☑️ Todo.txt — открытый текстовый формат файла списка задач, который удобно просматривать и изменять в обычном текстовом редакторе.
Вы можете прямо сейчас создать текстовый файл
В новой странице на Kool Tech Вики я написал небольшое руководство формата и советы. Также есть подборка приложений, дополняющих функциональность: sleek, Markor, ntodotxt, Simpletask
https://kooltechtricks.org/wiki/todo-txt
@KoolTechTricks / #article #notetaking #productivity
Вы можете прямо сейчас создать текстовый файл
todo.txt и начать записывать туда свои задачи. Есть несколько простых правил: даты, приоритеты, метки проектов и контекстов. Они построены таким образом, чтобы было удобно читать и изменять файл в обычном текстовом редакторе, легко искать и сортировать задачи. Кроме того, он без проблем открывается в любом совместимом приложении, и нет необходимости мигрировать данные.В новой странице на Kool Tech Вики я написал небольшое руководство формата и советы. Также есть подборка приложений, дополняющих функциональность: sleek, Markor, ntodotxt, Simpletask
https://kooltechtricks.org/wiki/todo-txt
@KoolTechTricks / #article #notetaking #productivity
Kool Tech Tricks
Todo.txt
Todo.txt — открытый текстовый формат файла списка задач, который удобно просматривать и изменять в обычном текстовом редакторе. Специальные приложения дополняют функциональность.
👀1
☀️ Breezy Weather — приложение прогноза погоды для Android. Имеет красивый дизайн (Material 3 Expressive), простой интерфейс и гибкие настройки. Поддерживается более 50 источников прогноза погоды, по умолчанию используется Open-Meteo. Уважает конфиденциальность пользователей.
Вы можете просматривать прогноз погоды по дням и часам в пределах до 16 дней: температура, качество воздуха, ветер, УФ-индекс, осадки, влажность, давление, качество воздуха, предупреждения и другие. Эта информация размещается в карточках, порядок и отображение которых можно настроить. Предоставляется множество виджетов для главного экрана, живые обои и наборы значков.
📥 Скачать Breezy Weather:
- GitHub (breezy-weather-vX.Y.Z_standard.apk)
- F-Droid
- Подробная инструкция по установке
#android@KoolTechTricks
Вы можете просматривать прогноз погоды по дням и часам в пределах до 16 дней: температура, качество воздуха, ветер, УФ-индекс, осадки, влажность, давление, качество воздуха, предупреждения и другие. Эта информация размещается в карточках, порядок и отображение которых можно настроить. Предоставляется множество виджетов для главного экрана, живые обои и наборы значков.
📥 Скачать Breezy Weather:
- GitHub (breezy-weather-vX.Y.Z_standard.apk)
- F-Droid
- Подробная инструкция по установке
#android@KoolTechTricks
👍1
Kool Tech Tricks
☀️ Breezy Weather — приложение прогноза погоды для Android. Имеет красивый дизайн (Material 3 Expressive), простой интерфейс и гибкие настройки. Поддерживается более 50 источников прогноза погоды, по умолчанию используется Open-Meteo. Уважает конфиденциальность…
🌧 Rain — ещё одно приложение погоды. Использует Open-Meteo в качестве источника данных. Имеет красивый современный интерфейс, но меньше возможностей.
Доступно в Google Play, GitHub и IzzyOnDroid (сторонний репозиторий F-Droid). Версия floss не содержит проприетарных библиотек.
@KoolTechTricks / #android
Доступно в Google Play, GitHub и IzzyOnDroid (сторонний репозиторий F-Droid). Версия floss не содержит проприетарных библиотек.
@KoolTechTricks / #android
♻️ File Converter — простое конвертирование файлов в Windows: аудио, видео, изображения, документы. Добавляет действия в контекстное меню, что позволяет выполнять операции в пару кликов. Можно настроить пресеты.
Для операций используются библиотеки FFmpeg и ImageMagick — они предустанавливаются вместе с программой. Для конвертации документов (doc, ppt, xls и т.п.) требуется Microsoft Office.
