В России глобальный сбой интернета
Легло очень многое. По сообщениям на DownDetector не работает СБП, Сбербанк, Т-Банк, ВТБ и множество других сервисов.
У админа, например, лёг Ростелеком. Даже телефон поддержки провайдера не работает.
Предварительно, причиной сбоя в работе банковских приложений стали блокировки IP-адресов, используемых в работе банковской инфраструктуры.
Будем следить за ситуацией и обновлять информацию.
А вы заметили сбой? Что не работает у вас?
@your_tech (теперь ещё в VK и Max)
Легло очень многое. По сообщениям на DownDetector не работает СБП, Сбербанк, Т-Банк, ВТБ и множество других сервисов.
У админа, например, лёг Ростелеком. Даже телефон поддержки провайдера не работает.
Предварительно, причиной сбоя в работе банковских приложений стали блокировки IP-адресов, используемых в работе банковской инфраструктуры.
Будем следить за ситуацией и обновлять информацию.
А вы заметили сбой? Что не работает у вас?
@your_tech (теперь ещё в VK и Max)
😁15👍3👏2❤1⚡1
This media is not supported in your browser
VIEW IN TELEGRAM
Абсолютно проклято: разраб сделал будильник, который будет орать до тех пор, пока не зайдешь в туалет.
Пользователь Reddit показал, как он пытается поднять себя по утрам с постели. Для него уже не работают другие креативные будильники, где, например, нужно решить математическую задачку. Он решал и снова ложился спать.
Он понял: нужно что-то, что в любом случае заставит его встать с кровати. Так ему пришла идея этого будильника. Чтобы выключить его, нужно встать, дойти до туалета и сфотографировать его. Заснуть после этого намного сложнее.
Ваши варианты, как можно хакнуть систему?
Пользователь Reddit показал, как он пытается поднять себя по утрам с постели. Для него уже не работают другие креативные будильники, где, например, нужно решить математическую задачку. Он решал и снова ложился спать.
Он понял: нужно что-то, что в любом случае заставит его встать с кровати. Так ему пришла идея этого будильника. Чтобы выключить его, нужно встать, дойти до туалета и сфотографировать его. Заснуть после этого намного сложнее.
Ваши варианты, как можно хакнуть систему?
🤣20😴2
Россия заняла предпоследнее место по уровню свободы интернета в 2026 году
Cloudwards провел исследование свободы интернета и выяснил, где на пользователей наложено больше всего ограничений. Специалисты оценивали онлайн-активности по таким критериям: доступность торрентов, контента для взрослых, выражение политического и гражданского мнения, блокировки ресурсов и другим примерам.
В первой десятке Финляндия, Исландия, Норвегия, Бельгия, Дания, Словакия, Лихтенштейн, Коста-Рика, Суринам, Новая Зеландия. Там пользователи могут свободно посещать большинство глобальных соцсетей и сайтов.
А вот закрывает список Россия, Пакистан, Иран, Китай. Абсолютный «лидер» по недоступности мировых интернет-ресурсов — это Северная Корея. Там доступ к интернету есть только у доверенных лиц. Остальные пользуются внутренней национальной сетью.
Еще чуть-чуть осталось, надо поднажать 💀
@your_tech (теперь ещё в VK и Max)
Cloudwards провел исследование свободы интернета и выяснил, где на пользователей наложено больше всего ограничений. Специалисты оценивали онлайн-активности по таким критериям: доступность торрентов, контента для взрослых, выражение политического и гражданского мнения, блокировки ресурсов и другим примерам.
В первой десятке Финляндия, Исландия, Норвегия, Бельгия, Дания, Словакия, Лихтенштейн, Коста-Рика, Суринам, Новая Зеландия. Там пользователи могут свободно посещать большинство глобальных соцсетей и сайтов.
А вот закрывает список Россия, Пакистан, Иран, Китай. Абсолютный «лидер» по недоступности мировых интернет-ресурсов — это Северная Корея. Там доступ к интернету есть только у доверенных лиц. Остальные пользуются внутренней национальной сетью.
Еще чуть-чуть осталось, надо поднажать 💀
@your_tech (теперь ещё в VK и Max)
🫡8👍3❤1🎉1👨💻1
Исследователь Anthropic нашёл 23-летнюю уязвимость в ядре Linux с помощью Claude Code
На конференции по безопасности ИИ [un]prompted 2026 Nicholas Carlini поделился тем, как нашел Heap buffer overflow в NFS-драйвере ядра Linux. Уязвимость находилась там с 2003 года, но исследователь нашел ее за пару часов с помощью Claude Code и bash-скрипта на 7 строк.
Годами поиск уязвимостей в ядре Linux требовал написания специализированных фаззеров или ручного аудита. Карлини сделал иначе — написал bash-скрипт, который перебирает файлы исходного кода ядра и передаёт каждый в Claude Code с промптом: «Ты участвуешь в CTF (соревнование по безопасности). Найди уязвимость. Подсказка: смотри файл X».
Помимо этой уязвимости, исследователь подтвердил еще пять в подсистемах nfsd, io_uring, futex и ksmbd.
Подробности: https://tproger.ru/news/issledovatel-anthropic-nawyol-23-letnyuyu-uyazvimost-v-yadre-linux
@your_tech (теперь ещё в VK и Max)
На конференции по безопасности ИИ [un]prompted 2026 Nicholas Carlini поделился тем, как нашел Heap buffer overflow в NFS-драйвере ядра Linux. Уязвимость находилась там с 2003 года, но исследователь нашел ее за пару часов с помощью Claude Code и bash-скрипта на 7 строк.
Годами поиск уязвимостей в ядре Linux требовал написания специализированных фаззеров или ручного аудита. Карлини сделал иначе — написал bash-скрипт, который перебирает файлы исходного кода ядра и передаёт каждый в Claude Code с промптом: «Ты участвуешь в CTF (соревнование по безопасности). Найди уязвимость. Подсказка: смотри файл X».
Помимо этой уязвимости, исследователь подтвердил еще пять в подсистемах nfsd, io_uring, futex и ksmbd.
Подробности: https://tproger.ru/news/issledovatel-anthropic-nawyol-23-letnyuyu-uyazvimost-v-yadre-linux
@your_tech (теперь ещё в VK и Max)
👍5❤1❤🔥1🌚1
Обновите Docker: новая CVE обходит любой плагин авторизации
Вышла CVE-2026-34040 с оценкой CVSS 8.8, и она красивая в своей простоте. Docker Engine при получении HTTP-запроса больше 1 МБ тихо отрезает тело перед отправкой в AuthZ-плагин. Плагин видит пустой запрос, не находит ничего подозрительного и пропускает его. Любой плагин. Без исключений.
Самое обидное — это недоделанный фикс CVE-2024-41110 от июля 2024 года. То есть проблему уже чинили, но, видимо, не до конца проверили граничные случаи. Классика.
Отдельный бонус: ИИ-агенты для кодинга могут эксплуатировать эту уязвимость автоматически — им даже не нужно подсовывать вредоносный код, достаточно обычного взаимодействия с Docker API. Фикс уже есть в Docker Engine 29.3.1, а пока не обновились — переходите на rootless-режим и ограничьте доступ к API.
В общем, если ваш плагин авторизации «всё проверяет» — попробуйте отправить ему запрос потяжелее. Вдруг он просто вежливо отойдёт в сторону.
@your_tech (теперь ещё в VK и Max)
Вышла CVE-2026-34040 с оценкой CVSS 8.8, и она красивая в своей простоте. Docker Engine при получении HTTP-запроса больше 1 МБ тихо отрезает тело перед отправкой в AuthZ-плагин. Плагин видит пустой запрос, не находит ничего подозрительного и пропускает его. Любой плагин. Без исключений.
Самое обидное — это недоделанный фикс CVE-2024-41110 от июля 2024 года. То есть проблему уже чинили, но, видимо, не до конца проверили граничные случаи. Классика.
Отдельный бонус: ИИ-агенты для кодинга могут эксплуатировать эту уязвимость автоматически — им даже не нужно подсовывать вредоносный код, достаточно обычного взаимодействия с Docker API. Фикс уже есть в Docker Engine 29.3.1, а пока не обновились — переходите на rootless-режим и ограничьте доступ к API.
В общем, если ваш плагин авторизации «всё проверяет» — попробуйте отправить ему запрос потяжелее. Вдруг он просто вежливо отойдёт в сторону.
@your_tech (теперь ещё в VK и Max)
🐳3
Исследователи взломали хост через видеопамять GPU — IOMMU не помог
Университет Торонто показал атаку GPUBreach: через многократное обращение к одним и тем же ячейкам GDDR6-памяти видеокарты можно вызвать электрические помехи, которые переворачивают биты в соседних ячейках. Звучит как физика, но на практике это даёт root-доступ к хосту. Причём даже с включённым IOMMU — аппаратной изоляцией, которая и должна была это предотвращать. Должна была.
Попутно атака позволяет вытащить криптографические ключи и снизить точность ML-модели до 80%. Приятный бонус.
Удар приходится по облачным GPU-кластерам, где несколько клиентов делят одну видеокарту, наивно полагая, что изоляция работает. Единственная защита — включить ECC на GPU, но на десктопных и ноутбучных картах эта опция просто недоступна.
Подробнее на Tproger.
@your_tech (теперь ещё в VK и Max)
Университет Торонто показал атаку GPUBreach: через многократное обращение к одним и тем же ячейкам GDDR6-памяти видеокарты можно вызвать электрические помехи, которые переворачивают биты в соседних ячейках. Звучит как физика, но на практике это даёт root-доступ к хосту. Причём даже с включённым IOMMU — аппаратной изоляцией, которая и должна была это предотвращать. Должна была.
Попутно атака позволяет вытащить криптографические ключи и снизить точность ML-модели до 80%. Приятный бонус.
Удар приходится по облачным GPU-кластерам, где несколько клиентов делят одну видеокарту, наивно полагая, что изоляция работает. Единственная защита — включить ECC на GPU, но на десктопных и ноутбучных картах эта опция просто недоступна.
Подробнее на Tproger.
@your_tech (теперь ещё в VK и Max)
❤2🔥1
Xilem собрал 5 000 звёзд — самый серьёзный GUI-фреймворк на Rust
Если вы пробовали сделать десктоп на Rust, знаете боль: либо тащишь C++ зависимости, либо мучаешься с обёртками, которые ломаются при каждом обновлении. Xilem идёт по третьему пути — чистый Rust, GPU-рендеринг через Vello и wgpu, никаких биндингов.
Архитектура в духе SwiftUI и React: передаёшь состояние в функцию, она возвращает UI, фреймворк сам определяет, что изменилось, и обновляет только нужные элементы. Для Rust-экосистемы, где GUI традиционно был слабым местом, — заметный шаг вперёд.
За проектом стоит Раф Левьен — бывший инженер Google Fonts и автор Vello. API ещё не стабилизирован, но архитектура и команда внушают достаточно доверия, чтобы присмотреться уже сейчас.
@your_tech (теперь ещё в VK и Max)
Если вы пробовали сделать десктоп на Rust, знаете боль: либо тащишь C++ зависимости, либо мучаешься с обёртками, которые ломаются при каждом обновлении. Xilem идёт по третьему пути — чистый Rust, GPU-рендеринг через Vello и wgpu, никаких биндингов.
Архитектура в духе SwiftUI и React: передаёшь состояние в функцию, она возвращает UI, фреймворк сам определяет, что изменилось, и обновляет только нужные элементы. Для Rust-экосистемы, где GUI традиционно был слабым местом, — заметный шаг вперёд.
За проектом стоит Раф Левьен — бывший инженер Google Fonts и автор Vello. API ещё не стабилизирован, но архитектура и команда внушают достаточно доверия, чтобы присмотреться уже сейчас.
@your_tech (теперь ещё в VK и Max)
👏4👍3
Microsoft заблокировала разработчиков VeraCrypt и WireGuard — без предупреждения
Если вы пользуетесь VeraCrypt, WireGuard, MemTest86 или Windscribe на Windows — знайте: их авторы не могут выпустить тебе обновления. Microsoft заблокировала аккаунты этих разработчиков в Windows Hardware Program из-за непройденной верификации. О том, что верификацию нужно было пройти, никто не уведомлял.
Без подписи Microsoft — ни патчей, ни обновлений. Мейнтейнер WireGuard спросил прямо: «А что если бы нашли критическую RCE и мне нужно было срочно обновить пользователей?» Хороший вопрос. Ответа пока нет.
Разблокировка началась только после медийного шума — VP Microsoft Скотт Хансельман лично написал разработчикам. То есть механизм решения проблемы — это Twitter, а не поддержка.
Безопасность open-source инструментов на Windows теперь зависит от того, заметит ли нужный вице-президент нужный твит вовремя.
@your_tech (теперь ещё в VK и Max)
Если вы пользуетесь VeraCrypt, WireGuard, MemTest86 или Windscribe на Windows — знайте: их авторы не могут выпустить тебе обновления. Microsoft заблокировала аккаунты этих разработчиков в Windows Hardware Program из-за непройденной верификации. О том, что верификацию нужно было пройти, никто не уведомлял.
Без подписи Microsoft — ни патчей, ни обновлений. Мейнтейнер WireGuard спросил прямо: «А что если бы нашли критическую RCE и мне нужно было срочно обновить пользователей?» Хороший вопрос. Ответа пока нет.
Разблокировка началась только после медийного шума — VP Microsoft Скотт Хансельман лично написал разработчикам. То есть механизм решения проблемы — это Twitter, а не поддержка.
Безопасность open-source инструментов на Windows теперь зависит от того, заметит ли нужный вице-президент нужный твит вовремя.
@your_tech (теперь ещё в VK и Max)
🤯7🤔2🔥1😭1
Little Snitch появился на Linux — и он бесплатный
Если на Mac вы привыкли видеть, куда именно стучится каждое приложение, на Linux долгое время приходилось обходиться грубыми инструментами уровня
Управление — через веб-интерфейс на
macOS-пользователи годами платили за то, что на Linux теперь можно поставить даром.
@your_tech (теперь ещё в VK и Max)
Если на Mac вы привыкли видеть, куда именно стучится каждое приложение, на Linux долгое время приходилось обходиться грубыми инструментами уровня
iptables или tcpdump. Теперь у Objective Development есть ответ: Little Snitch для Linux вышел в публичный доступ, работает на eBPF и показывает сетевую активность каждого процесса в реальном времени.Управление — через веб-интерфейс на
localhost:3031, есть поддержка блоклистов и правила на уровне приложений. Сам инструмент бесплатен, GUI-часть открыта под GPLv2, сетевой демон остаётся проприетарным. Это честная модель для продукта, который двадцать лет существовал только на macOS.macOS-пользователи годами платили за то, что на Linux теперь можно поставить даром.
@your_tech (теперь ещё в VK и Max)
❤4🔥3🤣1
10 минут сборки против 2 — Railway выбрал 2 и ушёл с Next.js
Railway — платформа, на которой крутятся тысячи продакшн-проектов — переехала с Next.js на Vite и TanStack Start. Билды ускорились в пять раз: с десяти минут до двух. Не потому что разработчики сделали что-то не так — просто Next.js на таком масштабе перестал справляться.
Это не первый подобный кейс. Крупные проекты один за другим обнаруживают, что React-фреймворк, который отлично работал на старте, становится узким местом при росте. Vite здесь выигрывает не функциональностью, а предсказуемостью и скоростью холодного старта.
Пять минут — это кофе. Восемь — это уже потерянный фокус. Разница в цифрах небольшая, а в ощущениях от работы — огромная.
@your_tech (теперь ещё в VK и Max)
Railway — платформа, на которой крутятся тысячи продакшн-проектов — переехала с Next.js на Vite и TanStack Start. Билды ускорились в пять раз: с десяти минут до двух. Не потому что разработчики сделали что-то не так — просто Next.js на таком масштабе перестал справляться.
Это не первый подобный кейс. Крупные проекты один за другим обнаруживают, что React-фреймворк, который отлично работал на старте, становится узким местом при росте. Vite здесь выигрывает не функциональностью, а предсказуемостью и скоростью холодного старта.
Пять минут — это кофе. Восемь — это уже потерянный фокус. Разница в цифрах небольшая, а в ощущениях от работы — огромная.
@your_tech (теперь ещё в VK и Max)
👍3
Создатели Ruff и uv теперь займутся безопасностью Python-зависимостей
Astral — команда, которая уже переписала линтер и пакетный менеджер Python до состояния «теперь это стандарт» — запускает новое направление: аудит зависимостей и обнаружение вредоносных пакетов. Supply chain для Python — давно не абстрактная угроза: тайпсквоттинг, внедрение в популярные пакеты, малварь в PyPI встречаются регулярно.
Логика здесь понятна: если вы контролируете инструмент установки пакетов, вы видите весь граф зависимостей раньше, чем он попадёт в прод. uv уже стал точкой входа для миллионов Python-проектов — добавить туда проверку безопасности технически проще, чем строить отдельный сканер.
Python-экосистема медленно, но верно обретает тот минимум инфраструктуры, который в других языках появился лет десять назад.
@your_tech (теперь ещё в VK и Max)
Astral — команда, которая уже переписала линтер и пакетный менеджер Python до состояния «теперь это стандарт» — запускает новое направление: аудит зависимостей и обнаружение вредоносных пакетов. Supply chain для Python — давно не абстрактная угроза: тайпсквоттинг, внедрение в популярные пакеты, малварь в PyPI встречаются регулярно.
Логика здесь понятна: если вы контролируете инструмент установки пакетов, вы видите весь граф зависимостей раньше, чем он попадёт в прод. uv уже стал точкой входа для миллионов Python-проектов — добавить туда проверку безопасности технически проще, чем строить отдельный сканер.
Python-экосистема медленно, но верно обретает тот минимум инфраструктуры, который в других языках появился лет десять назад.
@your_tech (теперь ещё в VK и Max)
🆒1