Для тех, кто был слишком занят на неделе или просто пропустил некоторые посты, публикуем дайджест!
– Проект Panama, собесим Михала Поливаху, Node.js профакапились | Spring АйО Подкаст №47
– JVM ещё жива, но уже бесполезна: как Netflix научился убивать её по GC
– Observability-as-Code в Spring Boot: Контракты и тесты для метрик, логов и трейсов
– Почему Kotlin ломает JPA
– 23 января 1996 года — день, с которого началась Java как мы ее знаем
– OpenIDE: Роман Елизаров про AI в разработке ПО, OpenSource и культуру IT
– JPoint: Александр Шустанов — Из Postman в код: Connekt и новый взгляд на тестирование API
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍7🔥7
Forwarded from Amplicode
«Безобидный» активатор IntelliJ IDEA — это не патч лицензии, а полноценный Java-агент, который встраивается в JVM до старта IDE
Shell-скрипт сначала ставит зависимости (на Linux — через
С этого момента сторонний код получает доступ и может менять байткод любых классов — включая стандартную библиотеку Java.
Дальше начинается самое интересное.
Агент:
— блокирует DNS и HTTP-запросы к серверам лицензирования JetBrains
— скрывает своё присутствие, подменяя списки VM-аргументов и загрузку классов
— патчит
Это фундаментальная операция для RSA (криптографический алгоритм с открытым ключом). То есть компрометируется не только проверка лицензии, а вся криптография внутри JVM процесса IDE: HTTPS, Git over SSL, подписи, API-аутентификация.
Фактически вы работаете в среде, где нельзя доверять результатам криптографических проверок.
Отдельный слой рисков — системный. Скрипт получает root-права на время установки, модифицирует shell-конфиги и загружает исполняемый код с сервера третьей стороны. Что именно окажется в JAR’ках завтра — пользователь не контролирует.
И, наконец, юридические риски. Использование пиратского ПО — прямое нарушение ст. 146 УК РФ. В корпоративной среде порог «крупного ущерба» достигается очень быстро: достаточно нескольких нелегальных лицензий. В случае инцидента крайним почти всегда оказывается тот, кто установил софт.
Подробный технический разбор — от shell-скрипта до патча криптопримитивов — в новой статье на Хабре.
👉 Любая IDE от JetBrains бесплатно: что на самом деле происходит, когда вы запускаете “безобидный” активатор
Shell-скрипт сначала ставит зависимости (на Linux — через
sudo, на macOS — с правками ~/.zshrc), затем скачивает набор JAR’ов с внешнего сервера без подписей и checksums и прописывает -javaagent в vmoptions. С этого момента сторонний код получает доступ и может менять байткод любых классов — включая стандартную библиотеку Java.
Дальше начинается самое интересное.
Агент:
— блокирует DNS и HTTP-запросы к серверам лицензирования JetBrains
— скрывает своё присутствие, подменяя списки VM-аргументов и загрузку классов
— патчит
BigInteger#oddModPow() и подменяет результат модульного возведения в степень по правилам из конфигаЭто фундаментальная операция для RSA (криптографический алгоритм с открытым ключом). То есть компрометируется не только проверка лицензии, а вся криптография внутри JVM процесса IDE: HTTPS, Git over SSL, подписи, API-аутентификация.
Фактически вы работаете в среде, где нельзя доверять результатам криптографических проверок.
Отдельный слой рисков — системный. Скрипт получает root-права на время установки, модифицирует shell-конфиги и загружает исполняемый код с сервера третьей стороны. Что именно окажется в JAR’ках завтра — пользователь не контролирует.
И, наконец, юридические риски. Использование пиратского ПО — прямое нарушение ст. 146 УК РФ. В корпоративной среде порог «крупного ущерба» достигается очень быстро: достаточно нескольких нелегальных лицензий. В случае инцидента крайним почти всегда оказывается тот, кто установил софт.
Подробный технический разбор — от shell-скрипта до патча криптопримитивов — в новой статье на Хабре.
👉 Любая IDE от JetBrains бесплатно: что на самом деле происходит, когда вы запускаете “безобидный” активатор
Хабр
Любая IDE от JetBrains бесплатно: что на самом деле происходит, когда вы запускаете “безобидный” активатор
Оглавление Введение Shell скрипт установки. Первая линия компрометации. Java-агент и архитектура обхода защиты JetBrains IDEA Риски безопасности Возможные последствия Легальные альтернативы...
👎45👍23🤯17🔥12😁4❤2
Media is too big
VIEW IN TELEGRAM
💬 Аудио версию подкаста можно найти в комментариях
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥8❤7
Настоящая устойчивость систем — в архитектуре. В новом переводе от команды Spring АйО — 8 фундаментальных паттернов проектирования, на которых держатся все современные data engineering-стеки.
Освоив их, вы перестанете тушить пожары и начнёте проектировать платформы, которые выдерживают продакшен.
📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/990336/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤8🔥8
Что делать, когда инфраструктура, сдерживавшая злоумышленников, внезапно начинает мешать легитимным клиентам? В Dodo Payments такой момент наступил в 23:00 в четверг — и стал точкой невозврата.
В новом переводе от команды Spring АйО подробно разберем переход с классического ingress-контроллера на полноценный service mesh. Миграция заняла 11 недель и навсегда изменила подход к платформенной инженерии.
📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/990674/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥11❤6
🔥 Redis. Больше, чем просто кеш
Пора перестать воспринимать Redis как временное хранилище key-value. Сегодня это многофункциональный движок, объединяющий в себе брокер сообщений с поддержкой Pub/Sub, гео-БД с Spatial-индексами, и надежный инструмент синхронизации через распределенные блокировки (Redlock). Современный Redis, потенциально, может заменить стек из 3–4 узкоспециализированных сервисов.
В новом переводе от команды Spring АйО рассмотрим, как использовать Redis на полную катушку и превратить его в фундамент вашей архитектуры.
📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/991088/
Пора перестать воспринимать Redis как временное хранилище key-value. Сегодня это многофункциональный движок, объединяющий в себе брокер сообщений с поддержкой Pub/Sub, гео-БД с Spatial-индексами, и надежный инструмент синхронизации через распределенные блокировки (Redlock). Современный Redis, потенциально, может заменить стек из 3–4 узкоспециализированных сервисов.
В новом переводе от команды Spring АйО рассмотрим, как использовать Redis на полную катушку и превратить его в фундамент вашей архитектуры.
📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/991088/
🔥29❤19👍17
Forwarded from OpenIDE
🔥 Fullstack проект на React, Python, Go и Spring: OpenIDE в действии
В новом видео Михаил Поливаха, Павел Кислов и Александр Шустанов проверяют OpenIDE на прочность в работе с мультиязычным стеком.
По ходу видео эксперты рассказывают про типичные инженерные вещи — тестирование, прикладную бизнес-логику и интеграцию компонентов.
В финале — краткие итоги и разговор про роль AI в разработке и инструментах программирования.
😉 СМОТРЕТЬ НА YOUTUBE
😄 СМОТРЕТЬ В VK ВИДЕО
🥰 СМОТРЕТЬ НА RUTUBE
В новом видео Михаил Поливаха, Павел Кислов и Александр Шустанов проверяют OpenIDE на прочность в работе с мультиязычным стеком.
По ходу видео эксперты рассказывают про типичные инженерные вещи — тестирование, прикладную бизнес-логику и интеграцию компонентов.
В финале — краткие итоги и разговор про роль AI в разработке и инструментах программирования.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21❤11🔥9👎1
Для тех, кто был слишком занят на неделе или просто пропустил некоторые посты, публикуем дайджест!
– Зачем убивать JVM, статья Евгения Сулейманова, почему Kotlin ломает JPA | Spring АйО Подкаст №48
– Redis. Больше, чем просто кеш.
– Больше чем Proxy: Istio вместо классического Nginx.
– Паттерны проектирования в Data Engineering, которые необходимо освоить в 2026 году
– Павел Кислов — OAuth 2, JWT, OIDC. Все, что нам недорассказали в Spring
– Amplicode: Быстрый старт окружения
– OpenIDE: Fullstack проект на React, Python, Go и Spring: OpenIDE в действии
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍7❤5
Please open Telegram to view this post
VIEW IN TELEGRAM
11👍85🔥66❤15⚡6🤩4
Media is too big
VIEW IN TELEGRAM
💬 Аудио версию подкаста можно найти в комментариях
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍12🔥7
«Контейнер скомпрометирован». С этих слов начался трёхчасовой ночной кошмар с утечкой данных и полным отчётом об инциденте. Всё из-за банального запуска контейнера от root с лишними правами.
В новом переводе от команды Spring АйО — 11 конкретных шагов, которые помогут вам избежать катастрофы: от запуска от непривилегированного пользователя до минимальных образов, сканирования уязвимостей, изоляции сетей и настройки профилей безопасности.
Если вы разворачиваете контейнеры в продакшене — это руководство должно стать вашей чеклист-основой. Ошибка может стоить очень дорого.
📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/992696/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23❤8👍5🤯1