Pull to refresh
4
0
Сковорода Никита Андреевич @ChALkeRx

re-evaluating native module sources is not suppor…

Send message

Так ли безопасно использование абсолютного пути в *nix системах, как мы привыкли считать?

Reading time4 min
Views26K

image


Идея редактирования переменных окружения пользователя для повышения прав при тестировании на проникновение стара как мир. По этой теме написано множество статей, и даже в книгах начали появляться советы по использованию абсолютного пути вместо относительного. Вот пример такого совета из довольно известной книги Unix и Linux. Руководство системного администратора (4 издание):


…
Рекомендуем взять за правило при вводе команды указывать полное имя, например /bin/su или /usr/bin/su, а не просто su. Это послужит определенной защитой от тех программ с именем su, которые преднамеренно были прописаны в переменной среды path злоумышленником, намеревавшимся собрать хороший “урожай” паролей.
…

Но так ли это безопасно? Если вы тоже задавались этим вопросом, то добро пожаловать под кат.


Читать дальше →

Есть две функции

Reading time16 min
Views54K
Привет

Есть две булевы функции n аргументов, одна — константная, другая — сбалансированная. На какую сам сядешь, на какую фронтендера посадишь? Вот только функции неизвестны, а вызвать их разрешается лишь один раз.

Если не знаешь, как решить подобную задачу, добро пожаловать под кат. Там я расскажу про квантовые алгоритмы и покажу как их эмулировать на самом народном языке — на Python.
Hello darkness, my old friend

Исследование: сидячий образ жизни может ускорить биологическое старение

Reading time3 min
Views19K
image

Ученые уже давно связывают сидячий образ жизни с множеством заболеваний – начиная от ожирения и заканчивая проблемами с сердцем, диабетом и ранней смертью. Нетрудно понять, почему: снижение активности способствует увеличению веса, что, в свою очередь, является фактором риска развития инфаркта миокарда, инсульта, гипертонии и нездорового уровня сахара в крови.

Помимо всего прочего, сидячий образ жизни оказывает негативное воздействие на клетки на биологическом уровне, согласно исследованию ученых медицинской школы Калифорнийского университета в Сан-Диего. Они выяснили, что женщины, которые занимаются умеренной или интенсивной физической нагрузкой менее 40 минут в день и при этом проводят в положении сидя больше 10 часов в день, обладают более короткими теломерами – крошечными «шапочками», которые расположены на концах цепочек ДНК. Они защищают хромосомы от повреждений и постепенно укорачиваются с возрастом.
Читать дальше →

Исследователи создали эксплоит для получения root-доступа к Android-смартфонам с помощью уязвимости Rowhammer

Reading time4 min
Views25K


Международная группа исследователей из Австрии, Нидерландов и США, информационной безопасности разработала атаку, позволяющую получить root-доступ к большому количеству Android-устройств, пишет издание Ars Tehnica. Для этого эксплуатируется техника Rowhammer, позволяющая осуществлять манипуляции с данными, хранящимися в ячейках памяти. При этом, ранее считалось, что атаки с использованием уязвимости Rowhammer имеют ограниченные перспективы реального применения — новый эксплойт демонстрирует, что ей подвержено гораздо больше устройств, чем предполагалось (включая и работающие на ARM-чипах).

Исследователи создали специальное приложение-эксплойт Drammer, которое не требует для работы никаких особенных прав и не использует никаких Android-уязвимостей. Атака осуществляется с помощью уязвимости аппаратного обеспечения — аналогично описанной техники Rowhammer он «простукивает» биты памяти устройства, изменяя важные данные. Это позволяет получать root-доступ к гаджетам производства компаний LG, Motorola, Samsung, OnePlus и, возможно, других вендоров.

Нейромедиаторы, часть вторая: аденозин, ацетилхолин, глутамат и гамма-аминомасляная кислота

Reading time6 min
Views160K
Первую часть рассказа о нейромедиаторах «Атлас» посвятил молодежным дофамину, норадреналину и серотонину. Во втором посте речь пойдет о менее известных медиаторах, которые выполняют важную невидимую работу: стимулируют и тормозят другие нейромедиаторы, помогают нам учиться и запоминать.


