1. Куча / Говнокод #26844

    +2

    1. 1
    IT Оффтоп #55

    #27: https://govnokod.ru/26340 https://govnokod.xyz/_26340
    #28: https://govnokod.ru/26372 https://govnokod.xyz/_26372
    #29: https://govnokod.ru/26385 https://govnokod.xyz/_26385
    #30: https://govnokod.ru/26413 https://govnokod.xyz/_26413
    #31: https://govnokod.ru/26423 https://govnokod.xyz/_26423
    #32: https://govnokod.ru/26440 https://govnokod.xyz/_26440
    #33: https://govnokod.ru/26449 https://govnokod.xyz/_26449
    #34: https://govnokod.ru/26456 https://govnokod.xyz/_26456
    #35: https://govnokod.ru/26463 https://govnokod.xyz/_26463
    #36: https://govnokod.ru/26508 https://govnokod.xyz/_26508
    #37: https://govnokod.ru/26524 https://govnokod.xyz/_26524
    #38: https://govnokod.ru/26539 https://govnokod.xyz/_26539
    #39: https://govnokod.ru/26556 https://govnokod.xyz/_26556
    #40: https://govnokod.ru/26568 https://govnokod.xyz/_26568
    #41: https://govnokod.ru/26589 https://govnokod.xyz/_26589
    #42: https://govnokod.ru/26600 https://govnokod.xyz/_26600
    #43: https://govnokod.ru/26604 https://govnokod.xyz/_26604
    #44: https://govnokod.ru/26627 https://govnokod.xyz/_26627
    #45: https://govnokod.ru/26635 https://govnokod.xyz/_26635
    #46: (vanished) https://govnokod.xyz/_26646
    #46: (vanished) https://govnokod.xyz/_26654
    #47: https://govnokod.ru/26671 https://govnokod.xyz/_26671
    #48: https://govnokod.ru/26707 https://govnokod.xyz/_26707
    #49: https://govnokod.ru/26750 https://govnokod.xyz/_26750
    #49: https://govnokod.ru/26776 https://govnokod.xyz/_26776
    #50: https://govnokod.ru/26804 https://govnokod.xyz/_26804
    #51: https://govnokod.ru/26809 https://govnokod.xyz/_26809
    #52: https://govnokod.ru/26817 https://govnokod.xyz/_26817
    #53: https://govnokod.ru/26833 https://govnokod.xyz/_26833
    #54: https://govnokod.ru/26840 https://govnokod.xyz/_26840

    Запостил: nepeKamHblu_nemyx, 05 Августа 2020

    Комментарии (408) RSS

    • Доброй ночи.

      Этот оффтоп сгенерирован автоматически.
      Индекс оффтопов: https://index.gcode.space/.
      Зеркала Говнокода и полезные ресурсы:
      * https://govnokod.xyz/
      * https://gcode.space/
      * @GovnokodBot в «Telegram»
      Ответить
    • Хорошо питуз сработал.

      А вот такая идея. Пользователь заходит на сайт, оставляет свой публичный rsa ключ.

      Потом идёт по ssh, и попадает в файловую систему.
      Где каждый тред — это файл.

      Он может приаппендить к файлу свой текст. Это будет постинг.
      Или lessом изучить содержимое.

      Есть также вёб-отображалка этих файлов-тредов. То есть абстрактный ГК, так же как гитхаб просто отрисовует репу и файловые каталоги.

      Гипертекстовый ssh govnokod.
      Ответить
      • показать все, что скрытоvanished
        Ответить
      • Сначала жертву заставляют оставить свой публичный ключ. Говорят, что делиться со всеми своим публичным ключом — это хорошо. Потом заставляют зашифровать своим приватным ключом случайное число. Говорят, что если жертва этого не сделает, то оглупеет.
        Ответить
      • Я давно предлагал уже перенести гк в git.
        Ответить
      • показать все, что скрытоvanished
        Ответить
        • потому что rsa уже не модно нихуя, даёшь ed448?
          Ответить
          • кстати пару месяцев назад в одном проекте поднимали свой pki, вот тоже говна поели пиздец с этими вашими инновациями (коко давайте флуди использовать ed за ним будущее он уже давно поддерживается всем чем нужно), а также CA/Browser forum, в котором написано хуй вам а не ed, но можно NIST P-521, а по факту хром соснулей дико даже по рекомендуемым требованиям своих же ебучих комитетов!

            раз 5 переделывали то суб-ца, а то и рут-ца
            Ответить
          • Конечно
            У меня давно уже всё на крученых кривых Эдвардва
            Ответить
      • > приаппендить к файлу свой текст

        А удалить не может потому что append only на файлухе?

        > заходит на сайт

        Хуйня какая-то, зачем сайт? Пусть под рутом зайдёт и создаст себе юзера.
        Ответить
    • показать все, что скрытоvanished
      Ответить
    • показать все, что скрытоvanished
      Ответить
    • показать все, что скрытоvanished
      Ответить
    • http://govnokod.com

      Нахуя им этот домен?
      Ответить
      • Этот домен был раскручен, потому что на нём было что-то типа «Пастебина». Потом владельцы его просрали, и киберсквоттеры его выкупили, чтобы раскрутить себя. Возможно, новые хозяева не владеют русским в той степени, чтобы понять, что домен про говно.
        Ответить
        • А в чем смысл раскрученности?
          Ответить
          • Ну вот ты зашёл на этот сайт?
            Ответить
            • И нихуя не понял. И нахуй им мой заход? Не выгоднее ли вложиться в рекламу?
              Ответить
              • >заход
                https://svalko.org/data/2020_07_11_21_19sun1_90_userapi_com_wY4Y _sx68l_R2xyCtb0X_fqbqARMekxR2TCsgg_a8vrZ oBsdkE.jpg
                https://svalko.org/data/2020_07_11_21_19sun1_90_userapi_com_wY4Y_sx68l_R2xyCtb0X_fqbqARMekxR2TCsgg_a8vrZoBsdkE.jpg
                Ответить
    • Ого, у меня 1 раз открылся http://govnokod.ru/15804
      Ответить
    • Когда станет доступно do-release-upgrade для ubuntu server 18.04 на ubuntu 20.04?
      Уже и 20.04.1 вышло, а воз и ныне там
      https://changelogs.ubuntu.com/meta-release-lts
      Ответить
    • показать все, что скрытоvanished
      Ответить
    • показать все, что скрытоvanished
      Ответить
      • Классы красных и жёлтых звёзд они уже переименовали? Это вроде тоже расистские термины.
        Ответить
    • Ребята. Подскажите почему в KDE такое говно, в нем все за хардкоджено? Я блядь не могу банально положение иконок в системном лотке поменят, что за пиздец. КАК БЛЯДЬ ПОМЕНЯТЬ?! А то обижусь по пойду сносить и поставлю дохло мышь
      Ответить
      • Тебе KDE нужно пропатчить, я правильно понял? Это форум программистов ващет. Напиши в администрацию президента.
        Ответить
      • Любой DE говно. Мыш чуть меньше, гном и KDE чуть больше. Я за винду менеджер без попсы.

        -Is there a way to change the order of the icons in the system tray widget?
        -With the current one: no.

        Так было 2 года назд
        ша хз
        Ответить
        • Да вроде ща попробовал что-то сменить по зоветам предположительного тырнета. Но говно не меняется. Тупо захардкоженно.

          >> Любой DE говно. Мыш чуть меньше, гном и KDE чуть больше. Я за винду менеджер без попсы.

          ну я на мыше раньше и сидел и чутка на авесоме, но все же мышь меня всем устраивал. А Кеды решил накатить по приколу, посмотреть, никогда их не видел в живую как и гниль3
          Ответить
          • Кароче посмотрел. Хуита. Пойду с авесомой покувыркаюсь.
            Ответить
            • Ну как, покувыркался?
              Ответить
              • Да, на ноуте стоит monjaro с авесомой
                Ответить
                • Пердолик. Я везде перелез на KDE с kröhnkite для тайлинга.
                  Ответить
                  • Кеды говно. Потому что описал выше.
                    Ответить
                    • А осом не говно, где в каждом минорном релизе API ломают, и все твои конфиги переписывать приходится?
                      Ответить
        • KDE вроде самый тяжёлый DE (ну или один из самых тяжёлых)? Раньше, когда ещё на компах оперативки было меньше гигабайта, не на любой технике его можно было запустить.

          С такой прожорливостью можно было сделать всё настраиваемым.
          Ответить
          • KDE легче гнома был в моем детстве, а может быть qt было более вылизано, чем гтк

            Но вообще все DE это свистелки и пирделки и не нужны
            Ответить
        • Именно поэтому я за «Windows Explorer».
          Ответить
      • > не могу банально положение иконок в системном лотке поменять
        ну конечно, это ведь самое важное

        меня гораздо больше бесит, что только телега осилила на своем значке в таскбаре (доке) рисовать счетчик непрочитанных
        остальные ищи в далеком углу (том самом лотке, полезность которого → 0)

        также мульти-хай-дпи на иксах плохо (у меня), а в вяленом (у человека рядом) лучше, но зато там пиздец как глючат другие вещи
        Ответить
      • Ну как, поставил?
        Ответить
    • А чего никто не обсуждает кражу 20 гигов данных у Штеуда?