Скачать: https://file-converter.io/download.html
Исходный код: https://github.com/Tichau/FileConverter
@KoolTechTricks / #files #windows
Для операций используются библиотеки FFmpeg и ImageMagick — они предустанавливаются вместе с программой. Для конвертации документов (doc, ppt, xls и т.п.) требуется Microsoft Office.
Скачать: https://file-converter.io/download.html
Исходный код: https://github.com/Tichau/FileConverter
@KoolTechTricks / #files #windows
👀1
🪟 GlazeWM — плиточный оконный менеджер (Tiling window manager) для Windows 10/11. Вдохновлён i3 и Polybar.
Плиточные оконные менеджеры управляют расположением окон автоматически. Окна занимают максимальное место на экране, поровну разделяя пространство между другими. Управление осуществляется преимущественно клавиатурой, а конфигурация выполняется в текстовом файле.
Этот концепт знаком пользователям Linux и может быть даже macOS. Теперь его можно опробовать и в Windows, но с некоторыми ограничениями (проблематично назначить кнопку Win, нельзя убрать декорации окон). Тем не менее справляется со своей задачей хорошо.
GlazeWM — единый исполняемый файл, который можно скачать с GitHub или через WinGet (
@KoolTechTricks / #windows
Плиточные оконные менеджеры управляют расположением окон автоматически. Окна занимают максимальное место на экране, поровну разделяя пространство между другими. Управление осуществляется преимущественно клавиатурой, а конфигурация выполняется в текстовом файле.
Этот концепт знаком пользователям Linux и может быть даже macOS. Теперь его можно опробовать и в Windows, но с некоторыми ограничениями (проблематично назначить кнопку Win, нельзя убрать декорации окон). Тем не менее справляется со своей задачей хорошо.
GlazeWM — единый исполняемый файл, который можно скачать с GitHub или через WinGet (
winget install GlazeWM). Не требует прав администратора и не изменяет параметров реестра. Можно добавить в автозагрузку. Конфигурация находится в файле C:\Users\<ПОЛЬЗОВАТЕЛЬ>\.glaze-wm\config.yaml, в нём можно настроить поведение, правила окон, клавиши, панель. Смотрите документацию.@KoolTechTricks / #windows
💾 Инструменты для сохранения веб-страниц в один HTML-файл
Встроенная в браузер функция "Сохранить как..." оставляет кучу файлов, и страница отображается некорректно. Есть инструменты, которые сохраняют копию страницы, упаковывая все изображения, таблицы стилей (CSS), скрипты (JavaScript) в один HTML-файл.
1. Расширение для браузера SingleFile. Сохранённый файл является полной копией страницы с браузера — в неё включены скрипты (JavaScript), авторизация, модификации других расширений. Доступно для Firefox (ПК и Android), Chromium, Safari, а также в качестве консольной программы.
2. Консольная программа Monolith. Лучше всего подходит для сохранения статичных сайтов, так как не может самостоятельно выполнять код JavaScript (для этого требуется воспользоваться внешним браузером), а для авторизации нужно передать файлы cookie. Программа написана на языке Rust и доступна для всех платформ.
@KoolTechTricks / #browser #files #internet
Встроенная в браузер функция "Сохранить как..." оставляет кучу файлов, и страница отображается некорректно. Есть инструменты, которые сохраняют копию страницы, упаковывая все изображения, таблицы стилей (CSS), скрипты (JavaScript) в один HTML-файл.
1. Расширение для браузера SingleFile. Сохранённый файл является полной копией страницы с браузера — в неё включены скрипты (JavaScript), авторизация, модификации других расширений. Доступно для Firefox (ПК и Android), Chromium, Safari, а также в качестве консольной программы.
2. Консольная программа Monolith. Лучше всего подходит для сохранения статичных сайтов, так как не может самостоятельно выполнять код JavaScript (для этого требуется воспользоваться внешним браузером), а для авторизации нужно передать файлы cookie. Программа написана на языке Rust и доступна для всех платформ.
@KoolTechTricks / #browser #files #internet
GitHub
GitHub - gildas-lormeau/SingleFile: Web Extension for saving a faithful copy of a complete web page in a single HTML file
Web Extension for saving a faithful copy of a complete web page in a single HTML file - gildas-lormeau/SingleFile
👀1
🪶 Quillpad — простое приложение для заметок на Android. Полностью бесплатное и с открытым исходным кодом. Без рекламы, не спрашивает лишних разрешений и не публикует заметки куда-либо без вашего ведома.
