Вчера автор переместил результаты исследования безопасности интернет-магазинов на хостинг Gitlab. Сегодня страница по этому адресу возвращает ошибку 404. Несколько часов назад автор получил письмо от Gitlab, в котором объясняют причины удаления. По мнению администрации, публикация списка уязвимых магазинов рассматривается как «вопиющий случай», который не может быть разрешён. Поэтому список был удалён.
But in this case the victim of the vulnerability is not only the owner but also the users of the web store. The owners of web stores have a responsibility to their users. And it is in the users interest to have the list published so owners fix their stores. We currently think that the interest of the user weights heavier. Therefore we reinstated the snippet.
Изначально решили, что публикация списка дырявых сайтов — не круто, потом подумали хорошенько, и решили что потенциальный вред пользователям от уже заражённых сайтов перевешивает вред от публикации списка дырявых сайтов.
CEO of @gitlab just called, apologized for wrong interpretation of data and will restore repo shortly. Gitlab, you are the best
квантовые компьютеры могут работать с любыми числами (положительными, отрицательными, действительными, мнимыми), в то время как классические компьютеры используют только действительные положительные числа.
Даже учитывая то, что текст упрощён и пытается быть ближе к людям, это какая-то ересь.
Где вы видели действительные положительные числа в компьютере? Если иметь ввиду «любыми» — то нет, не может. Если не любыми — то ограничение проведено некорректно. А вот почему «положительными» — не ясно. Чем положительные отличаются от отрицательных? Что мешает классическим работать со мнимыми? Причём тут это вообще?
В ноуте 16 гигов оперативки, в чиселках вида complex<double> (2*8 байт) это 2^30.
Если эмулировать честно и считать в матрицах плотности, то в ноут влезет 14 кубит (15 уже заняло бы всю память одной матрицей, а нам надо как минимум три матрицы + система), с матрицами по 4 ГиБ.
Если хотеть считать быстро — то чуть меньше, надо считать производительность. Но даже если взять 10 — это надо будет перемножать матрицы 2^10 на 2^10, то есть всего 1024*1024, по 16 МиБ каждая.
Но один момент — для того, что называется квантовыми вычислениями (и собственно квантовым компьютером) матрицы плотности нам не нужны, достаточно векторов состояний. Там количество доступных кубит условно в два раза больше на ту же память, да и вектора надо хранить два всего. То есть с 20 кубитами на любом обычном ноуте вообще проблем никаких не будет, займёт это всё 32 МиБ в оперативке + код, и работать будет быстро. 28 кубит впихнуть по памяти в ноут реально, каждый из двух векторов займёт всё те же самые 4 ГиБ, но работать это будет медленно.
3 кубита моделируются матрицей 8*8 или вектором длины 8, в зависимости от того, что мы хотим. Смысла делать новость из эмуляции 3 кубитов нет никакого, поэтому логично предположить, что тут таки правда честные 3 кубита. Интерес к «честным» кубитам тоже вызван не там, чтобы 3 шт пихать в современные чипы, а ожиданием того, что в будущем, возможно, получится строить вычисления на большем количестве кубит, и за счёт этого обойти текущие вычислительные устройства.
Примечание: если кто слышал про D-Wave и их кучи кубитов — к ним это не относится, D-Wave — не квантовый компьютер, а аналоговый калькулятор для более узкой задачи, предположительно на основе квантовых эффектов.
Я им в твиттере ответил публично (не встраиваю специально, ответ нецензурный, я предупредил).
Текст письма:
Hi,
We are ISBA of Shenzhen Computer Users Association. We find your contact information through internet. We are seeking some specialists in vulnerability research to cooperate. We want to buy 0day. We mainly have two purposes. Firstly, we need 0day to do technical research. We want to buy good 0day to improve our technological level and discovery ability. Secondly, we need 0day to do Security product development, like products of ZDI.
we are interested in 0day of Router,IE,Android, IOS. Except those, we also interested in other 0day. For example, Windows,office, apache or flash.
Except 0day, we are also seeking cooperation in scientific research.
Do you have any interests to cooperate with us?
Looking forward to your reply.