Читать дальше →

Книга «Восхождение человечества. Предисловие Ричарда Докинза»

Reading time7 min
Views11K
image У каждой эпохи есть своя поворотная точка — возникновение нового взгляда на мир. В этой книге Джейкоб Броновски приглашает вас в путешествие по вершинным достижениям человека, нашей интеллектуальной истории. Первые опыты алхимиков, сложные арифметические выкладки астрономов майя, астрономические часы в Европе, каменные сооружения Мачу-Пикчу и многое другое, что оказывало существенное влияние на развитие человечества, и до сих пор изумляет современных ученых.
Читать дальше →

Почему мы всё время чувствуем себя занятыми

Reading time4 min
Views38K


В современном ритме люди постоянно спешат. Постоянно чем-то заняты. Ни на что не хватает времени. Позвонишь другу с предложением сходить в тренажёрный зал или в баню — он не может, потому что опять занят. Кажется, это проблема именно последнего времени. Раньше было как-то проще…

Возникает вопрос: действительно все так сильно заняты или просто чувствуют себя занятыми?

В последние годы публикуется много исследований (1, 2) со свидетельствами, что люди работают меньше часов и берут больше отпусков. Некоторые работают из дома. Гораздо большее количество работников, чем раньше, заняты неполный рабочий день. Так что же происходит?
Читать дальше →

Нейропластичность: перестраиваем мозг

Reading time5 min
Views71K


Наш мозг необычайно пластичен. Не как пластиковая посуда или кукла Барби – в неврологии пластичность означает удивительную способность мозга меняться и адаптироваться практически ко всему, что с нами происходит. В былые времена учёные считали, что когда человек переставал быть ребёнком, его мозг застывал, как глиняный горшок, и оставался в одной форме. Но кипы исследований опровергли их мнение – мозг больше напоминает пластилин [play-doh]. Эти изменения могут происходить на разных масштабах: от отдельного нейрона, меняющего связи, до целой корковой области, уменьшающейся или разбухающей. Структуру мозга могут менять множество факторов, от травм и инсультов, до медитации, упражнений или ежедневных занятий на пианино. И как всё в жизни, пластичность – это палка о двух концах. Плюс в том, что мозг может перестроить себя во время реабилитации после инсульта. Минус – фантомные боли после потери конечности. Давайте посмотрим, как, что и почему происходит.

Начнём с небольших масштабов и синаптической пластичности (если вы не в курсе, что есть синапс, прочтите сначала вводную статью про мозг). Эта разновидность пластичности, которую часто называют длительной потенциацией (ДПЦ) и длительным подавлением (ДПД), критична для нашего понимания процессов запоминания и обучения. Очень упрощённо она работает так: связи между нейронами усиливаются или ослабляются (происходит потенциация или депрессия) в зависимости от их действий. Когда нейрон А постоянно возбуждает нейрон Б, связь между ними усиливается.
Читать дальше →

HEIST позволяет получить зашифрованную информацию в HTTPS канале в виде открытого текста

Reading time3 min
Views31K


Расширение протокола HTTPS, которое защищает миллионы сайтов и сотни миллионов пользователей, уязвимо к новому типу атаки. Эксплоит позволяет получить зашифрованные адреса электронной почты, номера страхования и другие личные данные пользователей. Причем злоумышленнику нет необходимости вести наблюдение или контролировать интернет-соединение жертвы.

Другими словами, эксплоит не требует использования MITM (man-in-the-middle) схемы. Вместо этого жертву атакуют при помощи невинного JavaScript файла, скрытого в рекламе или «вшитого» прямо в страницу вредоносного сайта. Вредоносный код после успешного выполнения может запрашивать ряд типов страниц, защищенных SSL или TSL протоколом и получать точный размер файлов с зашифрованными данными, которые передаются в защищенном режиме. Новый тип атаки получил название HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows).
Читать дальше →

Преимущества systemd-networkd на виртуальных серверах Linux

Reading time6 min
Views57K
Обычно на десктопах Linux для управления сетевыми настройками используется NetworkManager, поскольку он отлично справляется со своей работой и имеет GUI фронтенды для всех популярных графических окружений. Однако на серверах Linux его использование не целесообразно: он потребляет много ресурсов. NetworkManager занимает в оперативной памяти около 20 Мб, в то время как systemd-networkd и systemd-resolvd вместе меньше 2 Мб. По этой причине, по умолчанию серверные дистрибутивы Linux server часто используют различные собственные демоны.



