Как стать автором
Обновить

Моя лента

Тип публикации
Порог рейтинга
Уровень сложности
Предупреждение
Войдите или зарегистрируйтесь, чтобы настроить фильтры
Статья

Security Week 2508: уязвимости встроенного архиватора Windows

Время на прочтение3 мин
Количество просмотров249
В октябре 2023 года в Microsoft Windows была добавлена поддержка 11 форматов сжатия данных. Операционная система, долгое время нативно поддерживающая только архивы .zip, научилась разархивировать файлы в формате RAR, 7z и прочих. Реализовано это было с помощью библиотеки libarchive, которая распространяется с открытым исходным кодом. Исследователи из команды DEVCORE проанализировали эту относительно свежую функциональность и обнаружили пару новых уязвимостей.



Первая уязвимость (CVE-2024-26185), которую удалось обнаружить исследователям, относится к классу Path Traversal. Это крайне распространенная ошибка, при которой «подготовленный» архив получается сохранить не во временную директорию и не куда указал пользователь, а куда угодно. Достигается это манипуляциями с абсолютным путем к файлу в архиве, которые недостаточно хорошо фильтруются при распаковке. В результате получается то, что изображено на скриншоте: при распаковке архива RAR-файл сохраняется в произвольное место в системе, в данном случае в корневую директорию.
Читать дальше →

Новости

Новость

DeepSeek удивляет мир AI моделями, работающими с меньшими затратами, чем у конкурентов

Время на прочтение2 мин
Количество просмотров458

DeepSeek производит настоящую революцию в индустрии AI, предлагая экономичные крупные языковые модели, которые, по утверждениям компании, могут конкурировать с решениями таких гигантов, как OpenAI и Meta. Китайский стартап утверждает, что его флагманская модель рассуждений R1 демонстрирует «производительность, сопоставимую» с аналогичной моделью от OpenAI, а недавно выпущенная многомодальная модель Janus Pro якобы превосходит такие системы, как Stable Diffusion и DALL-E 3.

Читать далее
Пост

Почему нам нужна смелость и безрассудство

После того как человек сталкивается с какой-то критической ситуацией, где его технические или организационные решения привели к проблеме, которая стоила команде много времени и сил на устранение, он может словить антипаттерн: «Замороженный троглодит».

Этот антипаттерн заключается в том, что человек начинает действовать слишком осторожно и закладывает в свои решения слишком много негативных кейсов и нештатных ситуаций.

Например, мы не можем выкатить этот MVP, потому что у нас нет роллбеков для клиентов, которые случайно пройдут регистрацию из страны, для которой у нас не настроен шардинг. Даже если вероятность этого крайне мала, а компенсационные действия в ручном режиме занимают четверть часа, человек всё равно будет препятствовать релизу и запрашивать доработки на то, что не требуется на уровне MVP.

Или когда отдел продукта просит выкатить какой-то новый функционал, который в целом ОК, но без тщательного регресса, который может сорвать запланированные активности, человек боится давать добро, хотя все бизнес-кейсы проверены, остаётся лишь место неожиданности.

То есть получается, обжегшись однажды, человек пытается не допустить появления этого риска там, где его появление граничит с фантастикой, либо не представляет собой большой проблемы.

Чтобы преодолеть появление этого антипаттерна, необходимо:

  1. Снизить значимость ошибки. То есть если все регламенты выполнены, задача прошла тестирование, но при выкатке случилась какая-то проблема, то окей — это допустимый риск, с которым мы готовы работать. Это не повод вызывать команду и отчитывать её за ошибку.

  2. Проговаривать значимые риски. Если вы соглашаетесь делать работу, которая может вызывать проблему, то проговорите три-четыре самых крупных риска и регламент компенсационных работ. Если после разговора не возникает ощущение, что это слишком опасно, — вперёд!

  3. Поощрять смелость. В большинстве случаев гораздо быстрее и эффективнее выкатить какую-то правку, собрать логи и откатить её обратно, чем тормозить разработку и решать проблемы, которых никогда не будет.

