Вот список из десяти новых СУБД, которые вышли в уходящем году https://medium.com/@peterc/a-look-at-ten-new-database-systems-released-in-2017-94a3aa4c2aab
Medium
A Look at Ten New Database Systems Released in 2017
As editor of Database Weekly, a weekly newsletter on what’s new in the world of databases and data storage generally, I enjoy poking around…
И новогодний подарок от Basecamp, ex-37 signals: JavaScript-фреймворк Stimulus
https://github.com/stimulusjs/stimulus
По задумке это анти-фреймворк, который работает с Turbolinks и не тянет на себя интерфейс целиком. Все, как любят в Basecamp.
https://github.com/stimulusjs/stimulus
По задумке это анти-фреймворк, который работает с Turbolinks и не тянет на себя интерфейс целиком. Все, как любят в Basecamp.
GitHub
GitHub - hotwired/stimulus: A modest JavaScript framework for the HTML you already have
A modest JavaScript framework for the HTML you already have - GitHub - hotwired/stimulus: A modest JavaScript framework for the HTML you already have
Добро пожаловать в ад!
*Что*
https://meltdownattack.com/
Meltdown / Spectre, худшие уязвимости ИТ за последние годы. Heartbleed и Krack по сравнению с ними — детский сад.
Из-за Meltdown обычный процесс может шариться во всей оперативной памяти — например, чтобы вытащить пароли или любые другие интересные данные. Подвержены все десктопные процессоры за последние десять лет, включая, судя по всему, и AMD.
Фиксить придется в операционных системах, в браузерах, словом — везде. Эксплойты есть даже на JavaScript (!).
Spectre же можно эксплуатировать вообще примерно везде, простого фикса нет и не предвидится.
Переводить детали уязвимостей не буду: кому интересно, прочитает и разберется по-английски, а кому нет — так и не надо.
*Подробнее и история*
Сайт про уязвимости, с моднейшими логотипами и названиями как из фильмов про хакеров, все как полагается:
https://meltdownattack.com/
Подробнейшее описание от обнаруживших проблемы, Google Project Zero (ссылайтесь в будущем на него, а не на рандомные статьи «о господи, все пропало»)
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
И JavaScript тоже:
https://twitter.com/mraleph/status/948683329359970304
https://twitter.com/migueldeicaza/status/948715833605459969
AMD поспешили заявить, что проблема в Intel (на этом фоне акции Intel упали и началась истерика). Оказывается, черта с два:
https://twitter.com/internetofshit/status/948684798570188806
Подробное и простое описание уязвимости от @FioraAeterna, инженера компиляторов и «твиттер-знаменитости»:
https://twitter.com/FioraAeterna/status/948684092333158400
Что делают команды ОС, чтобы хоть что-то заштопать:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf
https://twitter.com/aionescu/status/948818841747955713
Более-менее объяснение ситуации по-русски:
http://www.opennet.ru/opennews/art.shtml?num=47849
*И что теперь*
Активно можно сделать мало что — просто накатывать обновления по мере выхода.
На уязвимость какую-то время было эмбарго, в результате которого в самых последних версиях macOS и Windows уязвимость уже немного заштопана. Amazon AWS и Azure тоже обновились.
К сожалению, от фикса все начинает работать медленнее. Я несколько не доверяю оценке в «фикс делает все на 30% медленнее», которую растиражиловали СМИ (хайп, истерика, о чем бы еще написать), кто-то даже придумал 50%, но вот есть тред от пользователей AWS, где видно, насколько все медленее:
https://twitter.com/internetofshit/status/948682685601509377
https://twitter.com/timgostony/status/948682862844248065
И, конечно, браузеры тоже подвержены проблеме: существует эксплоит аж из JavaScript.
*Что делать*
Обязательно включить везде автообновления, в первую очередь на ОС и браузерах.
Придется обновиться на самые последние версии ОС. На старых версиях macOS отсидеться не получится, теперь действительно нужно обновляться на High Sierra.
Браузеры нужно обновить как только так сразу, однозначно есть уязвимость и в Google Chrome (хваленая изоляция не помогла), и в Firefox.
Часть облачных провайдеров уже обновилась, часть еще нет. В любом случае нужно ждать новых ядер для вашего дистрибутива и мгновенно обновляться. В январе ваши администраторы устроят вам перезагрузки серверов — если они не в спячке.
Все очень плохо, и масштаб проблемы (так же как и оценки того, мог ли ее кто-то эксплуатировать раньше) еще предстоит выяснить.
*Что*
https://meltdownattack.com/
Meltdown / Spectre, худшие уязвимости ИТ за последние годы. Heartbleed и Krack по сравнению с ними — детский сад.
Из-за Meltdown обычный процесс может шариться во всей оперативной памяти — например, чтобы вытащить пароли или любые другие интересные данные. Подвержены все десктопные процессоры за последние десять лет, включая, судя по всему, и AMD.
Фиксить придется в операционных системах, в браузерах, словом — везде. Эксплойты есть даже на JavaScript (!).
Spectre же можно эксплуатировать вообще примерно везде, простого фикса нет и не предвидится.
Переводить детали уязвимостей не буду: кому интересно, прочитает и разберется по-английски, а кому нет — так и не надо.
*Подробнее и история*
Сайт про уязвимости, с моднейшими логотипами и названиями как из фильмов про хакеров, все как полагается:
https://meltdownattack.com/
Подробнейшее описание от обнаруживших проблемы, Google Project Zero (ссылайтесь в будущем на него, а не на рандомные статьи «о господи, все пропало»)
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
И JavaScript тоже:
https://twitter.com/mraleph/status/948683329359970304
https://twitter.com/migueldeicaza/status/948715833605459969
AMD поспешили заявить, что проблема в Intel (на этом фоне акции Intel упали и началась истерика). Оказывается, черта с два:
https://twitter.com/internetofshit/status/948684798570188806
Подробное и простое описание уязвимости от @FioraAeterna, инженера компиляторов и «твиттер-знаменитости»:
https://twitter.com/FioraAeterna/status/948684092333158400
Что делают команды ОС, чтобы хоть что-то заштопать:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf
https://twitter.com/aionescu/status/948818841747955713
Более-менее объяснение ситуации по-русски:
http://www.opennet.ru/opennews/art.shtml?num=47849
*И что теперь*
Активно можно сделать мало что — просто накатывать обновления по мере выхода.
На уязвимость какую-то время было эмбарго, в результате которого в самых последних версиях macOS и Windows уязвимость уже немного заштопана. Amazon AWS и Azure тоже обновились.
К сожалению, от фикса все начинает работать медленнее. Я несколько не доверяю оценке в «фикс делает все на 30% медленнее», которую растиражиловали СМИ (хайп, истерика, о чем бы еще написать), кто-то даже придумал 50%, но вот есть тред от пользователей AWS, где видно, насколько все медленее:
https://twitter.com/internetofshit/status/948682685601509377
https://twitter.com/timgostony/status/948682862844248065
И, конечно, браузеры тоже подвержены проблеме: существует эксплоит аж из JavaScript.
*Что делать*
Обязательно включить везде автообновления, в первую очередь на ОС и браузерах.
Придется обновиться на самые последние версии ОС. На старых версиях macOS отсидеться не получится, теперь действительно нужно обновляться на High Sierra.
Браузеры нужно обновить как только так сразу, однозначно есть уязвимость и в Google Chrome (хваленая изоляция не помогла), и в Firefox.
Часть облачных провайдеров уже обновилась, часть еще нет. В любом случае нужно ждать новых ядер для вашего дистрибутива и мгновенно обновляться. В январе ваши администраторы устроят вам перезагрузки серверов — если они не в спячке.
Все очень плохо, и масштаб проблемы (так же как и оценки того, мог ли ее кто-то эксплуатировать раньше) еще предстоит выяснить.
Google Online Security Blog
Today's CPU vulnerability: what you need to know
Posted by Matt Linton, Senior Security Engineer and Pat Parseghian, Technical Program Manager [Google Cloud, G Suite, and Chrome customers...