По умолчанию используется формат Markdown: можно изменять стиль текста, добавлять гиперссылки, заголовки, цитаты, изображения, списки и не только. Заметки можно конвертировать в список задач, чтобы проще отслеживать прогресс.
Заметки можно группировать по блокнотам, закреплять, прятать, архивировать и искать. К ним можно добавить теги, прикрепить файлы, создать напоминание.
Вы можете делать резервные копии вручную или синхронизировать с Nextcloud.
📥 Скачать: Google Play / GitHub / F-Droid
@KoolTechTricks :// #android #notetaking
По умолчанию используется формат Markdown: можно изменять стиль текста, добавлять гиперссылки, заголовки, цитаты, изображения, списки и не только. Заметки можно конвертировать в список задач, чтобы проще отслеживать прогресс.
Заметки можно группировать по блокнотам, закреплять, прятать, архивировать и искать. К ним можно добавить теги, прикрепить файлы, создать напоминание.
Вы можете делать резервные копии вручную или синхронизировать с Nextcloud.
📥 Скачать: Google Play / GitHub / F-Droid
@KoolTechTricks :// #android #notetaking
👍1
📝 Markor — универсальный текстовый редактор для Android. Поддерживает Markdown, Todo.txt, CSV, HTML, AsciiDoc и множество других форматов. Все создаваемые и редактируемые файлы полностью совместимы с другими приложениями.
Возможности:
- Обзор файлов, добавление каталогов и файлов в избранное
- Рендер текстовых форматов таких как Markdown
- Просмотр изображений, видео, аудио и их метаданных
- Экспорт как PDF, HTML, изображение
- Вкладки для быстрой навигации, можно настроить пути по умолчанию
- Список задач (Todo.txt)
- Быстрая заметка (Markdown)
- Многооконный режим
- Гибкая настройка
📥 Скачать: GitHub / F-Droid
@KoolTechTricks :// #android #files #notetaking
Возможности:
- Обзор файлов, добавление каталогов и файлов в избранное
- Рендер текстовых форматов таких как Markdown
- Просмотр изображений, видео, аудио и их метаданных
- Экспорт как PDF, HTML, изображение
- Вкладки для быстрой навигации, можно настроить пути по умолчанию
- Список задач (Todo.txt)
- Быстрая заметка (Markdown)
- Многооконный режим
- Гибкая настройка
📥 Скачать: GitHub / F-Droid
@KoolTechTricks :// #android #files #notetaking
👀1
📊 Самые популярные приложения в F-Droid
F-Droid является свободным каталогом приложений для Android, уважающим конфиденциальность пользователей. Поэтому там нет каких-либо метрик, трекеров и, следовательно, сортировок по популярности. По крайней мере так я раньше думал.
Ещё с 2021 года ведётся конфиденциальный сбор данных, который включает в себя количество скачиваний приложений. Недавно один из участников проекта создал скрипт для компоновки данных, а разработчик DivestOS создал сайт с популярными приложениями. В списке более 1000 приложений, на каждое можно нажать, чтобы увидеть график. Считаются скачивания только из официального репозитория F-Droid.
Вот первые 10 приложений по среднему количеству установок за неделю (ещё 40 в комментариях). Судя по всему они очень нестабильные, и меняются хаотично.
1. Termux (эмулятор терминала): 225 926
2. F-Droid (клиент F-Droid): 69 435
3. Aurora Store (клиент Google Play): 29 208
4. Fennec F-Droid (браузер на основе Firefox): 14 874
5. Seal (приложение yt-dlp): 12 584
6. OsmAnd~ (карты OpenStreetMap): 11 076
7. Mull (браузер на основе Firefox): 11 008
8. DAVx⁵ (клиент CalDAV/CardDAV): 10 788
9. InnerTune (клиент YouTube Music): 10 215
10. Droid-ify (клиент F-Droid): 10 004
@KoolTechTricks / #android #stats
F-Droid является свободным каталогом приложений для Android, уважающим конфиденциальность пользователей. Поэтому там нет каких-либо метрик, трекеров и, следовательно, сортировок по популярности. По крайней мере так я раньше думал.
Ещё с 2021 года ведётся конфиденциальный сбор данных, который включает в себя количество скачиваний приложений. Недавно один из участников проекта создал скрипт для компоновки данных, а разработчик DivestOS создал сайт с популярными приложениями. В списке более 1000 приложений, на каждое можно нажать, чтобы увидеть график. Считаются скачивания только из официального репозитория F-Droid.
Вот первые 10 приложений по среднему количеству установок за неделю (ещё 40 в комментариях). Судя по всему они очень нестабильные, и меняются хаотично.
1. Termux (эмулятор терминала): 225 926
2. F-Droid (клиент F-Droid): 69 435
3. Aurora Store (клиент Google Play): 29 208
4. Fennec F-Droid (браузер на основе Firefox): 14 874
5. Seal (приложение yt-dlp): 12 584
6. OsmAnd~ (карты OpenStreetMap): 11 076
7. Mull (браузер на основе Firefox): 11 008
8. DAVx⁵ (клиент CalDAV/CardDAV): 10 788
9. InnerTune (клиент YouTube Music): 10 215
10. Droid-ify (клиент F-Droid): 10 004
@KoolTechTricks / #android #stats
👀1
🏠 Используем локальный ИИ
Нейросети от компаний OpenAI, Microsoft и других очень удобны, но крайне небезопасны для использования. Во-первых, они натренированы на закрытом наборе данных (риск нарушения авторского права). Во-вторых, они сами могут использовать личные данные для дальнейшего обучения (риск утечек). К тому же эти компании могут ограничивать доступ и требовать оплатить подписку для использования всех функций.
Поэтому стоит избегать сервисов таких компаний и запускать локальный ИИ на своём компьютере или сервере. Такие нейросети с открытым исходным кодом и полностью подвластны пользователю. Можно использовать открытую модель или натренировать на своих данных. Конечно, для запуска ИИ требуется неслабый компьютер (минимум 8 ГБ ОЗУ, 2-4+ ГБ видеопамяти, 4-10+ ГБ места на диске для моделей).
1. GPT4All — чат-бот, который работает локально без подключения к интернету (опционально можно согласиться на вклад в обучение общей модели). Довольно простой в установке и использовании, пойдёт даже на не самом мощном железе без GPU. При помощи плагина LocalDocs можно использовать локальные документы для генерации ответов (никакие файлы не покидают компьютер, если не использовать онлайн-модель). Скачать модели можно прямо в интерфейсе программы, там же имеется их описание, лицензии и характеристики.
2. Stable Diffusion Web UI — веб-интерфейс для генерации изображений на локальном компьютере с использованием дискретной видеокарты. Можно натренировать модель на своих изображениях или использовать готовую.
3. krita-ai-diffusion — плагин для Krita, добавляющий функциональность генерации и расширения изображений. ИИ можно запустить как локально, так и на своём сервере. Он призван обеспечить то же, что и «Генеративное заполнение/Расширение» в Adobe Photoshop, и даже больше. Но Photoshop — проприетарная программа, распространяющаяся по подписке. Krita — бесплатная, свободная программа с открытым исходным кодом.
@KoolTechTricks / #ai #collection #selfhost
Нейросети от компаний OpenAI, Microsoft и других очень удобны, но крайне небезопасны для использования. Во-первых, они натренированы на закрытом наборе данных (риск нарушения авторского права). Во-вторых, они сами могут использовать личные данные для дальнейшего обучения (риск утечек). К тому же эти компании могут ограничивать доступ и требовать оплатить подписку для использования всех функций.
Поэтому стоит избегать сервисов таких компаний и запускать локальный ИИ на своём компьютере или сервере. Такие нейросети с открытым исходным кодом и полностью подвластны пользователю. Можно использовать открытую модель или натренировать на своих данных. Конечно, для запуска ИИ требуется неслабый компьютер (минимум 8 ГБ ОЗУ, 2-4+ ГБ видеопамяти, 4-10+ ГБ места на диске для моделей).
1. GPT4All — чат-бот, который работает локально без подключения к интернету (опционально можно согласиться на вклад в обучение общей модели). Довольно простой в установке и использовании, пойдёт даже на не самом мощном железе без GPU. При помощи плагина LocalDocs можно использовать локальные документы для генерации ответов (никакие файлы не покидают компьютер, если не использовать онлайн-модель). Скачать модели можно прямо в интерфейсе программы, там же имеется их описание, лицензии и характеристики.
2. Stable Diffusion Web UI — веб-интерфейс для генерации изображений на локальном компьютере с использованием дискретной видеокарты. Можно натренировать модель на своих изображениях или использовать готовую.
3. krita-ai-diffusion — плагин для Krita, добавляющий функциональность генерации и расширения изображений. ИИ можно запустить как локально, так и на своём сервере. Он призван обеспечить то же, что и «Генеративное заполнение/Расширение» в Adobe Photoshop, и даже больше. Но Photoshop — проприетарная программа, распространяющаяся по подписке. Krita — бесплатная, свободная программа с открытым исходным кодом.
@KoolTechTricks / #ai #collection #selfhost
👍3👀1
👤 Kool Tech Tricks получает собственную аватарку!
Больше года лицом проекта служила временная картинка с таксом, но я не хотел ассоциировать проект с линуксом.
И так, я нарисовал новую аватарку. На ней изображён непингвин, который станет маскотом проекта. У меня совсем мало опыта работы с векторной графикой, но я постарался сделать эту картинку как можно лучше.
Новая аватарка появится везде постепенно, чтобы я заранее смог получить обратную связь и внести необходимые правки.
Исходный файл SVG будет находиться в репозитории на GitHub. Также там можно будет найти и другие художественные работы, ссылки, тексты в профиле. Содержимое доступно по лицензии CC BY-NC-SA 4.0. По желанию вы сможете предложить свои изменения.
#meta
Больше года лицом проекта служила временная картинка с таксом, но я не хотел ассоциировать проект с линуксом.
И так, я нарисовал новую аватарку. На ней изображён непингвин, который станет маскотом проекта. У меня совсем мало опыта работы с векторной графикой, но я постарался сделать эту картинку как можно лучше.
Новая аватарка появится везде постепенно, чтобы я заранее смог получить обратную связь и внести необходимые правки.
Исходный файл SVG будет находиться в репозитории на GitHub. Также там можно будет найти и другие художественные работы, ссылки, тексты в профиле. Содержимое доступно по лицензии CC BY-NC-SA 4.0. По желанию вы сможете предложить свои изменения.
#meta
🔥1👀1
Kool Tech Tricks
👤 Kool Tech Tricks получает собственную аватарку! Больше года лицом проекта служила временная картинка с таксом, но я не хотел ассоциировать проект с линуксом. И так, я нарисовал новую аватарку. На ней изображён непингвин, который станет маскотом проекта.…
✒️ Аватарку я рисовал в программе Inkscape. Возможно, вы её уже знаете. Это программа для работы с векторной графикой, то есть элементы изображения задаются математическими выражениями, из-за чего картинку можно масштабировать без потери качества.
Inkscape — полностью свободная и бесплатная программа. В ней нет никаких платных подписок и аккаунтов в отличие от Adobe Illustrator или Affinity Designer. Файлы сохраняются в открытом формате SVG, который поддерживается всеми программами. Таким образом, все работы всегда будут доступны каждому независимо от каких-либо условий. Также здесь можно редактировать PDF.
В Inkscape крайне просто научиться работать. В меню Справка есть учебники, которые содержат основы работы, они открываются в самой программе. Также можно найти видеоруководства на YouTube.
Скачать можно на Windows, Linux и macOS: https://inkscape.org/release/
@KoolTechTricks / #graphics #software
Inkscape — полностью свободная и бесплатная программа. В ней нет никаких платных подписок и аккаунтов в отличие от Adobe Illustrator или Affinity Designer. Файлы сохраняются в открытом формате SVG, который поддерживается всеми программами. Таким образом, все работы всегда будут доступны каждому независимо от каких-либо условий. Также здесь можно редактировать PDF.