  4. Решение нетипичных ситуаций — тоже опыт. Когда человек поймёт две-три ситуации, когда нужно было разбираться с кодом, который как-то неправильно работает на продакшене, то в четвёртый раз он уже без стресса сможет оперативно решить проблему, ведь он будет к этому готов.

Но к чему геройство…

После прочтения этих рекомендаций вы можете спросить: зачем столько рисков, когда можно сделать всё правильно? Современная разработка подразумевает непрерывное тестирование гипотез, когда победителем чаще всего оказывается не тот, кто сделал правильно, а тот, кто сделал быстро и так, как это нужно клиенту. И нет лучшего способа доставлять инкременты максимально быстро, как действовать смело и иногда даже безрассудно.

Теги:
+1
Комментарии0
Новость

Редакция The New York Times начнёт обучение сотрудников работе с AI в 2025 году

Время на прочтение2 мин
Количество просмотров146

he New York Times якобы одобрил использование инструментов AI в своей редакции для таких задач, как редактирование текста, суммирование информации, программирование и написание материалов. Издание сообщило своим сотрудникам по внутренней почте, что команды редакторов и продакшн-отдела пройдут обучение по использованию AI. Также был представлен новый инструмент AI под названием Echo, который поможет в суммировании статей, брифингов и другой деятельности компании.

Читать далее
Статья

Как человеческий мозг справляется с таким странным понятием, как ноль

Уровень сложностиПростой
Время на прочтение9 мин
Количество просмотров779

Около 2 500 лет назад вавилонские торговцы в Месопотамии впечатали в глиняные таблички два наклонных клинышка. Эти фигуры представляли собой цифру-заместитель, втиснутую между другими цифрами, исключительно с целью различать такие числа, как 50, 505 и 5 005. Так родилась элементарная версия понятия «ноль».

Сотни лет спустя, в Индии седьмого века, ноль приобрёл новое обличье. Перестав быть символом, цифра приобрела значение и заняла своё место на числовой прямой, встав перед 1. Его изобретение послужило толчком к историческому прогрессу в науке и технике. Из нуля возникли законы Вселенной, теория чисел и современная математика.

«Многие математики считают ноль одним из величайших достижений человечества, а может быть, и самым великим», — говорит нейробиолог Андреас Нидер, изучающий интеллект животных и человека в Тюбингенском университете в Германии. «Прошла целая вечность, прежде чем математики наконец изобрели такое число, как ноль».

Читать далее
Статья

Apple Pro Weekly News (10.02 – 16.02.25)

Время на прочтение11 мин
Количество просмотров197

Внезапный анонс Apple Launch на 19 февраля – что могут показать? Представлены PowerBeats Pro 2, приложение Apple TV для Android, Pixelmator теперь в Apple, а в Китае определились с базой для Apple Intelligence. Что будет в visionOS 2.4, а чего на iOS придётся подождать? Известны подробности о новом Studio Display – начинайте копить, а ещё множество слухов про дизайн блока камер iPhone 17 и многое другое. Немного новостей из App Store и не только, погнали!

Перейти к новостям
Новость

В спектакле «Робот, шпион и любовь к ИИ» дебютировала китайская робот-собака Unitree Go2

Время на прочтение2 мин
Количество просмотров258

В США состоялась премьера спектакля «Робот, шпион и любовь к ИИ» драматурга Джона Артура Лонга, в котором дебютировала китайская бионическая робот-собака Unitree Go2, играющая одну из основных ролей.

Читать далее
Статья

Game++. run, thread, run…

Уровень сложностиПростой
Время на прочтение33 мин
Количество просмотров491

Разрабатывая свою игру, движок или фреймворк, вы в любом случае столкнетесь с необходимостью реализации системы загрузки ресурсов, выполнения задач вне основного цикла игры, вынесения различных подсистем (звук, рендер, физика, эффекты) в отдельные потоки, чтобы снизить время подготовки кадра и улучшить общую производительность. Будучи классическим программистом, вы, наверное, знаете о проблемах реализации многопоточности, использовании блокировок и алгоритмов, которые основаны на блокировках.

