Выпуск дистрибутива GoboLinux 017.01 с собственной иерархией файловой системы

Корень файловой системы в GoboLinux содержит каталоги "/Programs", "/Users", "/System", "/Files", "/Mount" и "/Depot". Каталог каждого приложения включает все компоненты необходимые для его работы, без разделения настроек, данных, библиотек и исполняемых файлов, Минус подобного подхода - необходимость хранить данные (например, логи, файлы конфигурации) рядом с системными файлами. Плюсом является возможность параллельной установки разных версий одного приложения (например, /Programs/LibreOffice/25.2 и /Programs/LibreOffice/24.8) и упрощение поддержания системы (например, для удаления программы достаточно удалить связанный с ней каталог и почистить символические ссылки в /System/Index).

Для совместимости со стандартом FHS (Filesystem Hierarchy Standard) исполняемые файлы, библиотеки, логи и файлы конфигурации дополнительно распределены по каталогам "/bin", "/lib", "/var/log" и "/etc" через символические ссылки. При этом, указанные каталоги по умолчанию не видны пользователю, благодаря применению модуля ядра GoboHide. Указанный модуль скрывает некоторые каталоги при переборе содержимого, но допускает прямое обращение к файлам.

Для упрощения навигации по типам файлов в дистрибутиве присутствует каталог "/System/Index", в котором символическими ссылками отмечены различные типы содержимого, например, список доступных исполняемых файлов представлен в подкаталоге "/System/Index/bin", совместно используемых данных в "/System/Index/share", а библиотек в "/System/Index/lib" (например, /System/Index/lib/libgtk.so ссылается на /Programs/GTK/4.18/lib/libgtk-4.18.so).

Для сборки пакетов используются наработки проекта ALFS (Automated Linux from Scratch). Сценарии сборки оформляются в форме "рецептов", при запуске которых автоматически загружается код программы и требуемые зависимости. Для быстрой установки программ без пересборки предлагается два репозитория с уже собранными бинарными пакетами - официальный, поддерживаемый командой разработчиков дистрибутива, и неофициальный, формируемый сообществом пользователей. Установка дистрибутива производится с использованием инсталлятора, поддерживающего работу как в графическом, так и текстовом режиме.

Выпуск GoboLinux 017.01 ознаменовал возрождение проекта (прошлый выпуск был опубликован пять лет назад). Релиз также приурочен к 1 апреля, так как, вероятно, многие уже забыли о существовании данного проекта и шуткой стало то, что это не шутка и дистрибутив с собственной моделью разбивки каталогов действительно существует. Создатель GoboLinux и его основной разработчик передал управление новому сопровождающему, который продолжит развитие дистрибутива. Изменения в новой версии:

• В Live-окружении задействован модуль UnionFS-Fuse.
• Библиотека Ncurses заменена на NcursesW.
• Добавлена поддержка карт памяти eMMC.
• Программа Freshen, применяемая для проверки наличия обновлений, портирована на Python 3.
• Ядро Linux обновлено до версии 6.12.16 (ранее использовалась ветка 5.6). Для сжатия ядра, прошивок initramfs и образа squashfs задействован алгоритм zstd.
• Обновлены версии пакетов Dracut 103, E2FSProgs 1.47.1, Fuse 3.16.2, GCC 14.2.0 (был 9.2.0), GRUB 2.12, SQlite 3.36.0 SquashFS-Tools4.6.1 Util-Linux 2.40.2.
• Обновлены загрузочные скрипты и компоненты собственной разработки ( Compile, ConfigTools, Dit, EnhancedSkel, GoboNet, Scripts). Добавлены компоненты BuildLiveCD и Freshen.
• Решены многие проблемы, отмеченные пользователями в прошлом выпуске.

Второй предварительный выпуск мессенджера Pidgin 3.0

Ветка Pidgin 3 разрабатывается с 2011 года, а до этого ещё три года обсуждалась на уровне концепций и идей. В Pidgin 3 выполнен переход на систему типов GObject, библиотеки GTK4 и Adwaita, сборочную систему Meson, GPlugin для обработки плагинов, SQLite для хранение истории чатов и GSettings для работы с настройками. Полностью переработан API. Для определения элементов интерфейса задействован GTK Builder XML, а для отображения истории чатов создана собственная библиотека виджетов Talkatu.

В интерфейсе объединены в одном окне список контактов и окон с чатами. Прекращена поставки консольного клиента Finch (не исключено, что его могут вернуть в будущем). Из протоколов пока поддерживается только IRCv3, а также развиваются новые реализации протоколов XMPP и Bonjour, которые пока поддерживаются частично. Ветка Pidgin 3 несовместима с Pidgin 2 и ранее созданными плагинами, но может быть установлена параллельно с имеющимися сборками Pidgin 2.

Среди изменений в представленном обновлении:

• При сортировке списка участников теперь учитываются полномочия. Например, для IRC в самом верху показываются операторы канала, за ним пользователи с правом голоса и потом обычные участники.
• Добавлена поддержка поиска в списке участников.
• Добавлены базовые уведомления о новых сообщениях.
• Добавлена поддержка расширений для форматирования сообщений в IRC.

Релиз Firefox 137 с поддержкой группировки вкладок

Основные новшества в Firefox 137:

• Добавлена поддержка группировки вкладок, позволяющая объединять несколько вкладок и сворачивать их в одну кнопку, чтобы они не занимали место при просмотре других вкладок. Группе можно назначить имя и цвет, а также отдельно сохранить на случай, если содержимое понадобиться в будущем. Для создания группы можно использовать подменю "Добавить вкладку в группу" в контекстном меню, показываемом при клике правой кнопкой мыши на кнопках вкладок, или просто перетащив одну вкладку на другую (откроется диалог для создания группы).

  Группировка может оказаться полезной для разделения вкладок по тематике (развлечение, покупки, чтение на потом). Кроме того, группировка помогает, когда в процессе первоначального изучения какой-то темы или при выборе товара открывается много связанных страниц, к которым через какое-то время потребуется вернуться, но оставлять в форме отдельных вкладок второстепенные страницы не хочется, так как они занимают место в панели. Возможность пока по умолчанию включена не для всех и постепенно будет активироваться для всё большего процента пользователей. Для принудительного включения на странице about:config можно активировать параметр "browser.tabs.groups.enabled"

  
• Существенно модернизирована адресная строка. Добавлена унифицированная кнопка выбора поисковой системы. Помимо возможности быстро отправить запрос в интересующую поисковую систему в показываемом при нажатии новой кнопки меню также доступны элементы для перехода в интерфейсы просмотра истории посещений, обзора открытых вкладок и навигации по сохранённым закладкам, а также возможность поиска настроек.

  При отправке поискового запроса из адресной строки, введённые данные теперь остаются в адресной строке как есть, даже после отправки запроса к поисковой системе, что позволяет при необходимости изменить запрос напрямую в адресной строке. Например, при отправке запроса "samba vulnerability" в адресной строке теперь не показывается URL поисковой системы, а остаётся введённый текст:

  

  В выпадающем списке рекомендаций обеспечен показ кнопок для выполнения дополнительных действий, таких как вывод страницы на печать.

  
• При начале ввода поискового запроса в адресной строке, находясь на странице какого-то сайта, в числе рекомендаций автоматически будет предложена возможность отправки запроса через поисковую систему этого сайта, если он предоставляет соответствующие функции. После отправки двух подобных поисковых запросов на сайт, браузер предложит добавить поисковый движок сайта в список поисковых систем.
• Предоставлена возможность выбора области поиска, используя управляющие теги, такие как @bookmarks, @tabs, @history и @actions. При вводе символа "@" появляется подсказка по доступным тегам.
  

  Адресную строку теперь можно использовать как калькулятор, достаточно ввести в ней произвольное математическое выражение и в выпадающей подсказке будет показан результат. Для копирования результата в буфер обмена можно кликнуть на него мышью.

  

  Новые возможности адресной строки пока активированы по умолчанию только для небольшого процента пользователей. Для принудительного включения в "about:config" можно использовать параметры из секции "browser.urlbar", такие как "browser.urlbar.quicksuggest.enabled", "browser.urlbar.unifiedSearchButton.always" и "browser.urlbar.suggest.calculator").

• В сборках для платформы Linux включено использование аппаратного ускорения декодирования видео в формате HEVC (H.265).
• При просмотре PDF-документов обеспечено определение всех ссылок и превращение их в гиперссылки.
• В PDF-просмотрщик добавлен диалог для прикрепления к документу изображения своей подписи.
• Добавлена поддержка API SVG Path для отображения фигур и создания контуров при помощи SVG-элемента "path". Добавлена поддержка методов getPathData(), setPathData() и getPathSegmentAtLength(), предоставляемых интерфейсом SVGPathElement.
• Добавлено CSS-свойство "hyphenate-limit-chars", которое можно использовать для указания минимального числа символов в частях слова, разделённых при переносе конца слова на другую строку.
• В CSS-свойство text-decoration-line добавлена поддержка значений "spelling-error" и "grammar-error" для оформления выделения в тексте синтаксических и грамматических ошибок.
• Добавлен метод Math.sumPrecise() для вывода сумму элементов массивов и других перечисляемых объектов с точностью, превышающей точность обычного суммирования в цикле (исключаются потери точности при промежуточном сохранении результатов).
• Добавлен метод Atomics.pause() для информирования о нахождении потока в состоянии блокировки из-за , ожидания доступа к общему ресурсу, что может использоваться для системой при регулировании энергопотребления CPU.
• Для дополнений выставлено ограничение (10 МБ) на размер данных, сохраняемых через API storage.session.
• В инструментах для web-разработчика в панели инспектирования шрифтов добавлено отображение метаданных шрифтов, таких как версия, автор, поставщик и лицензия.
• В панели инспектирования сетевой активности предоставлена возможность переопределения ответов на сетевые запросы (вместо реального ответа можно подставить содержимое выбранного файла).
• В версии для платформы Android добавлена поддержка видео в формате HEVC (H.265).

Кроме новшеств и исправления ошибок в Firefox 137 устранено 14 уязвимостей. 13 уязвимостей помечены как опасные. Все из опасных уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62997

В ядро Linux 6.15 приняты значительные оптимизации сетевой подсистемы и exFAT

• Оптимизация GRO (Generic Receive Offload), объединяющая нескольких мелких пакетов в один большой, теперь задействована при переключении обработки пакета на другой CPU (для балансировки нагрузки) при использовании подсистемы XDP (eXpress Data Path), позволяющей обрабатывать пакеты на уровне сетевого драйвера на стадии до их передачи сетевому стеку. Прирост производительности обработки TCP-потоков от применения оптимизации может достигать двух раз.
• В условиях сильной нагрузки производительность функции connect() повышена до двух раз за счёт замены spin-блокировки на механизм синхронизации RCU (Read-Copy-Update) при поиске записей с информацией о сторонах соединения (исходные и целевые IP-адреса и порты). Дополнительно проведена оптимизация хэширования, обеспечившая прирост производительности ещё на 229%.
• Ускорена реализация MPTCP (Multipath TCP), расширения протокола TCP для организации доставки пакетов одновременно по нескольким маршрутам через разные сетевые интерфейсы, привязанные к разным IP-адресам. MPTCP в режиме с одним потоком ускорен на 29%.
• В netfilter при наличии сокета прекращено выполнение операций поиска маршрутов в FIB (Forwarding Information Base). Благодаря данной оптимизации производительность возросла на 20%.
• Производительность UDP в условиях флуда (flood) увеличена на 10%, за счет исключения лишних операций со структурой sk_tsflags при получении пакетов.

Кроме того, в находящееся в разработке ядро Linux 6.15 принято изменение для драйвера файловой системы exFAT, ускоряющее операции удаление файлов. Ранее драйвер exFAT по отдельности посылал накопителям запросы "discard" на каждый освобождаемый кластер удаляемого файла. Оптимизированная версия группирует запросы, в результате чего время удаления тестового файла, размером 80Гб, сократилось с 286 секунд до 1.6 секунды.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62995

Repairing Streets with Artful Mosaics (14 Photos): https://streetartutopia.com/2025/04/01/ememem-repairing-streets-with-artful-mosaics/
-
By Ememem in Belgrade, Serbia.

Server processes, which provide for a variety of services available with UNIX systems are often referred to as "daemons," as they attempt to do work invisibly. This is a play on Maxwell's daemon, who would merrily put hot molecules in one box and cool molecules in another box, thus (?) violating the Second Law of Thermodynamics. (The proof fails when the daemon acquires so much energy in rapid collisions from highly vibrating molecules that it must radiate the energy as heat, thus perturbing the system. See Feynman's Lectures on Physics, Volume 1, for more information. You just can't get something for nothing, can you?)

William Frederick Jolitz and Lynne Greer Jolitz, "The Initial Root Filesystem: Completing the toolset" (386BSD, v0.1)

Trying to get #OpenStreetMap on #plan9 #9front. Here's a nice screenshot. Work is still in progress, but results look promising. Also, you can now see where #iwp9 will be!

Edit: better quality screenshot here: https://sirjofri.de/oat/tmp/map.png

Выпуск системы резервного копирования Restic 0.18. Атака на CDC

Резервные копии могут храниться в локальной ФС, на внешнем сервере с доступом по SFTP/SSH или HTTP REST, в облаках Amazon S3, OpenStack Swift, BackBlaze B2, Microsoft Azure Blob Storage и Google Cloud Storage, а также в любых хранилищах для которых имеются бэкенды rclone. Для хранения также может использоваться развиваемый проектом rest server, обеспечивающий более высокую производительность по сравнению с другими бэкендами и способный работать в режиме только для дополнения, не позволяющем удалить или изменить резервные копии в случае компрометации исходного сервера и доступа к ключам шифрования.

