- 1
IT Оффтоп #142-
Куча / Говнокод #27942
0
#112: https://govnokod.ru/27648 https://govnokod.xyz/_27648
#113: https://govnokod.ru/27652 https://govnokod.xyz/_27652
#114: https://govnokod.ru/27659 https://govnokod.xyz/_27659
#115: https://govnokod.ru/27665 https://govnokod.xyz/_27665
#116: https://govnokod.ru/27671 https://govnokod.xyz/_27671
#117: https://govnokod.ru/27675 https://govnokod.xyz/_27675
#118: https://govnokod.ru/27685 https://govnokod.xyz/_27685
#119: https://govnokod.ru/27701 https://govnokod.xyz/_27701
#120: https://govnokod.ru/27703 https://govnokod.xyz/_27703
#121: https://govnokod.ru/27710 https://govnokod.xyz/_27710
#122: https://govnokod.ru/27728 https://govnokod.xyz/_27728
#123: https://govnokod.ru/27729 https://govnokod.xyz/_27729
#124: https://govnokod.ru/27730 https://govnokod.xyz/_27730
#125: https://govnokod.ru/27732 https://govnokod.xyz/_27732
#126: https://govnokod.ru/27733 https://govnokod.xyz/_27733
#127: https://govnokod.ru/27737 https://govnokod.xyz/_27737
#128: https://govnokod.ru/27742 https://govnokod.xyz/_27742
#129: https://govnokod.ru/27747 https://govnokod.xyz/_27747
#130: https://govnokod.ru/27755 https://govnokod.xyz/_27755
#131: https://govnokod.ru/27766 https://govnokod.xyz/_27766
#132: https://govnokod.ru/27790 https://govnokod.xyz/_27790
#133: https://govnokod.ru/27828 https://govnokod.xyz/_27828
#134: https://govnokod.ru/27834 https://govnokod.xyz/_27834
#135: https://govnokod.ru/27839 https://govnokod.xyz/_27839
#136: https://govnokod.ru/27845 https://govnokod.xyz/_27845
#137: https://govnokod.ru/27857 https://govnokod.xyz/_27857
#138: https://govnokod.ru/27867 https://govnokod.xyz/_27867
#139: https://govnokod.ru/27887 https://govnokod.xyz/_27887
#140: https://govnokod.ru/27900 https://govnokod.xyz/_27900
#141: https://govnokod.ru/27914 https://govnokod.xyz/_27914Запостил:
nepeKamHblu_nemyx,
10 Января 2022
Follow us!
Этот оффтоп сгенерирован автоматически.
Индекс оффтопов: https://index.gcode.space/.
Зеркала Говнокода и полезные ресурсы:
* https://govnokod.xyz/ (альтернативный Говнокод)
* https://gcode.space/ (read-only зеркало Говнокода)
* https://t.me/GovnokodBot (Говнокод-бот в «Telegram»)
* https://t.me/GovnokodChannel (Тематический канал в «Telegram»)
* https://vorec.space/ (глоссарий Говнокода)
* https://app.element.io/#/room/#govnokod:matrix.org (резервный чат)
Примечание: автоматические перекаты в настоящее время осуществляются только с аккаунта nepeKamHblu_nemyx.
Остерегайтесь подделок. Берегите себя и своих близких. Кок!
https://pbs.twimg.com/media/FIl7lJjWQAA36jS.png
https://nitter.fdn.fr/pani_v_zupani/status/1479099316056719360
тчпаде3 ц
ифры/8 какието//////
https://aliexpress.ru/item/1005002056371107.html
https://roskomsvoboda.org/post/facepay-shtrafuyet-v-metro/
Какая желтуха )))
ВЕРНИТЕ ЛИЦО )))
100% пидорашка, винит не себя за ебланство, а "остальных", которые не страдали херней.
> в метро штрафуют
Поучительная история о том, почему не стоит торговать ебалом.
Если вы скажете КОКОКО ЕСТЬ ЖЕ TMUX, то я знаю, что он есть. Это тупое ПРЫЩЕГОВНО, где всё глючит, ломая терминал.
Пользуюсь iterm2 на маке, подключаясь к прыщам.
Тред отсоса прыщеблядей объявляется открытым.
Тогда они утекут.
Я закрыл сессию, и могу ночью срать, и не ворочаться, что у меня там какие-то левые процессы работают.
Про tmux не поенял. Попробуй screen.
Если тебе вот явно нужно сохранить процесс, но есть конечно nohup, но к вопросу отношения не имеет.
Серьезно, я бы не хотел, чтобы мой sudoшнутый psql например висел на сервере, если я случайно отключился. Особливо если на сервере не я один топочусь
https://www.youtube.com/watch?v=ulCajelB6e4
Если отклчился, чтобы он ни висел. А если ноутбук закрыл, то висел. Терминал закрыл - не висел.
Тебе понятен мой юзкейс?
Я работаю на сервере: запускаю команды, запускаю тесты, прочую хуйню. И меня бесит каждый раз писать «ssh guest.pethu.ru» «cd ~/pethu/project» «./kok», теряя контекст. Я хочу оставаться там же, где закрыл ноутбук вчера.
>А если ноутбук закрыл, то висел. Терминал закрыл - не висел.
Если ты закрыл ноутбук, то он отвалился по таймауту. Откуда он знает, закрыл ты ноутбук, или тебя инопланетяне забрали, и ты больше никогда не вернешься?
Настрой ноутбук чтобы он при закрытии не засыпал, а тупо лочился, и ничего не отвалится
Но я совсем не уверен, что на продакшен сервере это хорошо.
А если кто-то спиздил твои креды, и зашел из КНР через секундупосле того, как тебя выкинуло, его тоже пускать в твою сессию?
или вот так: ты принес домой ноутбук, и зашел по ssh. Нужно открывать ту же сессию?