В обычном программировании с блокировками, когда возникает необходимость пошарить данные, приходится использовать механизмы сериализации доступа к таким данным, чтобы операции, выполняющие работу с такими данными, были ограничены от одновременного вмешательства со стороны других потоков и возможности их поломать. В прямом смысле поломать. Даже такая простая операция, как ++count, где count имеет тип integer, требует блокировки, поскольку операция инкремента в общем случае представляет собой трехшаговую операцию (чтение, модификация, запись), которая не является атомарной. Про что-то более сложное и длительное я уже и не говорю.

За кажущейся простотой скрывается множество граблей и ловушек: взаимные блокировки (deadlock), «голодание» потоков, асинхронные ошибки. Это похоже на попытку дирижировать оркестром, где музыканты игнорируют ритм. Проще говоря, любые действия над данными могут привести к проблемам, и чтобы этого не происходило, операции над данными должны быть атомарными, это решается вводом в код примитивов синхронизации, вроде мьютексов, семафоров, спинлоков.

Первая хорошая сторона программирования с блокировками состоит в том, что пока ресурс заблокирован, никакая другая логика не может вмешаться. Вторая хорошая сторона — люди прекрасно понимают, читают и работают с таким кодом, потому что он хорошо вписывается в "естественное" понимание устройства мира. А вот дальше начинаются проблемы...

Читать далее
Статья

Илон Маск объявил дату выхода Grok-3 и подробности

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров1.9K

Илон Маск официально объявил дату выхода Grok 3, новейшей версии чатбота от xAI. Названный «самым умным ИИ на земле», Grok 3 будет запущен сегодня (17 февраля 2025 года) в 8 часов вечера по тихоокеанскому времени с демонстрацией в прямом эфире.

Маск сделал объявление на канале X, подчеркнув его превосходные способности к рассуждениям. Этот релиз позиционирует Grok 3 как прямого конкурента ChatGPT от OpenAI, DeepSeek R-1, Gemini от Google и Claude от Anthropic.

Читать далее
Пост

Часто в разных скриптах, обрабатывающих серверные TLS-сертификаты, - скажем, для мониторинга, - в качестве источника "целевого" имени при выборе сертификата используется содержание Subject/CN (commonName). Предполагается, что в Subject/CN должно быть доменное имя. Вот типичный пример:

$ openssl x509 -in disruptive.pem -subject -noout -nameopt multiline | awk -F' = ' '/commonName/ {print $2}'
disrupted.zone

Однако, если речь про сертификаты для TLS в современном вебе и про имена, то полагаться тут на Subject нельзя. Нужно использовать другой фрагмент сертификата, а именно - расширение SAN (Subject Alternative Name).

Для извлечения расширения SAN при помощи OpenSSL x509 нужно использовать опцию -ext subjectAltName. Выдача состоит из списка, где каждому значимому элементу соотвествует префикс, обозначающий тип. DNS-имена OpenSSL выводит с префиксом "DNS" (кто бы мог подумать!). Пример:

$ openssl x509 -in google-com.cert.pem -noout -ext subjectAltName
X509v3 Subject Alternative Name: 
    DNS:*.google.com, DNS:*.appengine.google.com
[...]

Кроме "DNS" могут встретиться другие префиксы, обозначающие IP-адреса и т.д. Однако для обработки имён - нужны имена, то есть "DNS". Скрипт, конечно, несколько усложнится. Пример:

$ openssl x509 -in google-com.cert.pem -noout -ext subjectAltName \
> | awk 'NR>1{split($0,A,",");for(k in A){split(A[k],B,":"); if(B[1]~/DNS/){print B[2]}}}' \
> | wc -l
135

Причина использования SAN в том, что имя из поля Subject/CN оконечного (серверного) сертификата браузеры давно не используют в качестве идентификатора при валидации. А чтобы валидация сертификата для веб-узла прошла успешно (в браузере), необходимо наличие подходящего имени в SAN. Более того, современные требования для УЦ по выпуску TLS-сертификатов ("документы CA/B-форума") прямо не рекомендуют использование поля commonName в Subject оконечных сертификатов для веб-узлов. Это значит, что доменного имени в Subject может просто не оказаться, но сертификат (при прочих равных) будет валидным для браузера.

