#ruby #rails Как использовать namespaced pundit policies в рельсовых приложениях и радоваться красивому коду https://alec-c4.com/posts/2025-06-24-pundit-namespaced-policies

В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2025-32463), позволяющая любому непривилегированному пользователю выполнить код с правами root, даже если пользователь не упомянут в конфигурации sudoers. Проблеме подвержены дистрибутивы, использующие файл конфигурации /etc/nsswitch.conf, например, возможность эксплуатации уязвимости продемонстрирована в Ubuntu 24.04 и Fedora 41.

Уязвимость проявляется в конфигурации по умолчанию и подтверждена в выпусках sudo с 1.9.14 по 1.9.17 (потенциально затрагивает все версии, начиная с 1.8.33). Проблема устранена в обновлении sudo 1.9.17p1.

Проблема вызвана тем, что при применении опции "-R" ("--chroot") для запуска команд в chroot-окружении с выбранным пользователем корневым каталогом, файл /etc/nsswitch.conf загружался в контексте нового корневого каталога, а не системного каталога. Так как пользователь может использовать в качестве корневого каталога для chroot собственный каталог, он может разместить в нём файл конфигурации nsswitch.conf. Контролируя загружаемый подсистемой NSS (Name Service Switch) файл /etc/nsswitch.conf, пользователь может добавить в него настройки, приводящие к вызову дополнительных обработчиков. Подобные обработчики загружаются NSS в форме разделяемых библиотек, которые также можно разместить в подконтрольном пользователю каталоге. Подставив свою библиотеку пользователь может добиться выполнения из неё кода с правами root, так как обработка NSS производится до сброса привилегий.

Детали и PoC.

А вот это очень интересно - Jack Dorsey, бывший со-основатель Twitter, психанул на выходных и зарелизил bitchat - мессенджер с открытым исходным кодом на базе mesh-сетей, шифрованием и другими плюшками, о чем собственно и написал у себя в твиттере.

#macapps https://trippy.rs/ - отличная кроссплатформенная замена WinMTR. Работает из консоли, умеет в разные стратегии ECMP, поддерживает ICMP, UDP и TCP, IPv4 и IPv6.

#macapps Продолжу тему импортозамещения. Если вам не нравится как работает netstat и вы хотите что-то "поинтереснее", то вот отличная альтернатива, которая называется somo - https://github.com/theopfr/somo

#macapps И снова ребятки из Unclutter запилили у себя распродажу полезняшек для макоёбов маководов. Брульянты действительно стоящие - подписка на полгода на Craft (я про него писал ранее), PixelSnap для того, чтобы измерять длину члена расстояние между объектами на экране, Moom, чтобы звать маму по хоткею раскидывать окна на экране, Rocket Typist 3 Pro, чтобы писать одинаковую хрень повсюду использовать снипеты. Timemator, чтобы видеть как вы проживаете свою жизнь впустую над какими задачами вы работали и собственно сам Unclutter, чтобы перетаскивать всякую срань с места на место удобно работать с файлами, заметками и клипбордом.

Всё это добро можно купить вместе или по отдельности тут https://unclutterapp.com/bundle/ Праздник неслыханной щедрости продлится до 7 августа, поэтому поспешайте :)

Чтобы решить проблемы 20 других VCS мы создадим свою систему контроля версий с го и гейшами. Если вы не слышали еще про проект Jujutsu от Martin von Zweigbergk из Гугла, то наверно сейчас самое время его потестировать. Мартин решил подвинуть Торвальдса с его гитом и запилил jj, систему контроля версий, которая, как предполагается, решает большинство проблем вышеупомянутого слова из трёх букв (я про git если что). Вот что нам обещают
- полная совместимость с git в обе стороны
- отличную производительность
- cli-интерфейс лучше чем у гита
- какой-то неимоверно крутой способ разрешения конфликтов
- undo вообще на любую операцию (неужели и на rm-rf ./* ???)
- анонимные ветки, чтобы вы могли вначале писать код, а потом думать именовать ветки
И многое другое. Вот тут можно почитать неплохой гайд на английском, а еще оказывается на хабре есть статья на русском.

Ну а если вам по нраву разговорный жанр, то вот еще пара видео - раз и два

Еще один интересный open source проект - AirSync, который реализует continuity-фичи, но на андроиде для вашего мака. Исходный код тут (приложение для macOS) и тут (приложение для Android)

Вот новость, которую кажется давно ждали все вайб-кодеры разработчики, которые работают с #AI. Компания OpenAI выпустила #opensource модель GPT-OSS, которая доступна для всех халявщиков, которые не хотят платить за ChatGPT желающих. Почитать официальный анонс с графиками можно тут, исходный код на гитхабе тут, а потестировать её в бою можно на этой странице, где предполагается выкладывать новые open source модели, которые, как хочется надеяться, будут появляться регулярно.

