Автор статьи: Константин Сафонов

Не хочу читать эту техническую болтовню. Просто повали уже мой браузер.

Что такое CraSSh

CraSSh — это кроссбраузерная чисто декларативная DoS-атака, основанная на плохой обработке вложенных CSS-функций var() и calc() в современных браузерах.

CraSSh действует во всех основных браузерах на десктопах и мобильных устройствах:

• На движке WebKit/Blink — Chrome, Opera, Safari, даже Samsung Internet на смарт-телевизорах и холодильниках.
  
  • Android WebView, iOS UIWebView также затронуты, то есть можно обвалить любое приложение со встроенным браузером.
• На движке Gecko — Firefox и его форки, такие как Tor Browser.
  
  • Servo не запустился ни на одной из моих машин, поэтому я его не протестировал.
• На движке EdgeHTML — Edge в Windows, WebView в приложениях UWP (их вообще кто-нибудь использует?)

Браузер IE не затронут, поскольку он не поддерживает функции, на которых основана атака, но у его пользователей немало своих проблем (вероятно, этот браузер можно порушить другими способами — прим. пер.).

Сегодня у нас практическое занятие по созданию чат-ботов с использованием Azure Bot Service и Microsoft QnA Maker. Всего за пару часов практического изучения вы сможете освоить эти технологии. Присоединяйтесь!

Просим обратить внимание

Для лучшего освоения курса стоит отвести на него около двух часов времени. В ходе вас ждет много практики и работы на виртуальной машине. Кроме того, просим заложить время и на настройку инфраструктуры, которая потребуется для прохождения этого модуля (Все пароли для входа в виртуальную машину вы найдете на вкладке «Resources»).

Рассекреченный архив документов ЦРУ (справа) и всего четыре компьютера, с которых можно было получить доступ к информации (слева)

Некоторые законы очень неудобны для жуликов, которые хотят скрыть информацию. Поэтому они выполняют требования закона, но прибегают к «невинному саботажу», чтобы свести ущерб к минимуму. Например, в России информацию о тендерах вносили в открытый реестр с заменой кириллических символов на латинские, чтобы их трудно было найти обычным поиском. Спецслужбы в США тоже мастера на творческий уход от выполнения законов, формально соблюдая их. Только оцените талант сотрудников ЦРУ. По закону Freedom of Information Act Центральное разведывательное управление с 31 декабря 2006 года обязано снимать гриф секретности с документов старше 25 лет и обеспечивать свободный доступ к ним. ЦРУ формально выполнило требование закона: оно создало базу рассекреченных документов CREST (CIA Records Search Tool) и организовало «свободный» доступ к ней через… четыре компьютера в здании филиала Национального архива в городе Колледж-Парк, шт. Мэриленд, который открыт для публики с 9:00 до 17:00. Здесь у разведчиков явное упущение: по логике ЦРУ, надо было ограничить время работы архива, например, с 7:00 до 7:10 на один день в неделю.

Такой беспредел продолжался до настоящего времени. В конце концов справедливость восторжествовала. С января 2017 года вся база рассекреченных документов CREST открыта в интернете c полнотекстовым поиском — проверьте поиск по городам и райцентрам России, фамилиям учёных, названиям наркотиков и т.д. Теперь всё действительно работает как положено. Вся информация открыта.

Проект длиною в жизнь

Как показал недавний пример Voxel Quest, создание некоторых компьютерных игр может затянуться надолго. Какой ни установить дедлайн — он обязательно будет просрочен. Особенно если проектом занимается единственный разработчик, очень увлечённый своим делом. Фанатичный автор хочет довести игру до идеала, уделяет внимание каждой мелочи. Такие игры или становятся шедеврами, или не выходят никогда. Обычно второе.

Австралийский разработчик по имени Фил уже 18 с лишним лет тратит свободное время на любимое хобби: создание Самой Лучшей Игры всех времён и народов под названием Pegwars (Political Economic and Galactic Warfare) — политический, экономический и галактический боевой симулятор.