У большинства DE (и даже WM) есть хотки, чтобы при нажатии отдной клавиши открывался терминал, и в нем делалось "ssh petuh@pryshebox", а если пороль от ключа лениво вводить, то запускай при загрузке ssh agent.
https://www.freedesktop.org/software/systemd/man/logind.conf.html
KillUserProcesses
Takes a boolean argument. Configures whether the processes of a user should be killed when the user logs out.
я уже нихуя непонимаю, как прыщи работают
>KillUserProcesses
А нейминг-то какой! Завоняло winApi.
>Note that setting KillUserProcesses=yes will break tools like screen(1) and tmux(1), unless they are moved out of the session scope. See example in systemd-run(1).
Няздец. Раздавите гадину — откажитесь от systemd.
«klusp» нужно было назвать?
enjoy your windowsd
WE DO NOT BREAK USERSPACE это не про современный софт.
Чем система сложнее, тем больше в ней дырок и багов (привет MS).
Потому наиболее "системные" вещи (влияющие на максимальное число мест) должны быть максимально простыми.
Запуск системы это самое что ни на есть первое место в юзерспейсе, и чем оно тупее, железобетонее, примтивнее, легче для понимания даже нубу -- тем лучше.
Хочется пафосной питушни с XMLем или машинным обучением -- ну делайте поверх свою систему.
Но нет, мы хотим кушать говно
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15718
>An unprivileged user can exploit this by executing D-Bus methods that should be restricted to privileged users, in order to change the system's DNS resolver settings.
Ну чисто MS проблема же.
А про screen уже писали...
Я не знаю, почему (он не говорит). Могу предположить, что там говно какое-то с эмуляцией терминала, и надо смотреть на $TERM
А может там просто хотки общие, и кто-то не может в RTFM
https://iterm2.com/documentation-tmux-integration.html
Труд программистов переоценён. Программисты специально выбирают ЯП, сложные для изучения, чтобы показать работодателю/заказчику, как они устают, и выбить повышенную зарплату, хотя могли бы решить задачу на «PHP» в две строчки.
можно использовать ГК для бекапа. Неудаляемые бекапы самый надёжный способ защиты от вирусни, хакеров, и прочей нечисти
Питухи из браузера ходят на адрес https://pethu.ru/ko-kok
Есть логи запросов. Допустим, кроме IP питуха известен его ID.
Адрес этот с Cache-Control с 30 минутами.
Имеется дневной тренд: ночью в среднем на сервер приходят 100 питухов в секунду (нижний экстремум), днём 1000 (верхний экстремум).
Задача: прикинуть сколько придёт питухов в секунду, если отключить кеширование.
Или анскильная лалка
Он хочет, чтобы ты подставил цифирки в волшебную формулу, и сказал: "получится примерно сорок два питуха и еще пол крылышка"
Может быть питух стучит раз в секунду, и это видно будет по логам: он пришёл в 12:00:33 и в 12:30:33. Или раз в сутки - будет 1 запрос за сутки.
0, потому что все кто хотели зайти на сайт уже зашли.
Ты что, СЛИЛСЯ?
С учётом Cache-Control один сферический питух в вакууме не может совершать больше, чем f=1/1800 запросов сквозь кэш в секунду, следовательно, реальных питухов там не меньше чем (1/f)*rate_cached = 180000. А вот сколько запросов они отправляют в кэш выяснить никак нельзя: это может быть любое число от 100 в секунду (от всех питухов) и до бесконечности.
hello boys and girls, my name is Nykita,
I have a small question, I don’t know if this is the right place … but in case … so here is where I can find the software
brute force,
Hydra and Portfuck please I look everywhere but everything I see … have had only viruses or other, so I come to ask for a little help, to pro :wink: LOL tracks I’m interested. to have these software functional.
see you soon and thank you all for your answers see you soon :wink:
Nyki
Error: Server Error
ну положим бывает, а что случилось? это скоро починят или можно идти ставить чаёк?
https://status.bintray.com/
502 Bad Gateway
nginx
ладно.
окей, допустим я не знал, давайте оставим только мавен централ в проекте
> Ctrl + Shift + F "jCenter()"
> No results found
[i.e. это опять прописано даже не в самом нашем проекте, а в одном из company-wide плагинов]
бля когда же это кончится
Бздёвые порты так работали еще тридцать лет нозад
А также, что четвертая сторона, которая опять же, никакого отношения к автору приложения или пользователю не имеет, не решит свой критически важный left-pad удалить. Или насрать туда.
Что до стороны, то в случае портов я ей доверяю. В случае бинтрея -- да, обосрамс вышел
Вообще логично конечно иметь отдельные шаги:
и
Первый качает и кладет все в папку "deps"
Второй пускай падает с ошибок
так?
так-то ".node_modules" получица
У гредлов-мавенов же есть локальный кеш.
Или ты о зависимости на "последнюю версию"?
Наверняка у градла есть какие-то ключи, которые позволят не ходить в удаленные репозитории.
Да только это всё блядь происходит внутри IDEA и ее ебанутой интеграции с градлом (с другой стороны, а как из этой dsl-помойки еще выдирать зависимости?), поэтому у меня вообще никакого контроля, а IDEA не может увидеть зависимости из соседнего модуля (который я только что прописал зависимостью, но IDEA этого не может, потому что не может перезагрузить градловский проект, потому что проблема выше)
Вероятно, Ты обновил проект, а у тебя нету еще там нужново говна.
Ну что я могу сказать?
Если у тебя в конторе еболее трех петухов, то подымите свое зеркало.
У нас есть например, чтобы двадцать петухов и тридцать агентов на CI не качали семь раз в день один и тот же файл на 800 мегабайт
Точно есть. Он просто смотрит не появилось ли чего новее (и в принципе это правильно, только не надо валиться на нормальном хттп-ответе)
> Если у тебя в конторе еболее трех петухов, то подымите свое зеркало.
Оно тоже есть, при чем вроде от того же производителя.
Хохма в том, что билд валится при попытке проверить лишь один из источников, а их несколько
Но там ничего такого. Это какой-то из наших плагинов его тащит, скорее всего тот, который автоматом наш миррор конфигурирует.
Скажи, что govnokod.ru — это сервис-стартап для коллективного code review и security audit.
