This media is not supported in your browser
VIEW IN TELEGRAM
Абсолютно проклято: разраб сделал будильник, который будет орать до тех пор, пока не зайдешь в туалет.
Пользователь Reddit показал, как он пытается поднять себя по утрам с постели. Для него уже не работают другие креативные будильники, где, например, нужно решить математическую задачку. Он решал и снова ложился спать.
Он понял: нужно что-то, что в любом случае заставит его встать с кровати. Так ему пришла идея этого будильника. Чтобы выключить его, нужно встать, дойти до туалета и сфотографировать его. Заснуть после этого намного сложнее.
Ваши варианты, как можно хакнуть систему?
Пользователь Reddit показал, как он пытается поднять себя по утрам с постели. Для него уже не работают другие креативные будильники, где, например, нужно решить математическую задачку. Он решал и снова ложился спать.
Он понял: нужно что-то, что в любом случае заставит его встать с кровати. Так ему пришла идея этого будильника. Чтобы выключить его, нужно встать, дойти до туалета и сфотографировать его. Заснуть после этого намного сложнее.
Ваши варианты, как можно хакнуть систему?
🤣21😴2
Россия заняла предпоследнее место по уровню свободы интернета в 2026 году
Cloudwards провел исследование свободы интернета и выяснил, где на пользователей наложено больше всего ограничений. Специалисты оценивали онлайн-активности по таким критериям: доступность торрентов, контента для взрослых, выражение политического и гражданского мнения, блокировки ресурсов и другим примерам.
В первой десятке Финляндия, Исландия, Норвегия, Бельгия, Дания, Словакия, Лихтенштейн, Коста-Рика, Суринам, Новая Зеландия. Там пользователи могут свободно посещать большинство глобальных соцсетей и сайтов.
А вот закрывает список Россия, Пакистан, Иран, Китай. Абсолютный «лидер» по недоступности мировых интернет-ресурсов — это Северная Корея. Там доступ к интернету есть только у доверенных лиц. Остальные пользуются внутренней национальной сетью.
Еще чуть-чуть осталось, надо поднажать 💀
@your_tech (теперь ещё в VK и Max)
Cloudwards провел исследование свободы интернета и выяснил, где на пользователей наложено больше всего ограничений. Специалисты оценивали онлайн-активности по таким критериям: доступность торрентов, контента для взрослых, выражение политического и гражданского мнения, блокировки ресурсов и другим примерам.
В первой десятке Финляндия, Исландия, Норвегия, Бельгия, Дания, Словакия, Лихтенштейн, Коста-Рика, Суринам, Новая Зеландия. Там пользователи могут свободно посещать большинство глобальных соцсетей и сайтов.
А вот закрывает список Россия, Пакистан, Иран, Китай. Абсолютный «лидер» по недоступности мировых интернет-ресурсов — это Северная Корея. Там доступ к интернету есть только у доверенных лиц. Остальные пользуются внутренней национальной сетью.
Еще чуть-чуть осталось, надо поднажать 💀
@your_tech (теперь ещё в VK и Max)
🫡9👍3❤1🎉1👨💻1
Исследователь Anthropic нашёл 23-летнюю уязвимость в ядре Linux с помощью Claude Code
На конференции по безопасности ИИ [un]prompted 2026 Nicholas Carlini поделился тем, как нашел Heap buffer overflow в NFS-драйвере ядра Linux. Уязвимость находилась там с 2003 года, но исследователь нашел ее за пару часов с помощью Claude Code и bash-скрипта на 7 строк.
Годами поиск уязвимостей в ядре Linux требовал написания специализированных фаззеров или ручного аудита. Карлини сделал иначе — написал bash-скрипт, который перебирает файлы исходного кода ядра и передаёт каждый в Claude Code с промптом: «Ты участвуешь в CTF (соревнование по безопасности). Найди уязвимость. Подсказка: смотри файл X».
Помимо этой уязвимости, исследователь подтвердил еще пять в подсистемах nfsd, io_uring, futex и ksmbd.
Подробности: https://tproger.ru/news/issledovatel-anthropic-nawyol-23-letnyuyu-uyazvimost-v-yadre-linux
@your_tech (теперь ещё в VK и Max)
На конференции по безопасности ИИ [un]prompted 2026 Nicholas Carlini поделился тем, как нашел Heap buffer overflow в NFS-драйвере ядра Linux. Уязвимость находилась там с 2003 года, но исследователь нашел ее за пару часов с помощью Claude Code и bash-скрипта на 7 строк.
