UnRAR source code may be used in any software to handle RAR archives without limitations free of charge, but cannot be used to develop RAR (WinRAR) compatible archiver and to re-create RAR compression algorithm, which is proprietary.
Лицензия запрещает использовать код unrar для создания rar, а людям хочется уметь создавать архивы тоже.
Яндекс видимо решил стабильно держаться в топе Хабра: сначала инцидент с NTP, теперь вот это. Интересно почитать как так вышло, что задело все зоны доступности
метрики должны быть на все генерирующие трафик (читай все io операции) компоненты.
К слову, в статье есть график с подписью «динамика числа отправляемых колонками NTP-запросов». Вопрос тут в том, почему на него никто не обратил внимание, но в статье пишут что банально уведомления не были настроены.
Не самый высокий приоритет был когда редкие технические продвинутые пользователи попадали на первую линию поддержки и писали «а у меня что-то станция часто запросы делает, это ок?».
Из текста, когда багу всё-таки обнаружили, её почти сразу пофиксили (пока ещё не осознавая масштабы проблемы) и медленно выкатывали (релизный цикл видимо порядка недели), а когда на хабре написали про большой факап всея рунета и популярно объяснили масштаб беды, предприняли альтернативные, но более рискованные меры.
ИМХО, это вполне себе высокий приоритет — в воскресенье применять правку конфига катить на 100% устройств — учитывая что дождаться обычной выктаки фикса оставалось всего около трёх дней.
Я бы лично настаивал на том чтобы докатить по стандартному флоу и без доп.рисков, нежели тратить свой выходной на то чтобы найти и придумать альтернативу, собрать фикс, выкатить, а утром понедельника рисковать увидеть новости в духе «Алисы по всей России перестали показывать время, миллионы будильников не сработали». Чай ещё три дня ддоса погоды рунету не сделают.
Да. Привычный hashmap внезапно превращается из замечательной коллекции с O(1) доступом в O(N). Это запросто приводит к O(N^2) от входных данных (контроллируемых злоумышленником) и резко усиливает эффективность атаки. Например, представьте что вам приходит массив некоторых сущностей и вы всегда проверяете, что у них всех различный ID.
Более того, в случае хэшмапы нельзя использовать криптографические функции, иначе ваш сервис ляжет и без зловредной нагрузки =)
PhantomData не позволяет как-то сделать множество мутабельных ссылок. В main() важна только сигнатура new(), которая гласит «захватывает мутабельную ссылку и возвращает объект с временем жизни не больше чем эта ссылка». Ну и ссылка будет захвачена до тех пор, пока живёт этот объект. Сам объект или функция new() тут уже никак не анализируется.
Учитывая количество уязвимых устройств — достаточно на них массово зарегистрировать принтер «Save To PDF» и ждать случайных срабатываний. Кто-нибудь, да выберет не тот пункт в менюшке.
Суть атаки в том, что добавление принтера в систему происходит без участия пользователя. Социальная инженерия нужна только чтобы запустить задание печати на этом принтере — только тогда выполняется произвольный код.
Не без этого, но всё-таки он скорее хотел привлечь внимание к уязвимости, потому что трёхнедельная переписка с разработчикам никаких плодов не дала.
не очень понимает, как оценивать CVSS score
Поэтому и ссылается на инженеров из RedHat, именно которые и нарисовали цифру 9.9. Откуда они это взяли — тот ещё вопрос, но видимо по каким-то формальным критериям сильно выстрелило.
No forking в данном контексте означает, что не выполняется системный вызов fork() для запуска других процессов. То есть, фактически, используются только built-in команды bash.
Если я правильно понял, то CrowdStrike это чисто B2B решение и простому пользователю на свой личный комп ставить его практически никакого смысла нет. Офисы с десктопами пострадали, да, но там у сотрудника доступы точно также зарезаны (вон даже антивирус стоит, хе).
там всё-таки pull-обновления
Я думаю, что и на винде тоже был pull, только автоматический. Push-уведомления делать неудобно.
следовательно ситуация снова чуть лучше.
Будь я каким-нибудь большим вендором, я бы в своём линуксовом ПО тоже делал автоматические обновление. Банально потому что иначе пользователи обновляться будут никогда, а поддерживать это всё мне. И точно также бы автоматически выкатил ломающее линукс обновление.
Если устройство находится под управлением вендора, то абсолютно неважно какая на нём ОС — сломаться оно может. Точно также, как может внезапно лечь весь Facebook из-за их внутренней проблемы с DNS. Или тысячи сайтов из-за выкатки бажного релиза Cloudflare. Все эти компании знают как такого не допускать, но факапы всё равно случаются :shrug:
Если вы этой возможности себя лишили - ССЗБ, конечно, но большинство так не делают.
Так пострадали-то, во многом, не просто домашние компьютеры, а всевозможные embedded-системы, в которых традиционно зарезают примерно всё что можно зарезать. И это не решение пользователя, это вендор запрещает загружаться из загрузчика, чтобы ничьи шаловливые ручки в системе антивирус не выключали.