А еще бывает wget в мейкфайле.
Азазаза ШНОБЕЛЬ азазаза
*звенит звонок, девятый класс возвращается на урок*
> much like later object-oriented languages such as JavaScript whose patterns are known as regular expressions.
Вот так горбатишься, пишешь один из ранних языков, придумываешь абсолютно новые концепты - а тебя сравнивают с «регулярками, известными как паттерны джаваскрипта».
Мир таков, ИМХО, что психически здоровых людей все меньше и меньше вокруг, да я и сам...того, с своми "чебурашками". Просто один раз вот чисто случайно залез в какойто дремучий, забытый форум в дарк нете и там внезапно обнаружил, сообщество людей гдето чисельностью около 10к, которые верят что они "избранные" и с ними говорят "высшие силы/ангелы/рептилоиды/масоны/бог/матрица/архитектор/глава государсва и тд и тп." И они все ждут сигнала что бы исполнить свою цель в жизни, если что форум был ру говорящий, наверное в анг.язычном все намного больше/хуже. И вот как вы думаете...вот они верят в свою избранность/высшую миссию и тут на телефон приходи к примеру, с месенджера пуш с темы порядка "убей первых 3 женщин которых ибо первородный грех изза евы и ты искупишь грехи человечества"...
Так что таки, лично я бы банил такие призывы.
нет первородный грех не изза евы а изза аски
Не трогай, это на новый год.
По какой статье самоизолировался?
Почему оракл и mssql умеют срать на сырой диск, а постгрес не умеет?
Почему прыщи умеют свапить на сырой раздел, а винда не умеет?
Почему прыщи и винда умеют делать fs на разделе, а бздям нужна своя разбивка на слайсы?
Правда ли, что луна сделана из сыра?
От кого река бежит?
Это очень интересно, -
Что в трамвае дребезжит?
Почему скворец поёт?
Почему медведь ревёт?
Почему один в берлоге,
А другой в гнезде живёт?
Это очень интересно, -
Кто деревья посадил?
Кто придумал крокодилу
Это имя Крокодил?
Кто назвал слоном Слона?
Это очень интересно, -
Кто Сазану и Фазану
Дал такие имена?
Это очень интересно -
Поглядеть на муравья,
Это очень интересно, -
Как живёт его семья?
Нелегко живётся ей,
Потому что меньше кошки,
Меньше мухи, меньше мошки,
Всех он меньше, муравей!
Это очень интересно, -
Где ночует стрекоза?
Это очень интересно, -
Почему молчит коза?
Это очень интересно, -
В барабан ли бьёт гроза?
Это, это же чудесно,
Что у всех, у всех детей
И у всех, у всех людей
На лице живут глаза!
Я читал, что для GPT-размеченных дисков происходят какие-то финты ушами, чтобы создать избыточность и контролировать данные, какие-то испорченные сектора перебякивать...
Наверное, сделаю всё-таки GPT-разметочку.
У GPT действительно есть дублирование таблицы разделов (в отличие от MBR). Но это к делу не относится т.к. дублируется только сама таблица, а не твои данные.
Я так и знал, что в интернете обманывают: это же забота файловой системы заниматься дублированием данных, избыточностью и прочими штуками...
данные в каком-то смысле защищают ZFS (именно потому я за солярис) и всякие VSS винды
у MBR она тупая, ее легче поди восстановить
а файлухи же и свои MFT тоже копируют в середину диска
а суперблок кстати копируют?
Да, в каждую группу блоков, номер которой является степенью 3, 5 или 7. Тут вроде даже постили этот алгоритм.
З.Ы. Группа -- это где-то 128 метров.
В принципе, можно вообще ничего не делать и срать бекапом прямо на диск....
У меня реально ниразу не было чтобы диск накрылся, так что не вижу повода тратить на них время.
Все истории про "сломанные диски" скорее всего выдумывают авторы софта для бекапа, чтобы ты их софт покупал. Сам подумай, кому это выгодно
причем, замечу, в подавляющем большинстве они сидят в странах НАТО!!!!
вееам и акронис россияне. Из пиндосных только сёмантек
Арконис это же какая то хуита полная, клон Northon Ghost. Впрочем, как как и обычно в рашке....
--ху я? я рашин ситезен
Ты про "cp"? Он же вроде «бесплатный».
* скачивать (в текущем режиме)
* расшатывать
Если не запрещено к пользованию - пожалуйста, хотя бы формальное описание. Поставьте пользователя в отдельную группу. Или дайте ему команду на открытом режиме, чтобы он проверял собственные ресурсы. Причем, кажется, надо бы предупреждать, что если в последней игре он был достаточно грубым, и чем достовернее его поведение, тем не должно быть упований на помощь. Специальный пользователь, он по чему-то не работает, а игровой общины и очень не нравится, ему достаточно прописать в логах, чтобы кто-то стал смотреть.
После проверки на работоспособность в отдельной группе дадите сообщение, что вы примете меры по сохранению своей приватности и согласитесь с отказом от этой группы. Все остальные пользователи этой группы будут получать ответ, что это не причинена им проблема и не достаточно большой компании.
Справедливым всем результатам этого процесса одиночно отказаться нельзя.
Думаю, очень важным фактором был политический фактор. В Калининградской области мы опирались на политические лидерские факторы, связанные с многочисленными физическими личностями. Недавно об этом нам предложили рассмотреть вопрос связанный с сетью и
Руснявенько
У меня реально ниразу не было чтобы диск накрылся, так что не вижу повода тратить на бэкапы время.
Все истории про "сломанные диски" скорее всего выдумывают авторы софта для бекапа, чтобы ты их софт покупал. Сам подумай, кому это выгодно все напрасно расходовать на софты.
Но даже если реально какой-то отчасти виноват диск, то я не вижу причин для тратить много времени на просмотр какого-то решения, если оно больше двух минут.
А за одно комсомолец штульман откушает говна от гегемона марксизма-ленинизма
А производителям гвоздей совершенно похую, в какие изделия забьют их гвозди.
