Но, собственно, я не особо сильно удивлён этим событием.
Сначала доверить свои данные глобальному MitM а потом удивляться, что он, внезапно, кривой и отдаёт ваши данные не только тем, кому положено, но и тем, кому не положено.
Сколько раз уже похожее было в других технологиях.
Вкратце: любые приватные данные, передаваемые через cloudflare (например, залогиненным пользователям), могли утечь другим людям, а так же остаться в любом кэше (гугла, интернет архива, других поисковиков). И да, они там действительно были найдены. И сейчас нет никакой возможности отследить, какие данные утекли. И я далеко не уверен, что кто-то не нашёл это раньше и не собирал это всё втихую.
И нет, пострадали не только те сайты, которые использовали «three minor Cloudflare features», пострадали остальные, а в те встраивалось содержимое других сайтов.
Спасибо. Прочитал статью и комментарии мельком (первый раз услышал про них), посмотрел отзывы в интернете на конкретную модель (потому что в статье таки много весьма спорных утверждений), заказал R+ Legend за $38 (2.2к, но я долларами плачу). Посмотрим, что будет.
А чем вывод head -c 555 /dev/urandom | base64 (или dd status=none if=/dev/urandom bs=555 count=1 | base64) хуже?
Помните, что openssl и был тем самым, кто использовал неинициализированные куски памяти в ходе сбора энтропии и как дебиане мейнтейнеры это «пофиксили» закомментировав кусок кода, и там в качестве энтропии остался только PID? Если нет, напомню: в 2008 это нашли и очень радовались: https://www.schneier.com/blog/archives/2008/05/random_number_b.html
Кратко — ИИ создаются людьми и обучаются на данных, составленных людьми, и эти данные могут быть необъективны (и зачастую так и есть). И в спорных вопросах очень сложно (и вообще не очень понятно как) сделать обучающие входные данные объективными.
Из поста следует, что если вы знаете как программисты генерируют случайные числа — то тюрьма ваш дом родной.
Нет, это из поста не следует =).
Пост намекает, что надо было использовать CSPRNG везде, а не непойми чего. Ключевое свойство — непредсказуемость.
Причём очень многие люди почему-то любят лезть в генератор псевдослучайных чисел и как-то «улучшать» его поверх системного: «кормить» энтропию (привет пользователям), написать поверх ещё свои юзерспейсные алгоритмы и «источники энтропии» (работающие через одно место), которые либо сломаны сами, либо которые потом другие люди радостно ломают (привет дебиану), в результате получается полный абзац.
Не знаю, на чём сейчас строят игровые автоматы (возможно, те модели лет 20 назад разрабатывались, не знаю), но на подавляющем большинстве современных систем надо просто использовать /dev/urandom для получения всех псевдослучайных чисел, в т.ч. для криптографических нужд. Ну или вызов getrandom на линуксе (который аналогичен чтению из /dev/urandom).
Я одного не понял — а почему у вас в тексте всего одна ссылка (если не считать логотип YouTube внутри айфрейма), и она никак не относится к делу, а ведёт на приглашение тестирования ваших товаров? Как из статьи попасть на сайт производителя лампы или на страницу кикстартера с этой лампой?
И я не проглядел — я даже специально через код страницы проверил, только одна ссылка в тексте.
Судя по картинке, они измеряют длину самого пальца от его основания, а не просто то, где он заканчивается. А в спокойном положении руки основание указательного может быть чуть больше выдвинуто. Поверните пальцы всей ладони влево, чтобы было визуально одинаково =).
Но да, эта штука с длиной пальцев всё равно выглядит очень сомнительно, учитывая то, что предыдущие такие «закономерности» оказались ерундой. Было бы очень хорошо, если бы автор включил ссылки на отрецензированные и опубликованные исследования об этом.
Уже работает под tvOS и watchOS, но пока в превью. Но у меня работает.
Плюс Sailfish и Ubuntu Phone изначально написаны на Qt (в смысле интерфейс и SDK), а BlackBerry (который упомянут в другом столбце, так что не понятно, почему он упущен здесь) тоже использует Qt как официальную среду разработки.
Плюс не понятно, почему их всех дистрибутивов линукса указана только Ubuntu, хотя оно работает и на остальных. Можно было просто Linux написать =). Ещё QNX самая что ни на есть официально поддерживаемая, на ней тесты гоняют.
Ну и плюс все остальные операционки, на которых оно тоже работает.
Плюс ещё я тут потихоньку QmlWeb пилю для рендеринга QML прямо в браузере, но писать полноценную статью на хабр мне об этом очень лениво.
Но, собственно, я не особо сильно удивлён этим событием.
Сначала доверить свои данные глобальному MitM а потом удивляться, что он, внезапно, кривой и отдаёт ваши данные не только тем, кому положено, но и тем, кому не положено.
Сколько раз уже похожее было в других технологиях.
Вы недооцениваете масштабы проблемы.