В LLVM (инфраструктура компиляторов, которой пользуется примерно все на macOS и iOS) появился патч для устранения части уязвимости Spectre. В треде на Hacker News — ссылка на патч и много интересных комментариев про то, что нас ждет в связи с уязвимостью
https://news.ycombinator.com/item?id=16070050
https://news.ycombinator.com/item?id=16070050
AMD, судя по всему, не затронуты первой уязвимостью
https://github.com/torvalds/linux/commit/00a5ae218d57741088068799b810416ac249a9ce#diff-678874d00bf0df04f6f427f16f1dea36R926
Хоть что-то.
https://github.com/torvalds/linux/commit/00a5ae218d57741088068799b810416ac249a9ce#diff-678874d00bf0df04f6f427f16f1dea36R926
Хоть что-то.
GitHub
Merge branch 'x86-pti-for-linus' of git://git.kernel.org/pub/scm/linu… · torvalds/linux@00a5ae2
…x/kernel/git/tip/tip
Pull x86 page table isolation fixes from Thomas Gleixner:
"A couple of urgent fixes for PTI:
- Fix a PTE mismatch between user and kernel visible mapping of the
cpu...
Pull x86 page table isolation fixes from Thomas Gleixner:
"A couple of urgent fixes for PTI:
- Fix a PTE mismatch between user and kernel visible mapping of the
cpu...
Программист из Великобритании упоролся и сделал возможность стримить рабочий стол Linux (X) через SSH в текстовом виде
https://github.com/tombh/texttop
Оправдывается тем, что так проще в путешествиях с плохой связью ходить по Интернету
https://camo.githubusercontent.com/632c0f3d4d2aeb65162ab501bcec53fe6363db15/68747470733a2f2f692e696d6775722e636f6d2f6a583376684f342e676966
https://github.com/tombh/texttop
Оправдывается тем, что так проще в путешествиях с плохой связью ходить по Интернету
https://camo.githubusercontent.com/632c0f3d4d2aeb65162ab501bcec53fe6363db15/68747470733a2f2f692e696d6775722e636f6d2f6a583376684f342e676966
GitHub
GitHub - browsh-org/browsh: A fully-modern text-based browser, rendering to TTY and browsers
A fully-modern text-based browser, rendering to TTY and browsers - GitHub - browsh-org/browsh: A fully-modern text-based browser, rendering to TTY and browsers
Есть еще замеры производительности «фикса» Meltdown из реального мира.
Сетевые сервисы Epic Games: https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update
antirez, автор Redis: https://gist.github.com/antirez/9e716670f76133ec81cb24036f86ee95
Сетевые сервисы Epic Games: https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update
antirez, автор Redis: https://gist.github.com/antirez/9e716670f76133ec81cb24036f86ee95
У JavaScriptеров опять праздник, leftpad 2018. Не вздумайте пока обновлять пакеты через npm и yarn.
https://github.com/npm/registry/issues/255
https://status.npmjs.org/incidents/41zfb8qpvrdj
https://github.com/npm/registry/issues/255
https://status.npmjs.org/incidents/41zfb8qpvrdj
GitHub
Many packages suddenly disappeared #255
https://www.npmjs.com/package/infinity-agent https://www.npmjs.com/package/timed-out https://www.npmjs.com/package/pinkie-promise All dependencies of webpack-related modules
Для того, чтобы участилось дыхание, совсем не нужно читать про Meltdown и Spectre. Можно почитать про npm и угон паролей и карт https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
HackerNoon
HackerNoon - read, write and learn about any technology
How hackers start their afternoon. HackerNoon is a free platform with 25k+ contributing writers. 100M+ humans have visited HackerNoon to learn about technology
Правительство Великобритании выпустило исходный код gov.uk, который многими считается образцовым государственным порталом.
Ссылка: http://amp.gs/GfgK
Очень много Ruby, очень много JS и Python.
Ссылка: http://amp.gs/GfgK
Очень много Ruby, очень много JS и Python.
GitHub
Government Digital Service
Government Digital Service has 1557 repositories available. Follow their code on GitHub.
