Evil Martians

22 March 2018 11:05

Распознование лица в Вебе с веб-камеры, чтобы прятать данные, пока пользователь не смотрит. Конечно, безопасность даст только как второй метод защиты (вначале все равно вводить пароль).

http://amp.gs/fUBf

Evil Martians

26 January 2018 16:34

Команда Appfolio попыталась измерить, насколько на самом деле заплатка для Metldown замедляет Ruby on Rails приложения.

Ненамного (0-5%). http://engineering.appfolio.com/appfolio-engineering/2018/1/4/rails-ruby-bench-cruby-and-meltdownspectre

Evil Martians

25 January 2018 10:48

Хорошие новости для веб-разработчиков: в iOS 11.3 и macOS 10.13.4 наконец появится поддержка Service Workers. Еще iOS 11.3 будет смотреть на Web App Manifest при добавлении страниц на домашний экран.

Evil Martians

23 January 2018 15:20

Отличный обзор нюансов, которые могут возникнуть при миграции с ActionCable на AnyCable http://amp.gs/G0OP

P.S. Для тех, кто задался вопросом «А что еще за AnyCable такой?», напоминательная ссылка: http://amp.gs/G0Oy

Evil Martians

22 January 2018 09:35

Обнаружен rbspy, изумительный семплирующий профайлер для Ruby.

https://github.com/rbspy/rbspy

Главная фишка — способность подключаться к уже работающему процессу без необходимости что-то в нем запускать (как с rbtrace). Написан на rust.

Нам очень нравится, уже помог поймать кое-что.

Подробно тут: https://jvns.ca/blog/2016/06/12/a-weird-system-call-process-vm-readv/

Evil Martians

18 January 2018 19:05

Продолжаем про языки программирования: анонсирован вариант бейсика для Nintendo Switch (писать можно прямо на свитче):

https://www.fuze.co.uk/nintendo-switch.html

Evil Martians

11 January 2018 21:22

Stack Overflow подвели статистику жизненного цикла JavaScript-фреймворков и их выживаемости

https://stackoverflow.blog/2018/01/11/brutal-lifecycle-javascript-frameworks

Теперь спорить о том, сколько раз в год нужно все переписать, можно с фактами.

Evil Martians

09 January 2018 14:35

Смотрите доклад Алексея Иванова с #FrontFest: React и данные: Эффективные способы хранения и изменения стейта

https://www.youtube.com/watch?v=6m950Hqr_eI

Evil Martians

08 January 2018 04:34

Для того, чтобы участилось дыхание, совсем не нужно читать про Meltdown и Spectre. Можно почитать про npm и угон паролей и карт https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5

Evil Martians

06 January 2018 16:53

Есть еще замеры производительности «фикса» Meltdown из реального мира.

Сетевые сервисы Epic Games: https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update

antirez, автор Redis: https://gist.github.com/antirez/9e716670f76133ec81cb24036f86ee95

Evil Martians

04 January 2018 20:11

AMD, судя по всему, не затронуты первой уязвимостью

https://github.com/torvalds/linux/commit/00a5ae218d57741088068799b810416ac249a9ce#diff-678874d00bf0df04f6f427f16f1dea36R926

Хоть что-то.

Evil Martians

04 January 2018 14:08

Добро пожаловать в ад!

# Что

https://meltdownattack.com/

Meltdown / Spectre, худшие уязвимости ИТ за последние годы. Heartbleed и Krack по сравнению с ними — детский сад.

Из-за Meltdown обычный процесс может шариться во всей оперативной памяти — например, чтобы вытащить пароли или любые другие интересные данные. Подвержены все десктопные процессоры за последние десять лет, включая, судя по всему, и AMD.

Фиксить придется в операционных системах, в браузерах, словом — везде. Эксплойты есть даже на JavaScript (!).

Spectre же можно эксплуатировать вообще примерно везде, простого фикса нет и не предвидится.

Переводить детали уязвимостей не буду: кому интересно, прочитает и разберется по-английски, а кому нет — так и не надо.

# Подробнее и история

Сайт про уязвимости, с моднейшими логотипами и названиями как из фильмов про хакеров, все как полагается:
https://meltdownattack.com/

Подробнейшее описание от обнаруживших проблемы, Google Project Zero (ссылайтесь в будущем на него, а не на рандомные статьи «о господи, все пропало»)
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

И JavaScript тоже:
https://twitter.com/mraleph/status/948683329359970304
https://twitter.com/migueldeicaza/status/948715833605459969

AMD поспешили заявить, что проблема в Intel (на этом фоне акции Intel упали и началась истерика). Оказывается, черта с два:
https://twitter.com/internetofshit/status/948684798570188806

Подробное и простое описание уязвимости от @FioraAeterna, инженера компиляторов и «твиттер-знаменитости»:
https://twitter.com/FioraAeterna/status/948684092333158400

Что делают команды ОС, чтобы хоть что-то заштопать:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf
https://twitter.com/aionescu/status/948818841747955713

Более-менее объяснение ситуации по-русски:
http://www.opennet.ru/opennews/art.shtml?num=47849

# И что теперь

Активно можно сделать мало что — просто накатывать обновления по мере выхода.

На уязвимость какую-то время было эмбарго, в результате которого в самых последних версиях macOS и Windows уязвимость уже немного заштопана. Amazon AWS и Azure тоже обновились.

К сожалению, от фикса все начинает работать медленнее. Я несколько не доверяю оценке в «фикс делает все на 30% медленнее», которую растиражиловали СМИ (хайп, истерика, о чем бы еще написать), кто-то даже придумал 50%, но вот есть тред от пользователей AWS, где видно, насколько все медленее:
https://twitter.com/internetofshit/status/948682685601509377
https://twitter.com/timgostony/status/948682862844248065

И, конечно, браузеры тоже подвержены проблеме: существует эксплоит аж из JavaScript.

# Что делать

Обязательно включить везде автообновления, в первую очередь на ОС и браузерах.

Придется обновиться на самые последние версии ОС. На старых версиях macOS отсидеться не получится, теперь действительно нужно обновляться на High Sierra.

Браузеры нужно обновить как только так сразу, однозначно есть уязвимость и в Google Chrome (хваленая изоляция не помогла), и в Firefox.

Часть облачных провайдеров уже обновилась, часть еще нет. В любом случае нужно ждать новых ядер для вашего дистрибутива и мгновенно обновляться. В январе ваши администраторы устроят вам перезагрузки серверов — если они не в спячке.

Все очень плохо, и масштаб проблемы (так же как и оценки того, мог ли ее кто-то эксплуатировать раньше) еще предстоит выяснить.

Evil Martians

30 December 2017 12:13

И новогодний подарок от Basecamp, ex-37 signals: JavaScript-фреймворк Stimulus

https://github.com/stimulusjs/stimulus

По задумке это анти-фреймворк, который работает с Turbolinks и не заменяет фронтенд целиком. Все, как любят в Basecamp.

Evil Martians

28 December 2017 11:05

Лучший pull request 2017 года
http://amp.gs/GIb1

Evil Martians

25 December 2017 12:04

Как всегда, под католическое Рождество, вышла новая версия Ruby

https://www.ruby-lang.org/en/news/2017/12/25/ruby-2-5-0-released/

Из нового — очередное усложнение синтаксиса, интересный yield_self для чейнинга и много небольших улучшений.

Не вздумайте обновляться перед праздниками (как и деплоить новые версии своих проектов, вообще).

Evil Martians

28 January 2018 10:40

Симуляция активности в консоли. Очередная вариация на тему «как прикинуться, что инженер чем-то занят».

https://github.com/svenstaro/genact

Но теперь на расте, потому что все нужно переписывать на расте же.

