Код в мешке
249 subscribers
9.08K photos
1.6K videos
2.11K files
42.7K links
Код в мешке - про кодинг, и не только...
Это личная записная книжка

https://t.me/joinchat/AAAAAEIy6oGlr8oxqTMS5w
Download Telegram
Forwarded from Geeks (dober shpaker)
Я уже полгода для быстрого редактирования скриптов использую редактор Visual Studio Code (далее VSC), сместивший с этой должности на моих ПК "вечно молодой и перспективный" Sublime Text 3. Благо, что VSC представлен под все основные платформы и субъективно работает, даже удивительно, гораздо быстрее (и даже гораздо удобнее) своего предка в лице редактора Atom от GitHub.

И вот, не так давно стало известно, что создатель самого популярного расширения для VSC, добавляющего в редактор расширенную поддержу Python, был нанят в Microsoft. Теперь Python-плагин получает официальную поддержку от Редмондского гиганта, что в перспективе должно способствовать ускорению закрытия багов и добавлению новых возможностей. При этом расширение всё равно останется с открытым исходным кодом, размещённым на GitHub.

https://blogs.msdn.microsoft.com/pythonengineering/2017/11/09/don-jayamanne-joins-microsoft/
Forwarded from Geeks (dober shpaker)
На GitHub несколько тысяч звёзд собрал awesome-список сайтов, посвященных хакингу и пентестингу. Вообще awesome-списки - это такие тематические подборки ссылок, которые, как правило, тщательно модерируются автором и сообществом. Список здесь достаточно большой, ресурсы, что естественно, все англоязычные. Наверняка, если вы интересуетесь темой, то найдёте тут для себя ворох интересной информации. https://github.com/vitalysim/Awesome-Hacking-Resources
Из любопытного: в списке есть один англоязычный Telegram-канал в котором, собственно, идут ссылки с информацией по данным темам. Субъективно он близок к русскоязычному @HNews , только (sic!) хуже =(
Forwarded from Geeks (dober shpaker)
В PyPi (официальный каталог пользовательских пакетов для языка программирования Python) было обнаружено десяток зловредных библиотек, рассчитанных на распространение посредством тайпсквотинга на устройства потенциальных жертв. Вредоносные пакеты как правило содержат код оригинальный библиотеки плюс некоторая вредоносная функциональность добавленная злоумышленниками. Очевидно, что самый эффективный способ эксплуатации тайпсквотинга на PyPi это модификация скрипта setup исполняемого во время установки скрипта на пользовательскую машину. То есть, загрузив такой пакет, подмену заметить будет очень даже не просто.
Например, рассмотрим имена пакетов urlib3 и urllib и попытаемся определить какой настоящий, а какой зловредный. Обладая некоторым скилом внимательности можно заметить, что оба названия содержат ошибку мимикрируя под пакет urllib3. На данный момент каталог PyPi не обладает какими-либо средствами для определения таких пакетов и поэтому необходимо быть предельно внимательными в процессе установки дополнительных пакетов.
https://www.bleepingcomputer.com/news/security/ten-malicious-libraries-found-on-pypi-python-package-index/
Forwarded from Geeks (dober shpaker)
Cookpy - система автоматической сборки проектов, использующая язык Python для описания конфигураций сборки. Идея в том, что это - практически как Gradle в groovy: может собрать всё из всего. Например, для компиляции файла c++ потребуется 2 строчки:

from cookpy import cpp

cpp.executable(sources=['main.cpp'], destination='main')


Проект пока находится в глубокой альфе и разработка совсем недавно перенесена на GitHub. Если авторы реализует задуманное, то свет увидит новая система сборки обладающая такими достоинствами как гибкость, простота расширения конфигурации сборки и, естественно, не лишенная кроссплатформенности.
https://github.com/jachris/cook
Forwarded from Geeks (dober shpaker)
Немного магии. Модуль TeachCraft для языка программирования Python, позволяющий описывать и использовать в игре Minecraft самые настоящие заклинания. Позиционируется как средство для изучения программирования и, на мой взгляд, подходит для этой цели идеально. Выглядит всё как божий дар, а судя по информации представленной на сайте вполне успешно работает и готово для использования. Исходный код проекта и примеров, как мы и любим, расположен на GitHub.
https://teachcraft.net
Forwarded from Geeks (dober shpaker)
Утро четверга, пожалуй, стоит начать с новости о том, что на просторах Телеграма появился бот, отдающий номер телефона любого пользователя, чьё сообщение ему пересылается. К счастью, номер отдаётся не целиком, а частично прикрыт звёздочками, но кто знает, что прийдёт в голову авторам бота завтра? Пока не ясно, как бот набрал начальную базу телефонов, благо у него в наличии есть номера далеко не всех пользователей. Но вы только задумайтесь: если эта база попадёт в открытый доступ, то станет возможным деанонимизировать очень многих пользователей Телеграма, в том числе и авторов многих каналов.

Из забавного и не очень: у бота есть некие внутрение очки, начисляемые пользователю за то, что он сливает номера своих контактов этому боту. Не делайте так ни в коем случае!
Forwarded from Geeks (dober shpaker)
На данный момент @id2phone_bot, а это тот бот о котором я писал ранее, заблокирован и, как следствие, аттракцион невиданной щедрости с раздачей номеров телефонов объявляется закрытым.
Forwarded from Geeks (dober shpaker)
На данный момент @id2phone_bot, а это тот бот о котором я писал ранее, заблокирован и, как следствие, аттракцион невиданной щедрости с раздачей номеров телефонов объявляется закрытым.
Forwarded from Geeks (dober shpaker)
Посты выходного дня с рекомендациями на пару ИТ каналов и даже одну игру-бота. Да-да, выходному ещё продолжаться чуть более чем один час ;)

- Канал на тему информационной безопасности. Как пишет сам автор: "авторский канал неизвестного хакера, который рассказывает самые свежие новости, обучает взлому и познакомит вас с кучей полезного софта. "
@Haccking

- Канал "Записки админа". Заголовок честный и в канале действительно записки админа: линуксы, сетевые сервисы и остальные ништяки которые мы все так любим.
@SysadminNotes

- Текстовая игра, за основу которой была взята механика из старых браузерных игр середины нулевых (Combats, Apeha, Carnage), когда интернет был медленный, но очень тёплый и ламповый. По словам разработчика, ограничения в разработке графического интерфейса в мессенджере стали преимуществом, позволив больше сфокусироваться на игровом процессе. Внутри всё современно и бегает на NodeJS с MongoDB.
@ArenaGameTelegramBot
Forwarded from Geeks (dober shpaker)
Нет повести печальнее на свете... чем релиз в 2017м году SMB-клиента для Android, работающего исключительно по протоколу первой версии. И всё бы ничего в этой истории, и можно было бы идти мимо, если бы не тот факт, что клиент разработан самим Google! Вот я это пишу и сам себе не верю, а, между тем, на клиент можно полюбоваться в Google Play.

Стоит напомнить, что использование SMB v1 крайне небезопасно (следующие версии намного безопасней) и не рекомендуется самой Microsoft, а они - авторы протокола, а SMB - основной способ открытия доступа к сетевым папкам на Windows. И вот, после того, как весь Windows мир стряхнул с лица слёзы вызванные шифровальщиками, эксплуатирующими SMB v1, достаточно странно читать о таких релизах.

Всем добра! И да, проверяйте на ночь закрыты ли у вас двери, и по какому протоколу бегут ваши Windows-шары.

https://thenextweb.com/google/2017/07/07/1058107/
Forwarded from Geeks (dober shpaker)
Между тем, прямиком из параллельной вселенной, прилетел второй пакет обновлений для Windows 93! Теперь всё ещё более нескучно чем раньше, предустановленный Half Life 3 и виртуальный ассистент Лиза.
http://www.windows93.net
Forwarded from Geeks (dober shpaker)
Боты в мессенджере Telegram получили возможность проводить платежи через сервис «Яндекс.Касса». Сам функционал платежей был добавлен в мессенджер чуть более месяца назад и реализован только лишь в мобильных клиентах, но вполне очевидно, что на клиентах для настольных операционных систем ждать долго не придётся.
Telegram непосредственно не участвует в проведении транзакции и не получает комиссии за платёж.
https://youtu.be/E_HKVmrNAWk
Forwarded from Geeks (Aleksandr Mikheev)
В этом году мы со @shpaker попали на YaC - конференцию Яндекса, которая посвящена маркетингу, технологиям в здравоохранении и машинному обучению. Надеюсь, что мы ещё об этом что-нибудь напишем - программа мне действительно интересна, люди там вообще классные. Те же, кто не сможет присутствовать лично, могут посмотреть на тёплом и ламповом YouTube - там помимо онлайна из 2 залов будет доступна ещё и специальная онлайн-программа. https://youtu.be/lAduhfjoHC4
P.S. Заметите нас или просто будете там же - пишите в личку, может быть найдёмся :)
Forwarded from Geeks (dober shpaker)
На прошедшей конференции YAC 2017, проводимой Яндексом, на общественный суд Даниилом Трабуном была представлена новая платформа на базе сервиса Дзен, позволяющая публиковать (авторам, изданиям и брендам – так пишут на главной странице сервиса) свой уникальный контент, минуя фазу экспорта данных из каких-либо своих ресурсов. Для тех, кто мало знаком с сервисами Яндекса, стоит пояснить, что Яндекс.Дзен — это сервис рекомендации контента, чем-то схожий по функционалу с широко известным Flipboard.

Приятный, минималистичный и не нагруженный интерфейс чем-то напоминает Telegraph, но опубликованной статье предоставляются куда более широкие возможности для продвижения. Из коробки заявлены возможности для монетизации контента, которые активируются при достижении каналом планки в тридцать тысяч просмотров в неделю. Яндекс также объявил о финансовой поддержке, составляющей один миллион долларов, которая будет тонким слоем размазана по популярным каналам сервиса.

Немного печального. На старте сервиса нет какого-либо публичного API, позволяющего автоматизировать процесс публикации статьи, в черновиках статей нет возможности вести какую-либо историю версий и нет отдельного приложения. Но возможно целевой аудитории данный функционал не столь необходим и об этом печалятся полтора гика нашей необъятной родины.

Вместо послесловия. Пока не совсем понятно, как это всё в итоге будет выглядеть, но жутко захотелось попробовать, и как следствие, теперь Geeks экспериментально представлен (мне кажется, что временно, но возможно, что и нет) и на Дзен. В дзен-канал адаптированы две статьи из числа последних дабы посмотреть, как всё это в итоге должно выглядеть. Так что переходим по ссылке ниже, ставим лайки и подписываемся - в общем вы и так знаете, что делать дабы меня порадовать. Из скрытых мотивов данного действия – борьба с плагиатом наших текстов, который временами меня беспокоит.

Geeks на Яндекс.Дзен:
https://zen.yandex.ru/media/id/592e9293e3cda8c8f17c5ee2
Forwarded from Geeks (dober shpaker)
Гостевой пост (да, так можно) от администратора канала @bo0om_ru с развёрнутым комментарием к хабрастатье https://geektimes.ru/post/289577

Различные банки активно используют трекеры на подобие того, что упоминается в статье, чтобы наблюдать за своими клиентами (и даже обмениваться с другими поставщиками данных). BigData, и вот это всё. В случае со Сбербанком, скорее всего, личные данные не отправляются, так что паниковать не надо.

Не отправляются, но могут. Вообще, страницы, в которой вводятся чувствительные данные, нужно избавлять от js-сценариев третьих лиц. Ну, во-первых, потому что третьи лица могут перехватывать и модифицировать информацию на странице, причем таргетировано, допустим на одного (нужного) пользователя из ста тысяч. Во-вторых, не обязательно это будет доверенное изначально третье лицо, ибо ресурс третьих лиц также могут скомпрометировать. Ну или перехватить запрос где-нибудь на уровне провайдера. Благо сейчас активно внедряются такие технологии как CSP, так что в будущем с этим все будет в порядке.

Да и вообще, администратор ресурса может нарочно внедрить скрипт, например, Яндекс-метрики. В данном случае доверенный домен и все знают, что это. А потом использовать его вебвизор как кейлогер (https://www.youtube.com/watch?v=0k4OEbQqdlc). Причем, к утечке данных третьим лицам не обязательно может привести js-сценарий, подойдёт, например, шрифт или картинка. Вот интересный пример: https://hackerone.com/reports/738 При смене пароля, ресурс отображал знаменитую картинку https://xkcd.com/936/ и грузил ее прямо с xkcd.com. В итоге администратор xkcd мог наблюдать за заголовком Referer и при желании смог бы сменить, например, пароль пользователя, когда тот заходит на сайт.
Forwarded from Geeks (dober shpaker)
Десктоп утилита Insomnia, предназначенная для проверки HTTP запросов, отправилась в «о этот дивный ̶н̶о̶в̶ы̶й̶ мир» Open Source c лицензией GPLv3 на борту. Продукт реализован с использованием Electron, и как следствие работает под Windows, Mac и Linux. В отличии от большинства своих аналогов, а справедливости ради таких не так уж и много, Insomnia возможно использовать бесплатно и из коробки даже вполне приятный интерфейс.
https://insomnia.rest/blog/open-source-announcement/
Forwarded from Geeks (dober shpaker)
Скриншот Insomnia. На официальном сайте провозглашен лозунг: "Отлаживай API как человек, а не как робот" 🙂
Forwarded from Geeks (dober shpaker)
Сегодня хотелось бы рассказать о небольшой утилите для терминала, набравшей более пяти тысяч звёзд на Гитхабе за достаточно короткий срок. Утилита осуществляет запросы по протоколу HTTP, предоставляя пользователю возможность удобно сконструировать заголовки и тело в псевдографическом интерфейсе. Признаться, изначально я достаточно скептично отнёсся к самой идеи такого приложения, ведь для данных задач существует абсолютно всеобъемлющий cURL, да и к тому же основной код wuzz (именно так называется утилита) располагается в одном файле с количеством строк превышающем одну тысячу, а намека на тесты там вообще нет! Но, как это ни удивительно, всё работает, а для cURL даже заявлена поддержка совместимых аргументов. Собирается всё без каких-то проблем на всех основных операционных системах (даже Windows, которую инструменты подобного типа обычно обходят стороной), что, как мне кажется, является заслугой языка программирования Go, на котором инструмент написан.
https://github.com/asciimoo/wuzz
Forwarded from Geeks (dober shpaker)
Google открыл исходный код библиотеки автоматизирующей процесс создания аргументов командной строки для скриптов написанных посредством языка программирования Python. Никакого ручного описания аргументов, всё что требуется - аккуратно написанный класс с лаконичными именами методов, вызов которых станет возможным прямиком из терминала. Объект данного класса необходимо передать функции Fire и (Вжух!) ваш скрипт стал чуть более юзерфрендли.
Пример из статьи анонса в гуглоблоге:

import fire


class Example(object):

  def hello(self, name='world'):

    """Says hello to the specified name."""

    return 'Hello {name}!'.format(name=name)


def main():

  fire.Fire(Example)


if __name__ == '__main__':

  main()


В код добавлена всего одна строчка, а уже можно делать своими руками такие фокусы:

example.py hello

Hello world!

example.py hello David

Hello David!

example.py hello --name=Google

Hello Google!


Проект доступен на GitHub https://github.com/google/python-fire и само собой возможно произвести установку через привычное pip install fire
Forwarded from Geeks (dober shpaker)
В страшное время живём товарищи! Вот мы и не знали, а у социальной сети ВКонтакте оказывается есть свой мессенджер (вместо сердца пламенный "webkit"), который похож на Телеграм как очень близкий родственник. Такой же адаптивный, неперенагруженный свистелками и в целом достаточно приятный на взгляд.
А, казалось бы, при чём тут данный канал и мессенджер от ВК? А всё просто - вчера у него появилась Linux версия и скачать её можно как DEB пакетом, так и RPM, либо забрать архивом и запускать дедовскими методами всё как есть из папочки. И это отрадно, ведь не так давно были времена, когда даже и не приходилось и мечтать о том, что софт будут выпускать не только под Windows и MacOS. Да и само то, что социальные сети начали прогибаться под изменчивый мир, тоже весьма любопытно.
Ссылка с анонсом https://vk.com/desktop_app?w=wall-103904211_42
Коллекция ботов и каналов в Telegram.

#каналы

@botcollections