انتقل إلى المحتوى الرئيسي

2023-10-21

اعتراض حركة المرور المشفرة على Hetzner و Linode التي تستهدف خدمة Jabber

  • وقعت Jabber.ru ، وهي خدمة مراسلة XMPP ، ضحية لهجوم رجل في الوسط حيث اعترض المهاجم حركة المرور المشفرة لمدة تصل إلى 6 أشهر على مزودي الاستضافة Hetzner و Linode في ألمانيا.
  • على الرغم من الطبيعة المطولة للهجوم ، لم يتم العثور على أي دليل على خروقات الخادم أو هجمات الانتحال. ومع ذلك ، تم استغلال شهادات TLS المارقة باستخدام Let's Encrypt لاختطاف الاتصالات.
  • أثر الهجوم بشكل أساسي على الاتصالات بمنفذ STARTTLS 5222 لخدمة XMPP. ويشتبه في أن الاعتراض قد تم إما بشكل قانوني أو نتيجة لاقتحام شبكات مقدمي خدمات الاستضافة.

ردود الفعل

  • يناقش موضوع Hacker News اعتراض حركة المرور المشفرة على خدمات الاستضافة التي تستهدف خدمة المراسلة Jabber ويتطرق إلى استراتيجيات التخفيف المختلفة مثل المصادقة الإضافية ومراقبة شهادات SSL / TLS وقياسات RIPE Atlas والأنظمة القائمة على DLT.
  • تستكشف المناقشة استخدام DANE لمصادقة الشهادات وقيود المراجع المصدقة (CAs). تشمل الموضوعات الأخرى نقاط الضعف المحتملة في البنية التحتية لطبقة المقابس الآمنة ، والتسوية المحتملة لإصدار شهادة SSL ، وأهمية DNSSEC ، وسجلات CAA ، وطرق التشفير مثل PGP و OMEMO / OpenPGP.
  • يناقش الموضوع الحاجة إلى شهادات متعددة لنفس المجال ، وموثوقية شهادات SSL ، والاعتراض القانوني المحتمل ، وتحديات ضمان الأمان في خدمات الاستضافة.

الذكرى السنوية العاشرة لإنقاذ Healthcare.gov

  • قبل عقد من الزمان ، تم تشكيل فريق من ذوي الخبرة يسمى "زيادة التكنولوجيا" بقيادة تود بارك لحل المشكلات المتعلقة بموقع HealthCare.gov الذي لا يعمل.
  • قام الفريق ، المكون من أفراد من داخل الحكومة وخارجها ، بتحليل تحديات الموقع ، بما في ذلك ، على سبيل المثال لا الحصر ، الكود والاختبار والإصدارات والمراقبة.
  • وبعد مناقشات واجتماعات مكثفة، نجحوا في تثبيت نظام مراقبة يكشف عن مشكلات الأداء الحرجة، مما يمثل بداية جهودهم المستمرة لتحسين الموقع وتمكين الملايين من التسجيل في تغطية الرعاية الصحية.

ردود الفعل

  • تتمحور المناقشات حول إصلاح الرعاية الصحية في الولايات المتحدة ، بما في ذلك المشاكل التي حدثت أثناء تطوير Healthcare.gov ، والتأثيرات السياسية على قانون الرعاية الميسرة (ACA) ، وكفاءة برنامج Medicaid.
  • يتم لفت الانتباه إلى قضايا مثل الفساد والمحسوبية وتوزيع الأموال الفيدرالية والأجور المنخفضة للموظفين الفيدراليين ومشاركة الشركات في مشاريع تكنولوجيا المعلومات المتعلقة بالرعاية الصحية.
  • بشكل عام، يؤكد الخطاب على التحديات المعقدة لإصلاح الرعاية الصحية، مع التأكيد على الحاجة إلى تعزيز الأنظمة والتدخل السياسي.

