https://blog.filippo.io/giving-up-on-long-term-pgp/

Для Ъ:

Я ни разу не возвращаюсь на плейнтекст. Но я не буду больше держать долговременных публичных ключей. Я собираюсь пользовать Signal или WhatsApp, которые обеспечивают гораздо лучшую endpoint-безопасность на iOS, эфемеральность и более прямую ротацию ключей.

http://scarybeastsecurity.blogspot.ru/2016/11/0day-exploit-compromising-linux...

Для Ъ:

sudo rm /usr/lib/x86_64-linux-gnu/gstreamer-0.10/libgstnsf.so

Для ЪЪ: дырка в gstreamer-плагине для nsf-файлов.

По ссылке — исполнение произвольного кода. О том, что из него на десктопе с иксами можно получить рута, все и без меня знают.

http://www.securityfocus.com/bid/93304/discuss

TL;DR: в несвежем ядре (в upstream пофикшено в марте) — remote code execution/DoS. В андроиды прилетело только что. Последняя уязвимая версия — 3.19.3

Чтобы заюзать эту уязвимость, нужен юзерспейс-софт, делающий recvmmsg. На домашних системах его обычно нет.

https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/

Для Ъ хватит заголовка

Сабж Для Ъ:

1. Install Minecraft: minecraft.net

   The Minecraft client hasn't been modified, just get the official release.

2. Pull or build Dockercraft image:

   docker pull dockercraft

   or

   git clone git@github.com:docker/dockercraft.git docker build -t dockercraft dockercraft

3. Run Dockercraft container:

   docker run -t -i -d -p 25565:25565 -v /var/run/docker.sock:/var/run/docker.sock --name dockercraft dockercraft

   Mounting /var/run/docker.sock inside the container is necessary to send requests to the Docker remote API.

   The default port for a Minecraft server is 25565, if you prefer a different one: -p <port>:25565

   Open Minecraft > Multiplayer > Add Server

   The server address is the IP of Docker host. No need to specify a port if you used the default one.

   If you're using Docker Machine: docker-machine ip <machine_name>

4. Join Server!

   You should see at least one container in your world, which is the one hosting your Dockercraft server.

   You can start, stop and remove containers interacting with levers and buttons. Some Docker commands are also supported directly via Minecraft's chat window, which is displayed by pressing the T key (default) or / key.

Пруф.

Ъ:

Called Linux.Encoder.1 the ransomware will encrypt your MySQL, Apache, and home/root folders. The system then asks for a single bitcoin to decrypt the files.

Once launched with administrator privileges, the Trojan dubbed Linux.Encoder.1 downloads files containing cybercriminals’ demands and a file with the path to a public RSA key.

TL;DR: теперь ССЗБ без бекапов можно стать и под линуксами.

http://git.busybox.net/busybox/commit/?id=accd9eeb719916da974584b33b1aeced5f3...

Для Ъ:

remove systemd support

systemd people are not willing to play nice with the rest of the world. Therefore there is no reason for the rest of the world to cooperate with them.

Свежая бумага про то, каким решетом является x86: http://blog.invisiblethings.org/2015/10/27/x86_harmful.html

Никаких новых атак не описано, просто систематизирована информация о существующих. 40+ страниц инглиша.

Сабж, цитируемый и избавленный от изнасилования журналистами. Влияет только музыка, не слова. Эффект может быть как позитивный, так и негативный. Музыка влияет на настроение и фМРТ подтверждает это. Результаты могут быть использованы в терапии.

Тут: https://www.jyu.fi/hum/laitokset/musiikki/en/research/coe/materials/emotion/s... можно скачать музыку из эксперимента.

Дискасс, что ли.

https://github.com/cosmologicon/pywat

Предлагаю померяться скором в прилагаемом quiz'е.

https://miteshshah.github.io/sysadmin/terminal-escape-sequences-the-new-xss-f...

Ъ:

$ printf '#!/bin/bash\necho doing something evil!\nexit\n\033[2Aecho doing something very nice!\n' > backdoor.sh

$ chmod +x backdoor.sh

$ cat backdoor.sh
#!/bin/bash
echo doing something very nice!

$ ./backdoor.sh
doing something evil!

Я про это: https://github.com/raine/ramda-cli

Юзкейсы напоминают jq, но полностью на JS и соответственно умеет подключать любой модуль из npm в обмен на тормоза. Ну и дофига ФП.

Перемещено true_admin из talks

Сабж. В приложениях хрома (chrome://apps) теперь есть Youtube, которое делает вроде как одну вещь — обходит adblock и скрывает кнопку skip на видеорекламе.

Энжой юр хром.

UPDATE: Тут обсуждение бага. Хроморазработчики заявляют, что это случайный баг, возникший при впиливании security-фикса, подробности которого пока не могут раскрыть и советуют удалить YouTube из chrome://apps тем, кого затронуло.

Для !Ъ: раз срач, два срач

Контекст: PyParallel — форк py3 с сохранением GIL и прочего, умеющий в многоядерность и линейно (!) скалящийся при этом. Проект в альфе с прицелом на то, чтобы влиться в py4. На данный момент оно состоит из платформо-пофигистических изменений в cpython и жёстко привязанной к оффтопику платформозависимой части (но если оно будет вливаться в cpython, то кроссплатформенным оно рано или поздно будет). Производительность выглядит неплохой для альфы.

Trent Nelson, разработчик всего этого а заодно core python commiter, высказывается:

(цитата для Ъ)

You could port PyParallel to Linux or OS X — there are two parts to the work I’ve done: a) the changes to the CPython interpreter to facilitate simultaneous multithreading (platform agnostic), and b) the pairing of those changes with Windows kernel primitives that provide completion-oriented thread-agnostic high performance I/O. That part is obviously very tied to Windows currently.

So if you were to port it to POSIX, you’d need to implement all the scaffolding Windows gives you at the kernel level in user space. <...> you’d have to manage your threadpools yourself, and each thread would have to have its own epoll/kqueue event loop. The problem with adding a file descriptor to a per-thread event loop’s epoll/kqueue set is that it’s just not optimal if you want to continually ensure you’re saturating your hardware (either CPU cores or I/O). <...>

As soon as you issue a blocking file I/O call on one of those threads, you have one thread less doing useful work, which means you’re increasing the time before any other file descriptors associated with that thread’s multiplex set can be served, which adversely affects latency. And if you’re using the threads == ncpu pattern, you’re going to have idle CPU cycles because, say, only 6 out of your 8 threads are in a runnable state. <...> The best example of how that manifests as an issue in real life is make –jN world — where N is some magic number derived from experimentation, usually around ncpu*2. Too low, you’ll have idle CPUs at some point, too high and the CPU is spending time doing work that isn’t directly useful. There’s no way to say make –j<just-do-whatever-you-need-to-do-to-either-saturate-my-I/O-channels-or-CPU-cores-or-both>

<...>with Windows, it’s a completely different situation. The whole kernel is architected around the notion of I/O completion and waitable events, not “file descriptor readiness”. This seems subtle but it pervades every single aspect of the system. The cache manager is tightly linked to the memory management and I/O manager – once you factor in asynchronous I/O this becomes incredibly important because of the way you need to handle memory locking for the duration of the I/O request and the conditions for synchronously serving data from the cache manager versus reading it from disk. The waitable events aspect is important too – there’s not really an analog on UNIX. Then there’s the notion of APCs instead of signals which again, are fundamentally different paradigms. The digger you deep the more you appreciate the complexity of what Windows is doing under the hood.

Дискасс.

TL;DR: ему лень писать уйму низкоуровневого клея для линуксов когда в винде внезапно оказались подходящие примитивы, с которыми всё просто работает.

Перемещено true_admin из talks

https://github.com/lfit/itpol/blob/master/linux-workstation-security.md

Для Ъ немного выдержек:

• System supports SecureBoot (CRITICAL)
• UEFI boot mode is used (not legacy BIOS) (CRITICAL)
• SecureBoot is enabled (CRITICAL)
• Distro choice: Fully supports UEFI and SecureBoot (CRITICAL)
• Firefox for work and high security sites; NoScript (CRITICAL)
• Use a password manager (CRITICAL)

Дискасс, в общем. Особенно интересно мнение любителей legacy и биоса. Ну и нелюбителей SecureBoot.

Пруф. Дискасс.

Приглашаются любители KOI8-R.

https://blog.mozilla.org/futurereleases/2015/05/21/help-test-changes-to-new-t...

https://blog.mozilla.org/advancingcontent/2015/05/21/providing-a-valuable-pla...

https://blog.mozilla.org/advancingcontent/2015/03/10/mozillas-mission-in-the-...

https://bugzilla.mozilla.org/show_bug.cgi?id=1120311

Обещают, что не будут продавать души пользователей рекламодателям. Браузер будет сам тянуть Рекомендуемые Тайлы™ с серверов Мозиллы, основываясь на истории посещённых страниц.

Мозилловцы не будут специально проверять работоспособность адблока с этим экраном.

https://blog.mozilla.org/advancingcontent/files/2015/05/KYTFK3YKa_Fu5czxt2dM4... — как это будет выглядеть.

http://trilema.com/2015/full-disclosure-4096-rsa-key-in-the-strongset-factored/

По непонятной причине один из множителей оказался до неприличия маленьким. Возможно, баг в софте. Если этот софт до сих пор не пропатчен — heartbleed покажется мелочью.

Линукс тут очень даже при чём. Первый найденный ключ — GPG-ключ этого человека

RSA НЕ СЛОМАН, но известные ключи, уже находящиеся в паблике, могут быть гораздо слабее, чем предполагалось.

UPD: https://news.ycombinator.com/item?id=9561091

'Troll hunting' algorithm could make web a better place.

The study, funded by Google, looked at the behaviour of internet trolls over time to see what eventually resulted in them being banned.

Users who ended up being permanently banned from sites demonstrated a very clear set of behaviours and characteristics. From the get-go, the quality of their posts was far worse than those by other users, and continued to degrade over time. As well being «harder to understand according to standard readability metrics», posts written by trolls tended to be more likely to contain «language that may stir conflict», including negative words and profanities.

http://www.onebigfluke.com/2015/01/experimentally-verified-why-client-side.html

Для Ъ: там про Angular and templating и конкретно про абзац

Populating an HTML page with default data is a server-side job because there is no reason to do it on the client, and every reason for not doing it on the client. It is a needless performance hit that can easily be avoided by a server-side templating system such as JSP or ASP.

с замерами времени на десктопном/мобильном хромом до начала/конца отрисовки страницы на примере котиков.