Сковорода Никита Андреевич
@ChALkeRx
re-evaluating native module sources is not suppor…
Information
- Rating
- Does not participate
- Location
- Москва, Москва и Московская обл., Россия
- Registered
- Activity
re-evaluating native module sources is not suppor…
Information
Имхо лучше было повторить ещё раз сжато, потому что явно не все понимают, что произошло (см. комментарий от nikitasius чуть выше моего, например), а Cloudflare в своём посте несколько приуменьшили масштабы проблемы (см. цитату из того комментария, например).
Я не думаю, что на данный момент от ещё одного повторения станет тошно достаточному количеству человек, чтобы оправдать отсутствие оповещения тех, кто не понял ещё =).
Точнее (зануда-моуд): я думаю, что пока что польза от того, что так больше человек поймут что случилось и примут соответствующие меры для защиты своих личных данных или сервисов, которыми они управляют, больше, чем вред от того, что другим людям станет тошно от того, что они ещё раз видят повторение описания ситуации.
Ещё раз, для непонявших: ваши пароли от digitalocean, coinbase, patreon, news.ycombinator.com, medium, uber, zendesk, 10% других популярных сайтов и 5% остальных интернетов могли оказаться где угодно в публичных данных.
Но, собственно, я не особо сильно удивлён этим событием.
Сначала доверить свои данные глобальному MitM а потом удивляться, что он, внезапно, кривой и отдаёт ваши данные не только тем, кому положено, но и тем, кому не положено.
Сколько раз уже похожее было в других технологиях.
Вы недооцениваете масштабы проблемы.
Вкратце: любые приватные данные, передаваемые через cloudflare (например, залогиненным пользователям), могли утечь другим людям, а так же остаться в любом кэше (гугла, интернет архива, других поисковиков). И да, они там действительно были найдены. И сейчас нет никакой возможности отследить, какие данные утекли. И я далеко не уверен, что кто-то не нашёл это раньше и не собирал это всё втихую.
И нет, пострадали не только те сайты, которые использовали «three minor Cloudflare features», пострадали остальные, а в те встраивалось содержимое других сайтов.
Это полная задница, если честно.
Ну вы и сказали, конечно.
Вот так будет более значимо (ссылка):
У вас в слове пони две опечатки. ;-)
Спасибо. Прочитал статью и комментарии мельком (первый раз услышал про них), посмотрел отзывы в интернете на конкретную модель (потому что в статье таки много весьма спорных утверждений), заказал R+ Legend за $38 (2.2к, но я долларами плачу). Посмотрим, что будет.
А чем вывод
head -c 555 /dev/urandom | base64
(илиdd status=none if=/dev/urandom bs=555 count=1 | base64
) хуже?Помните, что openssl и был тем самым, кто использовал неинициализированные куски памяти в ходе сбора энтропии и как дебиане мейнтейнеры это «пофиксили» закомментировав кусок кода, и там в качестве энтропии остался только PID? Если нет, напомню: в 2008 это нашли и очень радовались: https://www.schneier.com/blog/archives/2008/05/random_number_b.html
С «сильным» ИИ всё очень непросто.
Да и с «объективностью» ИИ в дискуcсионных вопросах есть некоторые сложности:
Кратко — ИИ создаются людьми и обучаются на данных, составленных людьми, и эти данные могут быть необъективны (и зачастую так и есть). И в спорных вопросах очень сложно (и вообще не очень понятно как) сделать обучающие входные данные объективными.
Нет, это из поста не следует =).
Пост намекает, что надо было использовать CSPRNG везде, а не непойми чего. Ключевое свойство — непредсказуемость.
Причём очень многие люди почему-то любят лезть в генератор псевдослучайных чисел и как-то «улучшать» его поверх системного: «кормить» энтропию (привет пользователям), написать поверх ещё свои юзерспейсные алгоритмы и «источники энтропии» (работающие через одно место), которые либо сломаны сами, либо которые потом другие люди радостно ломают (привет дебиану), в результате получается полный абзац.
Не знаю, на чём сейчас строят игровые автоматы (возможно, те модели лет 20 назад разрабатывались, не знаю), но на подавляющем большинстве современных систем надо просто использовать
/dev/urandom
для получения всех псевдослучайных чисел, в т.ч. для криптографических нужд. Ну или вызовgetrandom
на линуксе (который аналогичен чтению из/dev/urandom
).Нет, это не должно так работать.
Ага. И при регистрации гражданство и номер страховки спрашивать.
Обратите внимание, что это поделие на реестр завязано и прописывается в автозагрузку.
Кстати, эта штука тривиально роняется лёгким изменением на сервере.
Это вы ещё габартиный огонь для велосипедистов не видели.
Я одного не понял — а почему у вас в тексте всего одна ссылка (если не считать логотип YouTube внутри айфрейма), и она никак не относится к делу, а ведёт на приглашение тестирования ваших товаров? Как из статьи попасть на сайт производителя лампы или на страницу кикстартера с этой лампой?
И я не проглядел — я даже специально через код страницы проверил, только одна ссылка в тексте.
Опять же, они измеряют длину пальцев от основания каждого пальца (которые могут быть на разной высоте), а не просто по верхней точке =).
А вот это уже интересно, спасибо за ссылку.
Судя по картинке, они измеряют длину самого пальца от его основания, а не просто то, где он заканчивается. А в спокойном положении руки основание указательного может быть чуть больше выдвинуто. Поверните пальцы всей ладони влево, чтобы было визуально одинаково =).
Но да, эта штука с длиной пальцев всё равно выглядит очень сомнительно, учитывая то, что предыдущие такие «закономерности» оказались ерундой. Было бы очень хорошо, если бы автор включил ссылки на отрецензированные и опубликованные исследования об этом.