      Наверняка благодаря им найдутся новые бекдоры и уязвимости в их цпу
      In fact, the title of many of the documents do correlate to the list of purported information posted by the leaker:

      Intel ME Bringup guides + (flash) tooling + samples for various platforms
      Kabylake (Purley Platform) BIOS Reference Code and Sample Code + Initialization code (some of it as exported git repos with full history)
      Intel CEFDK (Consumer Electronics Firmware Development Kit (Bootloader stuff)) SOURCES
      Silicon / FSP source code packages for various platforms
      Various Intel Development and Debugging Tools
      Simics Simulation for Rocket Lake S and potentially other platforms
      Various roadmaps and other documents
      Binaries for Camera drivers Intel made for SpaceX
      Schematics, Docs, Tools + Firmware for the unreleased Tiger Lake platform
      (very horrible) Kabylake FDK training videos
      Intel Trace Hub + decoder files for various Intel ME versions
      Elkhart Lake Silicon Reference and Platform Sample Code
      Some Verilog stuff for various Xeon Platforms, unsure what it is exactly.
      Debug BIOS/TXE builds for various Platforms
      Bootguard SDK (encrypted zip)
      Intel Snowridge / Snowfish Process Simulator ADK
      Various schematics
      Intel Marketing Material Templates (InDesign)
      Lots of other things
      Ответить
      • Про «ME» очень интересно. Где скачать?
        Ответить
        • Говорят куда-то на мегу залили.

          Пока не могу найти, в поиске одни жёлтые сми, которые копипастят друг друга.

          Да, меня ME тоже очень заинтересовало.
          Ответить
          • С «Меги» уже удолили, вместе с аккаунтом, «за грубое нарушение правил». Какой багор )))
            Ответить
            • Файлопомойки так всегда делают, когда что-то интересное сливают.
              Ответить
        • magnet:?xt=urn:btih:38f947ceadf06e6d3ffc2b37b807d7ef80b57f21/announce

          Intel ME
          
           3rd party software licenses - sw only.zip
          14.67 KB
           ccl link to intel(r) csme fw 11.8.78.3681 release notes (1).pdf
          199.92 KB
           ccl link to intel(r) csme fw 11.8.78.3681 release notes.pdf
          199.92 KB
           CCL Link to Intel(R) CSME FW 15.0.0.1192 v2_ RKL_S_Release Notes (1).pdf
          196.15 KB
           CCL Link to Intel(R) CSME FW 15.0.0.1192 v2_ RKL_S_Release Notes.pdf
          196.15 KB
           intel compliance kit content - 15 0 2019 5.pdf
          596.29 KB
           intel software license agreement 11.2.17.pdf
          357.11 KB
           intel(r) cse fw 13_30_0_1065_ww11_bkc_release_notes.pdf
          597.79 KB
           intel(r) cse_consumer_13.30.0.1065.zip
          232.46 MB
           Intel(R) CSME Runtime Verification 0.3.0.zip
          93.81 KB
           intel(r) management engine 5mb 10.0.60.3000v2 hot fix release notes.pdf
          639.65 KB
           intel(r) management engine 10.0.55.3000v2 hot fix release notes.pdf
          610.96 KB
           intel(r) management engine 11 software 11.0.6.1194v3 release notes.pdf
          492.00 KB
           Intel(R) ME 11.8 FW Update API Library UEFI v11.8.50.3425.zip
          10.53 MB
           intel(r) me compliance and debug documentation v.15.0.2019.5.zip
          27.42 MB
           intel(r)_csme_consumer_14.0.35.1147.zip
          236.91 MB
           intel(r)_csme_corporate_14.0.35.1147.zip
          302.94 MB
           Intel(R)_CSME_Corporate_15.0.0.1192_v2 (1).zip
          272.62 MB
           Intel(R)_CSME_Corporate_15.0.0.1192_v2.zip
          272.62 MB
           intel(r)_me10.0_1.5m_10.0.55.3000v2.zip
          12.76 MB
           intel(r)_me10.0_5m_10.0.60.3000v2.zip
          24.96 MB
           intel(r)_me_11.0_sw_only_consumer_11.0.6.1194_v3.zip
          80.39 MB
           intel(r)_me_11.8_consumer_11.8.78.3681.zip
          362.31 MB
           intel(r)_me_11.8_corporate_11.8.77.3664_version_3 (3).zip
          437.48 MB
           intel(r)_me_11.8_corporate_11.8.78.3681.zip
          429.81 MB
           intel_(r)_csme_13.0.35.1508_consumer mgphy-9.0.2.1.zip
          355.91 MB
           Intel_(R)_CSME_15.0.0.1166_Consumer_UP3_B0.zip
          211.05 MB
          
          125.47 KB
          Ответить
          • udp://open.stealth.si:80/announce 201 сид
            udp://tracker.tiny-vps.com:6969/announce 179 сидов
            udp://zephir.monocul.us:6969/announce 104 сида
            udp://tracker.internetwarriors.net:1337/announce 103 сида
            udp://9.rarbg.me:2970/announce 34 сида
            udp://tracker.torrent.eu.org:451/announce 10 сидов
            udp://exodus.desync.com:6969/announce 8 сидов
            udp://tracker.cyberia.is:6969/announce 2 сида
            Ответить
            • А откуда ты узнал эти адреса и количество сидов?
              Ответить
              • У пиров спросил скорее всего. Если они через трекер качают, то в их торрент файле будет ссылка на него. Там только info dictionary, а в ней трекеров нет.

                Ну или где-то уже есть глобальная база кто что качает...
                Ответить
                • > У пиров спросил скорее всего
                  Хелло, Вы спрашивали, как скачать торрент 38f947ceadf06e6d3ffc2b37b807d7ef80b57f21 …
                  Ответить
            • Ну как, нашлось что-то интересное?
              Ответить
              • Спасибо, сэр. Что это за язык? Файл с расширением bsf:
                /** @file
                
                  Boot Setting File for Platform Configuration.
                  @copyright
                  Copyright (c) 2020, Intel Corporation. All rights reserved.<BR>
                  This program and the accompanying materials
                  are licensed and made available under the terms and conditions of the BSD License
                  which accompanies this distribution.  The full text of the license may be found at
                  http://opensource.org/licenses/bsd-license.php
                
                  THE PROGRAM IS DISTRIBUTED UNDER THE BSD LICENSE ON AN "AS IS" BASIS,
                  WITHOUT WARRANTIES OR REPRESENTATIONS OF ANY KIND, EITHER EXPRESS OR IMPLIED.
                
                  This file is automatically generated. Please do NOT modify !!!
                
                **/
                
                
                
                GlobalDataDef
                    SKUID = 0, "DEFAULT"
                EndGlobalData
                
                
                StructDef
                
                    Find "KBLUPD_T"
                        $gPlatformFspPkgTokenSpaceGuid_Revision                        1 bytes    $_DEFAULT_ = 0x00
                        Skip 55 bytes
                        $gSiPkgTokenSpaceGuid_PcdSerialIoUartDebugEnable               1 bytes    $_DEFAULT_ = 0x00
                        $gSiPkgTokenSpaceGuid_PcdSerialIoUartNumber                    1 bytes    $_DEFAULT_ = 0x02
                        Skip 6 bytes
                        $gEfiMdePkgTokenSpaceGuid_PcdPciExpressBaseAddress             8 bytes    $_DEFAULT_ = 0xE0000000
                        $gSiPkgTokenSpaceGuid_PcdPciExpressRegionLength                4 bytes    $_DEFAULT_ = 0x10000000
                
                    Find "KBLUPD_M"
                        $gPlatformFspPkgTokenSpaceGuid_Revision                        1 bytes    $_DEFAULT_ = 0x00
                        Skip 55 bytes
                        $gPlatformFspPkgTokenSpaceGuid_PlatformMemorySize              8 bytes    $_DEFAULT_ = 0x440000
                        $gKabylakeFspPkgTokenSpaceGuid_MemorySpdPtr00                  4 bytes
                Ответить
      • source: They have a server hosted online by Akami CDN that wasn't properly secure. 
        After an internet wide nmap scan I found my target port open and went through 
        a list of 370 possible servers based on details that nmap provided with an NSE script.
        
        source: I used a python script I made to probe different aspects of the server 
        including username defaults and unsecure file/folder access.
        
        source: The folders were just lying open if you could guess the name of one. 
        Then when you were in the folder you could go back to root and just click into 
        the other folders that you didn't know the name of.
        
        deletescape: holy shit that's incredibly funny
        
        source: Best of all, due to another misconfiguration, I could masqurade as any 
        of their employees or make my own user.
        
        deletescape: LOL
        
        source: Another funny thing is that on the zip files you may find password protected.
        Most of them use the password Intel123 or a lowercase intel123
        
        source: Security at it's finest.
        Ответить
    • И́бу ибуди́ — хуйда́о муди́ — китайский афоризм (кит. 一步一步地会到目的).
      Перевод на русский — «Шаг за шагом можно достигнуть цели».

