Jabber.ru, služba na zasielanie správ XMPP, sa stala obeťou útoku man-in-the-middle, pri ktorom útočník zachytával šifrovanú prevádzku až 6 mesiacov u poskytovateľov hostingu Hetzner a Linode v Nemecku.
Napriek zdĺhavému charakteru útoku sa nenašli žiadne dôkazy o narušení servera alebo útokoch spoofingom. Pomocou aplikácie Let's Encrypt však boli zneužité falošné certifikáty TLS na prepadnutie pripojení.
Útok sa týkal predovšetkým pripojení na port 5222 služby XMPP STARTTLS. Predpokladalo sa, že k zachyteniu došlo buď legálne, alebo v dôsledku prieniku do sietí poskytovateľov hostingu.
Vo vlákne Hacker News sa diskutuje o zachytávaní šifrovanej prevádzky na hostingových službách zameraných na službu posielania správ Jabber a rozoberajú sa rôzne stratégie zmierňovania, ako je dodatočné overovanie, monitorovanie certifikátov SSL/TLS, merania RIPE Atlas a systémy založené na DLT.
V diskusii sa skúma používanie DANE na overovanie certifikátov a obmedzenia certifikačných autorít (CA). Ďalšie témy zahŕňajú potenciálne zraniteľnosti infraštruktúry SSL, možné ohrozenie vydávania certifikátov SSL a význam DNSSEC, záznamov CAA a šifrovacích metód, ako sú PGP a OMEMO/OpenPGP.
V tomto vlákne sa diskutuje o potrebe viacerých certifikátov pre tú istú doménu, spoľahlivosti certifikátov SSL, možnom zákonnom zachytávaní a problémoch so zabezpečením bezpečnosti hostingových služieb.
Pred desiatimi rokmi vznikol skúsený tím nazvaný "tech surge" pod vedením Todda Parka, ktorý mal vyriešiť problémy s nefunkčnou webovou stránkou HealthCare.gov.
Tím zložený z jednotlivcov zo štátnej správy aj mimo nej analyzoval problémy stránky, okrem iného vrátane kódu, testovania, vydávania a monitorovania.
Po intenzívnych diskusiách a stretnutiach úspešne nainštalovali monitorovací systém, ktorý odhalil kritické problémy s výkonom, čím sa začalo ich nepretržité úsilie o zlepšenie stránky a umožnenie miliónom ľudí prihlásiť sa na zdravotnú starostlivosť.
Diskusie sa sústreďujú na reformu zdravotníctva v USA vrátane problémov, ktoré sa vyskytli počas vývoja Healthcare.gov, politických vplyvov na zákon o dostupnej starostlivosti (ACA) a kompetencií Medicaid.
Pozornosť sa upriamuje na problémy, ako je korupcia, kamarátstvo, rozdeľovanie federálnych prostriedkov, nedostatočné odmeňovanie federálnych zamestnancov a zapojenie spoločností do IT projektov súvisiacich so zdravotnou starostlivosťou.
Celkovo tento diskurz zdôrazňuje zložité výzvy reformy zdravotnej starostlivosti a zdôrazňuje potrebu posilnených systémov a politických zásahov.
Text zahŕňa diskusie o rôznych témach súvisiacich s právom vrátane správania polície, ochrany súkromia, ohovárania a právnych postupov.
Medzi kľúčové skúmané otázky patrí účinnosť ochranných príkazov, úloha orgánov činných v trestnom konaní, vplyv sociálnych médií na zodpovednosť, správanie policajtov v menších komunitách, žaloby za urážku na cti a právomoci hraničných agentov.
Tento široký záber tém naznačuje, že je potrebné do hĺbky preskúmať témy súvisiace s presadzovaním práva a právne témy relevantné pre súčasnú spoločnosť.
Príspevok na blogu skúma hľadanie najmenej zobrazovaných článkov na Wikipédii, pričom mnohé z nich sa týkajú hmyzu a neznámych geografických lokalít.
Zaoberá sa politikou a postupmi komunity, pokiaľ ide o koncept pozoruhodnosti, ktorý viedol k absencii článkov o firmách alebo kapelách na spodných 500 najnavštevovanejších stránkach.
Tieto menej sledované články sú dôležité, pretože ponúkajú základ pre budúcich redaktorov, ktorý môžu vylepšiť a na ktorom môžu stavať.
Diskusia poukazuje na problémy, s ktorými sa stretávajú redaktori Wikipédie, ako je určovanie významnosti témy, riešenie obmedzení platformy a správa vymazaní.
Poukazuje na existenciu rodovej zaujatosti a mizogýnie na platforme, zaujatosť v kritériách zapísateľnosti a ďalšie výzvy v oblasti prispievania.
Vyvoláva obavy týkajúce sa vplyvu Wikipédie na výsledky vyhľadávania, ako aj otázok súvisiacich s presnosťou a spoľahlivosťou informácií na tejto platforme.
Článok skúma jedinečné priestorové metódy, ktoré postavy vo filme Smrtonosná pasca využívajú na navigáciu v architektúre, a nachádza paralely so stratégiami izraelských obranných síl počas invázie do Nábulusu.
Predstavuje koncept "Nakatomi space", zobrazenie zmenenej architektonickej navigácie vo filmoch ako Smrtonosná pasca, a uvažuje o širšej mestskej implementácii.
Okrem toho skúma rôzne architektonické koncepty, ako je pohyb cez steny, plynulosť priestoru a narúšanie súkromného priestoru, a uvažuje o ich mocenskej dynamike a dôsledkoch vo filme a literatúre.
Rozhovor na stránke bldgblog.com zahŕňa celý rad tém, ako napríklad vplyv mestského plánovania na mieru kriminality a vnímaný nedostatok otvorenej hry v moderných videohrách.
Diskusia sa tiež týka zjavného úpadku série o Jamesovi Bondovi a analyzuje zobrazovanie romantiky vo filmoch.
Účastníci diskusie prispievajú rôznymi názormi, odporúčajú alternatívne hry a filmy a rozoberajú mnohostranné aspekty diskutovaných tém.
Nedávne vyšetrovanie odhalilo, že organizácie prepojené s technologickým priemyslom a bezpečnostnými službami financujú kampaň na podporu navrhovaného nariadenia EÚ o kontrole chatu, ktoré je zamerané na boj proti sexuálnemu zneužívaniu detí.
Týmto nariadením sa presadzuje povinné skenovanie a zverejňovanie podozrivých súkromných správ a fotografií poskytovateľmi služieb. Patrick Breyer, zákonodarca Európskeho parlamentu, kritizuje účasť komisárky EÚ pre vnútorné záležitosti Ylvy Johanssonovej.
Obhajcovia považujú túto kampaň za snahu o nevyberavé preverovanie súkromných správ a fotografií, čo považujú za ohrozenie digitálneho súkromia a šifrovania. V súčasnosti takýto zákon v USA neexistuje.
Úryvok poukazuje na rôzne témy súvisiace s EÚ, ako sú obvinenia z korupcie a zahraničnej intervencie, diskusie o suverenite a kritika nariadení EÚ.
Zdôrazňuje to obavy týkajúce sa integrity EÚ a jej schopnosti chrániť práva na súkromie, čo naznačuje určitú mieru skepsy voči jej nariadeniam a riadeniu.
V texte sa tiež spomínajú diskusie o výhodách a nevýhodách vládnych zásahov a regulácií v kontexte kapitalizmu a komunizmu.
Hudobnú stránku Bandcamp, známu svojou podporou nezávislých umelcov, získala spoločnosť Songtradr, ktorá poskytuje licencie na obsah a služby.
Táto akvizícia vyvolala obavy medzi umelcami a fanúšikmi, keďže už bolo oznámené prepúšťanie, ktoré sa dotklo redakcie Bandcampu a tímu vinylistov.
Predaj viedol k nejasnostiam o budúcnosti Bandcampu a jeho pokračujúcom záväzku podporovať nezávislých umelcov, čo vyvolalo obavy, že povesť stránky ako nezávislej hudobnej platformy by mohla byť pod novým vlastníkom ohrozená.
Diskusia sa sústreďuje na stratu zamestnania zamestnancov Bandcampu, význam Bandcampu ako hudobnej platformy a obavy týkajúce sa jeho akvizície spoločnosťou Epic Games.
Podrobne sa diskutuje o nevýhodách digitálnych obchodov s hrami zameraných na zisk, o potrebe neziskových subjektov kultivovať komunity a o vzťahu medzi zamestnávateľom a zamestnancom.
Medzi ďalšie témy patrí rovnováha medzi hodnotou práce a kapitálu, otázky udržateľnosti webových nehnuteľností, uchovávanie kultúrneho obsahu organizáciami, ako je Internet Archive, práva na súkromie a úpadok platforiem sociálnych médií, ako sú MySpace a Twitter.
Spoločnosť Okta, poskytovateľ nástrojov pre podnikovú identitu, zaznamenala narušenie bezpečnosti vo svojom oddelení zákazníckej podpory, ktoré umožnilo hackerom prístup približne na dva týždne, kým ho nezadržali.
Narušenie umožnilo útočníkom prezerať súbory nahrané niektorými zákazníkmi, čím mohli odhaliť citlivé údaje, ako sú súbory cookie a tokeny relácie.
Napriek tomu, že incident postihol malý počet zákazníkov, spoločnosť Okta odporúča všetkým klientom, aby pred zdieľaním súborov vyčistili poverenia a tokeny v súboroch, a predpokladá, že sa na ne pravdepodobne zameral známy aktér hrozieb.
Spoločnosť Okta, poskytovateľ centralizovaných identít, zaznamenala narušenie bezpečnosti, keď hackeri ukradli prístupové tokeny z jej oddelenia podpory, čo sa stalo po tom, ako zamestnanec nahral citlivé údaje do nástroja podpory spoločnosti Okta.
Tento incident vyvolal diskusie o integrite a spoľahlivosti spoločnosti Okta pri správe významných IT systémov, o účinnosti jej bezpečnostných protokolov a o neustálej diskusii o kontraste medzi lokálnymi systémami a cloudovými službami na overovanie.
Zdôrazňuje sa potreba zaviesť spoľahlivé bezpečnostné opatrenia, udržiavať proaktívnu ostražitosť v oblasti kybernetickej bezpečnosti a zvážiť alternatívnych poskytovateľov overovania.
Riadiaca rada Pythonu zvažuje, že v budúcich vydaniach Pythonu bude globálny zámok interpretera (GIL), mechanizmus, ktorý zabraňuje súčasnému vykonávaniu bajtových kódov Pythonu viacerými natívnymi vláknami, voliteľný.
Prebiehajú diskusie o kompatibilite s rozšíreniami, navrhujú sa zmeny API a potenciálne názvy pre verziu bez GIL, pričom sa navrhuje "free-threading" a "nogil". Uvažuje sa aj o zavedení nového aplikačného binárneho rozhrania (ABI) označovaného ako "abi4.
Čaká sa na konečné schválenie návrhu na rozšírenie jazyka Python (PEP) v súvislosti s týmito zmenami. Riadiaca rada je v procese definovania kritérií ich prijatia a zároveň diskutuje o možnom vplyve na migráciu a vnímanie.
Diskusia sa týka rôznych aspektov paralelného programovania v jazyku Python. Patrí sem potreba explicitnejšieho paralelného programovania v univerzitných učebných osnovách a potenciálne odstránenie globálneho zámku interpreta (GIL), mechanizmu, ktorý zabraňuje súčasnému vykonávaniu bajtkódov jazyka Python viacerými vláknami.
Názory účastníkov sa líšia, niektorí presadzujú funkčný kód bez vedľajších účinkov, iní navrhujú alternatívne prístupy, ako sú virtuálne stroje s pieskoviskom (sandboxed Virtual Machines - VM) a prenášanie úloh na knižnice.
Existujú obavy týkajúce sa jednovláknového výkonu jazyka Python a prechodu z jazyka Python 2 na 3, ale uznávajú sa aj potenciálne dôsledky a výhody odstránenia GIL a zvýšenia paralelizmu.
