Re: The TSA's New $45 Fee to Fly Without ID Is Illegal

It's hilarious how transparent a money grab this entire thing is.

"You need to show a Real ID for security, otherwise how do we know you won't hijack the plane?"

"Well I don't have a Real ID."

"Ok then, give us $45 and you can go through."

So it was never about security at all then, was it?

And don't get me started with all the paid express security lanes. Because of course only poor people can weaponize shoes and laptops.

paxys, 4 hours ago

https://xpmn.dev/games/incremental/
Від підписчика

Чекаємо v2 де можна дійти до москви)

Senior developer job in 2027 be like:
https://www.youtube.com/watch?v=x3tedlWs1XY

Re: Recreating Epstein PDFs from raw encoded attachments

> it’s safe to say that Pam Bondi’s DoJ did not put its best and brightest on this

Or worse. She did.

chrisjj, 1 day ago

> Опа, напоровся на кріптоскам в праці

Чувак довго обхажував, ми з ним кілька днів розмовляли і він сказав що буде тестове.
Я пам'ятаю статтю на хакерньюз де про подібне розповідали. Ну і чувак дав тестове:

https://github.com/hubsai-team/demo-repository

типу скачай репо і знайди помилки.

Я дав це клоду, він одразу знайшов оцей файл:
https://github.com/hubsai-team/demo-repository/blob/main/public/fonts/fa-solid-400.otf

типу фонт який ніхуя не фонт і буквально скріпт який запускається в момент інсталлу

качає скріпт який пиздить твої кріптогаманці

хоч десь згодився HN

Цікавий факт: дія намагається зробити запит до https://localhost:8083 під час витягу довідки

Не дуже цікавий факт: пенсійний фонд на моєму локалхості не відповідає, і довідку мені не дають

Якщо комусь цікаво, це можна перевірити зробивши запит на довідку ОК-5

https://diia.gov.ua/services/dovidka-ok-5

Поруч із захардкодженим посиланням на локалхост є посилання на російськомовний інсталер джави

https://my.diia.gov.ua/js/iit-agent/eusw.js

Знахідка від @attanix

Схоже я, зніжений сучасними підходами до веб розробки, поспішив з висновками, і це звичний ентерпрайзний патерн проєктування веб застосунків родом з нульових. Користувач ставить собі бекдор локального агента, до якого браузер робить запити, а той в свою чергу вже спілкується з бекендом.