Evil Martians

25 January 2018 14:31

Масштабируемость, отказоустойчивость, надёжность – хотите знать о них больше? Тогда обратите внимание на эту замечательную подборку материалов http://amp.gs/G22o

Evil Martians

23 January 2018 20:05

А "Skyfall/Solace" атаки на деле оказались не очень умной шуткой

http://blog.erratasec.com/2018/01/skyfall-attack-was-attention-seeking.html

Evil Martians

23 January 2018 09:01

Крутая идея, как улучшить читаемость Web Workers
http://amp.gs/GJ05

Evil Martians

18 January 2018 19:09

На Meltdown проблемы не заканчиваются, анонсирована еще парочка с красивым названием (пока без деталей), будем следить за сайтом

https://skyfallattack.com/

Evil Martians

15 January 2018 13:28

Курсовая работа по ANSI графике и связанной субкультуре.

https://spectrum.library.concordia.ca/7341/1/Hargadon_MA_S2011.pdf

Для тех, кто помоложе: это цветная псевдографика, которая вовсю использовалась при оформлении BBSок, в хакерзинах и многих других интересных местах — когда вместо интернета был модем на 56K и дозвон до BBSок и нод.

Evil Martians

09 January 2018 15:31

Cursive — консольная оконная библиотека для Rust. Больше олдскула

https://github.com/gyscos/Cursive

Evil Martians

08 January 2018 11:35

Правительство Великобритании выпустило исходный код gov.uk, который многими считается образцовым государственным порталом.

Ссылка: http://amp.gs/GfgK

Очень много Ruby, очень много JS и Python.

Evil Martians

06 January 2018 22:18

У JavaScriptеров опять праздник, leftpad 2018. Не вздумайте пока обновлять npm и yarn.

https://github.com/npm/registry/issues/255

https://status.npmjs.org/incidents/41zfb8qpvrdj

Evil Martians

05 January 2018 11:53

Программист из Великобритании упоролся и сделал возможность стримить рабочий стол Linux (X) через SSH в текстовом виде

https://github.com/tombh/texttop

Оправдывается тем, что так проще в путешествиях с плохой связью ходить по Интернету

https://camo.githubusercontent.com/632c0f3d4d2aeb65162ab501bcec53fe6363db15/68747470733a2f2f692e696d6775722e636f6d2f6a583376684f342e676966

Evil Martians

04 January 2018 17:45

В LLVM (инфраструктура компиляторов, которой пользуется примерно все на macOS и iOS) появился патч для устранения части уязвимости Spectre. В треде на Hacker News — ссылка на патч и много интересных комментариев про то, что нас ждет в связи с уязвимостью

https://news.ycombinator.com/item?id=16070050

Evil Martians

03 January 2018 13:36

https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/ с Новым Годом!

Evil Martians

29 December 2017 15:50

Вот список из десяти новых СУБД, которые вышли в уходящем году peterc/a-look-at-ten-new-database-systems-released-in-2017-94a3aa4c2aab" rel="nofollow">https://medium.com/@peterc/a-look-at-ten-new-database-systems-released-in-2017-94a3aa4c2aab

Evil Martians

27 December 2017 11:20

Также из хороших новостей для рубистов — MJIT для Ruby, про который мы уже писали (JIT для MRI, разрабатывается для проекта 3×3) уже почти вмержен в Ruby и можно ожидать его в 2.6 релизах

http://amp.gs/nbjF

Evil Martians

23 December 2017 12:40

Этим субботним утром хотим вас порадовать оффтопиком про Телеграм.

У Телеграма теперь есть два официальных клиента под iOS — один обычный Telegram, другой Telegram X (https://itunes.apple.com/ru/app/telegram-x/id898228810?mt=8), переписанный на Swift с добавленными красивыми темами, но без приложения к часам, например. Официальные — оба. Обновляются — оба.

Напомним, что параллельно у Телеграма есть два официальных (!) клиента для macOS: мультиплатформа Telegram Desktop https://desktop.telegram.org/ и Telegram для Mac https://macos.telegram.org/. Официальные — оба. Обновляются — оба.

Ждем третьего клиента под каждую платформу, пока слишком просто.