      Транслитерация выражения не вполне верна. Иероглиф 地 имеет два произношения, «ди» и «дэ»; первое означает «земля» и близкие к ней понятия, второе служит для формирования наречий. 地 в этом афоризме произносится именно как «дэ», показывая, что устойчивое выражение 一步一步 во фразе является наречием. Ошибка также допущена в транслитерации иероглифа 会, который по стандартной системе транскрибируется как «хуэй» и в стандартном китайском языке произносится так же.
      Однако, для пущего комического эффекта произносить афоризм стоит так, как указано в преамбуле («ди», «хуй»).

      Источник: https://mat.pifia.ru/wiki/Ибу_ибуди_—_хуйдао_муди
      Ответить
    • Вопрос к опытным питонистам. Что там сейчас в моде?

      Для установки пакетов надо юзать pip (а не easyinstall)?
      setup.py для своих пакетов надо писать в формате setuptools (а не distutils, distribute и т.п.)?
      Для виртуальных окружений надо юзать изкоробочный venv (а не virtualenv, pipenv и ещё 100500 вореций на эту тему)?

      Что-то я уже запутался в этом море говна и велосипедов.
      Ответить
    • > Please note that SELinux is a Linux-specific feature and Debian packages shouldn't assume it is present

      Эээ... у дебиана разные ядра могут быть? Внезапно.
      Ответить
    • показать все, что скрытоvanished
      Ответить
      • Ն. Ս. ՍՏԵՓԱՆՅԱՆԻ
        ԵՐԲԵՄՆ ՃԱՐՏԱՐԱՊԵՏՈՒԹՅԱՆ ԴԱՍԱԿԱՆ ՏՐԱԴԻՑԻԱՆԵՐՆ ԱՅՍՊԵՍ ԵՆ ԶՈՒԳԱԿՑՈՒՄ ՇԻՆԱՐԱՐԱԿԱՆ ՆՈՐԱԳՈՒՅՆ ՄԻՋՈՑՆԵՐԻՆ.

        Н. С. Степанян
        ИНОГДА КЛАССИЧЕСКИЕ ТРАДИЦИИ АРХИТЕКТУРЫ ТАК СОЧЕТАЮТСЯ С НОВЕЙШИМИ СТРОИТЕЛЬНЫМИ СРЕДСТВАМИ.
        Ответить
      • Мне понравилась фановая труба, заканчивающаяся выше раковины. При ветре говно будет брызгать в того, кто пользуется раковиной.
        Ответить
    • Кто знает художника Фернандо Ботеро?

      Похищение Европы
      https://sr.gallerix.ru/B/618282529/1551033819.jpg

      Христос
      https://sr.gallerix.ru/B/618282529/1943194282.jpg

      Мона Лиза
      https://veryimportantlot.com/uploads/over/files/%D0%9D%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8/2019/%D0%9D%D0%BE%D1%8F%D0%B1%D1%80%D1%8C%202019/%D0%9D%D0%BE%D1%8F%D0%B1%D1%80%D1%8C%20%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F%202%20(1)%20%D0%A4%D0%B5%D1%80%D0%BD%D0%B0%D0%BD%D0%B4%D0%BE%20%D0%91%D0%BE%D1%82%D0%B5%D1%80%D0%BE%20%D0%9C%D0%BE%D0%BD%D0%B0%20%D0%9B%D0%B8%D0%B7%D0%B0%2C%2012%20%D0%BB%D0%B5%D1%82.jpg
      Ответить
    • Хм, лол, в убунте оказывается куча готовых интересных профилей для apparmor. Например для фаерфокса, чтобы он не мог читать и писать .ssh.

      Но почему-то по дефолту профиль для firefox отключен. Видимо у хомячков что-то ломается от этого.
      Ответить
      • Хм, странный профиль на самом деле. Начали за здравие - писать только в downloads, читать только из public. А кончили за упокой - а теперь разрешаем все подряд в домашнем каталоге и на флешках, ну кроме .ssh и прочих хранилищ с ключами и паролями.

        Че к чему. Видимо предполагается что я сам лишнее выкину если параноик.
        Ответить
      • Ничего не понял. Приведи реальный пример, как это может понадобиться обычному юзеру?
        Ответить
        • Ну чтобы ты случайно свои ключи и пароли в веб не закинул. Ну или чтобы фаерфокс, словивший эксплойта, не пошел удалять или шифровать все подряд.

          З.Ы. Для всей системной хуйни там по-умолчанию подобные правила включены, так что даже рутовые процессы довольно бесправны.
          Ответить
      • Прыщебляди соснули.
        Ответить
    • https://habr.com/post/514286/
      > Habr vs Medium: сколько можно заработать, опубликовав 9 статей на Medium.com
      > За месяц было заработано целых 49 центов.

      Какой заработок )))
      Ответить
    • https://habr.com/post/514356/
      > Компульсивное переедание или как потолстеть на 20 кг
      > Привет, дорогой читатель! Меня зовут Лера, мне 20 лет и я ненавижу свою жизнь.
      > В 2018 году я заболела анорексией. За год я потеряла 20 кг и тогда мой вес составлял 42 кг при росте 178 см. Почему я начала худеть? Всё очень просто — манящие мечты о модельной карьере, контракты с Gucci и Dior, обложки на глянцевых журналах и путешествия по всему миру.

      { Вы случайно не канал об аниме Сообщество IT-специалистов ? }
      Ответить
      • Будет ли суицид в прямом эфире?
        Ответить
        • Судя по
          >>> P.S.: я сама сейчас в поисках психотеравпевта, так что начало положено.
          , не будет.
          Ответить
      • https://www.instagram.com/lerianoser/

        Не похожа на анорексичку.
        Ответить
        • Ну она сначала заболела анорексией и потеряла 20 кг, потом вылечилась и набрала обратно 20 кг, а потом заболела компульсивным перееданием и потолстела на 20 кг уже от базового состояния. Всё сложно, в общем.
          Ответить
          • Да, вот тут видно, что она отожралась: https://www.tiktok.com/@lerianoser
            Ответить
            • >>> люблю кушатц
              >>> Каждый день я испытываю чувство стыда и отвращения к себе. Как только вижу холодильник — превращаюсь в комбайн для переработки жратвы.
              Мне кажется, или в этих параграфах есть некоторые противоречия?
              Ответить
              • Эм, да вроде нету противоречий.

                Утверждение 1: я люблю кушать.
                Утверждение 2: но мне стыдно, что я люблю кушать.
                Ответить
                • Это тред про php?
                  Ответить
                  • Я очень люблю писать на PHP. Но каждый день я испытываю чувство стыда и отвращения к себе. Как только вижу текстовый редактор -- превращаюсь в комбайн для написания говнокода.
                    Ответить
                • Я вижу противоречие в размещении утверждения о любви к процессу питания на главной странице (в поле «о себе»?) своего «ТикТока» и одновременно испытываемом стыде, совмещённом с отвращением к себе, связанном с упомянутым процессом.
                  Ответить
        • Кстати, ебаный инстаграм раньше не давал листать далеко ленту без залогина, теперь даже просто зайти не даёт. Реальный пример того, как ссаные менеджеры наращивают количество регистраций.
          Ответить
          • Open link in new Tab
            Ответить
            • Не понял
              Ответить
              • Жмёшь на пост пкм и открываешь в новой табе.

                Или куда он тебе зайти не даёт?
                Ответить
                • Вот например сюда https://www.instagram.com/lerianoser/
                  С мобильного (с десктопа не прорверял)
                  Ответить
                  • У меня открывается в мобильном фф.

                    Инстаграма нет, в фб не залогинен
                    Ответить
                    • Опровергаю. С приватных вкладок «Chrome», «Firefox» и «Vivaldi» редиректит на https://www.instagram.com/accounts/login/?next=/lerianoser/. Почистите кэш и удалите куки.
                      Ответить
                      • У меня и в приватной вкладке тоже открывает.

                        Возможно, это зависит от локации/айпишника. A/B testing
                        Ответить
                    • Странно. А в инкогнито попробуй.
                      Ответить
                      • Это именно из «Инкогнито».
                        Не туда.
                        Ответить
                  • > с мобильного

                    Переключись на "десктопное" отображение.
                    Ответить
                    • А как?
                      Ответить
                      • Ну "версия для пк" в меню с точками. Оно вроде юзер-агента меняет на десктопного. Может и поможет.
                        Ответить
                        • Там нет такой кнопки, проверь.
                          Ответить
                          • Именно поэтому я против «iPhone».
                            Ответить
                          • У фф на ведре прямо в меню есть галочка «Полная версия сайта». Гейфон соснул?
                            Ответить
                          • Не могу, я гейпад давно не включал и он разрядился.
                            Ответить
          • “Imgur” тоже удалил возможность залить картинку без залогина. А чтобы регнуться нужен номер телефона.
            Ответить
            • ШТА!? Только что заливал картинку туда. С десктопа правда.
              Ответить
              • Дай урл с которого заливал
                Ответить
                • Проверь https://i.imgur.com/SgwDF9H.png, только что залил в режиме «Инкогнито», перетащив картинку на главную страницу.
                  Ответить
                • Очевидный https://imgur.com/upload
                  Ответить
                  • > Oops! We couldn't find that page
                    Ответить
                    • Ахаха! Гейфонобляди соснули!

