• Microsoft выпустила инструкцию для исправления работы функции Windows 10 «Сбросить этот ПК»
    0
    Диагностики все эти для удобства рекламодателей и маркетологов, а не для удобства пользователей. Пользователи — товар (да ещё и сами платят за право быть подопытными кроликами).
  • Все нововведения Windows 10 October 2020 Update
    0
    Мой внутренний дизайнер негодует, даже не смогли сделать нормальный отступ, если задано OEM-имя модели компьютера:
    Заголовок спойлера
    image
  • Расширение Nano Defender нужно срочно удалить из браузера
    0
    Где-нибудь возможно получить полный список «продавшихся» расширений и программ, дабы удалить их с компьютера и никогда больше не ставить?
  • NVIDIA показала наброски GeForce RTX 30-й серии: в ней будет новый коннектор питания, но в коробку положат переходник
    0
    А что мешало традиционные 2 по 6 поставить «на попа», обязательно было под них новый коннектор изобретать? Распиновку не видел, но вангую, там будут те же половина коннекторов +12V, вторая половина земля, только повёрнутые другим боком.
  • В Беларуси блокируют большое количество интернет-сервисов
    –2
    Подозреваю, что отключение айтишниками интернета — это итальянская забастовка. Ведь они прекрасно понимают, что без интернета большая масса народа практически гарантированно выйдет на улицу. Если поступила сверху указка выстрелить их главному в ногу — кто в такой ситуации воспротивится?
  • Яндекс принудительно устанавливает неудаляемый «Яндекс.Телемост» в другие свои программы на компьютере пользователя
    +1
    Каждое приложение на electron или использующее CEF, хранит в себе копию хромиума. Хотя шпионажа там вроде бы нет (как в брендированном Хроме), но кто даст гарантию, что не появится в дальнейшем?
  • Яндекс принудительно устанавливает неудаляемый «Яндекс.Телемост» в другие свои программы на компьютере пользователя
    +2
    Можно хранить зашифрованные бэкапы, к примеру, которые потерять не жалко в случае чего (если использовать не как основное хранилище для единственного бэкапа, а как впомогательное).
  • Роскомнадзор разблокировал Telegram
    0
    В Telegram есть двухфакторная аутентификация. Если забыли второй фактор — то можно разве что только сбросить аккаунт.
  • Роскомнадзор разблокировал Telegram
    +3
    Давно пора этот (расистское прилагательное) список РКН почистить. Уверен, он на 90% заполнен сайтами-однодневками, которые прекратили существование много лет назад, а место в реестре занимают.
  • Топорная (почти буквально) защита изображений от копирования
    0
    Главное, чтобы не додумались из этого безобразия сделать капчу
    (если что, я этого не предлагал)
  • Язык программирования Go тоже очищают от «расистских» терминов
    +1
    Как по мне, логичнее было бы сделать её ярко-красной, чтобы легко бросалась в глаза на льду
  • Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа
    0
    Вдобавок оказалось, что сканирование портов скриптом check.js не происходит, если пользователь при посещении сайта eBay использует ПК на Linux.
    Догадываюсь, это из-за различий в реализации сетевого протокола под Windows и Linux.
    Под Windows при попытке стучать на закрытый порт после получения RST-пакета система пытается ещё несколько раз отправить пакет, и только через 1000 милисекунд «сдаётся» и генерирует ошибку о невозможности подключения. Под Linux такой проблемы нет, и ошибка всплывает практически сразу (в моих замерах ~4.8мс).
    В итоге, под Linux трюк с замером времени подключения не сработает — там мы или не подключимся и практически сразу получим ошибку сокета, или подключимся и получим ошибку CORS через такое же мизерное время.
    Под Windows — если мы не подключимся, то получим ошибку через секунду или дольше, а если подключимся — то значительно быстрее.
    Полагаю, именно на этом и основана методика определения открытого порта.
  • Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа
    0
    Разница во времени ответа, если порт открыт — сервер ответит сразу и браузер отклонит запрос, если нет — то пару секунд потупит, прежде чем сигнализировать отвал по тайм-ауту.
  • Ещё один однострочный пакет npm сломал экосистему JavaScript
    +1
    Та нет, это был переход с 12.15.0 на 12.16.0. Если бы был переход на другую мажорную версию, я бы не удивился сломанному коду.
    Набросал простенький пример, демонстрирующий эту проблему: github.com/SagePtr/test-issue452
  • Ещё один однострочный пакет npm сломал экосистему JavaScript
    +1
    Тоже не всегда панацея. У меня в одном проекте был модуль webpack-obfuscator, залоченный на версию 0.18.0, но грабли прилетели, откуда не ожидалось — в одном из минорных билдов ноды ветки 12.х сломали совместимость с предыдущими версиями ноды в рамках одной и той же ветки (а именно, немного поменяли EventEmitter в 12.16.0). А казалось бы, что хотя бы в LTS такого быть не может и обратная совместимость будет обеспечена в рамках ветки, но нет, залоченные пакеты могут оказаться вдруг несовместимы с новой версией самой ноды, даже если это минорный билд. Что делать, для каждого проекта держать отдельную версию ноды?
