В связи с недавними громкими взломами npm платформы
https://github.com/lirantal/npm-security-best-practices
https://github.com/lirantal/npm-security-best-practices
GitHub
GitHub - lirantal/npm-security-best-practices: Collection of npm package manager Security Best Practices
Collection of npm package manager Security Best Practices - lirantal/npm-security-best-practices
🔥1
Forwarded from Такие мысли...
Cloudflare — самый успешный Man-in-the-Middle в истории. И мы сами его построили.
Помните NSA-скандалы? Прослушка подводных кабелей, бэкдоры в датацентрах, международные скандалы. Тогда это казалось чем-то из антиутопии.
Но посмотрите на Cloudflare. Они по дизайну расшифровывают, инспектируют и перешифровывают трафик миллионов сайтов. Легально. С вашего согласия. Потому что дашборд красивый, а CDN бесплатный.
Мы пришли к ситуации, где «приватность» означает «скрыто от всех, кроме Cloudflare». Разработчики так помешались на «безопасности», что добровольно отдали приватные ключи половины интернета одной американской компании. По сути — сделали работу АНБ за них, и ещё сами заплатили.
Сегодня ~20% всего интернет-трафика проходит через их серверы. Это не просто CDN — это единая точка отказа для глобальной приватности. Один судебный ордер, один инсайдер, один взлом.
True end-to-end privacy на публичном интернете уже мертва. Мы просто решили, кому именно доверяем быть посередине.
#кибербезопасность #privacy #cloudflare #централизация
Помните NSA-скандалы? Прослушка подводных кабелей, бэкдоры в датацентрах, международные скандалы. Тогда это казалось чем-то из антиутопии.
Но посмотрите на Cloudflare. Они по дизайну расшифровывают, инспектируют и перешифровывают трафик миллионов сайтов. Легально. С вашего согласия. Потому что дашборд красивый, а CDN бесплатный.
Мы пришли к ситуации, где «приватность» означает «скрыто от всех, кроме Cloudflare». Разработчики так помешались на «безопасности», что добровольно отдали приватные ключи половины интернета одной американской компании. По сути — сделали работу АНБ за них, и ещё сами заплатили.
Сегодня ~20% всего интернет-трафика проходит через их серверы. Это не просто CDN — это единая точка отказа для глобальной приватности. Один судебный ордер, один инсайдер, один взлом.
True end-to-end privacy на публичном интернете уже мертва. Мы просто решили, кому именно доверяем быть посередине.
#кибербезопасность #privacy #cloudflare #централизация
👍10😱6👎2💯2❤1🤣1👻1
https://habr.com/ru/articles/1019200/
Мы - цифровое сопротивление (Дуров)
Балаболы вы, а не сопротивление. Пытаетесь поймать хайп, продолжая оставаться удобными кому надо. Всю работу делают левые люди
Спасибо подписчикам за ссылки
Мы - цифровое сопротивление (Дуров)
Балаболы вы, а не сопротивление. Пытаетесь поймать хайп, продолжая оставаться удобными кому надо. Всю работу делают левые люди
Спасибо подписчикам за ссылки
Хабр
«Telegram обошёл блокировку РКН» — нет, не Telegram
Читаю ленту, и у меня откровенно горит. «⚡️ Telegram обошёл блокировку прокси Роскомнадзором» , «Команда мессенджера закрыла уязвимость в ClientHello» , «Цифровое сопротивление возвращается —...
👍15🤡3🙈1
Forwarded from Intercepter-NG
Необычные чувства возникают при написании этих строк, но итог закономерен. 20 лет для инди-проекта — это немало. Он начинался как эксперимент для самообразования, но превратился в нечто большее. Работа над цептером изменила не только меня, но и людей вокруг. Я рад, что смог вдохновить многих начать свой путь в IT индустрии. На протяжении этих лет с проектом были связаны различные истории. Одно оставалось неизменным - путь вперед и постоянное совершенствование. Всем сопричастным - спасибо.
Что будет с доменом sniff.su я не знаю. Доступа к github у меня больше нет. Последние билды будут храниться там как на кладбище. Канал в tg остается жить, сам я доступен для связи. На этом все...
Что будет с доменом sniff.su я не знаю. Доступа к github у меня больше нет. Последние билды будут храниться там как на кладбище. Канал в tg остается жить, сам я доступен для связи. На этом все...
🫡7🤔3🎃1😨1
https://threatroad.substack.com/p/why-server-2025-admins-are-panicking
Windows Server 2019/2022 внезапно апгрейднулись до 2025
Кто попал?
Windows Server 2019/2022 внезапно апгрейднулись до 2025
Кто попал?
Substack
Why Server 2025 Admins are Panicking After the Latest Patch Tuesday
167 Fixes, 2 Zero-Days, and a BitLocker Surprise on Server 2025
Пятница! Время обновлений!
Обновил движок блога bubnovd.net и переделал систему комментов. Раньше это был disqus, который сначала мне нравился, а потом стал толкать рекламу на полстраницы (как на первом скриншоте в комментах). Сейчас использую giscus - он использует функционал GitHub Discussions
Обновил движок блога bubnovd.net и переделал систему комментов. Раньше это был disqus, который сначала мне нравился, а потом стал толкать рекламу на полстраницы (как на первом скриншоте в комментах). Сейчас использую giscus - он использует функционал GitHub Discussions
🔥3
Хардкорное расследование причин потерь TCP сегментов в eBPF. В посте используют инструменты для анализа системных вызовов, eBFP трейсинг, отличие traffic flow для ядра и eBPF программ, примеры работы с ss
https://arthurchiao.art/blog/tcp-requests-stuck-after-connection-established/
#troubleshooting #ebpf #network
https://arthurchiao.art/blog/tcp-requests-stuck-after-connection-established/
#troubleshooting #ebpf #network
ArthurChiao's Blog
TCP Requests Stuck After Connection Established(2024)
This post describes a kernel & BPF networking problem and the trouble shooting steps, which is an interesting case for delving into Linux kernel networking intricacies.
🔥3
Forwarded from Кубертино
Чуваки толкают платные курсы, но в бесплатных материалах много полезной информации, к прочтению рекомендовано
https://learnkube.com/archive
https://learnkube.com/archive
LearnKube
Archive
In-depth, technical Kubernetes articles with a focus on mastering the fundamentals and visual explanations.
❤3
У MS есть классный раздел в их обучающем сайте:
Azure Architecture Center
Там есть:
- application architecture fundamentals
- Best practices in cloud applications
- Cloud design patterns
- и многое другое
Очень рекомендую всем, кто интересуется архитектурой и систем дизайном. Не только Azure или другие облака. Всё описанное прменимо и для on-prem инфры
#architecture #system #design
Azure Architecture Center
Там есть:
- application architecture fundamentals
- Best practices in cloud applications
- Cloud design patterns
- и многое другое
Очень рекомендую всем, кто интересуется архитектурой и систем дизайном. Не только Azure или другие облака. Всё описанное прменимо и для on-prem инфры
#architecture #system #design
Docs
Azure Architecture Center - Azure Architecture Center
The Azure Architecture Center provides guidance for designing and building solutions on Azure by using established patterns and practices.
👍7🤡2👏1
Forwarded from Мир Linux
Ubuntu 26.04 (LTS) выходит завтра… и компания Canonical опубликовала обновление по своему плану замены GNU Coreutils на реализации, переписанные на Rust.
Основные моменты:
- После того как разработчики выразили "серьёзные опасения", Canonical привлекла стороннюю компанию по security-исследованиям для аудита Rust-реализаций (известных как
- Эта security-компания быстро обнаружила 113 существенных проблем, причём значительная часть из них оказалась серьёзными уязвимостями безопасности, тянущими на присвоение CVE.
- Лишь часть этих проблем в Rust-реализациях была исправлена к релизу Ubuntu 26.04.
- Повторим: Ubuntu 26.04 выходит с заметным количеством известных серьёзных багов в новых Rust-версиях coreutils.
- В некоторых из наиболее критичных утилит, переписанных на Rust (cp, mv, rm), обнаружено большое количество серьёзных проблем класса TOCTOU (Time-of-Check to Time-of-Use) — это тип уязвимостей, приводящих к race condition. Именно такие баги часто эксплуатируются злоумышленниками.
- В итоге cp, mv и rm не будут включены в Ubuntu 26.04. Даже с их довольно либеральным подходом "ок, если в Rust-реализациях для 26.04 есть серьёзные баги" – проблемы в этих утилитах оказались слишком критичными.
- Несмотря на этот, без преувеличения, провальный rollout Rust-версий Coreutils, команда Ubuntu планирует в следующем релизе (через 6 месяцев, 26.10) полностью (на 100%) заменить GNU Coreutils на текущие (и пока откровенно сырые) реализации на Rust.
https://discourse.ubuntu.com/t/an-update-on-rust-coreutils/80773
@linuxos_tg
Основные моменты:
- После того как разработчики выразили "серьёзные опасения", Canonical привлекла стороннюю компанию по security-исследованиям для аудита Rust-реализаций (известных как
uutils).- Эта security-компания быстро обнаружила 113 существенных проблем, причём значительная часть из них оказалась серьёзными уязвимостями безопасности, тянущими на присвоение CVE.
- Лишь часть этих проблем в Rust-реализациях была исправлена к релизу Ubuntu 26.04.
- Повторим: Ubuntu 26.04 выходит с заметным количеством известных серьёзных багов в новых Rust-версиях coreutils.
- В некоторых из наиболее критичных утилит, переписанных на Rust (cp, mv, rm), обнаружено большое количество серьёзных проблем класса TOCTOU (Time-of-Check to Time-of-Use) — это тип уязвимостей, приводящих к race condition. Именно такие баги часто эксплуатируются злоумышленниками.
- В итоге cp, mv и rm не будут включены в Ubuntu 26.04. Даже с их довольно либеральным подходом "ок, если в Rust-реализациях для 26.04 есть серьёзные баги" – проблемы в этих утилитах оказались слишком критичными.
- Несмотря на этот, без преувеличения, провальный rollout Rust-версий Coreutils, команда Ubuntu планирует в следующем релизе (через 6 месяцев, 26.10) полностью (на 100%) заменить GNU Coreutils на текущие (и пока откровенно сырые) реализации на Rust.
https://discourse.ubuntu.com/t/an-update-on-rust-coreutils/80773
@linuxos_tg
😱7🤡3❤1💩1🫡1