И только программисты выёбываются, ограничивая в правах тех, кто случайно заметит их сранину.
https://ru.wikipedia.org/wiki/Незаконное_число
https://ru.wikipedia.org/wiki/Незаконное_простое_число
Одно из первых незаконных простых чисел было построено в мае 2001 года Филом Кармоди (англ. Phil Carmody). Его двоичное представление связано со сжатой версией программы на языке С, выполняющей алгоритм дешифрования DeCSS, который может быть использован для обхода защиты от копирования DVD.
Нужно запретить числа
Как они при этом собирались брать бабло с опенсорсного свободно распространяемого ПО - отдельный интересный вопрос.
Вот да, если у проекта неограниченное количество контрибьюторов и неограниченное количество форков, то кто должен платить: каждый контрибьютор и за каждый форк или нужно назначить козла, который платит за всех?
Типичный копроподход же, когда и кодом под ГПЛ попользоваться хочется, и раскрывать свой код не хочется.
Тут возникает вопроы: а под какой лицензией эта библиотека? Исходники к ней есть? Могу ли я эту библиотеку переписать на PHP и ничего при этом не платить?
А зачем? Весь смысл в том, чтобы она была внешним приложением, не имеющим отношения к твоему приложению, чтобы ты мог заявить, что к LZW даже не притрагиваешься, передаёшь всё дальше, а что там у пользователя стоит для жатия, тебя не касается.
Ой, божечки-кошечки, капиталистические отношения!
Но при этом отстать от джонсонов и не юзать гиф никак нельзя, типичный большевизм.
Капитализм разве о том, что можно что-то всем вокруг запретить делать, если ты это типа "первый придумал"?
А то какое-то говно из серии "кто первым встал, того и тапки". И тут конечно же нужно какое-то "государство", которое б выдавало эти говнопатенты и следило за их исполнением. Рыночек такой рыночек.
а потом у нас восемь недокументированных, несовместимых протоколв
Ты три года пилил алгоритм, полысел весь, похудел, кредит в банке брал на еду,а потом его какой-то хуй реверснул, и сделал бесплатную версию.
Не очень-то честно.
С другой стороны "я придумал писать if, и теперь платите мне по триста баксов за каждый if" тоже ебанина
Ну так пусть это финансируют с налогов как фундаментальные научные исследования. Тебе выделяют грант на алгоритм, ты его разрабатываешь, потом он выкладывается в общий доступ и кто угодно может его реализовывать. Не будет тупых ебланских запретов из серии "вы не можете написать такой код потому что кто-то там это когда-то изобрел и запатентовал"
Привет, я Джон, мне двадцать лет, и я кажется придумал интересный алгоритм. Мне нужно миллион долларов и год времени. Дорогой Байден, давай мне скорее грант
Например ты можешь описать свой алгоритм и опубликовать статью, ее там какие-то компютер саентисты проверят, протестят алгоритм и дадут тебе какую-то премию, если алгоритм представляет какую-то ценность
Потом еще десять лет бьются за гранты.
Потом некоторым из них везет их получить.
А что делать прикладникам?
Если "прикладики" никак вообще не могут обойтись без говнопатентов, посредством которых можно всем вокруг запрещать реализовывать алгоритмы, то пошли они вообще нахуй. Пусть в дворники переквалифицируются.
Человеческая цивилиация отлично существовала без патентного права, так что никакой фундаментальной проблемы тут нет. Просто кто-то хочет делать на этом бабло, вот они и педалирует эти говнозаконы.
Я против патентов т.к. это ссаный кривоуебанский уродливый костыль, которым кто-то может кому-то запрещать писать какой-то код.
>вообще нахуй.
ну ты можешь их говном и не пользоваться.
Как-то например Де Раат реализовал какой-то цискин протокол по спеке, а когда циска захотела с него денег, он послал их нахуй, и сделал свой прот -- CARP
Тут жопа в том, что я не могу 100% знать, пользуюсь ли я их говном. Вот например я могу вполне независимо изобрести некий алгоритм сортировки, заюзать его в какой-то программе, но вдруг окажется, что какой-то Хуй-с-Горы его когда-то 5 лет до меня изобрел и запатентовал, он эту сортировку может обнаружить в моей опубликованной под GPLv3 софтине и теоретически он может с меня кучу денег потребовать, хотя я вообще не ебу что это за Хуй-с-Горы, никаких его патентов не читал и вообще пошел он нахуй.
Ну т.е. в целом эта идея патентования - тупое ущербное говно т.к. вынуждает меня тратить время на какую-то ссаную хуйню вроде патентного поскать, типа "а не реализовал ли я случайно некоторую хуйню, которая когда-то кем-то где-то была запатентована".
С другой стороны, я могу взять какую-то тулу, прикрутить его к своему софту, а через пять лет окажется, что там внутри был GPL, и мне какой-то хуй из FSF будет названивать.
GPL тупое ущербное говно т.к. вынуждает меня тратить время на какую-то ссаную хуйню вроде "а позволяет ли мне конкретно эта лицензия ликновать свой код таким-то вот образом". У нас реально для этого юристы сидят.
именно потому я за BSD
Вообще надо придумать такую лицензию, что если в своем коде используешь код под этой лицензией, то тогда ты не имеешь права запрещать кому-то дизассемблировать, декомпилировать и свободно копировать, модифицировать и передавать бинари (исходники выкладывать необязательно). Можно конечно встроить какую-то DRM-защиту, но если кто-то ее взломает, то за это ему нихуя сделать нельзя. Типа ты можешь продавать свои бинарники, можешь не продавать, кто-то их может дизассемблировать, отреверсить, выпустить кряк, переписать это на Си и выложить в гитхаб, и ты нихуя с этим не сделаешь
Можно разрешить только такую лицензию, а все прочие отменить, и посмотреть, что за хуйня из этого получится.
GPLv3. Собственно причина срачика между Линусом и Столлманом.
А то блядь понапридумывали херни какой-то, типа "нельзя декомпилировать, нельзя дизассемблировать кококо надо выкладывать исходники если выкладываешь бинарники, можно линковаться или нельзя линковаться"... нахуй пошли. Какие-то ебаные гандоны понапридумывали каких-то ебаных законов о каком-то ебаном говне, и всем их навязывают, да пошли они нахуй
> запрещают плохие анальные ограничения
Какой большевизм )))
У них — подлые шпионы анальные ограничения.
согласен, но как пофиксить я не знаю.
Тоже самое с любой лицензией.
Тупо, когда мне запрещают перепеть песню певца бесплатно, но так-же тупо ждать, что человек должен забесплатно отдать тебе свои труды.
Это его добрая воля, а не обязанность. Мой софт не бесплатен, например, увы
В качестве промежуточного решения я бы разрешил использовать патентованное говно в некоммерческих целях.
То есть если ты студент или опенсурсер, то используй.
А если ты гугл или банк какой-нить, то плати давай.
Или заплати автору алгоритма 0.5% от прибыли
Вообще деньги лучше брать с тех, у кого их много. И чем больше у них денег -- тем больше их надо брать
> в некоммерческих целях
Академическая схема монетизации на порядок мерзотнее, чем то, что j123123 называет "налогом".
Чтобы её какой-нибудь попов взял и спиздил?
Как видишь, открытость под надзором государя ни хера не решает вопрос пиратства.
> как фундаментальные научные исследования
Тебя и """глобальное потепление""" не разбудило.
да впрочем что тут комментировать-то
микки-маус рвет глаза.жпг
Ну это же кишки какие-то.
Жавухи обычно туда смотреть не должны.
Зачем им думать про кокой-то «алиасинг»?
Это поехавшие деды хуйню какую-то сочинили.
> jawa
Пиздец. Сишка уже и туда пришла?
Вот и хорошо, буду дальше сидеть на ляликсе.
А так типа она нужна?
Недавно нашли уязвимость в принтер спуллере, позволящую получить права SYSTEM удаленному питуху через дырку для подключения шаренных принтеров
Дырка эта идет через именованные каналы, сиречь поверх SMB, через 445 порт, а принтер спулер по умолчанию включен, и доступен с наружи.
Как вообще может существовать операционная система, где:
* нельзя отделить файрволом принтер, шару и половину RPC
* принтер спулер работает от админа
?
Поэтому я за контроллеры - там никакого eBPF нет, и никакого SMB тоже нет
Винда 11 не нужна безотносительно того, какая у него там материнка.
>Rewriting my toy blockchain in Rust
there's nothing about this sentence I don't love
> The nonce is chosen such that the leading bytes of the block hash are zero
--1243234
--Нет, такое число мне не подходит, придумайте другое
Эм, ну классика блокчейнов-с-доказательством-работы же? Тот самый перебор, на который толпы китайских асиков сжигают ресурсы планеты...
Теперь уже казахстанских.
Сложность подписи блока важна для фиксации истории без доверенного центра. Чем больше сил сеть въёбывает на подпись каждого блока, тем сложнее обогнать её и переделать историю.
--нет, в будущем люди будут делать бессмысленные действия ради действия
Мы сейчас про блокчейн или бюрократический аппарат?
а нахуя людям золото, например? Почему не использовать вместо него гусиный помет?
Потому что его легко эмитить, в отличие от золота.
Тоже и с битговном
А по-другому это работать не будет, к сожалению. Иначе в первый же день весь твой блокчейн засрут мусором. Вот такая вот цена децентрализации.
Например? Монеро для детей-серот?
И главное нихуя не продвигает побочно технологию поскольку у прыщепердоликов нет поддержки GPU.
?
У Folding с 2006 есть поддержка GPU (в прыщах как-то раз сломаная, а потом завезенная обратно), а Rosetta вообще на BIONIC работает, который с незапамятных времен в GPU умеет.
> сломаная, а потом завезенная обратно
OpenCL, небось...
Про конкретную прогу не знаю, но в целом куд-куда работает.
Но ссуть в том, что забрать свободное время жпу в фоне, не мешая нормальной работе - задача нетривиальная.
Какой treehugging )))
2016: хахаха, смузи, макбук, джаваскрипт
2021: хахаха, раст, блокчейн
Икон не замечая;
За стол садятся, не молясь
И шапок не снимая.
На первом месте брат большой,
По праву руку брат меньшой,
По леву голубица
Красавица девица.
Крик, хохот, песни, шум и звон,
Разгульное похмелье...
Пир весело бушует,
Лишь девица горюет.
Сидит, молчит, ни ест, ни пьёт
И током слезы точит,
А старший брат свой нож берёт,
Присвистывая точит;
Глядит на девицу-красу,
И вдруг хватает за косу,
Злодей девицу губит,
Ей праву руку рубит.
Раз за патли та ногою – стала баба до двобою
“Я не знала, я не знала” - бідолаха закричала
Сплутаю їй патли, наступлю на ногу
Хто це в синьому халаті скаче в тебе на кроваті?
Раз за патли та ногою – стала баба до двобою
Лясь-лясь по мордасі, щоб не лазила до Васі
Видеру їй патли, поламаю ноги
Підкажи, падруга Ніна, шо зробити з піганіно
Лусь, лусь, розлетілось піганіно, вже нема.
Трах! Бах! Р”яна баба ще й приставку полама!
А тоді взяла сокиру й порубала всю квартиру!
Швидка їде швидко, поліцаї тоже
Так робить не гоже, може хто поможе
У вас с зелеными волосами и кольцом в носу программисты не ходят?
Или лысые как коленка, даже если им двадцать три года?
Чтобы голову не мыть.
Надо пуританку нанять в эйчары чтобы разогнала торгующих в храме труда
> Does having no 'if' blocks in code mitigate side-channel attacks?
Другой вопрос, что есть и другие сайд аттаки. От них я бы советовался защищиться отказавшись от многозадачности.
Если у вас на комптютер е исполняется ровно один поток, и в нем нет ифоф, то сайд эффект ему не страшен
или нет?