Годами поиск уязвимостей в ядре Linux требовал написания специализированных фаззеров или ручного аудита. Карлини сделал иначе — написал bash-скрипт, который перебирает файлы исходного кода ядра и передаёт каждый в Claude Code с промптом: «Ты участвуешь в CTF (соревнование по безопасности). Найди уязвимость. Подсказка: смотри файл X».
Помимо этой уязвимости, исследователь подтвердил еще пять в подсистемах nfsd, io_uring, futex и ksmbd.
Подробности: https://tproger.ru/news/issledovatel-anthropic-nawyol-23-letnyuyu-uyazvimost-v-yadre-linux
@your_tech (теперь ещё в VK и Max)
👍6❤1❤🔥1🌚1
Обновите Docker: новая CVE обходит любой плагин авторизации
Вышла CVE-2026-34040 с оценкой CVSS 8.8, и она красивая в своей простоте. Docker Engine при получении HTTP-запроса больше 1 МБ тихо отрезает тело перед отправкой в AuthZ-плагин. Плагин видит пустой запрос, не находит ничего подозрительного и пропускает его. Любой плагин. Без исключений.
Самое обидное — это недоделанный фикс CVE-2024-41110 от июля 2024 года. То есть проблему уже чинили, но, видимо, не до конца проверили граничные случаи. Классика.
Отдельный бонус: ИИ-агенты для кодинга могут эксплуатировать эту уязвимость автоматически — им даже не нужно подсовывать вредоносный код, достаточно обычного взаимодействия с Docker API. Фикс уже есть в Docker Engine 29.3.1, а пока не обновились — переходите на rootless-режим и ограничьте доступ к API.
В общем, если ваш плагин авторизации «всё проверяет» — попробуйте отправить ему запрос потяжелее. Вдруг он просто вежливо отойдёт в сторону.
@your_tech (теперь ещё в VK и Max)
Вышла CVE-2026-34040 с оценкой CVSS 8.8, и она красивая в своей простоте. Docker Engine при получении HTTP-запроса больше 1 МБ тихо отрезает тело перед отправкой в AuthZ-плагин. Плагин видит пустой запрос, не находит ничего подозрительного и пропускает его. Любой плагин. Без исключений.
Самое обидное — это недоделанный фикс CVE-2024-41110 от июля 2024 года. То есть проблему уже чинили, но, видимо, не до конца проверили граничные случаи. Классика.
Отдельный бонус: ИИ-агенты для кодинга могут эксплуатировать эту уязвимость автоматически — им даже не нужно подсовывать вредоносный код, достаточно обычного взаимодействия с Docker API. Фикс уже есть в Docker Engine 29.3.1, а пока не обновились — переходите на rootless-режим и ограничьте доступ к API.
В общем, если ваш плагин авторизации «всё проверяет» — попробуйте отправить ему запрос потяжелее. Вдруг он просто вежливо отойдёт в сторону.
@your_tech (теперь ещё в VK и Max)
🐳3
Исследователи взломали хост через видеопамять GPU — IOMMU не помог
Университет Торонто показал атаку GPUBreach: через многократное обращение к одним и тем же ячейкам GDDR6-памяти видеокарты можно вызвать электрические помехи, которые переворачивают биты в соседних ячейках. Звучит как физика, но на практике это даёт root-доступ к хосту. Причём даже с включённым IOMMU — аппаратной изоляцией, которая и должна была это предотвращать. Должна была.
Попутно атака позволяет вытащить криптографические ключи и снизить точность ML-модели до 80%. Приятный бонус.
Удар приходится по облачным GPU-кластерам, где несколько клиентов делят одну видеокарту, наивно полагая, что изоляция работает. Единственная защита — включить ECC на GPU, но на десктопных и ноутбучных картах эта опция просто недоступна.
Подробнее на Tproger.
@your_tech (теперь ещё в VK и Max)
Университет Торонто показал атаку GPUBreach: через многократное обращение к одним и тем же ячейкам GDDR6-памяти видеокарты можно вызвать электрические помехи, которые переворачивают биты в соседних ячейках. Звучит как физика, но на практике это даёт root-доступ к хосту. Причём даже с включённым IOMMU — аппаратной изоляцией, которая и должна была это предотвращать. Должна была.
Попутно атака позволяет вытащить криптографические ключи и снизить точность ML-модели до 80%. Приятный бонус.
Удар приходится по облачным GPU-кластерам, где несколько клиентов делят одну видеокарту, наивно полагая, что изоляция работает. Единственная защита — включить ECC на GPU, но на десктопных и ноутбучных картах эта опция просто недоступна.
Подробнее на Tproger.