Система поддерживает снапшоты, отражающие состояние иерархии каталогов в разные моменты времени (снапшоты создаются автоматически для каждой резервной копии). Возможно копирование снапшотов между разными репозиториями. Для экономии трафика в процессе создания резервных копий копируются только изменившиеся данные. Снапшот с резервной копией может быть примонтирован в форме виртуального раздела (монтирование осуществляется при помощи FUSE). Также предоставляются команды для анализа изменений и выборочного извлечения файлов.

Хранилище резервных копий в Restic манипулирует не целыми файлами, а блоками плавающего размера, выбираемыми с использованием подписи Рабина. Информация хранится в привязке к содержимому, а не именам файлов (связанные с данными имена и объекты определяются на уровне метаданных блока). Для экономии места в хранилище и исключения лишнего копирования данных выполняется дедупликация.

На внешних серверах информация сохраняется в зашифрованном виде - для контрольных сумм и дедупликации используются хэши SHA-256, для шифрования - алгоритм AES-256-CTR, а для гарантирования целостности - коды аутентификации на основе Poly1305-AES. Предусмотрена возможность верификации резервной копии по контрольным суммам и кодам аутентификации для подтверждения, что целостность файлов не нарушена.

В новой версии устранена возможность совершения атаки (PDF) по определению наличия заданных файлов в зашифрованном хранилище резервных копий. Атака позволяет определить находится ли в зашифрованном бэкапе какой-то конкретный файл, получив доступ к хранилищу резервных копий или при возможности анализа сетевого трафика с резервными копиями. Например, атаку может совершить администратор сервера, на который сохраняются бэкапы, интернет-провайдер или спецслужбы получившие доступ к серверу или трафику. Целью совершения атаки может стать расследование утечки информации, в котором спецслужбы смогут оценить наличие интересующих документов в хранилище резервных копий.

Для эксплуатации уязвимости атакующий должен добиться добавления своих данных в резервную копию жертвы или знать, что известный ему файл находится в резервной копии. Если в резервной копии имеется файл, о котором знает атакующий (например, какой-то типовой системный или мультимедийный контент), то получив доступ к зашифрованному хранилищу атакующий может определить, есть ли внутри другие интересующие его файлы.

Метод основан на том, что исходя из особенностей сжатия контента, можно определить параметры блоков, используемых при дроблении содержимого. Для определения подобных параметров достаточно определить 3 зашифрованных блока, содержащих данные, известные атакующему.

Уязвимость не специфична для Restic и затрагивает другие системы резервного копирования, использующие разделение данных на блоки при помощи техники CDC (Content-Defined Chunking), такие как BorgBackup, Tarsnap, Bupstash и Duplicacy. В Tarsnap проблема устранена в обновлении 1.0.41, в BorgBackup ведётся работа над исправлением, которое намерены включить в ветку borg 2. В Bupstash последнее изменение было 2 года назад, а в Duplicacy - 4 месяца назад.

Дополнительно отмечается, что в системах, использующих дедупликацию, при наличии возможности добавлять свои файлы в резервную копию можно поступить проще и определить наличие интересующих файлов косвенным путём. После добавления проверяемого файла можно оценить изменение размера хранилища - если файл уже имеется в хранилище, то его повторное добавление из-за дедупликации не приведёт к должному увеличению размера.

Кроме устранения уязвимости в Restic 0.18 также предложено несколько новшеств:

• Добавлена экспериментальная поддержка "холодных" хранилищ резервных копий (данные становятся доступны для извлечения через минуты или часы после запроса), поддерживающих протокол S3, таких как Amazon S3 Glacier.
• В команды check и tag добавлена поддержка вывода в формате JSON.
• При сборке образов для GitHub Container Registry учтены рекомендации SLSA (Supply-chain Levels for Software Artifacts).
• В команду ls добавлен выбор метода сортировки вывода. В команде find по умолчанию задействована сортировка по дате (от новых к старым).
• Предоставлена возможности исключения из операции перепаковки файлов, размером меньше заданного.
• Добавлена настройка для включения/отключения восстановления расширенных атрибутов файлов.
• Добавлена поддержка ОС DragonFlyBSD.
• Добавлена поддержка расширенных атрибутов файлов на системах с NetBSD 10+.
• В ветке restic 0.19.0 намечено удаление поддержки устаревших возможностей, активированных через настройки deprecate-legacy-index, deprecate-s3-legacy-layout, explicit-s3-anonymous-auth и safe-forget-keep-tags.
• Прекращена поддержка старых версий Windows и macOS, для работы теперь требуется как минимум Windows 10, Windows Server 2016 или macOS 11. Прекращена поддержка версий TLS до 1.2.

New 9front release: THE FRONT END OF TOMORROW

http://9front.org/releases/2025/04/01/0/

#9front

Выпуск Phosh 0.46.0, GNOME-окружения для смартфонов

В новом выпуске:

• Предоставлена возможность показа фонового изображения при блокировке экрана.
• Добавлена анимация при смахивании уведомлений экранным жестом.
• В мультимедийном проигрывателе обеспечена загрузка обложек музыкальных альбомов.
• В области индикаторов реализована обработка пустот, в которых размещена передняя камера.
• Улучшен эффект обратной связи при нажатии кнопок.
• В выпадающий панели с быстрыми настройками появилась индикация поиска беспроводных сетей.
• Упрощены файлы с макетами интерфейса и выполнена подготовка к переходу на GTK4.
• В композитном сервере Phoc добавлена поддержка Wayland-протоколов ext-foreign-toplevel-info и alpha-modifier-v1. Реализована анимация процесса выполнения операции (вращающийся спиннер). Разрешена прозрачность в окнах приложений, использующих X11.
• В конфигуратор добавлен интерфейс выбора обоев для экрана блокировки. Реализована настройка силы тактильной обратной связи. Разрешено использования звуковых файлов в формате oga.
• В gmobile, обработчиках для работы GNOME на мобильных устройствах, добавлена поддержка кнопки включения (выхода из спящего режима) на устройствах Google Pixel 3a, SHIFT6mq, Samsung Galaxy A5 и Xioami Mi A2 Lite. Добавлена поддержка дисплейных панелей смартфонов Furilabs FLX1 и Nothing Phone 1.
• Обновлены версии зависимостей: wlroots 0.18.2, GNOME 47, Calls 48, feedbackd 0.8.1, feedbackd-device-themes 0.8.1, callaudiod 0.1.10, wys 0.1.12, mmsd-tng 2.6.3.