К сожалению, некоторые задачи эффективнее решать с помощью компьютера даже не смотря на риски
если у тебя процессор электрически скрипел бы по-разному на каждый бит ключа, то ты смог бы выдернуть этот ключ с помощью микрофона, плевать вообще есть там ифы или нет*
*я уже не помню ни сути, ни конкретного компонента, через который предполагалось уязвимить кампуктер, но какие-то реальные предложения вытягивать информацию через акустику я точно видел
Или нет.
Вообще, страшны ведь не ифы, а зависимость времени/тока/помех от каких-то конфиденциальных данных. В случае со spectre и её компанией -- зависимость времени доступа к кешу от спекулятивно прочитанных процом данных.
А мельдоний тут вообще не в тему, ему на твой код вообще насрать.
Нету ифоф -- нету и спекулятивного исполнения. Правда цикл со счетчиком тоже придется запретить, но ведь это же частный случай ифа
Скорее нету препятствий для него )))
А поводы для отката наспекулированной хуйни и без ифа найдутся -- возврат, к примеру. Или косвенный переход. Их тоже тогда надо запрещать...
Смешались в кучу кони, люди...
В случае с классической side channel атакой на твой код, злоумышленник изучает время, ток и прочие доступные ему величины во время исполнения твоего кода. Поэтому тебе надо не просто убрать if'ы (лолшто), а устранить зависимость времени, тока, обращений к памяти и т.п. от конфиденциальных данных. Т.е., к примеру, нельзя индексировать массивы байтами из ключа (привет, наивный AES из студенческих лаб). И да, контроллеров это тоже касается.
В случае с недавними атаками на интеловский проц, злоумышленник изучает влияние спекулятивно исполняемого кода на кеш. От некоторых версий спектры можно было спастись придержав спекуляцию, но для большинства из этих атак ты, к сожалению, ничего сделать не можешь. Разве что обновить микрокод и/или чистить кеши и прочие аппаратные блоки вилкой при переключении контекста. Ну или вообще не гонять недоверенный код на своём проце, лол.
От атаки по энергопотреблению защититься в общем случае будет крайне проблематично, но это обычно нахер не нужно. Считаю что если защита построена на идее, что в устройстве где-то прошит суперсекретный ключ, который если спиздят, то защите пизда (и мы предполагаем, что пиздить этот ключ могут люди с паяльниками, осциллографами и прочими такими сложными хуевинами, анализируя потребление тока и вызывая направленные сбои в работе чипа, чтоб по косвенной хуйне таки спиздить ключ), то эта защита - говно по определению.
Говорят, их удаётся устранить т.к. они слишком "ровные", особенно если это просто sleep операционки.
Давай конкретику рассмотрим на игрушечном примере. Вот допустим есть программа, которая проверяет пароль. Для простоты будем считать, что пароль всегда из 100 байт состоит, и допустим есть некая зависимость от того, сколько времени проверяется пароль и того, сколько байт в пароле правильно угаданы. Если угаданы все байты, то тогда проверка проходит быстрее всего. Если ни один не угадан - медленнее всего. Ты не хочешь переписывать код так, чтобы он всегда одинаковое количество тактов потреблял, и поэтому ты просто вставляешь задержку вида
И что ты тут будешь устранять?
Можно ещё одно ожидание в начало добавить, наверное. Тогда зависимости времени от данных не будет.
для наглядности, если у тебя цикл занимает плюс-минус 5нс, а проверка IsBukva внутри password_chk 7нс, то ты все равно будешь видеть флуктуации и сможешь отслеживать корректность ввода
теоретически - да, практически - не верю
Ложная предпосылка.
очень надеюсь, что ты сравнгиваешь хеши, а не пароли, всё таки:)
>одинаковое количество тактов потреблял
Почему не сделать это число случайным? Зачем пытаться подогнать то, что на высоконагруженной многопроцессной системе не реального времени вообще очень сложно подогнать?
Вот я спиздил у кербероса сессионный ключ, зашифрованный хешем питуха.
Хеш sha-1-96
Зашифрован AES, если это важно, но наверное не важно.
Я знаю сессионный ключ, так что мне нужно просто найти такой пароль, чтоб его хеш подошел к этому шифру.
Известно, что пароль из восьми символов.
Что мне делать?
Я могу арендовать у AWS всё нужное железо?
Их стоимость, и где преобрести
price 1stk/0,26 €
Без поисковика уже никто и не вспомнит откуда есть пошёл сей мем.
начал его брутить. Считается, что время брута такого пароля превышает время жизни вселенной, но хакеру повезло, и хеш пароля совпал с хешем числа "1".
Могло ли такое быть?
https://www.securitylab.ru/news/472902.php
This password type was introduced around 1992 and it is essentially a 1,000 iteration of MD5 hash with salt. The salt is 4 characters long (32 bits).
10*(1+9)*(1+9) = 1000.
А запятые потом как расставить скобочки в конце?
Ну или по тому же олгоритму
чтобы сломать "whatafuck" понадобица 2 минуты
15 billion years
хуита какая
впрочем они же какое-то govnoware впаривают и больше ничего
Для «123123» и «123123x» возвращаются сильно разные результаты.
Подозреваю, что они проверяют наличие в пароле символов из разных наборов (буквы нижние, буквы верхние, цифры, символы и так далее), что является неплохлой аппроксимацией чистой энтропии (которая на очень коротких данных вроде паролей работает весьма хуёво, я в том году проверял и результаты на ГК публиковал).
Пароли dfgefdte и zxcvbnm, хоть и равны по колву буков, но второй явно хуже.
К сожалению, у них нет словаря для других слов в русской расскладе.
Потому что transilvania будет крякаься столько же, сколько и nhfycbkmdfybz, если ты знаешь, что я русский
Ты бы хоть проскроллил. Очень примитивная поебень.
12345678901
Character Variety: Just Numbers
Possibly a Telephone Number / Date
Именно поэтому, собственно, и возникают правила о том, что в пароле нужно использовать цифру, букву, символ и прочая.
Так что для пароля в 8 символов переход от "только цифры" (10) до "цифры и буквы" просто взрывает количество вариантов
Но проблема хакера-брутфорсера в том, что он не знает точные алфавиты паролей, он может их только угадывать. И вот первый пароль он сможет подобрать, если запустит перебор на алфавите «0123456789», а второй — на алфавите «0123456789» + большие буквы + спецсимволы.
Скажем, он знает, что большиство питухов не использует цифры, и запускает проверку по алфавиту [a-z](insensitive), и только потом добавляет цифры?
Приблизительно так это и работает. Анализируются дампы паролей, требования к паролям на популярных ресурсах и подбираются алфавиты/длины подбираемых паролей, чтобы минимизировать среднее время подбора пароля типичного питуха.
это чудесный прием защиты, да.
Допустим, ты проверяешь пользователя, и если сего нет -- сразу отвечаешь что пароль неверен. А если есть, то идешь в удаленную базу за хешем пароля.
Так вот что бы я не узнал какие пользователи есть, ты делаешь рендомный слип после проверки пользователя дольше, чем время доступа к базе паролей
Рандом нихуя не сделает, потому что достаточно собрать необходимое количество семплов и посмотреть, какие из них выполняются дольше - среднее время "успешных" все равно будет отличаться от "неуспешных". С учетом того, что комплюхтеры сами по себе не будут выполнять такую операцию за постоянное время (шедулер ос, наличие нужных данных/инструкций в кэше цпу, куча разных переменных с разным воздействием на общее время выполнение операции), никто и не будет смотреть на время выполнение отдельных попыток, атака будет сводиться к сбору статистики и сравниванию среднего времени выполнения в зависимости от входных данных. Тебе нужно эмулировать именно недостающее время, и тут-то и начинаются приключения, потому что надо подгонять с точностью до наносекунд и меньше.
Еще раз: слип очень рендомный, он может быть 0, а может быть время_удачной_проверки*10, причем случайность зависит от настоящего источника шума, например
Причем у успешных попыток тоже будет слип
как сломать систему если sleep рэндомен, используется даже для успешных попыток, и время его превышает во много раз время поиска по базе
На большом количестве семплов будет прекрасно видно, что матожидания времени выполнения более длительной операции (сходить в базу) больше, чем матожидание более короткой (сразу дать отлуп).
g: «математическое ожидание».
Реальный пример моделирования:
Результат:
А если мы ломаем систему, как группировать?
А если мы начнем укорачивать слипы у долгой операции, то станет еще хужее
Окей, принято. А может ли эта ваша теория вероятности сказать, сколько таких семплов нужно?
В реальной системе я забаню тебя на сутки на третьей попытке, но всё равно интересно
У тебя есть три случайных величины с каким-то распределением: время успешной операции A, время неуспешной операции B и время твоего слипа C. Если ты сложишь A с C и B с C (== добавил случайный слип в каждую операцию), то матожидание итоговой величины будет равно сумме матожиданий слагаемых: M(A + C) == M(A) + M(C), и именно поэтому можно наблюдать эффект, который я продемонстрировал выше.
Чтобы рассчитать желаемый тобой показатель — тебе нужно найти информацию о распределениях A, B и C, после чего применить очень сильные вореантностные колдунства, чтобы значение N количества шагов алгоритма, после которых вероятность ошибки будет < x. Для этого нужно, во-первых, построить модель эксперимента, а во-вторых — упороться сложными формулами (подозреваю, нужны будут условная вероятность, формула Бернулли и всякое другое по мелочи).
Можно ли эту штуку сформулировать так:
На очень большом количестве повторений слип можно просто сократить, потому что слип от проверки пароля не зависит
Ещё можно так: слип на random.uniform(0, 1000) секунд в среднем заснёт на 500 секунд, поэтому если успешная проверка пароля занимает в среднем 10 секунд, а неуспешная — 2 секунды, то со слипом успешная проверка будет в среднем длиться 510 секунд, а неуспешная — 502.
То есть у нас два варианта:
* "метод j123123" всегда для всех проверок реализовывать одинаковое количество тактов (например, в двадцать раз больше, чем обычно нужно для проверки пароля). Но это не работает если ты не реалтайм небось, и если у тебя там куча задач.
* ограничить число семплов. Банить каждые 3 попытки на пол часа, например.
Появление охулиона записей "пароль неверен" в логах системы должно поставить на уши дежурного админа.
Хотя ботнет на 10К петухов вполне реален, к сожалению.
Даже не нужно быть Bank of America, чтобы тебя такой зверь атаковал
Были же всякие байки, как ддос атакой залочили на сутки все аккаунты в какой-то виндоговносети типа AD, включая доменных админов
Напоминает старый DoS для 802.11 который вроде как должен убедить дурака-админа, что WPA не работает и надо откатиться на WEP.
Но админскую питушню просто нехуй выставлять на всеобщее обозрение. Я за белые списки.
Кстати, от понятия "username" можно вовсе отказаться.
Пускай покажет мне ключ длинной 256 бит, а я по нему пойму, кто он. Юзернейм не нужен.
Но в первую очередь нужно выкинуть на мороз пароли.
Пароль это искуственно урезенный ключ, который должен помещаться в голове у куска мяса. Реально тупое ограничение.
Пароли не нужны.
У компов нет никаких проблем запомнить и набрать пароль из 1024 цифр и букв, а у человека есть
Для безопасного сравнения строк (паролей, хэшей, подписей) обычно используется проход по обеим строкам с выполнением одинаковых действий для каждого символа.
Реальный пример из сорцов «CPython»:
Основная мякотка — в последнем цикле.
А вот на Сетуни можно было бы представить битики секрета в виде пар 1,-1 и -1,1. Операции с ними потребляли бы одинаковый ток, да ещё и компенсировали электромагнитное излучение. Бинарные бляди соснули.
>лол што
ну это же изначально идиотская тема)
Аналог курла в ПШ называется ``Invoke-WebRequest``. Он качает файлы, но страшно медленно.
