• Как превратить «столетний» usb-хаб в «умный» управляемый и сэкономить при этом 300$

      Как-то давно понадобился мне хаб, желательно с большим количеством портов и c достаточно удобной формой, пригодной для встраивания вместо флоппи-дисковода в отсек 3,5''. Беглый просмотр барахолки подкинул модель D-link DUB-H7, да еще и в комбинации «2 по цене 1». Внешний осмотр ничего особенного не дал, хаб как хаб, сделан добротно, капитальный «принтерный» USB AM-BM на оборотной стороне и 3 А блок питания. Как всегда первым делом разобрал, порадовался малому количеству пустых мест вместо элементов вкупе с качественной пайкой и успокоился. Правда на всякий случай зашел в интернет посмотреть, а что это за хаб и есть ли интересные проекты с его участием. Проектов не оказалось, отзывы пользователей 50/50, в общем, никакой динамики. Хаб на протяжении 5-7 лет довольно сносно работал и выполнял свою задачу, потом плавно переместился в коробку для электронного хлама и вполне возможно сгинул бы в итоге вместе с безызвестными переходниками, адаптерами и т. п. Но произошло у меня в жизни событие, которое заставило-таки меня покопаться в мешках со старым барахлом, найти этот, как оказалось уникальный D-link, и стряхнув пыль извлечь его на божий свет. Если интересно послушать зачем — добро пожаловать под cut.


      миг-миг-миг
      Читать дальше →
    • Шифрование ключа по умолчанию в OpenSSH хуже его отсутствия

      • Translation
      Авторы этого материала приводят аргументы против стандартных механизмов шифрования ключа в OpenSSH.


      Недавно злоумышленники использовали npm-пакет eslint-scope для кражи npm-токенов из домашних каталогов пользователей. В свете этого события мы занялись проверкой других подобных уязвимостей и задумались над тем, как снизить риски и последствия таких инцидентов.

      У большинства из нас под рукой есть RSA SSH-ключ. Такой ключ наделяет владельца самыми разными привилегиями: как правило, он используется для доступа к production среде или в GitHub. В отличие от nmp-токенов SSH-ключи зашифрованы, и поэтому принято считать, что ничего страшного не произойдет, даже если они попадут не в те руки. Но так ли это на самом деле? Давайте узнаем.
      Читать дальше →
    • 15 HTML-методов элементов, о которых вы, вероятно, никогда не слышали

        От переводчика: Дэвид Гилбертсон (David Gilbertson) — известный автор, который пишет о веб- и криптовалютных технологиях. Он смог собрать большую аудиторию читателей, которым рассказывает о всяких хитростях и интересностях этих областей.



        Небольшое вступление

        Давайте обсудим разницу между HTML и DOM.

        Например, возьмем элемент table из HTML. Вы можете использовать его в файле с расширением .html. В нем мы указываем набор атрибутов, которые определяют внешний вид и «поведение» страницы.
        Читать дальше →
      • Интерфейс города: тактильная плитка на тротуарах

          Какое-то время жил в Копенгагене, и смотрел по сторонам. Однажды посмотрел себе под ноги, и обнаружил, что плитка кладется по особой системе.


          Прежде пытался понять – зачем во всем городе так часто перекладывают плитку на тротуарах? Оказалось, все делается для слепых.


          Хочу показать вам, как город Копенгаген делает жизнь незрячих проще при помощи плитки.


          Читать дальше →
        • Пунктирные вау-эффекты: о магии простыми словами



            Продолжаем смотреть технические приемы создания различных анимаций в интерфейсах. Мы уже познакомились с частицами, масками и изменением форм различных объектов — настал черед рисовать пунктирные линии.

            Перед тем, как перейти к статье, сделаю небольшое отступление. Эта серия статей предназначена для разработчиков (в первую очередь начинающих), которые хотят делать красивые вещи, но совершенно запутались в сложных инструментах. Каждый раз мы затрагиваем какой-то один прием использования того или иного инструмента и смотрим, к созданию какиих эффектов его можно применить. Комментарии о том, что “во времена флеша было лучше” или что “нужно анимации рисовать в AfterEffects” безусловно имеют право на существование, но будут вырваны из контекста и совершенно не помогут начинающим в решении их задачи.
            Читать дальше →
          • Добровольцы создают мобильную сеть Sopranica, свободную от слежки

              Вот уже около года американский активист Денвер Джинджерич (Denver Gingerich) выкладывает в открытый доступ отдельные программные части большого проекта, который он с соратниками называет Sopranica. Это первая в мире мобильная сеть, которая объединяет пользователей на открытых принципах, без участия коммерческой компании-оператора сотовой связи. Присоединиться к сети на добровольной основе может любой пользователь в мире.

              Например, в январе 2017 года Джинджерич опубликовал исходный код jmp-register — визарда регистрации для чата JMP (JIDs for Messaging with Phones). В чате JMP каждый выбирает себе свободный и анонимный ID с указанием телефонного номера типа +12113114111@cheogram.com, через который может обмениваться текстовыми сообщениями и картинками с другими пользователями. При регистрации в JMP вы указываете произвольный телефонный номер, который привязывается к анонимному Jabber-аккаунту.