Разработчики OrioleDB предложили улучшить API для альтернативных движков PostgreSQL

Наиболее востребованными функциями для альтернативных табличных движков PostgreSQL являются:

• Альтернативные реализации MVCC, например, хранилища на основе журнала UNDO.
• Индексно-организованные таблицы, где индекс не является необязательным дополнением к таблице, которое ускоряет запросы, а представляет собой основную структуру данных, в которой хранятся данные таблицы.

Изменения, необходимые в API Table/Index AM для поддержки альтернативных реализаций MVCC, рассматриваются с оглядкой на расширение OrioleDB, разработанное для устранения известных недостатков встроенного механизма хранения PostgreSQL. Проблема в том, что для полной интеграции OrioleDB с PostgreSQL требуются внесение изменений в код PostgreSQL, что усложняет внедрение проекта и подчёркивает необходимость модернизации текущего API Table AM.

API Table AM не навязывает напрямую способ реализации MVCC. Тем не менее, API Table AM и API Index AM делают следующее предположение: каждый TID (Tuple/row Identifier) либо индексируется всеми индексами, либо не индексируется вообще. Даже если Index AM имеет несколько ссылок на один TID (например, GIN), все эти ссылки должны соответствовать одному и тому же индексированному значению.

Этот принцип критиковали за увеличение числа операций записи ("write amplification") - если обновляется один индексированный атрибут, необходимо обновить каждый индекс в таблице. При необходимости в полной мере использовать преимущества журнала UNDO или построить другой метод хранения без "усиления записи" (например, метод WARM), требуется нарушить это предположение.

Table AM основанный на UNDO, который не будет нарушать это предположение, напоминает существующий метод HOT (Heap-Only Tuples), за исключением того, что старые версии строк сохраняются в журнале UNDO и не должны умещаться в той же странице. Но, по мнению авторов, этого преимущества недостаточно, чтобы оправдать существование отдельного Table AM.

Практические ограничения существующего API:

• Во время обновления строки таблицы индексы обновляются по принципу «все или ничего».
• Отсутствие в API Index AM возможности точечного удаления определённых кортежей. В настоящее время можно удалять кортежи из индексов массово с помощью методов ambulkdelete и amvacuumcleanup. Попытка реализовать точечное удаление через этот API привела бы к низкой эффективности, поскольку большинство текущих реализаций должны сканировать весь индекс. Кроме того, API не позволяет указать какие из кортежей, ссылающиеся на один и тот же TID, следует удалить. Он может удалить только их все.
• Индексы в настоящее время ссылаются на строки таблицы по номеру блока (32 бита) и номеру смещения (16 бит). И только 11 бит номера смещения можно безопасно передать из TID таблицы во все методы доступа индекса. При этом альтернативным реализациям MVCC может потребоваться хранить дополнительную полезную нагрузку (payload) вместе с TID. Например, в OrioleDB требуется один или несколько бит для реализации индексов "delete-marking" или полной информации о видимости.

Предложено два способа преодолеть ограничения на практике:

Подход 1: API Index AM предоставляет возможности для альтернативной реализации MVCC.

В то время как Table AM продолжает отвечать за все компоненты MVCC, Index AM предоставляет необходимые возможности для альтернативной реализации MVCC, а именно: хранение пользовательской полезной нагрузки (payload) вместе с TID, метод точечного удаления и даже метод точечного обновления (если TID в индексе не может быть изменён, пользовательская полезная нагрузка – может). Кроме этого, так как необходимо разрешить нескольким кортежам индекса ссылаться на один и тот же TID, методы API, применяемые при сканировании индекса, также нуждаются в обновлении.

Подход 2: Индексы, поддерживающие MVCC.

Альтернативой было бы разрешить индексы, поддерживающие MVCC. То есть "executor" (или, возможно, Table AM) просто вызывает методы insert() и delete() в Index AM, в то время как Index AM предоставляет возможность сканирования c учётом MVCC. Это значительно упростило бы сканирование с использованием только индексов (index-only). Даже весь Table AM в таком случае мог бы стать промежуточным слоем, хранящим данные в индексе.

На диаграмме ниже приведён пример. Значение индекса 2 обновляется транзакцией 11 со значения "A" на значение "B". Поэтому значение "A" отмечено как xmax == 11, а значение "B" отмечено как xmin == 11. Таким образом можно сканировать индекс 2 и получать только видимые кортежи в соответствии с MVCC без проверок кучи (heap). Сборка мусора индекса 2 также может быть выполнена без использования кучи.





При внедрении всех перечисленных новшеств в API индексных методов доступа, маловероятно, чтобы удалось одновременно доработать все индексы для поддержки всех новых возможностей. Более реалистично разрешить несколько реализаций для одного индексного метода доступа. Например, в дополнение к обычному B-tree, расширение сможет реализовать альтернативный B-tree с поддержкой MVCC внутри индекса и поддержкой идентификаторов записи произвольной длины.





Таким образом, предлагается пересмотреть не только API Table AM, но и API Index AM, который исправно служил сообществу PostgreSQL на протяжении многих лет. Более того, предлагается разделить Index AM на логический слой и слой реализации. Эта переосмысленная архитектура позволит PostgreSQL поддерживать различные модели хранения.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62991

Панк или Айхал. Как анархисту свалить от ментов.

Якутский панкрокер Айхал Аммосов преследуется российскими властями за свои антивоенные перформансы. Чудом не досидев на родине за акцию против империализма и милитаризма, анархист смог автостопом свалить из России.
Но по запросу российских мусоров его задержали в Казахстане. Там он год провел в СИЗО в ожидании экстрадиции. Откинувшись, он смог бежать в Германию без документов и находясь в розыске. Ему помогли правозащитники.
Первые несколько дней якутского панка — в совместной документалке No Future и Люди Байкала.

(#чтопосмотреть)

Снежная вершина после солнечного затмения.

Доступна платформа обмена сообщениями Zulip 10

Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для отслеживания состояния и участия одновременно в нескольких обсуждениях с использованием нитевидной модели отображения сообщений, которая является оптимальным компромиссом между привязкой к комнатам в Slack и единым публичным пространством Twitter. Одновременное нитевидное отображение всех обсуждений позволяет в одном месте охватить все группы, при этом сохранив логическое разделение между ними.

Из возможностей Zulip также можно отметить поддержку отправки сообщений пользователю в offline-режиме (сообщения будут доставлены после появления в online), сохранение полной истории обсуждений на сервере и средства для поиска в архиве, возможность отправки файлов в режиме Drag-and-drop, автоматическую подсветку синтаксиса для передаваемых в сообщениях блоков кода, встроенный язык разметки для быстрого оформления списков и форматирования текста, средства для групповой отправки уведомлений, возможность создания закрытых групп, интеграция с Trac, Nagios, Github, Jenkins, Git, Subversion, JIRA, Puppet, RSS, Twitter и другими сервисами, средства для привязки к сообщениям наглядных меток.

Основные новшества:

• Добавлены инструменты для управления правами доступа, позволяющие манипулировать правами на уровне отдельных пользователей, групп пользователей и ролей. Например, в интерфейсе можно разрешить перемещение сообщений пользователям, которым назначена роль модератора, или которые включены в группу менеджеров. При помощи групп можно воссоздать структуру управления организацией, например, начальники могут быть объединены в группу менеджеров, которая может быть разбита на подгруппы, отвечающие за технологии и дизайн.
• Добавлены дополнительные возможности управления группами. Появилась поддержка предоставления отдельных прав для создания и администрирования групп, добавления и удаления участников. Также можно определять каким пользователям разрешено самостоятельно присоединяться и покидать группы. Добавлена поддержка подключения пользователей к группе на этапе отправки инвайта. Вместо удаления группы реализована деактивация, при которой для аудита сохраняется вся история группы. В панель с настройками групп добавлены отдельные вкладки для общих настроек, управления составом групп и назначением прав доступа.
• В интерфейс администратора добавлены новые настройки для каналов, позволяющие определить для каждого канала администраторов и лиц, имеющих право подключения/отключения пользователей. На уровне отдельных пользователей и групп можно выборочно назначать доступ в режиме только чтения, ограничивать редактирование уже отправленных сообщений, управлять подпиской на приватные каналы, назначать участников, уполномоченных закрывать темы. Добавлена возможность скрытия или оставления архивных каналов.
• Добавлена концепция общего чата, в котором отображаются сообщений без привязки к теме.
• Реализована поддержка настройки размера шрифта и межстрочных интервалов, позволяющая более гибко адаптировать интерфейс под свои предпочтения, чем изменение масштаба.
• В боковую панель со списком пользователей добавлена отдельная секция с недавно подключившимися участниками. В меню панели добавлена опция для показа аватаров в списке. Обновлены индикаторы доступности участников.
• Расширены возможности по созданию ссылок на сообщения, каналы и темы обсуждений. Ранее созданные ссылки на темы теперь продолжают действовать после переименования темы или перемещения в другой канал. При вставке через буфер обмена ссылки в программы, поддерживающие формат HTML, обеспечено автоматическое форматирование ссылки в виде "#channel › topic". Аналогично, при вставке полных URL при написании новых сообщений подобные ссылки преобразуются в формат ссылок Zulip. Упрощено создание ссылок на темы обсуждений.
• Улучшен интерфейс составления новых сообщений. Добавлена функция сохранения типовых отрывков текста для их быстрой вставки при составлении нового сообщения. В боковую панель добавлены кнопки для отправки сообщения с созданием новой темы и для прямой отправки сообщения другому пользователю. Добавлена опция для перенаправления сообщения или его части в другой чат. Упрощена совместная работа над списками задач (todo).
• Проведены оптимизации обработки и хранения сообщений, благодаря которым сообщения в окне просмотра теперь появляются без задержки.
• Добавлен индикатор, показываемый когда другой участник приступил к редактированию уже отправленного сообщения (ранее предоставлялся только индикатор написания нового сообщения).
• Добавлен модуль интеграции с Zoom, использующий OAuth. В модуле интеграции с BigBlueButton добавлена поддержка голосовых вызовов (без видео). Добавлены модули интеграции для Airbyte и Onyx, и улучшены для GitHub, GitLab, GoCD, Linear, NewRelic и Slack.
• Добавлен тестовый модуль для краткого изложения сути обсуждения в теме, используя выбранные пользователем большие языковые модели.
• На сервер добавлена поддержка загрузки больших файлов, используя протокол TUS. Проведена оптимизация протокола синхронизации, позволившая сократить трафик и нагрузку на CPU в крупных организациях.
• Устранены уязвимости:
  • CVE-2025-27149 - при экспорте публичных данных была возможна утечка метаданных о приватных сообщениях и строк с идентификаторами браузеров клиентов.
  • CVE-2025-30368, CVE-2025-30369: файлы с экспортом и поля в профилях могли быть удалены администраторами других организаций.

@Ig_M Да, не универсально. Зависит от глубины моделирования и тут как в игре - нет смысла просчитывать всё детально дальше активной зоны.

Нестыковки, кстати, можно подавлять на уровне восприятия - т.е не исправлять всю цепочку, а лишь добавлять ожидаемый результат. Условно говоря, космоса нет, всё порисовано лишь на 200 км вверх и дальше конец карты. А ты взял и полетел на Луну. Не расширять же всю вселённую до Луны, достаточно заменить воспринимаемое тому, кто думает, что полетел.

Нестыковки, кстати, есть - все эти миражи, дежавю, галлюцинации и прочее, что мы списываем на несовершенство людей. Держал в руках телефон и куда-то положил, а он пропал и приходится всё перевернуть? Так, может, он реально пропал, выпал из модели. А когда ты позвонишь на него и окажется, что он лежал прямо под носом, как ты его не заметил - может, он там и не лежал, а был переинициализирован заново при активном вызове объекта :)

@s_atlantis_66

Так и вышло! :)

Еще пример: представьте группу солдат, выстроившихся в расстрельную команду, чтобы привести в исполнение смертный приговор. Независимо от того, насколько энергично жмет солдат на спуск в порыве послушания Господу Богу и стране, его порою гнетет некое двойственное чувство: возможно, чувство вины за убийство человека или опасение, что обстоятельства изменятся и он сам вдруг окажется перед расстрельной командой. Столетия такой практики привели к когнитивной манипуляции – одному из солдат выдавали оружие, заряженное холостыми патронами. Кому оно доставалось, не знал никто, а значит, каждый думал, что оно – в его руках, следовательно, на самом деле он не убийца. Когда были изобретены аппараты для смертельных инъекций, в некоторых штатах их конструкция предусматривала наличие двух разных шприцев с ядом. Два человека жмут на свои кнопки, и автоматический рандомизатор вводит яд из одного шприца в вену приговоренного, а содержимое другого – выливает. Как связаны шприцы и кнопки, нигде не фиксируется. Таким образом, каждый из участников экзекуции знает, что палачом мог быть другой. Милые психологические уловки, размывающие ответственность.

Роберт Сапольски, "Всё решено: Жизнь без свободы воли"

(#федичитает #чтопочитать)

Выпуск дистрибутива CachyOS 250330, поставляющего ядро с дополнительными оптимизациями

В дистрибутиве по умолчанию включён планировщик задач BORE, оптимизированный для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. Ядро и пакеты собраны с включением LTO-оптимизаций (Link-Time Optimization) и задействованием инструкций, доступных в процессорах на базе микроархитектур x86-64-v3, x86-64-v4 и Zen4. При сборке базовых пакетов дополнительно включены оптимизации PGO (Profile-Guided Optimization) или BOLT (Binary Optimization and Layout Tool). В дистрибутиве поставляется web-браузер Cachy-Browser, основанный на Firefox с патчами для усиления безопасности и повышения производительности, а также изменениями от проекта Librewolf. В качестве файловых систем могут использоваться btrfs, zfs, ext4, xfs и f2fs.

Основные изменения:

• Задействован загрузчик Limine, поддерживающий темы оформления загрузочного меню и способный работать на системах с BIOS и UEFI.
• По аналогии с grub-btrfs для Limine реализована возможность загрузки различных состояний системы, автоматически сохраняемых при помощи механизма снапшотов в ФС Btrfs. Например, в случае сбоя при установке пакетов можно загрузиться с состояния до начала установки. Создание снапшотов включено по умолчанию на всех установках, использующих Btrfs.
• Добавлен пакет "cachyos-samba-settings" с конфигуратором, упрощающим настройку сетевых разделов Samba.
• Для проприетарного драйвера NVIDIA возвращены GSP-прошивки, которые ранее были отключены из-за проблем, решённых в недавних обновлениях прошивок.
• Добавлен драйвер ASUS Armoury, позволяющий управлять энергопотреблением и кулерами на ноутбуках ASUS и игровых консолях Rog Ally.
• В udev для файловой системы NTFS прекращена загрузка по умолчанию драйвера ядра ntfs3 из-за проблем, возникающих у некоторых пользователей.
• Улучшен скрипт sbctl-batch-sign, предназначенный для заверения файлов цифровой подписью файлов для верифицированной загрузки в режиме UEFI Secure Boot.
• В пакетах с Wine и Wine-Staging по умолчанию включена поддержка режима Wow64 (64-bit Windows-on-Windows) для выполнения 32-разрядных Windows-приложений в 64-разрядных Unix-системах. Вместо winesync задействован драйвер NTSync, позволяющий существенно поднять производительность Windows-игр, запускаемых при помощи Wine.
• В отдельное приложение вынесен интерфейс настройки планировщика задач.
• Добавлены драйверы для AMD RDNA4, NVIDIA GeForce RTX 5070 Ti и NVIDIA GeForce 5070.
• Добавлена поддержка скрипта DLSS Swapper, загружающего и обновляющего библиотеки для поддержки технологии DLSS (Deep Learning Super Sampling).
• Обновлены версии: ядро Linux 6.14.0, NVIDIA 570.133.07, GNOME 48, KDE Plasma 6.3.3, Mesa 25.0.2.

OpenBSD -current has moved to version 7.7

The OpenBSD 7.7 release cycle is entering its final phases…

With the following commit, Theo de Raadt (deraadt@) moved -current to version 7.7 (dropping the "-beta"):

CVSROOT:	/cvs
Module name:	src
Changes by:	deraadt@cvs.openbsd.org	2025/03/30 14:43:36

Modified files:
	sys/conf       : newvers.sh 

Log message:
head out of -beta to 7.7

For those unfamiliar with the process:
this is not the 7.7 release, but is part of the standard build-up to the release.

Remember: It's time to start using "-D snap" with pkg_add(1) (and pkg_info(1)).

(Regular readers will know what comes next…)
This serves as an excellent reminder to upgrade snapshots frequently, test both base and ports, and report problems [plus, of course, donate!].

a wild blog post appeared!

I wrote this entry about {telescope,amused} tiny event loop implementation last October but never published out of laziness. it has been sitting in my drafts for too long though, so the time has come.

a special thanks to @cage and @heph for some light proofreading

https://www.omarpolo.com/post/evloop.html

Опубликован свободный видеокодек Theora 1.2

Основное внимание при подготовке новой редакции было уделено повышению производительности и эффективности кодирования. На уровне битового потока (bitstream) Theora 1.2 полностью соответствует стандартизированному в 2004 году формату кодирования видео Theora. API и ABI интерфейсы новой версии также сохраняют полную совместимость с прошлыми выпусками Theora. В состав Theora 1.2 включены 190-страничная спецификация, документация на API, черновик спецификации RTP-расширений для потокового вещания и эталонные реализации кодировщика и декодировщика.

Главным изменением в Theora 1.2 стала новая реализация эталонного кодировщика, предложенного под кодовым именем "Ptalarbvorm". В новой реализации значительно повышена производительность и обеспечен более высокий уровень сжатия. При этом создаваемые новым кодировщиком файлы полностью совместимы с декодировщиками, предлагавшимися в прошлых версиях.

Кроме того, в Theora 1.2 проведена оптимизация эталонного декодировщика, добавлена поддержка платформы RISC OS и значительно улучшена поддержка архитектуры ARM. Добавлены оптимизации для CPU ARM и DSP TI C64x+. Предложено три уровня скорости кодирования (старый уровень 2 переименован в 3, а вместо второго предложен новый промежуточный уровень).

Источник: https://www.opennet.ru/opennews/art.shtml?num=62986

Выпуск видеоредакторов Shotcut 25.03 и Flowblade 2.20

Среди изменений в новом выпуске:

• В инструмент для вставки субтитров (Subtitles > Generate Text on Timeline) добавлены преднастройки стиля текста.
• Добавлены кнопки для копирования текущего фильтра и всех фильтров.
• В заголовке окна отражён выбранный видеорежим.
• В фильтр "Рассинхронизация" (No Sync) добавлены параметры для вертикального и горизонтального выравнивания.
• Добавлены фильтры "360: Cap Top & Bottom" и "360: Equirectangular Wrap" для удаления частей и коррекции видео, снятого в режиме 360-градусов.
• Список воспроизведения добавлен раздел "Not In a Bin", в который помещаются клипы, не попавшие в другие разделы.
• В поле поиска фильтров добавлена поддержка тегов "#rgba", "#yuv", "#gpu" и "#10bit".
• На шкале времени обеспечена пометка клипов, имеющих фильтры.

Кроме того, состоялся релиз многотрекового редактора видео Flowblade 2.20, предназначенного для компоновки видеороликов из отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, использования фильтров, определения своего порядка применения инструментов, корректировки поведения шкалы времени, композитинга изображений (например, можно поворачивать, постепенно замещать и создавать переходные эффекты). Код проекта написан на языке Python (MLT, FFmpeg, PyGTK) и распространяется под лицензией GPLv3. Сборки подготовлены в формате Flatpak.

Среди изменений в новом выпуске:

• Расширены возможности синхронизации клипов. Добавлены новые операции для синхронизации видеодорожек: "Синхронизировать все клипы" (Sync All Clips) и "Обновить синхронизацию с клипами" (Update Sync to Clips). Добавлена поддержка автоматической синхронизации звука при добавлении клипов на дорожки, созданные пользователем. Операции разделения звука и видео теперь применяются ко всем отзеркалированным трекам, а не только к первому треку.
• Добавлена операция для сохранения контейнерного клипа из видеоряда.
• В фильтрах для управления позицией и масштабом ("Position Scale" и "Position Scale Rotate") появилась возможность добавления часто используемых анимационных эффектов, таких как приближение/отдаление и перемещение, в одно действие.
• Добавлена поддержка готовых стабилизированных медиа-элементов, не требующих дополнительной обработки.
• Добавлена возможность создания копии видеоряда.
• Добавлена поддержка шаблонов для создания генераторов на основе предварительно определённых типовых настроек.