                      Кстати на ведре точно так же пока на десктопный юзер агент не переключишься - редиректит на m, мыло вместо картинок, прогу насильно предлагает ставить.
                      Ответить
      • Как бы мне заболеть анорексией? На счет двадцати не знаю, но десять кило я бы потерял
        Ответить
    • Никто не собирал у себя хотя бы примерную коллекцию ников шизиков? Можно паттернами.

      Хочу блеклист добавить у себя потом. Или проще будет вайтлист сделать? :)
      Ответить
      • Каких именно шизиков?
        Ответить
        • Спаммеров, ишаков, конардянов, флудеров, сёмг
          Ответить
      • Зачем тебе? Стертор уже давно сгнил.
        Ответить
      • А зачем? Ну вернутся - закинешь в игнор. Или ты хочешь чтобы они в древних тредах не упоминались?
        Ответить
        • Мне не для ngk.

          Я хочу, чтобы они не могли "авторизоваться" через гк у меня.
          Ответить
          • По-моему, это совершенно бесполезная трата времени, учитывая, что создание нового аккаунта на ГК — дело одной минуты. Лучше закинь их в шэдоубан.
            Ответить
            • Уговорили.
              Ответить
              • Лучше запили гибкие инструменты модерации, от шэдоубана до отката правок по шаблонам ников.
                Ответить
                • Я, если честно, ещё не придумал, как вообще лучше сделать админского юзера.

                  root или admin это валидные ники на гк :))

                  Наверное, или их придётся запретить и делать отдельную форму логина для админа, или ставить админу какой-то никнейм типа [ДАННЫЕ УДАЛЕНЫ]
                  Ответить
                  • Зачем админу отдельная учётка? Просто выдай привилегии нужным участникам да и всё.
                    Ответить
                    • Не хочется связывать учётку на гк с админской учёткой на сервисе.
                      Ответить
                      • Двухфакторку добавь и запрети все админские действия без неё. Она и другим участникам будет полезна, имхо.
                        Ответить
                        • Подтверждаю.
                          Ответить
                        • Ого, я могу себе представить, сколько это геморроя
                          Ответить
                          • Да ну, time based через гугловский аутентификатор элементарно делается. Пара строчек буквально.
                            Ответить
                            • Спасибо, почитаю.

                              Сделал роли для админа, модера, юзера и шадоубана.

                              И ещё даже не прикасался к основной логике. Какой бэкенд )))
                              Ответить
                              • Ну собственно поэтому иногда стоит начать с готового фреймворка, где все эти "мелочи" уже реализованы и можно сразу хуярить бизнес-логику.
                                Ответить
                                • Это например?
                                  Ответить
                                  • Х.з., джанга какая-нибудь? Я её не юзал ни разу. Но мне кажется, что там по-любому уже есть и роли и основы аутентификации и плагины для джвухфакторки?
                                    Ответить
                                    • А, так в asp.net роли есть из коробки и авторизация на их основе, но всё равно ж надо прописать, какие мне нужны изначально.

                                      Наверное, и для двухфакторки есть что-то, я ещё не гуглил.
                                      Ответить
                                      • Судя по MSDN вообще встроенное, только включить да отображение QR кода привернуть.
                                        Ответить
                                    • показать все, что скрытоvanished
                                      Ответить
                      • Ну тогда ничего не остаётся, кроме как пилить отдельную систему регистрации для админов/модераторов, хотя это и странно. Кстати, если планируешь заводить модераторов из числа участников, придётся ещё пилить механизм для связи модераторской учётки и юзерской, потому что никому не хочется перелогиниваться по десять раз на дню.
                        Ответить
                        • Не, с модераторами проблем нет так сделать.

                          А вот с админами... Ну в общем наверное пока добавлю роли для учёток, связанных с гк, это быстрее и проще и вряд ли этого будет поначалу недостаточно.
                          Ответить
                  • Добавить в колонку «isAdmin» или что-то в этом духе?
                    Ответить
                    • Тогда уже лучше ролями.
                      Ответить
                    • Ну кстати на реддите прикольно сделано. В нормальной обстановке модератор может общаться как обычный юзер без выебонов. А если что-то случится - может сделать sudo написать официальный коммент с плашкой модератора.
                      Ответить
          • А в чём проблема их потом ёбнуть? Они же скорее всего новые учётки заведут когда вернутся. А против новых учёток ты ничего не сделаешь.
            Ответить
    • Старая цитата, но почему бы не вспомнить.

      I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them.
      Ответить
      • Какой нахрюк )))
        Ответить
      • and nothing else matters..)

        На самом деле многие вещи действительно не имеют значения, а вот секурити -- да (привет Гармину)
        Ответить
    • Петухи, чем можно отметить 5г порошкового вещества?
      Ответить
      • Дополнительным 5г порошкового вещества
        Ответить
      • показать все, что скрытоvanished
        Ответить
      • Купи весы на али.
        Ответить
        • Месяц ждать? Тупые амеры не положили мерную ложку, теперь нужно как-то изъебнуться.
          Ответить
          • Ну можешь самодельные весы наколхозить и монетки вместо гирь. Жопа в том, что современные монеты вроде как с неудобным весом. Советские больше подходили для этой цели.
            Ответить
            • Угу, 5 копеек весили ровно 5 граммов.

              Есть другие методы отмеривания, но они менее точные:

              1. Если знаешь плотность, можно отмерить нужный объём мензуркой. Плотность можно узнать, поделив массу, написанную на упаковке, на её объём (жопа в том, что измерение объёма зачастую представляет собой задачу нетривиальную). Плотность из справочника может не подойти, потому что у разного помола порошкового вещества может быть разная средняя плотность (у грубого помола между большими крупинками образуется воздушный зазор).

              2. Упаковку известного веса можно разделить на N частей: на лист бумаги высыпать дорожку и поделить её линейкой (жопа в том, что нужно сделать дорожку постоянной высоты и ширины, а на глаз это сделать нереально).
              Ответить
              • > высыпать дорожку

                К нам сейчас фксн приедет.
                Ответить
                • Можно высыпать пирамидку и поделить её пополам. Повторяя эту процедуру, можно поделить упаковку на целую степень двойки.

                  На пирамидку ФСКН не приедет?
                  Ответить
          • Заказал на «ozon», послезавтра привезут.
            Ответить
    • Продолжаю обсирать сайты интернет-магазинов.

      https://www.ulmart.ru/ — сертификат просрочен 58 дней назад (если проигнорировать истечение срока действия, то сайт работает).

      https://www.oldi.ru/ — выдаёт белую страницу. Иногда пишет: «Please enable cookies and javascript to access this site» — хотя «cookies and javascript» у меня включены. Он вообще работает?

      https://leroymerlin.ru/ — смешно распидорашивается в старых браузерах:
      https://i.imgur.com/kcdT7IS.png

      Видимо, вывод таблицы, состоящей из картинок с подписями, — это «bleeding edge».

      Отдельного комментария заслуживает распидорашивание страниц в современных мобильных браузерах (типа последнего «Хрома» под «Андроид»).
      Ответить
    • У меня есть гипотеза, почему «Telegram» так популярен в Иране: его название созвучно со словом Тегеран.
      Ответить
    • Ох блин, почитал про старую реализацию GIL в питоне. Они для "вытесняющей" многозадачности каждые N опкодов пытались отпустить лочку и пробудить соседние треды. Но поскольку соседний тред просыпается относительно долго, текущий тред обычно успевал забрать лочку обратно и ебашил дальше. В итоге переключение тредов затягивалось хер знает насколько и отзывчивость была никакая.

      А вы все ещё сидите на двойке? )))
      Ответить
      • Кстати, там ещё объяснили, почему ctrl-c не работал в многопоточных прогах.

        Оказывается питон, получив сигнал, пытается его обработать в главном треде. Но своего шедулера у него нету. Поэтому он начинал каждый тик отпускать GIL и смотреть, не подхватит ли его случайно главный тред. А главный тред обычно спит на каком-нибудь wait'е и никогда не придёт.

        Какой анскилл )))
        Ответить
    • У меня все друзья Белорусы отвалились и не выходят на связь. у вас усатый долбоеб тврнеты рубанул чтобы люди нехуя не рассказывали?
      Ответить
      • пишут, что да
        чтобы не координировали протесты

        Чай з варэннем
        @belteanews
        Белтелеком продолжает зажимать интернет и рассказывает сказки про кибератаки, перегрузку каналов и вот это вот всё. Да и как им работать, интернета же нет
        Ответить
      • Откуда у тебя столько друзей?
        Ответить
      • >У меня все друзья Белорусы отвалились и не выходят на связь.

        Что, и через ГК связаться не получается?
        Ответить
        • Даже через космос не могу.
          Ответить
          • Говорят, у них там весь «HTTPS»-трафик похерили.
            Ответить
            • рази?

              Писали вроде, что у них просто скорость сильно зарубили, а пограничные маршутизаторы не пускают траффик наружу.