Игроки со стажем должны помнить космический симулятор с элементами космической стратегии под названием Elite. Та игра вышла в 1984 году и стала родоначальником нового игрового жанра, где космические битвы сочетаются с торговыми отношениями.

На преступном жаргоне это называется «войти на плечах». Злоумышленники дожидаются, когда хозяин выйдет из дома, или наоборот придет, и отопрет дверь. В этот короткий момент открытия – закрытия двери, длящийся с десяток секунд, собственная квартира превращается в мышеловку.

Большинство создают внешние ссылки через target="_blank" и не знают одного интересного нюанса — страница, на которую мы попадем таким образом, получит частичный контроль над ссылающейся на нее страницей через js свойство window.opener.

Через window.opener.location мы сможем сделать редирект на, к примеру, фишинговую страницу. Это своего рода tabnabbing, только более продвинутый. Так как жертва меньше всего ожидает подмены страницы, в открытой ранее, доверенной вкладке браузера.

Привет!

Мы собираем полезные статьи и свежие новости из мира Drupal и делимся с вами раз в месяц.

pro-cras-ti-na-tion |prəˌkrastəˈnāSHən, prō-|
существительное
задержка или откладывание чего-либо: первый совет — избегайте прокрастинации.

Кто бы мог подумать, что после десятилетий борьбы с прокрастинацией словари будут содержать решение проблемы.

Избегать прокрастинации. Так элегантно в своей простоте…

Пусть люди, страдающие ожирением избегают переедания, те кто в депрессии пусть избегают апатии, и, пожалуйста, кто-нибудь скажите выбрасывающимся на берег китам, что им нужно избегать нахождения вне океана.

Нет, «избегайте прокрастинации» — хороший совет только для не настоящих прокрастинаторов. Для тех, кто говорит «Я захожу на Facebook несколько раз в день на работе. Я такой прокрастинатор!». Это те люди, которые будут говорить настоящему прокрастинатору «Не откладывай дела на потом и у тебя все будет хорошо».

Дело в том, что ни словари ни не настоящие прокрастинаторы не понимают, что для настоящих прокрастинаторов прокрастинация — не дополнительная опция. Это что-то, что они не знают как не делать.

Добрый день.

Представляю на суд общественности материал о том, как я за четыре месяца получил визу, переехал в Германию и нашел там работу.

Считается, что для переезда в другую страну нужно сначала долго искать работу удаленно, потом, в случае успеха, ждать решения по визе, и лишь после паковать чемоданы. Я решил, что это далеко не оптимальный способ, поэтому пошел другим путем. Вместо того, чтобы искать работу удаленно, я получил так называемую «визу на поиск работы», въехал в Германию, нашел здесь работу и уже после подал документы на Blaue Karte. Во-первых, в этом случае документы не ездят из страны в страну, и время ожидания визы значительно уменьшается. Во-вторых, поиск работы на месте радикально повышает ваши шансы, и это тоже заметно ускоряет процесс.

В наше время пользователь может использовать несколько отличных браузеров. У большинства есть 32 и 64-битные версии. У каждого из нас свое мнение о возможностях того либо иного браузера. Тем не менее, можно попробовать сравнить браузеры, проведя несколько тестов с каждой программой, как с 32-битной, так и с 64-битной версией.

Пользователь ресурса Ghacks и решил этим заняться. В качестве тестовой системы был выбран ПК с Intel Core i5-2500, 8 ГБ ОЗУ, 256 ГБ SSD, Nvidia GeForce GTX 960 и Windows 10.

Внимание! В рецепте с отбеливателем обнаружилась опасность коррозии металла! Не рекомендуется в стандартном применении!

