Привет, Хабр!

Apple славятся заботой о своих пользователях в вопросах безопасности и удобства пользования. Они щедро вознаграждает исследователей безопасности, которые помогают исправить уязвимости в их продуктах.  На международной арене у них одни из самых высоких вознаграждений. Однако все чаще их обвиняют в недобросовестном отношении к исследователям, нашедших уязвимости на их платформах.

Нам довелось проверить это на себе.

А вы знали, что электронная подпись юридического лица дает возможность заходить на "Госуслуги" частного лица и .... делать почти все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, заявления, налоги) и т. п.?

А что в Ваш личный кабинет на Госуслугах можно зайти даже по заблокированной подписи? Тоже не знали? Тогда подробности под катом.

Система доменных имён разрабатывалась как замена hosts файлам, и в то время, в ограниченной среде университетских сетей никто не думал о безопасности. Всё основывалось на доверии. Ещё буквально лет 8-10 назад никто не думал о том, что трафик между сервером DNS и клиентом можно записывать для продажи, либо заменять для достижения своих целей. Но уже в то время существовали трояны, добавляющие записи в локальный файл hosts, чтобы перенаправлять пользователей на подконтрольные серверы. В последние несколько лет появилось несколько новых протоколов, которые помогают устранить перехват или подмену трафика DNS. Но это только смещение точки доверия от одной группы провайдеров, к другой.

Но есть способ сделать создание и синхронизацию доменных имён и записей DNS очень простыми, да ещё и безопасными и не подверженными цензуре.

Поговорим о средствах защиты всем знакомых технологий Wi-Fi и Bluetooth. И причём тут блокчейн?

В предыдущей заметкe нами была рассмотрена возможность идентификации сущностей (предметов) посредством устойчивых (immutable) понятий и CID. Выглядит это, вроде бы, не плохо, однако пока не совсем ясно, как сие можно использовать.

Существует огромное множество стилей веб-дизайна, но глобально их можно разделить на два больших направления: минимализм и морфизм (по крайней мере, так было до появления миниморфизма)

Конечно, нельзя называть Apple Pay анонимным в принципе, хотя бы потому что к ней привязана наша банковская карта. Однако, в момент оплаты что о нас узнаёт продавец? Какие наши персональные данные получает продавец от Apple Pay? Можно ли избежать передачи данных и, тем самым, сделать оплату анонимной в глазах продавца?

Этот день наступил. Вчера, после подписи президента Зеленского, официально вступил в силу законопроект №4303 - рамковая основа спецрежима "Дія.City".

К сожалению, худшие наши опасения подтвердились: власть проигнорировала мнение ИТ-специалистов, то бишь всех нас, кое-где просто промолчав, а в некоторых местах - откровенно соврав.

Тем не менее, это абсолютно не повод сдаваться и добровольно соглашаться на худшее. Любой закон не стоит и чернил с бумагой, на которых написан, если он не выполняется. В нашей индустрии, главный актив - это люди, специалисты, которые непосредственно выполняют работу, с продажи результатов которой затем и извлекается маржа. Именно от нашей позиции полностью зависит реальное отношение бизнеса к этому цифровому колхозу, а также то насколько осуществятся намерения власти загнать олицетворяющую для нас дело всей жизни индустрию в коррупционное стойло.

Сомнений никаких нет в том, что именно это является главной целью инициаторов из Министерства цифровой трансформации Украины. За последние 7 лет объём ИТ-экспорта вырос на 175%, количество занятых в индустрии - примерно на 125%, суммарный объём уплачиваемых налогов в госбюджет в прошлом году превысил 20 миллиардов гривен, а в этом - наверняка достигнет миллиарда долларов США. Столь лакомый кусок не мог остаться без внимания.

Но факт в том, что именно нынешние условия - возможность для ИТ-специалистов работать через ФОП, - и обеспечили вышеуказанные темпы развития. Для сравнения, общемировой рост за те же последние 7 лет не превышал 6-7%. Ощущаете разницу?