Я заметил, что он при этом рисует прогресс, где реально указывает кол-во скаченных байт.
Да. Вот я качаю 100 мегабайт в секунду, он 100 миллионов раз обновляет картинку.
Дело в том, что каждый кмдлет может сообшать прогресс, и ПШ его показывает.
отключается это на уровне пыша так:
https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_preference_variables?view=powershe ll-5.1#progresspreference
и скорость стала нормальной.
То есть автор тулы для скачки говна из Интернета прекрасно знал, что высирая прогресс он ставит ее раком, но ему было похцуй
«FAR» в винконсоли у меня обновлял информацию мгновенно.
"Wildberries" при входе требует только код с СМС для входа.
Выходит, зная номер телефона, можно с вероятностью 1/10000 зайти в чужой аккаунт?
Охуеть.
В массиве в памяти у тебя случайный стоит O(1).
На внешнем носителе он может и O(N) стоить, и даже наверное дороже, если кассету вон мотать надо.
Потому сортировки не все подходят.
Боюсь, начальство будет мешать, если им озвучить такую длительность сортировки.
Правда я время на отмотку обратно тоже не учёл...
Какая ферма́ )))
Мне казалось, что в английском вопрос должен начинаться с вопросительного слова либо с глагола, причём вместо большинства глаголов используется «do». Например, «do you like...»
Я чего-то не знаю?
If (x), then (y) → (x)? (y).
Я лингвист не настоящий, но мне кажется, что в данном случае это tag question с оторванным tag.
Kind sir, if you won't listen to my humble request to stop using such language, unbecoming of fine gentleman, I will regretfully have to resort to more physical way of convincing yourself to cease these vile acts of profanity.
|
V
Talk shit? Get hit.
Поэтому я за Арканум.
Так что сейчас это не только ВК. Хотя мы не знаем, что имели в виду опрошенные.
Самое печальное, что у нас всё необходимое работать будет... Вот и доказывай потом, зачем тебе "интернет" понадобился, а не локалочка внутри страны.
Только если у тебя деньги не на карточке какого-нибудь банка не из рашки. И если ты не хочешь покупать какую-нибудь хрень, которая за пределами рашколокалочки (типа игр в стиме)
На самом деле, если ты не знаешь, что по ту сторону фаервола есть какие-то там "3д игры", то и программируемый калькулятор с листочком бумаги сойдёт.
Будущие поколения даже не будут задумываться, что когда-то интернет был глобальным и в нём можно было искать и постить всё что угодно без регистрации и смс.
88.198.0.0/16 — это AS24940, принадлежащая Hetzner Online GmbH:
https://bgp.he.net/ip/88.198.230.37
Нёрд пользуется dig, а ламер nslookup:)
Найдешь SPF, DMARC или KDC?
Да, в моих выкладках у них тоже были сомнения, потому что об этом не рассказывали в РТ.
http://88.198.230.37/
Картинки, CSS, JS не грузятся.
https://88.198.230.37/
Соединение не защищено. Если проигнорировать невалидность сертификата для айпишника, всё грузится.
И он совместим с СОРМ?
СОРМу как раз он заебись, потому что сессионные ключи для двух любых питухов генерятся на KDC.
Так ты сможешь попасть в офисную сеть, и увидеть керберос.
В принципе, он есть в любой сети, где есть AD. А значит любой ООО "Вектор" где более двух сотрудников тебе тоже подойдет
https://i.postimg.cc/TwZDN65Y/image.png
NetBIOS позволял:
* найти компьютер по имени (теперь это делает DNS)
* найти контроллер домена (теперь это делает DNS). На самом деле контрорллер это просто спец имя.
* получить список комптютеров (теперь это делает мультикаст говно типа WSD). На самом деле надо было сначала найти браузер, а это тоже спец имя
* запустить поверх себя SMB (теперь это делает SMB Direct: 445 порт)
NetBIOS-то тоже не нужен, между нами девочками.
Правда, работает она только внутри сети. Снаружи есть проблема курицы и ица, и там все еще царствует NTLM.
У хорошево админа NTML только v2, и только на одном сервере для "входа" в сеть
Kerberos и в прыщах отлично работает, кстати. Есть PAM для него, есть керберосные telnet, модуль для апача итд
у нормальных был бы 301 на https с доменом.
алсьо, hsts preload нет
https://hstspreload.org/?domain=sdelanounas.ru
В SPF очень забавная маска. Видимо кто-то запомнил "видишь маску -- пиши 24"
https://mxtoolbox.com/SuperTool.aspx?action=spf%3asdelanounas. ru&run=toolpage
DKIM поди воще нет (не проверял)
наружу торчит 8181 http://88.198.230.37:8181/
торчит dns (зачем?)
ssh торчит без ключа
в MX прописан этот хост, и yandex, то порт 25 закрыт.
Видимо, шлют они с сервера (иначе SPF бы все сломал) а получают на яндекс. Нахрен тогда mx указывать на закрытый порт? чтобы почта дольше
шла?
21 December 2021
116k full reads
Это первый лайнер за более чем полвека, заходя в салон которого, вы будете точно знать, что находитесь именно в МС-21, а не в Аэрбас или Боинг.
а что, это настолько очевидно, что предыдущие полвека я не находился в мс-21?
Но и это еще не всё. Посмотрите на следующий кадр
Чемодан поместился на полку поперек. И она закрывается при этом!
Я даже хуй знает.
Испытания новейшего многоцелевого веб-сервиса вступают в активную фазу: как стало известно, приложение запросило у операционки порт.
Это можно считать прологом к полноценной первой обработке запроса, намеченной на этот январь в датацентре Уктус в Свердловской области.
*этот январь- это месяц, от которого остался десяток дней и еще немношк
если это непубличная запись, то почему я её вижу?
На площадке по сооружению Курской АЭС-2 выполнен годовой план по укладке песка
https://pbs.twimg.com/media/FJTI_tRXMAMXn5E.jpg
https://govnokod.ru/27960
https://govnokod.xyz/_27960/