НДФЛ обычно уплачивается сотрудником, поэтому первый вариант. Или, более строго, в графе «удержано» вашего расчётного листка число станет больше, а «начислено» будет столько же.
Если только вам не скорректируют заработную плату в трудовом договоре, но, вероятно, вы об этом узнаете =)
Если вы уже пишите на Go, то отказаться от статической линковки — задача нетривиальная. А если что так, что эдак, зависимости зашиваются в бинарник, то нет причин не уменьшить размер итогового образа.
Из статьи создаётся ощущение, что всё конец, энергии под новые ДЦ уже скоро будет не найти. Но как-будто бы проблема не нова. Та же металлургия уже давным-давно использует гигантские объёмы энергии — под такие заводы строятся электростанции, был бы источник энергии рядом. В конце-концов, построить газовую ТЭС на 250МВт вполне по силам гиперскйлерам — дорого только выйдет.
Здесь скорее новость в том, что ДЦ внезапно (с развитием ML) начали потреблять много энергии и имеющиеся электростанции уже не готовы так просто обеспечивать их дешёвой энергией, и нужно идти к государству и инвестировать в строительство новых площадок, а это быстро не сделается.
Как ровер может доставлять продукты медленнее человека?
Время от времени заказываю еду с помощью ровера — где-то 3+ раз медленнее человека (30 минут против 8).
Из того что наблюдал вживую: он довольно быстро катается по улицам, но очень пугается любых сложных ситуаций: тупит на переходах, рядом с людьми всегда останавливается, а двое роверов могут минуту две стоять друг напротив друга и очень осторожно пытаться разъехаться. Да ещё и при этом ездят только по знакомому им маршруту. В целом, никогда нельзя предположить время доезда, потому что даже если приложение показывает одну минуту, а осталась только прямые 50 метров и один переход, то он всё равно может где-то застрять на пять минут без какого-либо движения.
В то время как курьер на электровелосипеде отважно гонит самым коротким маршрутом и, со стороны, абсолютно ничего в этом мире не боится.
Почему-то я никогда не слышал ни об одной компании, которая блокировала у себя в сети доступ к AWS, чтобы сотрудники, не дай бог, случайно не подняли там business-critical сервис. Обычно можно просто объявить о необходимости использовать только единственное выбранное облако, а также осуществить туда переезд всех имеющихся сервисов. Проблема только в том, что никто этим заниматься не захочет, но проблемы планирования такие масштабных проектов давно известны, как и способы борьбы с ними.
Лицензия запрещает использовать код unrar для создания rar, а людям хочется уметь создавать архивы тоже.
Яндекс видимо решил стабильно держаться в топе Хабра: сначала инцидент с NTP, теперь вот это. Интересно почитать как так вышло, что задело все зоны доступности
К слову, в статье есть график с подписью «динамика числа отправляемых колонками NTP-запросов». Вопрос тут в том, почему на него никто не обратил внимание, но в статье пишут что банально уведомления не были настроены.
Не самый высокий приоритет был когда редкие технические продвинутые пользователи попадали на первую линию поддержки и писали «а у меня что-то станция часто запросы делает, это ок?».
Из текста, когда багу всё-таки обнаружили, её почти сразу пофиксили (пока ещё не осознавая масштабы проблемы) и медленно выкатывали (релизный цикл видимо порядка недели), а когда на хабре написали про большой факап всея рунета и популярно объяснили масштаб беды, предприняли альтернативные, но более рискованные меры.
ИМХО, это вполне себе высокий приоритет — в воскресенье применять правку конфига катить на 100% устройств — учитывая что дождаться обычной выктаки фикса оставалось всего около трёх дней.
Я бы лично настаивал на том чтобы докатить по стандартному флоу и без доп.рисков, нежели тратить свой выходной на то чтобы найти и придумать альтернативу, собрать фикс, выкатить, а утром понедельника рисковать увидеть новости в духе «Алисы по всей России перестали показывать время, миллионы будильников не сработали». Чай ещё три дня ддоса погоды рунету не сделают.
Да. Привычный hashmap внезапно превращается из замечательной коллекции с O(1) доступом в O(N). Это запросто приводит к O(N^2) от входных данных (контроллируемых злоумышленником) и резко усиливает эффективность атаки. Например, представьте что вам приходит массив некоторых сущностей и вы всегда проверяете, что у них всех различный ID.
Более того, в случае хэшмапы нельзя использовать криптографические функции, иначе ваш сервис ляжет и без зловредной нагрузки =)
PhantomData не позволяет как-то сделать множество мутабельных ссылок. В main() важна только сигнатура new(), которая гласит «захватывает мутабельную ссылку и возвращает объект с временем жизни не больше чем эта ссылка». Ну и ссылка будет захвачена до тех пор, пока живёт этот объект. Сам объект или функция new() тут уже никак не анализируется.