Вкратце: любые приватные данные, передаваемые через cloudflare (например, залогиненным пользователям), могли утечь другим людям, а так же остаться в любом кэше (гугла, интернет архива, других поисковиков). И да, они там действительно были найдены. И сейчас нет никакой возможности отследить, какие данные утекли. И я далеко не уверен, что кто-то не нашёл это раньше и не собирал это всё втихую.
И нет, пострадали не только те сайты, которые использовали «three minor Cloudflare features», пострадали остальные, а в те встраивалось содержимое других сайтов.
Это полная задница, если честно.
Ну вы и сказали, конечно.
Вот так будет более значимо (ссылка):
У вас в слове пони две опечатки. ;-)
Спасибо. Прочитал статью и комментарии мельком (первый раз услышал про них), посмотрел отзывы в интернете на конкретную модель (потому что в статье таки много весьма спорных утверждений), заказал R+ Legend за $38 (2.2к, но я долларами плачу). Посмотрим, что будет.
А чем вывод
head -c 555 /dev/urandom | base64(илиdd status=none if=/dev/urandom bs=555 count=1 | base64) хуже?Помните, что openssl и был тем самым, кто использовал неинициализированные куски памяти в ходе сбора энтропии и как дебиане мейнтейнеры это «пофиксили» закомментировав кусок кода, и там в качестве энтропии остался только PID? Если нет, напомню: в 2008 это нашли и очень радовались: https://www.schneier.com/blog/archives/2008/05/random_number_b.html
С «сильным» ИИ всё очень непросто.
Да и с «объективностью» ИИ в дискуcсионных вопросах есть некоторые сложности:
Кратко — ИИ создаются людьми и обучаются на данных, составленных людьми, и эти данные могут быть необъективны (и зачастую так и есть). И в спорных вопросах очень сложно (и вообще не очень понятно как) сделать обучающие входные данные объективными.
Нет, это из поста не следует =).
Пост намекает, что надо было использовать CSPRNG везде, а не непойми чего. Ключевое свойство — непредсказуемость.
Причём очень многие люди почему-то любят лезть в генератор псевдослучайных чисел и как-то «улучшать» его поверх системного: «кормить» энтропию (привет пользователям), написать поверх ещё свои юзерспейсные алгоритмы и «источники энтропии» (работающие через одно место), которые либо сломаны сами, либо которые потом другие люди радостно ломают (привет дебиану), в результате получается полный абзац.
Не знаю, на чём сейчас строят игровые автоматы (возможно, те модели лет 20 назад разрабатывались, не знаю), но на подавляющем большинстве современных систем надо просто использовать
/dev/urandomдля получения всех псевдослучайных чисел, в т.ч. для криптографических нужд. Ну или вызовgetrandomна линуксе (который аналогичен чтению из/dev/urandom).Нет, это не должно так работать.
Ага. И при регистрации гражданство и номер страховки спрашивать.
Это вы ещё габартиный огонь для велосипедистов не видели.
Я одного не понял — а почему у вас в тексте всего одна ссылка (если не считать логотип YouTube внутри айфрейма), и она никак не относится к делу, а ведёт на приглашение тестирования ваших товаров? Как из статьи попасть на сайт производителя лампы или на страницу кикстартера с этой лампой?
И я не проглядел — я даже специально через код страницы проверил, только одна ссылка в тексте.
Опять же, они измеряют длину пальцев от основания каждого пальца (которые могут быть на разной высоте), а не просто по верхней точке =).
А вот это уже интересно, спасибо за ссылку.
Судя по картинке, они измеряют длину самого пальца от его основания, а не просто то, где он заканчивается. А в спокойном положении руки основание указательного может быть чуть больше выдвинуто. Поверните пальцы всей ладони влево, чтобы было визуально одинаково =).
Но да, эта штука с длиной пальцев всё равно выглядит очень сомнительно, учитывая то, что предыдущие такие «закономерности» оказались ерундой. Было бы очень хорошо, если бы автор включил ссылки на отрецензированные и опубликованные исследования об этом.
Да, весьма неплохо именно в юзкейсе такой утилиты с простыми декларативными правилами на SQL-подобном языке. Мне в целом нравится.
А тут говорят, что ок: QTBUG-47672.
А ещё что armv8a должен быть совместим с armv7.
От $79.
Уже работает под tvOS и watchOS, но пока в превью. Но у меня работает.
Плюс Sailfish и Ubuntu Phone изначально написаны на Qt (в смысле интерфейс и SDK), а BlackBerry (который упомянут в другом столбце, так что не понятно, почему он упущен здесь) тоже использует Qt как официальную среду разработки.
Плюс не понятно, почему их всех дистрибутивов линукса указана только Ubuntu, хотя оно работает и на остальных. Можно было просто Linux написать =). Ещё QNX самая что ни на есть официально поддерживаемая, на ней тесты гоняют.
Ну и плюс все остальные операционки, на которых оно тоже работает.
Плюс ещё я тут потихоньку QmlWeb пилю для рендеринга QML прямо в браузере, но писать полноценную статью на хабр мне об этом очень лениво.