Нет, это всё-таки проблема гугла. Их задача — принести конверсию рекламодателю, чтобы тот, в свою очередь, принес гуглу деньги. Сама по себе реклама ценности не несёт.
Но я почти уверен, что если бы на денежных метриках не сказывались меры по борьбе с адблоком, гугл бы не продолжал тратить на это свои ресурсы и репутацию.
В идеальном мире, гугл бы с радостью перестал показывать рекламу тем, кто ничего не покупает, если бы это не сказалось на конверсии в других группах (и справедливо стал бы брать больше денег за оставшиеся показы). Как, например, перестал показывать рекламу в России за неимением в этом регионе релевантных рекламных роликов, которые бы могли принести конверсию.
Кажется, сейчас этот сценарий с лихвой решается открытием счета без карты. Переводы можно делать любые, обслуживание нулевое, разве что только переводы через СБП получать на счёт нельзя.
В данном случае мы перебираем «высоту» и имеем две попытки. Статья по ссылке содержит вывод ответа для этого простого случая (такой же как и по ссылке в Академии, но в другой форме).
А вот описать решение для серверов уже найти веселее, особенно за бросков =)
UnRAR source code may be used in any software to handle RAR archives without limitations free of charge, but cannot be used to develop RAR (WinRAR) compatible archiver and to re-create RAR compression algorithm, which is proprietary.
Лицензия запрещает использовать код unrar для создания rar, а людям хочется уметь создавать архивы тоже.
Яндекс видимо решил стабильно держаться в топе Хабра: сначала инцидент с NTP, теперь вот это. Интересно почитать как так вышло, что задело все зоны доступности
метрики должны быть на все генерирующие трафик (читай все io операции) компоненты.
К слову, в статье есть график с подписью «динамика числа отправляемых колонками NTP-запросов». Вопрос тут в том, почему на него никто не обратил внимание, но в статье пишут что банально уведомления не были настроены.
Не самый высокий приоритет был когда редкие технические продвинутые пользователи попадали на первую линию поддержки и писали «а у меня что-то станция часто запросы делает, это ок?».
Из текста, когда багу всё-таки обнаружили, её почти сразу пофиксили (пока ещё не осознавая масштабы проблемы) и медленно выкатывали (релизный цикл видимо порядка недели), а когда на хабре написали про большой факап всея рунета и популярно объяснили масштаб беды, предприняли альтернативные, но более рискованные меры.
ИМХО, это вполне себе высокий приоритет — в воскресенье применять правку конфига катить на 100% устройств — учитывая что дождаться обычной выктаки фикса оставалось всего около трёх дней.
Я бы лично настаивал на том чтобы докатить по стандартному флоу и без доп.рисков, нежели тратить свой выходной на то чтобы найти и придумать альтернативу, собрать фикс, выкатить, а утром понедельника рисковать увидеть новости в духе «Алисы по всей России перестали показывать время, миллионы будильников не сработали». Чай ещё три дня ддоса погоды рунету не сделают.
Да. Привычный hashmap внезапно превращается из замечательной коллекции с O(1) доступом в O(N). Это запросто приводит к O(N^2) от входных данных (контроллируемых злоумышленником) и резко усиливает эффективность атаки. Например, представьте что вам приходит массив некоторых сущностей и вы всегда проверяете, что у них всех различный ID.
Более того, в случае хэшмапы нельзя использовать криптографические функции, иначе ваш сервис ляжет и без зловредной нагрузки =)
PhantomData не позволяет как-то сделать множество мутабельных ссылок. В main() важна только сигнатура new(), которая гласит «захватывает мутабельную ссылку и возвращает объект с временем жизни не больше чем эта ссылка». Ну и ссылка будет захвачена до тех пор, пока живёт этот объект. Сам объект или функция new() тут уже никак не анализируется.
Учитывая количество уязвимых устройств — достаточно на них массово зарегистрировать принтер «Save To PDF» и ждать случайных срабатываний. Кто-нибудь, да выберет не тот пункт в менюшке.
Суть атаки в том, что добавление принтера в систему происходит без участия пользователя. Социальная инженерия нужна только чтобы запустить задание печати на этом принтере — только тогда выполняется произвольный код.
Не без этого, но всё-таки он скорее хотел привлечь внимание к уязвимости, потому что трёхнедельная переписка с разработчикам никаких плодов не дала.
не очень понимает, как оценивать CVSS score
Поэтому и ссылается на инженеров из RedHat, именно которые и нарисовали цифру 9.9. Откуда они это взяли — тот ещё вопрос, но видимо по каким-то формальным критериям сильно выстрелило.