@your_tech (теперь ещё в VK и Max)
❤2🔥1
Xilem собрал 5 000 звёзд — самый серьёзный GUI-фреймворк на Rust
Если вы пробовали сделать десктоп на Rust, знаете боль: либо тащишь C++ зависимости, либо мучаешься с обёртками, которые ломаются при каждом обновлении. Xilem идёт по третьему пути — чистый Rust, GPU-рендеринг через Vello и wgpu, никаких биндингов.
Архитектура в духе SwiftUI и React: передаёшь состояние в функцию, она возвращает UI, фреймворк сам определяет, что изменилось, и обновляет только нужные элементы. Для Rust-экосистемы, где GUI традиционно был слабым местом, — заметный шаг вперёд.
За проектом стоит Раф Левьен — бывший инженер Google Fonts и автор Vello. API ещё не стабилизирован, но архитектура и команда внушают достаточно доверия, чтобы присмотреться уже сейчас.
@your_tech (теперь ещё в VK и Max)
Если вы пробовали сделать десктоп на Rust, знаете боль: либо тащишь C++ зависимости, либо мучаешься с обёртками, которые ломаются при каждом обновлении. Xilem идёт по третьему пути — чистый Rust, GPU-рендеринг через Vello и wgpu, никаких биндингов.
Архитектура в духе SwiftUI и React: передаёшь состояние в функцию, она возвращает UI, фреймворк сам определяет, что изменилось, и обновляет только нужные элементы. Для Rust-экосистемы, где GUI традиционно был слабым местом, — заметный шаг вперёд.
За проектом стоит Раф Левьен — бывший инженер Google Fonts и автор Vello. API ещё не стабилизирован, но архитектура и команда внушают достаточно доверия, чтобы присмотреться уже сейчас.
@your_tech (теперь ещё в VK и Max)
👏4👍3
Microsoft заблокировала разработчиков VeraCrypt и WireGuard — без предупреждения
Если вы пользуетесь VeraCrypt, WireGuard, MemTest86 или Windscribe на Windows — знайте: их авторы не могут выпустить тебе обновления. Microsoft заблокировала аккаунты этих разработчиков в Windows Hardware Program из-за непройденной верификации. О том, что верификацию нужно было пройти, никто не уведомлял.
Без подписи Microsoft — ни патчей, ни обновлений. Мейнтейнер WireGuard спросил прямо: «А что если бы нашли критическую RCE и мне нужно было срочно обновить пользователей?» Хороший вопрос. Ответа пока нет.
Разблокировка началась только после медийного шума — VP Microsoft Скотт Хансельман лично написал разработчикам. То есть механизм решения проблемы — это Twitter, а не поддержка.
Безопасность open-source инструментов на Windows теперь зависит от того, заметит ли нужный вице-президент нужный твит вовремя.
@your_tech (теперь ещё в VK и Max)
Если вы пользуетесь VeraCrypt, WireGuard, MemTest86 или Windscribe на Windows — знайте: их авторы не могут выпустить тебе обновления. Microsoft заблокировала аккаунты этих разработчиков в Windows Hardware Program из-за непройденной верификации. О том, что верификацию нужно было пройти, никто не уведомлял.
Без подписи Microsoft — ни патчей, ни обновлений. Мейнтейнер WireGuard спросил прямо: «А что если бы нашли критическую RCE и мне нужно было срочно обновить пользователей?» Хороший вопрос. Ответа пока нет.
Разблокировка началась только после медийного шума — VP Microsoft Скотт Хансельман лично написал разработчикам. То есть механизм решения проблемы — это Twitter, а не поддержка.
Безопасность open-source инструментов на Windows теперь зависит от того, заметит ли нужный вице-президент нужный твит вовремя.
@your_tech (теперь ещё в VK и Max)
🤯9🤔2🔥1😭1
Little Snitch появился на Linux — и он бесплатный
Если на Mac вы привыкли видеть, куда именно стучится каждое приложение, на Linux долгое время приходилось обходиться грубыми инструментами уровня
Управление — через веб-интерфейс на
macOS-пользователи годами платили за то, что на Linux теперь можно поставить даром.
@your_tech (теперь ещё в VK и Max)
Если на Mac вы привыкли видеть, куда именно стучится каждое приложение, на Linux долгое время приходилось обходиться грубыми инструментами уровня
iptables или tcpdump. Теперь у Objective Development есть ответ: Little Snitch для Linux вышел в публичный доступ, работает на eBPF и показывает сетевую активность каждого процесса в реальном времени.Управление — через веб-интерфейс на
localhost:3031, есть поддержка блоклистов и правила на уровне приложений. Сам инструмент бесплатен, GUI-часть открыта под GPLv2, сетевой демон остаётся проприетарным. Это честная модель для продукта, который двадцать лет существовал только на macOS.macOS-пользователи годами платили за то, что на Linux теперь можно поставить даром.
