📧 Вход в аккаунт Microsoft во время первоначальной настройки Windows 11 больше нельзя обойти привычными способами

Сейчас, чтобы создать локальную учётную запись Windows, нужно либо отключить интернет, либо ввести неверные данные (почта a@a.a и пароль a). Кнопки "продолжить без входа" больше нет, на это жаловался даже Илон Маск.

Однако недавно Зак Боуден обнаружил, что в последней тестовой сборке Windows 11 24H2 (выйдет осенью 2024) эти способы больше не работают. После ввода неверных данных предлагается ввести другие. Также невозможно продолжить без интернета.

Остаются следующие способы обхода:
- Открыть терминал (Shift+F10) и ввести OOBE\BYPASSNRO, после перезагрузки отключить интернет.
- Создать загрузочную флешку в Rufus, где можно убрать требование учётной записи.
- Создать пользователя через терминал

Эти способы сложнее применить. Возможно, OOBE/BYPASSNRO тоже уберут. Таким образом, Microsoft вынудит больше людей подключиться к их онлайн-сервисам.

@KoolTechTricks / #microsoft #news #tricks #windows

💉 На GitHub обнаружили CSS-инъекцию (уже исправлена)

Самые умные пользователи сайта получили возможность украсить свои профили почти как в Steam, и даже лучше. Эта уязвимость срабатывает при рендере текста Markdown, а на нём держится весь GitHub: страницы проектов и организаций, Issues, Pull Requests, Релизы, Вики.

На самом деле это довольно опасная уязвимость. Кое-кто уже догадался разместить большую мигающую Discord-ссылку на весь экран в комментариях к отчётам об ошибках. Ссылки на изображения не кэшируются, поэтому можно узнать IP-адрес пользователей. Даже можно написать скрипт, который приводит к выходу из аккаунта. Так как Markdown используется на сайте почти везде, заходить на любые страницы становится опасно.

Конечно же эту уязвимость быстро исправили. Но потом это исправление обошли. На текущий момент CSS-инъекция исправлена. В веб-архиве есть сохранённые копии страниц с уязвимостью.

@KoolTechTricks / #news

Уязвимость исправлена, а теперь о том, как она работала: https://x.com/vmfunc/status/1799296194855784859

Представьте, что вы строите замок из лего, и есть тайный тоннель (назовём его "уязвимость"), который люди могут использовать, чтобы изменить вещи в вашем замке. В этом случае замком является страница профиля на GitHub, а тайный тоннель — это LaTeX.

Обычно, LaTeX используется для написания математических формул. Но мы нашли способ поместить туда особый код, который говорит странице загрузить CSS (который изменяет то, как выглядят вещи, например, делает кирпичи лего блестящими или разноцветными). Когда GitHub видит этот код, он пытается понять LaTeX, но вместо этого загружает CSS, что изменяет страницу.

\ce{}: Это команда в LaTeX, которая обычно помогает написать химические уравнения.

$\: Обычно, в LaTeX символ обратного слэша начинает команду. Но здесь он написан таким образом, что он обходит некоторые проверки.

unicode[goombafont; css_здесь;]: Эта часть даёт особые инструкции. Она говорит: "Используй этот шрифт (goombafont), чтобы избежать стандартного "контекста", а также добавь этот CSS (css_здесь)". CSS — эта часть, которая изменяет внешний вид страницы GitHub.

{x0000}: Целевой символ юникода, но вместо этого мы используем 0000 (пустой символ).

Вот так выглядит готовый код:

\ce{$\unicode[goombafont; css_здесь]{x0000}$}

После первого исправления уязвимости, обходной путь был найден путём замены обратного слеша на его шестнадцатеричный код:

\ce{$\unicode[goombafont; css_здесь]{x0000}$}

🧱 Guilded (альтернатива Discord) теперь требует привязки аккаунта к Roblox, чтобы продолжить пользоваться сервисом

Discord в последнее время разочаровывает своими нововведениями: переход на уникальные имена пользователей вместо дискриминаторов (#0000), редизайн мобильного приложения, реклама (спонсорские квесты). Поэтому некоторые пытаются перейти на альтернативы.

