MAJOR76
Хотел бы немного написать от себя, просто чтобы люди не питали надежд со всеми «мелкими фичами», которые постоянно ждут как от BSG, так и от любых других разработчиков.
MAJOR76 Сделал неплохо показав саму анимацию глазниц, она хорошая, но вот проблема проявляется когда казалось бы, такую маленькую деталь, мы идем реализовывать.
Помимо самой анимации, как в геймдеве, как в вебе, нам нужно не просто запихнуть ассет в игру/сайт но и написать логику того как это будет взаимодействовать с остальными частями приложения.
На этом этапе и возникают сложности.
1: Нам необходимо обновить структуру сетевых пакетов как на клиенте так и на сервере.
2: Изменить функции отвечающие за обработку этих пакетов, и что далее с ними делать.
3: Правки в классах отвечающих за этот компонент уже в его обработчике, а если это еще и процедурная анимация, то нам надо еще и получить и понять итоговую картину как эта анимация произошла.
Но и даже если реализовываь это исключительно как client-side, забыв про процедурку и синхронизацию, остается проблема производительности, когда клиенту необходимо обработать условные 10чвк + 20 ботов + боссов.
Что в итоге я хочу сказать, любое даже малейшее изменение, как движение глазниц, сопровождается рядом правок, которые тянут за собой сдесяток изменений, что особенно сложно в таких проектах как Тарков, где тонны костылей из-за 10лет накопившегося легаси.
MAJOR76 Сделал неплохо показав саму анимацию глазниц, она хорошая, но вот проблема проявляется когда казалось бы, такую маленькую деталь, мы идем реализовывать.
Помимо самой анимации, как в геймдеве, как в вебе, нам нужно не просто запихнуть ассет в игру/сайт но и написать логику того как это будет взаимодействовать с остальными частями приложения.
На этом этапе и возникают сложности.
1: Нам необходимо обновить структуру сетевых пакетов как на клиенте так и на сервере.
2: Изменить функции отвечающие за обработку этих пакетов, и что далее с ними делать.
3: Правки в классах отвечающих за этот компонент уже в его обработчике, а если это еще и процедурная анимация, то нам надо еще и получить и понять итоговую картину как эта анимация произошла.
Но и даже если реализовываь это исключительно как client-side, забыв про процедурку и синхронизацию, остается проблема производительности, когда клиенту необходимо обработать условные 10чвк + 20 ботов + боссов.
Что в итоге я хочу сказать, любое даже малейшее изменение, как движение глазниц, сопровождается рядом правок, которые тянут за собой сдесяток изменений, что особенно сложно в таких проектах как Тарков, где тонны костылей из-за 10лет накопившегося легаси.
Этот год был сложным наверное для всех, не хотелось бы идти в негатив, думаю мы сами понимаем что было с
Однако и во всем этом не забывал появляться лучик света и надежды. EFT тот-же дал наконец полный цикл сюжета, что и поставило точку в релизе.
Не забываем и про свои достижения, как про себя лично как итог, изучил множество технологий в бэке, реализовал несколько успешных проектов, и буду продолжать дальше в том-же духе.
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉2
И похоже, mitm в Telega оказался реальным.
PoC этого митма от Flowseal: https://github.com/Flowseal/telegaru-mitm-PoC
исходное расследование: https://dontusetelega.lol/analysis
ответы от Telega (получены от стримера лагода, точно кто писал их, не знаю): https://telegra.ph/Otvety-na-sostavlennye-voprosy-po-telega-kotorye-skidyvali-v-predlozhku-03-24
Из всего этого вывод только такой:
PoC этого митма от Flowseal: https://github.com/Flowseal/telegaru-mitm-PoC
исходное расследование: https://dontusetelega.lol/analysis
ответы от Telega (получены от стримера лагода, точно кто писал их, не знаю): https://telegra.ph/Otvety-na-sostavlennye-voprosy-po-telega-kotorye-skidyvali-v-predlozhku-03-24
Из всего этого вывод только такой:
MITM — доказанный факт. Рабочий Proof of Concept от Flowseal не оставляет ничего от заявлений Telega о "безопасности на всем протяжении соединения". Подмена серверов и ключей — это классическая, реализованная на практике MITM-атака.
Ответы Telega — это попытка манипуляции. Вместо конкретных технических деталей и опровержения по существу, используются общие фразы о "протоколе MTProto", "сессионной криптографии" и отговорки про "маленькую команду". Ответ на вопрос 6 — прямое противоречие тому, что демонстрирует PoC.
Сообщество (Flowseal, dontusetelega.lol) — полная, прозрачная и доказательная база была предоставленя. Вся цепочка атаки воспроизведена, закодирована и опубликована, включая логи перехваченных сообщений и примеры реализации.
Интересная история у меня вышла.
Есть такой "опенсурс" биллинг SHM. И грех у него, что интеграцию с платежками он, продает... за пару тысяч кровных.
И знаете... не люблю я платить за 50 строк кода по 5 тысяч, и провел небольшую работу чтобы понять как выглядят его шаблончики.
Скажу сразу, я реверсом занимаюсь впервые, потому может для тех кто много с такими вещами возились, покажется это банальщиной (раз уж даже я разобрался как это работает), впрочем не суть.😕
Чтож, к моему великому похождению в дебри бинарей перла!
Первым делом я достал фришный шаблончик для cryptocloud. Как оказалось это был запакованный бинарь... ну кто я такой чтобы не поковырять его
Прочитав .rodata бинаря обнаружил, что оказывается шаблон то его - просто распаковывает код и кладет в /tmp/perl_script* после чего исполняется и сразу удаляется.
Логика работы стала нам предельно понятна. Дело оставалось за малым. просто перехватить наш исходник, который любезно сам распаковался и попал мне прямо в руки.
Мы запускаем скрипт который мониторит и при появлении файла, копирует его.
docker exec -it shmcore bash -c 'while true; do cp /tmp/perl_script* /app/data/pay_systems/DUMPED.pl 2>/dev/null; if [ -s /app/data/pay_systems/DUMPED.pl ]; then echo "GOT IT!"; break; fi; done'
Далее в отдельном окне терминала выполняем наш скрипт:
docker exec -it shmcore /app/data/pay_systems/cryptocloud.cgi
Наш мониторинг выдаст после "GOT IT!"
т.е наш скриптик успешно сдампил, идем и читаем
docker exec -it shmcore cat /app/data/pay_systems/DUMPED.pl
Все, вот тут и появиться наш прекрасный файлик, теперь можем спокойно на основе него написать cgi под любую платежку.
Ну не прекрасен ли мир, что дарит нам такие вещи?)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1😈1
Горелкин
Российские разработчики заметили, что GitHub всё чаще оказывается недоступен. Процент неудачных соединений с платформой, которую многие отечественные программисты используют для совместной работы с кодом, превысил 16%. Интересно, что проблема коснулась только…
Будем честны: адекватных замен у нас нет. И не потому, что наши аналоги плохие - они-то внутри могут быть сделаны даже лучше.
Проблема в другом: на гитхабе лежат миллиарды строк кода.
И Горелкин тут как нельзя кстати, должен же быть козлом отпущения кто-то в моем посте? Вот и не надо было комментировать эту фигню. Хотя я бы как я люблю все повесил на РКН, того кто исполнитель бреда сия времени
...Возможно, они не в курсе, что GitHub уже давно принадлежит Microsoft. Эта компания не просто ушла из России, но занимается откровенным вредительством...
...Но от этой зависимости пора уходить – тем более есть хорошие отечественные аналоги...
К слову, даже при блокировках нихрена принципиально не поменяется, опыт с ВПН вас уже должен был хоть чему-то научить… Но вы упорно продолжаете... Да я даже таких слов не знаю чтобы прокомментировать какую хрень вы делаете.
Убежден, что уже через несколько лет фрагментация интернет-пространства перестанет восприниматься как нечто из ряда вон выходящее: вместо глобальных сервисов, к которым все привыкли, в разных странах будут появляться свои решения. Помню, как все смеялись над Китаем, который „изобретал колесо“ – но, похоже, такой подход просто опередил своё время
Да, аналоги есть… Хотел бы я сказать... тот же GitVerse, например, из тех, что я знаю. Но вот точно также у нас есть «аналоги» Ютуба, вроде мусорного ВК Видео. И что, много людей туда перешло? XD Нет.
Или ваш Макс, который скачали далеко не все, а те, кто скачал - сделали это только потому, что их заставили. Я ни разу в жизни не видел, чтобы этим скаМ мессенджером хоть кто-то реально был доволен. Но при этом даже ТЫ, Горелкин, сидишь и строчишь посты в как никак заблокированном Телеграме. Вам там методичку забыли выдать, что
Проблема каждого вашего аналога в том, что без кода, без контента, без адекватной защиты и прозрачности эти платформы нахуй никому не сдались.
В Китае, раз уж ты его вспомнил, многие платформы работают нормально. Там не блокируют сервисы просто потому, что кто-то там наверху захотел половить бабочек под стиральным порошком.
Да, цензура там жесткая, но их аналог GitHub - Gitee - взлетел НЕ потому, что они тупо забанили оригинал. Китайское государство годами вливало туда триллионы ресурсов, а внутренний рынок Китая и количество их разрабов физически огромны.
Я очень много наговорил про то, почему блокировать плохо. Но давайте будем объективны: сама идея централизации всего мирового кода под крылом одного майкрослопа - это тоже так себе история.
Но если вы реально хотите безопасности и суверенитета, почему нужно обязательно всё ломать? Сделайте дампы существующего OpenSource и организуйте простую настройку, чтобы всё то же самое, что лежит на гитхабе, можно было в один клик использовать на "отечественной платформе"
Вот у меня, например, есть собственный сервер git.unvidev.ru, работающий к слову, на том-же опенсурсе: на Forgejo.
Всё, что мне нужно для работы, я зеркалирую туда. У меня там крутятся публичные мои либы, и все что мне нужно (что-то в паблике, чтобы можно было качать спокойно, что-то приватно, но не важно). Суть в том, что всё, что я использую в разработке, у меня уже есть и автономно работает.
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚1🫡1