              Чат JMP — первый «кирпичик», составляющий свободную мобильную сеть Sopranica.
              Читать дальше →
            • Опубликована база с 320 млн уникальных паролей (5,5 ГБ)


                Проверка аккаунтов на живучесть

                Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).

                Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
                Читать дальше →
              • Хотите зашифровать вообще любое TCP соединение? Теперь у вас есть NoiseSocket



                  Привет, %username%!

                  Не всё в этом мире крутится вокруг браузеров и бывают ситуации, когда TLS избыточен или вообще неприменим. Далеко не всегда есть необходимость в сертификатах, очень часто хватает обычных публичных ключей, взять тот же SSH.

                  А еще есть IoT, где впихивать TLS целиком это вообще задача не для слабонервных. И бэкенд, который, я почти уверен, у всех после балансера общается друг с другом по обычному HTTP. И P2P и еще и еще и еще…

                  Не так давно в сети появилась спецификация Noise Protocol Framework. Это по сути конструктор протоколов безопасной передачи данных, который простым языком описывает стадию хэндшейка и то, что происходит после неё. Автор — Trevor Perrin, ведущий разработчик мессенджера Signal, а сам Noise используется в WhatsApp. Так что, был отличный повод рассмотреть этот протокольный фреймворк поближе.

                  Он так понравился нам своей простотой и лаконичностью, что мы решили на его основе запилить аж целый новый протокол сетевого уровня, который не уступает TLS в безопасности, а в чём-то даже превосходит. Мы презентовали его на DEF CON 25, где он был очень тепло принят. Пора поговорить о нём и у нас.
                  Читать дальше →
                • OpenSSL, ssl_ciphers и nginx: прокачиваем на 100%

                  • Tutorial


                  Много где написано о том, как получить 100% и A+ по тесту от Qualys. При всём при том практически везде директивы ssl_ciphers и подобные даются как эдакие магические строки, которые нужно просто вставить, и надеяться, что автор не подводит вас под монастырь. Эта статья призвана исправить это недоразумение. По прочтению этой статьи директива ssl_ciphers потеряет для вас всякую магию, а ECDHE и AES будут как друзья да братья.


                  Также вы узнаете почему 100% по тестам — не всегда хорошо в реальности.

                  Читать дальше →
                • Часть 3. Где хранить данные децентрализованным приложениям на блокчейне?

                    В первой части статьи мы обнаружили проблемы с хранением данных приложений в блокчейне. Во второй части мы описали требования к хранилищу данных и рассмотрели, насколько существующие реализации отвечают этим требованиям. Результаты были неутешительные — удовлетворительной реализации не нашлось. В данной части мы предложим концепцию децентрализованного хранилища данных, которое удовлетворяет поставленным требованиям. Разумеется, для более глубокого понимания сути происходящего рекомендуется просмотреть две предыдущие части.
                    Читать дальше →
                  • Обзор систем мониторинга серверов. Заменяем munin на…

                    • Tutorial
                    Очень долго хотел написать статью, но не хватало времени. Нигде (в том числе на Хабре) не нашёл такой простой альтернативы munin, как описанная в этой статье.


                    Читать дальше →
                  • Как сделать клавиатуру — Матрица

                    Автор: Komar aka Michał Trybus; Англо-русский перевод: firerock
                    Оригинал: blog.komar.be/how-to-make-a-keyboard-the-matrix

                    Это — первый пост из серии, посвящённой клавиатурам; надеюсь, он не будет последним. Хочется, чтобы в итоге получился курс по изготовлению клавиатуры с нуля. Сегодня я расскажу о цифровом вводе-выводе и о клавиатурных матрицах. Вооружитесь элементарными школьными знаниями из области электроники — и поехали.
                    Читать дальше →
                  • Каково оно учить JavaScript в 2016

                    • Translation


                    — Эй, я получил новый веб-проект, но, если честно, я не занимался веб-кодингом в течение нескольких лет, и я слышал, все немного поменялось. Ты же самый современный веб-разработчик, правда?

                    — Это теперь называется Front-End инженер, но да, я — именно он. Я работаю с вебом в 2016. Визуализации, музыкальные плееры, летающие дроны, которые играют в футбол, все что угодно. Я только что вернулся из JsConf и ReactConf, так что я знаю новейшие технологии для создания веб-приложений.

                    — Круто. Мне нужно создать страницу, которая отображает последние действия со стороны пользователей, так что мне просто нужно получить данные от REST и отобразить их в какой-то фильтруемой таблице, ну и обновлять её, если что-то изменится на сервере. Я думал, может быть, использовать JQuery для извлечения и отображения данных?

                    — О, Мой Бог! Нет! Никто больше не использует JQuery. Ты должен попробовать React: это — 2016!
                    Читать дальше →
                  • Запуск отдельных приложений через OpenVPN без контейнеров и виртуализации

                    Как-то одним прекрасным утром я рассказывал в телеграмме бывшему другу и коллеге о том, что такое network namespaces в Linux и с чем его едят. Коллега восхитился, так же, как я, в свое время, а мне пришла в голову, что надо не костылить скриптом, как я делал до этого, а автоматизировать запуск отдельного network namespace и OpenVPN в нем. Так как я использую Debian Sid и Ubuntu 16.04 LTS автоматизацию я себе сделал в виде юнитов systemd, но об этом в конце статьи. После того, как я рассказал еще одному человеку, на этот раз далекому от IT, о возможности запускать только одно приложение, например браузер, под VPN, а остальные, как и прежде, он сказал «Только ради этого стоит перейти на Linux на компе», а я решил написать статью-инструкцию, как это сделать.
                    Читать дальше →
                  • Vulners — Гугл для хакера. Как устроен лучший поисковик по уязвимостям и как им пользоваться

                    • Tutorial


                    Часто нужно узнать всю информацию о какой-нибудь уязвимости: насколько найденный баг критичен, есть ли готовые сплоиты, какие вендоры уже выпустили патчи, каким сканером проверить наличие бага в системе. Раньше приходилось искать вручную по десятку источников (CVEDetails, SecurityFocus, Rapid7 DB, Exploit-DB, базы уязвимостей CVE от MITRE/NIST, вендорские бюллетени) и анализировать собранные данные. Сегодня эту рутину можно (и нужно!) автоматизировать с помощью специализированных сервисов. Один из таких — Vulners, крутейший поисковик по багам, причем бесплатный и с открытым API. Посмотрим, чем он может быть нам полезен.
                    Читать дальше →
                    • +45
                    • 79.2k
                    • 3
                  • Спонсоры провалившегося проекта Voxel Quest не хотят возврата своих денег

                      Инвесторы Voxel Quest так и не дождались игры, но всё равно остались довольны




                      История с разработкой open-source игры Voxel Quest на «Кикстартере» очень удивительная. Она удивительна не тем, что разработчик взялся за непосильную задачу в одиночку и в итоге не справился с ней. Такое бывает сплошь и рядом. Вчера опубликовано финальное сообщение в блоге проекта, где заявлено об окончании разработки. Удивительно другое: сейчас бэкеры — инвесторы проекта, которые финансировали создание Voxel Quest — не хотят забирать свои деньги обратно!

                      Это история о том, как правильный подход к делу, открытость и общение с людьми, честность и преданность делу приносит удовольствие всем участникам процесса, независимо от результата. По-настоящему, это топик добра.
                      Читать дальше →
                    • Боремся с дистанционным контролем: как отключить Intel ME



                        Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.

                        На прошедшем 17 и 18 мая в Москве форуме Positive Hack Days VI исследователи Positive Technologies Максим Горячий и Марк Ермолов представили несколько техник отключения Intel ME, сопроводив доклад видеодемонстрацией процесса.
                        Читать дальше →
                      • «Кандидат имеет право задавать уточняющие вопросы», или Доводим интервьюера до нервного срыва

                        • Translation
                        Недавно я прочёл запись в блоге одного парня, который жаловался, что на интервью его попросили написать функцию, которая должна скопировать файл. Нет, я понимаю, как можно взъесться на такое задание, но если бы в подобной ситуации оказался я… уж я бы оторвался по полной:

                        Кандидат: Что конкретно Вы имеете в виду, говоря «скопировать»?
                        Интервьюер: Ну… создать новый файл, содержимое которого является копией содержимого исходного файла.
                        Читать дальше →
                      • Первый в мире асимметричный дрон с одной подвижной частью



                          Инженеры из института динамических систем и управления Швейцарской высшей технической школы Цюриха (ETH Zurich) сконструировали летательный аппарат с одной движущейся частью, который называют «первым в мире» [на самом деле подобные эксперименты проводились и раньше, см. в комментариях — прим.].

                          У современного вертолёта тысячи движущихся частей. У первых самолётов было две подвижные части: винт и хвостовой поворотник. В ETH Zurich сделали управляемый летательный аппарат вообще с одной подвижной частью. Коптер под названием моноспинер (Monospinner) — механически самая простая управляемая летающая конструкция среди всех существующих. У него есть только воздушный винт, никаких дополнительных приводов или аэродинамических поверхностей.
                          Читать дальше →
                        • Как на самом деле работает протокол Биткоин

                          • Translation
                          (Замечательное объяснение принципов работы сети Bitcoin авторства Michael Nielsen. Много текста, немного картинок. Обо всех корявостях перевода — в личку, буду исправлять по мере обнаружения)

                          Много тысяч статей было написано для того, чтобы объяснить Биткоин — онлайн, одноранговую (p2p) валюту. Большинство из этих статей поверхностно рассказывают суть криптографического протокола, опуская многие детали. Даже те статьи, которые «копают» глубже, часто замалчивают важные моменты. Моя цель в этой публикации — объяснить основные идеи, лежащие в протоколе Биткоин в ясной, легкодоступной форме. Мы начнем с простых принципов, далее пойдем к широкому теоретическому пониманию, как работает протокол, а затем копнем глубже, рассматривая сырые (raw) данные в транзакции Биткоин.
                          Читать дальше →