No forking в данном контексте означает, что не выполняется системный вызов fork() для запуска других процессов. То есть, фактически, используются только built-in команды bash.
Если я правильно понял, то CrowdStrike это чисто B2B решение и простому пользователю на свой личный комп ставить его практически никакого смысла нет. Офисы с десктопами пострадали, да, но там у сотрудника доступы точно также зарезаны (вон даже антивирус стоит, хе).
там всё-таки pull-обновления
Я думаю, что и на винде тоже был pull, только автоматический. Push-уведомления делать неудобно.
следовательно ситуация снова чуть лучше.
Будь я каким-нибудь большим вендором, я бы в своём линуксовом ПО тоже делал автоматические обновление. Банально потому что иначе пользователи обновляться будут никогда, а поддерживать это всё мне. И точно также бы автоматически выкатил ломающее линукс обновление.
Если устройство находится под управлением вендора, то абсолютно неважно какая на нём ОС — сломаться оно может. Точно также, как может внезапно лечь весь Facebook из-за их внутренней проблемы с DNS. Или тысячи сайтов из-за выкатки бажного релиза Cloudflare. Все эти компании знают как такого не допускать, но факапы всё равно случаются :shrug:
Если вы этой возможности себя лишили - ССЗБ, конечно, но большинство так не делают.
Так пострадали-то, во многом, не просто домашние компьютеры, а всевозможные embedded-системы, в которых традиционно зарезают примерно всё что можно зарезать. И это не решение пользователя, это вендор запрещает загружаться из загрузчика, чтобы ничьи шаловливые ручки в системе антивирус не выключали.
НДФЛ обычно уплачивается сотрудником, поэтому первый вариант. Или, более строго, в графе «удержано» вашего расчётного листка число станет больше, а «начислено» будет столько же.
Если только вам не скорректируют заработную плату в трудовом договоре, но, вероятно, вы об этом узнаете =)
Если вы уже пишите на Go, то отказаться от статической линковки — задача нетривиальная. А если что так, что эдак, зависимости зашиваются в бинарник, то нет причин не уменьшить размер итогового образа.
Нет, это всё-таки проблема гугла. Их задача — принести конверсию рекламодателю, чтобы тот, в свою очередь, принес гуглу деньги. Сама по себе реклама ценности не несёт.
Но я почти уверен, что если бы на денежных метриках не сказывались меры по борьбе с адблоком, гугл бы не продолжал тратить на это свои ресурсы и репутацию.
В идеальном мире, гугл бы с радостью перестал показывать рекламу тем, кто ничего не покупает, если бы это не сказалось на конверсии в других группах (и справедливо стал бы брать больше денег за оставшиеся показы). Как, например, перестал показывать рекламу в России за неимением в этом регионе релевантных рекламных роликов, которые бы могли принести конверсию.
Кажется, сейчас этот сценарий с лихвой решается открытием счета без карты. Переводы можно делать любые, обслуживание нулевое, разве что только переводы через СБП получать на счёт нельзя.
Но, скажем, Selectel вполне решил рискнуть: https://docs.selectel.ru/en/cloud/servers/create/create-gpu-server/#available-gpus =)
Очень классическая задача про броски яиц с небоскреба, но в урезанной формулировке: https://changyaochen.github.io/egg-drop-problem/
В данном случае мы перебираем «высоту» и имеем две попытки. Статья по ссылке содержит вывод ответа для этого простого случая (такой же как и по ссылке в Академии, но в другой форме).
А вот описать решение для
серверов уже найти веселее, особенно за 
бросков =)
Лицензия запрещает использовать код unrar для создания rar, а людям хочется уметь создавать архивы тоже.
Яндекс видимо решил стабильно держаться в топе Хабра: сначала инцидент с NTP, теперь вот это. Интересно почитать как так вышло, что задело все зоны доступности
К слову, в статье есть график с подписью «динамика числа отправляемых колонками NTP-запросов». Вопрос тут в том, почему на него никто не обратил внимание, но в статье пишут что банально уведомления не были настроены.
Не самый высокий приоритет был когда редкие технические продвинутые пользователи попадали на первую линию поддержки и писали «а у меня что-то станция часто запросы делает, это ок?».
Из текста, когда багу всё-таки обнаружили, её почти сразу пофиксили (пока ещё не осознавая масштабы проблемы) и медленно выкатывали (релизный цикл видимо порядка недели), а когда на хабре написали про большой факап всея рунета и популярно объяснили масштаб беды, предприняли альтернативные, но более рискованные меры.
ИМХО, это вполне себе высокий приоритет — в воскресенье применять правку конфига катить на 100% устройств — учитывая что дождаться обычной выктаки фикса оставалось всего около трёх дней.
