В общем случае ИНН организации не является уникальным идентификатором — например, ИНН филиала вуза может совпадать с ИНН головного вуза (в результате чего регулярно возникают различные проблемы).
Старые RFC писались в те времена, когда ещё существовали машины, где байт состоял не из 8 битов (ну или по крайней мере об этом ещё кто-то помнил), поэтому для обозначения 8 бит данных использовался термин «октет».
Хотя в данном случае слово «octet» в этой части текста появилось только в RFC 5321, а в более старых RFC 2821 и RFC 821 было написано просто «character».
Недавно наблюдали похожую ситуацию, но в противоположном направлении — в некоторых случаях точка дублировалась, ломая ссылки в письме. Оказалось, что SwiftMailer (ну да, unsupported и всё такое) при использовании Swift_SendmailTransport смотрит в опции команды sendmail, и если не обнаруживает там опцию -i, дублирует точку в начале строки, как для протокола SMTP, однако реализация /usr/sbin/sendmail от Postfix не производит удаление дублированных таким образом точек во входных данных. Добавление опции -i исправило ситуацию.
Кроме того, для проявления проблемы также было необходимо, чтобы исходящие письма кодировались в формате Quoted-Printable (при использовании base64 точки в теле письма были бы просто не видны на уровне SMTP), но именно формат Quoted-Printable используется по умолчанию.
Это на самом деле баг в binutils-avr, который существовал там по той причине, что версия binutils там на самом деле очень древняя (но патчи от Atmel есть только для этой древней версии); в апстриме binutils проблему починили ещё в 2017 году. В конце 2023 года баг внезапно пофиксили, но до Debian stable фикс пока ещё не дополз (зато вроде бы вошёл в Ubuntu 24.04 LTS).
Там есть ещё один вариант эксплуатации уязвимости, который не упомянут в русском переводе — Git >= 2.34 может использовать ключи SSH для подписи коммитов, и эти подписи, созданные через уязвимую версию Pageant, тоже могут быть использованы для компрометации ключа.
Ну вот в том багрепорте как раз расписано, что и где не работает. Там ещё проблема в том, что зоопарк WM для X11 сейчас превратился в зоопарк композиторов для Wayland, и этот зоопарк, похоже, ещё похуже старого — если с WM основная проблема была в некорректном позиционировании окон в некоторых комбинациях софта (что, кстати, именно сейчас наблюдается в комбинации Kicad 7/8 + i3 — KiCad пытается запоминать позицию некоторых окон и восстанавливать её при повторном открытии, но ошибается на размер рамки и заголовка окна в i3), то в случае Wayland разработчики наплодили 500 штук разных протоколов, из которых каждый композитор поддерживает какой-то свой набор со своими специфическими багами, и что и как надо реализовывать в приложениях — чёрт ногу сломит.
Плюс мешают принципиальные ограничения Wayland — например, тот же KiCad для поддержки позиционирования объектов с клавиатуры и скроллинга при перемещении за пределы видимой области хочет управлять позицией курсора мыши, с чем в X11 никаких проблем нет, а в Wayland это либо не работает вообще, либо надо придумывать очередной протокол, который опять же будет когда-нибудь реализован в половине композиторов, причём в половине из них как-то криво.
TOTP … требует постоянного наличия стабильного интернета на устройстве клиента
Как раз чистый TOTP не требует интернета на устройстве — требуется, чтобы время было установлено с достаточной точностью, для чего интернет в общем случае не нужен. Другой вопрос, что использование TOTP в таком варианте подразумевает, что пользователь должен самостоятельно открыть приложение для аутентификации, найти в нём нужную учётную запись, после чего ввести сгенерированный приложением код в форму входа (в случае входа через тот же смартфон может быть ещё вариант «скопировать код через буфер обмена»). В этом плане аутентификация через собственное приложение, показывающее уведомление, где достаточно только подтвердить вход, выглядит для пользователя существенно проще, но такой вариант без интернета уже не сработает.
Да я даже не представляю особо что там на клиенте генератором случайных чисел производится...
Например, макрос /castrandom (применение случайного заклинания из списка). В бою такое, конечно, вряд ли нужно (обычно это использовалось для какой-то косметики), но для поддержки подобных возможностей в безопасное окружение таки была протащена функция random(), что и привело к возможности создания скрытого канала.