В 2019-м году у власть-придержащих Украины наконец то появилась идея о том, как раскулачить этих зажравшихся гадов айтишников — они придумали Дия-сити. Суть этой организации в том, чтобы отделить АйТи от остальной экономики загнав в отдельный загончик и там уже делать что хочешь. Для фирм, которые отказываются в эту какашку вступать — предусмотрены неправомерные обыски именуемые в народе маски-шоу и другое административное давление. Для согласных — налоговые льготы (впрочем, весьма эфемерные, по состоянию на август 2021 года налоговый законопроект завис в парламенте) и возможность вопреки Конституции забрать у трудовых ресурсов право свободно выбирать место работы — договора о т.н. "неконкуренции". Согласно новому закону, резидент Дия-сити имеет право заставить работника заключить договор о том, что в течении года он не будет работать на конкурентов. Кто такие “конкуренты” закон не определяет. Более того — само определение "конкурентных действий" не обозначено: то бишь это вполне может быть использование некоего языка программирования, фрэймворка, IDEшки, - всё что в голову взбредёт! Можно будет запретить работать вообще везде, выплатив за это компенсацию равную 1 (одной) гривне, поскольку в отличие от большинства стран с развитым айти минимальная сумма компенсацию за неконкуренцию не определена. 

Главное юридическое управление при Верховной раде Украины было настолько обескуражено законопроектом, что в официальном документе назвало его “юридическим франкенштейном”. Сам факт перехода официального государственного органа с сухой бюрократической риторики на столь кричащие сравнения уже показателен, — но это не помешало принять этого монстра во втором чтении и теперь он ждёт подписи президента Украины.

В этой статье описаны результаты двухмесячных экспериментов с IPFS. Главным итогом этих экспериментов стало создание proof-of-concept стримингового аудио плеера, способного формировать фонотеку исключительно на основе информации, публикуемой в распределённой сети IPFS, начиная с метаданных (название альбома, треклист, обложка), заканчивая непосредственно аудио-файлами.

Таким образом, будучи десктопным electron-приложением, плеер не зависит ни от одного централизованного ресурса.

Существенное слабое место сети I2P заключается в необходимости обращения к одному из стартовых узлов через обычный интернет при первом запуске. Пакет с начальным рисунком сети в виде нескольких случайных роутеров и узел, который его отдает, называются ресидом. Стартовые узлы держат энтузиасты, их список имеется в общем доступе и нередко претерпевает изменения в силу обычных человеческих обстоятельств. Бутылочное горлышко заключается в возможности на стороне провайдера идентифицировать большинство обращений к ресиду через мониторинг DNS-запросов, а также в блокировке доменов стартовых узлов, что затруднит первый запуск для неопытного пользователя, т.к. потребует использование прокси или VPN.

Yggdrasil – один из немногих работоспособных протоколов меш-сетей. Основная концепция заключатся в автоматической маршрутизации во внутренней IPv6 подсети (200::/7) и абсолютной масштабируемости. Yggdrasil является полностью одноранговой сетью: не существует каких-либо «мастер-узлов», которым делегируется какая-то глобальная ответственность.

С версии 2.36.0 i2pd имеет несколько новых конфигурационных параметров, главный из которых meshnets.yggdrasil = true Этот параметр не зависит от конфигурации IPv4 и IPv6. В частности, реальные сетевые интерфейсы могут быть отключены. В таком случае I2P-роутер будет работать в режиме Yggdrasil-Only.

Хочу поделиться радостной новостью, если у вас есть домен на reg.ru или его партнерах 2domains.ru или других, то возможно это не надолго, в смысле есть он у вас не надолго.

После разбирательства оказалось мой регистратор, без единого письма на почту передал мой домен другому лицу, а потом отправил его другому регистратору. Как так получилось?

SSB (Secure Scuttlebutt) - это децентрализованная социальная сеть и протокол, на основе которого она работает. git-ssb заворачивает обычные git-репозитории в этот протокол. SSB хочет заменить собой Facebook, а git-ssb - GitHub. Под катом - краткое руководство по git-ssb. Актуально для тех, кому дискомфортна сама идея использования централизованных сервисов в качестве посредника. Своеобразная красная таблетка с полагающимися в этом случае неожиданными последствиями.

Свежая подборка со ссылками на новости и материалы. В выпуске: Enum в PHP 8.1, удаление Serializable и ограничение $GLOBALS, а также другие новости из PHP Internals, PhpStorm 2020.3, Symfony UX, порция полезных инструментов, видео, и первый PHP Дайджест Стрим.

Приятного чтения!