يقاضي رجال الشرطة مراهقا لانتهاك الخصوصية بعد اعتقال كاذب فيد ينتشر

ردود الفعل

  • يشمل النص مناقشات حول مواضيع متنوعة متعلقة بالقانون بما في ذلك سلوك الشرطة والخصوصية والتشهير والإجراءات القانونية.
  • تشمل القضايا الرئيسية التي تم فحصها فعالية أوامر الحماية، ودور إنفاذ القانون، وتأثير وسائل التواصل الاجتماعي على المساءلة، وسلوك ضباط الشرطة في المجتمعات الصغيرة، وادعاءات التشهير، وسلطة وكلاء الحدود.
  • تقترح هذه المجموعة الواسعة من الموضوعات استكشافا متعمقا لإنفاذ القانون والموضوعات القانونية ذات الصلة بالمجتمع المعاصر.

بحثا عن المقالة الأقل مشاهدة على ويكيبيديا (2022)

  • يفحص منشور المدونة البحث عن المقالات الأقل مشاهدة على ويكيبيديا ، والعديد منها يدور حول الحشرات والمواقع الجغرافية الغامضة.
  • يتعمق في سياسات وممارسات المجتمع فيما يتعلق بمفهوم الملحوظية الذي أدى إلى عدم وجود مقالات حول الشركات أو الفرق الموسيقية في أسفل 500 صفحة الأكثر مشاهدة.
  • هذه المقالات الأقل مشاهدة مهمة لأنها توفر أساسا للمحررين المستقبليين لتعزيزها والبناء عليها.

ردود الفعل

  • تسلط المناقشة الضوء على التحديات التي يواجهها محررو ويكيبيديا مثل تحديد مدى أهمية موضوع ما ، والتعامل مع قيود النظام الأساسي ، وإدارة عمليات الحذف.
  • إنه يسلط الضوء على وجود التحيز الجنساني وكراهية النساء على المنصة ، والتحيز في معايير الشهرة ، والتحديات الأخرى في المساهمة.
  • إنه يثير مخاوف بشأن تأثير ويكيبيديا على نتائج البحث ، إلى جانب القضايا المتعلقة بدقة وموثوقية المعلومات على المنصة.

فضاء ناكاتومي

  • يبحث المقال في الأساليب المكانية الفريدة التي استخدمتها الشخصيات في Die Hard للتنقل في الهندسة المعمارية ، ورسم أوجه تشابه مع استراتيجيات جيش الدفاع الإسرائيلي المستخدمة خلال غزو نابلس.
  • يقدم مفهوم "مساحة ناكاتومي" ، وهو تصوير للملاحة المعمارية المتغيرة في أفلام مثل Die Hard ، وينظر في تنفيذ حضري أوسع.
  • علاوة على ذلك ، يستكشف المفاهيم المعمارية المختلفة مثل التنقل عبر الجدران ، وسيولة الفضاء ، والتعدي على الفضاء الخاص ، ويتأمل في ديناميكيات القوة والآثار المترتبة عليها في الأفلام والأدب.

ردود الفعل

  • تغطي المحادثة حول bldgblog.com مجموعة من الموضوعات مثل تأثير التخطيط الحضري على معدلات الجريمة والعجز الملحوظ في اللعب المفتوح في ألعاب الفيديو الحديثة.
  • يمتد النقاش أيضا إلى التراجع الواضح لامتياز جيمس بوند ويحلل تصوير الرومانسية في الأفلام.
  • يساهم المشاركون في المناقشة بوجهات نظر مختلفة ، ويوصون بألعاب وأفلام بديلة ، ويتعمقون في الجوانب متعددة الأوجه للمواضيع التي تمت مناقشتها.

مفوض الاتحاد الأوروبي كعميل مزدوج للتدخل الأجنبي

  • كشف تحقيق حديث أن صناعة التكنولوجيا والمنظمات التابعة للأجهزة الأمنية تمول حملة تدعم لائحة "التحكم في الدردشة" المقترحة من الاتحاد الأوروبي والتي تهدف إلى مكافحة الاعتداء الجنسي على الأطفال.
  • تدفع هذه اللائحة إلى المسح الإلزامي والكشف عن الرسائل والصور الخاصة المشبوهة من قبل مزودي الخدمة. باتريك براير ، مشرع البرلمان الأوروبي ، ينتقد مشاركة مفوضة الشؤون الداخلية في الاتحاد الأوروبي يلفا جوهانسون.
  • يعتبر المدافعون عن الحملة بمثابة دفعة للفحص العشوائي للرسائل والصور الخاصة ، والتي يعتبرونها تهديدا للخصوصية الرقمية والتشفير. في الوقت الحاضر ، مثل هذا القانون غير موجود في الولايات المتحدة.

ردود الفعل

  • يسلط المقطع الضوء على العديد من الموضوعات المتعلقة بالاتحاد الأوروبي ، مثل اتهامات الفساد والتدخل الأجنبي ، ومناقشات السيادة ، وانتقادات لوائح الاتحاد الأوروبي.
  • ويؤكد على المخاوف المتعلقة بنزاهة الاتحاد الأوروبي وقدرته على حماية حقوق الخصوصية ، مما يشير إلى مستوى من الشكوك تجاه لوائحه وحوكمته.
  • يذكر النص أيضا مناقشات حول إيجابيات وسلبيات التدخل الحكومي واللوائح المتعلقة بسياق الرأسمالية والشيوعية.

يمكنهم وسوف يدمرون كل ما تحب

  • تم الاستحواذ على موقع الموسيقى Bandcamp ، المشهور بدعمه للفنانين المستقلين ، من قبل شركة ترخيص المحتوى والخدمات Songtradr.
  • أثار هذا الاستحواذ مخاوف بين الفنانين والمعجبين ، حيث تم بالفعل الإعلان عن تسريح العمال الذي يؤثر على هيئة تحرير Bandcamp وفريق الفينيل.
  • أدى البيع إلى عدم اليقين بشأن مستقبل Bandcamp والتزامها المستمر بدعم الفنانين المستقلين ، مما أثار مخاوف من أن سمعة الموقع كمنصة موسيقية مستقلة يمكن أن تتعرض للخطر في ظل الملكية الجديدة.

ردود الفعل

  • يتمحور الخطاب حول فقدان وظائف موظفي Bandcamp ، وأهمية Bandcamp كمنصة موسيقية ، والمخاوف المتعلقة بالاستحواذ عليها من قبل Epic Games.
  • تجري مناقشات متعمقة حول عيوب متاجر الألعاب الرقمية التي يحركها الربح ، والحاجة إلى كيانات غير ربحية لتنمية المجتمعات ، والعلاقة بين صاحب العمل والموظف.
  • وتشمل الموضوعات الأخرى التوازن بين قيمة العمالة ورأس المال، وقضايا الاستدامة لخصائص الويب، والحفاظ على المحتوى الثقافي من قبل منظمات مثل أرشيف الإنترنت، وحقوق الخصوصية الشخصية، وتراجع منصات وسائل التواصل الاجتماعي مثل ماي سبيس وتويتر.

سرق المتسللون رموز الوصول من وحدة دعم Okta

  • تعرضت Okta ، وهي مزود لأدوات الهوية التجارية ، لخرق أمني في وحدة دعم العملاء الخاصة بها ، مما يمنح المتسللين إمكانية الوصول لمدة أسبوعين تقريبا حتى يتم احتواؤها.
  • سمح الاختراق للمهاجمين بعرض الملفات التي تم تحميلها من قبل عملاء معينين ، مما قد يكشف عن بيانات حساسة مثل ملفات تعريف الارتباط والرموز المميزة للجلسة.
  • على الرغم من أن الحادث يؤثر على عدد صغير من العملاء ، تنصح Okta جميع العملاء بتطهير بيانات الاعتماد والرموز المميزة داخل الملفات قبل مشاركتها وتتكهن بأن ممثل تهديد مألوف من المحتمل أن يستهدفهم.

ردود الفعل

  • تعرضت Okta ، وهي مزود هوية مركزي ، لخرق أمني حيث سرق المتسللون رموز الوصول من وحدة الدعم الخاصة بها ، والتي تلت ذلك بعد أن قام أحد الموظفين بتحميل بيانات حساسة إلى أداة دعم Okta.
  • أثار هذا الحادث مناقشات حول سلامة وموثوقية Okta في إدارة أنظمة تكنولوجيا المعلومات المهمة ، وفعالية بروتوكولات الأمان الخاصة بها ، والتباين المستمر في النقاش بين الأنظمة المحلية والخدمات السحابية للمصادقة.
  • هناك ضرورة مؤكدة لتنفيذ تدابير أمنية قوية ، والحفاظ على يقظة الأمن السيبراني الاستباقية ، والنظر في موفري المصادقة البديلين.