Я бы лично настаивал на том чтобы докатить по стандартному флоу и без доп.рисков, нежели тратить свой выходной на то чтобы найти и придумать альтернативу, собрать фикс, выкатить, а утром понедельника рисковать увидеть новости в духе «Алисы по всей России перестали показывать время, миллионы будильников не сработали». Чай ещё три дня ддоса погоды рунету не сделают.
Да. Привычный hashmap внезапно превращается из замечательной коллекции с O(1) доступом в O(N). Это запросто приводит к O(N^2) от входных данных (контроллируемых злоумышленником) и резко усиливает эффективность атаки. Например, представьте что вам приходит массив некоторых сущностей и вы всегда проверяете, что у них всех различный ID.
Более того, в случае хэшмапы нельзя использовать криптографические функции, иначе ваш сервис ляжет и без зловредной нагрузки =)
PhantomData не позволяет как-то сделать множество мутабельных ссылок. В main() важна только сигнатура new(), которая гласит «захватывает мутабельную ссылку и возвращает объект с временем жизни не больше чем эта ссылка». Ну и ссылка будет захвачена до тех пор, пока живёт этот объект. Сам объект или функция new() тут уже никак не анализируется.
Пример работает потому что первая ссылка (slot) из-за non lexical lifetimes уничтожается раньше конца блока, чтобы не допустить нарушения правила. Если попытаться её всё-таки заставить существовать одновременно с another_ref, то всё рассыпается: https://play.rust-lang.org/?version=stable&mode=debug&edition=2021&gist=e10d0e0640175ff2f74aace396915ecd
Я тоже так сначала прочитал, но по тексту это только одна плашка и в итоге было установлено 32*6=192ГБ памяти
Учитывая количество уязвимых устройств — достаточно на них массово зарегистрировать принтер «Save To PDF» и ждать случайных срабатываний. Кто-нибудь, да выберет не тот пункт в менюшке.
Суть атаки в том, что добавление принтера в систему происходит без участия пользователя. Социальная инженерия нужна только чтобы запустить задание печати на этом принтере — только тогда выполняется произвольный код.
Не без этого, но всё-таки он скорее хотел привлечь внимание к уязвимости, потому что трёхнедельная переписка с разработчикам никаких плодов не дала.
Поэтому и ссылается на инженеров из RedHat, именно которые и нарисовали цифру 9.9. Откуда они это взяли — тот ещё вопрос, но видимо по каким-то формальным критериям сильно выстрелило.
Так уже есть Skype for Business — как раз-таки on-premise для компаний с AD
No forking в данном контексте означает, что не выполняется системный вызов fork() для запуска других процессов. То есть, фактически, используются только built-in команды bash.
Если я правильно понял, то CrowdStrike это чисто B2B решение и простому пользователю на свой личный комп ставить его практически никакого смысла нет. Офисы с десктопами пострадали, да, но там у сотрудника доступы точно также зарезаны (вон даже антивирус стоит, хе).
Я думаю, что и на винде тоже был pull, только автоматический. Push-уведомления делать неудобно.
Будь я каким-нибудь большим вендором, я бы в своём линуксовом ПО тоже делал автоматические обновление. Банально потому что иначе пользователи обновляться будут никогда, а поддерживать это всё мне. И точно также бы автоматически выкатил ломающее линукс обновление.
Если устройство находится под управлением вендора, то абсолютно неважно какая на нём ОС — сломаться оно может. Точно также, как может внезапно лечь весь Facebook из-за их внутренней проблемы с DNS. Или тысячи сайтов из-за выкатки бажного релиза Cloudflare. Все эти компании знают как такого не допускать, но факапы всё равно случаются :shrug:
Так пострадали-то, во многом, не просто домашние компьютеры, а всевозможные embedded-системы, в которых традиционно зарезают примерно всё что можно зарезать. И это не решение пользователя, это вендор запрещает загружаться из загрузчика, чтобы ничьи шаловливые ручки в системе антивирус не выключали.
НДФЛ обычно уплачивается сотрудником, поэтому первый вариант. Или, более строго, в графе «удержано» вашего расчётного листка число станет больше, а «начислено» будет столько же.
Если только вам не скорректируют заработную плату в трудовом договоре, но, вероятно, вы об этом узнаете =)
А что за проблема-то? Я до самого конца статьи ждал развязки
Особенно такая, которую пользователь может починить самостоятельно.
Очень интересно!
Если вы уже пишите на Go, то отказаться от статической линковки — задача нетривиальная. А если что так, что эдак, зависимости зашиваются в бинарник, то нет причин не уменьшить размер итогового образа.