Дякую @truelecter за підказку

В моєму тезі #Huawei поповнення:
пост Олега Белінського в Фейсбук

Ліквідація аятоли Хаменеї 28 лютого 2026 року стала точкою неповернення для світової безпеки. Це була перша в історії «алгоритмічна страта», де ключову роль відіграли не шпигуни, а інфраструктура «розумного міста», яку Іран роками будував за допомогою Китаю.
Протягом десяти років Пекін через корпорації Hikvision та Dahua впроваджував в Ірані тотальну систему стеження. Іранська влада вірила, що це їхній «цифровий щит» проти внутрішньої опозиції. Однак ізраїльська розвідка перетворила цей щит на мішень. За допомогою штучного інтелекту розвідники отримали доступ до відеопотоків тисяч камер у Тегерані.
Ізраїль не просто спостерігав, вони навчили систему розпізнавати найдрібніші деталі повсякденного життя керівництва країни (Pattern of Life). Алгоритм знав графік змін охорони, марки машин супроводу і навіть кути огляду «безпечних» зон. У день удару саме китайські камери підтвердили, що Хаменеї перебуває в точці ураження, передавши координати в реальному часі.
Після 28 лютого в Москві та Пекіні почався справжній технологічний переполох. У Москві з початку березня фіксуються масштабні перебої в роботі мобільного інтернету та зв'язку. Це не збої провайдерів, а примусове обмеження трафіку. Влада намагається закрити «дірки», через які відеодані з міських камер можуть іти на зовнішні сервери. У урядових кварталах вводиться режим «радіомовчання», а чиновників переводять на пейджери та кнопкові телефони без камер і GPS, побоюючись повторення іранського сценарію.
У Китаї почався прихований демонтаж обладнання на критичних об'єктах. Пекін усвідомив, що їхні власні експортні камери можуть містити вразливості, відомі західним розвідкам. Оцифрована модель країни, яка мала гарантувати стабільність партії, тепер сприймається як «цифровий атлас» для потенційних ударів противника.
Україна опинилася в епіцентрі цієї технологічної війни. Довгий час китайські гіганти намагалися закріпитися в українській інфраструктурі. Основна боротьба розгорнулася навколо спроб Китаю впровадити обладнання Huawei та ZTE в мережі найбільшого оператора «Київстар».
Після тегеранського інциденту стало остаточно зрозуміло: наявність китайського ПЗ у національній мережі зв'язку це прямий доступ чужих розвідок до даних громадян і військових. Зараз Україна проводить прискорену «декитаїзацію» зв'язку, замінюючи обладнання на шведське (Ericsson) та фінське (Nokia).
Що стосується нашого МВС, то довгий час основним постачальником для українських систем «Безпечне місто» були все ті ж Hikvision та Dahua. Ці камери стоять на тисячах перехресть та адміністративних будівель України.
Оскільки у 2023–2024 роках ці компанії були внесені до списку спонсорів війни, до початку 2026 року МВС розпочало процес заміни софту та поступовий демонтаж цих камер на режимних об'єктах. З'ясувалося, що китайське ПЗ часто має «бекдори» (приховані входи), які дозволяють віддалено підключатися до камер ззовні.
Закупівлями камер Hikvision та Dahua для українських міст і силових структур займалися як центральні органи, так і місцева влада через тендери Prozorro. Основна іронія полягає в тому, що камери, які зараз визнані небезпечними через події в Ірані, роками купувалися офіційно за бюджетні кошти.
Головними споживачами були регіональні управління Національної поліції та підрозділи МВС. Наприклад, наприкінці 2024 та на початку 2025 років ГУНП у різних областях (зокрема Полтавській та Київській) продовжували підписувати контракти на модернізацію систем «Безпечна область» та «Безпечне місто», де в технічних специфікаціях прямо вказувалися моделі Hikvision.
У Києві розбудовою системи «Безпечне місто» займалося КП «Інформатика». Саме через такі комунальні підприємства по всій країні проходили закупівлі тисяч камер для моніторингу вулиць, перехресть та стратегічних об'єктів.
Фірми часто вигравали тендери без конкуренції, пропонуючи саме китайське обладнання як «найбільш сумісне» з уже встановленими мережами.

Переполох березня 2026 року викликаний тим, що ці закупівлі створили гігантську мережу, яка, як виявилося на прикладі Хаменеї, має «чорний хід» для розробника. Тепер ті самі структури, що купували ці камери (МВС та міські ради), змушені витрачати ще більші кошти на їхню ізоляцію від інтернету або повну заміну на західні аналоги, такі як Axis (Швеція) або Hanwha (Південна Корея).
Ми бачимо крах концепції «безпечного цифрового міста» на чужих технологіях. Москва відключає інтернет, щоб не стати «прозорою», Пекін знімає свої ж камери, а Україна на 4 рік війни поспіхом викорчовує китайську спадщину зі своїх мереж яку активно купляла весь час.
«Безпечне місто» у Львові, яке роками пафосно оцифровували на китайському залізі Hikvision та Dahua, після ліквідації Ірини Фаріон та Парубія заграло новими барвами. Те, що вважалося гордістю мерії, перетворилося на ідеальний цифровий атлас для полювання ворожих розвідок.

Re: Google API keys weren't secrets, but then Gemini changed the rules

In Google AI Studio, Google documentation encourages to deploy vibecoded apps with an open proxy that allow equivalent AI billing abuse - giving the impression that the API key were secure because it is behind a proxy. Even an app with 0 AI features exposes dollars-per-query video models unless the key is manually scoped. Vulnerable apps (all apps deployed from AI Studio) are easily found by searching Google, Twitter or Hacker News. https://github.com/qudent/qudent.github.io/blob/master/_post...

qudent, 2 days ago