Если совместимость с Pro Micro по разводке не требуется, и достаточно 20 GPIO, есть ещё Waveshare RP2040-Zero — по размеру ещё меньше, продаётся много где, и обычно дешевле, чем вариант, совместимый по разводке с Pro Micro. Правда, этот вариант имеет свои недостатки — например, сигналы RESET (RUN) и BOOT не выведены вообще никак (только на кнопках на самом модуле), определение наличия USB VBUS невозможно (VBUS не отделён от цепи питания 5V диодом), компоненты на модуле установлены с двух сторон (невозможно установить модуль прямо на свою плату без выреза — впрочем, с китайским вариантом ProMicro-RP2040 такой вариант тоже не проходит из-за отсутствия castellated pads на модуле).
Есть ещё Waveshare RP2040-Tiny — вот этот модуль может быть установлен на плату как SMD-компонент, но подключение USB и кнопок BOOT/RESET у него сделано через FPC-коннектор.
В ATtiny85 QMK если и влезает, то в очень сильно обрезанном виде — ни о какой динамической настройке через VIA/Vial там речи не идёт, не говоря уж о дисплее.
На самом деле и в ATmega32U4 всё это уже начинает влезать с некоторым трудом, а такие возможности, как поддержка LCD (Quantum Painter), просто не работают ни на каких чипах из семейства AVR, и среди разработчиков уже всерьёз обсуждается возможность отказа от поддержки AVR в новых версиях QMK.
ESP в QMK не поддерживается ни в каком виде (кроме того, большинство вариантов ESP не имеют аппаратной поддержки USB).
На Bluepill с STM32F103C8/CB (или достаточно совместимым клоном — GD32F103/F303 совместимы недостаточно, с ними не работает I2C) собрать что-то подобное вполне можно, но с F103 работать неудобно из-за того, что в этих чипах изначально нет загрузчика с поддержкой USB, поэтому в пустой чип нужно первоначально залить загрузчик (например, stm32duino) через ST-Link. Можно использовать Blackpill с STM32F401/F411 — там есть встроенный загрузчик, но есть ненулевая вероятность напороться на поддельный чип (как, впрочем, и с F103).
Чипы ATmega328[P] и ATmega32A в принципе поддерживаются в QMK (USB Low Speed реализуется программно через V-USB), но использовать что-то типа Arduino Nano для QMK опять же неудобно из-за того, что имеющийся на плате USB-разъём бесполезен (к нему подключен преобразователь USB-Serial), и нужно будет подключить к чипу отдельный USB-разъём и дополнительные компоненты, необходимые для V-USB (резисторы и стабилитроны для ограничения уровней сигналов на шине USB); кроме того, для возможности обновления прошивки через тот же USB-разъём нужно будет заменить и загрузчик, для чего потребуется дополнительное устройство для перепрошивки через ISP.
А вообще наиболее традиционный контроллер для QMK — это Pro Micro на ATmega32U4 (изначально с разъёмом Micro-USB, но сейчас доступны и клоны с Type C, правда, во многих китайских клонах реализация Type C некорректная и не работает с кабелями C-C).
Кстати, не так давно на AliExpress наконец появились модули на базе RP2040, совместимые по форм-фактору с Pro Micro и даже Elite-C, которые во многих (но не во всех) случаях годятся для замены Pro Micro (но прошивку нужно пересобирать с указанием CONVERT_TO=rp2040_ce). Правда, в отличие от Pro Micro и различных клонов Raspberry Pi Pico, продавец таких модулей пока есть только один.
Вообще что такое «информсистема, обеспечивающую авторизацию пользователей сайтов»? Если сам сайт предоставляет возможность завести на нём учётную запись с именем и паролем, и потом входить с этим именем и паролем — это «информсистема, обеспечивающая авторизацию пользователей сайтов», «владельцем которой является гражданин РФ, не имеющий гражданства другого государства, или российское юрлицо с иностранным владением менее 50%» (второе утверждение с большой вероятностью будет истинным, поскольку данный закон относится только к таким сайтам)? Если да — получается, что запрещается главным образом кнопка «Войти через Google/Apple/…», а локальные учётные записи, поддерживаемые средствами самого сайта, по-прежнему разрешены.
