Computers Were a Mistake

SSH over HTTP/3 (который QUIC). Вкраце:

• TLS 1.3 для шифрования, HTTP/3 для транспорта. Для того, чтобы было как можно труднее искать сервера с открытым SSH портом (ну да, ну да, будто поможет, ка каждый болт найдется своя хитрая гайка).
• Возможность указать секретным ключем реальный сервер, на который можно зайти. Такой аналог Gateway. Раньше это решали через OTP.
• Возможность использовать OAuth/OpenID Connect для аутентификации и авторизации. Теперь на сервера можно будет заходить с помощью учетки Github.
• Возможность пробрасывать не только TCP, но и UDP порты.
• Искаропки умеет в multipath и миграцию соединений без разрыва (это когда вы пользуетесь более чем одним каналом и когда сидите через мобильное соединение и у вас происходит частый переход между базовыми станциями со сменой выходного IP адреса).
• Быстрая установка соединения - 3 сетевых итерации вместо 5-7 (ну или 5-11, если у вас есть Kerberos/LDAP аутентификация).
• Поддержка старых методов аутентификации (пароль, ключи, autorized_keys).

Выглядит эта штука, конечно, вкусно и многообещающе (если закрыть глаза на использование HTTP/3), однако пункт 3 - это же жесть, товарищи. Я могу понять, если это используется в корпоративной среде, но и там для этого уже сейчас есть решения, вроде той же LDAP аутентификации, FreeIPA там, платные IdP...

А вы готовы сделать возможным вход на свои сервера через учетку левого сервиса? :)

Говорят, что пользовательские данные в Atlas не затронуло, только корпоративные системы (панель управления услугой, иначе говоря).

Но самое красивое в этой новости от воскресенья:

> Отмечается, что произошедший несколько часов назад сбой, из-за которого пользователи облачного хранилища Atlas и портала технической поддержки не могли подключиться, не связан с разбираемым инцидентом.

🤣

Вот такое приехало в чат админов хомсерверов:

> Dear administrators, > > Some of you may have seen that Synapse will soon be getting forked by Element under an AGPLv3.0 licence (with CLA, for proprietary dual licensing). > > If not, you can read a bit about this here: > > https://matrix.org/blog/2023/11/06/future-of-synapse-dendrite/ > > https://element.io/blog/element-to-adopt-agplv3/ > > The specifics of this arrangement are still being worked out but I would consider it likely that, once the new arrangements are in place, you will need to change where you pull your packages and sources from. > Given that Element currently provides the day-to-day maintenance for the project and the Matrix.org Foundation does not have the resources to maintain it ourselves, it is not unlikely that the Matrix.org Foundation's copy of the repository will be marked as 'archived'. > > Synapse 1.96.0 (which is already in RC) will be available under the Apache 2 licence but later versions will be happening on Element's fork under the new arrangement. > > We are delaying the release of Synapse 1.96.0 whilst the specifics are being figured out and until such time that we can give people helpful and correct information concerning this change in the release notes in the 'final' version. > > Sorry for the inconvenience and I hope we can get some news to you soon.

Прослеживается четкая тенденция выстрелившим проектам переходить на анальнозондированную AGPL (или даже SSPL). А все почему? Потому что на развитие нужны деньги, и AGPL в среднем всегда означает двойное лицензирование :)

С другой стороны, если вы пользуете synapse не в коммерческих продуктах - для вас ничего не изменится. Но если вы хотели встроить в ваше суперпуперзакрытое приложение матрицу вместо чата или даже транспорта данных (и такие люди тоже есть) - 1.96.0 последняя версия, которую вы сможете невозбранно использовать.

Я тут запилил evolved - "костыль сбоку" для Evolution (PIM гномовский), который показывает на таскбаре число непрочитанных сообщений во всех папках всех учеток.

Зачем? Все просто - в evolution эта функциональность активируется только при наличии установленной libunity на этапе сборки, и работает только для входящих. В Arch Linux, например, Evolution собран без libunity, следовательно, не показывает вообще никаких цифер в таскбаре.

Пользуйтесь наздоровье :)

Байтовый заголовок, да? Однако все максимально просто - у вас теперь может быть установлена либо JRE, либо JDK (который включает в себя JRE). Вроде как разные версии все еще можно ставить в одну систему беспроблемно.

Поэтому если у вас стоит набор из JDK, JRE и JRE headless в рамках одной версии - выбирайте что-то одно.

Это изменение приедет со следующим обновлением Java 21, предыдущие версии, скорее всего, трогать не будут.

Из наиболее интересных изменений:

• Новый планировщик EEVDF (Earliest Eligible Virtual Deadline First). Видимо, еще один способ починить 12309.
• Больше запретов для не-GPL модулей ядра. Интересно, как это скажется на блобе невидии?
• Добавлена поддержка архитектуры LoongArch в отладочных инструментах.
• ReiserFS теперь Obsolete с удалением поддержки из ядра в 2025 году.
• Запрещено изменение прав для символических ссылок.
• Из кода SELinux убрано упоминание NSA (АНБ США) 🤣.

Один из типичных кликбейтных заголовков. Раньше было как - максимальный срок поддержки LTS релизов был 8 лет, из которых 5 лет обновления получают все, а последние 3 года - платные подписчики. Теперь платные будут получать их 5 лет, у обычных пользователей изменений никаких.

Вообще это просто "срезание углов" - ранее решение продлить на 2 года поддержку для платных подписчиков принималось для всех LTS релизов, начиная с 14.04. Теперь решение принимать не надо - все будет по-умолчанию.

Интересно выгядящий проект, который позволит увеличить безопасность выполняемых контейнеров за счет применения нормального гипервизора. Теперь эта штука умеет в aarch64, можно попробовать позапускать на одноплатниках, а также добавилась возможность прокидывать в контейнеры видеокарты.

В последнее время securitylab скатывается непонятно куда. Раньше там постились годные новости про безопасность, с некоторым разбавлением новостями о новых технологиях, а теперь...

Система ATHENA защищает воздушные суда от ракет с инфракрасным наведением:

> ... > > Современное поле боя доминируется сложными вооруженными системами, однако часто самое большое опасение вызывают простые вооружения. Особенно опасными являются портативные зенитные ракетные комплексы (MANPAD), которые могут быть использованы террористами. Эти устройства, впервые представленные в 1950-х годах, являются портативными пусковыми установками, стреляющими ракетами, которые блокируют инфракрасную подпись двигателя воздушного судна. > > ...

Что, простите, блокируют???

В этом контексте "locked" (или "locking") должно переводиться как "захватывают". Захватывают они инфракрасный след двигателя. А, да, "signature" это не "подпись" в текущем контексте, а "след". Тогда фраза начинает быть осмысленной:

> Эти устройства, впервые представленные в 1950-х годах, являются портативными пусковыми установками, стреляющими ракетами, которые захватывают инфракрасный след двигателя воздушного судна.

И то можно для точной передачи смысла в конец дописать "в качестве цели".

Вы там что, новости без вычитки редактурой выпускаете, да?

В довесок вы получаете VPN клиент фирменного сервиса от разработчиков браузера. После поднятой волны недовольства вице-президент разработки (ничоси, у них там уже и президенты есть!) пообещал, что VPN клиент будет скачиваться и устанавливаться только после подписки (которая, кстати, $10 в месяц). А пока рекомендуется ставить браузер пользователю в хомяк, чтобы у него не было прав администратора на установку системных приложений и драйверов (что, собственно, требует wireguard).

Видимо, этим умникам мало было скандала с автоподстановкой рефералок на всякие криптобиржи. Приехал новый уровень :)

> Сегодня в Сочи стартовал форум «Микроэлектроника», на котором российская «Норси-Транс» объявила о начале производства серверов, систем хранения данных, персональных компьютеров и ноутбуков на китайских процессорах Loongson. Поставки этих чипов в Россию в конце 2022 года были ограничены китайскими властями. Решение Loongson возобновить поставки в Россию эксперты связывают с попаданием Loongson под санкции США. > > Российская компания «Промобит» тоже планирует использовать чипа Loongson в своей вычислительной технике, которая выпускает продукцию под брендом Bitblaze.

Собственно, Китаю уже давно пора понять, что Тайвань надо забирать, и партнериться с Россией в том числе по микроэлектронике. Так победим.

Но вообще прямо интересно посмотреть вживую и потыкать что-то на LoongArch. Если у вас есть такая железяка, вы в ебурге и готовы на несколько дней ее дать напотыкать - пишите на [email protected] :).

Произошло еще в четверг, поэтому в bleeding edge уже доехало, скорее всего.

Примечателен релиз тем, что по-умолчанию ssh-keygen теперь генерирует ключи на базе цифровой подписи ed25519 (ура!), а также защитой от атак по сторонним каналам, связанным с временными задержками между нажатиями клавиш - теперь любые нажатия передаются каждые 20мс (или используется значение ObscureKeystrokeTiming).

> В следующем выпуске Firefox решено изменить некоторые настройки, связанные с восстановлением прерванного сеанса после выхода из браузера. В отличие от прошлых выпусков между сеансами начнут сохраняться сведения не только об активных вкладках, но и о недавно закрытых вкладках, что позволит восстанавливать случайно закрытые вкладки после перезапуска и просматривать их список в режиме Firefox View. По умолчанию будут сохраняться данные о 25 послед них вкладках, открытых за последние 7 дней. Также будут учитываться данные о вкладках в закрытых окнах и обрабатываться список закрытых вкладок в контестке сразу всех окон, а не только текущего окна.

Очень годно, очень! Мне частенько нехватало возможности после перезапуска браузера (например, после обновления системы) открыть закрытую ранее вкладку. С релиза 119 будет можно!

Уязвимость CVE-2023-4211 описана как неправильный доступ к освобожденной памяти, что может позволить скомпрометировать или манипулировать чувствительными данными. Arm объясняет, что локальный пользователь без привилегий может выполнять неправильные операции обработки памяти графического процессора, чтобы получить доступ к уже освобожденной памяти.

Arm также раскрыла и другие уязвимости : CVE-2023-33200 и CVE-2023-34970, которые позволяют непривилегированному пользователю использовать состояние гонки (race condition) для выполнения неправильных операций графического процессора для доступа к освобожденной памяти. Ошибки затрагивают Bifrost, Valhall и версии драйвера ядра архитектуры GPU Arm 5-го поколения до r44p0, с рекомендуемыми целями обновления r44p1 и r45p0 (выпущенными 15 сентября 2023 года).

В среднем по больнице вам, как обычному пользователю, делать ничего не надо, а надо просто ждать обновление прошивки с обновленными драйверами. И не забыть немного пофейспалмить.

В один прекрасный момент (а именно - сегодня в 4 утра по Москве) мне на почту пришло сообщение от моей RSS читалки о новом релизе Drone, который есть CI/CD штука с возможностью использовать оный с gitea/gogs, github, gitlab и тонной других систем. Озаглавлено это письмо было так:

[Releases: drone] First Gitness Release (Beta)

Перешел в реп, нашел ссылочку на сайтик (модный, кстати), и... Теперь стало модно пилить свой аналог github/gitlab/gitea :) Теперь это не просто CI/CD, но еще и хостинг кода с ревью и пулл реквестами (мерж реквесты звучит лучше, как мне кажется).

Ждем форка Drone и его дальнейшего развития видимо, так как до feature parity с той же gitea новомодной gitness ой как далеко, я уже молчу про хотя бы gitlab, а нормальный CI/CD отдельный с легкой интеграцией в разные github/gitlab/gitea/etc. нужны.

Американские исследователи обнаружили в графических процессорах Apple, Intel, AMD, Qualcomm, Arm и NVIDIA уязвимость, из-за которой сайты с вредоносным кодом могут осуществлять кражу данных с других сайтов — это могут быть логины, пароли и любая другая отображаемая конфиденциальная информация.

Атака получила название... Внимание... GPU.zip 😆. Она позволяет использовать ресурсы графических процессоров для кражи данных с сайтов, страницы которых вставляются через элементы iframe на другие ресурсы, вредоносные. Исследователи обнаружили, что сжатие данных, которое обрабатывается интегрированными и дискретными видеокартами для повышения производительности, может оказаться побочным каналом кражи информации — она осуществляется попиксельно.

Работает на Chromium-основанных браузерах, Firefox и Safari в безопасности. В случае с AMD Ryzen 7 4800U потребовалось около 30 минут для рендеринга целевых пикселей с точностью 97 %. В случае с Intel Core i7-8700 время увеличилось до 215 минут.

Вот что делают пенсионеры, когда им становится скучно - они идут в макрософаг и внедряют поддержку того, чему они посвятили большую часть жизни, в другой не менее популярный софт. Сразу вспоминаются мемы про "устроился к нам человек, пофиксил баг, который его беспокоил, и уволился".

С другой стороны, если закрыть глаза на проприетарь, уход от VB к Python в макросах - это большой и жирный плюс. Если это, конечно, в макросах.

Кто сидит на предварительных версиях MS Office? Как там? Жизнь с питоном есть?

А вы знали, что бейджи в таскбарах в электроноприложениях в Linux (и, возможно, *BSD) до сих пор работают через устаревшую библиотеку? Нет? Тогда вот вам дежурное напоминание.

*Счетчик (или бейдж) в таскбаре в Linux (и, возможно, BSD) работают через libunity.

Что это значит? А то, что в том же Arch Linux эта библиотека давно перекочевала в AUR из-за того, что никто не хочет ее поддерживать в основных репозиториях. А она нужна и важна, хоть и влияет только на циферку в таскбаре.

А еще нюанс в том, что она требует libicu 72.x, а в основных репах Arch Linux - уже libicu 73.x. Поэтому если у вас на арчике вдруг пропали счетчики - устанавливаем icu72-bin из AUR. Гентуводы, соответственно, ставят оную в отдельный слот, пользователи openSUSE Tumbleweed продолжают погружаться в адЪ с пользовательскими репками и занимаются поисками на https://software.opensuse.org/.

Крайне рекомендую всем обновиться, так как там возможно перетирание директорий с данными при определенных обстоятельствах. Например, если репозиторий назовут attachments - вы попрощаетесь со всеми своими аттачами к багам и в вики.

Ранее HashiCorp считался (и кем-то до сих пор, конечно, считается) одним из законодателей мод в облачных средах. Хотите секреты безопасно? Vault! Хотите легкое обнаружение сервисов в гетерогенной среде? Consul! Хотите управлять инфрой через файлики, но не нравится Ansible (кхе-кхе 😄)? Terraform! Хотите изолированное окружение для разработки и тестирования? Vagrant!

Конечно, смена лицензии не особо повлияет на мою возможность использовать эти средства и далее, даже в коммерческих целях (если я прямого конкурента не создаю), однако осадочек все-таки есть. Теперь надо быть осторожнее с ними. Теперь они не только накладывают ограничения на скачивание дистрибутивов, но еще и лицензиями закрылись. Сразу вспоминается драма с elasticsearch, разработчики которого сделали похожий шаг и тут же натолкнулись на форканье всего стека Amazon'ом.

Пропустил сие "знаменательное" событие, но не могу не упомянуть его. Как обычно, виновато спекулятивное выполнение команд. Собстна, копипаста с новости, которое сделает любой день "слаще":

> Средства для защиты от уязвимости Downfall предложены в свежем обновлении микрокода, но блокирование уязвимости может приводить к снижению производительности до 50% при использовании в коде инструкции GATHER.

!

Основные изменения:

• Теперь все версии будут трехзначными. Раньше первый релиз новой версии был двухзначным (например, 1.20).
• PGO включен по-умолчанию. Однако, профит вы получите только при наличии файла профиля рядом с main.go.
• Новый пакет log/slog для структурированного логирования. zap и zerolog напряглись :).
• Новые пакеты slices, maps, cmp. Теперь основные операции с слайсами, мапами и сравнениями доступны не копипастой или сторонней библиотекой.
• ...а также некоторые изменения в других пакетах и тулчейне.

В анонсе, который его родные отправили в почтовую рассылку vim_announce, сказано, что Брам скончался от медицинских (естественных) причин.

Спасибо Брам за улучшенную версию самого двоякого редактора, который позволяет не только редактировать разнообразные файлы, но еще и перезагружать систему, иногда выдергивая кабель питания. Твое дело также дало старт множеству улучшенных версий редактора, вроде neovim, так что наследие точно будет жить.

Выражаю свои самые искренние соболезнования как родным, так и всему сообществу. Это большая потеря.

:x!

Итак, драма получила продолжение:

1. SUSE форкнула LXD под именем Incus, потому что есть клиенты, и они (SUSE, а не клиенты) опасаются, что Canonical сделает в итоге невозможным запуск LXD как-то, кроме как из snap-пакета.
2. Тем временем лидер проекта LXD Стефан Грабер свинтил из Canonical, объявил о нежелании подписывать CLA, а еще также форкнул LXD и... Тоже назвал его Incus!

🍿🍿🍿

Суть в том, что там сделали полноценный интерфейс на GTK3. Да, на старой, в принципе уже не поддерживаемой особо версии. Бонусом, помимо Wayland'a, Emacs теперь можно запускать с рендером в веб-интерфейс с помощью бэкенда Broadway.

Также, в качестве бонусов:

• Встроенный клиент eglot для работы с LSP.
• Двойная буферизация в Windows, чтобы не было тиринга (😆).

Я его не пользую, но эмаксеры должны возрадоваться!

Сегодня обнаружил, что сервис, над которым я работал несколько лет, помер смертью храбрых. Он бился до конца за выживание, но суровые реалии жизни (то есть хотелки бизнеса) поставили на нем жирный крестЪ.

За время работы над сервисом конкретно я серьезно улучшил рекомендации, поиск и быстродействие вообще. Вспоминая баталии с КХДшниками и MLщиками - на глаза наворачивается слеза умиления, а от воспоминаний реализации обсчета всяких больших данных сводит скулы (их там было действительно много).

Goodbye, МегаФон.ТВ. Это были крутые 3 с лишним года.

А вы слышали про такое импортозамещение, как МойОфис Squadus? Выглядит красиво - вот тебе и чат, и звонилка, чтобы в конфочках дискасить поинты роадмепа, и тредики с реакциями, и прочее, что ожидаешь от современного корпоративного мессенджера.

А что на деле? А на деле это, судя по всему, ребрендированный Rocket.Chat. Возможно, конечно, с какими-то доработками за гранью "интеграции с остальными продуктами МойОфис", не знаю. При этом на сайте нигде нет упоминания о том, что решение базируется на рокете.

Сравните скриншоты :) Это Rocket.Chat с настроенным Jitsi Meet, выдаваемый за свою разработку, которая каким-то образом попало в реестр Минцифры. Хотя мы знаем каким - вряд ли там сильно утруждались проверкой, особенно от МойОфис.

Короче, мужики, не позорьтесь. Упомяните хотя бы, что сделали на основе Rocket.Chat на странице продукта, а то получается как-то некрасиво.

А, да, слайд с сайта на картинке. Это уже, простите, откровенное вранье. Вас, получается, опасаться надо не только как работодателя (вспоминаем и гуглим скандалы с разработчиками), но еще и как поставщика услуг?

Всех причастных с праздником! 🍻

Как я понимаю, обновления пока что еще нету, поэтому примените команды, описанные по ссылке.

Ну или не применяйте, если у вас не сервер :)

Также с некоторой долей вероятности при применении этих команд может отвалиться Docker Rootless.

Всем привет! Пропадал на 2 недели по причине отпуска, но теперь отдохнул и вновь готов радовать вас интересными новостями, обзорами и мыслями. А пока что ловите подборочку новостей, которые меня заинтересовали за отпуск.

Первое по важности для меня, как разработчика и девопса, это новость про OrioleDB. Стартап OrioleData опубликовал движок для PostgreSQL, который работает как обычный, только не приводит к раздутию файлов данных и, как следствие, отсутствует необходимость в периодическом VACUUM'е. Движок на стадии бета-тестирования, поэтому пока нигде не внедряем, но очень пристально за развитием наблюдаем.

Следующая, не менее интересная новость, это формат бинарников APE (Actually Portable Executable) и представление патчей для GCC, позволяющих создавать исполняемые файлы, которые пригодны к запуску в разных операционных системах. В качестве примера приложений, которые могут быть собраны в APE (при использовании Си-библиотеки Cosmopolitan), названы bash, curl, git, lua, cpython, ninja и сам gcc. Звучит интересно и возможно даже годно, но есть некоторые подводные камни (особенно при динамической линковке), которые надо побороть.

Последняя интересность, произошедшая за 2 недели, это обязательные предупреждения о списаниях по подпискам. Буду честен, даже я попадался на то, что подключал какую-то подписку на год и успешно о ней забывал, а потом хоба - и нет условных 4 тысяч на карте. Так что ждем, надеемся, верим. Ну а предоставляющим подписки можно только посочувствовать, так как количество расходов явно возрастет, если предупреждения будут отсылаться по каналам, отличным от электронной почты.

Ненужно толкает ненужно в массы. Уж лучше flatpak, чесслово.

Кстати, яркий пример NIH-синдрома. Напомню, что snap появился позже (где-то в районе 2013-2014 гг.), чем flatpak (2007) и даже AppImage (2004).

Судя по всему, Canonical поняли, что LXD никому нафиг не сдался, учитывая наличия Docker'а и то, что его намного проще сконфигурить и распространять образы. Теперь LXD будет что-то вроде OpenShift или openNebula, софтом для ынтырпрайзов.

А вы пользовались LXD? Если да - то зачем? :)

В новой версии переписали интерфейс на flutter, добавили поддержку IPv6 и Wayland. Я проверил, все работает :).

А вот это уже интересный подход к тому, как утилизировать неиспользуемые линии PCIe на не особо мощных видеокартах. Понятное дело, что на условном RTX 4080 и выше такое работать не будет, начиная от недостаточности питания, заканчивая недостатком охлаждения. А на видеокартах для игровых компьютеров средней мощности такое решение очень даже ничего.

Если у вас нет десктопа, то вам следует знать, что обычно M.2 SSD находятся в труднодоступном в собранном состоянии месте. Зачастую приходится снимать не только видеокарту, но и систему олаждения, чтобы добраться до оного, плюс еще снимать радиатор охлаждения. А тут вот оно, в доступном месте, да еще и кулерами видеокарты охлаждается (что куда как лучше, чем пассивное охлаждение радиатором).

Арчеводы! Еще один ахтунк!

Откатывайте pipewire до 0.3.71-2, иначе при подключенном BT аудио, опять же, может выдавать спецэффекты в виде отсутствия звука при попытке воспроизведения звука более, чем одним приложением.

Выходные, в общем, не задались :)

Арчеводы, алярма!

Версия 5.68 (https://github.com/bluez/bluez/releases/tag/5.68) с исправлением уже появилась на github'е, сейчас можно сделать что-то из следующего:

• Даунгрейднуться до 5.66.
• Установить из AUR git версию bluez.

Один из любимейших моих шутеров. Мало того, что опенсорсный, дак еще работает даже на тостере (всмысле по производительности), имеет не совсем тупых ботов, множество годных режимов (instagib и nix - мои любимые, к слову) и много прикольных карт.

В новой версии:

• Добавили пару новых режимов (которые я уже хочу попробовать, @leaveitru, готовься 😜).
• Добавлены несколько новых карт, улучшены старые.
• Много разнообразных оптимизаций.
• Улучшен ИИ ботов, теперь есть т.н. "суперботы", для настоящих задротов.
• Добавлены разнообразные визуальные эффекты.
• Устранена уязвимость, позволяющая выполнить код на системе игрока, подключенного к вредоносному серверу.

Кстати, если кто желает, у меня на pztrn.online сервер имеется поднятым, правда, пока что версии 0.8.5. Прям так и пишем в консоли: connect pztrn.online.

А чтобы обновляться было не больно, берем Obtainium, вбиваем Github Liftoff'a, и радуемся жизни! Эта штука умеет обновлять софт не только с гитхаба, но и тонны других хостингов, а также некоторые отдельные приложения вроде Steam, VLC, Telegram. Полный список поддерживаемого добра есть в README по ссылке.

Работает эта штука методом парсинга страничек релизов: спарсила, сравнила с установленной на данный момент, и, если версии различаются, выдала всплывашку. Выглядит довольно удобно для пользования тем софтом, которого нет даже в F-Droid, но есть на условном шитхабе.

После поднятия Lemmy я, конечно же, искал себе хороший клиент, чтобы не в браузере скроллить. Попробовав почти с десяток разнообразных (включая, кстати, даже веб-морду, имитирующую phpbb!), я остановился на Liftoff. Все, как мы любим в кроссплатформенной разработке: dart/flutter, некоторая недоступность в сторах (вроде бы есть в play market, однако я его не нашел, видимо, для РФ заблокирован), однако APK успешно скачивается и ставится из релизов.

Если вы пользуете Lemmy, я крайне рекомендую именно этот клиент.