التقدم المحرز في عدم وجود GIL CPython

  • يدرس المجلس التوجيهي ل Python إنشاء قفل المترجم الفوري العالمي (GIL) ، وهي آلية تمنع العديد من مؤشرات الترابط الأصلية من تنفيذ رموز بايت Python في وقت واحد ، وهو اختياري في الإصدارات المستقبلية من Python.
  • المناقشات جارية بشأن التوافق مع الامتدادات ، واقتراح تغييرات واجهة برمجة التطبيقات ، والأسماء المحتملة للإصدار غير GIL ، مع "خيوط مجانية" و "nogil" كاقتراحات. كما أنهم يفكرون في تقديم واجهة ثنائية جديدة للتطبيق (ABI) تسمى "abi4".
  • الموافقة النهائية على اقتراح تحسين بايثون (PEP) المتعلق بهذه التغييرات معلقة. ويعكف المجلس التوجيهي على تحديد معايير القبول الخاصة به أثناء مناقشة التأثير المحتمل على الهجرة والتصور.

ردود الفعل

  • تدور المناقشة حول الجوانب المختلفة للبرمجة المتوازية في بايثون. وهذا يشمل الحاجة إلى توازي أكثر وضوحا في المناهج الجامعية ، والإزالة المحتملة لقفل المترجم العالمي (GIL) ، وهي آلية تمنع التنفيذ المتزامن لرموز بايت Python بواسطة خيوط متعددة.
  • لدى المشاركين آراء مختلفة ، حيث يروج البعض للكود الوظيفي دون آثار جانبية ، بينما يقترح البعض الآخر طرقا بديلة مثل الأجهزة الافتراضية (VMs) وتفريغ المهام إلى المكتبات.
  • هناك مخاوف بشأن أداء Python أحادي الخيط والانتقال من Python 2 إلى 3 ، ولكن يتم أيضا التعرف على التداعيات والفوائد المحتملة لإزالة GIL وتعزيز التوازي.

التخفيف من حادث اعتراض Hetzner / Linode XMPP.ru MitM

  • وأبلغ مالك jabber.ru وشركة xmpp.ru عن هجوم رجل في الوسط، من المرجح أن يكون مصدره ألمانيا، وينطوي على اعتراض تلقائي لحركة المرور وإصدار شهادة غير مأذون بها.
  • يسلط التقرير الضوء على العيوب في البنية التحتية لأمن طبقة النقل (TLS) ويقترح تدابير أمنية محسنة مثل استخدام بيئة إدارة الشهادات التلقائية (ACME) - ترخيص المرجع المصدق (CAA) وامتدادات أمان نظام اسم النطاق (DNSSEC).
  • تنصح المقالة بعدم الاعتماد على حلول الجهات الخارجية ، وتدافع عن التشفير من طرف إلى طرف ، وتشكك في فعالية تقنيات "الحوسبة السرية" في توفير أمان قوي.

ردود الفعل

  • تم تحديد خرق أمني حديث ينطوي على اعتراض حركة مرور XMPP على شبكة Hetzner / Linode ، مستهدفا على وجه التحديد منفذ XMPP STARTTLS.
  • تم تخفيف الهجوم ، لكنه كشف عن نقاط الضعف وسلط الضوء على المخاطر الأمنية المرتبطة بمراكز البيانات واختراقات سلسلة التوريد المحتملة.
  • تضمنت المناقشات مخاوف المستخدمين بشأن استخدام Cloudflare ، مع استكشاف مزاياها وعيوبها. XMPP تعني بروتوكول المراسلة والتواجد القابل للتوسيع ، وهو بروتوكول اتصال ، و STARTTLS هي طريقة لأخذ اتصال غير مشفر وترقيته إلى اتصال مشفر (TLS أو SSL).

["31 مليون"؟ أمن محطة ANSI في عام 2023 والعثور على 10 CVEs

  • تناقش الورقة نقاط الضعف وسلاسل الاستغلال المحتملة الموجودة في المحاكيات الطرفية ، مع التركيز على تسلسل الهروب.
  • ويحدد المخاطر في المحاكيات الطرفية الشائعة ويؤكد على أهمية تنفيذ تدابير التعامل والتخفيف المناسبة ضد نقاط الضعف هذه.
  • وتشير الدراسة أيضا إلى تطوير أداة اختبار للمطاريف وتعترف بمساهمات الباحثين السابقين في هذا المجال.

ردود الفعل

  • تسلط المقالة الضوء على أهمية تعقيم أحرف التحكم في الأدوات المستندة إلى النص للتخفيف من المخاطر الأمنية ، مع التركيز على المشكلات في بعض الأنظمة الطرفية.
  • وهو يلفت الانتباه إلى الصعوبات والتحديات المرتبطة بمضاهاة المحطات الطرفية، لا سيما بسبب الافتقار إلى التقييس، ويقترح الحاجة إلى بروتوكول طرفي نصي جديد.
  • يغطي المحتوى أيضا المشكلات المتعلقة بالمحاكيات الطرفية وتسلسلات التحكم ، ويتطرق إلى السياق التاريخي لمفتاح الهروب ، واستخدام PostScript في برامج Lisp ، والمشاريع المرتبطة بها.

F-Droid: متجر تطبيقات أندرويد FOSS

  • F-Droid هو مستودع لتطبيقات البرامج المجانية والمفتوحة المصدر (FOSS) لنظام Android ، ويقدم عميلا لسهولة التصفح والتثبيت والتحديث على الأجهزة.
  • قدم التحديث الأخير تطبيقات جديدة وميزات محسنة ، مما عزز قابلية استخدام ووظائف F-Droid.
  • F-Droid هي منظمة غير ربحية تعتمد على التبرعات العامة للحفاظ على خدماتها ومواصلة تقديم عروضها لمجتمع Android.

ردود الفعل

  • يستكشف المقال F-Droid ، وهو متجر لتطبيقات Android المجانية والمفتوحة المصدر. ينصح المستخدمون بالعملاء البديلين ، بما في ذلك Aurora Droid و Neo Store ، لتحسين الوظائف وتثبيت التطبيق.
  • تمت مناقشة نقص إحصائيات الاستخدام على F-Droid ، والعقبات المحتملة في التنفيذ ، والإضافة البطيئة للبرامج الجديدة في المقالة. يوصي المستخدمون بإضافة مستودعات إضافية لتحسين الوصول وذكر F-Droid Basic ، وهو إصدار من F-Droid.
  • يتم تسليط الضوء على كل من إيجابيات وسلبيات F-Droid من قبل المستخدمين ، مشيرين إلى أنه بينما يحبها البعض ، ينتقد البعض الآخر النظام الأساسي لاحتوائه على العديد من التطبيقات التي لم يتم تحديثها منذ سنوات.

شبكات سداسية (2013)

  • يوضح الدليل كيفية إنشاء الشبكات السداسية والعمل معها ، والتي تغطي أنظمة الإحداثيات والخوارزميات والصيغ المختلفة مع عينات التعليمات البرمجية للبرمجة.
  • يناقش حساب المسافات ورسم الخطوط وتحديد نطاقات الحركة للشبكات السداسية ، إلى جانب خوارزميات معالجة العوائق وتخزين الخرائط والخرائط الملتفة وتحديد المسارات.
  • يوصي المؤلف بالموارد ذات الصلة مثل مكتبة GameLogic Grids في Unity ، ومكتبة Hex-Grid Utilities ، ونموذج التعليمات البرمجية ، ومقالة PDF ، ورمز الإنشاء الإجرائي لاستخدام موقع الويب.