Обзор экспериментов год спустя:
DIY порошок для посудомойки: как не растворить посуду и не повторить моих ошибок. Год экспериментов

В прошлой публикации мы создавали дешевый порошок для посудомойки из желудей и спичек кальцинированной соды и стирального порошка. В этой я расскажу о том, как можно его улучшить с помощью кислородного отбеливателя и где можно купить компоненты для более продвинутой версии. Будем делать упор на эффективности мойки, но даже при этом цена не выйдет за 100 рублей/килограмм. А еще будет рецепт ополаскивателя с себестоимостью в районе 1 рубля за литр. Как справедливо заметил amarao, занятие не для всех и многим проще использовать готовые таблетки. Но в подобных экспериментах с бытовой химией есть что-то от детства, первых опытов по смешиванию соды с уксусом и газировки с мятными конфетами. Так что ощутимая экономия здесь все-таки вторична. Будем развлекаться) Если кому-то лень читать весь текст — в конце поста будут подробные рецепты с рекомендациями.

Привет, Geektimes! Многие до сих пор продолжают утверждать, что твердотельные накопители ненадежные, поскольку имеют ограниченное количество циклов перезаписи и больше подвержены износу, нежели HDD. Сейчас большинство мифов об этом уже развенчаны, однако некоторые советы по оптимизации Windows для работы с SSD могут оказаться полезными.

Многие трюки по оптимизации устарели с того момента, когда SSD были слишком дорогими и ограничивались максимальной емкостью в 128 ГБ. Тем более в погоне за более высокой производительностью накопителя вы можете затронуть другие процессы и в конечном итоге сделать только хуже. Поэтому очень важно знать, какие советы действительно окажутся полезными и будут работать, а какие в современных реалиях бестолковые и не имеют практического смысла.

Друзья, вы мне, конечно [1] [2], не поверите, но вышел Drupal 8. В последнее время поступает достаточно много вопросов на тему того, что почитать, посмотреть, послушать для изучения восьмерки. Очень многие чувствуют себя не вполне уверенно и задаются вопросами: переходить на неё или не переходить, жив Drupal или нет, и всем прочим.

В данной статье я выскажу своё мнение на эту наболевшую и злободневную тему, а также поделюсь с вами в качестве бонуса списком полезных материалов, которые собирались по мотивам всех предыдущих выпусков Drupal-дайджеста, и которые, надеюсь, вам помогут.

10 декабря 2015 года приглашаем на TechDay – конференцию ИТ-сообщества, проводимую в Москве.

Приветствую. Сегодня утром состоялся ожидаемый анонс Android Studio версии 2.0, в которой google представил нам сразу две крутые фичи. Во-первых, это новый эмулятор android. Который, по словам google, «на хорошем железе работает быстрее физического устройства». Во-вторых, это новая функция «instant run», которая позволяет почти мгновенно обновлять запущенное под отладкой мобильное приложение при изменении исходного кода. Это практически «hot reload» из веб разработки. Под катом — чуть подробнее и ряд менее заметных улучшений. Новая версия уже доступна для скачивания в canary канале обновления.

Мы собираем полезные статьи и свежие новости из мира Drupal и делимся с вами раз в месяц. Встречайте октябрьский выпуск!

По-русски

1. Никита Малышев активно делится своим опытом работы с Drupal 8. Самая свежая заметка на данный момент: Drupal 8 Block Plugin API. Стоит обратить внимание, ведь уже вышел релиз Drupal 8 rc2.
   
2. Неплохо поживает и форк друпала Backdrop. Егор Марценюк поделился портом темы Bootstrap на Backdrop CMS.
   
3. Для тех, кто ещё не печатает команды драша на автомате, будет полезна заметка Автодополнение команд Drush.
   
4. Возвращаясь непосредственно к друпалу, вечно актуальная тема создания сущностей из кода в блоге nightdevel.
   
5. Там же вышла заметка о том, как реализовать выбор цвета из палитры в своей форме.
   