Правда, при таком прочтении остаётся вопрос, допустимо ли использование «вражеских» адресов электронной почты для таких операций, как восстановление пароля, или же этот механизм восстановления пароля придётся ликвидировать. Ну и капча при регистрации, видимо, тоже должна будет использоваться исключительно отечественная.
почему трансграничная интернет-торговля шла через Почту России: у нее что, была какая-то привилегия?
А через что она должна была идти, если службы доставки типа DHL или Fedex с Россией и до 2022 года практически не работали (по крайней мере для доставки физическим лицам)? Некоторым магазинам даже приходилось специально объяснять, чтобы они не пытались использовать DHL для доставки. Хотя тут, возможно, корень проблемы был в разных таможенных правилах для международной почты и прочих служб доставки.
Причём просто для заливки прошивки теоретически ничего, кроме USB-кабеля, вообще не нужно, поскольку, в отличие от STM32F103, в чипах F401/F411 есть встроенный загрузчик с поддержкой USB DFU. Правда, как обычно, гладко было на бумаге:
В загрузчике F401/F411 есть особенность, больше похожая на баг — не включается внутренняя подтяжка для вывода PA10, который используется как USART1 RX. В результате, если к этому пину ничего не подключено, загрузчик может поймать там мусор от наводок, после чего уйдёт в режим работы через последовательный порт и перестанет работать с USB. Поэтому в любом устройстве, где предполагается использовать встроенный загрузчик F4x1, необходимо каким-то способом обеспечить стабильный уровень на входе PA10 во время работы загрузчика (например, подключить туда внешний резистор подтяжки).
По каким-то причинам частота кварца на платах Blackpill — 25 МГц, а не более обычные для отладочных плат на STM32 8 МГц. Для работы прошивки, где параметры тактирования указываются статически при сборке, это не имеет особого значения, а вот загрузчик пытается определить частоту кварца путём сравнения её с частотой внутреннего RC-генератора (HSI), и запас на неточность частоты HSI при необходимости различить 24/25/26 МГц значительно меньше, чем при различении 7/8/9 МГц. В результате этого в описании платы всерьёз предлагается в случае проблем с запуском загрузчика обеспечить температуру чипа 25°C.
Для входа в загрузчик на входе PB2 в момент сброса должен быть уровень 0; на плате Blackpill это реализовано путём соединения этого пина с GND через резистор, который может мешать в каких-то вариантах применения этого пина.
Наконец, для входа в загрузчик нужно установить на входе BOOT0 уровень 1, что на этой плате может быть сделано единственным образом — путём нажатия кнопки BOOT; больше никуда сигнал BOOT0 не выведен. Можно, конечно, реализовать вход в загрузчик как одну из функций собственной прошивки, а вариант с доступом к кнопке BOOT оставить в качестве средства восстановления после неудачной прошивки, смирившись с необходимостью разбирать устройство для этой цели.
Оригинальный дистрибутив Windows 10 или 8.1 уже несколько лет как можно скачать с сайта Microsoft, при этом никакого подтверждения наличия лицензии предъявлять не требуется. Если по User-Agent определяется, что браузер пользователя запущен под Windows, предлагается скачать «средство для создания носителя», умеющее записывать образ на USB-Flash или DVD; для прочих ОС просто отдаётся файл ISO. Единственная тонкость — для редакции «Windows 8.1 для одного языка» существует отдельная версия образа (когда-то такое было и для Windows 10, но сейчас для этой версии сделали универсальный образ для всех редакций). Ну и установкой нужных драйверов придётся заниматься самостоятельно (в некоторых случаях из Windows Update автоматически ставится далеко не всё, что нужно для нормальной работы).
А вот со скрытого раздела, если такой есть, как раз устанавливается система со всем предустановленным вендорским мусором.
В общем случае ИНН организации не является уникальным идентификатором — например, ИНН филиала вуза может совпадать с ИНН головного вуза (в результате чего регулярно возникают различные проблемы).
И ладно ещё если просто
halt(), а не что похуже (случай с проигрыванием гимна уже был).Старые RFC писались в те времена, когда ещё существовали машины, где байт состоял не из 8 битов (ну или по крайней мере об этом ещё кто-то помнил), поэтому для обозначения 8 бит данных использовался термин «октет».
Хотя в данном случае слово «octet» в этой части текста появилось только в RFC 5321, а в более старых RFC 2821 и RFC 821 было написано просто «character».
Недавно наблюдали похожую ситуацию, но в противоположном направлении — в некоторых случаях точка дублировалась, ломая ссылки в письме. Оказалось, что SwiftMailer (ну да, unsupported и всё такое) при использовании
Swift_SendmailTransportсмотрит в опции командыsendmail, и если не обнаруживает там опцию-i, дублирует точку в начале строки, как для протокола SMTP, однако реализация/usr/sbin/sendmailот Postfix не производит удаление дублированных таким образом точек во входных данных. Добавление опции-iисправило ситуацию.Кроме того, для проявления проблемы также было необходимо, чтобы исходящие письма кодировались в формате Quoted-Printable (при использовании base64 точки в теле письма были бы просто не видны на уровне SMTP), но именно формат Quoted-Printable используется по умолчанию.
Это на самом деле баг в binutils-avr, который существовал там по той причине, что версия binutils там на самом деле очень древняя (но патчи от Atmel есть только для этой древней версии); в апстриме binutils проблему починили ещё в 2017 году. В конце 2023 года баг внезапно пофиксили, но до Debian stable фикс пока ещё не дополз (зато вроде бы вошёл в Ubuntu 24.04 LTS).
Там есть ещё один вариант эксплуатации уязвимости, который не упомянут в русском переводе — Git >= 2.34 может использовать ключи SSH для подписи коммитов, и эти подписи, созданные через уязвимую версию Pageant, тоже могут быть использованы для компрометации ключа.
Ну вот в том багрепорте как раз расписано, что и где не работает. Там ещё проблема в том, что зоопарк WM для X11 сейчас превратился в зоопарк композиторов для Wayland, и этот зоопарк, похоже, ещё похуже старого — если с WM основная проблема была в некорректном позиционировании окон в некоторых комбинациях софта (что, кстати, именно сейчас наблюдается в комбинации Kicad 7/8 + i3 — KiCad пытается запоминать позицию некоторых окон и восстанавливать её при повторном открытии, но ошибается на размер рамки и заголовка окна в i3), то в случае Wayland разработчики наплодили 500 штук разных протоколов, из которых каждый композитор поддерживает какой-то свой набор со своими специфическими багами, и что и как надо реализовывать в приложениях — чёрт ногу сломит.
Плюс мешают принципиальные ограничения Wayland — например, тот же KiCad для поддержки позиционирования объектов с клавиатуры и скроллинга при перемещении за пределы видимой области хочет управлять позицией курсора мыши, с чем в X11 никаких проблем нет, а в Wayland это либо не работает вообще, либо надо придумывать очередной протокол, который опять же будет когда-нибудь реализован в половине композиторов, причём в половине из них как-то криво.
KiCad пока ещё нормально не работает в Wayland; как-то работает через XWayland, но при необходимости масштабирования там получается мыло.
Как раз чистый TOTP не требует интернета на устройстве — требуется, чтобы время было установлено с достаточной точностью, для чего интернет в общем случае не нужен. Другой вопрос, что использование TOTP в таком варианте подразумевает, что пользователь должен самостоятельно открыть приложение для аутентификации, найти в нём нужную учётную запись, после чего ввести сгенерированный приложением код в форму входа (в случае входа через тот же смартфон может быть ещё вариант «скопировать код через буфер обмена»). В этом плане аутентификация через собственное приложение, показывающее уведомление, где достаточно только подтвердить вход, выглядит для пользователя существенно проще, но такой вариант без интернета уже не сработает.
Третий уровень, видимо, всё-таки чуть раньше появился на клавиатуре SAIL (правда, там он назывался TOP).
Например, макрос
/castrandom(применение случайного заклинания из списка). В бою такое, конечно, вряд ли нужно (обычно это использовалось для какой-то косметики), но для поддержки подобных возможностей в безопасное окружение таки была протащена функцияrandom(), что и привело к возможности создания скрытого канала.Если совместимость с Pro Micro по разводке не требуется, и достаточно 20 GPIO, есть ещё Waveshare RP2040-Zero — по размеру ещё меньше, продаётся много где, и обычно дешевле, чем вариант, совместимый по разводке с Pro Micro. Правда, этот вариант имеет свои недостатки — например, сигналы RESET (RUN) и BOOT не выведены вообще никак (только на кнопках на самом модуле), определение наличия USB VBUS невозможно (VBUS не отделён от цепи питания 5V диодом), компоненты на модуле установлены с двух сторон (невозможно установить модуль прямо на свою плату без выреза — впрочем, с китайским вариантом ProMicro-RP2040 такой вариант тоже не проходит из-за отсутствия castellated pads на модуле).
Есть ещё Waveshare RP2040-Tiny — вот этот модуль может быть установлен на плату как SMD-компонент, но подключение USB и кнопок BOOT/RESET у него сделано через FPC-коннектор.
В ATtiny85 QMK если и влезает, то в очень сильно обрезанном виде — ни о какой динамической настройке через VIA/Vial там речи не идёт, не говоря уж о дисплее.
На самом деле и в ATmega32U4 всё это уже начинает влезать с некоторым трудом, а такие возможности, как поддержка LCD (Quantum Painter), просто не работают ни на каких чипах из семейства AVR, и среди разработчиков уже всерьёз обсуждается возможность отказа от поддержки AVR в новых версиях QMK.
ESP в QMK не поддерживается ни в каком виде (кроме того, большинство вариантов ESP не имеют аппаратной поддержки USB).
На Bluepill с STM32F103C8/CB (или достаточно совместимым клоном — GD32F103/F303 совместимы недостаточно, с ними не работает I2C) собрать что-то подобное вполне можно, но с F103 работать неудобно из-за того, что в этих чипах изначально нет загрузчика с поддержкой USB, поэтому в пустой чип нужно первоначально залить загрузчик (например, stm32duino) через ST-Link. Можно использовать Blackpill с STM32F401/F411 — там есть встроенный загрузчик, но есть ненулевая вероятность напороться на поддельный чип (как, впрочем, и с F103).
Чипы ATmega328[P] и ATmega32A в принципе поддерживаются в QMK (USB Low Speed реализуется программно через V-USB), но использовать что-то типа Arduino Nano для QMK опять же неудобно из-за того, что имеющийся на плате USB-разъём бесполезен (к нему подключен преобразователь USB-Serial), и нужно будет подключить к чипу отдельный USB-разъём и дополнительные компоненты, необходимые для V-USB (резисторы и стабилитроны для ограничения уровней сигналов на шине USB); кроме того, для возможности обновления прошивки через тот же USB-разъём нужно будет заменить и загрузчик, для чего потребуется дополнительное устройство для перепрошивки через ISP.
А вообще наиболее традиционный контроллер для QMK — это Pro Micro на ATmega32U4 (изначально с разъёмом Micro-USB, но сейчас доступны и клоны с Type C, правда, во многих китайских клонах реализация Type C некорректная и не работает с кабелями C-C).
Кстати, не так давно на AliExpress наконец появились модули на базе RP2040, совместимые по форм-фактору с Pro Micro и даже Elite-C, которые во многих (но не во всех) случаях годятся для замены Pro Micro (но прошивку нужно пересобирать с указанием
CONVERT_TO=rp2040_ce). Правда, в отличие от Pro Micro и различных клонов Raspberry Pi Pico, продавец таких модулей пока есть только один.Вообще что такое «информсистема, обеспечивающую авторизацию пользователей сайтов»? Если сам сайт предоставляет возможность завести на нём учётную запись с именем и паролем, и потом входить с этим именем и паролем — это «информсистема, обеспечивающая авторизацию пользователей сайтов», «владельцем которой является гражданин РФ, не имеющий гражданства другого государства, или российское юрлицо с иностранным владением менее 50%» (второе утверждение с большой вероятностью будет истинным, поскольку данный закон относится только к таким сайтам)? Если да — получается, что запрещается главным образом кнопка «Войти через Google/Apple/…», а локальные учётные записи, поддерживаемые средствами самого сайта, по-прежнему разрешены.