Best,
Catherine
Судя по поиску в твиттере — они такими рассылками довольно давно занимаются:
Это я к тому, что в таких статьях не совсем понятно, как смена чипов с транзисторами на что-то ещё будет по сути противоречить этому закону.
График стоимости производительности в первом приближении выглядит как экспонента даже если мы полностью абстрагируемся от транзисторов и добавим на него системы с лампами и системы с перфокартами.
Согласно закону количество транзисторов, размещаемых на кристалле интегральной схемы, удваивается каждые 24 месяца. Этот «закон» известен уже более полувека. Собственно, это и не закон, но его положения, в целом, справедливы.
В чуть более общем случае — система с положительной обратной отдачей развивается в первом приближении по экспоненте.
Свист ux305ca в спокойном состоянии можно было услышать только в очень тихой комнате или поднеся к уху вплотную, но на некоторых нагрузках (подозреваю дисковую активность, но не уверен) свист становился невыносимым и слышным из соседней комнаты. Видео даже записывал: https://www.youtube.com/watch?v=daOZ13dW1hU — это как раз одна из тех нагрузок, при которых оно свистело сильнее всего. Только там YouTube порезал громкость, жаль, я для сравнения никаких других звуков не делал.
Мой Lenovo 900 почему-то иногда свистит, пока спит, ровно в такт мигания светодиода питания. Слышно в тихой комнате (например, вечером, когда ложишься спать, если ноутбук рядом на столе) — убираю подальше или в чехол.
Про Dell XPS 13 только отзывы видел.
И да, за ответ спасибо. Ноут в целом любопытный, но USB-C портов хорошо бы штуки 4 хотя бы.
Да, именно его, на некоторых линейках это очень частая проблема, и почему-то в последние пару лет — особенно (возможно, из-за новых режимов энергосбережения?).
Все ux305ca, которые я видел (а видел я штук 10), свистели сильно при работе (поэтому его в своё время и не взял). Dell XPS по отзывам иногда свистит, мой относительно новый Lenovo тоже тихо свистит, но только пока спит. Такое ощущение, что это какая-то глобальная проблема.
Разверну: мысль «я поставлю бесплатный Cloudflare и у меня будет защита от DDoS» — в корне неверна.
Если вы не платите ему за Business план — вас за DDoS выпнут.
Даже если вы платите ему за Business план — вы защитили только то, что закэшировано, и только по одному протоколу.
Если ваш реальный адрес найдётся, или если ваш сервер какие-то другие службы держит, кроме https — ничего не будет мешать завалить ваш сервер DDoS-ом в обход Cloudflare.
Активные запросы (то, что не кэшируется) — фильтровать-то никто не будет, и точно так же, как они посыпятся от DDoS к Cloudflare, они посыпятся от Cloudflare к вам. Даже если зарейтлимитить — пострадают «хорошие» запросы, которые должны были бы быть.
То есть, Cloudflare подходит вместо защиты от DDoS в одном случае: если у вас исключительно статика (в смысле — не активный, а хорошо кэшируемый контент) и при этом Business план. И это при его минусах и том, что он платный — так себе предложение.
P.S.: Если кто не понял аналогии с телеграмом: там «безопасность» тоже скорее хайп, и мысль «у меня Телеграм, мои сообщения в безопасности» — ровно так же в корне неверна. Безопасны только секрет чаты, и только при верификации ключей (о которой он даже не напоминает), обычные чаты (которыми пользуются подавляющиее большинство пользователей) работают так же как и во всех остальных популярных мессенджерах — открытый текст, логи на сервере телеграма. Чуть подробнее я проехался по мессенджерам в https://github.com/ChALkeR/whinings/blob/master/Instant-messaging.md.
P.P.S А присутствующий, но не работающий тег спойлера — это нормально? Хотел часть под телеграм спрятать, так как это слегка оффтопик здесь.
Сам Cloudflare, вообще-то, вполне себе опасен — в данный момент это глобальный MitM, работающий в обход https, который сожрал больше 10% от популярных сайтов.
