В Питер снова пришла осень, и рабочее настроение, которое подвергалось постоянной атаке солнечной радиации вот уже целую неделю, решило, что с него хватит, и улетело в ещё не задраенную форточку.

«Отлично, — подумал я, — самое время поковырять какой-нибудь движок, пока оно не вернулось!»

Сказано — сделано. Под катом предлагаю небольшой обзор уязвимости в распространённом движке фото-галереи на PHP и о том, как можно положить любой сайт, использующий getimagesize(), с помощью бородатой zip-бомбы (или пета-бомбы).

Давным-давно, в 1996 году палмы назывались пилотами, и выпускала их компания U.S. Robotics (как и модемы). Мне удалось достать их самый ранний КПК — U.S. Robotics Pilot 5000 — с прокачанной до 1Мб памятью: да-да, в то время карманные компьютеры поддерживали апгрейд (привет Google Project Ara) — можно было получить ИК порт и больше памяти, или например модуль приема пейджинговых сообщений).

Процессор — Motorola Dragonball, работающий на частоте 16Мгц. Впрочем, этого было более чем достаточно для любых применений: в PalmOS 1.0 правильно написанные приложения были «всегда запущены» — и переключение между ними было практически мгновенным. Монохромный экран с разрешением 160x160 пикселей и без подсветки — жрал минимум энергии.

Не знаю как вам, а мне всегда было интересно: как выглядел бы мир, если бы цветовые каналы RGB в глазу человека были чувствительны к другому диапазону длин волн? Порывшись по сусекам, я обнаружил инфракрасные фонарики (850 и 940нм), комплект ИК фильтров (680-1050нм), черно-белую цифровую камеру (без фильтров вообще), 3 объектива (4мм, 6мм и 50мм) расчитанные на фотография в ИК свете. Что-ж, попробуем посмотреть.

На тему ИК фотографии с удалением ИК фильтра на хабре уже писали — на этот раз у нас будет больше возможностей. Также фотографии с другими длинами волн в каналах RGB (чаще всего с захватом ИК области) — можно увидеть в постах с Марса и о космосе в целом.

Arduino, RaspberryPi,… Эти слова всё чаще встречаются в Сети в контексте создания управляющих контроллеров для всякого применения, от умного дома до мигания светодиодами. Несмотря на техническую навороченность, эти железки до ужаса скучные. Посудите сами: подал питание, загрузил программу,… и всё! А что делается внутри кремния, установленного на печатную плату — сие нам не ведомо. Или неинтересно?
Поводом решения проблемы «неинтересности» стала любовь к процессору 6502, на котором собирались первояблоки и еще кое-кем помнимые «Агаты», а также кучка валяющихся без дела микросхем. Схем на этом процессоре в Интернете много, но тех, которые могли бы быть полезными в хозяйстве — практически нет. Результат работы — контроллер «Аюша», уже готовый захватывать управлять миром, помогать нам в любительской лаборатории, схемотехнику которого мы знаем, можем изменять по своим прихотям, и который в большинстве случаев применения заменяет *дуины и аналогичные борды.

Ночью мне не спалось из весенней хандры и чтобы отвлечься от грустных мыслей, начал придумать различные изобретения. И вот придумал, как сделать миниатюрный ЭЛТ монитор. ЭЛТ — потому, что я в принципе люблю ламповую технику, а уж тем более устройство отображения информации. Для начала покажу результат.


Тёплый ламповый дебиан lxde

Миниатюрный ЭЛТ-монитор размером всего 1 см! И сделать это очень просто и сможет каждый! Поехали!

Знакомьтесь, это обычный «литровый» пакет молока:

• Проверка на внимательность: там 900 грамм. Рядом несколько по 950. Но пакет может быть воспринят как литровый.
• Проверка на знание физики. Рядом лежит похожий кефир. Объём измеряется в миллилитрах, масса — в граммах. Плотность кефира трагически выше плотности воды. То есть 900 грамм кефира 3,2% жирности — это примерно 874,5 миллилитров.

Второй пациент:



25 лет гарантии. Круто, правда? Есть одна проблема. Надо сохранять чек. Проверка, опять же, на знание физики. Чек у них печатается на обычной кассовой термоленте (я проверил на месте). У меня в офисе лежит много чеков. Мы их ксерокопируем, потому что через год-два они полностью выцветают. Самый старый чек, который видел коллега, держался 3 года в папке в архиве. UPD: смотрите самый низ топика, Икея ответила.

В общем, мы немного прогулялись по магазинам в режиме отладки. Извините за некоторый оффтопик по отношению к текущему хабу, но понимание некоторых вещей требует базовых технических знаний и мышления.

Осторожно, трафик: под катом много находок с фотографиями.

Полтора месяца назад, chr13 обнаружил способ произвести DDoS любого сайта с помощью Google Spreadsheet, а теперь же он применил такой способ в Facebook Notes. И он сработал!

Способ эксплуатации совершенно такой же, как и в Google Spreadsheet:

1. Сделайте список «уникальных» «картинок»
   

   <img src=http://targetname/file?r=1></img>
   <img src=http://targetname/file?r=2></img>
   ...
   <img src=http://targetname/file?r=1000></img>

2. Создайте заметку через m.facebook.com. Сервис обрежет заметку после какой-то фиксированной длины
3. Создайте несколько таких заметок под одним или несколькими пользователями. Каждая заметка будет делать 1000+ HTTP-запросов
4. Откройте все заметки одновременно. Указанный сервер получит гору HTTP-трафика. Тысячи запросов уйдут на сервер в течение пары секунд.

Флешки к нам в лабораторию на восстановление данных приносят почти ежедневно. Однако, за последние годы, всё чаще и чаще начали приносить миниатюрные, при разборе которых выясняется особенный конструктив изготовления — Monolith.



В кругу ремонтников мы прозвали такое исполнение корпуса «монолит». Из-за того, что микросхема контроллера и микросхема памяти NAND выполненны в «одном флаконе».

Доброго времени суток.

Совсем недавно я считал, что сделать робота — это дорого. Ну, не так чтобы миллион, но тысяч 5-10 точно. Именно поэтому я не думал в этом направлении и даже не рассматривал такую возможность — создать что-то движущееся и реагирующее на внешний мир. Однако, после вот этого топика roboforum.ru/forum88/topic2214.html мое представление изменилось и я загорелся идеей.

Вниманию представляется краткое описание 6 бюджетных платформ для робота до 2000 рублей. Оценка субъективна, буду рад, если хабровчане подкинут ссылок и примеров на другие бюджетные платформы и возможности, которые я упустил.

Для всех примеров приведены ссылки на Ebay, на момент статьи, выбирал самые дешевые предложения. Перед тем как делать заказ — посмотрите на рейтинг продавца, почитайте отзывы и убедитесь в стоимости доставки. А то у меня были прецеденты.

Платформа из игрушек за 300 рублей

Плюсы: Дешево. Самый дешевый вариант колесной платформы, который можно придумать. Делается из всего, что может ездить на колесах и имеет моторчик. Необходимо минимум 2 мотора для создания управляемой платформы.

Минусы: Хлипкость конструкции, пластик, необходимость продумать основу для управляющей платы, непонятные моторы, неизвестные параметры редукторов, отсутствие нормальных креплений для датчиков.

Я не люблю делать то, что делает большинство. Возможно, именно поэтому в пионеры меня принимали одним из последних в классе, вместе с отъявленными двоечниками, несмотря на мою хорошую успеваемость. А чем же занято теперь большинство, что делают и для каких устройств? Да, естественно, это же «кастомы» для бесчисленной армии устройств на платформе android, далее в списке могут следовать прошивки для роутеров и модемов, а замыкать список можно прошивками для, доживающих свой век, ТВ-плееров. Такая иерархия устройств с прошивками здесь условна, а вот будет ли являться безусловным фактом то, несет ли изложенный материал в себе какую-либо пользу хоть для кого-нибудь, можно ответить лишь прочитав его.

Представляю вашему вниманию обзор и мои субъективные оценки некоторых специализированных способов обхода блокировок со стороны провайдеров или сетевых администраторов.

1. Аддоны для браузеров

ZenMate (Chromium-based, Firefox, Android, iOS)

• Удобство использования: 5/5
• Скорость: 5/5
• Шифрование трафика: Да (TLS)
• Анонимность: Да
• Проксирование всего трафика: Да
• Выборочное проксирование: Да

    Описание:
        Хороший, быстрый аддон.
        На момент тестирования было доступно 5 прокси в разных странах.