Guilded привлекает своим многообразием возможностей, всё доступно бесплатно. Но это такая же закрытая централизованная платформа как и Discord. Более того, в 2021 году её приобрела публичная компания Roblox. Разработчики Guilded обещали, что это не скажется на пользовательском опыте.

Теперь же, с 15 июля 2024 года все аккаунты Guilded должны быть привязаны к аккаунту Roblox, чтобы продолжить пользоваться платформой. Даже если это изменение отменят, доверие к платформе уже не вернуть. Лояльные пользователи и партнёры массово отказываются от использования. Скорее всего, Guilded больше никому не будет нужен.

https://watch-guilded-die.lol/

Пользователи Guilded хотят иметь свободную, а не бездушную корпоративную платформу. Однако это невозможно, потому что она всегда была проприетарной и централизованной. Поэтому на ней кто-то всегда будет иметь власть над своими пользователями. До 2021 года это была независимая частная компания, а после — публичная компания Roblox.

Почему-то многие этого до сих пор не понимают и возвращаются в Discord, предлагая экспортировать туда все свои чаты. Некоторые всё же решают попробовать более свободные платформы. Например, Matrix является не только открытым, но и децентрализованным, благодаря чему ни одна компания не сможет заставить пользователей принимать нежелаемые изменения. Revolt хоть и с открытым исходным кодом сервера и клиента, но пользователи разных экземпляров сервера не смогут общаться друг с другом. Платформа принадлежит группе энтузиастов, которые занимаются проектом в свободное время.

@KoolTechTricks / #internet #news

✍️ LanguageTool — программа для проверки грамматики более чем 20 языков с открытым исходным кодом. Находит множество ошибок, которые не могут обнаружить простые программы для проверки орфографии, а также предоставляет ссылку на правило. Обнаружение происходит на основе правил, можно создать свои. По своему опыту могу сказать, что обнаруживаются далеко не все ошибки.

Доступно в виде расширения для Chrome, Firefox и Safari; приложений для iOS, macOS и Windows; дополнений для LibreOffice, MS Office, Thunderbird и др.

Расширения и программы используют сервер languagetool.org по умолчанию. Регистрация не требуется. Без неё тексты не должны храниться на сервере и не должны использоваться для улучшения сервиса. Для некоторых функций требуется оплатить Premium-подписку.

Так как LanguageTool с открытым исходным кодом (написан на Java), возможно запустить на своём компьютере или сервере. Так вы можете быть уверены, что все ваши данные остаются под вашим контролем.

@KoolTechTricks / #ai #browser #selfhost

🥷 xdg-ninja — скрипт для проверки наличия нежелательных файлов и папок в домашней директории ($HOME). Он сканирует её и предоставляет инструкции по перемещению этих файлов в директории по спецификации XDG.

С давних пор у программ для Linux повелась традиция помещать свои файлы прямо в домашний каталог: ~/.mozilla, ~/.bashrc и др. Это может сильно засорять $HOME.

Поэтому в 2003 году придумали спецификацию XDG Base Directory. Согласно ей, по умолчанию все конфиги должны лежать в ~/.config, данные в ~/.local/share, кэш в ~/.cache. Многие программы начали ей следовать, но не все.

Некоторым таким программам можно задать путь согласно спецификации. Например, для Cargo нужно установить переменную $CARGO_HOME. Вам не нужно искать инструкции для каждой программы: xdg-ninja уже содержит всё необходимое.

Больше информации про поддержку спецификации XDG разными программами: https://wiki.archlinux.org/title/XDG_Base_Directory.

@KoolTechTricks / #files #linux

🔐 Безопасно храним пароли в KeePassXC

KeePassXC — менеджер паролей с открытым исходным кодом для Windows, macOS и Linux. В нём нет излишних функций, рекламы и платных подписок.

KeePassXC хранит всю информацию на вашем компьютере, а не на сервере, в отличие от многих других менеджеров паролей. Это гарантирует, что ваши конфиденциальные данные находятся у вас и ни у кого больше. Однако вам придётся самостоятельно заботиться о сохранности информации и периодически делать резервные копии. Тем не менее вы можете синхронизировать базу данных с облаком. Это полностью безопасно, так как никакие данные не сохраняются в незашифрованном виде на диске, следовательно, недоступны для прочтения сторонним лицам.

