Jabber.ru, сервис обмена сообщениями XMPP, стал жертвой атаки типа "человек посередине", в результате которой злоумышленник перехватывал зашифрованный трафик в течение 6 месяцев на хостинг-провайдерах Hetzner и Linode в Германии.
Несмотря на длительный характер атаки, не было обнаружено никаких признаков взлома сервера или спуфинг-атак. Однако для перехвата соединений с помощью Let's Encrypt использовались неавторизованные сертификаты TLS.
Атака затрагивала в первую очередь соединения с портом 5222 службы STARTTLS сервиса XMPP. Предполагается, что перехват был осуществлен либо на законных основаниях, либо в результате вторжения в сети хостинг-провайдеров.
В материале Hacker News обсуждается перехват шифрованного трафика на хостингах, ориентированных на службу обмена сообщениями Jabber, и рассматриваются различные стратегии снижения рисков, такие как дополнительная аутентификация, контроль сертификатов SSL/TLS, измерения RIPE Atlas и системы на базе DLT.
Обсуждаются вопросы использования DANE для аутентификации сертификатов и ограничения центров сертификации (CA). Также рассматриваются потенциальные уязвимости инфраструктуры SSL, возможность компрометации выпуска сертификатов SSL, важность DNSSEC, записей CAA и таких методов шифрования, как PGP и OMEMO/OpenPGP.
Обсуждается необходимо�сть использования нескольких сертификатов для одного домена, надежность SSL-сертификатов, возможность законного перехвата и проблемы обеспечения безопасности хостинговых услуг.
Десять лет назад для решения проблем с неработающим сайтом HealthCare.gov была сформирована опытная команда "технологов" во главе с Тоддом Парком.
Команда, состоящая из представителей государственных органов и других организаций, проанализировала проблемы сайта, включая, в частности, код, тестирование, релизы и мониторинг.
После интенсивных обсуждений и встреч они успешно установили систему мониторинга, выявив критические проблемы в работе, что положило начало их постоянным усилиям по улучшению сайта и предоставлению миллионам людей возможности записаться на медицинское обслуживание.
В центре обсуждения - реформа здравоохранения в США, в том числе проблемы, возникшие при разработке сайта Healthcare.gov, политическое влияние на принятие Закона о доступном здравоохранении (Affordable Care Act, ACA) и компетентность программы Medicaid.
Обращается внимание на такие проблемы, как коррупция, кумовство, распределение федеральных средств, недоплата федеральным служащим, участие компаний в ИТ-проектах, связанных со здравоохранением.
В целом дискурс подчеркивает сложные проблемы реформы здравоохранения, акцентируя внимание на необходимости совершенствования систем и политического вмешательства.
В тексте обсуждаются различные темы, связанные с правом, включая поведение полиции, неприкосновенность частной жизни, диффамацию и юридические процедуры.
Среди основных рассматриваемых вопросов - эффективность охранных ордеров, роль правоохранительных органов, влияние социальных сетей на ответственность, поведение полицейских в небольших населенных пунктах, иски о диффамации и полномочия пограничных агентов.
Такой широкий спектр тем предполагает углубленное изучение правоохранительной и правовой тематики, актуальной для современного общества.
В блоге рассматривается поиск наименее просматриваемых статей в Википедии, среди которых много статей о насекомых и малоизвестных географических объектах.
В ней рассматривается политика и практика сообщества в отношении понятия "известность", которая привела к отсутствию статей о предприятиях или группах в нижних 500 наиболее просматриваемых страницах.
Эти менее заметные статьи важны, так как они являются основой для будущих редакторов, которую они могут улучшить и развить.
Обсуждаются проблемы, с которыми сталкиваются редакторы Википедии, такие как определение известности темы, работа с ограничениями платформы и управление удалениями.
Она выявляет наличие гендерных предубеждений и женоненавистничества на платформе, предвзятость критериев заметности и другие проблемы, связанные с вкладом.
В нем высказываются опасения относительно влияния Википедии на результаты поиска, а также вопросы, связанные с точностью и достоверностью информации, размещенной на платформе.
В статье исследуются уникальные пространственные приемы, используемые героями фильма "Крепкий орешек" для навигации по архитектуре, проводятся параллели со стратегиями Армии обороны Израиля, применяемыми во время вторжения в Наблус.
В ней вводится понятие "пространство Накатоми", изображающее измененную архитектурную навигацию в таких фильмах, как "Крепкий орешек", и рассматривается его более широкая городская реализация.
Кроме того, здесь рассматриваются различные архитектурные концепции, такие как движение сквозь стены, текучесть пространства и нарушение личного пространства, а также динамика власти и последствия этих концепций в кино и литературе.
В беседе на bldgblog.com затрагивается целый ряд тем, таких как влияние городского планирования на уровень преступности и ощущаемый дефицит открытого геймплея в современных видеоиграх.
Обсуждается также очевидный упадок франшизы о Джеймсе Бонде и анализируется изображение романтики в кино.
Участники дискуссии высказывают различные точки зрения, рекомендуют альтернативные игры и фильмы, вникают в многогранность обсуждаемых тем.
Недавнее расследование показало, что организации, связанные с технологической индустрией и службами безопасности, финансируют кампанию в поддержку предложенного Евросоюзом правила "Chat Control", направленного на борьбу с сексуальным насилием над детьми.
Это постановление предусматривает обязательное сканирование и раскрытие подозрительных личных сообщений и фотографий операторами связи. Патрик Брейер, депутат парламента ЕС, критикует участие к�омиссара ЕС по внутренним делам Ильвы Йоханссон.
Сторонники этой кампании рассматривают ее как стремление к неизбирательной проверке частных сообщений и фотографий, что, по их мнению, представляет угрозу для цифровой конфиденциальности и шифрования. В настоящее время такого закона в США не существует.
В отрывке освещаются различные темы, связанные с ЕС, такие как обвинения в коррупции и иностранном вмешательстве, споры о суверенитете и критика нормативных актов ЕС.
Это подчеркивает опасения относительно целостности ЕС и его способности обеспечивать права на неприкосновенность частной жизни, что свидетельствует о скептическом отношении к его нормам и управлению.
В тексте также упоминаются дискуссии о плюсах и минусах государственного вмешательства и регулирования в контексте капитализма и коммунизма.
Музыкальный сайт Bandcamp, известный своей поддержкой независимых исполнителей, был приобретен компанией Songtradr, занимающейся лицензированием контента и предоставлением услуг.
Это приобретение вызвало беспокойство среди артистов и поклонников, поскольку уже объявлено об увольнениях, затронувших редакцию Bandcamp и команду, занимающуюся выпуском виниловых дисков.
Продажа привела к неопределенности в отношении будущего Bandcamp и его дальнейших обязательств по поддержке независимых исполнителей, вызвав опасения, что репутация сайта как независимой музыкальной платформы может быть подорвана новым владельцем.
В центре дискуссии - потеря работы сотрудниками Bandcamp, значение Bandcamp как музыкальной платформы, а также опасения по поводу приобретения компании Epic Games.
Подробно обсуждаются недостатки магазинов цифровых игр, ориентированных на получение прибыли, необходимость создания некоммерческих организаций для развития сообществ, а также взаимоотношения работодателя и сотрудника.
Среди других тем - баланс между стоимостью труда и капитала, вопросы устойчивого развития веб-собственности, сохранение культурного контента такими организациями, как Internet Archive, права на неприкосновенность частной жизни, а также упадок социальных медиаплатформ, таких как MySpace и Twitter.
Компания Okta, поставщик средств идентификации для бизнеса, допустила нарушение безопасности в своем подразделении поддержки клиентов, в результате чего хакеры получили доступ примерно на две недели.
В результате взлома злоумышленники получили возможность просматривать файлы, загруженные некоторыми клиентами, что могло привести к раскрытию конфиденциальных данных, таких как файлы cookie и маркеры сеансов.
Несмотря на то, что инцидент затронул небольшое число клиентов, компания Okta рекомендует всем клиентам очищать учетные данные и токены в файлах перед их передачей и предполагает, что их целью, скорее всего, был знакомый угрожающий субъект.
Компания Okta, предоставляющая услуги централизованной идентификации, столкнулась с проблемой нарушения безопасности, когда хакеры похитили токены доступа из подразделения поддержки, что произошло после того, как один из сотрудников загрузил конфиденциальные данные в инструмент поддержки Okta.
Этот инцидент вызвал дискуссии о честности и надежности компании Okta в управлении значительными ИТ-системами, об эффективности ее протоколов безопасности, а также о постоянном противопоставлении локальных систем и облачных сервисов аутентификации.
Подчеркивается необходимость внедрения надежных мер безопасности, поддержания проактивной бдительности в области кибербезопасности и рассмотрения альтернативных поставщиков услуг аутентификации.
Руководящий совет Python рассматривает возможность сделать глобальную блокировку интерпретатора (GIL), механизм, не позволяющий нескольким собственным потокам одновременно выполнять байт-код Python, необязательным в будущи�х версиях Python.
В настоящее время ведутся обсуждения совместимости с расширениями, предлагаются изменения в API и возможные названия для не-GIL-версии: "free-threading" и "nogil". Также рассматривается возможность введения нового бинарного интерфейса приложений (ABI), получившего название "abi4".
Окончательное утверждение предложения по усовершенствованию Python (PEP), связанного с этими изменениями, еще не завершено. Руководящий совет находится в процессе определения критериев их принятия, обсуждая потенциальное влияние на миграцию и восприятие.
Обсуждаются различные аспекты параллельного программирования на языке Python. В частности, речь идет о необходимости более явного включения параллелизма в университетские программы, а также о потенциальной возможности отмены Global Interpreter Lock (GIL) - механизма, предотвращающего одновременное выполнение байткодов Python несколькими потоками.
Мнения участников расходятся: одни выступают за функциональный код без побочных эффектов, другие предлагают альтернативные подходы, такие как виртуальные машины с песочницей (ВМ) и выгрузка задач в библиотеки.
Существуют опасения по поводу однопоточной производительности Python и перехода с Python 2 на 3, но также признаются потенциальные последствия и преимущества удаления GIL и усиления параллелизма.
Владелец сайтов jabber.ru и xmpp.ru сообщил об атаке типа "человек посередине" (man-in-the-middle), вероятно, из Германии, связанной с автоматическим перехватом трафика и выдачей неавторизованного сертификата.
В отчете отмечаются недостатки инфраструктуры Transport Layer Security (TLS) и предлагаются усовершенствованные меры безопасности, такие как использование среды автоматического управления сертификатами (ACME)-авторизации сертификатных центров (CAA) и расширений безопасности системы доменных имен (DNSSEC).
В статье рекомендуется не полагаться на решения сторонних производителей, чемпионов по сквозному шифрованию, а также ставится под сомнение эффективность технологий "конфиденциальных вычислений" в обеспечении надежной защиты.
Недавно была обнаружена брешь в системе безопасности, связанная с перехватом XMPP-трафика в сети Hetzner/Linode, в частности, с использованием порта XMPP STARTTLS.
Атака была нейтрализована, но она выявила уязвимости и показала риски безопасности, связанные с центрами обработки данных и возможными компромиссами в цепочке поставок.
В ходе дискуссии обсуждались опасения пользователей по поводу использования Cloudflare, а также преимущества и недостатки этой тех�нологии. XMPP расшифровывается как Extensible Messaging and Presence Protocol, коммуникационный протокол, а STARTTLS - это способ преобразования незашифрованного соединения в зашифрованное (TLS или SSL).
В статье рассматриваются уязвимости и цепочки потенциальных эксплойтов, присутствующие в эмуляторах терминалов, с акцентом на управляющие последовательности.
В нем выявлены риски в популярных эмуляторах терминалов и подчеркнута важность реализации правильных мер по борьбе с этими уязвимостями.
В исследовании также указывается на необходимость разработки инструмента тестирования терминалов и отмечается вклад предыдущих исследователей в эту область.
В статье подчеркивается важность санации управляющих символов в текстовых средствах для снижения рисков безопасности и особо отмечаются проблемы в некоторых терминальных системах.
В нем обращается внимание на трудности и проблемы, связанные с эмуляцией терминалов, в частности, из-за отсутствия стандартизации, что говорит о необходимости создания нового протокола для текстовых терминалов.
Также рассматриваются вопросы, связанные с эмуляторами терминалов и управляющими последовательностями, затрагивается исторический контекст клавиши escape, использование PostScript в Lisp-программах и сопутствующие проекты.
F-Droid - это репозиторий бесплатных программ с открытым исходным кодом (FOSS) для Android, предлагающий клиент для удобного просмотра, установки и обновления на устройствах.
В последнем обновлении появились новые приложения и улучшенные функции, повышающие удобство использования и функциональность F-Droid.
F-Droid - некоммерческая организация, которая поддерживает свои сервисы и продолжает предоставлять свои предложения сообществу пользователей Android за счет общественных пожертвований.
В статье рассматривается F-Droid - магазин бесплатных приложений для Android с открытым исходным кодом. Альтернативные клиенты, в том числе Aurora Droid и Neo Store, рекомендуются пользователями для расширения функциональности и установки приложений.
В статье обсуждается отсутствие статистики использования F-Droid, возможные препятствия при внедрении и медленное добавление нового программного обеспечения. Пользователи рекомендуют добавлять дополнительные репозитории для улучшения доступа и упоминают F-Droid Basic, версию F-Droid.
Пользователи отмечают как положительные, так и отрицательные стороны F-Droid, указывая на то, что одним она нравится, другие критикуют платформу за то, что она содержит несколько приложений, которые не обновлялись годами.
В руководстве подробно описано создание и работа с гексагональными сетками, рассмотрены различные системы координат, алгоритмы и формулы с примерами программного кода.
В нем рассматриваются вычисление расстояний, рисование линий и определение дальности перемещения для гексагональных сеток, а также алгоритмы обработки препятствий, хранения карт, оборачивания карт и поиска пути.
Автор рекомендует такие необходимые ресурсы, как библиотека GameLogic Grids в Unity, библи�отека Hex-Grid Utilities, примеры кода, статья в формате PDF, а также код процедурной генерации для использования на сайте.
Американские некоммерческие больницы подвергаются тщательному анализу за то, что они предпочитают выплачивать вознаграждение руководителям, а не оказывать благотворительную помощь малообеспеченным пациентам.
Согласно отчету сенатского комитета по здравоохранению, образованию, труду и пенсиям, многие некоммерческие больницы тратят на благотворительную помощь менее 2% своих доходов, в то время как руководители больниц получают многомиллионные зарплаты.
В отчете больницы обвиняются в завышении цен и нарушении своих некоммерческих обязательств. Американская ассоциация больниц, однако, протесту�ет против того, что в отчете упускаются из виду общественные блага, предоставляемые больницами.
В отчете показано, что некоммерческие больницы подвергаются тщательному изучению в связи с относительно низким уровнем благотворительной помощи, несмотря на высокие зарплаты руководителей, что ставит под сомнение справедливость в отношении организаций, финансируемых государством.
В ходе дискуссии затрагиваются проблемы, возникающие у больницы при обслуживании пациентов по программам Medicaid и Medicare, влияние государственных выплат на стоимость медицинского обслуживания, взгляды на вознаграждение руководителей, что свидетельствует о необходимости рассмотрения данного вопроса.
В докладе также обсуждаются вопросы прозрачности природы и финансовой деятельности некоммерческих организаций, обвинения в сговоре, необходимость внесения изменений в законы о финансировании избирательных кампаний, а также значение выделения больничных средств на благотворительность.
Автор разработал двухмерную игру Flappy Bird, используя только аннотации типов TypeScript, продемонстрировав возможность использования этих аннотаций вне компилятора TypeScript.
Состояние игры обновляется на основе принципов функционального программирования и рендеринга через командный буфер, заполненный командами рисования, что демонстрирует техническую грамотность проекта.
Среда выполнения, созданная на Rust и Zig, использует байткод и API web canvas для выполнения игр. В будущем планируется использовать эту среду выполнения TypeScript в качестве высокопроизводительного средства проверки типов и разработать компетентный язык Domain-Specific Language (DSL) для создания схем.
В статье рассматривается полезность системы типов TypeScript на примере ее применения для реализации игры Flappy Bird, а для сравнения приводится использование Ocaml для решения судоку.
В ней рассматривается сила и сложность системы типов TypeScript, ее способность генерировать сложные интерфейсы, а также преимущества развитой системы типов.
В статье отмечаются гибкость и ограничения системы типов TypeScript, а также затрагиваются вопросы полноты Тьюринга - термина, описывающего систему, способную решить любую вычислительную задачу при наличии достаточного количества времени и ресурсов.