Теги:
+3
Комментарии0
Новость

Replit и Anthropic помогут сократить глобальный дефицит разработчиков к 2025 году

Время на прочтение3 мин
Количество просмотров1.5K

Replit превратил нетехнических сотрудников Zillow в разработчиков. Теперь крупнейшая в мире компания по продаже недвижимости направляет более 100 000 покупателей к агентам с помощью приложений, созданных сотрудниками, которые никогда не писали код.

Читать далее
Статья

Контрабанда данных внутри эмодзи

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров1.1K

Меня заинтриговал комментарий GuB-42 на Hacker News:

При помощи последовательностей ZWJ (Zero Width Joiner) теоретически можно закодировать в один эмодзи неограниченный объём данных.

Действительно ли можно закодировать в один эмодзи произвольные данные?

tl;dr: да, однако я нашёл решение и без ZWJ. На самом деле, можно закодировать данные в любой символ Unicode. Например, в этом предложении есть скрытое послание: This sentence has a hidden message󠅟󠅘󠄐󠅝󠅩󠄜󠄐󠅩󠅟󠅥󠄐󠅖󠅟󠅥󠅞󠅔󠄐󠅤󠅘󠅕󠄐󠅘󠅙󠅔󠅔󠅕󠅞󠄐󠅝󠅕󠅣󠅣󠅑󠅗󠅕󠄐󠅙󠅞󠄐󠅤󠅘󠅕󠄐󠅤󠅕󠅨󠅤󠄑. (Попробуйте вставить его в декодер.)

Читать далее
Статья

Проверка IFC моделей по требованиям IDS

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров177

В сфере строительного проектирования все больше места занимают технологии информационного моделирования (ТИМ). главным форматом обмена данных в ТИМ является формат IFC. Модели в этом формате требуют как коммерческие заказчики, так и государственная экспертиза.

Работа с собственными форматами программных решений для информационного моделирования (такими как RVT) обычно не вызывает затруднений благодаря широкому функционалу, предоставляемому разработчиками программного обеспечения. Однако формат IFC часто вызывает вопросы из-за нехватки специализированных инструментов и знаний.

Одним из таких вопросов является создание чётко сформулированных требований к моделям IFC и последующая их проверка на соответствие этим требованиям.

В этой статье будет подробно рассмотрен данный вопрос. В качестве инструментов будут использованы формат IDS и библиотека ifcopenshell а также предложено готовое решения для валидации моделей IFC на основе этих инструментов.

Кроме того, статья включает пошаговую инструкцию по созданию спецификаций IDS и автоматизацию процесса проверки IFC-моделей. Для удобства читателей представлены полезные ссылки и готовый исходный код программы.

Читать далее

Ближайшие события

Новость

ТОП-5 ИБ-событий недели по версии Jet CSIRT

Время на прочтение3 мин
Количество просмотров199

Сегодня в ТОП-5 — PatchTuesday от компании Microsoft, Palo Alto устранила уязвимость обхода аутентификации в PAN-OS, Ivanti исправила три критические уязвимости, RCE в Архиваторе WinZip, Apple исправила zero-day эксплойт.

Читать далее
Новость

Угроза безопасности: как злоумышленники могут манипулировать AI-агентами

Время на прочтение3 мин
Количество просмотров455

Новое исследование показывает, что AI-агенты с доступом в Интернет уязвимы для простых тактик манипулирования. Злоумышленники могут обманом заставить эти системы раскрывать личную информацию, загружать вредоносные файлы и отправлять мошеннические электронные письма — и всё это без каких-либо специальных знаний в области AI или программирования.

Читать далее
Статья

От «кошмара» до «вау»: как готовить крутые презентации

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров699

На той неделе мне внезапно написала бывшая коллега. «Дим, ты же вроде шаришь, как делать презентации? Можешь посоветовать почитать, посмотреть, поизучать что-то. А то мне тут такуууую обратную связь дали…. Сказали, что такого отстоя (тут заменяю невинным синонимом) давно не видели…» Не буду пересказывать весь наш диалог, но в итоге я попросил прислать слайдики, чтобы оценить масштаб трагедии. Я бы, конечно, выбрал менее жесткие слова для критики, но впечатление у меня было ровно такое же, как и у аудитории.

