Jabber.ru, služba pro zasílání zpráv XMPP, se stala obětí útoku man-in-the-middle, při kterém útočník zachycoval šifrovaný provoz po dobu až 6 měsíců u poskytovatelů hostingu Hetzner a Linode v Německu.
Navzdory zdlouhavé povaze útoku nebyly nalezeny žádné důkazy o narušení serverů nebo útocích typu spoofing. K přebírání spojení však byly zneužity falešné certifikáty TLS pomocí aplikace Let's Encrypt.
Útok se týkal především připojení ke službě XMPP na portu 5222 STARTTLS. Existovalo podezření, že k odposlechu došlo buď legálně, nebo v důsledku průniku do sítí poskytovatelů hostingu.
Vlákno Hacker News se zabývá odposlechem šifrovaného provozu na hostingových službách zaměřených na službu pro zasílání zpráv Jabber a zmiňuje různé strategie zmírnění, jako je dodatečné ověřování, monitorování certifikátů SSL/TLS, měření RIPE Atlas a systémy založené na DLT.
Diskuse se zabývá použitím DANE pro ověřování certifikátů a omezeními certifikačních autorit (CA). Další témata zahrnují potenciální zranitelnosti infrastruktury SSL, možné ohrožení vydávání certifikátů SSL a význam DNSSEC, záznamů CAA a šifrovacích metod, jako jsou PGP a OMEMO/OpenPGP.
V tomto vlákně se diskutuje o potřebě více certifikátů pro stejnou doménu, spolehlivosti certifikátů SSL, možném zákonném odposlechu a problémech při zajišťování bezpečnosti hostingových služeb.
Před deseti lety vznikl zkušený tým nazvaný "tech surge" pod vedením Todda Parka, který měl vyřešit problémy s nefunkčními webovými stránkami HealthCare.gov.
Tým složený z osob ze státní správy i mimo ni analyzoval problémy webu, mimo jiné včetně kódu, testování, uvolňování a monitorování.
Po intenzivních diskuzích a schůzkách úspěšně nainstalovali monitorovací systém, který odhalil kritické problémy s výkonem, a zahájili tak neustálé úsilí o zlepšení stránek a umožnění milionům lidí přihlásit se ke zdravotní péči.
Diskuse se soustředí na reformu zdravotnictví v USA, včetně problémů, které se vyskytly při vývoji Healthcare.gov, politických vlivů na zákon o dostupné péči (ACA) a kompetencí Medicaid.
Pozornost je věnována problémům, jako je korupce, kamarádíčkování, rozdělování federálních prostředků, nedostatečné odměňování federálních zaměstnanců a zapojení firem do IT projektů souvisejících se zdravotnictvím.
Celkově diskurz zdůrazňuje složité problémy reformy zdravotní péče a zdůrazňuje potřebu zdokonalených systémů a politických zásahů.
Text zahrnuje diskuse o různých právních tématech, včetně chování policie, ochrany soukromí, pomluvy a právních postupů.
Mezi hlavní zkoumané otázky patří účinnost ochranných příkazů, úloha orgánů činných v trestním řízení, vliv sociálních médií na odpovědnost, chování policistů v menších obcích, žaloby pro pomluvu a pravomoci pohraničníků.
Tato široká škála témat naznačuje hluboké zkoumání témat z oblasti vymáhání práva a práva, která jsou relevantní pro současnou společnost.
Příspěvek na blogu zkoumá hledání nejméně prohlížených článků na Wikipedii, přičemž mnoho z nich se týká hmyzu a neznámých zeměpisných lokalit.
Zabývá se komunitními zásadami a postupy týkajícími se konceptu notability, což vedlo k tomu, že se články o podnicích nebo kapelách neobjevují na posledních 500 nejnavštěvovanějších stránkách.
Tyto méně sledované články jsou důležité, protože nabízejí základ pro budoucí editory, kteří je mohou vylepšit a navázat na ně.
Diskuse poukazuje na problémy, s nimiž se setkávají redaktoři Wikipedie, jako je určován�í významnosti tématu, řešení omezení platformy a správa mazání.
Upozorňuje na existenci genderových předsudků a misogynie na této platformě, na předpojatost v kritériích notability a na další problémy v oblasti příspěvků.
Vyvolává obavy ohledně vlivu Wikipedie na výsledky vyhledávání a také otázky týkající se přesnosti a spolehlivosti informací na této platformě.
Článek zkoumá jedinečné prostorové metody, které postavy ve filmu Smrtonosná past používají k orientaci v architektuře, a nachází paralely se strategiemi izraelských obranných sil používanými během invaze do Nábulusu.
