Jabber.ru, שירות הודעות XMPP, נפל קורבן למתקפת Man-in-the-Middle שבה התוקף יירט תעבורה מוצפנת במשך עד 6 חודשים בספקיות האירוח Hetzner ו-Linode בגרמניה.
למרות האופי הממושך של המתקפה, לא נמצאו ראיות לפריצות לשרתים או התקפות זיוף. עם זאת, אישורי TLS סוררים נוצלו באמצעות Let's Encrypt כדי לחטוף חיבורים.
המתקפה השפיעה בעיקר על חיבורים ליציאת STARTTLS 5222 של שירות XMPP. על פי החשד, היירוט נעשה כדין או כתוצאה מחדירה לרשתות של ספקיות האירוח.
השרשור של Hacker News דן ביירוט תעבורה מוצפן בשירותי אירוח המכוונים לשירות ההודעות Jabber ונוגע באסטרטגיות הפחתה שונות כמו אימות נוסף, ניטור תעודות SSL/TLS, מדידות RIPE Atlas ומערכות מבוססות DLT.
הדיון בוחן את השימוש ב- DANE לאימות אישורים ואת המגבלות של רשויות אישורים (CA). נושאים אחרים כוללים פגיעויות פוטנציאליות בתשתית SSL, הסכנה האפשרית של הנפקת אישורי SSL, והחשיבות של DNSSEC, רשומות CAA ושיטות הצפנה כמו PGP ו- OMEMO/OpenPGP.
השרשור דן בצורך במספר אישורים עבור אותו דומיין, באמינות של תעודות SSL, ביירוט חוקי פוטנציאלי ובאתגרים של הבטחת אבטחה בשירותי אירוח.
לפני עשור הוקם צוות מנוסה בשם "נחשול טכנולוגי" בראשות טוד פארק כדי לפתור את הבעיות באתר HealthCare.gov שאינו מתפקד.
הצוות, המורכב מאנשים מתוך הממשלה ומחוצה לה, ניתח את אתגרי האתר, כולל, אך לא רק, קוד, בדיקות, מהדורות וניטור.
לאחר דיונים ופגישות אינטנסיביים, הם התקינו בהצלחה מערכת ניטור שחושפת בעיות ביצועים קריטיות, וסימנה את תחילת מאמציהם המתמשכים לשפר את האתר ולאפשר למיליונים להירשם לכיסוי רפואי.
הדיונים מתרכזים סביב רפורמת הבריאות בארה"ב, כולל הצרות שהתרחשו במהלך הפיתוח של Healthcare.gov, ההשפעות הפוליטיות על חוק טיפול בר השגה (ACA), ואת הכשירות של Medicaid.
תשומת הלב מופנית לנושאים כגון שחיתות, מקורביזם, חלוקת כספים פדרליים, תשלום חסר של עובדים פדרליים ומעורבות של חברות בפרויקטי IT הקשורים לבריאות.
ככלל, השיח מדגיש את האתגרים המורכבים של רפורמת הבריאות, ומדגיש את הצורך במערכות משופרות ובהתערבות פוליטית.
הטקסט כולל דיונים בנושאים מגוונים הקשורים לחוק, לרבות התנהגות משטרתית, פרטיות, לשון הרע והליכים משפטיים.
סוגיות מרכזיות שנבחנו כוללות את יעילותם של צווי הגנה, תפקידן של רשויות אכיפת החוק, השפעת הרשתות החברתיות על מיצוי הדין, התנהגות שוטרים בקהילות קטנות יותר, תביעות לשון הרע וסמכותם של סוכני גבולות.
מגוון רחב זה של נושאים מציע חקירה מעמיקה של אכיפת החוק ונושאים משפטיים הרלוונטיים לחברה בת זמננו.
חקירה שנערכה לאחרונה מגלה כי תעשיית הטכנולוגיה וארגונים הקשורים לשירותי הביטחון מממנים קמפיין התומך ברגולציית "בקרת הצ'אט" המוצעת של האיחוד האירופי, שמטרתה להילחם בהתעללות מינית בילדים.
תקנה זו דוחפת לחובת סריקה וגילוי של הודעות פרטיות ותמונות חשודות על ידי ספקי שירות. פטריק ברייר, מחוקק בפרלמנט האירופי, מותח ביקורת על מעורבותה של הנציבה לענייני פנים של האיחוד האירופי, אילבה ג'והנסון.
התומכים רואים בקמפיין דחיפה לסינון חסר הבחנה של הודעות ותמונות פרטיות, שאותו הם רואים כאיום על הפרטיות וההצפנה הדיגיטלית. כיום, חוק כזה אינו קיים בארה"ב.
אתר המוזיקה Bandcamp, הידוע בתמיכתו באמנים עצמאיים, נרכש על ידי חברת רישוי התוכן והשירותים Songtradr.
רכישה זו עוררה חששות בקרב אמנים ומעריצים, שכן כבר הוכרזו פיטורים שהשפיעו על צוות המערכת של Bandcamp וצוות הויניל.
המכירה הובילה לחוסר ודאות לגבי עתידו של בנדקאמפ והמחויבות המתמשכת שלו לתמוך באמנים עצמאיים, מה שהצית חששות שהמוניטין של האתר כפלטפורמת מוזיקה עצמאית עלול להיפגע תחת הבעלות החדשה.
השיח נסוב סביב אובדן מקומות העבודה של עובדי בנדקאמפ, חשיבותה של בנדקאמפ כפלטפורמת מוזיקה והחששות מרכישתה על ידי אפיק גיימס.
מתקיימים דיונים מעמיקים על החסרונות של חנויות משחקים דיגיטליים מונעות רווח, הצורך של גופים ללא כוונת רווח לטפח קהילות, ויחסי עובד-מעביד.
נושאים נוספים כוללים את האיזון בין ערך העבודה לערך ההון, סוגיות קיימות עבור נכסי אינטרנט, שימור תוכן תרבותי על ידי ארגונים כגון ארכיון האינטרנט, זכויות לפרטיות אישית, ודעיכת פלטפורמות מדיה חברתית כמו מייספייס וטוויטר.
Okta, ספקית כלי זהות עסקיים, חוותה פרצת אבטחה ביחידת תמיכת הלקוחות שלה, והעניקה להאקרים גישה למשך כשבועיים עד לבלימתה.
הפריצה אפשר�ה לתוקפים לצפות בקבצים שהועלו על ידי לקוחות מסוימים, מה שעלול לחשוף נתונים רגישים כגון קובצי Cookie ואסימוני הפעלה.
למרות התקרית שהשפיעה על מספר קטן של לקוחות, Okta מייעצת לכל הלקוחות לנקות אישורים ואסימונים בתוך קבצים לפני שיתופם ומשערת כי שחקן איום מוכר ככל הנראה כיוון אליהם.
Okta, ספקית זהויות מרכזית, חוותה פרצת אבטחה שבה האקרים גנבו אסימוני גישה מיחידת התמיכה שלה, שהתרחשה לאחר שעובד העלה נתונים רגישים לכלי התמיכה של Okta.
תקרית זו עוררה דיונים על היושרה והאמינות של Okta בניהול מערכות IT משמעותיות, היעילות של פרוטוקולי האבטחה שלהן, והניגוד המתמשך בין מערכות מקומיות ושירותי ענן לאימות.
יש צורך מודגש ביישום אמצעי אבטחה חזקים, שמירה על ערנות פרואקטיבית של אבטחת סייבר ובחינת ספקי אימות חלופיים.
מועצת ההיגוי של פייתון שוקלת להפוך את נעילת המתורגמן הגלובלית (GIL), מנגנון המונע ממספר חוטים מקוריים להריץ בייטקודים של פייתון בבת אחת, לאופציונלי במהדורות עתידיות של פייתון.
דיונים נמשכים לגבי תאימות עם הרחבות, הצעת שינויים ב-API ושמות פוטנציאליים לגרסה שאינה GIL, עם "free-threading" ו-"nogil" כהצעות. הם גם שוקלים להציג ממשק בינארי חדש של יישומים (ABI) המכונה 'abi4'.
אישור סופי של הצעת שיפור Python (PEP) הקשורה לשינויים אלה ממתין. מועצת ההיגוי נמצאת בתהליך של הגדרת קריטריוני הקבלה שלהם תוך דיון בהשפעה הפוטנציאלית על הגירה ותפיסה.
הדיון עוסק בהיבטים שונים של תכנות מקבילי בפייתון. זה כולל את הצורך בהקבלה מפורשת יותר בתוכניות הלימודים באוניברסיטאות, ואת ההסרה הפוטנציאלית של Global Interpreter Lock (GIL), מנגנון המונע הפעלה בו זמנית של bytecodes Python על ידי חוטים מרובים.
למשתתפים יש דעות שונות, חלקם מקדמים קוד פונקציונלי ללא תופעות לוואי, בעוד שאחרים מציעים גישות חלופיות כמו מכונות וירטואליות בארגז חול (VM) והעברת משימות לספריות.
ישנם חששות לגבי הביצועים של Python בעל הליך משנה יחיד והמעבר מ- Python 2 ל- 3, אך מוכרים גם ההשלכות והיתרונות הפוטנציאליים של הסרת GIL ושיפור המקביליות.
הבעלים של jabber.ru ו-xmpp.ru דיווח על מתקפת "אדם בתווך", שמקורה ככל הנראה בגרמניה, שכללה יירוט אוטומטי של תנועה והנפקת תעודה לא מורשית.
הדוח מדגיש פגמים בתשתית אבטחת שכבת התעבורה (TLS) ומציע אמצעי אבטחה משופרים כגון שימוש בסביבת ניהול אישורים אוטומטית (ACME)-הרשאת רשות אישורים (CAA) והרחבות אבטחה של מערכת שמות תחומים (DNSSEC).
המאמר ממליץ שלא להסתמך על פתרונות צד שלישי, תומך בהצפנה מקצה לקצה ומטיל ספק ביעילות של טכנולוגיות "מחשוב סודי" באספקת אבטחה איתנה.
