Вылезли подснежники и коты.

Linux Foundation распределит $12.5 млн на поддержание безопасности открытого ПО

Распределением средств займутся проект Alpha-Omega и организация OpenSSF, созданные под эгидой Linux Foundation для работы в таких областях, как аудит и тестирование безопасности открытого ПО, скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки и выявление связанных с безопасностью угроз в открытом ПО.

Выделяемые средства предоставят сопровождающим дополнительные ресурсы в условиях усложнения процесса обеспечения безопасности, ускорения выявления уязвимостей и увеличения потока сообщений о новых уявзимостях, вызванных применением активно развивающихся AI-инструментов. Последнее время сопровождающие сталкиваются с наплывом сообщений об уязвимостях, многие из которых сгенерированы автоматически, не имея при этом должных ресурсов и инструментов для эффективного разбора и устранения подобных проблем.

Alpha-Omega и OpenSSF будут напрямую работать с сообществами и разработчиками, вовлечёнными в сопровождение открытых проектов, для разработки новых инструментов в области безопасности, сочетающихися с существующими рабочими процессами в открытом ПО. Инициатива также позволит сформировать стратегии, которые помогут сопровождающим справляться с увеличивающимися требованиями к безопасности и повысить общую устойчивость экосистемы открытого ПО.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65007

Внезапно, Openai купили Astral, которые делают ruff, uv и ty: https://astral.sh/blog/openai

Опубликована децентрализованная платформа совместной разработки Radicle 1.7

Radicle позволяет не зависеть при разработке и распространении кода от централизованных платформ и корпораций, привязка к которым вносит дополнительные риски (единая точка отказа, компания может закрыться или изменить условия работы). Для управления кодом в Radicle используется привычный Git, расширенный средствами определения репозиториев в P2P-сети. Все данные в первую очередь сохраняются локально (концепция local-first) и всегда доступны на компьютере разработчика, независимо от состояния сетевого подключения.

Участники предоставляют доступ к своему коду и связанным с кодом артефактам, таким как патчи и обсуждения исправления ошибок (issues), которые сохраняются локально и реплицируются на узлы других заинтересованных разработчиков, подключённые к общей децентрализованной P2P-сети. В итоге формируется глобальный децентрализованный Git-репозиторий, данные которого реплицированы и продублированы на разных системах участников.

Для определения соседних узлов в P2P-сети применяется протокол Gossip, а для репликации данных между узлами протокол Heartwood, основанный на Git. Так как протокол основан на Git, платформу легко интегрировать с существующими инструментами для разработки на Git. Для идентификации узлов и верификации репозиториев используется криптография на основе открытых ключей, без применения учётных записей. Аутентификация и авторизация осуществляется на основе открытых ключей без централизованных удостоверяющих серверов.

Каждый репозиторий в P2P-сети имеет свой уникальный идентификатор и самосертифицирован (self-certifying), т.е. все действия в репозитории, такие как добавление коммитов и оставление комментариев к issue, заверяются владельцем цифровой подписью, позволяющей убедиться в корректности данных на других узлах без использования централизованных удостоверяющих центров. Для получения доступа к репозиторию достаточно, чтобы в online находился хотя бы один узел, на котором имеется его реплицированная копия.

Узлы в P2P-сети могут подписываться на определённые репозитории и получать обновления. Возможно создание приватных репозиториев, доступных только определённым узлам. Для управления и владения репозиторием используется концепция "делегатов" (delegates). Делегатом может быть как отдельный пользователь так и бот или группа, привязанные к специальному идентификатору. Делегаты могут принимать в репозиторий патчи, закрывать issue и задавать права доступа к репозиторию. К каждому репозиторию может быть привязано несколько делегатов.

Radicle-репозитории хранятся на системах пользователей в виде обычных git-репозиториев, в которых присутствуют дополнительные пространства имён для хранения данных пиров и форков, с которыми осуществляется текущая работа. Обсуждения, предлагаемые патчи и компоненты для организации рецензирования тоже сохраняются в git-репозитории в виде совместных объектов (COB - Collaborative Objects) и реплицируются между пирами.

В новом выпуске:

• Переработана реализация подписанных ссылок (sigrefs - Signed References), в которой появилась защита от повторного использования подписей. Старая структура репозитория позволяла подменить код на его старую версию, повторно использовав старую корректную подпись. Для блокирования проблемы в новой реализации добавлен указатель на предыдущую запись, охватываемый текущей подписью, что формируют непрерывную цепочку изменений, целостность которой можно отследить относительно корня.
• Расширены возможности блокировки узлов, которые теперь блокируются на уровне управления соединениями. Если раньше блокировался только приём данных, не не ограничивалось подключение узла, то теперь блокировка применяется на этапе установки соединения с заблокированным узлом и при приёме соединения от заблокированного узла.
• Разрешено использовать любые ссылки на внешние объекты Git, кроме временных веток. Раньше разрешались только ссылки на внешние ветки, теги, метаданные Radicle, заметки и объекты для совместной работы.
• Повышена информативность сообщений об ошибках, возникающих при попытке выполнения выполнения операций, для которых у пользователя недостаточно прав.
• Повышена эффективность ввода/вывода. Разработчики обнаружили, что на долго запущенных узлах сочетание настроек "journal_mode = WAL" и "synchronous = FULL" в БД SQLite, применяемой для хранения локального состояния, приводит к большому объёму операций ввода/вывода. Для снижения нагрузки по умолчанию параметр "synchronous" выставлен в значение "NORMAL", а в файл конфигурации Radicle добавлены настройки для изменения значения данных параметров пользователем.
• Устранена уязвимость, информация о которой будет раскрыта 23 марта. В настоящее время сообщается лишь то, что команда разработчиков выполнила сканирование всех публично доступных репозиториев Radicle и не выявила следов эксплуатации данной проблемы.

Pledge changes in 7.9-beta

David Leadbeater (dgl@) posted to ports@ a message, entitled Pledge changes in 7.9-beta, which explains the consequences for porters of the recent pledge(2)/unveil(2) changes in -current (and, to some extent, 7.8). Whilst targeted at porters, it provides a good overview for anyone interested in the changes.

The message reads:

Read more…

Google анонсировал новый процесс установки сторонних приложений в Android

Алгоритм установки вручную загруженных пакетов сведётся к следующим действиям:

• Включение в настройках режима для разработчика - необходимо коснуться 7 раз области с номером сборки на странице About Phone, после чего в настройках появится секция с опциями для разработчиков, в которой нужно выбрать "Allow Unverified Packages". Данный шаг позволит исключить случайную установку и усложнит практикуемые мошенниками методы быстрой установки отправленных пользователю вредоносных пакетов.
• Подтверждение, что пользователь осознаёт риски и действует по своей инициативе, а не следует советам и уговорам посторонних.
• Перезагрузка смартфона и введение своего кода разблокировки экрана. Данный шаг помешает удалённо управлять процессом установки и не позволит неразрывно контролировать действия пользователя по телефону.
• Возможность установки вручную загруженного пакета будет активирована через 24 часа, что даст пользователю время на осознание ситуации, если он находится по влиянием мошенников. Через 24 часа пользователь должен повторно зайти в настройки и подтвердить, что он сознательно активировал режим для установки сторонний пакетов, используя PIN-код или биометрическую аутентификацию.
• После подтверждения на выбор предлагается две опции: бессрочная возможность установки приложений от неподтверждённых разработчиков или разрешение, действующее только 7 дней (после истечения 7 дней процесс подтверждения потребуется повторить).
• При каждой установке неверифицированного приложения пользователю будет показано предупреждение об имеющихся рисках, с которым нужно согласится, нажав кнопку "Install Anyway".

Помимо нового метода сохранится и ранее доступная возможность установки приложений при помощи утилиты "adb" (Android Debug Bridge), требующая подключения устройства к внешнему компьютеру и включения режима разработчика. Также будет предоставлена возможность регистрации бесплатного типа учётных записей для энтузиастов и студентов, работающая без подтверждения личности, но требующая регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено.

Напомним, что Google переходит к использованию на сертифицированных Android-устройствах зарегистрированных приложений от верифицированных разработчиков. Для верификации разработчик должен платно (25 долларов) зарегистрироваться в сервисе Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для организаций потребуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS). После регистрации разработчик должен добавить свои приложения и подтвердить, что он является их автором, предоставив полные имена пакетов и ключи для цифровых подписей. Верификация станет обязательной в Бразилии, Индонезии, Сингапуре и Таиланде в сентябре 2026 года и будет распространена на остальные страны в 2027 году.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65029

Предварительный выпуск дистрибутива для игровых консолей SteamOS 3.8.0

Платформа основана на Arch Linux, использует для ускорения запуска игр композитный сервер Gamescope на базе протокола Wayland, поставляется с доступной только на чтение корневой ФС, применяет атомарный механизм установки обновлений, поддерживает пакеты Flatpak, использует мультимедийный сервер PipeWire и предоставляет два режима работы интерфейса (оболочка Steam и рабочий стол KDE Plasma).

Среди изменений:

• Среда рабочего стола обновлена до выпуска KDE Plasma 6.4 (ранее была ветка 6.2) с использованием по умолчанию протокола Wayland (поддержку X11 можно вернуть через steamosctl).
• Добавлена начальная поддержка игровой приставки Steam Machine.
• Добавлена возможность указания в настройках пароля для десктоп-сеанса.
• Реализована начальная поддержка запуска виртуальных машин с использованием драйверов virtio.
• Предоставлена возможность использования планировщика задач LAVD (Latency-criticality Aware Virtual Deadline), который включается через "steamosctl set-cpu-scheduler lavd". LAVD учитывает актуальность снижения задержек для конкретных задач и использует информацию о ходе выполнения процессов при принятии решений о распределении ресурсов CPU.
• Осуществлена синхронизация с пакетной базой Arch Linux. Ядро Linux обновлено до версии 6.16. Задействованы свежие версии графических драйверов.
• В игровом режиме (Game Mode) улучшена поддержка создания скринкастов.
• Улучшена поддержка механизма VRR (Variable Refresh Rate), адаптивно меняющего частоту обновления монитора для плавности и отсутствия разрывов во время игр и показа видео.
• Улучшена поддержка игр, пытающихся открывать PDF-файлы во внешних просмотрщиках.
• Улучшена поддержка некоторых игровых рулей с интерфейсом USB, а также комбинированных USB-устройств (например, накопитель + модем).
• При использовании HDMI для вывода звука добавлена поддержка сведений о звуковых каналах и конфигурации динамиков.
• Добавлена настройка для использования микрофона из Bluetooth-гарнитур.
• Улучшена поддержка поворотных мониторов.
• Улучшено масштабирование при выводе на телевизор.
• Добавлена поддержка внешних HDR-экранов и дисплеев с VRR.
• Предоставлена возможность раздельного выбора уровня масштабирования для разных экранов.
• Параметры раскладки клавиатуры и языка синхронизированы между десктопом и игровым режимом.
• Добавлена начальная поддержка спящего режима c сохранением памяти на диск (hibernation).
• Улучшена совместимость с новыми платформами Intel и AMD.
• Значительно расширены возможности управления видеопамятью для дискретных видеокарт.
• Добавлена поддержка игровых контроллеров для приставок OneXPlayer X1 и Lenovo Legion Go 2.
• Улучшена поддержка игровых контроллеров для приставок ASUS ROG Xbox Allym, OneXPlayer F1, GPD Win 5, GPD Win Mini, Anbernic Win600, OrangePi NEO и Lenovo Legion Go.
• Добавлена начальная возможность ограничения уровня заряда для устройств Legion Go, Legion Go S и Legion Go 2.

Обновление OpenWrt 24.10.6 и 25.12.1

Среди изменений:

• Добавлена поддержка устройств Devolo Magic 2 WiFi next, MeshPoint.One, MeshPoint.One и Cudy M3000 с Motorcomm YT8821 PHY.
• Внесены исправления, связанные с работой платформ airoha (EN7581 PCIe), ath79 (TP-Link RE355 v1, RE450 v1/v2), ipq806x (AP3935), lantiq, mediatek (TP-Link BE450), microchipsw (Novarq Tactical 1000), ramips (Keenetic KN-1910), realtek (RTL838x), treewide (Linksys).
• В драйвер mt76 добавлена поддержка прошивок для контроллера MT7990, используемого в новом чипсете MediaTek WiFi 7.
• В качестве приоритетного задействован пакет firewall4. В пакете firewall задействована по умолчанию реализация iptables на базе nftables (iptables-nft, ip6tables-nft).
• Пакетный менеджер apk обновлён до версии 3.0.5. Добавлена опция "--force-reinstall" для переустановки уже установленных пакетов без проверки изменения их версии.
• Обновлены версии ядра Linux 6.12.74, jsonfilter 2026-03-16, libubox 2026-03-13, odhcpd, omcproxy 2026-03-07, procd 2026-03-14, umdns 2026-02-06 и ustream-ssl 2026-03-01.
• Устранены уязвимости: два переполнения буфера в umdns (CVE-2026-30871, CVE-2026-30872), возникающие при обработке DNS-запросов (PTR и определение адреса IPv6); утечка содержимого памяти в jsonpath (CVE-2026-30873); организация выполнения команд через манипуляцию с переменной окружения PATH в procd (CVE-2026-30874); межсайтовый скрпитинг в web-интерфейсе LuCI; переполнения буфера в odhcpd и procd; обращение к памяти после её освобождения в ustream-ssl (вариант OpenSSL).

Одновременно сформировано обновление прошлой ветки OpenWrt 24.10.6, в котором устранены уязвимости в компонентах umdns, jsonpath, LuCI и procd, а также исправлены накопившиеся ошибки, связанные с поддержкой оборудования в платформах mediatek, airoha, ath79, imx, ipq40xx, lantiq, mt7620, ramips и realtek. Обновлены версии ядра Linux 6.6.127, openssl 3.0.19, procd 2026-03-14, umdns 2026-02-06 и wireless-regdb 2026.02.04. Ветка OpenWrt 24.10 будет поддерживаться до сентября 2026 года.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65027

Введён в строй AI-сервис Sashiko для рецензирования изменений в ядре Linux

Проект уже некоторое время используется в компании Google для выявления проблем, а теперь стал доступен для всех и настроен для автоматического рецензирования всех патчей, отправляемых в список рассылки разработчиков ядра Linux. Код Sashiko написан на языке Rust и открыт под лицензией Apache 2.0. Система самодостаточна и может использоваться на собственном оборудовании.

Sashiko был разработан для работы с моделью Google Gemini Pro 3.1, но частично протестирован с Claude и, вероятно, будет работать с другими современными большими языковыми моделями. Использованные для рецензнирования промпты основаны на наборе review-prompts, подготовленном Крисом Мейсоном (Chris Mason), создателем файловой системы Btrfs. Бюджет токенов и инфраструктуру Sashiko финансирует Google. Права на проект переданы организации Linux Foundation.

Судя по проведённым тестам, при использовании модели Gemini 3.1 Pro инструментарий Sashiko смог обнаружить 53% ошибок из не отфильтрованного набора, включающего 1000 недавних проблем в ядре, отмеченных тегами "Fixes:". На первый взгляд 53% выглядит не слишком впечатляющим, но следует иметь в виду, что все из выявленных проблем вначале не были замечены при рецензировании людьми.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65022

Состоялся релиз браузера Vivaldi 7.9 для десктопов

Проект ставит своей задачей создание настраиваемого и функционального браузера, сохраняющего приватность данных пользователей. В число основных функций входит блокировщик слежки и рекламы, менеджеры заметок, истории и закладок, приватный режим просмотра, синхронизация, защищённая сквозным шифрованием, режим группировки вкладок, боковая панель, конфигуратор с большим числом настроек, режим горизонтального отображения вкладок, а также встроенный почтовый клиент, RSS-ридер и календарь.

В новой версии представлены следующие улучшения:

• Автоскрытие интерфейса - функция позволяет автоматически скрывать все элементы интерфейса при просмотре страниц, включая панель вкладок, адресную панель, боковую панель и панель состояния, как по отдельности, так и всех сразу. Среди прочего, функция доступна и в полноэкранном режиме просмотра.
• Парные вкладки - позволяют работать в основной вкладке и открывать все ссылки с этой страницы в парной вкладке, размещённой рядом с основной в одном окне.
• Отдельное окно для создания писем - возможность откреплять окно создания сообщений, позволяя размещать его там, где удобно пользователю, включая второй дисплей. Одновременно была проведена оптимизация работы со списками рассылки.

Доступен Wayland 1.25

Основные изменения в протоколе:

• Документация преобразована из формата DocBook в mdBook (Markdown).
• Полностью документированы диалект Wayland XML, модель обновления контента и возможности для управления цветом.
• Добавлен новый атрибут "frozen" для интерфейсов с несколькими родительскими интерфейсами.
• Добавлен новый запрос wl_surface.get_release для получения уведомления о высвобождении буфера, прикреплённого клиентом через wl_surface.attach. В отличие от wl_buffer.release в wl_surface.get_release уведомление привязано к конкретному моменту отрисовки.
• Добавлена функция wl_display_dispatch_pending_single(), позволяющая достать из очереди событий и обработать только одно событие, а не все накопившиеся события, как это делает wl_display_dispatch_pending().
• Обеспечено выделение цветами отладочного вывода WAYLAND_DEBUG.

Добавленные c момента выпуска Wayland 1.25 расширения протоколов, дополняющих базовый протокол Wayland и поставляемых в отдельном наборе Wayland-Protocols:

• xx-input-method - позволяет приложениям реализовывать методы ввода текста для композитных серверов и формировать введённый текст, что может применяться, например, для создания виртуальных клавиатур и IME-прослоек (Input Method Editor) для обработки ввода.
• xx-text-input - позволяет композитным серверам реализовывать методы ввода и отправлять текст в приложения. Протокол стандартизирует взаимодействие между композитным сервером и приложениями, и позволяет управлять такими возможностями, как передача вводимого текста, обработка событий об изменении фокуса ввода и учёт специфики полей ввода (язык, выделение текста, тип контента).
• Доработаны протоколы color-management-v1 и color-representation-v1, предоставляющие возможности для управления цветом, поддержки HDR и определения цветового представления Wayland-поверхности.

Наиболее заметные события, связанные с Wayland и произошедшие с момента публикации прошлого выпуска:

• В GNOME 50 удалена поддержка X11. В KDE Plasma 6.8 решено прекратить поддержку X11.
• JetBrains переводит IDE IntelliJ на использование Wayland по умолчанию.
• Xfce анонсировал композитный сервер Xfwl4, использующий Wayland.
• Среда рабочего стола Budgie 10.10 переведена на Wayland.
• QNX Developer Desktop на основе Wayland.
• Marathon OS - мобильная ОС на базе Wayland.
• Выпуск Wayback, прослойки для запуска рабочих столов X11, используя компоненты Wayland.
• Обновление композитных серверов: Weston 15.0, River 0.4.0, Hyprland 0.54, labwc 0.9.4, Niri 25.11, miracle-wm 0.8, Wayfire 0.10, wlmaker 0.6, labwc 0.9.0.

Напомним, что Wayland представляет собой протокол взаимодействия композитного сервера и работающих с ним приложений. Клиенты самостоятельно выполняют отрисовку своих окон в отдельном буфере, передавая информацию об обновлениях композитному серверу, который комбинирует содержимое буферов отдельных приложений для формирования итогового вывода с учётом возможных нюансов, таких как перекрытие окон и прозрачность. Иными словами, композитный сервер не предоставляет API для отрисовки отдельных элементов, а оперирует только с уже сформированными окнами, что позволяет избавиться от двойной буферизации при использовании высокоуровневых библиотек, таких как GTK и Qt, берущих на себя работу по компоновке содержимого окон.

Wayland решает многие проблемы с безопасностью X11, так как в отличие от последнего изолирует ввод и вывод для каждого окна, не позволяет клиенту получить доступ к содержимому окон других клиентов, а также не допускает перехват связанных с другими окнами событий ввода. Поддержка прямой работы c Wayland реализована для большинства применяемых в Linux графических библиотек, включая GTK, Qt, SDL, FLTK, wxWidgets, Clutter и EFL (Enlightenment Foundation Library).

Взаимодействие с аппаратным обеспечением в Wayland/Weston, например, проведение инициализации, переключение видеорежимов (drm modesetting) и управление памятью (GEM для i915 и TTM для radeon и nouveau) графических карт, может производиться напрямую через модуль, работающий на уровне ядра, что позволяет обойтись без привилегий суперпользователя. Для обеспечения выполнения обычных X11-приложений в окружении на базе Wayland используется DDX-компонент XWayland (Device-Dependent X), похожий по организации работы на Xwin и Xquartz для платформ Win32 и macOS.

Доступен системный менеджер systemd 260

Среди изменений в новом выпуске:

• Прекращена поддержка скриптов сервисов в формате System V и прекращена поставка компонентов rc-local.service, systemd-sysv-install, systemd-rc-local-generator и systemd-sysv-generator.
• Реализован механизм "mstack" (Mount Stack), позволяющий использовать каталоги с суффиксом ".mstack/" для формирования составной иерархии каталогов, образуемой через последовательное монтирование и наложение дисковых образов и частей ФС при помощи OverlayFS и "mount --bind". Добавлены команда systemd-mstack, опция "--mstack" в systemd-nspawn и параметр RootMStack в unit-ы, которые могут использоваться для монтирования и отмонтирования разом всех элементов, определённых в конфигурации ".mstack", например, для быстрого воссоздания образа контейнера или рабочего окружения сервиса. Каждый файл или подкаталог в ".mstack/" определяет один уровень монтирования или слой "overlayfs".

  Например, следующая конфигурация "foobar.mstack/" определяет overlayfs с двумя слоями в режиме только для чтения из дисковых образов base.raw и app.raw (указаны как символические ссылки), и каталогом "rw" с возможностью записи поверх них:

      foobar.mstack/layer@0.raw → ../base.raw
      foobar.mstack/layer@1.raw → ../app.raw
      foobar.mstack/rw/
  

• Реализованы фреймворки "metrics" и "report", которые могут использоваться системными компонентами для вывода статистики через Varlink в каталоге /run/systemd/report/. Добавлена утилита systemd-report, формирующая сводный отчёт, объединяющий статистику от всех компонентов, и выводящая его в формате JSON. В настоящее время метрики предоставляют только сервисный менеджер и systemd-networkd.
• В systemd-networkd обеспечена интеграция с ModemManager и добавлена секция "[MobileNetwork]" с настройками APN, AllowedAuthenticationMechanisms, User, Password, IPFamily, AllowRoaming, PIN, OperatorId, RouteMetric и UseGateway, позволяющими использовать systemd-networkd для подключения через модем к сотовым операторам.
• Предоставлена возможность запуска systemd-portabled как пользовательского сервиса, запускаемого непривилегированным пользователем. Для выбора типа сервиса в утилиту portablectl добавлены флаги "--user" и "--system". Переносимые сервисы ("Portable Services") представляют собой системные сервисы, оформленные в виде самодостаточных контейнеров (поставляется в виде системного образа, но обрабатывается как обычный сервис).
• В systemd-logind и systemd-udevd добавлена поддержка концепции "xaccess" (Extended Access), позволяющей в графическом сеансе предоставить доступ к GPU для пользователей с удалённым доступом, которые физически не пользуются монитором и устройствами ввода на локальной системе (по аналогии с доступом uaccess, охватывающим физически работающих с компьютером пользователей). Для настройки сеансов в этом случае предлагается через PAM выставлять переменную окружения XDG_SESSION_EXTRA_DEVICE_ACCESS.
  
  
  
• Для автоматизации настройки DeviceTree в UKI-образах (Unified Kernel Image) предложен канонический набор файлов c идентификаторами оборудования /usr/lib/systemd/boot/hwids/, связывающими идентификаторы устройств с элементами DeviceTree. При помощи данного набора UKI-образ автоматически находит и загружает необходимый DTB (Device Tree Blob) во время загрузки без необходимости создания образов, специфичных для каждого устройства. В настоящее hwid-файлы сформированы для ARM64-устройств на базе чипов Snapdragon.
• В /etc/os-release добавлено новое поле "FANCY_NAME", отличающиеся от "PRETTY_NAME" возможностью использования не-ASCII глифов Unicode. При наличии поля "FANCY_NAME" оно будет использоваться в выводе systemd, systemd-hostnamed и hostnamectl вместо "PRETTY_NAME".
• Сервисы, предоставляющие публичные интерфейсы Varlink, при помощи символических ссылок сведены в одном каталоге /run/varlink/registry/. Для просмотра списка подобных сервисов реализована команда 'varlinkctl list-registry'.
• В unit-ах реализована возможность указания в параметре PrivateUsers значения "managed" для автоматического назначения unit-у диапазонов идентификаторов пользователей и групп (UID/GID) через systemd-nsresourced.
• В unit-ы добавлена настройка RefreshOnReload для обновления расширений и учётных данных при перезапуске unit-а.
• В unit-ы добавлена настройка BindNetworkInterface для автоматической привязки всех создаваемых в unit-е сокетов к указанному сетевому интерфейсу.
• В unit-ы добавлены настройки ConditionPathIsSocket и AssertPathIsSocket для изменения поведения или аварийного завершения unit-а, если указанные пути не являются сокетами.
• В systemctl добавлена команда 'enqueue-marked', вызывающая метод D-Bus EnqueueMarkedJobs(). Ранее применяемый для этих целей параметр '--marked' объявлен устаревшим.
• В сервисы добавлена настройка MemoryTHP для управления использованием в сервисах больших страниц памяти (THP - Transparent Huge Pages).
• В .delegate-файлы systemd-resolved добавлена поддержка параметра FirewallMark для выставления в сетевом стеке метки межсетевого экрана ("firewall mark") для генерируемого DNS-трафика.
• В systemd-sysupdate добавлена команда 'acquire' для разделения этапов загрузки и установки или обновления. Реализована поддержка пометки разделов как частично загруженных.
• В systemd-vmspawn добавлена опция "--image-format" для выбора формата (qcow2 или raw) дискового образа.
• В systemd-inhibit для опции "--list" реализована поддержка формата "JSON" c возможностью использования флагов "--what", "--who", "--why" и "--mode" для фильтрации вывода.
• В systemd-repart добавлена базовая поддержка контроля целостности шифрованных разделов, используя dm-integrity.
• В утилиту systemd-keyutil добавлена команда 'extract-certificate' для вывода содержимого сертификатов X.509.
• В systemd-sysext и varlinkctl реализована поддержка интерактивного прохождения авторизации при помощи polkit.
• Добавлена polkit-политика, позволяющая вызвать systemd-ask-password непривилегированным пользователем.
• В systemd-importd добавлена возможность загружать OCI-образы командой "importctl pull-oci", которые сохраняются в форме образов для монтирования через "mstack".
• Добавлена поддержка цветов SYSTEMD_COLORS=auto-16, SYSTEMD_COLORS=auto-256, и SYSTEMD_COLORS=auto-24bit.
• Предоставлены полнофункциональные обособленные исполняемые файлы systemd-sysusers и systemd-tmpfiles (ранее собирались урезанные версии).
• В systemd-oomd добавлен "prekill hook", позволяющий подключать обработчики, срабатывающие перед принудительным завершением процесса из-за нехватки памяти в системе.
• Возобновлена, но помечена устаревшей, возможность использование несистемных пользователей и групп в правилах udev (OWNER=/GROUP=) и настройках systemd-networkd (User=/Group=).
• В systemd-repart задействована появившаяся в xfsprogs 6.17.0 функциональность утилиты mkfs.xfs для развёртывания начального содержимого ФС из указанной директории.
• Повышены требования к минимальным версиям: ядро Linux 5.4 → 5.10 (рекомендовано 5.14, а для полной функциональности - 6.6), libidn → libidn2, Python 3.7.0 → 3.9.0, glibc 2.31 → 2.34, OpenSSL 1.1.0 → 3.0.0, cryptsetup 2.0.1/2.3.0 → 2.4.0, elfutils 158 → 177, libblkid 2.24 → 2.37, libseccomp 2.3.1 → 2.4.0.
• Переработаны и упрощены правила обеспечения переносимости и стабильности, в которых усилены обязательства по недопущению видимых пользователям регрессий в публичных интерфейсах.

PF queues break the 4 Gbps barrier

With 10G, 25G, and 100G network interfaces now commonplace, OpenBSD devs making huge progress unlocking the kernel for SMP, and adding drivers for cards supporting some of these speeds, this limitation started to get in the way. Configuring bandwidth 10G on a queue would silently wrap around, producing incorrect and unpredictable scheduling behaviour.

A new patch widens the bandwidth fields in the kernel's HFSC scheduler from 32-bit to 64-bit integers, removing this bottleneck entirely. The diff also fixes a pre-existing display bug in pftop(1) where bandwidth values above 4 Gbps would be shown incorrectly.

Read more…

забанивание зондов типа телеграма - это редкое положительное действие

@iron_bug уверен, что это приведёт ни к каким массовым положительным сдвигам. Часть людей реально повалила в Макс, например. Это усиливает давление на остальных. Другие ищут "что-то незабаненное" и внезапно находят для себя не XMPP, а Яндекс.Мессенджер, ВК и пытаются зарегистрироваться в китайском WeChat.

@contrinitiator @visuallyperfect @Dima812

@Dima812 я верю в то, что люди идут по пути наименьшего сопротивления и что снижение разнообразия и вообще затруднения толкают людей к менее рациональному выбору.

Короче говоря - лучше не будет, будет хуже :) Не будет Телеграм - не в Макс пойдут, так найдут какое-нибудь говно, начнут ставить её сомнительные протрояненные форки и так далее.

Как можно наблюдать с теми же VPN. Некоторые тут любят потрындеть про "выросшую компьютерную грамотность населения", а по факту имеем эпидемии форда, сотни тысяч людей, качающие малварь под видом бесплатных випиэнов и незабаненных приложений, а темщики клепают кривые палящиеся сервисы, продают их и РКН потом банит целые подсети для всех.

@contrinitiator @visuallyperfect

via Космонавт Константин Борисов

Филологическая минутка — to prikryt' — уникальный английский глагол, который знают все экипажи и ЦУПы.

К этому невозможно привыкнуть — меня это веселит все несколько лет, в течение которых я тесно работаю с английской версией аварийной документации МКС.

В русском языке есть четкий и лаконичный глагол — «прикрыть». Ну, вы знаете: в комнате прохладно, и ты просишь кого-то прикрыть окно. И человек сразу понимает — нужно створку окна чуть придвинуть, чтобы меньше была щель, через которую проникает в комнату уличный воздух.

Представьте: на станции пожар или разгерметизация. Каждая секунда на счету. Работники ЦУПов и экипаж действуют четко по инструкции и докладывают друг другу о сделанных шагах. В некоторых ситуациях нужно прикрывать люки — то есть ты его доводишь до конечного положения, но не запираешь с помощью запорного механизма.

Теперь сравните:
🇷🇺: мы прикрыли люк ГА-ФГБ
🇺🇸: we have closed, but not latched, GA-FGB hatch

Таких действий в некоторых аварийных ситуациях довольно много. Фразу close but do not latch говорить намного дольше, чем «прикрой». Поэтому, по предложению кого-то из инструкторов, в обиход ЦУПа Хьюстона введен русский глагол — to prikryt'.

В нем все прекрасно: и написание, и попытки склонять, и использование в варианте Perfect tense. Когда я на тренировке слышу «have you prikryt'ed люк Node 1 aft», у меня что-то в голове перемыкается, и я на пару секунд теряю возможность думать на английском языке.

Мой вердикт: удобно. Но, пожалуйста, давайте ограничимся инфинитивной формой, без склонений. А то голова идёт кругом!

Старший, Кастор, занимался алгоматикой, то есть алгеброй конфликтов, заканчивающихся фатально для всех, кто в них вовлечен. Поэтому данную отрасль теории игр иногда называют садистикой, а Кастора коллеги называли садистиком, причем Рорти утверждают, будто его полное имя -- Кастор Ойл, то есть Касторка. Должно быть, шутил.

Станислав Лем "Мир на земле"

сс: @litclub

(#чтопочитать #федичитает)

"Татарская кошка продалась за еду"
#Нышество_броши

New blog post: Fancy Curl Sites

https://nytpu.com/gemlog/2026-03-18
curl nytpu.com/gemlog/2026-03-18 | less

#blog #blogpost #website #curl

Выпуск Samba 4.24.0

Ключевые изменения в Samba 4.24:

• Добавлен новый VFS-модуль vfs_aio_ratelimit для ограничения интенсивности (rate-limit) операций асинхронного ввода/вывода (AIO). Ограничения могут задаваться в байтах в секунду или в операциях в секунду. При превышении заданного лимита модуль начинает подставлять искусственные задержки в асинхронные операции для поддержания заданного верхнего порога.
• В VFS-модуль ceph_new добавлена поддержка RPC-протокола Keybridge и режима FSCrypt для шифрования данных и имён файлов в файловой системе CephFS. Возможно включение шифрования на уровне отдельных каталогов.
• Реализована поддержка аудита информации, связанной с аутентификацией. Добавлены отладочные классы "dsdb_password_audit" и "dsdb_password_json_audit" для отражения в логе изменений атрибутов Active Directory: altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink и servicePrincipalName.
• В VFS-модуль vfs_streams_xattr, позволяющий сохранять альтернативные наборы данных NTFS (NTFS alternate data stream) в расширенных атрибутах файлов (xattr) в Linux, добавлена настройка "streams_xattr:max xattrs per stream", определяющая допустимое число xattr, применяемых для хранения данных. В Linux размер xattr ограничен 65536 байтами, но ФС XFS позволяет привязывать к одному файлу более одного xattr, что позволяет использовать несколько xattr для хранения до 1 МБ альтернативных данных.
• Добавлена поддержка внешних систем управления паролями Microsoft Entra ID и Keycloak, использующих при изменении пароля операцию сброса пароля (SSPR, password reset) без передачи старого пароля в контроллер домена. Для соблюдения политик, контролирующих время действия паролей, при сбросе пароля передаются дополнительные параметры ("password policy hints"), позволяющие обрабатывать выставление пароля после сброса, как обычную операцию смены пароля. Теперь Samba учитывает подобные параметры при применении связанных с паролями, локальных политик.
• Добавлена поддержка механизма аутентификации Kerberos PKINIT KeyTrust, дающего возможность в контроллерах домена на базе Samba и Heimdal KDC, использовать метод "Windows Hello for Business Key-Trust logons" для применения механизма аутентификации PKINIT с самоподписанными ключами. Для добавления и просмотра открытого ключа в утилиту samba-tool добавлена команда "user|computer keytrust". Сведения об открытом ключе сохраняются в учётной записи при помощи атрибута msDS-KeyCredentialLink.
• В контроллеры домена на базе Samba и Heimdal KDC добавлена поддержка расширения протокола Kerberos PKINIT для маппинга ключей ("Windows Strong and Flexible key mappings"), применяемого при аутентификации по открытым ключам. По умолчанию допускается только точное сопоставление сертификатов ("strong certificate binding enforcement = full"), но возможна и гибкое сопоставление ("strong certificate binding enforcement = compatibility"), допускающее сертификаты новее учётной записи пользователя. Данные о маппинге сертификатов для учётной записи сохраняются в атрибуте altSecurityIdentities
• Добавлена поддержка расширения протокола "Kerberos PKINIT SID", позволяющего использовать при аутентификации сертификаты с идентификатором Object SID. Для генерации запросов на подписание сертификатов в утилиту samba-tool добавлена команда "user|computer generate-csr".
• В реализации KDC (Key Distribution Center) по умолчанию включено возвращение структуры PAC (Privilege Attribute Certificate), содержащей данные о полномочиях пользователя, независимо от того, указано ли поле PA-PAC-REQUEST в запросе клиента. Для возвращения старого поведения предусмотрена настройка "kdc always generate pac = no".
• В KDC добавлена настройка "kdc require canonicalization", при выставлении которой в значение "yes" клиент обязан запрашивать выполнение канонизации имени пользователя при обращении к серверу аутентификации (AS_REQ). Если канонизация не запрошена, сервер вернёт ошибку "пользователь неизвестен". В Windows сетях активация новой настройки не должно вызвать проблем, так как Windows-клиенты по умолчанию всегда запрашивают канонизацию.

  Обязательная канонизация позволяет защититься от так класса "dollar ticket", манипулирующих тем, что имена пользователей могут задаваться по разному ("user" и "user$") и по разному обрабатываться KDC в канонизированном и обычном представлении. Суть атаки в том, что злоумышленник, например, мог создать учётную запись компьютера с именем "root$", получить у KDC мандат (ticket) для пользователя "root" (без $) и затем использовать этот мандат для подключения под пользователем root через SSH или NFS к Linux-серверу с SSSD.

• В конфигурацией с отключённым обязательным запросом канонизации имён ("kdc require canonicalization = no", применяется по умолчанию) в KDC добавлен обходной вариант защиты от атак "dollar ticket". По умолчанию, если клиент не запросил выполнение канонизации и проверяемое имя не найдено, сервер выполняет дополнительную проверку, прикрепив символ "$" к имени. При помощи новой настройки "kdc name match implicit dollar without canonicalization = no" можно отключит данное поведение и выполнять только точные проверки (в контексте вышеупомянутой атаки, сервер не станет проверять имя "root$" при запросе "root").
• В Heimdal KDC по умолчанию включена отправка сервисам Kerberos только канонизированных имён (sAMAccountName из PAC) вместо исходного значения cname. Для возвращения старого поведения предусмотрена настройка "krb5 acceptor report canonical client name = no".
• Для защиты от атак "dollar ticket" рекомендуется выставить настройки:

     strong certificate binding enforcement full
     kdc always include pac yes
     kdc require canonicalization yes
  

• Для блокирования уязвимости CVE-2026-20833 метод шифрования домена в настройках KDC по умолчанию изменён на AES (настройка "kdc default domain supported enctypes" выставлена в "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96").

Выпуск среды рабочего стола GNOME 50 с удалением поддержки X11

В новом выпуске:

• Из пользовательской оболочки GNOME Shell и композитного сервера Mutter удалён код для поддержки протокола X11. В дисплейном менеджере GDM удалена поддержка X11 и прекращена возможность сборки GDM без Wayland, но сохранена поддержка запуска других сред рабочего стола, использующих X11. В gnome-session прекращена поддержка выполнения сеансов на базе X11, а из gnome-settings-daemon удалена опция "-Dx11" и возможность настройки параметров X11.

  Отныне в GNOME возможно использование только сеанса на базе Wayland, а поддержка работы под управлением X-сервера полностью прекращена. Возможность запуска X11-приложений при помощи XWayland сохраняется. В дистрибутивах поддержка сеанса GNOME на базе X11 ранее была прекращена в Ubuntu 25.10, Fedora 43 и RHEL 10. В библиотеке GTK бэкенд для протокола X11 объявлен устаревшим и в GTK5 планируют оставить только поддержку Wayland. Сеанс на базе протокола Wayland применяется в GNOME по умолчанию с 2016 года.

  
• Реализована новая система сохранения сеансов, основанная на использовании systemd, и добавлен объект GsmSessionSave, обеспечивающий сохранение состояния отдельных приложений. Помимо сохранения позиций окон после восстановления, приложениям GNOME предоставлена возможность восстановления состояния, например, GNOME Calculator может восстановить выбранный режим вычислений. В конфигуратор добавлен переключатель, позволяющий отключить режим сохранения списка запущенных приложений во время завершения сеанса и восстановления их окон в последующем сеансе.
  
• На экране входа реализована группировка списка сеансов в привязке к имени дисплея. Некоторые собственные компоненты для запуска экрана входа в систему заменены на штатные возможности systemd, что усилило зависимость GNOME от данного системного менеджера и требует создания новых прослоек для поставки GNOME в дистрибутивах и операционных системах, не использующих systemd. В GDM задействована инфраструктура systemd-userdb, предоставляемая systemd. Удалён встроенный менеджер сервисов, который функционировал на уровне запуска desktop-файлов.
• Переработан интерфейс родительского контроля. Добавлены новые возможности для отслеживания времени работы с экраном, фильтрации web-контента и задания времени для перехода ко сну. Например, родители теперь могут ограничить суточное время работы за компьютером и назначить вечернее время, после которого экран будет заблокирован и ребёнок не сможет разблокировать его. При этом доступна опция, позволяющая ребёнку запросить у родителя дополнительное время в случае истечения назначенного ему лимита. Добавлена возможность вызова интерфейса родительского контроля из конфигуратора. Реализован сервис для фильтрации web-контента при работе через детские учётные записи (интерфейс для настройки фильтров появится в следующем выпуске).
• Мастер начальной настройки (gnome-initial-setup) переведён на использование по умолчанию run0 для запуска привилегированных действий вместо pkexec.
• В файловом менеджере Nautilus переработан механизм переименования групп файлов, при поиске разрешено использование нескольких фильтров типов файлов, в контекстное меню корзины добавлена ссылка на настройки, реализован независимый всплывающий диалог со свойствами файла, в строке ввода файлового пути реализовано автодополнение ввода без учёта регистра символов.

  В Nautilus также сокращено потребление памяти; ускорена загрузка пиктограмм и миниатюр; увеличено покрытие тестами; расширено использование языка Blueprint для формирования интерфейса; задействована библиотека Glycin для sandbox-изоляции декодирования изображений.

• В просмотрщике документов реализована полноценная возможность прикрепления аннотаций к отрывкам текста в документе. Аннотации теперь можно добавить одним кликом в основном окне. Появилась возможность рисования линий и выделения блоков цветом поверх содержимого.
• В календаре-планировщике реализован новый список участников, через который можно получить информацию о приглашённых на мероприятие и оценить обязательность их присутствия. В будущем планируется реализовать полноценную систему управления отправкой приглашений. Изменено оформление диалога для быстрого добавления новых событий. Добавлена поддержка экспорта в формате ICS. Улучшен интерфейс просмотра событий за месяц. Добавлена поддержка навигации по событиям, используя клавиши управления курсором.
• Конфигуратор переведён на использование языка построения интерфейсов Blueprint. Удалён бэкенд настройки для X11. В настройки даты и времени добавлена возможность выбора первого дня недели, влияющая на формирование списка дней недели в календаре-планировщике и почтовом клиенте Evolution. Интерфейс настройки модема переведён на виджеты libadwaita и унифицирован с остальными настройками. На странице управления цветом решены проблемы с калибровкой экрана. На странице настройки звука более явно разделены уровни громкости для звуковых входов и выходов.
• В системе удалённой работы с рабочим столом значительно повышена производительность и задействовано аппаратное ускорение вывода видео при помощи API Vulkan и VA-API. Интегрирована поддержка механизма "explicit sync", позволяющего снизить задержки и избавиться от появления артефактов на системах с драйверами NVIDIA. Добавлена поддержка HiDPI с возможностью автоматически масштабировать вывод для соответствия разрешению используемого экрана. Реализована возможность использования локальной web-камеры в сеансе с удалённой системой. Добавлена поддержка аутентификации через Kerberos.
• В настройки для людей с ограниченными возможностями добавлена опция "Reduced Motion" для минимизации использования анимации в интерфейсе. Модернизирован экранный ридер Orca, в котором предложен новый интерфейс настойки, расширен режим навигации и обеспечено автоматическое переключение языка.
• В дисплейный менеджер GDM добавлен сервис "gnome-headless-session@.service" для упрощения запуска сеансов без экрана (например, при удалённом доступе к рабочему столу через RDP).
• Улучшена поддержка выставления нецелых уровней масштабирования и применения механизма VRR (Variable Refresh Rate), адаптивно меняющего частоту обновления монитора для плавности и отсутствия разрывов во время игр и показа видео. При включении VRR обеспечена обработка курсора, независящая от частоты кадров приложения, что позволило добиться плавного движения курсора при максимальной частоте обновления монитора (например, 144 Гц), даже если игра или приложение отображает информацию с более низкой частотой кадров.
• Обходным путём решены проблемы на системах с драйверами NVIDIA, приводившие к рывкам и нарушениям синхронизации кадров. Повышена плавность анимации окон и улучшена общая отзывчивость интерфейса на системах с видеокартами NVIDIA.
• Реализована поддержка Wayland-протокола color-management-v2, предоставляющего средства для управления цветом.
• Реализована поддержка предоставления совместного доступа к экрану с сохранением метаданных HDR для исключения потери насыщенности цветов при трансляции или записи HDR-контента.

А вот вчера застал закатное солнышко. По размеру кусков, лёд уже больше похож на ладожский. Сегодня ледоход продолжается.

#спб #spring2026 #debacle #sunset

бггггг

---

Пользователи госмессенджера Max массово жалуются на принудительную подписку на пропагандистские каналы, включая Z-паблики, от которой невозможно отписаться. Как сообщает «Медуза» со ссылкой на посты на портале «Пикабу», некоторые юзеры обнаружили у себя в приложении каналы, на которые они не подписывались, включая канал Владимира Соловьева и «Армию России». При попытке отписаться кнопка не срабатывает, а у некоторых пользователей мессенджер сразу зависает.

Пользователь Kozotrah1975 опубликовал видео, где раз за разом безуспешно нажимает на кнопку «Отписаться от канала». «На телефоне все норм, но на версии для ПК действительно куча каналов, на которые я не подписывался. И нажимаешь отписаться — ничего не происходит», — подтверждает grem17. Hexpl0rer жалуется, что его подписывают на спам-каналы снова после каждой попытки отписки. Некоторые пользователи отмечают, что проблема решается в настройках безопасности, если разрешить добавлять себя в чаты и каналы только контактам

Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu

Уязвимость возникает из-за некорректного взаимодействия утилит snap-confine и systemd-tmpfiles, выполняемых с повышенными привилегиями. Утилита snap-confine формирует sandbox-окружение для выполнения snap-приложения, а systemd-tmpfiles осуществляет автоматическую очистку временных файлов и каталогов. По умолчанию утилита systemd-tmpfiles настроена на удаление всех старых файлов и каталогов в /tmp, что может использоваться атакующим для подмены каталога /tmp/.snap в момент после его удаления утилитой systemd-tmpfiles, но до пересоздания командой snap-confine.

Атака сводится к ожиданию запуска процесса очистки временных файлов, подмены каталога /tmp/.snap после его удаления и размещения модифицированной копии библиотек /tmp/.snap/usr/lib/x86_64-linux-gnu.exchange. Атакующему может потребоваться несколько дней ожидания запуска systemd-tmpfiles, так как в Ubuntu 24.04 процесс очистки запускается раз в 10 дней, а в более новых выпусках - раз в 30 дней. После подмены каталога атакующий добивается инициализации нового sandbox-окружения при помощи snap-confine.

Во время формирования начинки sandbox-окружения во временном каталоге /tmp/.snap атакующий дожидается нужного момента и переименовывает /tmp/.snap/usr/lib/x86_64-linux-gnu.exchange в /tmp/.snap/usr/lib/x86_64-linux-gnu, подменяя таким образом библиотеки и обеспечивая их bind-монтирование с правами root. Таким образом атакующий получает контроль над разделяемыми библиотеками и загрузчиком ld.so, запускаемыми в sandbox-окружении snap, и может добиться выполнения произвольного кода с правами root через запуск любой suid-программы, в которой применяется динамическое связывание.

Имея root-доступ в sandbox-окружении, изолированном через AppArmor и фильтр системных вызовов на базе seccomp, атакующий может скопировать /bin/bash в каталог /var/snap/$SNAP/common/ и выставить ему права "04755" (suid root). Несмотря на то, что права изменены внутри sandbox-окружения, файл с изменёнными правами доступен и в основной системе, поэтому для получения полного root доступа достаточно запустить /var/snap/‹имя_snap_пакета›/common/bash обычным непривилегированным пользователем из штатного системного окружения.

Попутно была выявлена уязвимость в инструментарии uutils coreutils (Rust Coreutils), аналоге пакета GNU Coreutils, написанном на языке Rust. Уязвимость позволяет непривилегированному пользователю получить права root в системе. Проблема выявлена в процессе рецензирования изменений в Ubuntu 25.10 и устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm. В пакете uutils проблема была устранена в выпуске uutils coreutils 0.3.0, без отметки в списке изменений об устранении уязвимости (было указано, что в rm, du, chmod и chgrp реализован безопасный метод обхода путей).

Проблема вызвана состоянием гонки в утилите "rm", позволяющем локальному пользователю подменить содержимое каталога на символическую ссылку во время удаления подконтрольного пользователю файла процессом "rm" с правами root. Среди прочего уязвимость может быть эксплуатирована при ежедневном запуске из cron скрипта /etc/cron.daily/apport, который запускается с правами root и рекурсивно удаляет содержимое каталога /var/crash, доступного на запись всем пользователям в системе.

При рекурсивном удалении каталогов утилита rm вначале проверяет все каталоги, а затем последовательно удаляет их в обратном порядке, вызывая функцию rmdir(). Если добиться подмены родительского каталога на символическую ссылку сразу после проверки этого каталога, но до проверки вложенных в него дочерних каталогов, операция приведёт к удалению каталога, на который указывает символическая ссылка. Таким образом можно добиться не только удаления любого файла в системе, но и повышения привилегий через удаление каталога /tmp/snap-private-tmp/$SNAP/tmp/.snap для подмены содержимого sandbox-окружения snap-пакета (метод получения root аналогичен первой уязвимости).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65014

пост про настройки мыла. про SPF и SRS. чтобы самой потом не забыть и вдруг кому-то ещё пригодится.

суть проблемы: есть публичный редирект сервер (vanity email forwarding) мыла. хочется отправлять мыло со своего сервера с полем From с этим адресом.
проблема: на стороне получателя ломается проверка SPF, потому что домен в поле From не соответствует айпишнику сервера, с которого реально приходит мыло.
прописать адрес твоего сервера в SPF записи сервера провайдера редиректа невозможно, естессна.
некоторые серверы плюют на эту проблему, если DKIM в порядке, но пишут softfail для SPF, но некоторые серверы отшивают мыло, как спам.

оказывается, есть средство для обхода этой проблемы - хэдер Sender Rewrite Scheme (SRS).
тут есть длинное и подробное пояснение:
upwock.com/fixing-spf-issues-w…

и таки можно запустить небольшой демон для обработки SRS, который будет обрабатывать хэдеры при отправке и получении.
я взяла демон отсюда:
github.com/roehling/postsrsd
и сделала для него пакет для Void Linux:
git.ironbug.org/void-linux-pck…

и далее можно прописать в postfix настройки canonical_maps, как указано в README для этого демона, и всё прекрасно работает, хэдеры дополняются.
и вуаля - проверка SPF - passed для мыла с редиректом в поле From, отправленного с моего сервера.

#email #SPF #SRS #postfix #postsrsd #server #voidlinux #lang ru

uxn in the linux console

⚡⚡⚡ IT'S ALIVE! ⚡⚡⚡

https://git.phial.org/d6/uxn-lfb

В Firefox 149 появится встроенный VPN с 50 ГБ бесплатного трафика

Вторым значимым новшеством станет включение по умолчанию в Firefox 149 режима Split View, позволяющего бок о бок в одном окне просмотреть содержимое двух вкладок. Режим активируется через кнопку "Add Split View" в контекстном меню, показываемом при клике правой кнопкой мыши на вкладках. При нажатии данной кнопки содержимое окна разделяется на две части и в правой части открывается содержимое страницы новой вкладки. Если выбрать опцию для группы из двух вкладок, указанные вкладки сразу будут раскрыты рядом с друг другом. Допускается произвольное изменение размера правой и левой области просмотра через перетаскивание мышью полосы-разделителя. Активная вкладка при одновременном просмотре выделяется красной рамкой.

Некоторые другие изменения:

• Представлен новый талисман проекта - лисёнок Kit, изображение которого появится в браузере во многих диалогах и уведомлениях.
• В Firefox 149 будет включена функция Tab Notes для прикрепления произвольных примечаний к вкладкам. Кнопка для добавления заметок помещена в контекстное меню и также показывается на эскизе, появляющемся при наведении курсора на вкладке.
• Встроенный чатбот AI Window доработан и переименован в Smart Window.
• В инструменты для разработчиков добавлена секция с историей операций (включается через devtools.application.sessionHistory.enabled в about:config).
• В профилировщике (Performance Tools) реализована поддержка тёмного режима оформления.
• В ночных сборках в апреле начнётся тестирование переработанного интерфейса конфигуратора, в котором будет упрощена навигация и улучшен поиск.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65013

Проект postmarketOS представил Duranium, атомарно обновляемую редакцию для смартфонов

Системное окружение в разделе /usr монтируется в режиме только для чтения с использованием ФС EROFS и верифицируется при каждой загрузке по цифровой подписи. Раздел /usr имеет размер 5GB. Для контроля целостности данных в разделе /usr применяется dm-verity, а при при выявлении модификации содержимого - загрузка блокируется. Проверочный хэш встраивается в унифицированный образ UKI (Unified Kernel Image), объединяющий обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. UKI-образ оформляется в виде одного исполняемого файла в формате PE и вызывается загрузчиком UEFI.

Остальные каталоги, кроме /usr, входят в состав корневого раздела, доступного на запись и сохраняемого между перезапусками и обновлениями. Содержимое корневого раздела обязательно шифруется с использованием LUKS2, что обуславливает повышение требований к оборудованию. Шифрованная корневая ФС создаётся во время первой загрузки или после выполнения сброса к заводским настройкам. По умолчанию создаётся пустой ключ, допускающий автоматическую разблокировку шифрованного раздела. В мастере начальной настройки и в конфигураторе пользователю предлагается установить пароль для расшифровки.

Настройки по умолчанию хранятся в составе системного образа в каталоге /usr/share/factory/etc. Во время первой загрузки в каталоге /etc создаются символические ссылки на все файлы в /usr/share/factory/etc, за исключением файлов passwd, group, shadow, fstab, machine-id и hostname. При необходимости изменения настроек в процессе работы, символическая ссылка заменяется на копию файла.

Обновления устанавливаются через замену всего системного образа. На накопителе создаётся два идентичных корневых раздела - активный и пассивный. Новое обновление устанавливается в пассивный раздел, никак не влияя на работу активного. После верификации корректности установленного обновления и успешной перезагрузки разделы меняются местами - раздел с обновлением становится активным, а прошлый активный раздел переводится в пассивный режим и ожидает установки следующего обновления. Если после обновления возникли проблемы с загрузкой, осуществляется автоматический откат на прошлый вариант системы.

Подобный подход значительно упрощает отладку и диагностику проблем, так как разработчики могут точно воспроизвести состояние, при котором возник сбой, без необходимости воспроизводить состав системы пользователя на уровне отдельных пакетов и учитывать имеющиеся комбинации версий пакетов. Недостатком являются более высокие требования к аппаратному обеспечению, что не позволит использовать Duranium на всех устройствах, поддерживаемых в postmarketOS.

Начинка системного образа Duranium формируется из единой с postmarketOS пакетной базы, основанной на Alpine Linux, стандартной Си-библиотеке Musl и наборе утилит BusyBox. Релизы postmarketOS и Duranium получаются почти идентичны по составу, но отличаются разными методами поставки системы. Для формирования, установки и обновления системных образов задействованы компоненты systemd-sysupdate, systemd-repart и systemd-verity-setup.

Дополнительные приложения устанавливаются в формате Flatpak или с использованием пакетного менеджера Coldbrew. Coldbrew позволяет установить пакеты из репозиториев Alpine Linux в домашний каталог пользователя. При запуске подобные пакеты изолируются при помощи инструментария bubblewrap.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65012

Проект Arch Linux 32 заблокировал доступ из Бразилии из-за закона о верификации возраста

При попытке обращения к сайту проекта, форумам, загрузкам и wiki из бразильских подсетей теперь выводится страница о блокировке доступа. Также упоминается о возможной недостижимости pacman-репозиториев проекта из бразильских подсетей. Проект Arch Linux 32 не связан с Arch Linux и развивается отдельным сообществом как независимый форк, основанный в 2017 году после прекращения поддержки 32-разрядных систем x86 в Arch Linux.

Примечание о запрете использования продукта на территории Бразилии также добавлено проектом MidnightBSD. На странице загрузки указано, что начиная с 17 марта 2026 года гражданам Бразилии не разрешается использовать MidnightBSD из-за вступления в силу закона о верификации возраста. Указано, что разработчики не станут пытаться соответствовать требованиям данного закона, так как MidnightBSD не является коммерческой компанией и не имеет средств для оплаты сервисов верификации.

17 марта в Бразилии вступил в силу закон 15.211/2025 "Digital ECA", вводящий систему контроля доступа несовершеннолетних к цифровому контенту. В отличие от похожего закона, принятого в Калифорнии, бразильский вариант отличается более значительными штрафами и жёсткими требованиями. Закон предусматривает штрафы в размере до 10 процентов от годовой выручки или от 10 до 1000 реалов (2-200 долларов) за каждого зарегистрированного пользователя при отсутствии выручки, но в сумме не больше 50 миллионов реалов (13 млн долларов).

Закон требует от производителей операционных систем и магазинов приложений строгой проверки возраста, не ограничивающейся голословным согласием пользователя, что ему больше 18 лет. Для подтверждения требуется внедрение "эффективных и надёжных" методов верификации, таких как проверка документов или прохождение аутентификации в уполномоченных сервисах. Операционная система должна предоставить приложениям API для получения данных о возрасте, а также поддерживать инструменты родительского контроля, позволяющие отслеживать экранное время и ограничивать доступ к контенту только для взрослых.

При этом из сферы действия закона выведена "базовая функциональность, необходимая для работы интернета, включая открытые и универсальные технические протоколы и стандарты". Также отмечается, что операционная система с точки зрения закона выполняет вспомогательную роль, а основная ответственность ложится на приложения, которые при необходимости должны внедрять собственные механизмы для предотвращения несанкционированного доступа несовершеннолетних.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65010

Выпуск Java SE 26 и OpenJDK 26. Проект по интеграции поддержки JavaScript и Python в JVM

Java SE 26 отнесён к категории выпусков с обычным сроком поддержки, обновления для которого будут выпускаться до следующего релиза. В качестве ветки с длительным сроком поддержки (LTS) следует использовать Java SE 25, Java SE 21 или Java SE 17, обновления для которых будут выпускаться до 2033, 2031 и 2029 годов соответственно (общедоступные - до сентября 2030, 2028 и 2026 годов). Расширенная поддержка LTS-ветки Java SE 8 продлится до 2030 года, а Java SE 11 - до 2032 года.

Среди изменений в Java SE 26 (1, 2, 3, 4):

• Реализован вывод предупреждения при использовании глубокой рефлексии для изменения полей, помеченных ключевым словом "final". В будущем планируется отключить по умолчанию небезопасные возможности языка и, среди прочего, сделать поля, помеченные как final, полностью не изменяемые, убрав обходной путь для их изменения через глубокую рефлексию (API Reflection).
• Удалён API Applet (java.applet.Applet*, javax.swing.JApplet), применявшийся для запуска Java-приложений в браузере. Данный API потерял актуальность после прекращения поддержка Java-плагина для браузеров и был объявлен устаревшим в 2021 году.
• Реализована возможность использования предварительно формируемого кэша (AOT - ahead-of-time) c любыми сборщиками мусора, включая ZGC (Z Garbage Collector). Изменение подразумевает поддержку последовательной загрузки прокэшированных Java-объектов в память, используя универсальный и не зависящий от сборщиков мусора формат вместо прямого маппинга в память специфичных представлений кэша. Использование AOT-кэша сокращает время запуска и ускоряет актуализацию (warmup) виртуальной машины HotSpot.
• В API HTTP Client добавлена поддержка протокола HTTP/3, позволяющая приложениям и библиотекам обращаться к серверам по HTTP/3 после минимальных изменений кода.
• Повышена производительность сборщика мусора G1, благодаря сокращению блокировок для синхронизации потоков приложения с потоками сборщика мусора.
• Предложен второй предварительный вариант API для кодирования и декодирования объектов с криптографическими ключами, сертификатами и списками отозванных сертификатов, используя формат PEM (Pivacy-Enhanced Mail).
• Предложен для тестирования шестой предварительный вариант API для cтруктурированного параллелизма (Structured Concurrency), упрощающего разработку многопоточных приложений за счёт обработки нескольких задач, выполняемых в разных потоках, как единого блока.
• Добавлен вторая предварительная редакция API Lazy Constants для работы с объектами, содержащими неизменяемые данные и обрабатываемыми в JVM как константы. К подобным объектам применяются оптимизации производительности, аналогичные полям с ключевым словом "final". В отличие от "final" новый API разделяет создание постоянных значений и их инициализацию, гарантирует, что значение может быть инициализировано только один раз, сокращает время запуска программ и позволяет применять в пользовательском коде оптимизации сворачивания констант (constant-folding), ранее использовавшиеся только во внутреннем коде JDK.

     class Application {
         // Было:
         // static final UserService USERS = new UserService();
         // Теперь можно:
         static final StableValue‹UserService› USERS = StableValue.of();
  
         public static UserService users() {
            return USERS.orElseSet(UserService::new);
         }
      }
  

• В механизме сопоставления с образцом предложен четвёртый предварительный вариант возможности использования примитивных типов (int, byte, char и другие базовые типы, не являющиеся объектами) во всех видах шаблонов, в операторе "instanceof" и в блоках "switch".

     switch (x.getStatus()) {
         case 0 -› "okay";
         case 1 -› "warning";
         case 2 -› "error";
         case int i -› "unknown status: " + i;
     }
     if (i instanceof byte b) {
      ... b ...
     }
  

• Предложена одиннадцатая тестовая реализация API Vector, предоставляющего функции для векторных вычислений, которые выполняются с использованием векторных инструкций процессоров x86_64 и AArch64 и позволяют одновременно применить операции сразу к нескольким значениям (SIMD). В отличие от предоставляемых в JIT-компиляторе HotSpot возможностей по автовекторизации скалярных операций, новый API даёт возможность явно управлять векторизацией для параллельной обработки данных.

Кроме того, компания Oracle анонсировала проект Detroit, который будет развиваться в составе OpenJDK и нацелен на улучшение переносимости между Java, JavaScript и Python. В рамках проекта намерены предоставить возможность встраивания в процесс JVM runtime с JavaScript-движком V8 и интерпретатором CPython. Ранее компания Oracle уже развивала JavaScript-движок Nashorn, работающий поверх виртуальной машины JVM, но свернула проект из-за проблематичности разрабатывать отдельную реализацию JavaScript в условиях, когда основная экосистема завязана на движке V8.

Дополнительно можно отметить публикацию обновления платформы для создания приложений с графическим интерфейсом JavaFX 26. В ближайшие часы также ожидается выпуск универсальной виртуальной машины GraalVM 26, поддерживающей запуск приложений на JavaScript (Node.js), Python, Ruby, R, любых языках для JVM (Java, Scala, Clojure, Kotlin) и языках, для которых может формироваться биткод LLVM (C, C++, Rust).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65009

Ух, купил черемшу, очень ароматную. Будет салат.

@yura конечно, реестр IMEI и так понятно зачем нужен. Не от дронов и террористов, а чтобы граждане не покупали особо:

- телефоны где попало, а не официально ввезенные уважаемыми людьми в правильных магазинах
- без предустановленного RuStore и Max
- чтоб был учёт, порядок (с вытекающим из этого заработком и влиянием)

@L29Ah @mcstar

Это вчера снял с моста. Свечение (и отражение на воде) - подсветка от далёких агроферм, где выращивают огурцы и всё такое.
#spring #spb

Забавляет как часто в последнее время слышу (в том числе от живых людей) такие тезисы в оправдание "белых списков" и прочих глушений: мол, это нужно для нашей безопасности и чтобы беспилотник не попал в твой же дом!

Отбитость логики поражает, прямо новый уровень хлебушка-воробушка.

Даже, если предположить, что подобные меры эффективны (в чём есть сомнения), вроде как, должно быть очевидно, что если цель попасть в любой жилой дом, то достаточно попасть в окружность города (т.е. в круг 10-20-30 км), а там куда ни кинь - именно в дом и влетит. С этим справлялись даже немецкие Фау-2 (1944), летающие чисто на гироскопах, и уж явно за более чем 80 лет развития бабахала возможности растут. Появилось автономное наведение, автоматические довороты на цель, распознавание образов. Тем более, что если хочется расхуярить любую пятиэтажку с бабушками и кошками или чью-то избу, то не обязательно целиться в самую гущу.

Очевидно, что точное наведение нужно для поражения каких-то конкретных ценных целей, определённых заранее. И глушат как раз для того, чтобы туда не попало. А попало не туда. Что именно означает "не туда", если дело происходит в населённой местности (особенно центре мегаполиса, где больше всего глушат) - см. выше.

Тут, конечно, можно порассуждать на тему морали тоже. Если дрон не удаётся нейтрализовать, то точно ли попадание туда, куда задумывалось, по гуманитарным соображениям хуже попадания туда, чем пугают. Но мы не будем, не положено.
#ПрекрасноеНастоящее (а не #цензура и не #пиZдец)

Facebook возобновил разработку библиотеки управления памятью jemalloc

Отмечается, что компания Meta осознала преимущества от применения jemalloc в своей инфраструктуре и решила возобновить работу над кодом данной библиотеки для снижения издержек на сопровождение, модернизации кодовой базы, избавления от технического долга и адаптации аллокатора для новых видов нагрузки и актуального оборудования. Разработка будет продолжена в форме открытого проекта, развиваемого совместно с сообществом и приветствующего подключение к работе сторонних участников.

Библиотека jemalloc была разработана Джейсоном Эвансом (Jason Evans) в 2005 году для FreeBSD 7.0, после чего была портирована в NetBSD и интегрирована в состав Firefox. В 2009 году автор jemalloc перешёл на работу в компанию Facebook, в которой данная библиотека использовалась во внутренних проектах. В 2017 году Джейсон уволился из Facebook, а разработка была продолжена оставшейся командой из Facebook. После переименования в Meta приоритеты компании изменились, развитие библиотеки застопорилось, разработка сосредоточилась только на внутренних потребностях, а общедоступная кодовая база со временем деградировала. Для поддержания общедоступной библиотеки на плаву требовался значительный рефакторинг, но Джейсон не готов был тратить своё время на эту работу и поэтому 10 месяцев назад перевёл репозиторий в архивный режим.

Среди планов, которые компания Facebook наметила реализовать после возрождения проекта:

• Снижение накопленного технического долга, проведение рафакторинга и чистки кодовой базы, усовершенствование библиотеки для сохранения эффективности, надёжности и простоты использования.
• Продолжение развития аллокатора HPA (Huge-Page Allocator) для оптимизации потребления ресурсов CPU за счёт более оптимального использования больших страниц памяти (transparent hugepage).
• Внесение изменений для повышения эффективности работы с памятью, связанных с улучшением упаковки структур, кэширования и очистки освобождённых блоков памяти.
• Добавление оптимизаций для архитектуры AArch64 (ARM64).

Похоже, снесли последний симпатичный домик на ш. Революции в этом дворе. Сносили на выходных, я проезжал и видел груду пыли, а сегодня уже почти ничего не осталось, лишь груда мусора.

#СПб #ЛенинградНутряной

Mistral опубликовал Leanstral, AI-модель для вайб-кодинга с формальной верификацией

Devstral стала первой открытой моделью, поддерживающей язык программирования Lean 4 и связанный с ним инструментарий для проверки математических доказательств. Lean 4 предоставляет возможности для математического доказательства корректности кода и его соответствия спецификации, что в контексте вайб-кодинга позволяет подтвердить, что сгенерированный AI-моделью код делает именно то, что задумано.

Модель охватывает 119 миллиардов параметров (6.5 млрд активируемых параметров на токен), учитывает контекст в 256 тысяч токенов и опубликована под лицензией Apache 2.0. Загружаемый архив с Leanstral занимает 121 ГБ и пригоден для использования на локальных системах. Для локального запуска могут применяться библиотеки vllm, transformers и SGLang.

Среди прочего модель может применяться для вайб-разработки в открытом агенте mistral-vibe, а также интегрироваться с инструментарием Aeneas для верификации кода на языке Rust. В качестве входных параметров принимается текст и изображения, на выходе выдаётся только текст. Поддерживается анализ содержимого изображений.

Для оценки возможностей AI-моделей с учётом качества проведения формальной верификации кода и написания математических доказательств разработан новый набор тестов FLTEval. В проведённых тестах модель Leanstral ощутимо обогнала существующие открытые модели Qwen3.5 397B-A17B, Kimi-K2.5 1T-A32B и GLM5 744B-A40B, показала сходные результаты с моделями Claude Haiku 4.5 и Claude Sonnet 4.6 от компании Anthropic, но отстала от модели Claude Opus 4.6. В частности, модель Opus набрала 39.6 баллов, а Leanstral - 21.9 при одном проходе и 31.9 при 16 проходах. При этом затраты при использовании Opus составили 1650 долларов, а Leanstral - $18 при одном проходе и $290 при 16 проходах. Модель Haiku набрала 23 балла при затратах $184, а модель Sonnet - 23.7 при затратах $549.

Выпуск мультимедиа-пакета FFmpeg 8.1

Среди изменений в FFmpeg 8.1:

• Добавлен экспериментальный декодировщик для формата кодирования звука Extended xHE-AAC (High-Efficiency Advanced Audio Coding) со схемой объёмного звука Mps212 (MPEG Surround с раскладкой каналов 212). xHE-AAC используется в потоковом вещании Netflix и задействован в технологиях цифрового радиовещания Digital Radio Mondiale. Кодек примечателен поддержкой широкого диапазона битрейта (от 12 до 300 kbit/s), высокой степенью сжатия, средствами воспроизведения с постоянной громкостью, обеспечением высокой чёткости при любых уровнях громкости, дополнительными профилями управления динамическим диапазоном при прослушивании в шумных местах и добавлением метаданных, позволяющих восстанавливать потери на принимающей стороне.
• На базе библиотеки libmpeghdec реализован декодировщик для интерактивного и объёмного звука в формате NGA (Next Generation Audio), определённого в стандарте кодирования звука и видео MPEG-H.
• Реализован парсер для метаданных в формате EXIF и сопутствующий API для разбора метаданных.
• Добавлена поддержка разбора и перенаправления метаданных в формате LCEVC (Low Complexity Enhancement Video Coding), реализующем поверх штатных кодеков дополнительный слой с метаданными для улучшения качества видео. Добавлена поддержка экспорта слоёв улучшения качества LCEVC в мультимедийные контейнеры MPEG-TS (MPEG Transport Stream).
• Добавлены парсер, кодировщик и декодировщик, а также упаковщик и распаковщик мультимедийных контейнров (muxer/demuxer), для формата изображений JPEG XS, который позиционируется как легковесная система кодирования изображений, обеспечивающая минимальные задержки при кодировании и декодировании, и ориентированная на оптимизацию передачи последовательностей изображений очень высокого качества (до 8K). JPEG XS позволяет существенно снизить необходимую пропускную способность канала связи без заметных для человеческого глаза потерь качества.
• На базе графического API Vulkan реализованы кодировщик и декодировщик для кодека Apple ProRes, а также декодировщик для применяемого в кинопроизводстве формата раздельной передачи кадров DPX (Digital Picture Exchange). Реализации на базе API Vulkan примечательны значительным повышением производительности за счёт аппаратного ускорения, распараллеливания операций и задействования вычислительных шейдеров. Для ускорения инициализации кодека реализована возможность использование уже скомпилированных шейдеров GLSL, без необходимости их компиляции во время работы. Проведена оптимизация реализаций кодеков на основе AI Vulkan.
• В библиотеке swscale (Software Scaler), применяемой в FFmpeg для программного масштабирования и преобразования цветов, реализован бэкенд, использующий для ускорения выполнения операций графический API Vulkan.
• Добавлены варианты кодировщиков форматов H.264 и AV1, использующие API D3D12 (Direct3D 12) для аппаратного ускорения кодирования.
• Добавлен вариант кодировщика формата H.264/HEVC, использующий доступные в чипах Rockchip средства аппаратного кодирования видео.
• Добавлена поддержка упаковки и распаковки пространственного звука в формате IAMF (Immersive Audio Model and Formats) с объёмным звучанием в режиме Ambisonics, учитывающем распространение звука не только в горизонтальной плоскости, но и в вертикальной (для определения сверху или снизу источник звука).
• Добавлен распаковщик (demuxer) мультимедийных контейнеров в форматах HXVS и HXVT, применяемых в IP-камерах.
• В утилиту ffprobe добавлена опция "-codec" ("-c") для выбора определённой реализации декодировщика.
• В утилиту ffmpeg добавлена поддержка мозаичного режима (tiled) хранения изображений в формате HEIF (когда очень большое изображение сохраняется в форме набора из более мелких изображений).
• Удалён старый обработчик протокола HLS.
• Новые фильтры:
  • drawvg для вывода векторной графики поверх видеокадров, используя библиотеку libcairo.
  • vpp_amf для изменения размера и преобразования цветового пространства видео, используя для аппаратного ускорения AMD Advanced Media Framework.
  • vf_scale_d3d12, vf_deinterlace_d3d12, vf_mestimate_d3d12 для масштабирования, деинтерлейсинга и анализа движения на видео, используя для аппаратного ускорения графический API Direct3D 12.
  • gfxcapture для захвата содержимого окон и экрана на платформе Windows при помощи API Windows.Graphics.Capture.
  • Добавлен bitstream-фильтр для метаданных LCEVC.

Выпуск файловой системы Bcachefs 1.37.0

В новой версии:

• Стабилизирована и объявлена готовой к повсеместному использованию поддержка кодов коррекции ошибок, позволяющих восстанавливать повреждённые данные по аналогии с RAID 5/6. Реализация основана на кодировании Рида-Соломона, способном исправить до N ошибок в страйпе (stripe) при наличии N избыточных блоков. Обеспечено автоматическое восстановление деградировавших страйпов. Добавлена возможность применения кодов восстановления в конфигурациях с накопителями разного размера.
• Добавлена поддержка находящегося в разработке ядра Linux 7.0.
• Реализованы новые команды "subvolume list" для вывода подразделов с фильтрацией и сортировкой; "subvolume list-snapshots" для показа снапшотов в древовидной форме'; "subvolume reflink-option-propagate" для применения параметров ввода-вывода файла, таких как сжатие, контрольная сумма, количество реплик и список целевых устройств, к экстентам файла.
• Стабилизирована операция раскрутки (rewind) журнала.
• Обеспечено автоматическое восстановление при использовании устройств с некорректной поддержкой команд для сброса прокэшированных операций записи на накопитель (flush и FUA).
• Ускорено восстановление после некорректного завершения работы.
• Повышена производительность ФС, охватывающих несколько устройств.
• Запускаемые в пространстве пользователя утилиты bcachefs переписаны на языке Rust. В будущем планируется переписать на Rust и компоненты ФС, работающие на уровне ядра. Началась работа по использованию инструментария Verus для формальной верификации кода на Rust.

Проектом Bcachefs развивается файловая система, нацеленная на сочетание расширенной функциональности, свойственной Btrfs и ZFS, и уровня производительности, надёжности и масштабируемости, характерного для XFS. Bcachefs поддерживает такие возможности, как включение в раздел нескольких устройств, многослойные раскладки накопителей (нижний слой с часто используемыми данными на базе быстрых SSD, а верхний слой с менее востребованными данными из жестких дисков), репликация (RAID 1/10), кэширование, прозрачное сжатие данных (режимы LZ4, gzip и ZSTD), срезы состояния (снапшоты), верификация целостности по контрольным суммам, коды коррекции ошибок, хранение информации в зашифрованном виде (используются ChaCha20 и Poly1305).

Источник: https://www.opennet.ru/opennews/art.shtml?num=65003

Ещё раз решил выпечь #хлеб в духовке, ставил даже в два раза дольше, чем рекомендовали, а внутри кажется сыроват. Что теперь делать хз, пожарить что ли...

Хм, а по Неве пошёл лёд. С утра ещё смотрел, ничего не было.
Интересно, это ещё не ладожский?

#СПб

Выпуск свободной игры SuperTux 0.7.0

Среди изменений в новом выпуске:

• Добавлены новые спрайты и реализованы такие возможности, как скольжение по склонам, ползание, прыжки на попе и катящиеся камни.
• Переделана графика большинства фонов, объектов и врагов.
• Полностью переработаны уровни Story Mode, Revenge in Redmond и Bonus Island I.
• Добавлены новые неигровые персонажи (например, Granito) и враги (например, DiveMine, Fish и Corrupted Granito), а также переработаны многие ранее существовавшие враги: GoldBomb, Igel, Ghoul, Yeti и Ghost Tree.
• Добавлена новая музыка.
• Переработан редактор уровней.
• Добавлен режим локальной многопользовательской игры.
• Предложены новые элементы геймплея: сверкающие враги, ключи, карман для предметов и разблокируемые через Tux Dolls бонусные острова.
• Проведён рефакторинг кода и осуществлён переход на обвязку SimpleSquirrel для использования скриптового языка Squirrel.
• Возвращена поддержка платформы Android и добавлены пакеты в формате Flatpak.

@ivanhead А по мне - так обычный беспредел. Просто очень неожиданно возникла "какая-то инфекция", как раз перед запуском онвамнедимоновского свечного заводика.
Просто беспредел уже настолько немудрёный, что аж диву даёшься, как народ всё это хавает.
Как пел Слепаков "И не заметить уже невозможно моих двух-ходовых схем."

Увеличение длительности суток составляет 1,33 миллисекунды в столетие — это наиболее высокий темп за последние 3,6 млн лет.

Выпуск CSMWrap 3.0, прослойки для загрузки в режиме BIOS на системах с UEFI

Проектом предоставляются 64- и 32-разрядные сборки EFI-приложения, которые достаточно разместить в каталоге /EFI/BOOT/ в разделе с ФС FAT на носителе с операционной системой, способной загружаться только в окружениях с BIOS. UEFI-прошивка распознает подобный носитель и покажет в числе загрузочных устройств. На загружаемом устройстве желательно использовать таблицы разделов в формате MBR.

В ветке CSMWrap 3.0 добавлена поддержка файла конфигурации csmwrap.ini, который можно разместить в одном каталоге с исполняемым файлом EFI для указания дополнительных настроек. Реализована возможность указания в файле конфигурации параметров последовательного порта для отладочного вывода, пути к альтернативному VGABIOS (вместо SeaVGABIOS), PCI-адреса видеокарты, флагов для отключения IOMMU и подавления вывода на экран информации о работе CSMWrap, показываемой помимо баннера и сообщений о сбоях.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64998

Открытый радар AERIS-10, способный отслеживать объекты на расстоянии до 20 км

Подготовлено два варианта радиолокационной станции на фазированных антенных решётках - AERIS-10N (Nexus) и AERIS-10E (Extended). Оба варианта используют частоту 10.5 ГГц и используют импульсную линейную частотную модуляцию (LFM). Отличия сводятся к использованию массива плоскостных антенн 8x16 и массива щелевых излучателей в диэлектрически заполненном волноводе 32x16, обеспечивающих дальность действия до 3 км и 20 км, соответственно, а также мощности сигнала (1Wx16 и 10Wx16).

Система модульная с раздельными платами управления питанием, генерации частот и RF-блоками. Для обработки сигналов, сжатия импульсов, вычисления скорости объекта при помощи доплеровского быстрого преобразования Фурье, исключения неподвижных объектов (MTI) и обеспечения постоянного уровня ложных тревог (CFAR) задействован FPGA XC7A100T. Вращение антены на 360° обеспечивает шаговых двигатель. Управление работой и настройка периферийных устройств осуществляется при помощи микроконтроллера STM32F746xx.

Корректировка положения и ориентации в режиме реального времени обеспечивается при помощи GPS и инерциальных датчиков (акселерометр, гироскоп). Реализовано электронное управление сканирующим лучом в пределах ±45° по высоте и азимуту. Возможно одновременное отслеживание движения нескольких объектов. Для управления радаром, наглядного отслеживания движущихся объектов и их сопоставления с картой реализован графический интерфейс.

Сборка радара осуществляется из типовых элементов, имеющихся в широкой продаже. Затраты на чипы и компоненты для изготовления радара в простейшей конфигурации оценивается приблизительно в 5000 долларов. Для сравнения стоимость коммерческих радаров того же класса начинается с 250 тысяч долларов.

Выпуск CSMWrap 3.0, прослойки для загрузки в режиме BIOS на системах с UEFI

Проектом предоставляются 64- и 32-разрядные сборки EFI-приложения, которые достаточно разместить в каталоге /EFI/BOOT/ в разделе с ФС FAT на носителе с операционной системой, способной загружаться только в окружениях с BIOS. UEFI-прошивка распознает подобный носитель и покажет в числе загрузочных устройств. На загружаемом устройстве желательно использовать таблицы разделов в формате MBR.

В ветке CSMWrap 3.0 добавлена поддержка файла конфигурации csmwrap.ini, который можно разместить в одном каталоге с исполняемым файлом EFI для указания дополнительных настроек. Реализована возможность указания в файле конфигурации параметров последовательного порта для отладочного вывода, пути к альтернативному VGABIOS (вместо SeaVGABIOS), PCI-адреса видеокарты, флагов для отключения IOMMU и подавления вывода на экран информации о работе CSMWrap, показываемой помимо баннера и сообщений о сбоях.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64998

The "rewrite it in rust" has been replaced by the "rewrite it with Claude™".

приличного человека можно узнать по трём смартфонам:
- для улицы
- для дома
- для мессенджера max

Выпуск River 0.4.0 с разделением композитного и оконного менеджеров

River может выполняться как во вложенных сеансах, запущенных поверх других X11- и Wayland-серверов, так и без прослоек, используя для вывода драйверы KMS/DRM. Для разделения функциональности композитного и оконного менеджеров проектом развивается Wayland-протокол river-window-management-v1. В оконный менеджер выносятся такие функции, как декорирование окон, управление фокусом ввода, указателем, клавиатурными комбинациями, позицией и размером окон.

Возможна замена оконных менеджеров на лету, без прерывания сеанса. На выбор предлагается 16 оконных менеджеров, совместимых с River, среди которых имеются оконные менеджеры мозаичные в стиле DWM или xmonad, Emacs-подобные в стиле EXWM, классические стековые и на основе прокручиваемой ленты. Для запуска X11-приложений поддерживается использование Xwayland.

Среди причин разделения композитного и оконного менеджеров упоминается: снижение порога для написания оконных менеджеров; возможность реализации оконных менеджеров на высокоуровневых языках со сборкой мусора, не влияющих на производительность композитного менеджера; возможность горячей замены оконных менеджеров без перезапуска композитного сервера и запущенных графических программ; упрощение проведение экспериментов, связанных с дизайном оконных менеджеров.

Из ограничений протокола river-window-management-v1 отмечается отсутствие функциональности, выходящей за рамки 2D-операций с рабочим столом, например, не поддерживается создание сложных эффектов и 3D-интерфейсов для систем виртуальной реальности. Эффекты пока ограничиваются простой анимацией, но в будущем планируется реализация более сложных эффектов при помощи шейдеров.

Выпуск мультимодельного IPTV-оркестратора IP_TV-Neon 0.8.2

Основные изменения: ​

• К существующей интеграции с DeepSeek добавлена поддержка Google Gemini, что позволяет пользователю выбирать предпочтительный движок для семантического поиска и формирования динамических плейлистов на основе естественного языка.
• Реализован механизм интеллектуальной фильтрации. Система способна обрабатывать запросы вида "найди научно-популярные каналы с английской звуковой дорожкой" или "сформируй список телеканалов по рейтингу", анализируя метаданные из локальных или удалённых списков воспроизведения в формате M3U. ​

В городе снега почти нет, зато много машин, людей и песка. На севере перешейка снег лежит полосами. Кое-где он даже ещё замёрзший, по нему можно спокойно идти, дальше уже проваливаешься, а потом уже и глубокая лужа, покрытая некрепким ледком. Поднимаешься с дороги на холмы-мяки, проваливаясь в снег по колено, перескакиваешь через чьи-то траншеи и огневые точки, а вершина уже зелёная, и всё пространство, что охватывает глаз, зелёное, птицы поют песни весны. Прямо волшебная зелёная страна с висящими клоками уснеи и брусничными кочками. На картах точки вроде не обозначены, да и вряд ли они слишком высокие, думаю, метров 80. Но чуть спускаешься с одной, как видишь рядом ещё выше. На двух деревьях рядом кто-то соорудил деревянные ступени, но начинаются они не от самой земли, надо каким-то образом подпрыгнуть. Стоит особым образом вытесанный пень — то ли престол, то ли алтарь. Из окопов выглядывает осторожная белка. Идёшь дальше, за ней новая вершина. Потом ещё одна, самая высокая. Ориентир - огромная матёрая сосна, нескольким людям в обхват. А за ней... Как раз Искалеченные Земли. Глядишь вниз, и почти сколько хватает глаз, полосы снега и песка, с пеньками спиленных деревьев, дорожная колея. Вдалеке - непонятно почему пощажённые островки соснового леса.

#ЛенинградНутряной

(#monochromemarch)

В городе снега почти нет, зато много машин, людей и песка. На севере перешейка снег лежит полосами. Кое-где он даже ещё замёрзший, по нему можно спокойно идти, дальше уже проваливаешься, а потом уже и глубокая лужа, покрытая некрепким ледком. Поднимаешься с дороги на холмы-мяки, проваливаясь в снег по колено, перескакиваешь через чьи-то траншеи и огневые точки, а вершина уже зелёная, и всё пространство, что охватывает глаз, зелёное, птицы поют песни весны. Прямо волшебная зелёная страна с висящими клоками уснеи и брусничными кочками. На картах точки вроде не обозначены, да и вряд ли они слишком высокие, думаю, метров 80. Но чуть спускаешься с одной, как видишь рядом ещё выше. На двух деревьях рядом кто-то соорудил деревянные ступени, но начинаются они не от самой земли, надо каким-то образом подпрыгнуть. Стоит особым образом вытесанный пень — то ли престол, то ли алтарь. Из окопов выглядывает осторожная белка. Идёшь дальше, за ней новая вершина. Потом ещё одна, самая высокая. Ориентир - огромная матёрая сосна, нескольким людям в обхват. А за ней... Как раз Искалеченные Земли. Глядишь вниз, и почти сколько хватает глаз, полосы снега и песка, с пеньками спиленных деревьев, дорожная колея. Вдалеке - непонятно почему пощажённые островки соснового леса.

#ЛенинградНутряной

(#monochromemarch)

Russian government wants to ban Telegram because Ukrainians are recruiting Russians for terrorist attacks.

Ukrainian government wants to ban Telegram because Russians are recruiting Ukrainians for terrorist attacks.

:acat_loading:

Представляю свои страницы про Delta Chat. Я постарался покрыть все популярные вопросы, не перегружая лишней информацией. Учтены актуальные разработки, так как последние месяцы было добавлено много чего интересного, и другие руководства уже устарели.

software/delta-chat: Подробная информация о функциях и возможностях, технические детали и ответы на вопросы.

guides/delta-chat: Простое руководство по использованию и введение в основные функции.

guides/delta-chat-email: Использование с классической электронной почтой для продвинутых пользователей.

Я проделал много работы. Надеюсь, вам понравятся эти страницы и сам Delta Chat. Как всегда принимаются любые предложения и исправления.

@shuro @dlmk слышал теорию заговора, что украинские спецслужбы просочились в спецслужбы российские и специально заставляют Россию делать больше и больше блокировок, отрезаяя её от глобального мира

Создан дистрибутив Ageleless Linux для противодействия законам о проверке возраста

Для установки предлагается скрипт become-ageless.sh, позволяющий сконвертировать любой уже установленный Debian GNU/Linux в Ageleless Linux. Скрипт заменяет файл /etc/os-release и включает в него информацию о несоблюдении законов о проверке возраста (COMPLIANCE_STATUS="refused", API_STATUS="refused", VERIFICATION_STATUS="flagrantly noncompliant"), добавляет каталог /etc/ageless/ с отчётами о нарушаемых законах и реализует прототип фиктивного API для выдачи приложениям информации о возрасте пользователей. Реализация API сводится к скрипту /etc/ageless/age-verification-api.sh, который на все запросы выдаёт ошибку "ERROR: Age data not available" с примечанием, что все пользователи в системе имеют неопределённый возраст.

По мере реализации механизмов проверки возраста в дистрибутивах, скрипт намерены расширять средствами для удаления или блокирования подобных механизмов в различных дистрибутивах. Например, в случае реализации D-Bus интерфейса "org.freedesktop.AgeVerification1" в Fedora Linux, скрипт будет адаптирован для применения в Fedora для удаления обработчика, реализующего данный интерфейс, или предоставления пакетов в альтернативным обработчиком, возвращающим неопределённый возраст. Аналогично, в случае появления запроса возраста в инсталляторе Ubuntu, скрипт будет расширен для удаления данного запроса, а если Debian интегрирует в сервис AccountsService передачу информации о возрасте, проект Ageleless Linux возьмёт на себя поддержание изменённого форка AccountsService.

Принятые или находящиеся на стадии утверждения законы, предписывающие реализацию проверки возраста, не запрещают распространение операционных систем без подтверждения возраста, но предусматривают штрафы к поставщикам, ответственным за разработку, лицензирование или установку подобных операционной системы. После запуска скрипта от проекта Ageleless Linux пользователь принимает на себя роль "поставщика операционной системы". Предполагается, что если ребёнок воспользуется компьютером с Ageleless Linux, установивший данный дистрибутив пользователь может рассматриваться как поставщик, предоставивший операционную систему ребёнку без указания его возраста во время создания учётной записи. При этом педполагается, что в подобной ситуации нет пострадавших детей, а есть лишь лица, чей возраст неизвестен.

Проект также намерен распространять устройства на базе платформы Milk-V Duo S, удовлетворяющие предписаниям Закона Калифорнии AB1043, но намеренно не выполняющие его требования. Также планируется запустить каталог приложений store.agelesslinux.org, через который предоставить возможность установки распространяемых устройствах среды обучения языку Python, текстового редактора, игры "Змейка", IRC-клиента с предупреждением об опасности общения с незнакомыми людьми и 8-строчный скрипт "peepee", выводящий на экран слово "peepee" (предполагается, что за установку подобного скрипта без верификации возраста можно получить штраф).

Создатели Ageleless Linux пытаются продемонстрировать абсурдность вводимых законов проверки возраста, распространяя устройства с явным, документированным и преднамеренным нарушением закона AB1043, сулящего получение штрафа. В январе 2027 года подобные устройства планируют раздавать детям на школьных ярмарках и библиотечных мероприятиях. Отмечается, что получение штрафа лучше всяких обсуждений раскроет суть витиеватых формулировок в законе и позволит понять, подпадает ли изменяющий систему bash-скрипт под определение "поставщик операционной системы", считается ли специализированная плата "устройством общего назначения" и можно ли наложить штрафы за "каждого пострадавшего ребёнка" в случае отсутствия возможности посчитать пострадавших детей.

По мнению автора проекта, принимаемые законы о проверке возраста являются скорее защитным барьером и созданием инфраструктуры слежки, чем заботой о безопасности детей. Предъявляемым законом требованиям уже соответствуют крупнейшие производители, такие как Apple, Google и Microsoft, но при этом законы могут привести к неподъёмным издержкам у небольших производителей ОС и проектов, развиваемых энтузиастами. Во многих случаях не реализовавшим требования проверки возраста проектам проще отказаться от распространения в юрисдикциях с подобными законами, так как затраты на юридическую защиту превысят годовой бюджет большинства открытых проектов.

Напомним, что в ряде штатов США продвигаются законопроекты, предписывающие добавление в операционные системы возможности для указания возраста пользователя на этапе регистрации учётной записи и предоставления приложениям программного интерфейса для определения возрастной группы текущего пользователя (младше 13 лет, от 13 до 16 лет, от 16 до 18 лет, 18 лет и старше) для соблюдения законодательства о защите детей в интернете. За невыполнение требований предусмотрены штрафы до $2500 за неумышленное и до $7500 за умышленное нарушение в отношении каждого пострадавшего ребёнка.

Добавление API для запроса приложениями информации о возрасте пользователя уже обсуждается разработчиками дистрибутивов Ubuntu, Debian, Fedora, Linux Mint и NixOS. Конкретные решения ещё не приняты, но рассматривается возможность реализации необходимого API через xdg-desktop-portal или сервис AccountsService с отправкой запросов через новый D-Bus интерфейс "org.freedesktop.AgeVerification1". Руководитель компании System76, разрабатывающей дистрибутив Pop!_OS, пообщался с сенатором штата Колорадо, являющимся соавтором законопроекта о проверке возраста, который предложил подготовить поправки к законопроекту для исключения открытого ПО из области его действия.

Проект MidnightBSD добавил на страницу загрузки предупреждение о запрете использования MidnightBSD жителям штата Калифорния с 1 января 2027 года и Бразилии с 17 марта 2026 года из-за вступления в силу законов о верификации возраста. В случае утверждения законопроектов запрет также распространится на штаты Колорадо, Иллинойс и Нью-Йорк. Утверждается, что разработчики MidnightBSD планируют выполнить требования законов Калифорнии, Колорадо и Иллинойса, но не станут пытаться соответствовать требованиям законов Бразилии и Нью-Йорка, так как MidnightBSD не является коммерческой компанией и не имеет средств для оплаты сервисов верификации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64995

@bifik цензура стала ломать api.telegram.org, соединения отваливаются по таймауту через раз.

Пока может помочь настроить таймаут и ретраи побольше, если код позволяет. Потом, наверное, совсем убьют и придётся проксировать.

По новым схемам, электричка в сторону, например, Зеленогорска на одинаковое расстояние стоит раз в пять меньше чем на приозерском направлении. Сегодня еду и вижу, что народу явно поубавилось. Заставляет задуматься!
Ну и каждый раз стыдно платить за билет, понятно же, что моя копеечка пойдёт каким-нибудь проходимцам и в итоге вообще где-нибудь пропадёт, но точно не на улучшение поездки.

Релиз графического редактора GIMP 3.2.0

Среди наиболее значимых улучшений в GIMP 3.2:

• Добавлена поддержка слоёв-ссылок (Link layer), позволяющих прикрепить внешние файлы с изображениями в качестве отдельных слоёв. В GIMP к слоям-ссылкам применяется режим недеструктивного редактирования, т.е. манипуляции со слоями-ссылками не влияют на состояние привязанных исходных изображений.

  Например, если добавить SVG-файл как слой-ссылку, то после редактирования этого файла в векторном графическом редакторе Inkscape, содержимое слоя в GIMP будет автоматически синхронизировано с состоянием отредактированного файла. При этом если в GIMP отмасштабировать или повернуть содержимое слоя-ссылки, то данные изменения не повлияют на качество исходного изображения.

  В будущем планируют добавить возможность привязки не только целых изображений, но отдельных слоёв, т.е. как слои-ссылки можно будет привязать выбранные слои из отдельного XCF-файла.
  
  

• Добавлена поддержка векторных слоёв (Vector layer), позволяющих создавать фигуры с заданными свойствами заливки и обводки. Данные хранятся в векторном виде, что позволяет в любой момент изменить контуры фигур (path), выбрать другой цвет заливки или обводки и применить к слою инструменты трансформации в недеструктивном режиме. Для создания векторного слоя следует создать фигуру при помощи инструмента "Контуры" (Path) и нажать кнопку генерации векторного слоя для фигуры, после чего можно, например, повернуть или масштабировать векторный слой без потери качества исходной фигуры.
• Добавлена поддержка нового формата кистей, задействованного в программе для цифровой живописи MyPaint 2.0. Движок для работы с кистями MyPaint теперь учитывает масштаб и поворот холста при рисовании, что позволяет более точно симулировать реальные мазки кистью. В состав GIMP добавлено более 20 новых кистей из набора Dieterle, входящего в состав MyPaint Brushes 2, включая кисти для рисования стрелок и постеризации.
• Реализованы опции для отрисовки эскизов кистей, шрифтов и палитр с использованием цветов фона и переднего плана активной темы оформления. Например, при выборе тёмного режима оформления кисти теперь могут отображаться светлым цветом на тёмном фоне, а не только на белом фоне.
• В инструмент для работы с кистями MyPaint добавлен ползунок "Усиление" (Gain), при помощи которого можно управлять реагированием на степень нажатия при рисовании, например, для симуляции более сильного или слабого нажатия на кисть при рисовании мышью.
• Добавлена возможность недеструктивного применения фильтров к каналам, по аналогии с тем, как это уже реализовано для слоёв. В панели "Каналы" появился столбец Fx и доступна возможность редактирования, перегруппировки, удаления и объединения фильтров. Проведён рефакторинг реализации недеструктивного редактирования изображений, позволивший упростить дальнейшее расширение функциональности и сопровождение кода, а также избавиться от некоторых ошибок.
• В интерфейсе выбора цвета, соответствующего схеме CMYK (CMYK Color Selector), реализован расчёт покрытия чернил (Ink Coverage, количество чернил, наносимых на бумагу в одном месте). При подготовке изображения к печати данный параметр позволяет оценить превышение пороговых значений в системах печати (например, слишком большой Ink Coverage может привести к смазыванию или не подходить для используемого типа бумаги).
• Предложен новый режим смешивания при рисовании - "Overwrite", позволяющий напрямую заменять пиксели в области рисования без смешивания значений прозрачности кисти и существующих пикселей. Режим в основном предназначен для применения с инструментом "карандаш" и может использоваться для пиксельной графики, когда нужно добиться однородной непрозрачности, на которую не влияют уровни прозрачности исходной области.
• В инструмент для работы с текстом добавлена опция для управления направлением окантовки. Например, контур вокруг букв можно направлять внутрь, наружу или в обоих направлениях.
• Реализована возможность перемещения всплывающего окна редактора текста над холстом в любое место, не меняя расположение самой редактируемой области. Произведён рефакторинг кода, решивший проблемы с рендерингом текста при очень больших разрешениях. Добавлено сочетание клавиш для вставки неотформатированного текста из буфера обмена (по-умолчанию назначено на Shift + Ctrl + V) по аналогии с ранее добавленными сочетаниями клавиш для форматирования жирным шрифтом, курсивом и подчёркиванием.
  
  <iframe src="https://peer.tube/videos/embed/64DzkCtrEw9aDr88urpAnj">
• Добавлена дополнительная тема оформления "System Colors", при выборе которой цвета в интерфейсе автоматически подстраиваются под настройки активных системных тем в Linux и Windows, и обновляются при изменении системной темы.
• Добавлен GEGL Filter Browser, интерфейс для навигации по фильтрам на базе библиотеки GEGL (Generic Graphics Library). При помощи GEGL Filter Browser можно посмотреть список доступных операций GEGL (фильтров) и информацию по их использованию.
  
  
  
• В инструменте для создания и редактирования текстовых слоев реализована поддержка комбинаций клавиш "Ctrl + B", "Ctrl + I" и "Ctrl + U" для применения жирного начертания, курсива и подчёркивания. Обеспечено изменение цвета контура текста в реальном времени сразу после изменения цвета в окне выбора цвета, не дожидаясь подтверждения выбора.
• Представлен новый интерфейс плагина Animation Playback, оформленный в стиле видеоплееров, таких как VLC. Вместо индикатора прогресса задействован слайдер, позволяющий переместится на нужный кадр.
• Учтены системные настройки для отключения анимированных эффектов.
• В полях для ввода значений с размером в диалогах настройки сетки и разрешения монитора разрешено использовать математические выражения, например, "3 * 92cm".
• Внесены изменения для упрощения в будущем портирования на GTK4. Например, осуществлён уход от использования GtkTreeView в пользу GtkListBox.
• Добавлена возможность быстрого возврата к прошлому инструменту по сочетанию клавиш (по умолчанию назначено на Shift + X). Несмотря на то, что с технической точки зрения GIMP рассматривает применение фильтров (например, яркость-контаст) как применение инструментов (таких как вращение и кисть), в угоду интуитивности данное сочетание клавиш будет переключаться исключительно между состояниями, отображаемыми в интерфейсе в форме инструментов.
• Появилась возможность открывать множество изображений с помощью перетаскивания файлов на строку вкладок изображений.
• Добавлена возможность перетаскивания образцов цветов из истории применённых цветов. Ранее это не было возможным из-за смещения фокуса на кнопки соответствующего окна.
• Для 64-разрядных сборок GIMP с 1024 пикселей до 8192 пикселей увеличен максимальный размер временных кистей и шаблонов. Для 32-разрядных сборок ограничение не изменилось.
• Добавлена возможность загрузки преднастроек кривых и уровней, используемых в фильтрах Photoshop, и их использование в фильтрах GIMP.
• Обеспечено открытие любых форматов изображений, упакованных в архивы, сжатые алгоритмами, поддерживаемыми в GIMP (ранее такая поддержка была доступна для сжатых файлов в формата XCF).
• Добавлена поддержка загрузки RAW-изображений с камер, используя приложение ART (AnotherRawTherapee, форк RawTherapee).
• Добавлена поддержка экспорта палитры в формате kpl для использования в графическом редакторе Krita.
• Реализована возможность импорта анимированных изображений в формате APNG.
• Добавлена поддержка загрузки многослойных изображений в формате OpenEXR.
• Добавлена поддержка экспорта в формате JPEG 2000 (ранее поддерживался только импорт).
• Добавлена поддержка импорта и экспорта изображений и текстур в формате TIM, применявшемся в играх для приставки Sony Playstation 1.
• Добавлена поддержка импорта и экспорта изображений в формате OpenRaster, использующих расширения для запоминания выбранных и заблокированных слоёв.
• Добавлена поддержка формата OTA Bitmap (Over The Air Bitmap), использовавшегося для кодирования черно-белых изображений на старых телефонах Nokia.
• Добавлена поддержка импорта изображений в форматах AVCI (Advanced Video Coding), JIF (Jeff’s Image Format, расширенный вариант GIF), HRZ, PAA, PVR (PowerVR), SFW93A, SFW94A и HEJ2 (JPEG 2000 в контейнере HEIF), также импорта pat-файлов с шаблонами Photoshop.
• Добавлен новый плагин экспорта в формате SVG, позволяющий включать растровые слои в формате PNG или JPEG.
• Добавлена возможность экспорта векторных изображений в формате PDF.
• Расширена поддержка формата TIFF, для которого реализована возможность загрузки данных о видимости слоёв, режимов смешивания и тегов цветов.
• Добавлена поддержка экспорта изображений в формате PSB, используемом в Photoshop и отличающемся от формата PSD возможностью работы с очень крупными изображениями, разрешение которых превышает 30000 пикселей. При импорте PSD/PSB обеспечено распознание и конвертация применения недеструктивных фильтров Drop Shadow и Inner Shadow.

Выпуск дистрибутива Debian 13.4

Для загрузки и установки "с нуля" подготовлены установочные сборки c Debian 13.4. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 13.4, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в новые выпуски Debian, доступны пользователям по мере выхода обновлений через сервис security.debian.org.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64992

Такие стоят погоды, что в городах просыпаются от спячки разные сущности, даже те, кто просыпаться и не должен. А люди стараются кучковаться в очередях в модные места и имеют склонность ходить по одним и тем же прямым маршрутам. От пыльных и запруженных вылезшим на солнце народом Петроградки выбрались — без карты и намерения — к уединенному военно-морскому бункеру у разорённой церкви. С вершины с нерастаявшим ещё снегом видна чапыгинская телебашня на Чапыгина, куда я ребёнком отправлял письма Хохе.
!

PS С новым 7535 (или 7534?) годом, кстати!

(#ленинграднутряной)