Pull to refresh
4
0
Сковорода Никита Андреевич @ChALkeRx

re-evaluating native module sources is not suppor…

Send message

Имхо лучше было повторить ещё раз сжато, потому что явно не все понимают, что произошло (см. комментарий от nikitasius чуть выше моего, например), а Cloudflare в своём посте несколько приуменьшили масштабы проблемы (см. цитату из того комментария, например).


Я не думаю, что на данный момент от ещё одного повторения станет тошно достаточному количеству человек, чтобы оправдать отсутствие оповещения тех, кто не понял ещё =).


Точнее (зануда-моуд): я думаю, что пока что польза от того, что так больше человек поймут что случилось и примут соответствующие меры для защиты своих личных данных или сервисов, которыми они управляют, больше, чем вред от того, что другим людям станет тошно от того, что они ещё раз видят повторение описания ситуации.

Ещё раз, для непонявших: ваши пароли от digitalocean, coinbase, patreon, news.ycombinator.com, medium, uber, zendesk, 10% других популярных сайтов и 5% остальных интернетов могли оказаться где угодно в публичных данных.

Но, собственно, я не особо сильно удивлён этим событием.


Сначала доверить свои данные глобальному MitM а потом удивляться, что он, внезапно, кривой и отдаёт ваши данные не только тем, кому положено, но и тем, кому не положено.


Сколько раз уже похожее было в других технологиях.


Вы недооцениваете масштабы проблемы.


Вкратце: любые приватные данные, передаваемые через cloudflare (например, залогиненным пользователям), могли утечь другим людям, а так же остаться в любом кэше (гугла, интернет архива, других поисковиков). И да, они там действительно были найдены. И сейчас нет никакой возможности отследить, какие данные утекли. И я далеко не уверен, что кто-то не нашёл это раньше и не собирал это всё втихую.


И нет, пострадали не только те сайты, которые использовали «three minor Cloudflare features», пострадали остальные, а в те встраивалось содержимое других сайтов.


Это полная задница, если честно.

Среди клиентов Cloudflare — такие клиенты как Uber, OK Cupid и Fitbit

Ну вы и сказали, конечно.


Вот так будет более значимо (ссылка):


CloudFlare essentially controls 11% of the 10k biggest websites, over 8% of the 100k biggest websites, and almost 5% of sites on the entire web

У вас в слове пони две опечатки. ;-)

Но ещё февраль же.

Спасибо. Прочитал статью и комментарии мельком (первый раз услышал про них), посмотрел отзывы в интернете на конкретную модель (потому что в статье таки много весьма спорных утверждений), заказал R+ Legend за $38 (2.2к, но я долларами плачу). Посмотрим, что будет.

А чем вывод head -c 555 /dev/urandom | base64 (или dd status=none if=/dev/urandom bs=555 count=1 | base64) хуже?


Помните, что openssl и был тем самым, кто использовал неинициализированные куски памяти в ходе сбора энтропии и как дебиане мейнтейнеры это «пофиксили» закомментировав кусок кода, и там в качестве энтропии остался только PID? Если нет, напомню: в 2008 это нашли и очень радовались: https://www.schneier.com/blog/archives/2008/05/random_number_b.html

сильно поможет сильный ИИ

С «сильным» ИИ всё очень непросто.


Да и с «объективностью» ИИ в дискуcсионных вопросах есть некоторые сложности:



Кратко — ИИ создаются людьми и обучаются на данных, составленных людьми, и эти данные могут быть необъективны (и зачастую так и есть). И в спорных вопросах очень сложно (и вообще не очень понятно как) сделать обучающие входные данные объективными.

Из поста следует, что если вы знаете как программисты генерируют случайные числа — то тюрьма ваш дом родной.

Нет, это из поста не следует =).


Пост намекает, что надо было использовать CSPRNG везде, а не непойми чего. Ключевое свойство — непредсказуемость.


Причём очень многие люди почему-то любят лезть в генератор псевдослучайных чисел и как-то «улучшать» его поверх системного: «кормить» энтропию (привет пользователям), написать поверх ещё свои юзерспейсные алгоритмы и «источники энтропии» (работающие через одно место), которые либо сломаны сами, либо которые потом другие люди радостно ломают (привет дебиану), в результате получается полный абзац.


Не знаю, на чём сейчас строят игровые автоматы (возможно, те модели лет 20 назад разрабатывались, не знаю), но на подавляющем большинстве современных систем надо просто использовать /dev/urandom для получения всех псевдослучайных чисел, в т.ч. для криптографических нужд. Ну или вызов getrandom на линуксе (который аналогичен чтению из /dev/urandom).

автомат-то настроен получать прибыль, и если один выиграл больше, то другой выиграет меньше

Нет, это не должно так работать.

Ага. И при регистрации гражданство и номер страховки спрашивать.

А реестр в Mono есть? Я давно не смотрел.
Обратите внимание, что это поделие на реестр завязано и прописывается в автозагрузку.

Кстати, эта штука тривиально роняется лёгким изменением на сервере.

Это вы ещё габартиный огонь для велосипедистов не видели.

Я одного не понял — а почему у вас в тексте всего одна ссылка (если не считать логотип YouTube внутри айфрейма), и она никак не относится к делу, а ведёт на приглашение тестирования ваших товаров? Как из статьи попасть на сайт производителя лампы или на страницу кикстартера с этой лампой?


И я не проглядел — я даже специально через код страницы проверил, только одна ссылка в тексте.

Опять же, они измеряют длину пальцев от основания каждого пальца (которые могут быть на разной высоте), а не просто по верхней точке =).

А вот это уже интересно, спасибо за ссылку.

Судя по картинке, они измеряют длину самого пальца от его основания, а не просто то, где он заканчивается. А в спокойном положении руки основание указательного может быть чуть больше выдвинуто. Поверните пальцы всей ладони влево, чтобы было визуально одинаково =).


Но да, эта штука с длиной пальцев всё равно выглядит очень сомнительно, учитывая то, что предыдущие такие «закономерности» оказались ерундой. Было бы очень хорошо, если бы автор включил ссылки на отрецензированные и опубликованные исследования об этом.

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity