В случае использования VPN (если не брать во внимание извраты типа двойного VPN), выходной узел (VPN-сервер) знает одновременно и клиента, и куда (на какой ресурс) тот идёт. В Tor - нет, там знание "кто" и "куда" разнесено между разными узлами, а для их сопоставления атакующему нужно затратить гораздо больше усилий.
Он сразу и удаляет, да. История-то вся синхронизируется
Я бы на месте разработчиков сделал сообщения от системы неудаляемыми и чтобы статус их прочиенности тоже не синхронизировался (чтобы атакующий не мог пометить сообщение о новом входе как прочитанное или удалить).
Отправить через форму обратной связи телеги не жалобу "аккаунт угнали, помогите", а просьбу убить все активные сессии (потому что проблема была в том, что атакующий, выждав, пока его сессия "отлежалась", закрыл все прочие сессии и оперативно мочил новые.
После этого (но не факт, что вследствие этого) злоумышленник вылогинился. Возможно, это просто совпадение, он банально закончил окучивать мамонтов и свалил, на всякий случай прибив свою сессию.
то после истечения определенного кол-ва времени, мошенник становится владельцем аккаунта
Не становится он никаким "владельцем аккаунта", у телеграма даже понятия такого нет. Просто сессия должна просуществовать определённое время, для того, чтобы с неё можно было убивать другие сессии.
Благодаря этому, у пользователя, хотя бы, есть теоретическая возможность проглядывать периодически список активных сессий и заметить злоумышленника. Иначе, тот бы вообще сразу вышибал все остальные. Причём, это ещё какой-то тормозной атакующий попался, руками он что ли попытки автора залогиниться вышибал, раз у автора была прорва времени, чтобы задать почту и облачный пароль? Обычно убиение сессий автоматизируют.
Влиять оно может в каких-то ультра-редких сценариях, поэтому и проблема незначительная (например, это возникает пару раз в год у одного пользователя на сто тысяч).
А я хожу через обычный SOCKS5. Потому что поднимается он буквально 10 строчками в конфиге и поддерживается из коробки каждым вторым приложением. Нет шифрования? Да и хрен с ним, внутри и так почти все обернуто HTTPS, а браузеры уже даже автоматически пытаются апгрейдить HTTP до HTTPS.
И самое главное и удивительное: пока идёт война с более сложными протоколами, SOCKS никто в России не трогает.
По этому поводу, емнип, @schors высказывал догадку, что цензоры играют в крутых инженеров, поэтому им интереснее бодаться со сложными протоколами, а не с примитивными и окаменелыми.
Не обновлено, а включено по умолчанию. Теперь все HTTP-запросы сначала пытаемся проапгрейдить до HTTPS с откатом на HTTP, если не получилось.
добавлена поддержка формата изображений PNG при копировании изображений из браузера;
Там слегка о другом - о том, что при копировании изображения в буфер обмена Windows помещается как непосредственно файл (поэтому копировать png-изображения и раньше никто не мешал), так и само изображение - до этого оно помещалось по умолчанию в формате BMP, а теперь на первом месте PNG. Таким образом, если приложение-приёмник умеет вставлять из буфера изображение и умеет брать PNG, оно теперь получит изображение без потери прозрачности, а не убогий BMP.
исправлен раздел «Сбор и использование данных Firefox» в настройках «Конфиденциальность и безопасность»;
Переименован, а не исправлен. С ним и так было всё в порядке. Теперь ещё добавили опцию "разрешить ежедневно пинговать Mozilla, чтобы точнее понимать, сколько у нас пользователей".
добавлена поддержка Codemirror 6 для редактора отладчика
Дело не только в безопасности. Вкратце, причина описана здесь: если расширение меняет потрошки браузера, оно обязано своевременно адаптироваться к изменениям потрошков. Что в реальной жизни невозможно, т.к. у разработчиков расширений не всегда есть время, желание, а некоторых уже нет в живых.
Именно поэтому, например, когда делали форк Миранды, сразу постановили, что все плагины под свободными лицензиями втаскиваются в репозиторий и как только в ядре нарушается обратная совместимость, тот, кто делает изменение, обязан адаптировать все затронутые плагины. А все остальные плагины (проприетарные и не контролируемые нами) - больше не поддерживаются, потому что их поддержка как раз привела к ситуации, когда назревшие масштабные изменения в программе произвести невозможно, а разработчики плагинов телятся по году и больше.
К тому, насколько там активные разработчики, есть вопросы. Например, в феврале этого года зарелизили SailfishOS 5, в которой браузер основан на выпуске Firefox, поддержка которого прекращена в 2022. Они там понимают, что это полный капец, поэтому ведут переезд на Firefox 102, поддержка которого прекращена... в 2023 году.
Ну, то есть, во всю идёт 2025 год, а они только начали работать над переездом на кодовую базу 2023.
Учтите, что в официальных сборках есть намеренно оставленный "чёрный ход".
Интересный факт: далеко не все пользователи LineageOS, по моим наблюдениям, знают о том, что все официальные сборки этой прошивки собираются и поставляются в отладочном варианте userdebug. Немало пользователей LineageOS переходят на неё ради лучшей приватности и безопасности, хотя наличие на устройстве сборки в отладочном режиме сильно этому противоречит, т.к. получить полный доступ к системе можно одной командой, даже если никаких инструментов для получения root-прав не было установлено.
Да, конечно, для этого надо ещё разрешить в настройках отладку по ADB с рут-правами... но, всё же, стоило бы им как-то более явно предупреждать пользователей, что даже если аппарат не рутован, рут там как бы есть.
Если оно сможет заменить отсутствующий в процессоре ИИ-ускоритель, то вполне годно. Например, я бы хотел использовать Recall в Windows, но в мой i9-9900, который довольно стар, но ещё походит, NPU просто не завезли.
Ну, вот я зашёл на Озон и сходу вижу дешман с хотсвапом за 2к. За эти деньги купить новую K310 это прямо удача, потому что их давно сняли с производства. Да я 10 лет назад новую её в DNS брал около тысячи. Знал бы, взял бы две или три. В итоге, посмотрел, как даже б/у за 800 рублей улетают со свистом на авито, прикинул, что бог знает, в каком состоянии там будет мембрана (не просить же перед отправкой её раскручивать), и перешёл на механику.
За 4к уже можно найти приличную механику с подсветкой (в темноте это мастхэв), шумоизоляцией и всеми фишками, да ещё и выбор свичей есть (кому-то потише, кому-то более тактильные, выбор большой).
Более того, многие клавиатуры служат чуть ли не вечно. Они служат дольше самих компов.
Да, конечно, мембрана отрывается только в путь. На моей любимой мембранке Logitech K310 за 10 лет оторвалась пупырка под клавишей 1. И всё, клавиатура идёт или в помойку, или искать донора, а донор на авито стоит от тысячи (и то если жестко мониторить денно и нощно, а если нужно купить вотпрямщас, то извольте выложить все 2-3). Техподдержка Logitech развела руками и сказала, что запчастями не торгуют.
А на механике с хотсвапом поменять умерший свич сможет даже обезьяна и стоить это будет копейки.
Кроме того, механика реально... я не знаю, приятнее, что ли. Похожий эффект я испытал, поменяв 60-герцовый монитор на 144-герцовый. Вау-эффекта нет, но если приходится вернуться к старичку, то уже некомфортно. Так и с клавиатурой. Стало поприятнее нажимать.
Неужели людям действительно удобнее набирать цифры в верхнем ряду, они никогда не промахиваются?
Да, удобнее, никогда не набирал на нампаде. С удовольствием бы от него отказался, тем более, что при не очень удачной конструкции моего стола короткая клавиатура удобнее.
Если я вслепую не промахиваюсь по букве "а", почему я промахнусь по цифре "6"? Это вопрос мышечной памяти.
Я знак процента-то с третьего раза набираю
Никаких проблем, если помнить, что это 5. Дальше всё сводится к упомянутой мышечной памяти.
А, и ещё одно замечание: если находится какая-нибудь клавиатура, то она почти наверняка беспроводная с аккумулятором.
Недорогие клавиатуры, в основном, проводные, поэтому, в том числе, они недорогие. Если вы берёте дорогую клавиатуру, там, само собой, будет полный фарш.
Почему сейчас везде суют аккумуляторы?
Потому что удобно заряжать клавиатуру, не гоняя туда-сюда аккумуляторы, и не требуя зарядного устройства (которое, в свою очередь, требует свободную розетку). Воткнул провод и работаешь, а она заряжается в процессе.
Безотносительно всего прочего, не смог распарсить это
Таким образом, график загрузки ЦП на вкладке «Производительность» не мог превышать значения в 100%, даже если по факту это было не так.
Как загрузка процессора в принципе может превышать 100%?
Хорошая новость, как я понимаю, в том, что, поскольку процессоры при нагрузке бустят, а загрузка теперь будет подсчитываться, исходя из реальной частоты (что правильно, например, мой процессор на базовой частоте тошнит в районе 2.2 ГГц, но под нагрузкой спокойно держится на 4.2), то показатель загрузки будет ниже и пользователи не будут так пугаться, что, мол, "клятая винда тормозит".
количество изменённых настроек избыточно и раздуто
ломают пользовательский интерфейс (ломая работу ссылок в интерфейсе браузера вместо того, чтобы удалить эти ссылки вовсе, раз уж они им чем-то помешали)
снижают безопасность (отключая защиту от фишинга и вредоносных сайтов)
не модерируют свои ресурсы
А позже один из членов команды прямо признал, что после ухода лидера проекта они просто плывут по течению и тупо копипастят настройки из прошлых релизов, не следя за их актуальностью.
------
Кроме того, LW это не антидетект вообще, и никогда им быть не собирался. Под "антидетектом" традиционно понимается возможность убедительно прикинуться другим браузером и другой физической машиной. Не "выдать как можно меньше" сведений, а "выдать ровно столько, сколько такой-то браузер на таком-то ПК". Поэтому "антидетекты" часто ориентированы на пользователей, которым нужно обходить банковский антифрод (чтобы "вбить" украденную карту вам не нужна приватность, вам нужно максимально походить на владельца карты), плодить аккаунты-дубли (тут, опять же, нужно не "выдать поменьше", а "выдать рандомно") для абуза (в статье есть примеры с беттингом и криптой) и спама (это скромно названо "массовое размещение объявлений")
В последние годы создатели этих продуктов пытаются окучивать и тех, кто играет в приватность (в принципе, я ещё году в 2017 на одном известном ресурсе предсказывал, что так и будет - рано или поздно они друг друга найдут).
Автор комментария, скорее, имел в виду BSD* и прочие подобные, а не Linux. У Linux с поддержкой железа, всё же, получше.
В случае использования VPN (если не брать во внимание извраты типа двойного VPN), выходной узел (VPN-сервер) знает одновременно и клиента, и куда (на какой ресурс) тот идёт. В Tor - нет, там знание "кто" и "куда" разнесено между разными узлами, а для их сопоставления атакующему нужно затратить гораздо больше усилий.
Он сразу и удаляет, да. История-то вся синхронизируется
Я бы на месте разработчиков сделал сообщения от системы неудаляемыми и чтобы статус их прочиенности тоже не синхронизировался (чтобы атакующий не мог пометить сообщение о новом входе как прочитанное или удалить).
Отправить через форму обратной связи телеги не жалобу "аккаунт угнали, помогите", а просьбу убить все активные сессии (потому что проблема была в том, что атакующий, выждав, пока его сессия "отлежалась", закрыл все прочие сессии и оперативно мочил новые.
После этого (но не факт, что вследствие этого) злоумышленник вылогинился. Возможно, это просто совпадение, он банально закончил окучивать мамонтов и свалил, на всякий случай прибив свою сессию.
Не становится он никаким "владельцем аккаунта", у телеграма даже понятия такого нет. Просто сессия должна просуществовать определённое время, для того, чтобы с неё можно было убивать другие сессии.
Благодаря этому, у пользователя, хотя бы, есть теоретическая возможность проглядывать периодически список активных сессий и заметить злоумышленника. Иначе, тот бы вообще сразу вышибал все остальные. Причём, это ещё какой-то тормозной атакующий попался, руками он что ли попытки автора залогиниться вышибал, раз у автора была прорва времени, чтобы задать почту и облачный пароль? Обычно убиение сессий автоматизируют.
