Ответить
                • Чернобыльская атомная электростанция выполнила план пятилетки за две миллисекунды.
                  Ответить
          • ну так и славно же, антихриста с его чипами наебали
            Ответить
      • По данным моего опроса, 100% россиян не нуждаются в ВЦИОМе.
        Ответить
      • Ну да. Я вот неделю на говнокод не заходил.
        Ответить
    • О плагиате:

      https://pbs.twimg.com/media/FJTI_tRXMAMXn5E.jpg
      Ответить
    • Перекат!

      https://govnokod.ru/27960
      https://govnokod.xyz/_27960/
      Ответить
    • https://ic.pics.livejournal.com/usy_chapaya/87300149/61726/61726_600.png
      Ответить
      • право выбора места парковки или времени обеда
        Ответить
    • сысой с нгинкса съеб
      Ответить
      • западные "либералы"-коллеги проели последнюю плешь на работе, очевидно
        Ответить

    Добавить комментарий