Здравия всем, дамы и господа. Время, называемое неделей и равное семи дням закончилось и прямо здесь вы читаете то, что называется «Новостной дайджест», являющийся статьёй.
FSF снова здесь
Но нет, Столлмана ни в чём не обвинили и ни откуда не выгнали. Эта новость напрямую с ним вообще не связана. Не успел Copilot выйти, как люди сразу озаботились вопросом этики и законности при его использовании. В фонде свободного программного обеспечения заметили эти беспокойства и решили провести исследование.
Даже по первичному осмотру фонд заметил несколько особенностей, которые противоречат принципам сообщества открытого ПО, а именно
В одном из предыдущих дайджестов я писал о человеке по имени Алекс Бирсан. Как вы наверняка помните, он, используя имена найденные имена внутренних файлов, создавал аналогичные пакеты в открытых репозиториях, а сервера, найдя новый файлик в сети, скачивали его, тем самым заражались. Точнее, могли бы заразиться, если бы господин Бирсан преследовал эту цель.
Теперь же исследователи из университета Турку в Финляндии решили чуть лучше разобраться в ситуации и провели исследование, в рамках которого проанализировали более 190 тысяч пакетов PyPl. Из них почти половина, а точнее 46% содержали минимум одну ошибку. Но были и совсем уж монстры, состоявшие целиком из ошибок, а именно PyGGI (2589 ошибок) и appengine-sdk (2356). Несмотря на то, что в первом ошибок больше, второй берёт качеством, ведь его баги куда опаснее, ведь часть из них связана с межсайтовым выполнением сценариев и потенциально небезопасными сетевыми протоколами. Но если в предыдущих ошибок было много, но это всё же ошибки, то следующие прецеденты объяснить трудно. В пакетах noblesse, genesisbot, are, suffer, noblesse2 и noblessev2 нашли код для перехвата данных кредитных карт и телефонов, сохранённых в Chrome и Edge. Кроме того, они содержали код для передачи токенов учётных записей из Discord.
Всё вышеперечисленное было бы очень страшно и говорило бы об огромных рисках, если бы не один конкретно взятый бандит. Точнее не бандит, а «Bandit» - инструмент для сканирования кода на предмет ошибок. Разработчик сей утилиты заявил, что его детище не отличается чрезвычайной надёжностью, поэтому нужно перепроверять результаты вручную.
И ещё одна уязвимость, а точнее, новая версия старой атаки HTTP Request Smugling. Касается эта проблема всех reverse-proxy систем, поддерживающих HTTP/2. Производится это посредству передачи некорректных заголовков "Content-Length" и "Transfer-Encoding" через HTTP/2, что вызывает сбой синхронизации постоянного соединения между фротендом и бэкендом и отправку клиентам чужих ответов. А выглядит сие счастье примерно следующим образом:
С помощью этого можно осуществить следующие действия нелицеприятного характера:
Кстати, если я говорю «немного», не стоит мне верить
Это новый сервис от госуслуг, позволяющий бесплатно генерировать электронную подпись и использовать её там, где это возможно. А возможно это пока только на самом портале Госуслуг и при покупке сим карт (на момент написания только Теле2, но остальные операторы планируют подключиться к программе в скором времени). В дальнейшем перечень сделок и юридических документов будет расширен, как утверждают в Минцифры, можно будет осуществлять куплю-продажу автомобилей и аренду недвижимости. Но если я когда-то и скачаю это приложение, то куплю себе для него отдельный телефон. Потому что я видел разрешения, необходимые для его установки. Ах да, вы ведь ещё их не видели. Что ж, исправляю:
Казалось бы, одним заголовком всё сказано, можно не продолжать, ведь очень уж эта история известна, но я всё же предпочту о ней рассказать.
Я думаю эти две картинки вполне качественно вводят вас в курс дела. Нужно лишь добавить, что уволены 147 человек, часть из которых вообще не имели отношения к разработке или поддержке программных продуктов, а именно грузчики и доставщики.
Господин Агапитов написал, что он «скомуницировал это напрямую и быстро без подсластителя», но вот проблема, вместе с подсластителем он забыл и русский язык. Кроме этого где-то в прошлом (а именно в 2017 году) остались и его заявления о том, что «сотрудникам платят не за количество отработанных часов, а за результат». Интересно, не правда ли?
Немного позже глава компании бросил клич по поиску «вовлечённого» PR-специалиста в России. Не мудрено, что такая выхдка сильно ударила по репутации компании и после этого могут вырасти как внутреннее напряжение в компании, так и сложность найма новых работников.
Кстати, основная причина увольнение заключается в том, что компания перестала показывать 40-процентный рост. Чтобы компенсировать подобное отставание, в компании решили «убрать» 10 % сотрудников с наименьшими зарплатами. И логично, что под удар попали сотрудники из РФ, ведь здесь зарплаты куда ниже, чем в США.
«Кажется, что людей много, но это самые низкооплачиваемые люди, которые отсиживаются»
По его мнению низкооплачиваемые работники — бесполезные. Кстати, под увольнение попали двое барист и двое хостес. И какой же высокооплачиваемый сотрудник будет варить кофе вместо барист или выполнять обязанности администратора вместо хостес. Быть может один из топ-менеджеров? Или лично вы, господин Агапитов?
Юристы, тем временем, советуют «отчисленным обращаться в суд и обжаловать решение компании.
Тест тех сообщений был настолько плох, что некоторые предположили, что он был написан нейросетью, однако глава признался, что это писал он сам, ведь по русскому и английскому у него были тройки. Что ж, жаль, что глава такой крупной компании не умеет писать.
«Конечно, такие выходки, которые я себе позволяю, они пугают людей, у них есть ощущение незащищенности и неуверенности в завтрашнем дне. Я в этом прекрасно отдаю себе отчет. Я прекрасно понимаю, что эмоциональный интеллект — это что-то, что мне тяжело дается, но я над этим работаю».
Он также сказал, что будет продолжать подобную практику и эти увольнения будут производиться раз в 6-12 месяцев, если показатели не будут соответствовать норме.
Вот такой вот жёсткий руководитель со своими жёсткими мерами и столь же жёстким ударом по репутации компании.
А вот это уже новость лично от меня, с моим личным негодованием. Я уже около года пользуюсь услугами ртк, и около трёх-четырёх месяцев назад они стали чрезвычайно радовать, т.к. после замены роутера скорость стала очень приятной, а именно 350Мбит/с, собственно, ровно столько, сколько и написано в тарифе, хотя иногда выдавало и 500Мбит/с, но так или иначе, всё было стабильно, но позавчера, 7-го августа на компьютере, подключённом проводом к роутеру, перестала грузиться часть сайтов, а устройства, подключаемые по WiFi (телефон и ноутбук) требовали аутентификацию в сети, как будто я подключаюсь к публичному WiFi, однако страница аутентификации пуста.
По данным downdetector, я такой далеко не один.
Как я и писал, грузятся далеко не все сайты, в том числе наш с вами любимый форум и мой сайт. Форум (как и многие другие сайты) на данный момент выглядит следующим образом.
И чтобы загрузить эту статью, я раздаю мобильный интернет на ноутбук и через тернии 2g заливаю этот материал. Очень надеюсь, что проблема будет устранена, ведь когда ртк работает, он работает отлично.
На этом новости подошли к концу, приходите на следующей неделе, а за сим откланяюсь.
FSF снова здесь
Но нет, Столлмана ни в чём не обвинили и ни откуда не выгнали. Эта новость напрямую с ним вообще не связана. Не успел Copilot выйти, как люди сразу озаботились вопросом этики и законности при его использовании. В фонде свободного программного обеспечения заметили эти беспокойства и решили провести исследование.
Даже по первичному осмотру фонд заметил несколько особенностей, которые противоречат принципам сообщества открытого ПО, а именно
- Необходимость в Microsoft Visual Studio Code или хотя бы части её кода, а сия программа не является открытой, как известно;
- Непонятно, какой лицензией защищена нейросеть и кому будут принадлежать авторские права на код, написанный с помощью нейросетевого помощника.