Představuje koncept "prostoru Nakatomi", zobrazení pozměněné architektonické navigace ve filmech, jako je Smrtonosná past, a uvažuje o jeho širší městské implementaci.
Dále zkoumá různé architektonické koncepty, jako je pohyb skrze zdi, plynulost prostoru a narušení soukromého prostoru, a zamýšlí se nad jejich mocenskou dynamikou a důsledky ve filmu a literatuře.
Konverzace na webu bldgblog.com se týká řady témat, jako je dopad městského plánování na míru kriminality nebo vnímaný nedostatek otevřených her v moderních videohrách.
Diskuze se rovněž zabývá zjevným úpadkem série o Jamesi Bondovi a analyzuje zobrazování romantiky ve filmech.
Účastníci diskuse přispívají různými názory, doporučují alternativní hry a filmy a zabývají se mnohostrannými aspekty probíraných témat.
Nedávné vyšetřování odhalilo, že organizace spojené s technologickým průmyslem a bezpečnostními službami financují kampaň na podporu navrhovaného nařízení EU o kontrole chatu, jehož cílem je bojovat proti sexuálnímu zneužívání dětí.
Toto nařízení prosazuje, aby poskytovatelé služeb povinně skenovali a zveřejňovali podezřelé soukromé zprávy a fotografie. Patrick Breyer, zákonodárce Evropského parlamentu, kritizuje zapojení komisařky EU pro vnitřní věci Ylvy Johanssonové.
Obhájci považují kampaň za snahu o plošné prověřování soukromých zpráv a fotografií, které podle nich ohrožuje digitální soukromí a šifrování. V současné době takový zákon v USA neexistuje.
V pasáži jsou zdůrazněna různá témata související s EU, jako jsou obvinění z korupce a zahraniční intervence, debaty o suverenitě a kritika nařízení EU.
Zdůrazňuje to obavy ohledně integrity EU a její schopnosti chránit práva na soukromí, což naznačuje určitou míru skepse vůči jejím předpisům a správě.
V textu jsou také zmíněny debaty o výhodách a nevýhodách státních zásahů a regulací v kontextu kapitalismu a komunismu.
Hudební web Bandcamp, známý svou podporou nezávislých umělců, koupila společnost Songtradr, která poskytuje licence na obsah a služby.
Tato akvizice vyvolala obavy mezi umělci a fanoušky, protože již bylo oznámeno propouštění zaměstnanců redakce Bandcampu a týmu vinylových desek.
Prodej vedl k nejistotě ohledně budoucnosti Bandcampu a jeho dalšího závazku podporovat nezávislé umělce a vyvolal obavy, že pověst webu jako nezávislé hudební platformy by mohla být pod novým vlastníkem ohrožena.
Diskuse se soustředí na ztrátu zaměstnání zaměstnanců Bandcampu, význam Bandcampu jako hudební platformy a obavy z jeho akvizice společností Epic Games.
Podrobně se diskutuje o nevýhodách digitálních obchodů s hrami zaměřených na zisk, o potřebě neziskových subjektů kultivovat komunity a o vztahu zaměstnavatel-zaměstnanec.
Mezi další témata patří rovnováha mezi hodnotou práce a kapitálu, otázky udržitelnosti webových vlastností, uchovávání kulturního obsahu organizacemi, jako je Internet Archive, práva na soukromí a úpadek platforem sociálních médií, jako je MySpace a Twitter.
Společnost Okta, poskytovatel nástrojů pro firemní identitu, zaznamenala narušení bezpečnosti ve své jednotce zákaznické podpory, což hackerům umožnilo přístup na přibližně dva týdny, dokud nebyl problém vyřešen.
Narušení umožnilo útočníkům prohlížet soubory nahrané některými zákazníky, což mohlo vést k odhalení citlivých údajů, jako jsou soubory cookie a tokeny relací.
Přestože incident postihl jen malý počet zákazníků, společnost Okta doporučuje všem klientům, aby před sdílením souborů vyčistili pověření a tokeny v souborech, a spekuluje, že se na ně pravděpodobně zaměřil známý původce hrozeb.
Společnost Okta, poskytovatel centralizovaných identit, zaznamenala narušení bezpečnosti, při kterém hackeři ukradli přístupové tokeny z jejího oddělení podpory, k čemuž došlo poté, co jeden ze zaměstnanců nahrál citlivé údaje do nástroje podpory společnosti Okta.
Tento incident vyvolal diskuse o integritě a spolehlivosti společnosti Okta při správě významných IT systémů, o účinnosti jejích bezpečnostních protokolů a o neustálém kontrastu mezi lokálními systémy a cloudovými službami pro ověřování.
Je zdůrazněna nutnost zavést důkladná bezpečnostní opatření, udržovat proaktivní kybernetickou bezpečnost a zvážit alternativní poskytovatele ověřování.
Řídící rada Pythonu zvažuje, že v budoucích verzích Pythonu bude globální zámek interpretu (GIL), mechanismus, který zabraňuje provádění bajtových kódů Pythonu více nativními vlákny najednou, volitelný.
Probíhají diskuse o kompatibilitě s rozšířeními, o návrzích na změny API a o možných názvech verze bez GIL, mezi návrhy patří "free-threading" a "nogil". Uvažuje se také o zavedení nového aplikačního binárního rozhraní (ABI) označovaného jako "abi4.
V souvislosti s těmito změnami se čeká na konečné schválení návrhu na vylepšení jazyka Python (PEP). Řídící rada právě definuje kritéria jejich přijetí a zároveň diskutuje o potenciálním dopadu na migraci a vnímání.
Diskuse se týká různých aspektů paralelního programování v jazyce Python. Patří mezi ně potřeba explicitnějšího paralelismu v univerzitních učebních plánech a potenciální odstranění globálního zámku překladače (GIL), mechanismu, který zabraňuje současnému provádění bajtkódů jazyka Python více vlákny.
Názory účastníků se liší, někteří prosazují funkční kód bez vedlejších efektů, zatímco jiní navrhují alternativní přístupy, jako jsou virtuální stroje (VM) se sandboxem a přenášení úloh na knihovny.
Existují obavy z jednovláknového výkonu Pythonu a z přechodu z Pythonu 2 na Python 3, ale uznávají se také potenciální důsledky a přínosy odstranění GIL a posílení paralelismu.
Majitel stránek jabber.ru a xmpp.ru ohlásil útok man-in-the-middle, který pravděpodobně pochází z Německa a zahrnuje automatické zachycení provozu a vydání neoprávněného certifikátu.
Zpráva upozorňuje na nedostatky v infrastruktuře TLS (Transport Layer Security) a navrhuje zdokonalená bezpečnostní opatření, jako je používání prostředí ACME (Automatic Certificate Management Environment), CAA (Certificate Authority Authorization) a DNSSEC (Domain Name System Security Extensions).
Článek nedoporučuje spoléhat se na řešení třetích stran, je zastáncem end-to-end šifrování a zpochybňuje účinnost technologií "důvěrné výpočetní techniky" při zajišťování spolehlivého zabezpečení.
Nedávno bylo zjištěno narušení bezpečnosti, které zahrnovalo zachycení provozu XMPP v síti Hetzner/Linode, konkrétně se zaměřovalo na port XMPP STARTTLS.
Útok se podařilo zmírnit, ale odhalil zranitelná místa a upozornil na bezpečnostní rizika spojená s datovými centry a možným ohrožením dodavatelského řetězce.
V diskuzích se objevily obavy uživatelů z používání služby Cloudflare a zkoumaly se její výhody a nevýhody. Zkratka XMPP znamená Extensible Messaging and Presence Protocol, což je komunikační protokol, a STARTTLS je způsob, jak převzít nešifrované připojení a povýšit ho na šifrované (TLS nebo SSL).
Článek se zabývá zranitelnostmi a potenciálními řetězci zneužití v emulátorech terminálů s důrazem na escape sekvence.
Identifikuje rizika v populárních emulátorech terminálů a zdůrazňuje důležitost zavedení správného zacházení s těmito zranitelnostmi a opatření na jejich zmírnění.
Studie také poukazuje na vývoj testovacího nástroje pro terminály a oceňuje přínos předchozích výzkumníků v této oblasti.
Článek zdůrazňuje význam sanitizace řídicích znaků v textových nástrojích pro zmírnění bezpečnostních rizik a zdůrazňuje problémy v některých terminálových systémech.
Upozorňuje na obtíže a problémy spojené s emulací terminálů, zejména kvůli nedostatečné standardizaci, a navrhuje potřebu nového protokolu pro textové terminály.
Obsah zahrnuje také otázky týkající se emulátorů terminálu a řídicích sekvencí, historický kontext klávesy escape, použití jazyka PostScript v programech Lisp a související projekty.
F-Droid je úložiště svobodného softwaru s otevřeným zdrojovým kódem (FOSS) pro systém Android, které nabízí klienta pro snadné procházení, instalaci a aktualizaci v zařízeních.
