Как-то давно понадобился мне хаб, желательно с большим количеством портов и c достаточно удобной формой, пригодной для встраивания вместо флоппи-дисковода в отсек 3,5''. Беглый просмотр барахолки подкинул модель D-link DUB-H7, да еще и в комбинации «2 по цене 1». Внешний осмотр ничего особенного не дал, хаб как хаб, сделан добротно, капитальный «принтерный» USB AM-BM на оборотной стороне и 3 А блок питания. Как всегда первым делом разобрал, порадовался малому количеству пустых мест вместо элементов вкупе с качественной пайкой и успокоился. Правда на всякий случай зашел в интернет посмотреть, а что это за хаб и есть ли интересные проекты с его участием. Проектов не оказалось, отзывы пользователей 50/50, в общем, никакой динамики. Хаб на протяжении 5-7 лет довольно сносно работал и выполнял свою задачу, потом плавно переместился в коробку для электронного хлама и вполне возможно сгинул бы в итоге вместе с безызвестными переходниками, адаптерами и т. п. Но произошло у меня в жизни событие, которое заставило-таки меня покопаться в мешках со старым барахлом, найти этот, как оказалось уникальный D-link, и стряхнув пыль извлечь его на божий свет. Если интересно послушать зачем — добро пожаловать под cut.
Open Source enthusiast
Шифрование ключа по умолчанию в OpenSSH хуже его отсутствия
Недавно злоумышленники использовали npm-пакет eslint-scope для кражи npm-токенов из домашних каталогов пользователей. В свете этого события мы занялись проверкой других подобных уязвимостей и задумались над тем, как снизить риски и последствия таких инцидентов.
У большинства из нас под рукой есть RSA SSH-ключ. Такой ключ наделяет владельца самыми разными привилегиями: как правило, он используется для доступа к production среде или в GitHub. В отличие от nmp-токенов SSH-ключи зашифрованы, и поэтому принято считать, что ничего страшного не произойдет, даже если они попадут не в те руки. Но так ли это на самом деле? Давайте узнаем.
15 HTML-методов элементов, о которых вы, вероятно, никогда не слышали
Небольшое вступление
Давайте обсудим разницу между HTML и DOM.
Например, возьмем элемент table из HTML. Вы можете использовать его в файле с расширением .html. В нем мы указываем набор атрибутов, которые определяют внешний вид и «поведение» страницы.
Интерфейс города: тактильная плитка на тротуарах
Какое-то время жил в Копенгагене, и смотрел по сторонам. Однажды посмотрел себе под ноги, и обнаружил, что плитка кладется по особой системе.
Прежде пытался понять – зачем во всем городе так часто перекладывают плитку на тротуарах? Оказалось, все делается для слепых.
Хочу показать вам, как город Копенгаген делает жизнь незрячих проще при помощи плитки.
Пунктирные вау-эффекты: о магии простыми словами
Продолжаем смотреть технические приемы создания различных анимаций в интерфейсах. Мы уже познакомились с частицами, масками и изменением форм различных объектов — настал черед рисовать пунктирные линии.
Перед тем, как перейти к статье, сделаю небольшое отступление. Эта серия статей предназначена для разработчиков (в первую очередь начинающих), которые хотят делать красивые вещи, но совершенно запутались в сложных инструментах. Каждый раз мы затрагиваем какой-то один прием использования того или иного инструмента и смотрим, к созданию какиих эффектов его можно применить. Комментарии о том, что “во времена флеша было лучше” или что “нужно анимации рисовать в AfterEffects” безусловно имеют право на существование, но будут вырваны из контекста и совершенно не помогут начинающим в решении их задачи.
Добровольцы создают мобильную сеть Sopranica, свободную от слежки
Например, в январе 2017 года Джинджерич опубликовал исходный код jmp-register — визарда регистрации для чата JMP (JIDs for Messaging with Phones). В чате JMP каждый выбирает себе свободный и анонимный ID с указанием телефонного номера типа +12113114111@cheogram.com, через который может обмениваться текстовыми сообщениями и картинками с другими пользователями. При регистрации в JMP вы указываете произвольный телефонный номер, который привязывается к анонимному Jabber-аккаунту.
Чат JMP — первый «кирпичик», составляющий свободную мобильную сеть Sopranica.
Опубликована база с 320 млн уникальных паролей (5,5 ГБ)
Проверка аккаунтов на живучесть
Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).
Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
Хотите зашифровать вообще любое TCP соединение? Теперь у вас есть NoiseSocket
Привет, %username%!
Не всё в этом мире крутится вокруг браузеров и бывают ситуации, когда TLS избыточен или вообще неприменим. Далеко не всегда есть необходимость в сертификатах, очень часто хватает обычных публичных ключей, взять тот же SSH.
А еще есть IoT, где впихивать TLS целиком это вообще задача не для слабонервных. И бэкенд, который, я почти уверен, у всех после балансера общается друг с другом по обычному HTTP. И P2P и еще и еще и еще…
Не так давно в сети появилась спецификация Noise Protocol Framework. Это по сути конструктор протоколов безопасной передачи данных, который простым языком описывает стадию хэндшейка и то, что происходит после неё. Автор — Trevor Perrin, ведущий разработчик мессенджера Signal, а сам Noise используется в WhatsApp. Так что, был отличный повод рассмотреть этот протокольный фреймворк поближе.
Он так понравился нам своей простотой и лаконичностью, что мы решили на его основе запилить аж целый новый протокол сетевого уровня, который не уступает TLS в безопасности, а в чём-то даже превосходит. Мы презентовали его на DEF CON 25, где он был очень тепло принят. Пора поговорить о нём и у нас.