- Действительно ли обучение нейронной сети на свободном программном обеспечении можно считать добросовестным использованием?
- Могут ли фрагменты кода и другие элементы, скопированные из репозиториев, размещенных на GitHub, привести к нарушению авторских прав?
- Нет ли чего-то принципиально несправедливого в том, что компания, занимающаяся проприетарным программным обеспечением, запустила такой сервис.
Ссылка скрыта от гостей
Немного об уязвимостях
В одном из предыдущих дайджестов я писал о человеке по имени Алекс Бирсан. Как вы наверняка помните, он, используя имена найденные имена внутренних файлов, создавал аналогичные пакеты в открытых репозиториях, а сервера, найдя новый файлик в сети, скачивали его, тем самым заражались. Точнее, могли бы заразиться, если бы господин Бирсан преследовал эту цель.
Теперь же исследователи из университета Турку в Финляндии решили чуть лучше разобраться в ситуации и провели исследование, в рамках которого проанализировали более 190 тысяч пакетов PyPl. Из них почти половина, а точнее 46% содержали минимум одну ошибку. Но были и совсем уж монстры, состоявшие целиком из ошибок, а именно PyGGI (2589 ошибок) и appengine-sdk (2356). Несмотря на то, что в первом ошибок больше, второй берёт качеством, ведь его баги куда опаснее, ведь часть из них связана с межсайтовым выполнением сценариев и потенциально небезопасными сетевыми протоколами. Но если в предыдущих ошибок было много, но это всё же ошибки, то следующие прецеденты объяснить трудно. В пакетах noblesse, genesisbot, are, suffer, noblesse2 и noblessev2 нашли код для перехвата данных кредитных карт и телефонов, сохранённых в Chrome и Edge. Кроме того, они содержали код для передачи токенов учётных записей из Discord.
Всё вышеперечисленное было бы очень страшно и говорило бы об огромных рисках, если бы не один конкретно взятый бандит. Точнее не бандит, а «Bandit» - инструмент для сканирования кода на предмет ошибок. Разработчик сей утилиты заявил, что его детище не отличается чрезвычайной надёжностью, поэтому нужно перепроверять результаты вручную.
Ссылка скрыта от гостей
Ссылка скрыта от гостей
И ещё одна уязвимость, а точнее, новая версия старой атаки HTTP Request Smugling. Касается эта проблема всех reverse-proxy систем, поддерживающих HTTP/2. Производится это посредству передачи некорректных заголовков "Content-Length" и "Transfer-Encoding" через HTTP/2, что вызывает сбой синхронизации постоянного соединения между фротендом и бэкендом и отправку клиентам чужих ответов. А выглядит сие счастье примерно следующим образом:
С помощью этого можно осуществить следующие действия нелицеприятного характера:
- Кража cookie;
- Кража данных для авторизации;
- Подстановка стороннего js-кода.
Ссылка скрыта от гостей
Кстати, если я говорю «немного», не стоит мне верить
Госключ
Это новый сервис от госуслуг, позволяющий бесплатно генерировать электронную подпись и использовать её там, где это возможно. А возможно это пока только на самом портале Госуслуг и при покупке сим карт (на момент написания только Теле2, но остальные операторы планируют подключиться к программе в скором времени). В дальнейшем перечень сделок и юридических документов будет расширен, как утверждают в Минцифры, можно будет осуществлять куплю-продажу автомобилей и аренду недвижимости. Но если я когда-то и скачаю это приложение, то куплю себе для него отдельный телефон. Потому что я видел разрешения, необходимые для его установки. Ах да, вы ведь ещё их не видели. Что ж, исправляю:
- местоположение, включая approximate location (network-based) и precise location (GPS and network-based);
- доступ (чтение, запись, удаление) к фото/мультимедиа/файлам в основном хранилище мобильного устройства и к USB-накопителю;
- камера (съемка фото и видео);
- другие опции, включая полный доступ к сетевым настройкам и запуск при включении устройства.
Ссылка скрыта от гостей
Xsolla
Казалось бы, одним заголовком всё сказано, можно не продолжать, ведь очень уж эта история известна, но я всё же предпочту о ней рассказать.
Я думаю эти две картинки вполне качественно вводят вас в курс дела. Нужно лишь добавить, что уволены 147 человек, часть из которых вообще не имели отношения к разработке или поддержке программных продуктов, а именно грузчики и доставщики.
Господин Агапитов написал, что он «скомуницировал это напрямую и быстро без подсластителя», но вот проблема, вместе с подсластителем он забыл и русский язык. Кроме этого где-то в прошлом (а именно в 2017 году) остались и его заявления о том, что «сотрудникам платят не за количество отработанных часов, а за результат». Интересно, не правда ли?
Немного позже глава компании бросил клич по поиску «вовлечённого» PR-специалиста в России. Не мудрено, что такая выхдка сильно ударила по репутации компании и после этого могут вырасти как внутреннее напряжение в компании, так и сложность найма новых работников.
Кстати, основная причина увольнение заключается в том, что компания перестала показывать 40-процентный рост. Чтобы компенсировать подобное отставание, в компании решили «убрать» 10 % сотрудников с наименьшими зарплатами. И логично, что под удар попали сотрудники из РФ, ведь здесь зарплаты куда ниже, чем в США.
«Кажется, что людей много, но это самые низкооплачиваемые люди, которые отсиживаются»
По его мнению низкооплачиваемые работники — бесполезные. Кстати, под увольнение попали двое барист и двое хостес. И какой же высокооплачиваемый сотрудник будет варить кофе вместо барист или выполнять обязанности администратора вместо хостес. Быть может один из топ-менеджеров? Или лично вы, господин Агапитов?
Юристы, тем временем, советуют «отчисленным обращаться в суд и обжаловать решение компании.
Тест тех сообщений был настолько плох, что некоторые предположили, что он был написан нейросетью, однако глава признался, что это писал он сам, ведь по русскому и английскому у него были тройки. Что ж, жаль, что глава такой крупной компании не умеет писать.
«Конечно, такие выходки, которые я себе позволяю, они пугают людей, у них есть ощущение незащищенности и неуверенности в завтрашнем дне. Я в этом прекрасно отдаю себе отчет. Я прекрасно понимаю, что эмоциональный интеллект — это что-то, что мне тяжело дается, но я над этим работаю».
Он также сказал, что будет продолжать подобную практику и эти увольнения будут производиться раз в 6-12 месяцев, если показатели не будут соответствовать норме.
Вот такой вот жёсткий руководитель со своими жёсткими мерами и столь же жёстким ударом по репутации компании.
СПАСИБО, РОСТЕЛЕКОМ!
А вот это уже новость лично от меня, с моим личным негодованием. Я уже около года пользуюсь услугами ртк, и около трёх-четырёх месяцев назад они стали чрезвычайно радовать, т.к. после замены роутера скорость стала очень приятной, а именно 350Мбит/с, собственно, ровно столько, сколько и написано в тарифе, хотя иногда выдавало и 500Мбит/с, но так или иначе, всё было стабильно, но позавчера, 7-го августа на компьютере, подключённом проводом к роутеру, перестала грузиться часть сайтов, а устройства, подключаемые по WiFi (телефон и ноутбук) требовали аутентификацию в сети, как будто я подключаюсь к публичному WiFi, однако страница аутентификации пуста.
По данным downdetector, я такой далеко не один.
Как я и писал, грузятся далеко не все сайты, в том числе наш с вами любимый форум и мой сайт. Форум (как и многие другие сайты) на данный момент выглядит следующим образом.
И чтобы загрузить эту статью, я раздаю мобильный интернет на ноутбук и через тернии 2g заливаю этот материал. Очень надеюсь, что проблема будет устранена, ведь когда ртк работает, он работает отлично.
На этом новости подошли к концу, приходите на следующей неделе, а за сим откланяюсь.
Последнее редактирование:
