И так и эдак кручу, и всякую дичь про «Remember me»-куку читаю, и всё равно ни с какого боку не могу понять, каким образом галка «Remember me» в принципе может быть совместима с защитой от CSRF.

Там же вся идея в том, что при редиректе/сабмите с bad.com на good.com, браузер передаст куки good.com и залогинет юзера. Какая разница, будет там простенький session id или навороченная хрень? Оба же передадутся, оба залогинят юзера, и привет CSRF. Разница НЯП только в невозможности брутфорса навороченного session id.

Единственный способ защиты от CSRF – вообще не использовать куки, гнать session id вручную (заголовком или в теле), но тогда сессия теряется при закрытии вкладки. И при открытии внутренней ссылки в новой вкладке – тоже теряется.

UPD. В общем, похоже всё упирается в «ослабленную версию защиты», где GET не требует токена, но может его возвращать, чтобы потом сайт передавал его с POST. А внешний сайт-контроллер не сможет выдрать токен из GET-ответа, чтобы подсунуть его в POST.

При этом всё норм (дискретка не включается) при проигрывании:

• видео в mpv из консоли;
• видео в vlc gui;
• mp3 в smplayer.

Настроек в smplayer чёт не вижу подходящих. Куда копать?

https://t.me/dataleak/3085

Проанализировали пароли из утечки форума системных администраторов sysadmins.ru.👇

Из более чем 169 тыс. пар эл. почта/пароль 68% являются уникальными, т.е. ранее не встречались в фиксируемых нами утечках. 👍

Где тег «какая ирония»? Нормальных тегов не нашёл, тега «без тегов» тоже.

Втыкаю телефон в комп, включаю на телефоне USB Tethering, USB Debugging и так уже включён, вижу вот такое:

# ifconfig
...

usb0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::718e:88cf:4c2a:44a6  prefixlen 64  scopeid 0x20<link>
        ether ae:20:8a:93:57:8d  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 60  bytes 20808 (20.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

...

Как бы мне IPv4 получить?

У меня dhcpcd в качестве менеджера сети. Впрочем, дебажился с помощью dhclient -v. Через wifi hotspot всё работает.

Хотя можно и в разрезе eth0 / wlan0, просуммировать и сам уж как-нибудь смогу.

Нынешний провайдер никаких данных не предоставляет, даже помесячно.

Я в размышлениях, не переехать ли мне в глушь где нет кабеля, и какой мобильный тариф мне потребуется, чтобы не ограничивать себя.

Эт как так?! С кавычками или без.

$ env AAA="BBB" echo "$AAA"

$

Если после обновления nvidia blob и перезагрузки, я удаляю каталог ~game/.cache/nvidia/GLCache/blablabla (он у меня один, старые я чищу), то при запуске игрушка поначалу бешено тормозит, перекомпиляя всё что ей нужно по требованию.

А если я каталог не удаляю, то рядом создаётся другой каталог GLCache/blublublu, и в нём размер файлов скомпилятых шейдеров растёт, но игра не тормозит.

Получается, новый драйвер видит и загружает скомпилированные шейдеры старого драйвера, но при этом копирует (или перекомпилирует без задержки игры?) их в свою новую базу?

И что за уроды придумали зафигачить его НАД меню?

UPD. Над собственно списком сообщений тоже бесполезная почти пустая плашка-заголовок появилась.

Сабжевый мем в прошлом часто использовался применительно к Роскомнадзору. Но у него, как оказалось, есть и другие применения.

Последние 2-3 дня я усиленно гуглил про magisk, zygisk, shamiko, xposed, lsposed, hide my applist и всё вокруг этого. Как оно там внутри устроено, особо не вникал: zygisk инжектится в зиготу, lsposed тоже куда-то там инжектится, в общем «сунул Инжект Инжект в Инжект». Боюсь, по тем куцым обрывочным сведениям, что нагугливались, и не понять: надо смотреть API, т.е. нафиг не надо. Но главное, что в итоге я прохавал, кто за что отвечает, и таки сумел их всех поставить и настроить.

Под LineageOS.

Хотя к слову, детектор от автора HMA тоже отработал на 100.0% – и скрытый magisk нашёл, и сам HMA, и всё остальное тоже. Детектор – либа, бери и юзай. У меня только один вопрос: ладно когда кто-то продаёт оружие обеим сторонам конфликта, но HMA и детектор – бесплатные; в чём смысл?

Где-то здесь мой камент, удалённый с сабжевой формулировкой. Чтобы мне его увидеть (а заодно удалившего его умника), мне надо разигнорить того, кому я отвечал, но влом, так что чисто по памяти: с каких пор жаргонизм «лялих» стал сабжем?

Взял я тут значицца вот это чудо. Никаких исследований-гуглений на тему совместимости с линуксом не проводил (гыгы), т.к. (1) по цене/фичастости/наличию-в-магазине других вариантов не было; (2) написано ж «без ОС» – значит должен и линукс встать (гыгы2).

Не подскажет ли кто чего по следующим проблемам? (artix, для простоты считаем что арч, ядро 6.1.32)

1. Иксы на встройке amdgpu завёл: одного xf86-video-amdgpu не хватило, при старте иксов оно срало в dmesg [drm:dm_plane_helper_prepare_fb [amdgpu]] *ERROR* Failed to pin framebuffer with error -12 и давало чёрный экран; поставил рядышком amdgpu-pro – поехало (хотя ошибку в dmesg всё равно срёт).

1.1. При переходе в tty (Ctrl+Alt+F1) – чёрный экран, пока вслепую не залогинишься и не остановишь иксы. :/

[SOLVED] 1.2. С какой стороны подойти к включению nvidia – хз. Помню для intel+nvidia (optimus) был bumblebee, и он у меня даже работал, а для amd+nvidia есть какие-нибудь толковые инструкции?

В биосе есть флажок «при загрузке всегда врубать dGPU / оставлять основным iGPU и пусть ОС разбирается через панель управления nvidia», так вот при выборе «всегда dGPU» загрузка линукса тупо виснет. Лечится через acpi=off: при включённом ACPI ядро срёт в dmesg огромным количеством ошибок-багов ACPI, но загружается при выключенном dGPU или выключенном acpi. Но при acpi=off драйвер nvidia ругается – ему надо acpi. И ЕМНИП в режиме dGPU поди теперь вспомни каким образом, у меня максимум что получалось – курсор на чёрном экране (при этом в слепую можно было открывать консоль, и курсор менял форму в области невидимого окна консоли).

2. «Network controller: MEDIATEK Corp. MT7922 802.11ax PCI Express Wireless Network Adapter» – в dmesg драйвер матерится (по-разному при включении и перезагрузке, но последняя строчка одинаковая: «hardware init failed»), и вот тут в списке железа моего 713PI нет. Видимо без шансов, пока в ядре чего поновее не появится?

3. «Audio device: Advanced Micro Devices, Inc. [AMD] Family 17h/19h HD Audio Controller» – уши работают, спикер нет (только в линуксе; когда биос показывает лого – спикер проигрывает музыку). Alsamixer показывает автоматическое переключение уровней громкости при втыкании/вытыкании ушей, и никаких других ошибок/криминала тоже не нашёл. Вообще хз куда смотреть, бред какой-то. В качестве временного решения купил крошечные колонки.

Тыц. У них тоже импортозамещение идёт. Правда, учитывая легендарное качество чипов (или только драйверов?) Broadcom, с удовольствием посмотрю на последствия.

В 90х учили язык Си, и сейчас учат язык Си.
Но есть нюанс.

https://t.me/bbbreaking/149893

В ФГАУ НИИ Восход произошла утечка биометрических данных граждан РФ, Казахстана и Беларуси, сообщает источник РВНП.

Одним из проектов НИИ Восход является ПВДНП (система выдачи электронных паспортов, включая подсистему обработки персданных и биометрии).

В сеть попала продуктивная база данных системы за весь период её существования (с 2006 года). По предварительной версии, утечка произошла внутри, злоумышленник после увольнения воспользовался заложенными в систему уязвимостями, проник в систему и скачал продуктивную базу данных. В настоящее время по выявленным нарушениям Московской прокуратурой проводится проверка, сообщил источник.

https://www.kaspersky.ru/blog/telegram-why-nobody-uses-secret-chats/34543/

В теории это конечно в Security, да только кто ж его читает?

https://t.me/dataleak/2850

Мошенники дружно открывают заготовленное на Новый Год шампанское.

https://www.yaplakal.com/forum1/topic2548022.html

Если бы не гарантированные утечки личных данных, я бы сказал, что это прекрасно. Впрочем, если региться будут требовать через госуслуги, то в плане утечек мало что изменится.

Насколько глубоко способно залезть мне в телефон приложение, имеющее права на установку других приложений? Или там какие-то спец. API для этого, и компрометация данных других приложений невозможна?

// Мне чтобы госуслуги и банки удобно было устанавливать и обновлять.

// Тема подходит и для форума mobile, и для security, и – главное – для срача, так что в talks.

Я подписан на ТГ-канал «утечки информации». Движуха там знатная: ни дня без новостей, в т.ч. регулярно пробегает всякий крупняк: сбер, ростелеком, ржд, даже региональные базы госуслуг случались. Я ещё понимаю, когда сначала выставляют на продажу, но большинство новостей – сразу «в открытый доступ». Кто и зачем этим занимается?

https://glav.su/forum/threads/1658709