@your_tech (теперь ещё в VK и Max)
❤5🔥3🤣1
10 минут сборки против 2 — Railway выбрал 2 и ушёл с Next.js
Railway — платформа, на которой крутятся тысячи продакшн-проектов — переехала с Next.js на Vite и TanStack Start. Билды ускорились в пять раз: с десяти минут до двух. Не потому что разработчики сделали что-то не так — просто Next.js на таком масштабе перестал справляться.
Это не первый подобный кейс. Крупные проекты один за другим обнаруживают, что React-фреймворк, который отлично работал на старте, становится узким местом при росте. Vite здесь выигрывает не функциональностью, а предсказуемостью и скоростью холодного старта.
Пять минут — это кофе. Восемь — это уже потерянный фокус. Разница в цифрах небольшая, а в ощущениях от работы — огромная.
@your_tech (теперь ещё в VK и Max)
Railway — платформа, на которой крутятся тысячи продакшн-проектов — переехала с Next.js на Vite и TanStack Start. Билды ускорились в пять раз: с десяти минут до двух. Не потому что разработчики сделали что-то не так — просто Next.js на таком масштабе перестал справляться.
Это не первый подобный кейс. Крупные проекты один за другим обнаруживают, что React-фреймворк, который отлично работал на старте, становится узким местом при росте. Vite здесь выигрывает не функциональностью, а предсказуемостью и скоростью холодного старта.
Пять минут — это кофе. Восемь — это уже потерянный фокус. Разница в цифрах небольшая, а в ощущениях от работы — огромная.
@your_tech (теперь ещё в VK и Max)
👍3❤1
Создатели Ruff и uv теперь займутся безопасностью Python-зависимостей
Astral — команда, которая уже переписала линтер и пакетный менеджер Python до состояния «теперь это стандарт» — запускает новое направление: аудит зависимостей и обнаружение вредоносных пакетов. Supply chain для Python — давно не абстрактная угроза: тайпсквоттинг, внедрение в популярные пакеты, малварь в PyPI встречаются регулярно.
Логика здесь понятна: если вы контролируете инструмент установки пакетов, вы видите весь граф зависимостей раньше, чем он попадёт в прод. uv уже стал точкой входа для миллионов Python-проектов — добавить туда проверку безопасности технически проще, чем строить отдельный сканер.
Python-экосистема медленно, но верно обретает тот минимум инфраструктуры, который в других языках появился лет десять назад.
@your_tech (теперь ещё в VK и Max)
Astral — команда, которая уже переписала линтер и пакетный менеджер Python до состояния «теперь это стандарт» — запускает новое направление: аудит зависимостей и обнаружение вредоносных пакетов. Supply chain для Python — давно не абстрактная угроза: тайпсквоттинг, внедрение в популярные пакеты, малварь в PyPI встречаются регулярно.
Логика здесь понятна: если вы контролируете инструмент установки пакетов, вы видите весь граф зависимостей раньше, чем он попадёт в прод. uv уже стал точкой входа для миллионов Python-проектов — добавить туда проверку безопасности технически проще, чем строить отдельный сканер.
Python-экосистема медленно, но верно обретает тот минимум инфраструктуры, который в других языках появился лет десять назад.
@your_tech (теперь ещё в VK и Max)
🆒1
Chrome привязал сессионные куки к железу — украденный токен больше не работает на чужой машине
Представляете, инфостилеры годами зарабатывали на простой схеме: утащил cookie с чужого браузера, подставил в свой — и ты в чужом аккаунте без паролей и 2FA. Удобно.
В Chrome 146 на Windows это наконец сломали. Технология DBSC при входе генерирует ключевую пару прямо в TPM-чипе, и приватный ключ оттуда физически не достаётся — ни малварь его не прочитает, ни сам браузер. Каждые несколько минут сессия подписывается этим ключом. Утащили cookie на другую машину — а подписать нечем.
В 2024 Google уже пробовала похожее через App-Bound Encryption. Обошли за два месяца. На этот раз ставка на аппаратную изоляцию, а не на софтовые трюки — посмотрим, насколько хватит. macOS через Secure Enclave обещают в следующих релизах, Linux не упомянут.
@your_tech (теперь ещё в VK и Max)
Представляете, инфостилеры годами зарабатывали на простой схеме: утащил cookie с чужого браузера, подставил в свой — и ты в чужом аккаунте без паролей и 2FA. Удобно.