Влиять оно может в каких-то ультра-редких сценариях, поэтому и проблема незначительная (например, это возникает пару раз в год у одного пользователя на сто тысяч).
Видели мы те дрова...
https://x.com/ValdikSS/status/1878242787201618137
Только картридж не их, а сторонний.
А я хожу через обычный SOCKS5. Потому что поднимается он буквально 10 строчками в конфиге и поддерживается из коробки каждым вторым приложением. Нет шифрования? Да и хрен с ним, внутри и так почти все обернуто HTTPS, а браузеры уже даже автоматически пытаются апгрейдить HTTP до HTTPS.
И самое главное и удивительное: пока идёт война с более сложными протоколами, SOCKS никто в России не трогает.
По этому поводу, емнип, @schors высказывал догадку, что цензоры играют в крутых инженеров, поэтому им интереснее бодаться со сложными протоколами, а не с примитивными и окаменелыми.
Не обновлено, а включено по умолчанию. Теперь все HTTP-запросы сначала пытаемся проапгрейдить до HTTPS с откатом на HTTP, если не получилось.
Там слегка о другом - о том, что при копировании изображения в буфер обмена Windows помещается как непосредственно файл (поэтому копировать png-изображения и раньше никто не мешал), так и само изображение - до этого оно помещалось по умолчанию в формате BMP, а теперь на первом месте PNG. Таким образом, если приложение-приёмник умеет вставлять из буфера изображение и умеет брать PNG, оно теперь получит изображение без потери прозрачности, а не убогий BMP.
Переименован, а не исправлен. С ним и так было всё в порядке. Теперь ещё добавили опцию "разрешить ежедневно пинговать Mozilla, чтобы точнее понимать, сколько у нас пользователей".
По русски - редактор переведён на Codemirror 6.
Дело не только в безопасности. Вкратце, причина описана здесь: если расширение меняет потрошки браузера, оно обязано своевременно адаптироваться к изменениям потрошков. Что в реальной жизни невозможно, т.к. у разработчиков расширений не всегда есть время, желание, а некоторых уже нет в живых.
Именно поэтому, например, когда делали форк Миранды, сразу постановили, что все плагины под свободными лицензиями втаскиваются в репозиторий и как только в ядре нарушается обратная совместимость, тот, кто делает изменение, обязан адаптировать все затронутые плагины. А все остальные плагины (проприетарные и не контролируемые нами) - больше не поддерживаются, потому что их поддержка как раз привела к ситуации, когда назревшие масштабные изменения в программе произвести невозможно, а разработчики плагинов телятся по году и больше.
К тому, насколько там активные разработчики, есть вопросы. Например, в феврале этого года зарелизили SailfishOS 5, в которой браузер основан на выпуске Firefox, поддержка которого прекращена в 2022. Они там понимают, что это полный капец, поэтому ведут переезд на Firefox 102, поддержка которого прекращена... в 2023 году.
Ну, то есть, во всю идёт 2025 год, а они только начали работать над переездом на кодовую базу 2023.
Пока мейнтейнеру конкретного аппарата не надоест, а надоесть ему может в любой момент, когда он купит новый телефон.
Учтите, что в официальных сборках есть намеренно оставленный "чёрный ход".
Да, конечно, для этого надо ещё разрешить в настройках отладку по ADB с рут-правами... но, всё же, стоило бы им как-то более явно предупреждать пользователей, что даже если аппарат не рутован, рут там как бы есть.
Если оно сможет заменить отсутствующий в процессоре ИИ-ускоритель, то вполне годно. Например, я бы хотел использовать Recall в Windows, но в мой i9-9900, который довольно стар, но ещё походит, NPU просто не завезли.
Ну, вот я зашёл на Озон и сходу вижу дешман с хотсвапом за 2к. За эти деньги купить новую K310 это прямо удача, потому что их давно сняли с производства. Да я 10 лет назад новую её в DNS брал около тысячи. Знал бы, взял бы две или три. В итоге, посмотрел, как даже б/у за 800 рублей улетают со свистом на авито, прикинул, что бог знает, в каком состоянии там будет мембрана (не просить же перед отправкой её раскручивать), и перешёл на механику.