Majiteľ stránok jabber.ru a xmpp.ru nahlásil útok typu man-in-the-middle, ktorý pravdepodobne pochádza z Nemecka a zahŕňa automatické zachytávanie prevádzky a vydanie neoprávneného certifikátu.
Správa poukazuje na nedostatky v infraštruktúre TLS (Transport Layer Security) a navrhuje vylepšené bezpečnostné opatrenia, ako napríklad používanie prostredia ACME (Automatic Certificate Management Environment), CAA (Certificate Authority Authorization) a DNSSEC (Domain Name System Security Extensions).
V článku sa neodporúča spoliehať sa na riešenia tretích strán, obhajuje sa šifrovanie end-to-end a spochybňuje sa účinnosť technológií "dôvernej výpočtovej techniky" pri zabezpečovaní spoľahlivej bezpečnosti.
Nedávno bolo zistené narušenie bezpečnosti, ktoré zahŕňalo zachytávanie prevádzky XMPP v sieti Hetzner/Linode, konkrétne sa zameriavalo na port XMPP STARTTLS.
Útok sa podarilo zmierniť, ale odhalil zraniteľnosti a poukázal na bezpečnostné riziká spojené s dátovými centrami a potenciálnym ohrozením dodávateľského reťazca.
V diskusiách sa diskutovalo o obavách používateľov týkajúcich sa používania služby Cloudflare, pričom sa skúmali jej výhody a nevýhody. XMPP je skratka pre komunikačný protokol Extensible Messaging and Presence Protocol a STARTTLS je spôsob, ako prevziať nešifrované pripojenie a upgradovať ho na šifrované (TLS alebo SSL).
Článok sa zaoberá zraniteľnosťami a potenciálnymi reťazcami zneužitia prítomnými v emulátoroch terminálov s dôrazom na escape sekvencie.
Identifikuje riziká v populárnych emulátoroch terminálov a zdôrazňuje dôležitosť implementácie správneho zaobchádzania s týmito zraniteľnosťami a opatrení na ich zmiernenie.
Štúdia tiež poukazuje na vývoj testovacieho nástroja pre terminály a uznáva prínos predchádzajúcich výskumníkov v tejto oblasti.
Článok zdôrazňuje význam sanitizácie riadiacich znakov v textových nástrojoch na zmiernenie bezpečnostných rizík, pričom zdôrazňuje problémy v niektorých terminálových systémoch.
Upozorňuje na ťažkosti a výzvy spojené s emuláciou terminálu, najmä v dôsledku nedostatočnej štandardizácie, a navrhuje potrebu nového protokolu textového terminálu.
Obsah sa zaoberá aj otázkami súvisiacimi s emulátormi terminálov a riadiacimi sekvenciami, historickým kontextom klávesu escape, používaním jazyka PostScript v programoch Lisp a súvisiacimi projektmi.
F-Droid je úložisko aplikácií so slobodným a otvoreným zdrojovým kódom (FOSS) pre Android, ktoré ponúka klienta na jednoduché prehliadanie, inštaláciu a aktualizáciu v zariadeniach.
Najnovšia aktualizácia priniesla nové aplikácie a vylepšené funkcie, čím sa zlepšila použiteľnosť a funkčnosť aplikácie F-Droid.
F-Droid je nezisková organizácia, ktorá je závislá od verejných darov, aby mohla udržiavať svoje služby a pokračovať v poskytovaní ponuky pre komunitu používateľov systému Android.
V článku sa skúma F-Droid, obchod s bezplatnými aplikáciami pre Android s otvoreným zdrojovým kódom. Používatelia odporúčajú alternatívne klienty vrátane Aurora Droid a Neo Store na zlepšenie funkčnosti a inštalácie aplikácií.
V článku sa diskutuje o nedostatočných štatistikách používania systému F-Droid, možných prekážkach pri implementácii a pomalom pridávaní nového softvéru. Používatelia odporúčajú pridať ďalšie úložiská na zlepšenie prístupu a spomína sa F-Droid Basic, verzia F-Droid.