Файл с паролями хранится в зашифрованном виде в формате KDBX. Его можно открыть и в других программах, которые поддерживают этот формат. Это, например, сторонние мобильные приложения: KeePassDX для Android и KeePassium для iOS.

Я подготовил страницу про KeePassXC на Вики. Там вы найдёте всю подробную информацию про эту программу и базовое руководство по использованию: https://kooltechtricks.neocities.org/wiki/keepassxc

@KoolTechTricks / #security

🧩 Block Coding для Godot: визуальное программирование блоками

Этот плагин для движка Godot позволит легко создавать простые игры, благодаря блочному программированию. Такая концепция лежит в основе Scratch, но теперь она реализуется в мощном движке. Таким образом, начинающие смогут быстрее освоиться в создании игр, а затем плавно перейти к текстовому программированию.

Демонстрация: https://youtu.be/WlUN7Zz0Djg

Чтобы установить плагин Block Coding, нужно сначала найти его во вкладке AssetLib в окне движка и загрузить, а затем включить в настройках проекта. После этого появится возможность добавить узел BlockCode к объектам.

Плагин находится в ранней версии, ещё не реализована вся функциональность. Он с открытым исходным кодом, как и сам движок Godot. Доступна возможность напечатать блочный скрипт на языке GDScript.

@KoolTechTricks / #education #gamedev

🐞 Создать браузер с нуля никогда не поздно

Ladybird — проект по созданию независимого браузера с нуля. Он не использует никакие компоненты из Chromium (Blink), Firefox (Gecko) и WebKit. Разработка ведётся независимой некоммерческой организацией на деньги спонсоров и пожертвования. Организация будет заниматься только разработкой браузера, а спонсоры не смогут влиять на функциональность (никаких поисковиков по умолчанию за деньги).

Изначально Ladybird был частью SerenityOS, где всё создаётся с нуля в качестве хобби. Это не давало использовать никакие сторонние библиотеки и разрешало писать код только на C++. Теперь Ladybird развивается самостоятельно под крылом собственной организации и уже является серьёзным проектом. Бывший руководитель GitHub пожертвовал ей миллион долларов.

Выпуск первой альфа-версии Ladybird для Linux и macOS планируется летом 2026 года. Браузер находится в активной разработке, участвует 4 разработчика на полном рабочем дне. Сейчас его можно собрать из исходного кода и даже попробовать зайти на какие-то сайты, но текущая версия крайне нестабильная. В будущем браузер должен подходить для повседневного использования каждому.

Но зачем создавать браузер с нуля? Что не так с Firefox?

Сейчас все браузеры принадлежат крупным компаниям со своими интересами. Google вносит изменения в Chromium, чтобы показывать больше рекламы. Apple не хочет развивать WebKit за пределами своих устройств. Mozilla сильно зависит от Google, получая деньги за поисковик по умолчанию, и вместо фокуса на развитии Firefox вкладывается в сомнительные проекты.

Ladybird не будет принадлежать очередной компании со своими бизнес-интересами. Разработчики будут стараться учитывать пожелания сообщества, а также строго следовать веб-стандартам.

@KoolTechTricks / #news

🎹 Bosca Ceoil: The Blue Album (Bosca Ceoil Blue) — простая программа для создания музыки, в которой легко разобраться начинающим. Используя пошаговый секвенсор, вы можете создать что угодно: от простого ритма до сложного произведения. На выбор предлагается огромное множество инструментов. Доступен импорт и экспорт в файлы MIDI.

Bosca Ceoil Blue — это современный порт программы Bosca Ceoil Терри Кавана, в котором сохранено всё, что сделало оригинал таким удобным и интуитивно понятным. Он продолжает нумерацию версии (2.0 → 3.0) и обеспечивает полную совместимость с файлами .ceol.

Оригинальная Bosca Ceoil давно не обновлялась, и она использует устаревшие технологии. Новая Bosca Ceoil Blue написана на движке Godot, который обеспечивает беспроблемную работу как на компьютере, так и на мобильных устройствах и в браузере.

Скачать для Windows, macOS и Linux можно с GitHub. На текущий момент это бета-версия. В будущем появятся сборки для Android и веб-версии.