              Смешно, что Лука сказал, что это "нас снаружи блокируют", что (как мы понимаем) нереально практически с таким-то количеством пиров. Но лекция для колхозников
              Ответить
              • > нас снаружи блокируют

                Лол, ну наших же провайдеров тоже готовят к отключению инета если начнутся атаки "снаружи". И большинство обычных людей в это верит, я думаю.
                Ответить
    • Добрый вечер! С вами регулярная рубрика «Обсёр Обновлений Винды», и у нас для вас есть свеженькое блюдо!
      https://habr.com/post/514582/
      > Windows [email protected] update и потеря куков
      >
      В интернете много жалоб на то, что в Windows 10 после апдейта 2004
      приложения теряют куки. Проблема в том, что после апдейта DPAPI как-то
      неправильно работает. К сожалению, данные восстановить не получится,
      но заставить работать браузеры не вводя при каждом ребуте пароли, и не
      откатываться с 2004 — возможно. Под катом — метод, который у меня заработал.
      
      1. Делаем локального администратора
      2. Делаем Logout из текущего пользователя и заходим под администратором
      3. Заходим в %userprofile%\AppData\Roaming\Microsoft того пользователя, где
          нужно восстановить работу DPAPI
      4. переносим куда-нибудь каталоги: Crypto и Protect
      5. авторизуемся под старым пользователем и опять включаем синк в профилях
          браузеров, Microsoft store, и майкрософтовских приложениях — в общем везде,
          где использовался DPAPI
      Ответить
      • Превет, gost!
        Ответить
      • Блядь, как всё сложно. Именно поэтому я за «DOS».
        Ответить
      • Похоже, Наделла заполнил отдел тестирования всеми своими троюродными братьями и сёстрами, а те в свою очередь привезли ещё отряд автомейшн бандерлогов и теперь всё поют, танцуют, куки удаляются.
        Ответить
      • Ой пиздец. И они с апреля так и не выпустили апдейт который это чинит?
        Ответить
        • >>> Windows 10 2004: New update fixes all these problems, says Microsoft
          >>> By Liam Tung | August 3, 2020 -- 10:56 GMT (03:56 PDT)
          Какой анскилл )))
          Ответить
      • https://habr.com/post/512498/
        >>> Microsoft будет принудительно устанавливать обновление May 2020 Update на ПК с Windows 10 версий 1809 и 1903
        >>> В конце июля 2020 года Microsoft объявила о том, что в компания переходит на новую фазу апдейта ОС Windows 10 до версии 2004 для всех пользователей. Теперь обновление May 2020 Update будет принудительно устанавливаться на ПК с Windows 10 версий 1809 и 1903.

        Какой багорище )))
        Ответить
        • Походу линуксу уже ничего не надо делать, чтобы завоевать рынок. МС сами справятся.
          Ответить
      • Вот именно по этому я всегда молюсь перед обновлением винды. И вы тоже молитесь
        Ответить
        • А зачем? Это же не боевой сервер, можно если что попросись админов переустановить.
          Ответить
          • Пришло время переустановить шиндоус...
            Ответить
            • Я живу полноценной жизнью
              Шиндошс сама себя не переустановит

              Кстати коляска вполне годно с 18.10 до 20.04 самодоросла в свое время
              Ответить
              • Откуда, кстати, термин «коляска»?
                Ответить
                • Никогда бы не подумал, что это про [ДАННЫЕ УДАЛЕНЫ]
                  Ответить
                • ... Но для экстенсивного увеличения количества лулзов, а, стало быть, расширения круга жертв, были открыты другие входы в прыщемирок. Например, на одном из них выдают красочную табличку с надписью «инвалид» и инвалидную самодвижущуюся коляску с обещанием доставить прямо через ограду в прыщемирок, где всё будет хорошо, бесплатно и легко. Не забывают, впрочем, предупредить, что вставать с коляски нельзя ни в коем случае. Что удивительно, коляска действительно начинает своё уверенное движение со спермоблядком на борту, однако сам спермоблядок уже очень скоро начинает смутно догадываться, что его обманули, поскольку, положение, в котором он сидит в коляске не такое уж и удобное, и до боли в анусе напоминает ему то самое положение, в которое его так часто ставил спермогосподин, а сама коляска движется с ощутимыми рывками, меняя направление, да и радостей прыщемирка не особо заметно, а окружающие прыщебляди посмеиваются и указывают на спермоблядка пальцами. И тут, спермоблядок понимает, что его разоблачили, поднимается со своей коляски и начинает грозить прыщеблядкам и кричать им, что он тоже прыщеблядь, поскольку уже проник в прыщемирок, преодолев границу. Это вызывает в прыщеблядях только смех, поскольку никакую границу спермач не преодолел — он просто катается в инвалидной коляске. А когда же спермач понимает и это, то он от досады делает неловкое движение и попадает в цепкие манипуляторы, устремившиеся к его заднице. И тут происходит разрыв на потеху всем окружающим прыщеблядям. Пожалуй, вид такой спермобляди, ещё более униженной, забавит куда больше. А собравшиеся вокруг прыщебляди тыкают палочками в агонизирующую спермоблядь, пока та изрыгает проклятья, обильно поливая собственную инвалидную коляску и землю вокруг анальной кровью. Вот в этом-то и состоит мрачная суть древней кровавой традиции прыщемирка, который не прощает и не ошибается. Так и будет: спермоблядство неизбежно должно караться в прыщемирке разрывом пердака. ...
                  Ответить
                  • В Санкт-Петербурге руководство прыщемирка приняло решение запретить проезд инвалидам-колясочникам, объяснив это тем, что прыщемирок небезопасен для людей с ограниченными возможностями, сообщает "Фонтанка.ru".

                    В пресс-службе петербургского прыщемирка такую меру назвали "вынужденной". "Бывали случаи, когда воля Шаттлворта не удерживала коляску с инвалидом, и она летела вниз. Кроме того, у нас есть заключение завода, который изготавливает прыщеядра, о том, что на них нет специальных креплений для колясок и они не приспособлены для перевозки пассажиров этой группы", – заметили в организации.

                    В свою очередь инвалиды крайне возмущены подобным решением. Так, студентка Северо-Западного института заправки картриджей Евгения Гурова, которую не пустили в прыщемирок 16 июня, когда она возвращалась с зачета по обжимке витой пары, написала о случившемся в свой блог в "Живом журнале", а затем направила жалобу на имя губернатора Санкт-Петербурга Валентины Матвиенко.
                    Ответить
    • Здравствуйте. Это форум программистов? Почему котобуса не бьёт лепестричеством, когда он переходит со столба на провод?
      Ответить
    • Немного крипоты в ленту:
      https://pbs.twimg.com/media/EfIF2YvWkAAW0Fm.jpg
      Ответить
    • Оказалось, что jwt нельзя инвалидировать штатными средствами и нужно городить какие-то костыли.

      Никогда бы не подумал, что логаут может быть таким багром )))
      Ответить
      • > jwt
        Зачем? Зачем?
        Ответить
        • В смысле?
          Ответить
          • В смысле нафига тебе такие технологии для одного сайта?

            Сгенери рандомную куку, запиши в базу, отдай юзеру. Всё. Тупо и надёжно.

            При логауте просто снесешь ее из базы.
            Ответить
            • Модно же

              Просто разбирался не так давно с jwt в asp.net, делал тестовый проект, потом всё это перевёл в новый. Стартапщики мы.
              Ответить
              • https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/ же. Оверинжиниринг и энтерпрайз, как на мой вкус, но всё же лучше, чем городить ненужные костыли.
                Ответить
                • Чот народ зачем-то свои велосипеды собирает: https://jasonwatmore.com/post/2018/09/08/aspnet-core-21-basic-authentication-tutorial-with-example-api

                  Юзера руками описывает (ну это допустим поправимо)

                  Как-то уж совсем закат Солнца вручную.

                  P.S. Я знаю, что в статье Basic Auth, тут не в этом дело
                  Ответить
                  • Ну вот именно поэтому я за «Python».
                    from django.contrib.auth import authenticate, login
                    
                    def my_view(request):
                        username = request.POST['username']
                        password = request.POST['password']
                        user = authenticate(request, username=username, password=password)
                        if user is not None:
                            login(request, user)
                            # Redirect to a success page.
                            ...
                        else:
                            # Return an 'invalid login' error message.
                            ...

                    https://docs.djangoproject.com/en/3.0/topics/auth/default/#auth-web-requests
                    Ответить
                    • Это всё чудесно, но прыгать на джангу, чтобы поскакать уже по тамошним граблям, это харам.

                      Короч, буду генерировать какой-то токен, создам для хранения отдельную таблицу, буду передавать кукой его.

                      Останется только по примеру написать мидлвару, но это не выглядит особо сложным.
                      Ответить
                    • Ну, кстати, в asp.net есть то же самое, что, впрочем, ожидаемо

                      https://docs.microsoft.com/en-us/aspnet/core/security/authentication/identity?view=aspnetcore-3.1&tabs=visual-studio

                      Но мне это в любом случае не подходило, так шо изобрёл своё
                      Ответить
      • в SAML все тоже сконцентрировались на Single Sign On, проебав Single Logout, потом наверстывали
        так что это повсеместно
        Ответить
        • В интернете советуют делать блеклисты, но это какой-то оверкилл.

          Потому я просто буду при "логауте" генерировать jwt, который тут же экспайрится, и передавать его.

          Норм?
          Ответить
          • > Потому я просто буду при "логауте" генерировать jwt, который тут же экспайрится, и передавать его.
            > но это какой-то оверкилл
            Э-э-э…
            Ответить
            • Ну дык тут уже всё сделано, просто сгенерировать токен с более другим временем жизни.