Používatelia vyzdvihujú pozitíva aj negatíva platformy F-Droid a poukazujú na to, že niektorí ju milujú, iní ju kritizujú za to, že obsahuje niekoľko aplikácií, ktoré neboli roky aktualizované.
Príručka podrobne opisuje, ako vytvárať a pracovať so šesťuholníkovými mriežkami, pričom zahŕňa rôzne súradnicové systémy, algoritmy a vzorce s ukážkami programového kódu.
Pojednáva o výpočte vzdialeností, kreslení čiar a určovaní rozsahov pohybu pre šesťuholníkové siete spolu s algoritmami na manipuláciu s prekážkami, ukladanie máp, obalové mapy a vyhľadávanie ciest.
Autor odporúča relevantné zdroje, ako napríklad knižnicu GameLogic Grids v Unity, knižnicu Hex-Grid Utilities, vzorový kód, článok vo formáte PDF a procedurálny kód na generovanie na webovej stránke.
Americké neziskové nemocnice čelia kontrole, pretože uprednostňujú odmeňovanie vedúcich pracovníkov pred poskytovaním charitatívnej starostlivosti pacientom s nízkymi príjmami.
Podľa správy senátneho výboru pre zdravotníctvo, vzdelávanie, prácu a dôchodky mnohé neziskové nemocnice vynakladajú na charitatívnu starostlivosť menej ako 2 % svojich príjmov, zatiaľ čo generálni riaditelia nemocníc dostávajú mnohomiliónové platy.
V správe sa nemocnice obviňujú zo zdražovania a porušovania mandátu neziskových organizácií. Americká asociácia nemocníc však protestuje, že správa prehliada výhody, ktoré nemocnice poskytujú komunite.
Správa odhaľuje, že neziskové nemocnice sú kontrolované pre relatívne nízku charitatívnu starostlivosť napriek vysokým platom generálnych riaditeľov, čo vyvoláva otázky o spravodlivosti voči verejne financovaným organizáciám.
Táto diskusia sa dotýka problémov nemocníc pri poskytovaní služieb pacientom Medicaid a Medicare, vplyvu vládnych platieb na náklady na zdravotnú starostlivosť a názorov na odmeňovanie vedúcich pracovníkov, čo naznačuje potrebu riešenia tejto otázky.
Správa sa zaoberá aj transparentnosťou, pokiaľ ide o povahu a finančné operácie neziskových organizácií, obvineniami z tajných dohôd, potrebou zmien v zákonoch o financovaní kampaní a významom prideľovania finančných prostriedkov nemocniciam na charitatívnu starostlivosť.
Autor vytvoril 2D hru Flappy Bird výlučne pomocou typových anotácií jazyka TypeScript, čím demonštroval potenciál využitia týchto anotácií mimo kompilátora jazyka TypeScript.
Stav hry sa aktualizuje na základe princípov funkčného programovania a vykresľovania prostredníctvom vyrovnávacej pamäte plnej príkazov na kreslenie, čo dokazuje technickú zdatnosť projektu.
Runtime vytvorený v jazykoch Rust a Zig využíva bajtový kód a webové rozhranie API canvas na vykonávanie hier, pričom v budúcnosti plánuje využiť tento runtime TypeScript na úrovni typov ako vysoko výkonný typový kontrolór a vyvinúť kompetentný doménovo špecifický jazyk (DSL) na vytváranie schém.
Článok skúma užitočnosť typového systému jazyka TypeScript prostredníctvom jeho použitia pri implementácii hry Flappy Bird a na porovnanie odkazuje na použitie jazyka Ocaml pri riešení sudoku.
Rozoberá silu a zložitosť typového systému jazyka TypeScript, jeho schopnosť generovať zložité rozhrania a výhody pokročilého typového systému.
Článok poukazuje na flexibilitu a obmedzenia typového systému jazyka TypeScript a dotýka sa dôsledkov Turingovej úplnosti - termínu opisujúceho systém schopný vyriešiť akýkoľvek výpočtový problém za predpokladu dostatočného času a zdrojov.