6. Кажется, синее сердце скоро снова зажжётся на территории России: сибирское друпал-сообщество запланировало DrupalCamp Siberia в Новосибирске. Пока детали уточняются, вы можете отправить предварительную заявку со своими пожеланиями.

Drupal Lite

1. В лучшей книге про Drupal 7 уже написано 6 глав. Очень рекомендуем!
   
2. Ещё один проект на GitBook: набор полезных рекомендаций для разработчиков Drupal Organised.
   
3. Важное видео для тех, кто только начинает работать с друпалом и потерялся в тысячах его модулей. Подробная текстовая версия на русском, хоть и немного устарела, но тоже подойдёт: 1, 2, 3.

Привет, Хабр! Все мы любим, когда сайт отлично работает на любом устройстве, вне зависимости от размеров экрана, способов управления и взаимодействия. Нередко контент приходится незначительно адаптировать к устройству, на котором его просматривает пользователь: например, оптимизация для небольшого экрана смартфона предполагает изменение изображений и других элементов содержания. Чтобы мобильным посетителям было удобнее, разработчики нередко используют всплывающую панель навигации. Если такие модификации реализованы должным образом и их цель — повысить удобство, мы не рассматриваем их как нарушение правил Google.

То же самое относится к переадресации на сайты для мобильных устройств. Пользователям смартфонов будет удобнее работать не с обычной версией сайта, а с мобильной. Поэтому переадресация, например, с example.com/url1 на m.example.com/url1 оправдана. Однако скрытая переадресация мобильных пользователей на посторонние страницы мешает работе и нарушает рекомендации Google для веб-мастеров.


Пример нарушения: страница с результатами поиска на компьютере и мобильном устройстве телефоне показывает один и тот же URL. Нажав на эту ссылку, пользователь компьютера попадет на целевую страницу, а пользователь смартфона будет перенаправлен на другой URL.

Разработчики Tor представили бета-версию своего мессенджера с шифрованием сообщений. Сообщение об этом появилось 29 октября в официальном блоге проекта. Новый мессенджер сочетает в себе использование сети Tor для обеспечения анонимности и протокола OTR (off the record) – для шифрования.

Tor Messenger поддерживает различные транспортные сети для сообщений, в том числе: Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter, Yahoo, и другие. Основу программы составляет Instantbird – мессенджер от разработчиков из Mozilla. Разработкой мессенджера три человека из компании Tor занимаются уже более года.

OTR-протокол обеспечивает как шифрование сообщений, так и идентификацию – то есть, подтверждение того факта, что никто другой не выдаёт себя за человека, с которым вы хотите пообщаться. Потеря ключей шифрования не приводит к компрометации ваших предыдущих разговоров.

В далеком 2009-м это был настоящий прорыв. Дорогущий проводной офисный интернет, спутник с пингами по 1,5 секунды, GPRS по доллару за мегабайт и тут здрасьте я ваша Йота! Логотип полностью соответствовал феерическому появлению нового интернет-провайдера – поставили всех “офисных” провайдеров на уши. А что мы имеем сегодня?


Шесть дней Карл! Шесть дней я буду качать это обновление от Microsoft через йоту…

Пару недель назад нам удалось вытащить на CodeFreeze с докладом Артема Гавриченкова aka ximaera, CTO в Qrator Labs — компании, которая является одним из мировых лидеров по вопросам борьбы с DDoS-атаками.



Собственно, я позвал Артема сделать нам обзорную лекцию о том, что такое DDoS-атаки, какие они бывают и как с ними бороться.

Если конкретнее:

• История термина. Чем отличаются DoS- и DDoS-атаки?
• DDoS-атаки с точки зрения специалистов по информационной безопасности, оценка рисков;
• Виды атак и их классификация;
• Противодействие для каждого вида атак;
• DDoS-атаки в Интернете будущего: как IPv6, IoT и рост числа участников Сети повлияет на её, Сети, безопасность?