OpenSSL, ssl_ciphers и nginx: прокачиваем на 100%
Много где написано о том, как получить 100% и A+ по тесту от Qualys. При всём при том практически везде директивы ssl_ciphers
и подобные даются как эдакие магические строки, которые нужно просто вставить, и надеяться, что автор не подводит вас под монастырь. Эта статья призвана исправить это недоразумение. По прочтению этой статьи директива ssl_ciphers
потеряет для вас всякую магию, а ECDHE и AES будут как друзья да братья.
Также вы узнаете почему 100% по тестам — не всегда хорошо в реальности.
Часть 3. Где хранить данные децентрализованным приложениям на блокчейне?
Обзор систем мониторинга серверов. Заменяем munin на…
Как сделать клавиатуру — Матрица
Оригинал: blog.komar.be/how-to-make-a-keyboard-the-matrix
Это — первый пост из серии, посвящённой клавиатурам; надеюсь, он не будет последним. Хочется, чтобы в итоге получился курс по изготовлению клавиатуры с нуля. Сегодня я расскажу о цифровом вводе-выводе и о клавиатурных матрицах. Вооружитесь элементарными школьными знаниями из области электроники — и поехали.
Каково оно учить JavaScript в 2016
— Эй, я получил новый веб-проект, но, если честно, я не занимался веб-кодингом в течение нескольких лет, и я слышал, все немного поменялось. Ты же самый современный веб-разработчик, правда?
— Это теперь называется Front-End инженер, но да, я — именно он. Я работаю с вебом в 2016. Визуализации, музыкальные плееры, летающие дроны, которые играют в футбол, все что угодно. Я только что вернулся из JsConf и ReactConf, так что я знаю новейшие технологии для создания веб-приложений.
— Круто. Мне нужно создать страницу, которая отображает последние действия со стороны пользователей, так что мне просто нужно получить данные от REST и отобразить их в какой-то фильтруемой таблице, ну и обновлять её, если что-то изменится на сервере. Я думал, может быть, использовать JQuery для извлечения и отображения данных?
— О, Мой Бог! Нет! Никто больше не использует JQuery. Ты должен попробовать React: это — 2016!
Запуск отдельных приложений через OpenVPN без контейнеров и виртуализации
Vulners — Гугл для хакера. Как устроен лучший поисковик по уязвимостям и как им пользоваться
Часто нужно узнать всю информацию о какой-нибудь уязвимости: насколько найденный баг критичен, есть ли готовые сплоиты, какие вендоры уже выпустили патчи, каким сканером проверить наличие бага в системе. Раньше приходилось искать вручную по десятку источников (CVEDetails, SecurityFocus, Rapid7 DB, Exploit-DB, базы уязвимостей CVE от MITRE/NIST, вендорские бюллетени) и анализировать собранные данные. Сегодня эту рутину можно (и нужно!) автоматизировать с помощью специализированных сервисов. Один из таких — Vulners, крутейший поисковик по багам, причем бесплатный и с открытым API. Посмотрим, чем он может быть нам полезен.
Спонсоры провалившегося проекта Voxel Quest не хотят возврата своих денег
Инвесторы Voxel Quest так и не дождались игры, но всё равно остались довольны
История с разработкой open-source игры Voxel Quest на «Кикстартере» очень удивительная. Она удивительна не тем, что разработчик взялся за непосильную задачу в одиночку и в итоге не справился с ней. Такое бывает сплошь и рядом. Вчера опубликовано финальное сообщение в блоге проекта, где заявлено об окончании разработки. Удивительно другое: сейчас бэкеры — инвесторы проекта, которые финансировали создание Voxel Quest — не хотят забирать свои деньги обратно!
Это история о том, как правильный подход к делу, открытость и общение с людьми, честность и преданность делу приносит удовольствие всем участникам процесса, независимо от результата. По-настоящему, это топик добра.
Боремся с дистанционным контролем: как отключить Intel ME
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
На прошедшем 17 и 18 мая в Москве форуме Positive Hack Days VI исследователи Positive Technologies Максим Горячий и Марк Ермолов представили несколько техник отключения Intel ME, сопроводив доклад видеодемонстрацией процесса.
«Кандидат имеет право задавать уточняющие вопросы», или Доводим интервьюера до нервного срыва
Кандидат: Что конкретно Вы имеете в виду, говоря «скопировать»?
Интервьюер: Ну… создать новый файл, содержимое которого является копией содержимого исходного файла.
Первый в мире асимметричный дрон с одной подвижной частью
Инженеры из института динамических систем и управления Швейцарской высшей технической школы Цюриха (ETH Zurich) сконструировали летательный аппарат с одной движущейся частью, который называют «первым в мире» [на самом деле подобные эксперименты проводились и раньше, см. в комментариях — прим.].
У современного вертолёта тысячи движущихся частей. У первых самолётов было две подвижные части: винт и хвостовой поворотник. В ETH Zurich сделали управляемый летательный аппарат вообще с одной подвижной частью. Коптер под названием моноспинер (Monospinner) — механически самая простая управляемая летающая конструкция среди всех существующих. У него есть только воздушный винт, никаких дополнительных приводов или аэродинамических поверхностей.
Как на самом деле работает протокол Биткоин
Много тысяч статей было написано для того, чтобы объяснить Биткоин — онлайн, одноранговую (p2p) валюту. Большинство из этих статей поверхностно рассказывают суть криптографического протокола, опуская многие детали. Даже те статьи, которые «копают» глубже, часто замалчивают важные моменты. Моя цель в этой публикации — объяснить основные идеи, лежащие в протоколе Биткоин в ясной, легкодоступной форме. Мы начнем с простых принципов, далее пойдем к широкому теоретическому пониманию, как работает протокол, а затем копнем глубже, рассматривая сырые (raw) данные в транзакции Биткоин.
Information
- Rating
- Does not participate
- Registered
- Activity