Дело было даже не в качестве слайдов, цветах, шрифтах, ошибках и цифрах, смотреть на которые надо под микроскопом (хотя все это естественно вызывает отторжение). Проблема заключалась совершенно в другом ...

За почти 14 лет карьеры, в ходе которой мне часто приходилось выступать перед самой разной аудиторией, а также смотреть и слушать безумное количество выступлений, я для себя выявил основную причину, отличающую хорошую презентацию от плохой. И это совсем не умение красиво говорить, управлять зрителем, рисовать и компилировать красивые слайды.

А вот чтобы было, что доносить и чтобы донести ее донести так, чтобы аудитория могла сказать только «Вау», любому, даже самому талантливому спикеру надо инвестировать диспропорциональное количество времени в хорошую подготовку.  

Читать далее
Пост

Записываемся на вебинар о новинках для защиты данных

Мы обновили продукты для защиты данных в едином интерфейсе Центра расследований InfoWatch. Приглашаем на онлайн-встречу познакомиться с новыми возможностями — вебинар состоится 20 февраля в 11:00.

Вебинар проведут наши эксперты — Сергей Кузьмин и Олег Митичкин. Они расскажут, какие обновления произошли в наших DLP-продуктах. Покажут демо с главными новинками InfoWatch Vision, Activity Monitor, Prediction, Data Discovery и Data Access Tracker.

Не пропустите! Регистрация по ссылке.

Теги:
+1
Комментарии0
Статья

Нобелевский лауреат Леонид Канторович и его вклад в IT

Уровень сложностиПростой
Время на прочтение11 мин
Количество просмотров689

В 1951 году в ЛГУ была создана кафедра вычислительной математики, одним из первых сотрудников которой стал профессор кафедры матанализа ЛГУ Леонид Канторович. «Вычислительной» в современном понимании назвать эту кафедру в первые годы ее существования затруднительно. В Советском Союзе в год ее создания была только одна ЭВМ «МЭСМ» в единственном экземпляре. Для сравнения: по данным Российского государственного архива новейшей истории, в США в 1950 году было 15 типов ЭВМ общим числом около 170 штук, в 1953 году — 76 типов мейнфреймов общим числом 1156 штук, а у нас в том же году — ЭВМ 4-х типов в количестве 4 штук. В последующие годы этот разрыв довольно быстро стал уменьшаться. 

Читать далее
Статья

Карьера разработчика 2к25: берём вторую работу или помогаем заработать бизнесу?

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров1.3K

Привет! Я Вероника, фронтенд‑разработчик, работала в корпорации и была человеком-оркестром в стартапе. В стартапе я как раз задумалась над темой развития карьеры по двум стратегиям: хайповой — поднимать зарплату раз в год через собеседования, и консервативной — то самое «думать с позиции бизнеса».

На грейде мидл уже недостаточно просто «пилить таски», от вас ждут проактивности, а значит решений, влияющих на продукт. Если вам ближе хайповый подход, после прочтения сможете мимикрировать под консервативный подход на интервью, это тоже ценится.

В статье разберём, какие бенефиты и подводные камни вас ожидают в каждой из стратегий.

Читать далее
Новость

Визуальная новелла Zavod, про взаимоотношения на заводе, вышла в ранний доступ

Время на прочтение1 мин
Количество просмотров2.4K

Визуальная аниме‑новелла Zavod от студии Gendocik вышла в ранний доступ (early access) 14 февраля 2025 года. В текущей версии доступны пролог и первый эпизод, охватывающий три игровых дня. По словам разработчиков, планируются добавить новые эпизоды (1–2 эпизодов в год), персонажей и дополнительные элементы контента, однако точные даты пока не сообщаются. Игра предлагает ностальгическую графику, музыку в стиле Sovetwave и Synthwave.

Читать далее
1
23 ...