ردود الفعل

  • يلقي المقال الضوء على Red Blob Games ، وهي صفحة ويب تقدم موارد وأدلة للتعامل مع الشبكات السداسية.
  • يشرح الاختلافات بين الأشكال السداسية المدببة والمسطحة ، مما يساعد في فهم استخدامها في الترميز.
  • تغطي المناقشة أنظمة الإحداثيات وإيجابيات وسلبيات استخدام الشبكات السداسية في تصميم اللعبة.

وجد التقرير أن المستشفيات غير الربحية تبخل على الأعمال الخيرية بينما يجني الرؤساء التنفيذيون الملايين

  • تواجه المستشفيات الأمريكية غير الربحية تدقيقا لتفضيلها تعويضات المديرين التنفيذيين على توفير الرعاية الخيرية للمرضى ذوي الدخل المنخفض.
  • وفقا لتقرير صادر عن لجنة الصحة والتعليم والعمل والمعاشات في مجلس الشيوخ ، تنفق العديد من المستشفيات غير الربحية أقل من 2٪ من إيراداتها على الرعاية الخيرية ، بينما يتلقى الرؤساء التنفيذيون للمستشفيات رواتب بملايين الدولارات.
  • ويتهم التقرير المستشفيات بالتلاعب في الأسعار وانتهاك تفويضاتها غير الربحية. ومع ذلك ، تحتج جمعية المستشفيات الأمريكية على أن التقرير يتجاهل الفوائد المجتمعية التي تقدمها المستشفيات.

ردود الفعل

  • ويكشف التقرير أن المستشفيات غير الربحية تخضع للتدقيق بسبب رعايتها الخيرية المنخفضة نسبيا على الرغم من ارتفاع رواتب الرؤساء التنفيذيين، مما يثير تساؤلات حول العدالة بشأن المنظمات الممولة من القطاع العام.
  • يتطرق هذا النقاش إلى التحديات التي يواجهها المستشفى في خدمة مرضى Medicaid و Medicare ، وتأثير المدفوعات الحكومية على تكاليف الرعاية الصحية ، والآراء حول تعويضات المديرين التنفيذيين ، مما يشير إلى الحاجة إلى معالجة هذه المشكلة.
  • كما يناقش التقرير الشفافية فيما يتعلق بطبيعة المنظمات غير الربحية وعملياتها المالية، ومزاعم التواطؤ، والحاجة إلى إدخال تعديلات على قوانين تمويل الحملات الانتخابية، وأهمية تخصيص أموال المستشفيات للرعاية الخيرية.

تم تنفيذ Flappy Bird في أنواع TypeScript

  • طور المؤلف لعبة 2D Flappy Bird باستخدام التعليقات التوضيحية من نوع TypeScript فقط ، مما يدل على إمكانية الاستفادة من هذه التعليقات التوضيحية خارج مترجم TypeScript.
  • يتم تحديث حالة اللعبة بناء على مبادئ البرمجة الوظيفية والعرض من خلال مخزن مؤقت للأوامر مليء بأوامر الرسم ، مما يعرض الكفاءة الفنية للمشروع.
  • يستخدم وقت التشغيل ، الذي تم إنشاؤه في Rust and Zig ، الرمز الثانوي وواجهة برمجة تطبيقات لوحة الويب لتنفيذ اللعبة مع الخطط المستقبلية لاستخدام وقت تشغيل TypeScript على مستوى النوع كمدقق نوع عالي الأداء ولتطوير لغة مختصة خاصة بالمجال (DSL) لإنشاء مخططات.

ردود الفعل

  • يستكشف المقال فائدة نظام الكتابة في TypeScript من خلال تطبيقه في تنفيذ لعبة Flappy Bird ، ويشير إلى استخدام Ocaml في حل سودوكو للمقارنة.
  • يناقش قوة وتعقيد نظام الكتابة في TypeScript ، وقدرته على إنشاء واجهات معقدة ، وفوائد نظام الكتابة المتقدم.
  • تشير القطعة إلى مرونة وقيود نظام الكتابة في TypeScript ، وتتطرق إلى الآثار المترتبة على اكتمال Turing - وهو مصطلح يصف نظاما قادرا على حل أي مشكلة حسابية نظرا للوقت والموارد الكافية.