С мониторами тоже не совсем понял. Пинг до роутера у меня по WiFi, например, 2 мс. 60 герц — это один кадр в 16.(6) мс. Я не уверен, что я смогу эти допольнительные 2 мс заметить хоть как-то.
На всякий случай (потому что я сравниваю те 16 и 2): это не частота кадров снизится (очевидно), это просто каждый из этих кадров будет ещё на 2 мс позже.
Ммм. Честно говоря, я уже лет 7 пользуюсь беспроводной мышкой, и не испытываю с этим никаких проблем с задержками. Разве что аккумулятор поменял один раз (один AA Eneloop).
Ой. Можно тогда определение «серьёзных людей», раз это написано не в качестве цитаты?
Восстановили уже: https://about.gitlab.com/2016/10/15/gitlab-reinstates-list-of-servers-that-have-malware/
Изначально решили, что публикация списка дырявых сайтов — не круто, потом подумали хорошенько, и решили что потенциальный вред пользователям от уже заражённых сайтов перевешивает вред от публикации списка дырявых сайтов.
Обновите текст статьи =).
Даже учитывая то, что текст упрощён и пытается быть ближе к людям, это какая-то ересь.
Где вы видели действительные положительные числа в компьютере? Если иметь ввиду «любыми» — то нет, не может. Если не любыми — то ограничение проведено некорректно. А вот почему «положительными» — не ясно. Чем положительные отличаются от отрицательных? Что мешает классическим работать со мнимыми? Причём тут это вообще?
Если второе — то не понятно, зачем.
В ноуте 16 гигов оперативки, в чиселках вида
complex<double>(2*8 байт) это 2^30.Если эмулировать честно и считать в матрицах плотности, то в ноут влезет 14 кубит (15 уже заняло бы всю память одной матрицей, а нам надо как минимум три матрицы + система), с матрицами по 4 ГиБ.
Если хотеть считать быстро — то чуть меньше, надо считать производительность. Но даже если взять 10 — это надо будет перемножать матрицы 2^10 на 2^10, то есть всего 1024*1024, по 16 МиБ каждая.
Но один момент — для того, что называется квантовыми вычислениями (и собственно квантовым компьютером) матрицы плотности нам не нужны, достаточно векторов состояний. Там количество доступных кубит условно в два раза больше на ту же память, да и вектора надо хранить два всего. То есть с 20 кубитами на любом обычном ноуте вообще проблем никаких не будет, займёт это всё 32 МиБ в оперативке + код, и работать будет быстро. 28 кубит впихнуть по памяти в ноут реально, каждый из двух векторов займёт всё те же самые 4 ГиБ, но работать это будет медленно.
3 кубита моделируются матрицей 8*8 или вектором длины 8, в зависимости от того, что мы хотим. Смысла делать новость из эмуляции 3 кубитов нет никакого, поэтому логично предположить, что тут таки правда честные 3 кубита. Интерес к «честным» кубитам тоже вызван не там, чтобы 3 шт пихать в современные чипы, а ожиданием того, что в будущем, возможно, получится строить вычисления на большем количестве кубит, и за счёт этого обойти текущие вычислительные устройства.
Примечание: если кто слышал про D-Wave и их кучи кубитов — к ним это не относится, D-Wave — не квантовый компьютер, а аналоговый калькулятор для более узкой задачи, предположительно на основе квантовых эффектов.
Они мне письмо (спам) присылали не так давно.
Я им в твиттере ответил публично (не встраиваю специально, ответ нецензурный, я предупредил).
Текст письма:
Судя по поиску в твиттере — они такими рассылками довольно давно занимаются:
Это я к тому, что в таких статьях не совсем понятно, как смена чипов с транзисторами на что-то ещё будет по сути противоречить этому закону.
График стоимости производительности в первом приближении выглядит как экспонента даже если мы полностью абстрагируемся от транзисторов и добавим на него системы с лампами и системы с перфокартами.
В чуть более общем случае — система с положительной обратной отдачей развивается в первом приближении по экспоненте.
Оба ваших пункта — дело техники, они показали, что ограничение в 5 нм, которое раньше считалось абсолютным теоретическим минимумом, не действует.