Пример работает потому что первая ссылка (slot) из-за non lexical lifetimes уничтожается раньше конца блока, чтобы не допустить нарушения правила. Если попытаться её всё-таки заставить существовать одновременно с another_ref, то всё рассыпается: https://play.rust-lang.org/?version=stable&mode=debug&edition=2021&gist=e10d0e0640175ff2f74aace396915ecd
Я тоже так сначала прочитал, но по тексту это только одна плашка и в итоге было установлено 32*6=192ГБ памяти
Учитывая количество уязвимых устройств — достаточно на них массово зарегистрировать принтер «Save To PDF» и ждать случайных срабатываний. Кто-нибудь, да выберет не тот пункт в менюшке.
Суть атаки в том, что добавление принтера в систему происходит без участия пользователя. Социальная инженерия нужна только чтобы запустить задание печати на этом принтере — только тогда выполняется произвольный код.
Не без этого, но всё-таки он скорее хотел привлечь внимание к уязвимости, потому что трёхнедельная переписка с разработчикам никаких плодов не дала.
Поэтому и ссылается на инженеров из RedHat, именно которые и нарисовали цифру 9.9. Откуда они это взяли — тот ещё вопрос, но видимо по каким-то формальным критериям сильно выстрелило.
Так уже есть Skype for Business — как раз-таки on-premise для компаний с AD
No forking в данном контексте означает, что не выполняется системный вызов fork() для запуска других процессов. То есть, фактически, используются только built-in команды bash.
Если я правильно понял, то CrowdStrike это чисто B2B решение и простому пользователю на свой личный комп ставить его практически никакого смысла нет. Офисы с десктопами пострадали, да, но там у сотрудника доступы точно также зарезаны (вон даже антивирус стоит, хе).
Я думаю, что и на винде тоже был pull, только автоматический. Push-уведомления делать неудобно.
Будь я каким-нибудь большим вендором, я бы в своём линуксовом ПО тоже делал автоматические обновление. Банально потому что иначе пользователи обновляться будут никогда, а поддерживать это всё мне. И точно также бы автоматически выкатил ломающее линукс обновление.
Если устройство находится под управлением вендора, то абсолютно неважно какая на нём ОС — сломаться оно может. Точно также, как может внезапно лечь весь Facebook из-за их внутренней проблемы с DNS. Или тысячи сайтов из-за выкатки бажного релиза Cloudflare. Все эти компании знают как такого не допускать, но факапы всё равно случаются :shrug:
Так пострадали-то, во многом, не просто домашние компьютеры, а всевозможные embedded-системы, в которых традиционно зарезают примерно всё что можно зарезать. И это не решение пользователя, это вендор запрещает загружаться из загрузчика, чтобы ничьи шаловливые ручки в системе антивирус не выключали.
НДФЛ обычно уплачивается сотрудником, поэтому первый вариант. Или, более строго, в графе «удержано» вашего расчётного листка число станет больше, а «начислено» будет столько же.
Если только вам не скорректируют заработную плату в трудовом договоре, но, вероятно, вы об этом узнаете =)
А что за проблема-то? Я до самого конца статьи ждал развязки
Особенно такая, которую пользователь может починить самостоятельно.
Очень интересно!
Если вы уже пишите на Go, то отказаться от статической линковки — задача нетривиальная. А если что так, что эдак, зависимости зашиваются в бинарник, то нет причин не уменьшить размер итогового образа.
Из статьи создаётся ощущение, что всё конец, энергии под новые ДЦ уже скоро будет не найти. Но как-будто бы проблема не нова. Та же металлургия уже давным-давно использует гигантские объёмы энергии — под такие заводы строятся электростанции, был бы источник энергии рядом. В конце-концов, построить газовую ТЭС на 250МВт вполне по силам гиперскйлерам — дорого только выйдет.
Здесь скорее новость в том, что ДЦ внезапно (с развитием ML) начали потреблять много энергии и имеющиеся электростанции уже не готовы так просто обеспечивать их дешёвой энергией, и нужно идти к государству и инвестировать в строительство новых площадок, а это быстро не сделается.
Зачем же чёрный квадрат. Можно просто заблюрить.
Время от времени заказываю еду с помощью ровера — где-то 3+ раз медленнее человека (30 минут против 8).
Из того что наблюдал вживую: он довольно быстро катается по улицам, но очень пугается любых сложных ситуаций: тупит на переходах, рядом с людьми всегда останавливается, а двое роверов могут минуту две стоять друг напротив друга и очень осторожно пытаться разъехаться. Да ещё и при этом ездят только по знакомому им маршруту. В целом, никогда нельзя предположить время доезда, потому что даже если приложение показывает одну минуту, а осталась только прямые 50 метров и один переход, то он всё равно может где-то застрять на пять минут без какого-либо движения.
В то время как курьер на электровелосипеде отважно гонит самым коротким маршрутом и, со стороны, абсолютно ничего в этом мире не боится.
Почему-то я никогда не слышал ни об одной компании, которая блокировала у себя в сети доступ к AWS, чтобы сотрудники, не дай бог, случайно не подняли там business-critical сервис. Обычно можно просто объявить о необходимости использовать только единственное выбранное облако, а также осуществить туда переезд всех имеющихся сервисов. Проблема только в том, что никто этим заниматься не захочет, но проблемы планирования такие масштабных проектов давно известны, как и способы борьбы с ними.