@KoolTechTricks

🏡 Используем локальный ИИ: Часть 2

Прошлая подборка вам очень понравилась, поэтому я выпускаю продолжение. Ещё 4 локальные программы для генерации и обработки контента при помощи искусственного интеллекта. Они не требуют наличия интернета, не подключаются к внешним серверам, и у вас есть полный контроль над ними.

Для вашего удобства я собрал более подробную информацию обо всех упомянутых локальных нейросетях на одной странице на Вики: https://kooltechtricks.neocities.org/wiki/local-ai. Она будет обновляться, и каждый сможет предложить свои правки.

1. Ollama — программа для запуска больших языковых моделей (LLM) на своём сервере. Имеется встроенный каталог моделей, и через консоль можно легко их скачать и запустить. Взаимодействие происходит внутри окна терминала, но можно установить веб-интерфейс, например, Open WebUI. У сервера есть API, который можно использовать для интеграции в другие программы.

2. KoboldCpp — это простая в использовании программа для генерации текста. Интерфейс чата открывается в браузере. Это единый самодостаточный дистрибутив, который основан на llama.cpp и добавляет множество функций. Есть свой универсальный API.

3. Upscayl — бесплатная программа для ПК (Windows, Linux, macOS) с открытым исходным кодом для увеличения разрешения изображений при помощи ИИ. По умолчанию предоставляется несколько моделей для разных стилей, но можно добавить другие. Upscayl подойдёт в качестве альтернативы платному и проприетарному Gigapixel AI.

4. SuperImage — приложение для Android и Windows для увеличения разрешения изображений при помощи ИИ. Свободную версию с открытым исходным кодом можно скачать с GitHub и F-Droid, но она больше не обновляется. Новая версия проприетарная и монетизируется, доступна в Google Play. Обе версии обрабатывают изображения локально и содержат минимум трекеров.

@KoolTechTricks / #ai #collections #selfhost

🚚 apkeep — инструмент командной строки для скачивания APK из различных источников.

Для поиска приложений используются их идентификаторы. Например, у Telegram org.telegram.messenger. Он находится в ссылках: https://play.google.com/store/apps/details?id=org.telegram.messenger и https://f-droid.org/packages/org.telegram.messenger.

Скачать приложение (в данном случае Firefox) из источника по умолчанию в текущую папку: apkeep -a org.mozilla.firefox .

Источник по умолчанию — APKPure. Это зеркало Google Play, которое не требует авторизации. Для скачивания напрямую с Google Play нужен логин, но это нарушает условия пользования, за что Google вправе заблокировать ваш аккаунт.

Параметр -d указывает источник: f-droid (подробнее), huawei-app-gallery. Список версий: --list-versions. Скачать определённую версию: идентификатор@версия.

📥 Скачать apkeep для Windows, Linux, Android:
- GitHub
- Cargo: cargo install apkeep
- Termux (Android): pkg install apkeep

@KoolTechTricks / #android

✨ Большое обновление сайта Kool Tech Tricks: миграция на Hugo, улучшенный поиск и Блог

https://kooltechtricks.neocities.org/blog/2024/07/website-update/

Я переписал весь сайт на генератор Hugo. Мне больше не придётся заниматься разработкой собственного скрипта сборки, поэтому высвободившееся время я могу потратить на написание новых страниц и обновление существующих.

Вместе с этим была улучшена структура сайта. Дизайн остался практически без изменений, но просмотр страниц будет ещё удобнее и приятнее, в том числе и с отключённым JavaScript.

Я добавил улучшенный поиск по сайту, который действительно работает. Но потом неожиданно для меня оказалось, что на бесплатной версии Neocities я не могу публиковать нужные файлы индекса. Поэтому я временно отключил новый поиск, но не стал убирать текст про него.

На сайте появился Блог. Там я иногда буду публиковать обновления и статьи на интересные мне темы, которые не подходят под формат Вики. В Блоге есть комментарии через Telegram, а также своя RSS-лента. Первый пост — это подробное описание сегодняшнего обновления сайта.

@KoolTechTricks / #meta

💽 disky — анализ хранилища Android-устройства. С помощью этого приложения можно легко определить, какие папки и приложения занимают много места на телефоне, и очистить их.