              А блеклисты надо самому вкорячивать, а потом ещё и к авторизации как-то прикручивать.
              Ответить
              • Я о том, что сама технология «JWT» — это очень большой оверкилл для простого монолитного проекта. Кука «auth» (или что там в твоём фреймворке её заменяет) — крайне простая и надёжная штуковина. Логин — генерация новой куки и запись в БД, логаут — удаление записи из БД, и не нужно городить костылей.
                Ответить
          • мы jwt никуда не притащили, чтобы я потрогал и сказал норм не норм
            насколько я понимаю, ты не можешь заставить клиент уничтожить предыдущий токен, поэтому твое решение, скорее, прилично пахнет
            это не кука, которая создается у тебя и проверяется "по вайтлисту" просто исходя из своей природы
            это не авторизация через общение с IdP, который тебе приватно расскажет, насколько валиден тикет
            вот такие модные технологии, да?
            Ответить
            • На самом деле, это кука по итогу. В куке jwt в качестве токена авторизации.
              Но, начитавшись рекомендаций, я её сделал httpOnly, то есть js-клиент её потрогать и удалить не может.
              Ответить
              • > На самом деле, это кука по итогу. В куке jwt в качестве токена авторизации.
                Зачем? Зачем?

                Не забывай, что смысл логаута ещё и в экстренном удалении сессии. Например, если у клиента спиздили куки, то он должен иметь возможность немедленно убить все сессии.
                Ответить
                • Так я о том же.
                  Как мне убить сессию, если jwt нельзя инвалидировать? Вот никак, только блеклистить.

                  Надо значит в какую-то другую сторону смотреть, только шоб оно ещё и роли нормально поддерживало, и вот это всё.
                  Ответить
                  • > Надо значит в какую-то другую сторону смотреть, только шоб оно ещё и роли нормально поддерживало, и вот это всё.
                    Делаешь в БД таблицу «sessions» вида (token, user_id, login_time, expire_time, ...), когда пользователь залогинивается — генерируешь рандомный токен X, отсылаешь его кукой клиенту и добавляешь в эту таблицу новую строчку (X, user_id, ...). Когда нужно аутентифицировать клиента — ищешь в таблице соответствующую сессию по предоставленному клиентом токену. Когда нужно разлогинить — просто удаляешь соответствующую строчку.
                    Вся эта рутина, разумеется, гавным-гавно реализована в 99% веб-фреймворках, проверь.
                    Ответить
              • звучит как замешать старое и новое

                тебе бы подошло, предполагаю, генерить jwt токены с коротким временем жизни и заставлять клиент рефрешить их раз в эн минут
                а сервер бы в очередной раз сказал бы "иди в жопу", когда ты разлогинился эн/2 минут назад

                тогда твоя "авторизация" уязвима на период в эн минут
                в этом плане блеклист, удерживаемый на эн минут, как раз затыкает и эту дыру (чтобы за период формальной валидности на клиенте - невалидности на сервере никто не просочился)
                Ответить
                • Да ну, а зачем мне access/refresh для простого сайта, ладно бы АПИ, тем более, на котором аутентификация будет проходить при помощи ГК, то есть, если токен сдох, то идём на ГК и весь процесс заново?
                  Ответить
                • Чот такая схема выглядит как семиколёсный велосипед.
                  Насколько я понимаю, «JWT» в первую очередь нужен для распределённых проектов, когда за аутентификацию/авторизацию отвечает сервер A.example, а клиент заходит на B.example и C.example, при этом у A, B и C нет единой БД. А если весь проект находится на одном сервере с одной БД — нафига все эти танцы на граблях, когда можно просто сделать куку с токеном?
                  Ответить
                  • Для jwt рекомендуется выделяет отдельный сервис, но это необязательно.

                    Фишка jwt в том, что он сам содержит всю информацию о себе, такой себе serverless, и именно поэтому его нельзя "инвалидировать".

                    Это как я понял.
                    Ответить
                    • > Фишка jwt в том, что он сам содержит всю информацию о себе, такой себе serverless
                      Ну да. А нужна эта фишка для того, чтобы ты мог попросить у https://auth-provider.company.test/ сгенерировать тебе JWT, а потом использовать его для входа на других сайтах (https://other-company.test/, https://yet-another-company.test/, etc). При этом другим сайтам совершенно не обязательно иметь хоть какую-то связь с auth-provider.company.test, они вообще могут быть сделаны другими людьми. Главное — чтобы они доверяли провайдеру.
                      Ответить
                  • кука - привязка к домену, и максимум - поддоменам
                    если тебе надо между доменами скакать, то с кукой можно только лососнуть
                    и с недавних пор в хроме затянули гайки так, что даже решения "встрой позволительный спецсайт от домена2 в ифрейм, чтобы в него закинуть жаваскриптом со своей страницы хоть че нить, чтобы тот, что в ифрейме, уже со своим сервером поговорил и получил нормальную куку для домена2" перестали работать (недавно пригорало об этом)
                    Ответить
                    • Ну да. А «JWT» в куке — это, получается, worst of both worlds. Ни нормального логаута без костылей, ни аутентификации между доменами.
                      Ответить
        • Можно, наверное, генерить эти jwt токены не с реальным айдишником юзера, а с каким-нибудь рандомом, который в соседнем поле лежит. Ну и при принудительном логауте менять этот рандом чтобы все старые токены сразу же протухли.

          На распределенных серваках не сработает, туплю.
          Ответить
          • Кстати, а ведь блэклисты тоже на распределённых серверах без пердолинга не заведутся, придётся их с сервиса аутентификации раскидывать на все подчинённые сервера. Ну или с подчинённых запрашивать, валиден ли такой вот токен.
            В обоих случаях львиная доля смысла «JWT» теряется.
            Ответить
            • У тебя скорее всего будет один сервис аутентификации для jwt с одним блеклистом, а уже все остальные твои серверы, распределённые или нет, будут к нему стучаться.
              Ответить
              • Если они будут к нему стучаться на каждый чих, нахуй тебе jwt?
                Ответить
                • Потому что они ничего не знают про идентити, которая им прилетела с jwt. Передают jwt на сервак авторизации, он им возвращает данные пользователя или дулю.

                  А как ты хочешь? Чтобы они ещё и кешировали данные авторизации? Ну тогда да, отдельный сервак не нужен )))
                  Ответить
                  • Шта? Почитай описание протокола, пожалуйста.
                    Ответить
                  • > Передают jwt на сервак авторизации, он им возвращает данные пользователя или дулю.
                    Ну а зачем JWT? Сервер аутентификации генерирует рандомную строку и даёт её клиенту, клиент даёт её подчинённому серверу, подчинённые сервера
                    > Передают рандомную строку на сервак авторизации, он им возвращает данные пользователя или дулю.
                    Всё.
                    Ответить
                    • Разница в том, как я понимаю, что с рандомной строкой тебе нужна БД, а с jwt тебе нужен только ключ, которым токен расшифровывается.

                      Типа пирфоманс
                      Ответить
                • Подтверждаю. Сама суть «JWT» в том, что подчинённые сервера никуда не стукаютчатся и вообще ни о каких сервисах аутентификации не знают.
                  Ответить
                  • Нет.

                    У тебя есть jwt, в котором есть некая зашифрованная информация. Ты хочешь, чтобы каждый твой сервак умел эту информацию расшифровать?

                    Именно поэтому и рекомендуется делать отдельный сервак для хранения чисто jwt, которому остальные серваки проксируют токены, а он им возращает, юзеров, роли, группы, пермишены и т.д.
                    Ответить
                    • Нет. «JWT» — это открытая, подписанная информация.
                      «JWT» работает так:
                      1. Пользователь даёт серверу аутентификации свой логин и пароль.
                      2. Сервер аутентификации генерирует подписанный JSON такого вида:
                      {
                          Предъявитель сего — админ.
                          -- Подпись Главного.
                      }

                      3. Пользователь даёт этот JSON подчинённому серверу.
                      4. Подчинённый сервер проверяет (локально!) подпись сервера аутентификации, таймауты и прочую питушню.
                      5. Если всё сошлось — подчинённый сервер убеждается, что пользователь является админом.
                      Ответить
                      • Ну, окей, это не шифрование, там просто хешируется ещё и секрет.

                        Без секрета ты токен не проверишь, верно?

                        И ты предлагаешь секрет держать на всех "подчинённых" серваках?
                        Ответить
                        • Там же асимметрику можно юзать, у подчинённых серваков только публичный ключ будет.
                          Ответить
                          • Да, нашёл на странице.

                            However, JWT and SAML tokens can use a public/private key pair in the form of a X.509 certificate for signing.