#ai Если вы пользуетесь Perplexity, то ловите лайфхак. Стандартная стоимость при покупке через iAP составляет 17990 р в год, но можно приобрести подписку за 450р на plati.market за тот же год. Ключевое требование - у вас не должно быть покупок на этом perplexity-аккаунте или каких-нибудь промо акций, но при необходимости вы всегда можете завести себе новый аккаунт и примерить к нему подписку.

#ruby #rails

Исследователи Socket выявили 60 вредоносных пакетов в RubyGems, замаскированных под инструменты для автоматизации соцсетей, блогов и мессенджеров. На самом деле они воровали логины и пароли, отправляя их на серверы мамкиных хацкеров в зоне .kr.

Кампания действует с марта 2023 года.
Скачивания — 275 000+.
Цель — в основном пользователи в Южной Корее, но заражения возможны по всему миру.

Как работало:

Пакеты показывали простую форму для ввода логина и пароля.
Данные уходили на домены вроде programzon[.]com, appspace[.]kr.
Некоторые гемы целились в финансовые форумы, что может быть связано с манипуляциями на рынках.

Но есть вы думаете, что это возможно только с ruby, то вы ошибаетесь - вот примеры с go и node.

Поэтому, не суйте свой "жужуль" в непроверенные места ставьте пакеты только от тех разработчиков, которым вы доверяете и читайте новости инфобеза 🙂

#ai и снова о Perplexity - они уже давно ходят вокруг Chrome и облизываются, но предложение руки и сердца сделали только сейчас.

Perplexity сделала Google формальное предложение купить Chrome за 34,5 млрд долларов.

По данным Bloomberg News, Perplexity недавно привлекла 100 млн при оценке 18 млрд, но уверяет, что покупку Chrome полностью профинансируют крупные фонды. Компания обещает никаких «скрытых изменений» в Chrome, акцентируя непрерывность для пользователей и рекламодателей, и готова вложить 3 млрд долларов в Chrome/Chromium за два года. В предложении нет доли Google в Perplexity — чтобы не плодить новые антимонопольные риски.

Если судья Амит Мехта, который должен в ближайшие дни вынести решение по иску Минюста США против Google, действительно предложит меры вплоть до отчуждения, браузер может стать главным призом для AI-компаний. Даже если предложение Perplexity останется предложением, свою роль в определении цены оно уже играет.

https://www.bloomberg.com/news/articles/2025-08-12/perplexity-makes-34-5-billion-bid-for-google-s-chrome-browser?srnd=phx-technology

Если верить Питеру Уокеру из Carta, то из 12 258 компаний до раунда B за 4 года доживает меньше 10%.
Остальные тратят чужие деньги на стикеры, худи и фотки в WeWork.

В жирные годы шанс пройти путь Seed → A → B за 4 года был 22%. Сегодня — меньше 10%. То есть вероятность, что ваш стартап доживёт, примерно как у хомяка в доме с кошкой.

Из тех, кто поднял seed-раунд, лишь 5–6% добираются до B. Остальные — тихо исчезают, оставив после себя долги, пару коробок с мерчем и горькие треды на reddit-е

#apple #ai #claude
https://9to5mac.com/2025/08/18/apple-preps-native-claude-integration-on-xcode/ Если джентельмен несостоятелен как мужчина по причине определенных физиологических проблем, то у него есть еще как минимум 2 способа пользоваться спросом у прекрасных леди. Также и Apple, которая в связи с определенными физиологическими технологическими проблемами с AI прибегла к помощи двух частей тела партнеров - Open AI для обычных пользователей и языка Anthropic для разработчиков. Посмотрим, что из этого выйдет

#javascript #markdown #opensource Долго думал как написать подводку про новый markdown редактор overtype, весом всего 45 килобайт, без зависимостей от фреймворков, оптимизированный под мобилу, шустрый (в отличии от тебя) как сын маминой подруги. Но я ничего не придумал, поэтому оставлю как есть :)

Время от времени мне приходится тестировать какие-то прототипы-библиотеки-утилиты из говна и палок и на ноутбук у меня накопилось много всякого барахла, которое я регулярно вычищаю. Специально для таких случае чувак по имени Tobias Lutke запилил зачетную тулзу try, с помощью которое можно менеджерить всю свою помойку с экспериментами. Не, конечно можно постоянно делать что-то типа

$ cd ~/temp
$ mkdir aaa_temp
$ cd aaa_temp
$ touch something_shitty.rb  

$ cd ..
$ rm -rf aaa_temp

Но имхо try с этим справляется гораздо лучше

Пользователи Android больше не смогут устанавливать приложения от анонимных разработчиков. Пострадать может российский RuStore и банки под санкциями. Операционная система становится все более закрытой и похожей на iOS

Скоро Google запретит анонимным разработчикам создавать приложения для операционной системы Android. В компании утверждают, что эта мера позволит лучше бороться с вредоносным ПО. Однако ограничения сделают Android более закрытой платформой, похожей на iOS. Кроме того, новые правила могут ударить по российским компаниям, которые находятся под санкциями.

Рассказываем, как будет происходить проверка Android-разработчиков и к чему стоит готовиться пользователям из России.

Открыть с VPN | без VPN

@meduzalive