Таким образом возникает целый зоопарк скриптов и утилит: демон networking под Debian, который управляет конфигурацией сети через ifupdown, использующий файлы конфигурации хранящиеся в /etc/networking/interfaces.d и файл /etc/networking/interfaces, под CentOS network, который использует скрипты ifup и ifdown и, конечно же, свои файлы конфигурации находящиеся в /etc/sysconfig/network-scripts, netctl под ArchLinux. Всем известно, что Linux — конструктор, но почему бы такой простой и общей для самых различных систем вещи как настройка сети не иметь одинаковый вид?
Читать дальше →

Так ли безопасен Tox, как его малюют?

Reading time6 min
Views104K
Tox Sux
Всем привет!

Мне нравится Tox, я уважаю участников этого проекта и их труд, который иногда даже удается использовать по назначению. В стремлении помочь сообществу, я заглянул в код, заметил потенциальные проблемы, которые могут привести людей в погонах к вам домой к весьма печальным последствиям.

В последнее время наблюдается нездоровая тенденция переоценивать защищенность подобных систем только на основании того, что они P2P. Буду излагать объективные факты и дополнять их своими комментариями, чтобы не бросаться громкими фразами в пространство. Выводы предлагаю делать самостоятельно.

Заранее отвечу на вопрос: мой pull request был принят.
А теперь факты:

Трёхпозиционный checkbox (aka tristate) без скриптов и смс

Reading time2 min
Views32K
Понадобилось мне недавно реализовать трёхпозиционный переключатель. Ну это такой, у которого вместо двух состояний «включено/выключено», есть ещё промежуточное состояние. Это часто используется, например, в чекбоксе «выбрать всё», для того чтобы показать, что выбраны не все элементы, а только часть. В общем, захотелось такое реализовать, да чтобы без скриптов.
Читать дальше →

Гормонотерапия: личные впечатления

Reading time4 min
Views100K
Пишу по действительно многочисленным просьбам.

В комментариях в одной из публикаций была поднята тема «ЗГТ». Хочу немного описать свой собственный и опыт моих знакомых, которые находятся на гормональной терапии. Так получилось, что я уже скоро два года живу на гормонах. Насколько я в курсе, эта тема на гиктаймсе еще не поднималась.
Читать дальше →

Чем полезен мономорфизм?

Reading time14 min
Views32K


Выступления и посты в блогах о производительности JavaScript часто обращают внимание на важность мономорфного кода, однако обычно не дается внятного никакого объяснения, что такое мономорфизм/полиморфизм и почему это имеет значение. Даже мои собственные выступления зачастую сводятся к дихотомии в стиле Невероятного Халка: «ОДИН ТИП ХОРОШО! ДВА ТИП ПЛОХО!». Неудивительно, что когда люди обращаются ко мне за советом по производительности, чаще всего они просят объяснить, что на самом деле такое мономорфизм, откуда берется полиморфизм и что в нем плохого.

Ситуацию осложняет еще и то, что само слово «полиморфизм» имеет множество значений. В классическом объектно-ориентированном программировании полиморфизм связан с созданием дочерних классов, в которых можно переопределить поведение базового класса. Программисты, работающие с Haskell, вместо этого подумают о параметрическом полиморфизме. Однако полиморфизм, о котором предупреждают в докладах о производительности JavaScript – это полиморфизм вызовов функции.

Я объяснял этот механизм столькими различными путями, что наконец-то собрался и написал данную статью: теперь можно будет не импровизировать, а просто дать на нее ссылку.

Я также попробовал новый способ объяснять вещи – изображая взаимодействие составных частей виртуальной машины в виде коротких комиксов. Кроме того, данная статья не покрывает некоторые детали, которые я посчитал незначительными, излишними или не связанными напрямую.
Читать дальше →

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity