Category: it

Оглавление


Последнее обновление: 2.02.2010
Все, что написано здесь - это моё личное мнение. Если оно вам очень не нравится, вы можете просто его не читать.
Collapse )
Анонимусам и собакам вход воспрещён.

Как МФИ-софт относится к безопасности

https://habr.com/en/news/t/465053/

Это пиздец конечно. Обосрались и врали, что это - какие-то корпроративные иб в интернет торчат.

И остаётся открытым вопрос, зачем в качестве вендора в пакетах, лежащих на публичном FTP-сервере, поднятом на публично доступных узлах, указана «МФИ-Софт», если это не её продукты, а какие-то корпоративные системы?

Обо всём было сообщено «МФИ-Софт», но компания не отреагировала. Больший эффект дала рассылка писем по abuse-ящикам провайдеров — целых 5 снифферов исчезли из общего доступа. Осталось 25. Некоторые снифферы после исчезновения возвращались, когда сотрудникам вендора нужно было получить к ним удалённый доступ

4.2. Подключение 16-ти пунктов управления техническими средствами ОРМ (далее — ПУ) для управления техническими средствами ОРМ с целью проведения оперативно-розыскных мероприятий с использованием интерфейса EtherNet IEEE 802.3 TX и назначением одного из ПУ головным. Наличие иных интерфейсов для управления техническими средствами ОРМ не допускается.

digital.gov.ru/ru/documents/4249

то есть, ребята из МФИ-Софт могут, конечно, попытаться спрыгнуть на «это не управление, а полтора года отладки нашими сертифицированными слоупоками», но ходят они по тонкому льду


Это просто уму непостижимый уровнь долбоебизма. аутентификация? шифрование? ограничение по IP? ну хотя бы SSH? да они не слышали таких слов даже.

Ебалайтунг

Портирую я в данный момент мегатетрис cuyo в веб, с помощью emscriptenа. Ох и наебался я с последним: например он грузит данные программы прямо в хип, и если хипа не хватает, он ничего не говорит а тупо портит этот хип. Если быть точным, то dynamicAllocate возвращает 0, который не проверяется и хип прямо с нуля и до конца засирается. А потом проверка на запись в нулевое слово всё рубит.

Так вот, беда в том, что cuyo написан сука на немецком языке С++. То есть там внутри вообще всё что можно обозвано немецкими скороговорками. И до кучи ему не нравится собственный конфиг. Надо разгадать, хули же ему надо вот в таком коде:
  set<set<Str> >::const_iterator i1 = versionen.begin(),
                                      i2,
                                      e  = versionen.end();
  for (; i1!=e; ++i1)
    for (i2 = i1, ++i2; i2!=e; ++i2) {
      set<Str> v = vereinigung(*i1,*i2);
      if (legal(v))
        if (versionen.find(v)==e) {
          throw Fehler(_("%s%s not uniquely defined"),
		       schluessel.data(), setToString(v).data());
        }
    }

...

set<Str> vereinigung(const set<Str> & s1,const set<Str> & s2) {
  set<Str> v = s1;
  set<Str>::const_iterator i = s2.begin(),
                                e = s2.end();
  for (; i!=e; ++i)
    v.insert(*i);
  return v;
}

Я сижу и охуеваю от того, что наворотил тевтонский программист. Что это блядь такое-то вообще?
Есть set setов строк. Он берет каждую пару setов строк, делает из них set с неповторяющимися строками, и ищет их в исходном setе. Ясен пень что этот код всегда будет кидать исключение, кроме случая когда там только один сет - тогда он сам себя будет находить и радоваться.

* * *

ох ты ж блядь оно ещё и не собирается из сорцов

Как работают с китаем.

Для этого бизнеса нужно было создать устройство, способное принимать бесконтактные платежи, выдавать power bank и следить, где он сдан. Какие сложности сразу возникли? Выяснилось, что клиент уже купил устройство в Китае. И китайский менеджер ему пообещал, что всё будет классно. Но менеджер отказался предоставлять документацию по API, документацию по девайсу. В устройстве стоял «одноплатник» с операционной системой Android — и нам нужно было прикрутить бесконтактные платежи с рекуррентным списанием.

Мы пришли, посмотрели и сказали: «Ой-ой, что же нам с этим делать?» Месяц общения с китайцами привёл нас к обескураживающему результату. Китайцы сказали: «Вы нам заплатите денег — мы вам сделаем приложение. Но вы будете работать через наше китайское облако. И документацию мы вам не дадим».

https://habr.com/ru/company/southbridge/blog/468377/

Юра, мы всё проебали

Поскольку в виде комментария моё сообщение затеряется в десятках страниц, решил создать отдельный тред.

А началось всё с Джеффри Эпштейна. Он занимался сутенёрством, в том числе и с несовершеннолетними и против воли последних.

В 2002 году, когда о преступлениях Эпштейна ещё не было известно, он был организатором конференции по искусственному интеллекту. Там он он приказал одной из девушек подкатить к Минскому — известному учёному и основателю лаборатории Искусственного Интеллекта в MIT. Он отказался, но об этом стало известно лишь позже. Девушка же только сказала, что ей было приказано к нему подкатить, а что дальше происходило не уточняется.

Из-за этого все в списке рассылки CSAIL (Computer Science and Artificial Intelligence Laboratory) думали, что он таки согласился.

Ричард Столлман высказался в защиту Минского, который умер трёмя годами ранее и сам прокомментировать ничего не мог, предположив, что девушка могла притвориться, что ей самой этого хотелось.

Далее пришла Селам Джи Гано, которая с FSF не связана, а просто училась в MIT, откопала этот список рассылки (непубличный), переврала слова Столлмана, убрав слова «могла притвориться», сама этому ужаснулась, написала всем журналистам кому можно, опубликовала статью «Уберите Ричарда Столлмана».

Волну подхватили издания, такие как Vice, где всё переврали ещё сильнее и написали, что Столлман защищал самого Эпштейна, хотя сам RMS недвусмысленно сказал, что его не поддерживает на своём сайте.

Затем подключились другие: Мэттью Гарретт, Sage/Sarah Sharp, Сара Мей, Neil McGovern (исполнительный директор GNOME) вообще пригрозил разрывом отношений с FSF

https://www.linux.org.ru/forum/talks/15235904/page1

* * *

А между прочим в GPL3 есть лазейка: "и все последующие версии". И сейчас пидоры могут одним выстрелом добавить в кучу опенсорса обязательство целовать в жёппу пидоров.

Вот увидите - так и будет.

В интернет по паспорту

Глядя на засилье иностранных пиздоболов в комментах к любой новости, имеет смысл всё таки запилить авторизацию через госуслуги. Причем надо сделать так, чтоб на госуслугах можно было получить сертификат SSL, который далее используется для аутентификации(SSL умеет делать это в обе стороны). Иностранных пиздоболов как хуем сдует хотя бы из ЖЖ, а отечественных можно внести на какой-нибудь "миротворец" и ебашить скриптом нахуй из коментов.

Ёбаный хромиум фреймворк. Это просто пиздец какой-то

В общем, там есть умные указатели со счетчиком ссылкок. Казалось бы - отпусти все ссылки и всё удалится но ХУЙ! Надо ещё дождаться когда всё удалится, обрабатывая события cef в цикле пока класс, который произведен от cefclient не удалится.

Бляяяяяяяять.

Chromium embedded framework это какой-то хтонический пиздец. Начнем с того, что хром использует свою собственную реализацию ssl(boringssl) с шахматами и монашками, которую гугл пилит только для себя без оглядки на окружающих. Конечно же, на ходу выкидывают всё ненужное и иногда нужное. Например в релиз не входит реализация MD5, которая внезапно используется под виндой cef_sandbox.lib. И да, я конечно нашел релиз boringssl где мудвины ещё не выпилили md5, и ... оно даже не компилируется изза опечатки. То есть это какой-то феерический пиздец. Оно же не должно собираться даже. А собирается только потому что на девелоперских машинах не обновляли этот boringssl и багу не видят.

И да, установка resources_dir никак не мешает этой ебанине игнорировать настройку и лазать куда ей "виднее". Вообще, я охуеваю как этим вообще пользуются. Шаг влево, шаг вправо от самого примитивного хелло-ворлда и начинаются мегатраблы.

Не знамо что сказать

Норму о защите всего трафика в Рунете с помощью отечественных средств шифрования изначально планировали внести в так называемый закон о суверенном Рунете, но из финального варианта этот пункт был исключен. Однако в обозримом будущем предполагается перевод всего российского сегмента интернета на отечественную криптографию — в плане мероприятий федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика» упомянута разработка соответствующей «дорожной карты».

разработчики законов не знают, что TLS не работает "по закону", он работает по протоколу. То есть сервер оголошает набор поддерживаемых шифров, клиент его поправляет выбирая подходящий и они производят установление защищённого соединения. Соответственно, если браузер не хочет кузнечика, будет AES. А браузер-то скачан с сайта мозиллы например.

Но самая большая проблема в том, что этот шифр по-видимому умею ломать я. Ибо:
Потому что это единственная нелинейная функция во всём шифре. Без неё взломать шифр будет не просто, а очень просто, представив его в виде системы линейных уравнений.
А я придумал способ как решать даже сквозь SBox. И на этом всё.