• CraSSh: ломаем все современные браузеры вычислениями в CSS

    • Translation
    Автор статьи: Константин Сафонов

    Не хочу читать эту техническую болтовню. Просто повали уже мой браузер.

    Что такое CraSSh


    CraSSh — это кроссбраузерная чисто декларативная DoS-атака, основанная на плохой обработке вложенных CSS-функций var() и calc() в современных браузерах.

    CraSSh действует во всех основных браузерах на десктопах и мобильных устройствах:

    • На движке WebKit/Blink — Chrome, Opera, Safari, даже Samsung Internet на смарт-телевизорах и холодильниках.
      • Android WebView, iOS UIWebView также затронуты, то есть можно обвалить любое приложение со встроенным браузером.
    • На движке Gecko — Firefox и его форки, такие как Tor Browser.
      • Servo не запустился ни на одной из моих машин, поэтому я его не протестировал.
    • На движке EdgeHTML — Edge в Windows, WebView в приложениях UWP (их вообще кто-нибудь использует?)

    Браузер IE не затронут, поскольку он не поддерживает функции, на которых основана атака, но у его пользователей немало своих проблем (вероятно, этот браузер можно порушить другими способами — прим. пер.).
    Читать дальше →
  • Как я осилил английский

    Всем привет. Я – айтишник «за 30», и я люблю английский язык. Так получилось, что на протяжении многих лет английский никак не хотел полюбить меня. Перед вами живой пример человека с «плохой памятью», «неспособностью к языкам», богатейшим опытом неудачного изучения английского как на курсах, так и самостоятельно, упущенными из-за незнания языка шансами и возникшими на этой почве комплексами. Все, что можно было сделать в изучении иностранного языка плохо, я попытался сделать еще хуже. Не смотря на все это, перед вами история с хэппи эндом, которая, верю, поможет кому-то избежать глупых ошибок, сэкономить время, избавится от иллюзий и предрассудков по поводу изучения нового языка с около нулевого уровня.
    Читать дальше →
  • Уже 2500 интернет-магазинов майнят на компьютерах посетителей



      Специалисты по информационной безопасности обращают внимание на растущую популярность криптоджекинга (cryptojacking) — незаметного майнинга криптовалюты на компьютерах посетителей сайтов. Вы заходите на какой-то сайт, ноутбук начинает слегка нагреваться и гудеть. Ничего страшного, зато владельцы получат какую-то копеечку: такая в своём роде микротранзакция.

      В такой бизнес-модели микроплатежей не было бы ничего предосудительного, если бы не два факта. Во-первых, посетителей не уведомляют о майнинге, так что использование вычислительных ресурсов компьютера происходит без ведома хозяина. Во-вторых, в абсолютном большинстве случаев майнинг происходит, судя по всему, даже без ведома владельцев самого сайта.

      На сегодняшний день скрипт самого популярного сервиса для криптоджекинга Coinhive установлен на 2496 сайтах электронной коммерции.
      Читать дальше →
    • Что делать, если Instagram не дал доступ к API? Дополнение

        Здравствуйте ещё раз! Я прочёл её и мне показалось, что её можно продолжить.

        image

        Ни для кого не секрет, что самая популярная и прибыльная площадка для рекламы, бизнеса и прочего — Instagram. Почему им стал именно сервис, в котором по началу можно было загружать только картинки определённого размера (соотношение сторон имеется ввиду) и не было абсолютно ничего, что было в тогдашних соцсетях — совсем непонятно, но факт есть факт. Ввиду чего все стараются проникнуть на площадку Instagram и захватить оттуда наибольшее количество аудитории, и делают, это, конечно же, не вручную. А за этим следует, что Instagram жёстко блокирует доступ для ботов, спамеров и прочему, дабы сеть оставалась чистой.

        1. Самые полезные функции (постинг и удаление постов) доступны только из мобильного приложения Instagram, эмуляция запросов сложна, так как надо вытащить из приложения ключ, который с каждой новой версией обновляется.
        2. Web-версия обрезана, но радует, что в ней есть возможность лайкать, комментировать и удалять комментарии
        3. Есть API, но процедура его получения удручающе долгая и спамерам и ботам такой путь точно не светит. Плюс было много моментов, когда соглашения в API менялись, что не всегда удобно.
        Читать дальше →
      • Перестаньте травить печатные платы дома — заказывайте их на производстве

          В последней своей статье про Домофон с MQTT я проводил опрос на тему того, какую статью написать следующей. Выбор пал на заказ производства печатных плат, вот собственно немного расскажу об этом. Если статья зайдет, напишу по следующей теме из голосовалки.