Доступны утилиты мониторинга nvtop 3.2.0 и htop 3.4.0. Уязвимость в atop

В новой версии реализована поддержка драйверов Intel XE и Broadcom V3D (Raspberry Pi). Добавлена поддержка AI-ускорителя Google TPU (Tensor Processing Unit). Добавлены опции "-P" и -s" для скрытия области со списком процессов и для сохранения состояния в формате JSON.

Одновременно состоялся выпуск утилиты Atop, предназначенной для интерактивного мониторинга параметров работы системы и отображения активности процессов. От утилиты top программа atop отличается большей детализацией (CPU, GPU, память, диски, сеть, потоки, контейнеры) и возможностью периодического сброса отчётов в файл для последующего анализа. Код написан на языке Си и распространяется под лицензией GPLv2.

В новой версии устранена уязвимость (CVE-2025-31160), позволяющая локальному пользователю вызвать переполнение буфера при запуске утилиты atop другим пользователем. Например, непривилегированный пользователь может организовать атаку на администратора, запускающего утилиту atop. Проблема вызвана тем, то в atop опционально поддерживается сбор статистики о работе GPU, который вынесен в отдельный процесс atopgpud. Взаимодействие с этим процессом осуществляется через TCP-порт. Во время запуска atop пытается соединиться с данным TCP-портом и периодически загружает через него статистику, не обеспечивая при этом должной проверки размера передаваемых данных.

Метод атаки сводится к тому, что любой пользователь в системе может запустить а сетевом порту atopgpud свой обработчик, который выдаст данные заведомо большего размера, что приведёт к переполнению буфера в atop при попытке разбора статистики. Возможность создания рабочего эксплоита для выполнения кода пока не продемонстрирована. В новой версии atop по умолчанию отключён сбор статистики через TCP-порт и добавлена опция "-k" для активации поддержки atopgpud. Также внесены дополнительные проверки в код разбора статистики для предотвращения переполнений.

В заключении можно отметить выпуск top-подобной утилиты htop 3.4.0, примечательной такими возможностями, как свободная вертикальная и горизонтальная прокрутка списка процессов, средства оценки эффективности работы SMP и использования каждого процессорного ядра, наличие древовидного режима просмотра, гибкие возможности по настройке интерфейса, поддержка фильтрации процессов и управления ими (завершение работы, настройка приоритета). Код проекта написан на языке Си и распространяется под лицензией GPLv2

В новой версии добавлено отслеживание активности GPU в Linux; улучшена работа на ARM-компьютерах Apple; решены проблемы со сборкой для DragonFlyBSD, Darwin, NetBSD, OpenBSD и Solaris; обеспечен учёт дисковой и сетевой активности в DragonFlyBSD; добавлена информация о потоках и состоянии процессов в macOS; расширена поддержка Unicode; переработан код для работы с датчиками температуры; повышена производительность кода для разбора статистики; добавлена поддержка скрытия данных о кэше и буферах.

Выпуск утилиты GNU patch 2.8

В новой версии:

• Решена проблема 2038 года - утилита теперь корректно обрабатывает данные о времени файлов, созданных после 2038 года, даже на платформах с 32-разрядным типом time_t.
• Опция "--follow-symlinks" теперь распространяется не только на входные файлы, но и на создаваемые файлы.
• В соответствие с требованиями стандарта POSIX.1-2024 запрещено использование символа перевода строки в именах файлов.
• Запрещено использование нулевых байтов ('\0') в строках с директивами diff.
• Разрешено указание пробелов и табуляций перед и после значений с номерами строк.
• Проведена работа по исключению неопределённого или некорректного поведения в нештатных ситуациях, например, при обработке очень больших размеров полей, ошибках ввода/вывода, нехватке памяти, состояниях гонки и отправке сигналов в неподходящие моменты.
• Удалён старый код "Plan B", созданный для систем с 16-разрядными указателями.
• Повышены требования к компилятору, который теперь должен поддерживать стандарт C99 (ранее требовался C89.
• Добавлена поддержка новых версий GCC, Autoconf и Gnulib.

Представлен формат сжатия изображений Spectral JPEG XL

Спектральные изображения содержат не только информацию об интенсивности света в трех основных цветовых каналах (RGB), но охватывают часть ультрафиолетового и инфракрасного диапазонов. Подобные изображения используются в таких областях, как высококачественный рендеринг, анализ материалов и визуализация научных данных. Например, спектральные изображения могут использоваться для точного моделирования реальных оптических эффектов при рендеринге, для оценки того, как выглядит краска при различном освещении, и для идентификации материалов по их световым сигнатурам.

Съёмка с захватом диапазонов вне видимого спектра даёт возможность более точно моделировать взаимодействие света с материалами, но приводит к значительному увеличению информации, хранимой для каждого пикселя. Спектральные изображения могут включать десятки каналов, охватывающих различные диапазоны длин волн, и использовать для каждого канала 16- или 32-разрядные числа с плавающей запятой, что позволяет охватить более широкий диапазон значений яркости, чем на обычных фотографиях. Ценой подобной возможности становится существенное увеличение размера по сравнению с традиционными изображениями. В качестве примера упомянуто изображение с 81 дополнительным спектральным каналом, занимающее в формате OpenEXR 300 МБ. При помощи Spectral JPEG XL данное изображение удалось сжать до 3.9 МБ без потери спектральных характеристик.

Для сокращения размера Spectral JPEG XL использует разделение данных о яркости и форме спектра, и применяет дискретное косинусное преобразование, позволяющее сохранить основные спектральные характеристики, но отбросить несущественные высокочастотные спектральные детали. Суть метода в преобразовании плавного изменения волновых характеристик в набор волновых коэффициентов (коэффициентов частоты), при совмещении воссоздающих исходную спектральную информацию.

Более высокочастотные спектральные коэффициенты затем нормируются по отношению к общей яркости, что позволяет агрессивнее сжимать менее значимые данные. Идея в том, что с точки зрения восприятия наиболее важна средняя яркость и она сохраняется с наиболее высоким качеством, а коэффициенты высоких частот не столь важны и к ним применяется более высокий уровень сжатия и опционально более низкие разрешения. После этого информацию обрабатывает кодек, реализованный на базе существующего движка сжатия, разработанного для формата JPEG XL.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62979

<< Всего две недели без подключения к интернету - и у участников эксперимента заметно улучшились внимание, психоэмоциональное состояние и общее самочувствие.

После эксперимента участники стали больше общаться вживую, заниматься спортом, гулять и читать. По их словам, эффект оказался мощнее, чем от многолетнего приёма антидепрессантов.