לאחרונה זוהתה פרצת אבטחה הקשורה ליירוט תעבורת XMPP ברשת Hetzner/Linode, המכוונת במיוחד ליציאת XMPP STARTTLS.
המתקפה צומצמה, אך היא חשפה פגיעויות והדגישה סיכוני אבטחה הקשורים למרכזי נתונים ולפגיעות אפשריות בשרשרת האספקה.
הדיונים הציגו חששות של משתמשים לגבי השימוש ב- Cloudflare, תוך בחינת היתרונות והחסרונות שלה. XMPP מייצג Extensible Messaging and Presence Protocol, פרוטוקול תקשורת, ו- STARTTLS הוא דרך לקחת חיבור לא מוצפן ולשדרג אותו לחיבור מוצפן (TLS או SSL).
המאמר בוחן את F-Droid, חנות לאפליקציות אנדרואיד חינמיות וקוד פתוח. לקוחות חלופיים, כולל Aurora Droid ו- Neo Store, מומלצים על ידי משתמשים לפונקציונליות משופרת והתקנת אפליקציות.
חוסר סטטיסטיקות שימוש על F-Droid, מכשולים אפשריים ביישום, ואת תוספת איטית של תוכנה חדשה נדונים בתוך המאמר. משתמשים ממליצים להוסיף מאגרים נוספים לשיפור הגישה ולהזכיר את F-Droid Basic, גרסה של F-Droid.
הן חיוביות והן שליליות של F-Droid מודגשים על ידי משתמשים, ומציינים כי בעוד כמה אוהבים את זה, אחרים מבקרים את הפלטפורמה על כך שהיא מכילה מספר אפליקציות שלא עודכנו במשך שנים.
בתי חולים ללא מטרות רווח בארה"ב עומדים בפני ביקורת על כך שהם מעדיפים תגמול מנהלים על פני מתן שירותי צדקה לחולים בעלי הכנסה נמוכה.
על פי דו"ח של ועדת הבריאות, החינוך, העבודה והפנסיה של הסנאט, בתי חולים רבים ללא מטרות רווח מוציאים פחות מ-2% מהכנסותיהם על טיפולי צדקה, בעוד שמנכ"לי בתי חולים מקבלים משכורות של מיליוני דולרים.
הדו"ח מאשים את בתי החולים בהפקעת מחירים ובהפרת המנדטים שלהם לעמותות. איגוד בתי החולים האמריקאי, לעומת זאת, מוחה על כך שהדו"ח מתעלם מההטבות הקהילתיות שבתי החולים מציעים.
הדו"ח חושף כי בתי חולים ללא מטרות רווח נבחנים על טיפול הצדקה הנמוך יחסית שלהם למרות משכורות המנכ"לים הגבוהות, מה שמעלה שאלות הוגנות על פני ארגונים במימון ציבורי.
דיון זה נוגע באתגרים של בית החולים בשירות מטופלי Medicaid ו- Medicare, ההשפעה של תשלומים ממשלתיים על עלויות הבריאות, והשקפות על תגמול מנהלים, מה שמרמז על הצורך לטפל בבעיה זו.
הדו"ח דן גם בשקיפות בנוגע לאופי ולפעילות הכספית של עמותות, טענות לקנוניה, הצורך בשינויים בחוקי מימון הבחירות והמשמעות של הקצאת כספי בתי חולים לצדקה.
המחבר פיתח משחק Flappy Bird דו-ממדי תוך שימוש בביאורים מסוג TypeScript בלבד, מה שמדגים את הפוטנציאל למנף ביאורים אלה מחוץ למהדר TypeScript.
מצב המשחק מתעדכן בהתבסס על עקרונות התכנות הפונקציונלי והעיבוד באמצעות מאגר פקודות מלא בפקודות ציור, המציגות את המיומנות הטכנית של הפרויקט.
זמן הריצה, שנוצר ב- Rust וב- Zig, משתמש ב- bytecode וב- API של בד הציור האינטרנטי לביצוע משחקים עם תוכניות עתידיות של ניצול זמן ריצה TypeScript ברמת סוג זה כבודק סוגים בעל ביצועים גבוהים ולפתח שפה ספציפית לתחום (DSL) מוסמכת ליצירת סכימות.
המאמר בוחן את התועלת של מערכת הסוגים של TypeScript באמצעות היישום שלה ביישום המשחק Flappy Bird, ומתייחס לשימוש ב- Ocaml בפתרון סודוקו לשם השוואה.
הוא דן בחוזק ובמורכבות של מערכת הטיפוסים של TypeScript, ביכולתה ליצור ממשקים מורכבים וביתרונות של מערכת טיפוסים מתקדמת.
המאמר מצביע על הגמישות והמגבלות של מערכת הכתב של TypeScript, ונוגע בהשלכות של שלמות טיורינג - מונח המתאר מערכת המסוגלת לפתור כל בעיית חישוב בהינתן מספיק זמן ומשאבים.