📥 Скачать: GitHub, F-Droid

Примечание: приложение не получало обновлений некоторое время, можно столкнуться с некоторыми багами. Если сканирование зависло, то нужно перезапустить приложение. Сканирование карты памяти ненадёжно.

@KoolTechTricks / #android #files

🧑‍🔬 Иногда у меня появляются интересные и просто странные идеи, которые я хочу реализовать. Но это невозможно сделать ни в постах, ни в блоге. Поэтому я решил начать делать видео на всё ещё живом YouTube. Пока что это будут просто небольшие эксперименты.

https://youtu.be/Dc2icIGB00s

Говорят, что для того, чтобы установить Arch Linux, нужно строго следовать официальному руководству. Но в этом видео я доверю установку системы нейросети ChatGPT. Она будет генерировать команды, а я буду отправлять их в консоль без изменений. Удастся ли установить и настроить полноценный рабочий стол и пользоваться системой как обычно?

@KoolTechTricks / #fluff #linux

🛡 Hypatia — сканер вредоносного ПО с открытым исходным кодом для Android. Использует базы данных ClamAV.

Приложение может сканировать в реальном времени внутреннее и внешнее хранилище, системный раздел и APK-файлы. При этом расход батареи минимальный, скорость сканирования высокая, база данных занимает не более 120 МБ. Интернет используется только для обновления баз данных, сканирование производится офлайн на устройстве.

⚠️ Примечание: Этот сканер (как и любой другой) может не находить все вирусы.

📥 Скачать с F-Droid: https://f-droid.org/packages/us.spotco.malwarescanner

@KoolTechTricks / #android #security

📸 Насколько эффективны программы для отключения телеметрии в Windows?

https://youtu.be/Nyutqx8Otd0 [7:42]

Как вы знаете, Windows 11 и 10 по умолчанию собирают очень много данных без вашего ведома. Отключить это стандартными средствами трудно, нужно лезть в реестр. К счастью, существуют специальные программы, которые помогут отключить телеметрию и слежку — O&O ShutUp10++ и xd-AntiSpy. В этом видео я проанализирую трафик через Wireshark, чтобы проверить, насколько эффективно работают эти программы и насколько снижается количество скрытых запросов в интернет.

@KoolTechTricks / #privacy #video #windows

👾 Pixelorama — программа для создания пиксель-арта с открытым исходным кодом.

Возможности:
- Создание анимации;
- Готовые палитры, а также варианты импорта палитр;
- Алгоритмы вращения и масштабирования, адаптированные для пиксель-арта;
- Эффекты слоёв: контур, градиент, тень;
- Направляющие линии (Guides), сетка, плиточный режим для создания бесшовных узоров;
- Экспорт в PNG и другие форматы изображений и видео, а также в таблицу спрайтов (Spritesheet), GIF, анимированные PNG;
- Импорт таблицы спрайтов, нескольких изображений в виде отдельных кадров, а также GIF и видео;
- 3D-слои, позволяющие привносить 3D-фигуры и модели в 2D-холст;
- Интерфейс командной строки для автоматического экспорта файлов;
- Метаданные для проектов, слоёв, кадров;
- Бесплатные расширения, созданные сообществом.

📥 Получить Pixelorama:
- Попробовать в браузере;
- Скачать с Itch.io;
- Купить в Steam, чтобы поддержать разработчиков;
- Исходный код;
- Документация.

@KoolTechTricks / #graphics

⚠️ Из-за большого спроса в интернете начинают появляться фейковые версии программ для восстановления работы YouTube, содержащие вирусы. Так как сегодня стало ещё хуже, мошенники начнут распространять вредоносное ПО ещё активнее.

Проверяйте подлинность ссылок и не запускайте ничего из неизвестных источников. Сообщайте сайтам о случаях мошенничества.

Для проверки ссылок на Android существует приложение URLCheck. Оно выступает в качестве посредника и даёт возможность внимательно изучить адрес. https://kooltechtricks.neocities.org/wiki/urlcheck/

На YouTube мошенники будут чистить комментарии, а дизлайки скрыты. Установите расширение Return YouTube Dislike, чтобы вернуть счётчик дизлайков. https://kooltechtricks.neocities.org/wiki/return-youtube-dislike/