И такое бывает.

Виновник: http://amp.gs/n97w

Накопилось немного баек.

Вот рассказ о том, как Ларри Эллисон (Oracle) тридцать лет назад пытался выгнать профессора Университета Висконсина с работы за правдивый бенчмарк Oracle

https://danluu.com/anon-benchmark/

С тех пор в Oracle долгие годы была политика не-найма людей из этого университета, а в соглашение пользователя был добавлен явный запрет на бенчмарки, который переняли многие другие вендоры.

Эрик Рэймонд (тот самый, автор «The Cathedral and the Bazaar») пишет о недавнем прорыве в языках программирования, хоронит C и C++ и ставит в пример Go и Rust.

Обязательное чтиво, часть 1: http://amp.gs/nOLv
часть 2: http://amp.gs/nOLg

Продолжение сериала про современный фронтенд в Rails. Часть 2: создание оболочки чата из CSS+JS+ERB компонентов (Webpacker полностью заменяет Asset Pipeline). Пошаговая инструкция.

http://amp.gs/nSAh

Обнаружена шикарная тема (userChrome) для нового Firefox Quantum — то, как на самом деле должен выглядеть темный режим браузера.

http://amp.gs/nSXz

В недавнем опросе на реддите /r/rust про применение Rust для веб-приложений по рекомендациям с большим отрывом «победил» фреймворк Rocket: http://amp.gs/nAQg

Обратите внимание, что для него нужен Rust Nightly, который проще всего поставить через rustup: http://amp.gs/nAQV

Тут свежий State of JS подвезли. Картина, конечно, неполная, но хотя бы какая-то https://stateofjs.com

Observatory by Mozilla — отличный инструмент для того, чтобы разом проверить сайты на все неудачные настройки по безопасности.

https://observatory.mozilla.org/

HTTP: заголовки и сертификаты
SSH: поправить список алгоритмов
Другое: разом проверка на нескольких хороших инструментах

В эфире финальная часть сериала про современный фронтенд в Rails. Рассказываем, как использовать Action Cable с Webpacker и как деплоить "sprocketless" приложение на Хероку (есть тонкость). Для тех, кто пишет вместе с нами код — финальная версия в репо.

http://amp.gs/nF4h

Этим субботним утром хотим вас порадовать оффтопиком про Телеграм.

У Телеграма теперь есть два официальных клиента под iOS — один обычный Telegram, другой Telegram X (https://itunes.apple.com/ru/app/telegram-x/id898228810?mt=8), переписанный на Swift с добавленными красивыми темами, но без приложения к часам, например. Официальные — оба. Обновляются — оба.

Напомним, что параллельно у Телеграма есть два официальных (!) клиента для macOS: мультиплатформа Telegram Desktop https://torg.tg-me.sbs/ и Telegram для Mac https://torg.tg-me.sbs/. Официальные — оба. Обновляются — оба.

Ждем третьего клиента под каждую платформу, пока слишком просто.

Как всегда, под католическое Рождество, вышла новая версия Ruby

https://www.ruby-lang.org/en/news/2017/12/25/ruby-2-5-0-released/

Из нового — очередное усложнение синтаксиса, интересный yield_self для чейнинга и много небольших улучшений.

Не вздумайте обновляться перед праздниками (как и деплоить новые версии своих проектов, вообще).

Также из хороших новостей для рубистов — MJIT для Ruby, про который мы уже писали (JIT для MRI, разрабатывается для проекта 3×3) уже почти вмержен в Ruby и можно ожидать его в 2.6 релизах

http://amp.gs/nbjF

Лучший pull request 2017 года
http://amp.gs/GIb1

Вот список из десяти новых СУБД, которые вышли в уходящем году https://medium.com/@peterc/a-look-at-ten-new-database-systems-released-in-2017-94a3aa4c2aab

И новогодний подарок от Basecamp, ex-37 signals: JavaScript-фреймворк Stimulus

https://github.com/stimulusjs/stimulus

По задумке это анти-фреймворк, который работает с Turbolinks и не тянет на себя интерфейс целиком. Все, как любят в Basecamp.

https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/ с Новым Годом!

Добро пожаловать в ад!

*Что*

https://meltdownattack.com/

Meltdown / Spectre, худшие уязвимости ИТ за последние годы. Heartbleed и Krack по сравнению с ними — детский сад.

Из-за Meltdown обычный процесс может шариться во всей оперативной памяти — например, чтобы вытащить пароли или любые другие интересные данные. Подвержены все десктопные процессоры за последние десять лет, включая, судя по всему, и AMD.

Фиксить придется в операционных системах, в браузерах, словом — везде. Эксплойты есть даже на JavaScript (!).

Spectre же можно эксплуатировать вообще примерно везде, простого фикса нет и не предвидится.

Переводить детали уязвимостей не буду: кому интересно, прочитает и разберется по-английски, а кому нет — так и не надо.

*Подробнее и история*

Сайт про уязвимости, с моднейшими логотипами и названиями как из фильмов про хакеров, все как полагается:
https://meltdownattack.com/

Подробнейшее описание от обнаруживших проблемы, Google Project Zero (ссылайтесь в будущем на него, а не на рандомные статьи «о господи, все пропало»)
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

И JavaScript тоже:
https://twitter.com/mraleph/status/948683329359970304
https://twitter.com/migueldeicaza/status/948715833605459969

AMD поспешили заявить, что проблема в Intel (на этом фоне акции Intel упали и началась истерика). Оказывается, черта с два:
https://twitter.com/internetofshit/status/948684798570188806

Подробное и простое описание уязвимости от @FioraAeterna, инженера компиляторов и «твиттер-знаменитости»:
https://twitter.com/FioraAeterna/status/948684092333158400

Что делают команды ОС, чтобы хоть что-то заштопать:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf
https://twitter.com/aionescu/status/948818841747955713

Более-менее объяснение ситуации по-русски:
http://www.opennet.ru/opennews/art.shtml?num=47849

*И что теперь*

Активно можно сделать мало что — просто накатывать обновления по мере выхода.

На уязвимость какую-то время было эмбарго, в результате которого в самых последних версиях macOS и Windows уязвимость уже немного заштопана. Amazon AWS и Azure тоже обновились.

К сожалению, от фикса все начинает работать медленнее. Я несколько не доверяю оценке в «фикс делает все на 30% медленнее», которую растиражиловали СМИ (хайп, истерика, о чем бы еще написать), кто-то даже придумал 50%, но вот есть тред от пользователей AWS, где видно, насколько все медленее:
https://twitter.com/internetofshit/status/948682685601509377
https://twitter.com/timgostony/status/948682862844248065

И, конечно, браузеры тоже подвержены проблеме: существует эксплоит аж из JavaScript.

*Что делать*

Обязательно включить везде автообновления, в первую очередь на ОС и браузерах.

Придется обновиться на самые последние версии ОС. На старых версиях macOS отсидеться не получится, теперь действительно нужно обновляться на High Sierra.

Браузеры нужно обновить как только так сразу, однозначно есть уязвимость и в Google Chrome (хваленая изоляция не помогла), и в Firefox.

Часть облачных провайдеров уже обновилась, часть еще нет. В любом случае нужно ждать новых ядер для вашего дистрибутива и мгновенно обновляться. В январе ваши администраторы устроят вам перезагрузки серверов — если они не в спячке.

Все очень плохо, и масштаб проблемы (так же как и оценки того, мог ли ее кто-то эксплуатировать раньше) еще предстоит выяснить.

В LLVM (инфраструктура компиляторов, которой пользуется примерно все на macOS и iOS) появился патч для устранения части уязвимости Spectre. В треде на Hacker News — ссылка на патч и много интересных комментариев про то, что нас ждет в связи с уязвимостью

https://news.ycombinator.com/item?id=16070050

AMD, судя по всему, не затронуты первой уязвимостью

https://github.com/torvalds/linux/commit/00a5ae218d57741088068799b810416ac249a9ce#diff-678874d00bf0df04f6f427f16f1dea36R926

Хоть что-то.

Программист из Великобритании упоролся и сделал возможность стримить рабочий стол Linux (X) через SSH в текстовом виде

https://github.com/tombh/texttop

Оправдывается тем, что так проще в путешествиях с плохой связью ходить по Интернету

https://camo.githubusercontent.com/632c0f3d4d2aeb65162ab501bcec53fe6363db15/68747470733a2f2f692e696d6775722e636f6d2f6a583376684f342e676966