    Плюсы:
        Высокая скорость работы аддона
        Быстрые прокси

    Минусы:
        Требуется регистрация в сервисе

Недавно понадобилось поставить новую wifi карточку стандарта ac в свой ноутбук Lenovo x230, в котором есть whitelist для wlan карточек. Ниже опишу свои изыскания по отключению whitelist'а.

Некоторые люди, которые интересуются нашими услугами, задают вопрос: «Серверы, которые вы предоставляете, новые или б/у?» Именно этот вопрос побудил нас немного углубиться в теорию надёжности и рассказать, чем не совсем новый сервер лучше совсем нового, а также какой смысл надписи «Срок службы» в документации к Вашему холодильнику, почему и из каких соображений нужно заранее думать о замене рабочего ноута и некоторые другие интересные вещи.

На хабре было несколько статей по преобразованию Фурье и о всяких красивостях типа Цифровой Обработки Сигналов (ЦОС), но неискушённому пользователю совершенно не понятно, зачем всё это нужно и где, а главное как это применить.


АЧХ шума.

Лично мне после прочтения этих статей (например, этой ) не стало понятно, что это и зачем оно нужно в реальной жизни, хотя было интересно и красиво.
Хочется не просто поглядеть красивые картинки, а так сказать, ощутить нутром, что и как работает. И я приведу конкретный пример с генерацией и обработкой звуковых файлов. Можно будет и послушать звук, и поглядеть его спектр, и понять, почему это так.
Статья не будет интересна тем, кто владеет теорией функций комплексной переменной, ЦОС и прочими страшными темами. Она скорее для любопытствующих, школьников, студентов и им сочувствующих :).

Для ребёнка, внимание к собственной памяти также важно как и для взрослого человека. Фокус в том, как показать человеку, который ещё не умеет толком считать до 5, что у него есть такая вещь как память и что она делает.

Поделюсь собственным опытом, который некоторые знакомые назвали опасными экспериментами с детской психикой. Что ж, в этом и есть фишка родительства — ты можешь экспериментировать с детской психикой, тем более, это в любом случае происходит.

Смех продлевает жизнь

Как известно, вчера мы насладились то ли суперсарказмом, то ли гэгом, то ли «у автора весеннее обострение» — на тему «как нам обустроить рабкрин» «Как нам выстроить информационную защиту России».

Попробуем разобрать — что же в предложенном «не так». Как известно — не знаешь как изложить материал — придерживайся методички.

1. Что это?
2. Для кого это?
3. Как этим пользоваться?

И вот только после этого можно переходить к деталям.

Увы — в исходном тексте важной преамбулы не оказалось. Простите — а от кого мы собираемся защищаться? Зачем? Какие именно угрозы нам необходимо пресечь или хотя бы ослабить?

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Что может узнать атакующий

Приватный ключ TLS сервера, приватный ключ TLS клиента (если клиент уязвим), cookies, логины, пароли и любые другие данные, которыми обменивается сервер и его клиенты. При этом не нужно прослушивать канал связи, достаточно послать специально сформированный пакет, и это нельзя обнаружить в логах сервера.

Уязвимость двусторонняя: если уязвимый клиент подключается к серверу злоумышленника, то злоумышленник может читать память процесса клиента. Пример уязвимых клиентов: MariaDB, wget, curl, git, nginx (в режиме прокси).

Насмотревшись на youtube видео про гексаподов (особенно впечатлил PhantomX), решил попробовать свои силы в роботостроении. Забегая вперёд — всё получилось и вот результат:



Всех интересующихся прошу под кат, там вкратце описана история создания и трудности с которыми пришлось столкнуться, а так же видео работы гексапода. Ни каких графиков, схем и кода, только лирика.

Добрый день, уважаемые хабровчане.
Как-то вечером мне стало скучно и я решил собрать небольшое электронное устройство из валяющихся дома компонентов, чисто для развлечения, безо всякой практической цели. Повторить его может любой желающий, не потребуется даже печатной платы — устройство собрано из минимума электронных компонентов «навесу», приклено при помощи эпоксидки к какой-то ненужной плате, исключительно как к элементу конструкции, спаяно при помощи проволочек и залито той же самой эпоксидкой для надежности.
Итак, делаем электронную флейту!