Poslední aktualizace přinesla nové aplikace a vylepšené funkce, které zlepšily použitelnost a funkčnost systému F-Droid.
F-Droid je nezisková organizace, která je závislá na veřejných darech, aby mohla udržovat své služby a pokračovat v poskytování nabídky komunitě Android.
Článek se zabývá F-Droidem, obchodem s bezplatnými aplikacemi pro Android s otevřeným zdrojovým kódem. Uživatelé doporučují alternativní klienty, včetně Aurora Droid a Neo Store, pro lepší funkčnost a instalaci aplikací.
V článku je diskutován nedostatek statistik o používání systému F-Droid, možné překážky při implementaci a pomalé přidávání nového softwaru. Uživatelé doporučují přidání dalších úložišť pro lepší přístup a zmiňují se o F-Droid Basic, verzi F-Droid.
Uživatelé vyzdvihují jak pozitiva, tak negativa F-Droidu a poukazují na to, že zatímco někteří jej milují, jiní tuto platformu kritizují za to, že obsahuje několik aplikací, které nebyly aktualizovány již několik let.
V příručce je podrobně popsáno, jak vytvářet a pracovat s šestiúhelníkovými mřížkami, a jsou zde popsány různé souřadnicové systémy, algoritmy a vzorce s ukázkami programového kódu.
Pojednává o výpočtu vzdáleností, kreslení čar a určování rozsahů pohybu pro šestiúhelníkové sítě spolu s algoritmy pro práci s překážkami, ukládání map, obtékání map a vyhledávání cest.
Autor doporučuje relevantní zdroje, jako je knihovna GameLogic Grids v Unity, knihovna Hex-Grid Utilities, ukázkový kód, článek ve formátu PDF a procedurální kód pro generování na webových stránkách.
Americké neziskové nemocnice čelí kontrole kvůli tomu, že upřednostňují odměňování vedoucích pracovníků před poskytováním charitativní p�éče pacientům s nízkými příjmy.
Podle zprávy senátního výboru pro zdravotnictví, vzdělávání, práci a důchody vynakládá mnoho neziskových nemocnic na charitativní péči méně než 2 % svých příjmů, zatímco ředitelé nemocnic pobírají mnohamilionové platy.
Zpráva obviňuje nemocnice ze zdražování a porušování mandátu neziskových organizací. Americká asociace nemocnic však namítá, že zpráva přehlíží přínosy, které nemocnice poskytují veřejnosti.
Zpráva odhaluje, že neziskové nemocnice jsou kontrolovány kvůli relativně nízké charitativní péči navzdory vysokým platům generálních ředitelů, což vyvolává otázky ohledně spravedlnosti veřejně financovaných organizací.
Tato debata se dotýká problémů nemocnic při poskytování služeb pacientům Medicaid a Medicare, dopadu vládních plateb na náklady na zdravotní péči a názorů na odměňování vedoucích pracovníků, což naznačuje potřebu řešit tuto otázku.
Zpráva se rovněž zabývá transparentností, pokud jde o povahu a finanční operace neziskových organizací, obviněními z tajných dohod, potřebou změny zákonů o financování volebních kampaní a významem přidělování finančních prostředků nemocnicím na charitativní péči.
Autor vytvořil 2D hru Flappy Bird výhradně s využitím typových anotací jazyka TypeScript, čímž demonstroval potenciál využití těchto anotací mimo kompilátor jazyka TypeScript.
Stav hry se aktualizuje na základě principů funkčního programování a vykreslování prostřednictvím vyrovnávací paměti plné příkazů pro kreslení, což ukazuje technickou zdatnost projektu.
Běhové prostředí vytvořené v jazycích Rust a Zig využívá pro spouštění her bajtový kód a rozhraní API webového plátna a v budoucnu plánuje využít toto běhové prostředí TypeScriptu na úrovni typů jako vysoce výkonný typový kontrolér a vyvinout kompetentní jazyk DSL (Domain-Specific Language) pro vytváření schémat.
Článek zkoumá užitečnost typového systému jazyka TypeScript prostřednictvím jeho použití při implementaci hry Flappy Bird a pro srovnání odkazuje na použití jazyka Ocaml při řešení sudoku.
Pojednává o síle a složitosti typového systému jazyka TypeScript, jeho schopnosti generovat složitá rozhraní a výhodách pokročilého typového systému.
Článek poukazuje na flexibilitu a omezení typového systému jazyka TypeScript a dotýká se důsledků Turingovy úplnosti - termínu popisujícího systém, který je schopen vyřešit jakýkoli výpočetní problém za předpokladu dostatku času a zdrojů.