Правда, при таком прочтении остаётся вопрос, допустимо ли использование «вражеских» адресов электронной почты для таких операций, как восстановление пароля, или же этот механизм восстановления пароля придётся ликвидировать. Ну и капча при регистрации, видимо, тоже должна будет использоваться исключительно отечественная.
Как будто сейчас делают по-другому (ну ладно, в стандарте ES2020 в JavaScript таки добавили BigInt).
А через что она должна была идти, если службы доставки типа DHL или Fedex с Россией и до 2022 года практически не работали (по крайней мере для доставки физическим лицам)? Некоторым магазинам даже приходилось специально объяснять, чтобы они не пытались использовать DHL для доставки. Хотя тут, возможно, корень проблемы был в разных таможенных правилах для международной почты и прочих служб доставки.
А ещё таблетку и саму можно превратить в Black Magic Probe.
Причём просто для заливки прошивки теоретически ничего, кроме USB-кабеля, вообще не нужно, поскольку, в отличие от STM32F103, в чипах F401/F411 есть встроенный загрузчик с поддержкой USB DFU. Правда, как обычно, гладко было на бумаге:
В загрузчике F401/F411 есть особенность, больше похожая на баг — не включается внутренняя подтяжка для вывода PA10, который используется как USART1 RX. В результате, если к этому пину ничего не подключено, загрузчик может поймать там мусор от наводок, после чего уйдёт в режим работы через последовательный порт и перестанет работать с USB. Поэтому в любом устройстве, где предполагается использовать встроенный загрузчик F4x1, необходимо каким-то способом обеспечить стабильный уровень на входе PA10 во время работы загрузчика (например, подключить туда внешний резистор подтяжки).
По каким-то причинам частота кварца на платах Blackpill — 25 МГц, а не более обычные для отладочных плат на STM32 8 МГц. Для работы прошивки, где параметры тактирования указываются статически при сборке, это не имеет особого значения, а вот загрузчик пытается определить частоту кварца путём сравнения её с частотой внутреннего RC-генератора (HSI), и запас на неточность частоты HSI при необходимости различить 24/25/26 МГц значительно меньше, чем при различении 7/8/9 МГц. В результате этого в описании платы всерьёз предлагается в случае проблем с запуском загрузчика обеспечить температуру чипа 25°C.
Для входа в загрузчик на входе PB2 в момент сброса должен быть уровень 0; на плате Blackpill это реализовано путём соединения этого пина с GND через резистор, который может мешать в каких-то вариантах применения этого пина.
Наконец, для входа в загрузчик нужно установить на входе BOOT0 уровень 1, что на этой плате может быть сделано единственным образом — путём нажатия кнопки BOOT; больше никуда сигнал BOOT0 не выведен. Можно, конечно, реализовать вход в загрузчик как одну из функций собственной прошивки, а вариант с доступом к кнопке BOOT оставить в качестве средства восстановления после неудачной прошивки, смирившись с необходимостью разбирать устройство для этой цели.
Оригинальный дистрибутив Windows 10 или 8.1 уже несколько лет как можно скачать с сайта Microsoft, при этом никакого подтверждения наличия лицензии предъявлять не требуется. Если по User-Agent определяется, что браузер пользователя запущен под Windows, предлагается скачать «средство для создания носителя», умеющее записывать образ на USB-Flash или DVD; для прочих ОС просто отдаётся файл ISO. Единственная тонкость — для редакции «Windows 8.1 для одного языка» существует отдельная версия образа (когда-то такое было и для Windows 10, но сейчас для этой версии сделали универсальный образ для всех редакций). Ну и установкой нужных драйверов придётся заниматься самостоятельно (в некоторых случаях из Windows Update автоматически ставится далеко не всё, что нужно для нормальной работы).
А вот со скрытого раздела, если такой есть, как раз устанавливается система со всем предустановленным вендорским мусором.
Сейчас в этом «бесплатном» тарифе стоит ограничение до 3 пользователей — это у всех поменялось, или «кто не успел, тот опоздал»?