За 4к уже можно найти приличную механику с подсветкой (в темноте это мастхэв), шумоизоляцией и всеми фишками, да ещё и выбор свичей есть (кому-то потише, кому-то более тактильные, выбор большой).
Да, конечно, мембрана отрывается только в путь. На моей любимой мембранке Logitech K310 за 10 лет оторвалась пупырка под клавишей 1. И всё, клавиатура идёт или в помойку, или искать донора, а донор на авито стоит от тысячи (и то если жестко мониторить денно и нощно, а если нужно купить вотпрямщас, то извольте выложить все 2-3). Техподдержка Logitech развела руками и сказала, что запчастями не торгуют.
А на механике с хотсвапом поменять умерший свич сможет даже обезьяна и стоить это будет копейки.
Кроме того, механика реально... я не знаю, приятнее, что ли. Похожий эффект я испытал, поменяв 60-герцовый монитор на 144-герцовый. Вау-эффекта нет, но если приходится вернуться к старичку, то уже некомфортно. Так и с клавиатурой. Стало поприятнее нажимать.
Да, удобнее, никогда не набирал на нампаде. С удовольствием бы от него отказался, тем более, что при не очень удачной конструкции моего стола короткая клавиатура удобнее.
Если я вслепую не промахиваюсь по букве "а", почему я промахнусь по цифре "6"? Это вопрос мышечной памяти.
Никаких проблем, если помнить, что это 5. Дальше всё сводится к упомянутой мышечной памяти.
Недорогие клавиатуры, в основном, проводные, поэтому, в том числе, они недорогие. Если вы берёте дорогую клавиатуру, там, само собой, будет полный фарш.
Потому что удобно заряжать клавиатуру, не гоняя туда-сюда аккумуляторы, и не требуя зарядного устройства (которое, в свою очередь, требует свободную розетку). Воткнул провод и работаешь, а она заряжается в процессе.
Вы захотите, а большинство, стало быть, не хочет.
Безотносительно всего прочего, не смог распарсить это
Как загрузка процессора в принципе может превышать 100%?
Хорошая новость, как я понимаю, в том, что, поскольку процессоры при нагрузке бустят, а загрузка теперь будет подсчитываться, исходя из реальной частоты (что правильно, например, мой процессор на базовой частоте тошнит в районе 2.2 ГГц, но под нагрузкой спокойно держится на 4.2), то показатель загрузки будет ниже и пользователи не будут так пугаться, что, мол, "клятая винда тормозит".
Про него всё сказано ещё год назад:
количество изменённых настроек избыточно и раздуто
ломают пользовательский интерфейс (ломая работу ссылок в интерфейсе браузера вместо того, чтобы удалить эти ссылки вовсе, раз уж они им чем-то помешали)
снижают безопасность (отключая защиту от фишинга и вредоносных сайтов)
не модерируют свои ресурсы
А позже один из членов команды прямо признал, что после ухода лидера проекта они просто плывут по течению и тупо копипастят настройки из прошлых релизов, не следя за их актуальностью.
------
Кроме того, LW это не антидетект вообще, и никогда им быть не собирался. Под "антидетектом" традиционно понимается возможность убедительно прикинуться другим браузером и другой физической машиной. Не "выдать как можно меньше" сведений, а "выдать ровно столько, сколько такой-то браузер на таком-то ПК". Поэтому "антидетекты" часто ориентированы на пользователей, которым нужно обходить банковский антифрод (чтобы "вбить" украденную карту вам не нужна приватность, вам нужно максимально походить на владельца карты), плодить аккаунты-дубли (тут, опять же, нужно не "выдать поменьше", а "выдать рандомно") для абуза (в статье есть примеры с беттингом и криптой) и спама (это скромно названо "массовое размещение объявлений")
В последние годы создатели этих продуктов пытаются окучивать и тех, кто играет в приватность (в принципе, я ещё году в 2017 на одном известном ресурсе предсказывал, что так и будет - рано или поздно они друг друга найдут).