                            Это то, что так любит Д++ )))

                            Ну ок, тогда норм (наверное).
                            Ответить
                            • в смысле "любит"
                              так-то SAML выглядит на голову мощнее этой фронтоперделки jwt
                              с контентом, который по факту успешной идентификации придёт в сервис, можно вообще нормально жить
                              и когда ты юзера не знаешь, ты просто вежливо его просишь перейти по вот такому адресу, в надежде, что затем ты снова получишь попытку от юзера, но уже с билетом - и юзеру не надо на клиенте ничего запоминать, никаких говнотокенов - они прозрачно по существующим механизмам протащатся

                              и да, затем у тебя (если ты не обосрался) и сингл логаут работать будет

                              даже в oauth и то нормально можно запросить у источника то, что юзер разрешил предоставить

                              а это какая-то отрыжка
                              ничего нового не изобрели, "перформанс" итить
                              Ответить
                              • > ничего нового не изобрели, "перформанс" итить
                                Ну так-то да, лол, весь «JWT» — это просто строка с подписью. Конкретное его использование в RFC не определяется, там только общее описание джейсона, его представление в виде «base64» и зарезервированные поля.
                                Ответить
                                • Дорисуй сову сам.

                                  А может есть какое-то другое RFC, где уже конкретная схема аутентификации описана?

                                  RFC 7523, к примеру.
                                  Ответить
                                  • >>> JSON Web Token (JWT) Profile
                                    >>> for OAuth 2.0 Client Authentication and Authorization Grants
                                    Ну хуй знает, «OAuth» и безо всяких «JWT» нормально работает. Профита особого не видно.
                                    Ответить
                                • The algorithm can be changed to "none" by an attacker, and some
                                  libraries would trust this value and "validate" the JWT without
                                  checking any signature.

                                  Вот фронтендеры и дорисовали сову.

                                  Какой анскилл )))
                                  Ответить
                                  • Надёзно. Защищённо. Хоросо!*
                                    * https://www.youtube.com/watch?v=FXPWZovrl24
                                    Ответить
                                    • The specification does not mandate replay protection for the JWT
                                      usage for either the authorization grant or for client
                                      authentication. It is an optional feature, which implementations may
                                      employ at their own discretion.



                                      А вот и тот самый логаут, с которого начался этот тред.
                                      Ответить
                                      • > which implementations may employ at their own discretion
                                        «Ладно, похуй.»
                                        Ответить
                                      • Короч, по итогам треда

                                        1) jwt нинужен
                                        2) даже если бы он был нужен, я обосрался и использовал его неправильно, лол
                                        Ответить
                                        • Потом зомбируемого заставляют смешать «Java Web Toolkit» и «JSON Web Token».
                                          Ответить
                                • А я вообще не понял, какой смысл в jwt, если мы используем асимметричную крипту. Что мешает тогда просто произвольный JSON или XML или Аллаха так зашифровать?
                                  Ответить
                                  • В стандартизации. «JWT» определяет (ну, наследует от «JWA») алгоритмы подписи/шифрования и стандартные поля, вроде времени протухания, субъекта, которому выдан токен, и так далее. Это всё позволяет реализовать библиотеки, которые всю работу по генерации/подписи/проверке берут на себя, и тебе не нужно закатывать Солнце вручную. Более того, благодаря наличию стандарта, ты можешь спокойно* передавать токены из «ASP.NET» куда-нибудь в «Python», при этом тебе не нужно забивать голову форматами передачи, кодирования и прочей питушнёй.

                                    * С точностью до «some libraries would trust this value and "validate" the JWT without checking any signature».
                                    Ответить
                                    • Ну как бы да.

                                      Но зачем, например, в уже зашифрованном токене ещё и хеши считать? Кстати, если я правильно понимаю, то при схеме с шифрованием никакой секрет-«соль» в хешировании не участвует.

                                      Или надо читать спеку, а они там на самом деле могут шифровать только секрет лол?
                                      Ответить
                                      • Ты про какой алгоритм (UPD: поле «alg» в заголовке токена JWT) говоришь? Если про HSxxx — то это обычный HMAC, не асимметричная подпись. Вкратце, мы берём общий секрет, хитрым образом присоединяем его к подписываемой строке и вычисляем SHAxxx от полученного значения. В результате валидную подпись можно получить только владея указанным общим секретом.

                                        Асимметричная подпись — это RSxxx (RSA), ESxxx (эпилептические курвы) и PSxxx (хуй пойми что, доку надо читать). Проверь на https://jwt.io/.

                                        Шифрование всего токена — опционально.
                                        Ответить
                                        • Перечитал доку, понял. Любой алгоритм применяется к подписи aka третья часть токена.
                                          Ответить
                        • Я ничего не предлагаю, так работает «JWT».

                          > Без секрета ты токен не проверишь, верно?
                          > И ты предлагаешь секрет держать на всех "подчинённых" серваках?
                          На подчинённых серверах хранится публичный ключ «главного» сервера, приватный — только на главном. Для проверки подписи нужен только публичный ключ.
                          Ответить
                  • ну вот мы и пришли к очевидному выводу, что JWT - идентификация, но не аутентификация и не авторизация

                    т.е. сервис, который тебя узнал по токену (привет, Вася Пупкин), должен тебя завести как юзера у себя, завести сессию, выдать куку
                    и заниматься сессией уже не оглядываясь ни на какой jwt
                    Ответить
                    • либо, раз уж и аутентификация (как хочет Desktop), тогда это безотзывной тикет, и пока он действует, ты _обязан_ его обслуживать
                      Ответить
    • Аккумуляторы GP производятся по новой, более совершенной технологии LSD (Low Self Discharge — низкий саморазряд).

      Затем зомбируемого заставляют смешать «low self discharge» и «Lysergsäurediethylamid».
      Ответить
      • Затем зомбируемого заставляют смешать «General Protection» и фирму «GP».
        Ответить
    • Какой firefox)))

      https://blog.mozilla.org/wp-content/uploads/2020/08/Message-to-Employees-Change-in-Difficult-Times.pdf

      > We are reducing the size of the MoCo workforce by approximately 250 roles
      Ответить
    • https://github.com/microsoft/WSL/issues/4518

      2020-й год. «Microsoft» не считает задачу реализации «IPv6» в «WSL» приоритетной. Петухи, как вы этой хуйнёй вообще пользуетесь?

      TurnOffNOD commented yesterday
      Hi, @craigloewen-msft , is there any schedule for ipv6 support?
      Ответить
      • Эм, ну я думаю там куча более насущных проблем есть, чем мифический IPv6.
        Ответить
        • Почему мифический?
          Ответить
          • Ну сколько сайтов и провайдеров НЕ поддерживает ipv4? За исключением всякого тестового барахла, конечно. Ноль?

            А WSL год назад просто крашился и вис, емнип. Так что им было чем заняться.
            Ответить
            • Бамп отсосу прыщеблядей!
              Ответить
              • Кстати, а нахуй вообще WSL2 нужен?

                У WSL1 хоть какая-то киллер-фича была, что он лёгкий и быстрый. А WSL2 - это ж просто виртуалка под hyper-v, даже файлуху предлагают линуксячью юзать для пирфоманса.
                Ответить
                • С вами играет Борманд из Энска.

                  На вопрос отвечает Гуест Восьмой. Минута пошла!

                  https://govnokod.ru/26850#comment565980
                  Ответить
                  • Ну т.е. они признали своё поражение и просто тащат его для обратной совместимости. Которую тут же и сломали, лол. IPv6 то в первом WSL работал.
                    Ответить
      • Прыщебляди соснули в винде. АХАХАХ
        Ответить
    • Что такое «Служба активации Windows»? Гуглёжка показывает, что пользователи думают, что это что-то связанное с активацией «Windows» (внезапно, да?), т. е. с лицензией. На самом деле это кривой перевод какой-то хуеты, не имеющей к активации лицензии никакого отношения:
      https://docs.microsoft.com/ru-ru/dotnet/framework/wcf/feature-details/hosting-in-windows-process-activation-service

      Затем зомбируемого заставляют смешать

      Нахуй этот компонент вообще нужен?
      Ответить
      • Эм, да обычный пул воркеров. Как у того же апача. Попытались общую абстракцию сделать, чтобы каждый себе такое не велосипедил снуля.
        Ответить
        • написино, что это только для wcf пул, нет?
          Ответить
          • Ну у майков же всегда грандиозные планы, видимо считали, что в будущем все пересядут на WCF. Это же достаточно общий фреймворк, не просто кусок IIS. Ты можешь и сам его юзать в своих прогах.
            Ответить
    • https://habr.com/post/514954/
      > Этой осенью «Роснефть» организует открытый марафон ИТ-соревнований для программистов.
      > 3 задачи
      > Нашей талантливой молодёжи предстоит разработать алгоритм для построения пути движения на сложной поверхности. Похожие задачи возникают во многих прикладных областях, связанных с геологией, сейсморазведкой, трубопроводным транспортом и нефтепереработкой. Приз за самое оперативное и качественное решение – 289 000 рублей.
      > Задача подразумевает техническое творчество: необходимо разработать роботизированное решение для выполнения операции, связанной с текущей производственной деятельностью по обслуживанию технологического оборудования. При этом мы вооружим участников настоящим роботом-манипулятором и трудолюбивым 3D-принтером. Призовой фонд для любителей роботов – 139 000 рублей.
      > Задача очень серьёзная: определение распределения линейных размеров зёрен пропанта по серии фотографий. В идеале получить уникальный алгоритм для определения характеристик пропанта по фотографии без каких-либо лабораторных исследований. Естественно, целью не является замена исследований как таковых, но в обозримом будущем реализованный алгоритм может быть применен как «онлайн» метод проверки качества пропанта на линиях производства, что повысит уровень контроля качества выпускаемой продукции. Тут придётся выложиться по максимуму. Но и призовой фонд весьма достойный – 1 142 000 рублей.

      Охуенно! «Как найти лошков, которые за миску пластиковой каши запилят тебе профессиональное производственное решение».
      Ответить
      • Это популярный подход, его еще Паша Дуров юзал.

        Допустим, тебе нужно приложение для Foo.
        Ты устраиваеш конкурс. Тебе приносят сорок тысяч версий приложения. Ты выбираешь лушчее, и покупаешь. Остальные идут нахуй.
        Ответить
        • > Ты выбираешь лушчее, и покупаешь. Остальные идут нахуй.
          А что самое главное: так как это конкурс, ты «покупаешь» полученный продукт за месячную зарплату одного миддла. Охуенно же!
          Ответить
          • Скорее даже джуна, т.е. победителю конкурса не надо всяких страховок, налогов, рабочего места, помещения...
            Ответить
        • Паша голимый стартапщик, а тут целая копрорация, она что, не может нанять пару профильных НИИ? Или профильные НИИ попросту не в состоянии гадать по зёрнам пропанта на фото?

          Как-то несерьёзно выглядит.
          Ответить
          • > она что, не может нанять пару профильных НИИ?
            Ну так профильным НИИ деньги плотить надо, а тут, считай, халява. Особенный смак будет, если по итогам решат, что на «победителя» никто не тянет.
            Ответить
            • Ага, напоминает марафон тестовых заданий в не очень добросовестных шарагах.
              Ответить
            • проблема в том, что профильные НИИ хотят очень много, решают очень долго (оплачивайте грант, приходите через год), а гарантий на успех примерно столько же
              Ответить
              • Почему бы тогда Роснефти не открыть свой собственный НИИ или центр RnD с тотальным контролем.

                Решать специализированную узкопрофильную задачу в контексте основного вида деятельности руками студентами -- участниками хакатонов ну как бы кхм.
                Ответить
                • с чего ты решил, что у них нет такого НИИ?
                  просто задач бывает очень много, в частности, такие НИИ будут специализироваться на нефтегазовых/технологических задачах (качество, химические процессы, трубы), но при этом сосать в машинном зрении, бигдате, корпоративной гигиене, роботизации и т.д.
                  Ответить
      • А мне нравится. Вдруг у меня скрытый талант в пропантах а в НИИ не возьмут без пхд в физике или каком-то говне. А тут могут и бабок отсыпать и на работу пропантщиком взять. В конце концов вряд ли чуваки которые живут этими самыми "профессиональными производственными решениями" возьмутся если приз такой уж низкий и конкурс будет не запредельным
        Ответить
        • я могу лишь сказать, что 1 млн рублей за такую задачу - маловато.

          разве что если они готовы просто выбрать из двух-трех участников, как из сортов говна, просто "лучший", который просто среди худших и просто на 2% лучше, чем рандом, и этот 1М гарантирован, то ок, можно и слить
          Ответить
          • Я просто знаю что нечестным образом монетизировать мое решение не получится потому что это в лучшем случае будет слегка рабочее непрофессионально сляпанное говно и получить что-то другое от людей с которыми ты не договаривался - самонадеянно
            Ответить
          • > 1 млн рублей за такую задачу - маловато.
            Там всё ещё смешнее.
            3.2.8. На основе рассчитанной метрики оргкомитет утверждает список победителей
            Состязания RPCC: 10 командных призовых мест, на основе итоговых протоколов
            экспертов – приз за лучшую презентацию проекта. Также возможно выделение
            призовых мест по номинациям, утверждаемым оргкомитетом и экспертами.
            Победителям Состязания RPCC вручаются дипломы и денежные призы.
            Призовой фонд Состязания RPCC составляет 1 142 тыс. руб. (до уплаты налогов).
            Налоговым агентом при выплате вознаграждений победителям выступают
            партнеры Организаторов (см. п. 4.3).

            Миллион — это общий призовой фонд до уплаты налогов. Что-то мне подсказывает, что в итоге победителям там и сотни тысяч на морду не достанется.
            Ответить
            • ну и нормально
              за бюджет корпоратива одного филиала хоть полезное дело сделают
              вон даже до говнокода инфоповод дошёл этот
              Ответить
              • Да для студента норм в общем-то. Это же больше ради экспы чем ради бабла. Да и на реальной работе что-то помимо диплома показать можно будет.
                Ответить
      • Предлагаю объявить конкурс для грузчиков. Каждый участник получает пустую фуру и кучу ящиков. Загрузивший свою фуру первым получает приз.
        Ответить
      • показать все, что скрытоvanished
        Ответить
      • Доступ к публикации закрыт, гост.
        Ответить
        • Именно поэтому я за «https://itnan.ru/post.php?c=1&p={{post_number}}».
          Ответить
      • Именно поэтому я бесплатно участвую только в том, где нет выгоды от высранного мною решения.
        Ответить
    • Если у меня на один и тот же запрос на сервер юзер может или создаваться, или апдейтиться, то имеет ли смысл возвращать 201 и 200 или это избыток информации и хватит только 200?
      Ответить
      • показать все, что скрытоvanished
        Ответить
        • Да, только POST
          Ответить
          • классический вопрос на собеседовании - что вы слышали про HTTP REST, чем отличается POST от PUT, какие ещё методы бывают
            тебе бы тоже повторить базу

            а 201 это какая-то экзотика, ты бы ещё 418 использовал
            Ответить
            • Плюсую посрать плюс плюса. Можно вообще на всё 200 возвращать. Кого ебут вообще эти коды, и на что влияют? Только для красоты.
              Ответить
              • ну считается хорошим тоном возвращать 204, если всё заебись, но контента нет
                (у меня в подкорке какие-то проблемы где-то с чем-то, когда 200 + content-length: 0 какой-то хуйней считалось харамом, но подробнее вспомнить не могу)

                в остальном надо идти по принципу наименьшего удивления
                201 как раз удивляет (но тут я могу быть не прав)
                Ответить
            • У меня нет rest запроса, связанного напрямую с созданием или изменением юзера, потому put мне не пригодился, а так я про него знаю, спасибо.

              Я просто наверное не совсем корректно написал про "может апдейтиться". Юзер на этот конкретный запрос не обновляется, но создаётся, если раньше не было. Что обновляется/добавляется, так это access token.
              Ответить
    • https://www.youtube.com/watch?v=Gv7jvl2L7zg
      Ответить
      • Был такой канал на Ютубе года три назад, Train Driver вроде просто и назывался. Вёл его чувак из Петрозаводска, который по Карелии электрички водит.

        Норм были видосы. И по депо водил, и на маршрутах с рабочими поездами ролики были, но потом случился конфликт с начальством и он всё под замок убрал.
        Ответить
        • > но потом случился конфликт с начальством
          Пидоры.
          Ответить
          • Ну я так догадываюсь, что там прилетело не потому, что он снимал (потому что он снимал где-то полгода к тому моменту), а потому что он бабло начал собирать на стримах. Вот тут кому-то из РЖД и не зашло
            Ответить
            • > полгода

              И что? Может они через полгода как раз только и узнали. Начальство же обычно по рельсам не шарится, а остальным пофиг.
              Ответить
              • Да нет.

                Он, когда снимал локомотивы в депо, сам рассказывал, что делает это с разрешения начальника депо.

                Так что или он пиздел, или всем было похеру до определённого момента.

                Может, начальнику депо было ок, а начальнику дирекции или что там вышло не ок.
                Ответить
                • А бекапы никто как всегда не слил?
                  Ответить
                  • Я - не догадался ((
                    А так не знаю, может, кто и скачал.

                    Вот этот канал:
                    https://www.youtube.com/channel/UCiMo8wPzda1E7lo8mwP9RAw

                    А вот канал русскоязычного машиниста из Бельгии:
                    https://www.youtube.com/channel/UCejoGyQkUdFk327WIpM5mEw
                    Новых видео давно не было, но зато ролики доступны

                    Ещё был чувак, который из кабины писал по маршрутам в районе Анапы, но там не оч интересно и мне лень искать
                    Ответить
                    • А вот тут можно от первого лица посмотреть на тушения пожаров: https://www.youtube.com/c/Пожарный62ПСЧ/videos. Выглядит эффектно.
                      Ответить
                      • Да ютуб сейчас это вообще кладезь для прокрастинатора.

                        Если б у них ещё алгоритмы предложений нормальные были.
                        Ответить
      • g. "норвежское медленное телевидение"
        Тебе понравится
        Ответить
    • «Сёма» в озере купался,
      Рутер с «Линухом» нашёл.
      Целый день с ним проебался,
      Даже хавать не пошёл.
      Ответить
    • показать все, что скрытоvanished
      Ответить
      • > В июне президент США Дональд Трамп пообещал подумать над возможным снятием грифа секретности с материалов о неопознанных летающих объектах.
        Ага, космический мусор, спрайты, старые спутники-шпионы и прочее неопознанное летающее говно. Реальность, к сожалению, уныла.

        Доброе утро.
        Ответить
    • Перекат!

      https://govnokod.ru/26862
      https://govnokod.xyz/_26862/
      Ответить

    Добавить комментарий