В Inkscape крайне просто научиться работать. В меню Справка есть учебники, которые содержат основы работы, они открываются в самой программе. Также можно найти видеоруководства на YouTube.
Скачать можно на Windows, Linux и macOS: https://inkscape.org/release/
@KoolTechTricks / #graphics #software
Kool Tech Tricks
⛔️ Переход на Manifest V3 возвращается в Chrome В манифесте указывается информация о расширении и разрешения для него. Текущая версия позволяет свободно фильтровать и изменять весь код страницы, на чём основаны блокировщики рекламы и трекеров. В Google считают…
🚮 Google начинает избавляться от расширений на Manifest V2 в Chrome
Manifest V3 (MV3) должен улучшить безопасность и производительность расширений. Это достигается введением ограничений на фильтрацию трафика и внешние обновления. Из-за этого блокировщики рекламы и трекеров, такие как uBlock Origin, лишатся своей былой эффективности. Пользователи станут более уязвимы для сбора данных и рекламы: не все трекеры будут блокироваться, а списки фильтров не смогут обновляться часто.
В каталоге Chrome расширения на MV2 уже утратили статус "Рекомендованное", и в ближайшие месяцы браузер будет предлагать заменить "устаревшие" расширения. Вместо uBlock Origin следует использовать Lite-версию.
Google будет и дальше ослаблять блокировку рекламы и трекеров. Изменения могут затронуть и другие браузеры Chromium (Edge, Opera, Яндекс). В Brave и Ungoogled Chromium планируется оставить MV2. Firefox работает на своём движке Gecko, Mozilla не планирует убирать поддержку MV2 в нём.
@KoolTechTricks / #browser #google #news
Manifest V3 (MV3) должен улучшить безопасность и производительность расширений. Это достигается введением ограничений на фильтрацию трафика и внешние обновления. Из-за этого блокировщики рекламы и трекеров, такие как uBlock Origin, лишатся своей былой эффективности. Пользователи станут более уязвимы для сбора данных и рекламы: не все трекеры будут блокироваться, а списки фильтров не смогут обновляться часто.
В каталоге Chrome расширения на MV2 уже утратили статус "Рекомендованное", и в ближайшие месяцы браузер будет предлагать заменить "устаревшие" расширения. Вместо uBlock Origin следует использовать Lite-версию.
Google будет и дальше ослаблять блокировку рекламы и трекеров. Изменения могут затронуть и другие браузеры Chromium (Edge, Opera, Яндекс). В Brave и Ungoogled Chromium планируется оставить MV2. Firefox работает на своём движке Gecko, Mozilla не планирует убирать поддержку MV2 в нём.
@KoolTechTricks / #browser #google #news
This media is not supported in your browser
VIEW IN TELEGRAM
📧 Вход в аккаунт Microsoft во время первоначальной настройки Windows 11 больше нельзя обойти привычными способами
Сейчас, чтобы создать локальную учётную запись Windows, нужно либо отключить интернет, либо ввести неверные данные (почта
Однако недавно Зак Боуден обнаружил, что в последней тестовой сборке Windows 11 24H2 (выйдет осенью 2024) эти способы больше не работают. После ввода неверных данных предлагается ввести другие. Также невозможно продолжить без интернета.
Остаются следующие способы обхода:
- Открыть терминал (Shift+F10) и ввести OOBE\BYPASSNRO, после перезагрузки отключить интернет.
- Создать загрузочную флешку в Rufus, где можно убрать требование учётной записи.
- Создать пользователя через терминал
Эти способы сложнее применить. Возможно, OOBE/BYPASSNRO тоже уберут. Таким образом, Microsoft вынудит больше людей подключиться к их онлайн-сервисам.
@KoolTechTricks / #microsoft #news #tricks #windows
Сейчас, чтобы создать локальную учётную запись Windows, нужно либо отключить интернет, либо ввести неверные данные (почта
a@a.a и пароль a). Кнопки "продолжить без входа" больше нет, на это жаловался даже Илон Маск.Однако недавно Зак Боуден обнаружил, что в последней тестовой сборке Windows 11 24H2 (выйдет осенью 2024) эти способы больше не работают. После ввода неверных данных предлагается ввести другие. Также невозможно продолжить без интернета.
Остаются следующие способы обхода:
- Открыть терминал (Shift+F10) и ввести OOBE\BYPASSNRO, после перезагрузки отключить интернет.
- Создать загрузочную флешку в Rufus, где можно убрать требование учётной записи.
- Создать пользователя через терминал
Эти способы сложнее применить. Возможно, OOBE/BYPASSNRO тоже уберут. Таким образом, Microsoft вынудит больше людей подключиться к их онлайн-сервисам.
@KoolTechTricks / #microsoft #news #tricks #windows
This media is not supported in your browser
VIEW IN TELEGRAM
💉 На GitHub обнаружили CSS-инъекцию (уже исправлена)
Самые умные пользователи сайта получили возможность украсить свои профили почти как в Steam, и даже лучше. Эта уязвимость срабатывает при рендере текста Markdown, а на нём держится весь GitHub: страницы проектов и организаций, Issues, Pull Requests, Релизы, Вики.
На самом деле это довольно опасная уязвимость. Кое-кто уже догадался разместить большую мигающую Discord-ссылку на весь экран в комментариях к отчётам об ошибках. Ссылки на изображения не кэшируются, поэтому можно узнать IP-адрес пользователей. Даже можно написать скрипт, который приводит к выходу из аккаунта. Так как Markdown используется на сайте почти везде, заходить на любые страницы становится опасно.
Конечно же эту уязвимость быстро исправили. Но потом это исправление обошли. На текущий момент CSS-инъекция исправлена. В веб-архиве есть сохранённые копии страниц с уязвимостью.
@KoolTechTricks / #news
Самые умные пользователи сайта получили возможность украсить свои профили почти как в Steam, и даже лучше. Эта уязвимость срабатывает при рендере текста Markdown, а на нём держится весь GitHub: страницы проектов и организаций, Issues, Pull Requests, Релизы, Вики.
На самом деле это довольно опасная уязвимость. Кое-кто уже догадался разместить большую мигающую Discord-ссылку на весь экран в комментариях к отчётам об ошибках. Ссылки на изображения не кэшируются, поэтому можно узнать IP-адрес пользователей. Даже можно написать скрипт, который приводит к выходу из аккаунта. Так как Markdown используется на сайте почти везде, заходить на любые страницы становится опасно.
Конечно же эту уязвимость быстро исправили. Но потом это исправление обошли. На текущий момент CSS-инъекция исправлена. В веб-архиве есть сохранённые копии страниц с уязвимостью.
@KoolTechTricks / #news
Kool Tech Tricks
💉 На GitHub обнаружили CSS-инъекцию (уже исправлена) Самые умные пользователи сайта получили возможность украсить свои профили почти как в Steam, и даже лучше. Эта уязвимость срабатывает при рендере текста Markdown, а на нём держится весь GitHub: страницы…
Уязвимость исправлена, а теперь о том, как она работала: https://x.com/vmfunc/status/1799296194855784859
Вот так выглядит готовый код:
После первого исправления уязвимости, обходной путь был найден путём замены обратного слеша на его шестнадцатеричный код:
Представьте, что вы строите замок из лего, и есть тайный тоннель (назовём его "уязвимость"), который люди могут использовать, чтобы изменить вещи в вашем замке. В этом случае замком является страница профиля на GitHub, а тайный тоннель — это LaTeX.
Обычно, LaTeX используется для написания математических формул. Но мы нашли способ поместить туда особый код, который говорит странице загрузить CSS (который изменяет то, как выглядят вещи, например, делает кирпичи лего блестящими или разноцветными). Когда GitHub видит этот код, он пытается понять LaTeX, но вместо этого загружает CSS, что изменяет страницу.
\ce{}: Это команда в LaTeX, которая обычно помогает написать химические уравнения.
$\: Обычно, в LaTeX символ обратного слэша начинает команду. Но здесь он написан таким образом, что он обходит некоторые проверки.
unicode[goombafont; css_здесь;]: Эта часть даёт особые инструкции. Она говорит: "Используй этот шрифт (goombafont), чтобы избежать стандартного "контекста", а также добавь этот CSS (css_здесь)". CSS — эта часть, которая изменяет внешний вид страницы GitHub.