Свист ux305ca в спокойном состоянии можно было услышать только в очень тихой комнате или поднеся к уху вплотную, но на некоторых нагрузках (подозреваю дисковую активность, но не уверен) свист становился невыносимым и слышным из соседней комнаты. Видео даже записывал: https://www.youtube.com/watch?v=daOZ13dW1hU — это как раз одна из тех нагрузок, при которых оно свистело сильнее всего. Только там YouTube порезал громкость, жаль, я для сравнения никаких других звуков не делал.
Мой Lenovo 900 почему-то иногда свистит, пока спит, ровно в такт мигания светодиода питания. Слышно в тихой комнате (например, вечером, когда ложишься спать, если ноутбук рядом на столе) — убираю подальше или в чехол.
Про Dell XPS 13 только отзывы видел.
И да, за ответ спасибо. Ноут в целом любопытный, но USB-C портов хорошо бы штуки 4 хотя бы.
Да, именно его, на некоторых линейках это очень частая проблема, и почему-то в последние пару лет — особенно (возможно, из-за новых режимов энергосбережения?).
Он перестал свистеть?
Все ux305ca, которые я видел (а видел я штук 10), свистели сильно при работе (поэтому его в своё время и не взял). Dell XPS по отзывам иногда свистит, мой относительно новый Lenovo тоже тихо свистит, но только пока спит. Такое ощущение, что это какая-то глобальная проблема.
Не знаете, в новой линейке это исправили?
Разверну: мысль «я поставлю бесплатный Cloudflare и у меня будет защита от DDoS» — в корне неверна.
То есть, Cloudflare подходит вместо защиты от DDoS в одном случае: если у вас исключительно статика (в смысле — не активный, а хорошо кэшируемый контент) и при этом Business план. И это при его минусах и том, что он платный — так себе предложение.
Ссылка: http://cryto.net/~joepie91/blog/2016/07/14/cloudflare-we-have-a-problem/
P.S.: Если кто не понял аналогии с телеграмом: там «безопасность» тоже скорее хайп, и мысль «у меня Телеграм, мои сообщения в безопасности» — ровно так же в корне неверна. Безопасны только секрет чаты, и только при верификации ключей (о которой он даже не напоминает), обычные чаты (которыми пользуются подавляющиее большинство пользователей) работают так же как и во всех остальных популярных мессенджерах — открытый текст, логи на сервере телеграма. Чуть подробнее я проехался по мессенджерам в https://github.com/ChALkeR/whinings/blob/master/Instant-messaging.md.
P.P.S А присутствующий, но не работающий тег спойлера — это нормально? Хотел часть под телеграм спрятать, так как это слегка оффтопик здесь.
То, что Cloudflare это удобная и дешёвая защита от DDoS в 2016 году — это миф, примерно как о безопасности телеграма.
Сам Cloudflare, вообще-то, вполне себе опасен — в данный момент это глобальный MitM, работающий в обход https, который сожрал больше 10% от популярных сайтов.
Комодо, вообще-то, те ещё товарищи. Если бы не too big to fail, их бы давно пора было забанить тоже.
А вообще, вспоминается честный Ахмед, как и всегда в таких случаях.
Ссылка в тему (касательно косяков CA вообще): https://git.cryto.net/joepie91/ca-incidents.
Доктор, а у меня вот не макбук, а китайский ноут (выпускаемой откровенно китайской компанией), и телефон на адроиде. Я совсем потерян для общества?
С мониторами тоже не совсем понял. Пинг до роутера у меня по WiFi, например, 2 мс. 60 герц — это один кадр в 16.(6) мс. Я не уверен, что я смогу эти допольнительные 2 мс заметить хоть как-то.
На всякий случай (потому что я сравниваю те 16 и 2): это не частота кадров снизится (очевидно), это просто каждый из этих кадров будет ещё на 2 мс позже.
Ммм. Честно говоря, я уже лет 7 пользуюсь беспроводной мышкой, и не испытываю с этим никаких проблем с задержками. Разве что аккумулятор поменял один раз (один AA Eneloop).
Wireless USB был, но он не взлетел. Media Agnostic USB ещё делали, как он там — не знаю, смотреть надо.