В Chrome 146 на Windows это наконец сломали. Технология DBSC при входе генерирует ключевую пару прямо в TPM-чипе, и приватный ключ оттуда физически не достаётся — ни малварь его не прочитает, ни сам браузер. Каждые несколько минут сессия подписывается этим ключом. Утащили cookie на другую машину — а подписать нечем.
В 2024 Google уже пробовала похожее через App-Bound Encryption. Обошли за два месяца. На этот раз ставка на аппаратную изоляцию, а не на софтовые трюки — посмотрим, насколько хватит. macOS через Secure Enclave обещают в следующих релизах, Linux не упомянут.
@your_tech (теперь ещё в VK и Max)
🔥11🤔2
Thunderbird живёт на донатах 3% пользователей и просит остальных 97% хотя бы задуматься
Если вы до сих пор открываете Thunderbird каждое утро — вы, скорее всего, в тех самых 97%, которые ничего не донатят. Команда опубликовала обращение: рекламы нет, данные не продаются, корпоративных спонсоров нет. Весь клиент держится на менее чем 3% аудитории. Устойчивая бизнес-модель, конечно...
Отдельно уточняют: ваши деньги не уходят в Mozilla Corporation на рекламу Firefox и зарплаты топ-менеджеров. За Thunderbird стоит MZLA Technologies — отдельное юрлицо со своими отчётами. Приятный бонус.
Параллельно готовится Thundermail — почтовый сервис на Rust-сервере Stalwart. Правда, задонатить из РФ всё равно не выйдет: Fundraise Up карты российских банков не принимает с 2022 года. Остаются зарубежная карта или PR в репозиторий.
@your_tech (теперь ещё в VK и Max)
Если вы до сих пор открываете Thunderbird каждое утро — вы, скорее всего, в тех самых 97%, которые ничего не донатят. Команда опубликовала обращение: рекламы нет, данные не продаются, корпоративных спонсоров нет. Весь клиент держится на менее чем 3% аудитории. Устойчивая бизнес-модель, конечно...
Отдельно уточняют: ваши деньги не уходят в Mozilla Corporation на рекламу Firefox и зарплаты топ-менеджеров. За Thunderbird стоит MZLA Technologies — отдельное юрлицо со своими отчётами. Приятный бонус.
Параллельно готовится Thundermail — почтовый сервис на Rust-сервере Stalwart. Правда, задонатить из РФ всё равно не выйдет: Fundraise Up карты российских банков не принимает с 2022 года. Остаются зарубежная карта или PR в репозиторий.
@your_tech (теперь ещё в VK и Max)
😁6👍3✍2❤🔥2☃1🤣1
Мэн запрещает новые дата-центры — первым в США
Если ваши счета за облако и ИИ растут быстрее, чем хотелось бы, — вот ещё одна причина, почему это не остановится. Штат Мэн ввёл мораторий на любые новые ЦОДы мощнее 20 МВт до ноября 2027-го. Первый в стране.
Поводом стали два показательных провала. Проект на $5 млрд в Wiscasset жители зарубили из-за закрытого NDA с городом (всегда хорошая идея — секретное соглашение про стройку на общественной земле). А в Lewiston единогласно отклонили ЦОД на $300 млн: раньше в том же здании сидел колл-центр на тысячу рабочих мест, а дата-центр обещал тридцать. Размен так себе.
По стране уже заблокировано проектов на $64 млрд, похожие паузы вводят округа в Мичигане и Индиане. Если подтянутся Вирджиния и Техас, ждите, что тарифы на H100 и B200 подрастут и у Yandex Cloud с VK Cloud. GPU-рынок глобальный.
@your_tech (теперь ещё в VK и Max)
Если ваши счета за облако и ИИ растут быстрее, чем хотелось бы, — вот ещё одна причина, почему это не остановится. Штат Мэн ввёл мораторий на любые новые ЦОДы мощнее 20 МВт до ноября 2027-го. Первый в стране.
Поводом стали два показательных провала. Проект на $5 млрд в Wiscasset жители зарубили из-за закрытого NDA с городом (всегда хорошая идея — секретное соглашение про стройку на общественной земле). А в Lewiston единогласно отклонили ЦОД на $300 млн: раньше в том же здании сидел колл-центр на тысячу рабочих мест, а дата-центр обещал тридцать. Размен так себе.
По стране уже заблокировано проектов на $64 млрд, похожие паузы вводят округа в Мичигане и Индиане. Если подтянутся Вирджиния и Техас, ждите, что тарифы на H100 и B200 подрастут и у Yandex Cloud с VK Cloud. GPU-рынок глобальный.
@your_tech (теперь ещё в VK и Max)
👍2🤩2🤔1😨1