{x0000}: Целевой символ юникода, но вместо этого мы используем 0000 (пустой символ).
Вот так выглядит готовый код:
\ce{$\unicode[goombafont; css_здесь]{x0000}$}После первого исправления уязвимости, обходной путь был найден путём замены обратного слеша на его шестнадцатеричный код:
\ce{$\unicode[goombafont; css_здесь]{x0000}$}🧱 Guilded (альтернатива Discord) теперь требует привязки аккаунта к Roblox, чтобы продолжить пользоваться сервисом
Discord в последнее время разочаровывает своими нововведениями: переход на уникальные имена пользователей вместо дискриминаторов (#0000), редизайн мобильного приложения, реклама (спонсорские квесты). Поэтому некоторые пытаются перейти на альтернативы.
Guilded привлекает своим многообразием возможностей, всё доступно бесплатно. Но это такая же закрытая централизованная платформа как и Discord. Более того, в 2021 году её приобрела публичная компания Roblox. Разработчики Guilded обещали, что это не скажется на пользовательском опыте.
Теперь же, с 15 июля 2024 года все аккаунты Guilded должны быть привязаны к аккаунту Roblox, чтобы продолжить пользоваться платформой. Даже если это изменение отменят, доверие к платформе уже не вернуть. Лояльные пользователи и партнёры массово отказываются от использования. Скорее всего, Guilded больше никому не будет нужен.
https://watch-guilded-die.lol/
Пользователи Guilded хотят иметь свободную, а не бездушную корпоративную платформу. Однако это невозможно, потому что она всегда была проприетарной и централизованной. Поэтому на ней кто-то всегда будет иметь власть над своими пользователями. До 2021 года это была независимая частная компания, а после — публичная компания Roblox.
Почему-то многие этого до сих пор не понимают и возвращаются в Discord, предлагая экспортировать туда все свои чаты. Некоторые всё же решают попробовать более свободные платформы. Например, Matrix является не только открытым, но и децентрализованным, благодаря чему ни одна компания не сможет заставить пользователей принимать нежелаемые изменения. Revolt хоть и с открытым исходным кодом сервера и клиента, но пользователи разных экземпляров сервера не смогут общаться друг с другом. Платформа принадлежит группе энтузиастов, которые занимаются проектом в свободное время.
@KoolTechTricks / #internet #news
Discord в последнее время разочаровывает своими нововведениями: переход на уникальные имена пользователей вместо дискриминаторов (#0000), редизайн мобильного приложения, реклама (спонсорские квесты). Поэтому некоторые пытаются перейти на альтернативы.
Guilded привлекает своим многообразием возможностей, всё доступно бесплатно. Но это такая же закрытая централизованная платформа как и Discord. Более того, в 2021 году её приобрела публичная компания Roblox. Разработчики Guilded обещали, что это не скажется на пользовательском опыте.
Теперь же, с 15 июля 2024 года все аккаунты Guilded должны быть привязаны к аккаунту Roblox, чтобы продолжить пользоваться платформой. Даже если это изменение отменят, доверие к платформе уже не вернуть. Лояльные пользователи и партнёры массово отказываются от использования. Скорее всего, Guilded больше никому не будет нужен.
https://watch-guilded-die.lol/
Пользователи Guilded хотят иметь свободную, а не бездушную корпоративную платформу. Однако это невозможно, потому что она всегда была проприетарной и централизованной. Поэтому на ней кто-то всегда будет иметь власть над своими пользователями. До 2021 года это была независимая частная компания, а после — публичная компания Roblox.
Почему-то многие этого до сих пор не понимают и возвращаются в Discord, предлагая экспортировать туда все свои чаты. Некоторые всё же решают попробовать более свободные платформы. Например, Matrix является не только открытым, но и децентрализованным, благодаря чему ни одна компания не сможет заставить пользователей принимать нежелаемые изменения. Revolt хоть и с открытым исходным кодом сервера и клиента, но пользователи разных экземпляров сервера не смогут общаться друг с другом. Платформа принадлежит группе энтузиастов, которые занимаются проектом в свободное время.
@KoolTechTricks / #internet #news