  • CAPTCHA: убивая конверсию
    0
    Но зато спасает в том случае, если бот обходит сразу множество сайтов параллельно и оставляет там спам. Допустим, если за секунду он обходит 100 сайтов, а подбор этой капчи занимает 2 секунды, то проще за это время обспамить 200 незащищённых сайтов, чем 1 защищённый.
  • Саморегистрируемся для самовыгула самособаки в условиях самоизоляции
    0
    Как вариант, использовать паспорт + трёх-четырёхзначный код заявки (у каждой заявки свой, рандомно генерируемый при создании заявки, коллизии не критичны). В итоге, чтобы пробить все заявки гражданина, кроме паспорта нужно ещё их коды угадать, на стороне сервера можно сделать минимальную защиту от перебора (например, не больше 5 неудачных попыток за 15 минут с пары IP+паспорт) и срок жизни заявок (не более 12 часов будет разумным на мой взгляд, истёкшие заявки недоступны для поиска, но доступны по запросу спецслужб). Сложнее, чем с просто паспортом, но выписать на бумажку несколько цифр и продиктовать их сотруднику органов вместе с демонстрацией документа всё равно намного проще, чем изначальная идея с кодами.
  • Саморегистрируемся для самовыгула самособаки в условиях самоизоляции
    +3
    Не очень понимаю, к чему эта свистопляска с QR-кодами. У каждого гражданина есть паспорт с номером, который всё равно нужно вводить на сайте при оставлении заявки. Что мешает сделать привязку не к одноразовому коду, а к номеру паспорта, а полицейским — спрашивать у прохожих документы (которые они и так спрашивают) и забивать номер паспорта в систему, проверяя, какие именно заявки были оставлены этим гражданином. По типу электронных билетов в аэропорту, где для получения посадочного талона на рейс достаточно предъявить только паспорт, и никакой мороки с распечаткой билетов не нужно.
    Доступ к поиску заявок по номеру паспорта, само собой, выдавать только полицейским, любой рандомный гражданин к ним не должен иметь доступ.
  • Firefox внедряет режим «только HTTPS»
    +1
    Вместо блокировки HTTP-соединений могли бы сделать, как с самоподписанными или истёкшими сертификатами — разрешить пользователю согласиться с риском и зайти на сайт.
    Тогда большой проблемы не будет, HTTP-сайты действительно потеряют в посещаемости (не каждый будет соглашаться перейти на сайт), но если очень надо или железка не поддерживает HTTPS — юзеру не придётся искать портативную старую версию браузера и заходить через неё.
  • Рекламные баннеры Ростелекома и как с ними бороться
    +2
    Что если злоумышленник вклинится где-то посерёдке и начнёт раздавать фейковые новости вместо настоящих? А если живёте в России, то можете за это попасть на штраф от Роскомнадзора, или даже в тюрьму (если отдаваемые злоумышленником данные на вашем сайте будут нарушать законодательство, но вы не сумеете доказать свою непричастность к ним)
  • Апокалипсис грядёт
    +6
    По заголовку ожидал увидеть статью о 2019-nCoV или об аномальном изменении климата, а тут всего лишь об очередном переполнении unix timestamp.
    Кстати, заменив знаковый тип на беззнаковый, можно выиграть ещё ~68 лет, не прибегая к изменению размера поля и конвертации старых записей (при отсутствии необходимости хранения дат ранее 1970 года).
  • На ресурсах Хабра заканчивается поддержка старых версий TLS
    +1
  • На YouTube вступили в силу новые правила для детского контента
    0
    Такое поведение было ещё полгода назад (а может и раньше) — когда открыл ролик, помеченный как детский, то вся лента рекомендаций (справа от комментариев) была заполнена другими «детскими» роликами, при этом совершенно никак не связанными с исходным и являющимися каким-то трешем от 5-летних недоблогеров (я бы такое ребёнку точно бы не стал показывать).
    Тогда как в обычных роликах половина этой ленты заполнена роликами, похожими на просматриваемый, а другая половина — похожими на те, что юзер просматривал недавно (не коррелирующие с тематикой просматриваемого).
    Возможно, та функция в то время была ещё в экспериментальном режиме (потому как работала она совершенно дико и подсовывала совсем уж трешак), а сейчас её допилили, не проверял.
  • Последовательное скачивание в uTorrent за 2 клика
    +2
    Если подскажете хороший сервис, где можно выбирать язык озвучки и язык субтитров, буду благодарен (предпочитаю оригинальную озвучку + русские субтитры). Пока что только на торрентах видел подобное, и то не во всех раздачах.
  • Прионы — страх и ужас будущего
    0
    Уже слышу возгласы «чёртова Гренландия, опять»
  • Почему удалось взломать? Наверное, потому что злоумышленник
    +1
    На данный момент так и есть, стоит редирект с https на http:
    Скрытый текст
    $ curl -I https://rzd.ru/
    HTTP/1.1 302 Found
    Date: Thu, 19 Dec 2019 14:50:14 GMT
    Via: tt-web10
    Location: http://www.rzd.ru/
    (другие заголовки)

    $ curl -I https://www.rzd.ru/
    HTTP/1.1 302 Found
    Date: Thu, 19 Dec 2019 14:50:21 GMT
    Via: tt-web06
    (другие заголовки)
    Location: http://www.rzd.ru/main/public/ru
    (другие заголовки)

    $ curl -I https://www.rzd.ru/main/public/ru
    HTTP/1.1 302 Found
    Date: Thu, 19 Dec 2019 15:10:14 GMT
    Server: IBM_HTTP_Server
    Via: tt-web12
    (другие заголовки)
    Location: http://www.rzd.ru/main/public/ru
    (другие заголовки)

  • Почему удалось взломать? Наверное, потому что злоумышленник
    0
    К сожалению, в нашей стране это уже не анекдот
  • Я/МЫ не Айхор-хостинг. Или как плюнуть в лицо отрасли
    0
    Вроде обычный, безо всяких акций, по крайней мере друг выбирал его из обычного прайслиста, по его словам. Тоже за пару лет столкнулся впервые, до этого ни разу плохой не попадался, это скорее из разряда единичных случаев. Проблемы не доставило, т.к. техподдержка отреагировала быстро, заменили в течение нескольких часов.
    Да и предоставляют по 2 диска на сервер (программный RAID1 при установке ОС штатным установщиком, за дополнительную стоимость можно взять аппаратный), так что даже если в процессе работы один из дисков «отъедет» — не страшно, можно заменить, но было бы всё же лучше, чтобы Хецнер отлавливал поломки дисков, а не клиенты.
  • Я/МЫ не Айхор-хостинг. Или как плюнуть в лицо отрасли
    +1
    Подтверждаю собственным опытом. В прошлом году моему другу на свежем выделенном сервере поставили убитый жёсткий диск. Конечно, после обращения в техподдержку они быстро заменили диск на рабочий, но могли бы хотя бы бегло тестировать оборудование перед передачей в эксплуатацию клиенту, во избежание подобных факапов.
  • Позиция инженерной команды Okko по событиям, связанным с Nginx
    +1
    Даже любопытно стало, почему некоторые запросы к статике на okko.tv возвращают Server: nginx, а некоторые Server: Okko? Хотели перебить название продукта, но перебили не до конца, да?
    Примеры разных запросов
    > curl -I https://okko.tv/assets/favicons/64x64.png
    HTTP/2 200
    server: nginx
    date: Sat, 14 Dec 2019 19:59:10 GMT
    content-type: image/png
    content-length: 1261
    last-modified: Tue, 10 Dec 2019 19:31:37 GMT
    expires: Thu, 31 Dec 2037 23:55:55 GMT
    cache-control: max-age=315360000
    pragma: public
    cache-control: public
    accept-ranges: bytes

    > curl -I https://okko.tv/images/v2/8707931
    HTTP/2 200
    content-length: 208601
    content-type: image/jpeg
    date: Sat, 14 Dec 2019 19:57:30 GMT
    server: Okko
    expires: Sat, 14 Dec 2019 20:57:30 GMT
    cache-control: public, max-age=3600
    age: 139
    x: hit
    accept-ranges: bytes

  • YouTube с декабря сможет блокировать «не имеющие коммерческого смысла» аккаунты пользователей
    +1
    Можно промежуточный вариант: если в течение последних N месяцев (или лучше N лет) подряд видео не получило ни единого просмотра, оно помечается неактивным и автоматически попадает в «корзину», а автору на почту приходит уведомление, в течение месяца можно восстановить (первый раз — бесплатно, впоследствии — за денежку).
    Подобная схема частенько используется на бесплатных файлообменниках, где файлы удаляются обычно через месяц после последнего скачивания (или по крайней мере так заявляется в их соглашениях).
    Опять же, ударит по пользователям, держащим на ютубе архивы видео, но ютуб — это не резиновый диск для хранения невостребованных никем (включая самого автора) архивов, против подобных «плюшкиных» наверняка правило и вносилось. Но зато значительно почистит площадку от видео, которые давным давно пользователи заливали для каких-нибудь личных целей и забыли о них за неактуальностью.
    Но подобная схема может ударить по очень редким видео, которые раз в пару лет могут кому-нибудь всё равно понадобиться.
  • Найдена причина, по которой 168 тыс. SMS, отправленных в день Святого Валентина, пришли получателям только 7 ноября 2019
    0
    В сентябре словил похожий баг, на полчаса смс-шлюз Мегафона перестал принимать входящие сообщения, а я как раз в тот момент пару раз попытался войти в онлайн-банкинг и не смог код получить.
    Когда через две недели все эти неотправленные смс с кодами пришли одновременно сразу пачкой, я поначалу перепугался, что мой пароль поломали и добрались до второго фактора, но проверил метаданные СМС-сообщений и по дате отправления обнаружил, что это старые.
    Было бы удобно, если бы мобильный оператор или телефон как-то помечал подобные сообщения, у которых большие расхождения между датой отправки и получения.
  • YouTube с декабря сможет блокировать «не имеющие коммерческого смысла» аккаунты пользователей
    +3
    А в Твиттере сотрудники Ютуба пишут обратное:
    To clarify, there are no new rights in our ToS to terminate an account bc it’s not making money. As before, we may discontinue certain YouTube features or parts of the service, for ex., if they're outdated or have low usage. This does not impact creators/viewers in any new ways.
    Время покажет, окажутся ли эти обещания истинны или нет.
  • Штраф в 30 тыс. евро за незаконное использование cookies
    +1
    Как вариант — куки с SameSite=Strict|Lax пропускать без подтверждения, а для SameSite=None спрашивать у пользователя. Маркетинговые нормально не смогут работать без атрибута SameSite=None (что сейчас по дефолту, но в будущих релизах Chrome собираются переключить на Lax), ибо будут приняты браузером только при непосредственном открытии сайта рекламодателя.
  • Русская хакерша случайно взломала кормушки для животных Xiaomi Furrytail Pet Smart Feeder по всему миру
    0
    Каждому коту — свои персональные 2 кормушки, выдача корма — по распознаванию морды, или авторизовать каждого кота по браслету с чем-нибудь по типу NFC. Единственное, придётся сначала натренировать котов, чтобы знали, какая именно пара кормушек принадлежит им. Может быть, прочитают комментарий и что-то подобное реализуют.
  • Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP
    +1
    Конечно, трансграничные кабели перережут, и до вашего ресурса не достучаться.
    При таком раскладе — интернета в России не будет вообще (максимум — большая локальная сеть со «стабильностью» и полной стагнацией). Я же рассматриваю вариант в ситуации, пока в стране интернет всё ещё доступен.
  • Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP
    0
    Блокируют, но не все провайдеры это умеют делать.
  • Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP
    +1
    Как я понимаю, если у меня сайт располагается за пределами РФ и OCSP Stapling включён, то сертификат при этом не отвалится у российских юзеров из-за отвалившейся проверки сертификата на наличие в списке отозванных? Или всё равно останутся точки отказа?
  • «Узник Тора» Дмитрий Богатов покинул Россию: «Признайте — война уже проиграна»
    +2
    Его же тоталитарно-либеральная общественность объявляла подонком и агентом кремля? Что-то уже поменялось?

    А что, за это уже сажают? Правосудие должно судить людей за то, что они действительно совершили, а не за то, что они кому-нибудь стали вдруг неугодны.
  • Объявлена кампания по переименованию WiFi-точек доступа в поддержку программиста Константина Котова
    0
    А что, тут авторы топиков могут удалять комментарии? Сколько сижу на Хабре, ни разу подобного не видел, удаляет разве что администрация Хабра, если комментарий нарушает правила ресурса. И то удалённые комментарии не исчезают целиком, вместо них отображается надпись об НЛО.

    Может быть, вы нарегистрировали левых аккаунтов, дабы накатать слова в свою поддержку, но не учли тот факт, что свежезарегистрированные аккаунты проходят премодерацию и их сообщения публикуются только после одобрения, вот почему вы не видите сообщений со своих поддельных аккаунтов и считаете, якобы эти сообщения — удалены автором.