          Я ни в коем разе не принуждаю сразу выливать ваше хлорное железо / перекись водорода, оставьте их для макетирования. Я лишь хочу показать, что заказать платы на производстве в наше время совсем не сложно, как может показаться начинающему радиолюбителю. Есть в этом что-то магическое — подержать в руках красивую плату собственного изготовления.
          Читать дальше →
        • The Pirate Bay протестировал майнер в качестве альтернативы рекламным банерам на сайте

            image

            Содержание и обслуживание сетевого оборудования требует средств, иногда — весьма значительных. В случае The Pirate Bay оборудования много, и денег, соответственно, тоже требуется порядочно. Поэтому команда ресурса озабочена получением нужного количества финансов, которые нужны для поддержания работы своих систем. Обычно средства зарабатываются при помощи рекламы — банеров или разного рода всплывающих окон. Пользователь либо кликает на банер, переходя на рекламируемый ресурс, либо просматривает видео. Ну а сайт, где все это размещается, получает деньги от рекламодателя.

            С развитием технологии блокирования рекламы доходы сайтов, которые ее размещают, стали падать. Эта проблема коснулась и The Pirate Bay. Команда пробует другие методы заработка, включая обычную просьбу перечислять деньги разными способами. Вчера стало известно, что администрация приняла решение протестировать вовсе уж необычный способ заработать. Речь идет о размещении кода криптомайнера на страницах ресурса.
            Читать дальше →
          • Блокчейн + распределённое хранилище = Sia

              Всем привет! У всех нас есть данные, которые хочется держать под контролем. Мы не хотим потерять к ним доступ и не хотим, чтобы доступ был у кого-то ещё. Где хранить такие данные? Я считаю, что Sia может стать идеальным местом для этого и расскажу, почему.


              Sia
              Почему Sia?
            • Google представила облачное API для распознавания объектов на видео


                Пример работы Cloud Video Intelligence API
                Животное (97,76%)
                Дикое животное (92,16%)
                Тигр (90,11%)
                Сухопутное животное (68,17%)
                Бенгальский тигр (64,77%)
                Усы (63,30%)
                Зоопарк (58,16%)
                Ревущие кошки (56,41%)
                Кошка (44,12%)


                Компания Google объявила о выпуске нового облачного сервиса Cloud Video Intelligence API (сейчас в стадии закрытого бета-тестирования). Это первое на рынке API для обработки видео с распознаванием объектов.

                Cloud Video Intelligence API предназначен для обработки видеоконтента. Видеоролики становятся индексируемыми, с поиском по содержимому. Можно отследить все появления искомого объекта, продолжительность этих появлений, оценить их важность. Например, автоматически находить все сцены секса в многолетнем архиве с камер наблюдения. Поиск по видео становится таким же простым, как поиск по текстовым документам.
                Читать дальше →
              • Intel управляла шоу беспилотников во время выступления Леди Гаги в перерыве Суперкубка США



                  Во время выступления певицы, известной, как Леди Гага, в перерыве Суперкубка США компания Intel показала возможности управления сотнями коптеров одновременно. Речь идет о шоу беспилотников, которое служило дополнением к выступлению певицы. Само шоу получило название Shooting Stars, причем это была уже вторая демонстрация такого рода. Впервые шоу дронов было показано на празднике в Disney World. Во время выступления певицы все эти сотни дронов (речь идет о 300 аппаратах) управлялись из одного центра и составляли единую систему.

                  Корпорация Intel уже давно работает над технологиями контроля беспилотных летательных аппаратов, так что само шоу носит не только развлекательную цель. Во время «выступления» умной системы разработчики показали, чего добились. По словам команды проекта, управлять можно не сотнями, а тысячами дронов одновременно — вплоть до 10 тысяч аппаратов.
                  Читать дальше →
                • 10 подкастов для изучения/продолжения изучения английского языка

                    image

                    Шесть месяцев назад, я сделала для себя очень приятное открытие — подкасты на английском языке для изучающих английский язык. На тот момент у меня были проблемы с аудированием и открытие подкастов очень помогло мне развить аудирование до уровня понимания фильмов и аудиокниг без каких-либо субтитров.

                    Подкасты – это звуковые аудиофайлы в стиле радиопередач в интернете Как правило, подкасты имеют определенную тематику и периодичность издания. Каждый человек, у которого есть смартфон, может прослушивать подкасты. Для прослушивания подкастов у владельцев Apple есть родное приложение, называется «podcasts». Android пользователи могут использовать приложение «Podcast Addict».
                    Читать дальше →
                  • Бруски Иоффе — множительный инструмент на основе теоремы Слонимского

                      В XIX веке существовали интересные инструменты для умножения, построенные на основе теоремы Слонимского. Это «Снаряд для умножения» Слонимского и бруски Иоффе. Эта статья посвящена второму из них, предложенному в 1881 году Гиршем Залмановичем Иоффе (вариант — Иофе).

                      Материалы по этому инструменту в рунете — очень скудны, тем не менее я, как мне кажется, сумел восстановить их внешний вид. В любом случае, приложенный мной ниже вариант близок к оригиналу и пригоден для использования по назначению.
                      Читать дальше →
                    • Как ИП сэкономить на налогах в 13,3 раз


                        Если вы не торопитесь легализовать свою предпринимательскую деятельность только потому, что налоги ИП кажутся вам неподъемным бременем, то вы просто не умеете их готовить. Разобраться в основных нюансах систем налогообложения стоит уже ради экономии собственных денег. А сэкономленные деньги, как известно, ничуть не хуже заработанных. Так что, немного терпения, и вы станете чуть-чуть богаче.
                        Читать дальше →
                      • Мы добрались до побочных эффектов лазерной коррекции зрения — и ещё до диагностики



                          Начнём с диагностики, потом перейдём к жести, а потом я покажу много фотографий оборудования.

                          В 90-х роговицу исследовали ультразвуковым «карандашиком». Вместо полноценной карты роговицы было 10-15 замеров на глаз, по которым хирург составлял мысленное представление о том, что там у пациента. В 92-м году распространились топографы, основанные на системе Пласидо. Идея в том, что если сделать проекцию световых колец на роговицу, то на идеальной они будут круглыми, а любое искажение даст искажение от окружности. То есть получалась такая мишень в глазу в идеальном случае, и яйцо при астигматизме. Так и смотрели — светили лучом через диск Пласидо. Сейчас такие диски у многих хирургов в кармане на всякий случай.

                          Метод был, конечно, очень примерный. Потом пришла автоматика: эти же диски стали в 32-36 колец вместо 8 или 10, и аппарат их фотографировал, а затем распознавал и рассчитывал искажения, и выдавал «карту глубин» глаза.
                          Читать дальше →
                        • Как я потратил 1000 часов на изучение английского языка в 2016 году



                            Изучение иностранного языка может стать самым настоящим испытанием для взрослого человека, если он забросил этот предмет в раннем возрасте. Тяжело приходится и тем, кому языки плохо даются от природы. Если человек имеет хотя бы одну из этих проблем, он, как правило, просто не изучает новый язык. Но я был не из тех, и смог преодолеть эти две неудачи.

                            Учась в бакалавриате, я смог развить словарный запас до 10 000 и прорвать барьер чтения художественной литературы. Но понимание разговорной речи на слух — задача куда более трудная. Я долгое время считал её нерешаемой, не верил в успех.

                            Эта статья — о том, как невозможное было сделано возможным, как в самом сердце магистратуры я проломил неприступную цитадель аудирования. Это бремя выпало на 2016 год. Я перепробовал множество различных учебных методик и расскажу вам о них во всех подробностях, по каким материалам я занимался и какие выводы делал. Эта статья — огромный склад опыта, и я надеюсь, что он будет вам полезен.
                            Читать дальше →
                          • Подборка русских и зарубежных фантастических книг за год



                              Почти два года назад мы делали подборку любопытных фантастических книг, вышедших в 2014 году. И в начале этого года мы решили поддержать это начинание — предлагаем вам одни из самых интересных, по мнению читателей, фантастических произведений, вышедших в 2016-м (как на русском, так и на английском).
                              Читать дальше →
                            • Добыча полезных ископаемых на астероидах: кто и почему собирается этим заниматься

                                image

                                Полезные ископаемые жизненно необходимы для современной цивилизации. Мы используем все больше ресурсов, и вскоре, как предполагают многие ученые, ряда ресурсов может оказаться недостаточно для продолжения развития в текущем темпе. Металлургия, автомобилестроение, производство электроники, научная сфера, аэрокосмическая промышленность и многое другое зависит от полезных ископаемых. Предвидя грядущий дефицит, специалисты уже давно говорят о том, что добывать ископаемые нужно в космосе — на других планетах и астероидах. Насколько можно судить, астероиды являются действительно перспективным источником нужных человеку химических элементов и их соединений.

                                Максимальный интерес пока что вызывают два типа астероидов — водные и металлические (или же каменно-металлические). Что касается первых, то они содержат большое количество воды. Доставлять воду на Землю пока нет смысла, но вот если у человека появятся колонии на Луне, Марсе или других планетах и планетоидах, тогда такие астероиды можно отправлять к колониям. Одного водного астероида хватит на многие годы снабжения космической колонии. Кстати, это наиболее распространенный вид астероидов — их в Солнечной системе около 75%.
                                Читать дальше →
                              • Пять форм блокчейн-денег, доступных уже сейчас

                                  imageВы наверняка слышали о блокчейн — коллективном реестре данных, обеспечивающем работу Биткойн. Однако Биткойн — далеко не единственный пример использования этой технологии, ведь на самом деле она способна предложить гораздо больше нового как для мира денег, так и для других сфер человеческой деятельности, нежели только Биткойн.

                                  В этом материале я расскажу вам о пяти формах денежных средств на базе блокчейн, которые либо уже стали доступны широкому кругу желающих, либо в скором времени станут.


                                  По-настоящему анонимные деньги


                                  Биткойн ранее часто упоминался в контексте анонимности, благодаря тому, что именно это свойство использовал Silk Road и другие онлайн-рынки торговли наркотиками. В целом Биткойн может быть анонимен, если пользоваться им крайне осторожно. Однако в реальном мире такое свойство блокчейн, как прозрачность, приводит к тому, что транзакции зачастую поддаются отслеживанию. Это плохие новости не только для преступников, но и для всех, у кого есть законные причины сохранять информацию о своих финансах в тайне (то есть, пожалуй, для всех нас). В итоге за последние 2 или 3 года появилась масса криптовалют, предлагающих усиленные меры по защите личной информации.
                                  Читать дальше →
                                • Создание простейшего приложения на Java

                                  Добрый день!

                                  В этой статье речь идет об организации простейшего приложения на Java для начинающих разработчиков, которые уже изучили концепции объектного подхода. Но для опытных возможно тоже будет интересно.

                                  Зачастую начинающие разработчики задают вопроc: «С чего начать создание приложения», какие классы использовать и прочее.

                                  Не стоит воспринимать статью как пример «Hello World» для начинающих изучать язык Java и объектно-ориентированный подход. Предполагается, что читатель уже знаком с языком Java, однако у него возникают вопросы указанные выше.

                                  В этой статье мы даем ответ на эти вопросы.
                                  Читать дальше →
                                • Сервер онлайн-вещаний на базе nginx

                                    Введение


                                    Привет всем! Несколько месяцев назад на Хабре была опубликована статья «Вещание онлайн-видео с помощью nginx» , в которой Aecktann рассказал о своем опыте внедрения разрабатываемого мной модуля к nginx для вещания видео — nginx-rtmp-module. С тех пор продукт активно развивался и в этой статье я более подробно расскажу о нем.

                                    Вещатель нужен для передачи видео-потока клиенту. Речь идет либо о живом потоке, либо о вещании записанного видео (VOD, Video-on-demand). Существует большое количество технологий вещания видео. Среди них можно выделить традиционные протоколы, такие как RTMP или MPEG-TS, а также появившиеся в последнее время технологии адаптивного вещания поверх HTTP. К последним относятся HLS (Apple), HDS (Adobe), Smooth Streaming (Microsoft), MPEG-DASH. При выборе технологии основным фактором является ее поддержка на клиентской стороне. Именно поэтому вещание в формате RTMP на текущий момент является одним из самых распространенных. Протокол HLS поддерживается устройствами компании Apple, а также некоторыми версиями Android.
                                    Читать дальше →
                                  • Поддержка https совсем без настроек

                                      Написал программу для автоматического выписывания ssl-сертификатов налету (при первом запросе к домену). Для начала работы программы её достаточно просто запустить, настраивать не надо совсем (даже домены для сертификатов указывать не надо).

                                      Подробности внутри.
                                      Читать дальше →