08:22 pm тут вашу моднейшую замену жаберу похекали
Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили об экстренном отключении серверов Matrix.org и Riot.im (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение состоялось вчера вечером, после чего работа серверов была восстановлена, а приложения пересобраны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы второй раз.
Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта размещён в репозитории атакующих на GitHub (не в официальном репозитории matrix). Подробности о втором взломе пока отсутствуют.
После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры. Было заявлено, что исходный код и пакеты не пострадали в результате атаки. Атака также не затронула серверы Modular.im. Но атакующие получили доступ к основной СУБД, в которой размещены в том числе незашифрованные сообщения, токены доступа и хэши паролей.
...
Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает сквозное (end-to-end) шифрование на базе собственного протокола, использующего в том числе алгоритм Double Ratchet (также используемого как часть протокола Signal), поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.).
Дополнение: Опубликовано продолжение с описанием второго взлома, информацией об утечке PGP-ключей и обзором проблем с безопасностью, которые привели к взлому.
...
Атакующий разместил на GitHub серию отчётов с подробностями атаки и советами по увеличению защиты, но они были удалены. Тем не менее, в архиве отчёты сохранились. Например, взломщик сообщил, что разработчикам Marix следовало использовать двухфакторную аутентификацию или хотя бы не использовать перенаправление SSH-агентом ("ForwardAgent yes"), тогда проникновение в инфраструктуру было бы блокировано. Эскалацию атаки также можно было остановить предоставляя разработчикам только необходимые привилегии, а не полный root-доступ на всех серверах.
Дополнительно раскритикована практика хранения ключей для создания цифровых подписей на рабочих серверах, для подобных целей следовало бы выделить отдельный изолированный хост. Ещё атакующий сообщил, что если бы разработчики Matrix регулярно проводили аудит логов и анализировали аномалии, они бы заметили следы взлома на раннем этапе (взлом CI оставался незамеченным целый месяц). Ещё одной проблемой было хранение всех файлов конфигурации в Git, что позволяло оценить настройки других хостов при взломе одного из них. Доступ по SSH к серверам инфраструктуры не был ограничен защищённой внутренней сетью, что позволяло подключиться к ним с любого внешнего адреса.
Many people, incl. friends of mine, rely on "cloud" for file storage, use "free" messengers, listen to music on "services", and expect companies to provide stable and consistent service. This is what you get in the end: https://github.com/ValdikSS
I have always treated public services as a handout that could be taken away any moment, without any explanation, and their availability as a long-drawn moment between downtimes, data corruption or content deletion due to DMCA or other rules or laws, and favor self-hosted alternatives even if it provided less functionality or did not provide much convenience. That wasn't something I thought much about, it was just plain obvious for me to set up my own services if I needed them, and not to rely on any third-party without strong reason.
That's why I never used e.g. dropbox—why use some strangely-free service when I have my own already, with lots of free space and gigabit connectivity inside LAN? Why use free Slack with 10000 message retention policy and suffer, when you can install Mattermost or Zulip?
I never really convinced people and usually was an outsider when tried to promote self-hosted alternatives to my friends and colleagues, but in the long term, self-hosted always win, I can assure you.
03:02 pm - slowpoke.jpg The Moore method is a deductive manner of instruction used in advanced mathematics courses. It is named after Robert Lee Moore, a famous topologist who first used a stronger version of the method at the University of Pennsylvania when he began teaching there in 1911.
F. Burton Jones, a student of Moore and a practitioner of his method, described it as follows: Moore would begin his graduate course in topology by carefully selecting the members of the class. If a student had already studied topology elsewhere or had read too much, he would exclude him (in some cases, he would run a separate class for such students). The idea was to have a class as homogeneously ignorant (topologically) as possible. He would usually caution the group not to read topology but simply to use their own ability. Plainly he wanted the competition to be as fair as possible, for competition was one of the driving forces. […]
Having selected the class he would tell them briefly his view of the axiomatic method: there were certain undefined terms (e.g., 'point' and 'region') which had meaning restricted (or controlled) by the axioms (e.g., a region is a point set). He would then state the axioms that the class were to start with […]
After stating the axioms and giving motivating examples to illustrate their meaning he would then state some definitions and theorems. He simply read them from his book as the students copied them down. He would then instruct the class to find proofs of their own and also to construct examples to show that the hypotheses of the theorems could not be weakened, omitted, or partially omitted.
When the class returned for the next meeting he would call on some student to prove Theorem 1. After he became familiar with the abilities of the class members, he would call on them in reverse order and in this way give the more unsuccessful students first chance when they did get a proof. He was flexible with this procedure but it was clear that this was the way he preferred it.
When a student stated that he could prove Theorem x, he was asked to go to the blackboard and present his proof. Then the other students, especially those who had not been able to discover a proof, would make sure that the proof presented was correct and convincing. Moore sternly prevented heckling. This was seldom necessary because the whole atmosphere was one of a serious community effort to understand the argument.
When a flaw appeared in a 'proof' everyone would patiently wait for the student at the board to 'patch it up.' If he could not, he would sit down. Moore would then ask the next student to try or if he thought the difficulty encountered was sufficiently interesting, he would save that theorem until next time and go on to the next unproved theorem (starting again at the bottom of the class). — (Jones 1977)
The students were forbidden to read any book or article about the subject. They were even forbidden to talk about it outside of class. Hersh and John-Steiner claim that, "this method is reminiscent of a well-known, old method of teaching swimming called 'sink or swim' ".
08:43 pm у SLNOS, про которую я писал, появилась публичная репа. есть torbrowser и Nix пакеты.
и ещё, писали тут как синхронизировать фаилики можно между своими компутерами. у меня есть одна машина дома за NATом, я туда хожу по ssh over tor, а синкаю с помощью rsync over ssh over tor вот так:
на машине, куда: ничего кроме установленных ssh (и поднятого как hidden service), socat (или netcat) и rsync не нужно.
удобно тем, что не нужен статический IP адрес, не нужно покупать домен, V{D,P}S, не нужно верить в то, что dropbox/googledrive/yandex.disk не наебут и не удалят всё/забанят/etc. вообще ничего не надо.
МОСКВА, 29 дек — РИА Новости. Бабушкинский суд Москвы в субботу приговорил к десяти годам колонии националиста Максима Марцинкевича (известного под прозвищем Тесак) за нападения на людей, которых он считал наркоторговцами, сообщила РИА Новости пресс-секретарь суда Мария Боровикова.
"Суд назначил Марцинкевичу наказание в виде десяти лет лишения свободы в колонии строгого режима", — сказала она.
03:30 am помер киндл, купленный в 2011 году. удобная была читалка, держала заряд неделями, стоила даже по тогдашним меркам копейки. что сейчас для этого можно купить? надо, чтобы умело fb2, mobi, pdf (djvu и всякое другое опционально). с экрана компутера читать неудобно, смартфона нет и покупать из-за этого не хочу, а с собой таскать что-то хочется.
07:09 pm писали тут, когда rms отказался удалять шутку про abort(), что дедушка старенький, что же будет, когда он помрёт. вся надежда, что линус займёт его место. а теперь кто у нас остаётся?
03:03 pm Когда то я думал, что Акабур медленно игры пилит. Но сейчас это место по праву принадлежит вам. Это самая жестокая ситуация, что происходила со мной на этом форуме. Честно сказать, ваша игра была самой ожидаемой после того, как Акабур свои довыпустил. Я ожидал выход этой игры сразу как только узнал, что вы будете её делать. Меня когда предыдущая девушка бросила, это было больно, пару месяцев. Но по сравнению с тем как жалит ваша игра, это несопоставимые величины. Каждый раз когда я вижу, что тема обновилась, я в надежде несусь её читать, смотрю там 0.00001А и думаю: "они просто название темы забыли поменять", но нет, здесь всё то же. Это больно, обидно и неприятно. Я очень не люблю когда об меня вытирают ноги, а вдвойне сложней, когда это делают те, кто стали проводником в мир порнографических игр. Ваша обработка Ведьмы стала глотком свежего воздуха когда обычная порнуха уже приелась. И как мне себя чувствовать когда меня настолько жёстко кидают? Посмотрите хотя бы на это: Good Girl Gone Bad отличная игра с разносторонним сюжетом, где решения в процессе игры влияют (действительно влияют) на остальной сюжет, где есть разные варианты развития событий и игру хочется перепройти, чтоб узнать, а что если вон там сделать другой выбор? И они выпускают обновления раз в два месяца, иногда в месяц, где всегда есть контента на час игры. И там нет гринда! Больно мне ребят.