Смотрите доклад Алексея Иванова с #FrontFest: React и данные: Эффективные способы хранения и изменения стейта
https://www.youtube.com/watch?v=6m950Hqr_eI
https://www.youtube.com/watch?v=6m950Hqr_eI
Stack Overflow подвели статистику жизненного цикла JavaScript-фреймворков и их выживаемости
https://stackoverflow.blog/2018/01/11/brutal-lifecycle-javascript-frameworks
Теперь спорить о том, сколько раз в год нужно все переписать, можно с фактами.
https://stackoverflow.blog/2018/01/11/brutal-lifecycle-javascript-frameworks
Теперь спорить о том, сколько раз в год нужно все переписать, можно с фактами.
Stack Overflow Blog
The Brutal Lifecycle of JavaScript Frameworks
JavaScript UI frameworks and libraries work in cycles. Every six months or so, a new one pops up, claiming that it has revolutionized UI development. Thousands of developers adopt it into their new projects, blog posts are written, Stack Overflow questions…
Курсовая работа по ANSI графике и связанной субкультуре.
https://spectrum.library.concordia.ca/7341/1/Hargadon_MA_S2011.pdf
Для тех, кто помоложе: это цветная псевдографика, которая вовсю использовалась при оформлении BBSок, в хакерзинах и многих других интересных местах — когда вместо интернета был модем на 56K и дозвон до BBSок и нод.
https://spectrum.library.concordia.ca/7341/1/Hargadon_MA_S2011.pdf
Для тех, кто помоложе: это цветная псевдографика, которая вовсю использовалась при оформлении BBSок, в хакерзинах и многих других интересных местах — когда вместо интернета был модем на 56K и дозвон до BBSок и нод.
Продолжаем про языки программирования: анонсирован вариант бейсика для Nintendo Switch (писать можно прямо на свитче):
https://www.fuze.co.uk/nintendo-switch.html
https://www.fuze.co.uk/nintendo-switch.html
FUZE
FUZE4 Nintendo Switch
Learn to code with FUZE for Nintendo Switch. Create and share your own games.
Coming Q2 2018
Coming Q2 2018
На Meltdown проблемы не заканчиваются, анонсирована еще парочка с красивым названием (пока без деталей), будем следить за сайтом
https://skyfallattack.com/
https://skyfallattack.com/
Обнаружен rbspy, изумительный семплирующий профайлер для Ruby.
https://github.com/rbspy/rbspy
Главная фишка — способность подключаться к уже работающему процессу без необходимости что-то в нем запускать (как с rbtrace). Написан на rust.
Нам очень нравится, уже помог поймать кое-что.
Подробно тут: https://jvns.ca/blog/2016/06/12/a-weird-system-call-process-vm-readv/
https://github.com/rbspy/rbspy
Главная фишка — способность подключаться к уже работающему процессу без необходимости что-то в нем запускать (как с rbtrace). Написан на rust.
Нам очень нравится, уже помог поймать кое-что.
Подробно тут: https://jvns.ca/blog/2016/06/12/a-weird-system-call-process-vm-readv/
GitHub
GitHub - rbspy/rbspy: Sampling CPU profiler for Ruby
Sampling CPU profiler for Ruby. Contribute to rbspy/rbspy development by creating an account on GitHub.
Отличный обзор нюансов, которые могут возникнуть при миграции с ActionCable на AnyCable http://amp.gs/G0OP
P.S. Для тех, кто задался вопросом «А что еще за AnyCable такой?», напоминательная ссылка: http://amp.gs/G0Oy
P.S. Для тех, кто задался вопросом «А что еще за AnyCable такой?», напоминательная ссылка: http://amp.gs/G0Oy
Medium
От Action к Any
English version: From Action To Any
А "Skyfall/Solace" атаки на деле оказались не очень умной шуткой
http://blog.erratasec.com/2018/01/skyfall-attack-was-attention-seeking.html
http://blog.erratasec.com/2018/01/skyfall-attack-was-attention-seeking.html
Erratasec
"Skyfall attack" was attention seeking
After the Meltdown/Spectre attacks, somebody created a website promising related "Skyfall/Solace" attacks. They revealed today that it was a...