Ученые считают, что постоянная стимуляция, которую человек получает из интернета, истощает ресурсы мозга и мешает контролировать мысли и поведение.>>

Чёрным солнцем решено было любоваться на безымянной возвышенности у испещрённого неведомыми знаками (сегодня обнаружили нечто вроде буквы V) валуна, который я заприметил осенью.

Про камень ничего узнать не удалось, но очень сомневаюсь, что прохожие могли бы его миновать: слишком он удобный с большой ровной напоминающей стол поверхностью, на которой хорошо пообедать.

Само затмнение началось, кажется, раньше, чем обещали звездочёты: я прямо что-то почувствовал, поднёс к глазам фильтр и увидел, как на солнечный диск справа налезала чья-то чёрная тень. Сперва она шла налево, потом вернулась обратно и ушла вверх.

Сразу защебетали птицы, подул ветер, откуда-то появились мухи и салатового цвета бабочка, вниз в долину зажурчали весенние ручейки. Несмотря на это, наверху была ещё самая настоящая зима, со снегом по колено и следами лосиных копыт.

#ЛенинградНутряной #затмение

Изучение начинки sandbox-окружения, используемого в Google Gemini для запуска Python-кода

Особый интерес вызвал исполняемый файл /usr/bin/entry/entry_point, который занимал 579 МБ. Для извлечения данного файла исследователи создали скрипт, который последовательно небольшими порциями выводил на экран содержимое в формате Base64. На своей стороне они автоматизировали склейку данных отрывков при помощи инструментария Caido и получили копию файла на своей системе.

Для анализа полученного исполняемого файла была применена утилита binwalk, предназначенная для извлечения файлов, встроенных в прошивки. Среди извлечённых данных оказался каталог google3, в котором, судя по названиям файлов, находился Python-код с различными компонентами для обеспечения работы сервиса, например, RPC для взаимодействия AI-модели Gemini с внешними сервисами Google, такими как YouTube, Google Flights и Google Maps.

Изучение содержимого файлов показало, что это не конфиденциальный код и он был одобрен для публичного доступа службой безопасности Google. При этом дальнейший анализ дампа выявил наличие в нём proto-файлов (Protocol Buffer) со спецификациями внутренних структур данных, позволяющих понять тонкости обмена данными между различными сервисами Google. Польза от получения выявленных proto-файлов сомнительна, так как семь лет назад подобные proto-файлы уже были извлечены другими исследователями из Google App Engine.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62980

В пакетном менеджере Zypper реализована параллельная загрузка пакетов

Распараллеливание доступно начиная с выпусков libzypp 17.36.4 и zypper 1.14.87, пока размещённых только в репозиториях Tumbleweed и Slowroll. По умолчанию упомянутые возможности пока отключены и преподносятся как экспериментальные. Для включения параллельной загрузки и нового бэкенда можно использовать переменные окружения "ZYPP_PCK_PRELOAD=1" и "ZYPP_CURL2=1", а настройка числа одновременных соединений регулируется при помощи параметра "download.max_concurrent_connections" в файле конфигурации zypp.conf.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62978

В KDE добавлена поддержка Wayland-протокола fifo и улучшена настройка дисплеев

• Добавлена поддержка Wayland-протокола fifo, позволяющего использовать FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности. При помощи указанного протокола при выводе можно обойтись ожиданием завершения вертикальной развёртки (vblank) вместо использования callback-вызовов при каждой готовности отобразить новый кадр, что решает проблему с высокой нагрузкой на GPU при использовании VSync.
• В конфигураторе улучшен интерфейс страницы настройки дисплея. В системах с одним экраном обеспечено скрытие области выбора раскладки экранов. В многомониторных конфигураций улучшено выделение текущего экрана и представление подсоединённых, но не активированных экранов.
• Добавлена поддержка xdg-портала Clipboard, предоставляющего доступ к буферу обмена для приложений, запускаемых в изолированных окружениях, например, поставляемых в формате Flatpak.
• Значительно повышена производительность записи скринкастов с использованием видео в формате VP9 (применяется по умолчанию).
• Обеспечено сохранение интерактивных кнопок в уведомлениях, показываемых во всплывающем окне с историей уведомлений.
• В многомониторных конфигурациях часы и интерактивные элементы интерфейса на экранах блокировки и входа в систему теперь показываются только на одном активном экране и скрываются на остальных экранах, не имеющих фокуса ввода.
• Решены проблемы в KWin, приводившие к перемещению окон в неадекватные позиции при перегруппировке экранов или изменении их числа.
• Улучшен внешний вид виджета Comics, в ситуации отсутствия доступных для просмотра комиксов (вместо сообщения об ошибке теперь предлагается выбрать комиксы).
• Реализована возможность переключения между окнами через сочетания клавиш Meta+Tab и Meta+Shift+Tab.
• В KWin добавлена возможность настройки продолжительности действия эффекта затухания рабочего стола ("Fade Desktop").
• Для уведомлений реализована поддержка выбора типа звукового оповещения (например, при получении письма может воспроизводиться отдельный звук, характерный для прихода сообщения).
• Набор тёмных курсоров переименован в "Breeze Dark".
• В ветке 6.3.4 решены проблемы с крахом Plasma после отключения экрана и крахом KWin после выхода из спящего режима.

Релиз сборочной системы CMake 4.0.0

CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки.

Основные изменения:

• Прекращена совместимость с версиями CMake до выпуска 3.5. При привязке к неподдерживаемым версиям в функциях cmake_minimum_required() и cmake_policy() теперь будет выводиться ошибка.
• Добавлена переменная окружения "CMAKE_POLICY_VERSION_MINIMUM" для переопределения минимальной версии CMake, функциональность которой необходима для сборки проекта. Добавленная переменная позволяет обойтись без изменения вызовов cmake_minimum_required(VERSION) и cmake_policy(VERSION) в самом проекте, например, для настройки политики версий в проектах, не предусматривающих такую возможность.
• В выражение генератора "$‹PATH›" добавлена операция "NATIVE_PATH" для преобразования файлового пути из представления CMake (для разделения каталогов всегда используется "/"), в системный путь (в Unix-подобных системах используется "/", а в Windows - "\").
• На платформе macOS при использовании генераторов сборочных сценариев на базе инструментария Ninja и генераторов Makefile, если в каталоге "/usr/bin" присутствует компилятор, то он отныне оставляется как есть, без привязки к компилятору в Xcode. При сборке для платформы macOS по умолчанию прекращён выбор SDK и передача компилятору фага "-isysroot" (SDK теперь выбирает сам компилятор, а не CMake).
• Добавлено свойство LINK_WARNING_AS_ERROR, при котором предупреждения компоновщика будут трактоваться как ошибки. Для отключения действия данного свойства добавлена опция командной строки "--link-no-warning-as-error".
• В утилиту cmake добавлена опция "--project-file" для задания альтернативного имени файла CMakeLists.txt.
• В генератор CPack добавлена возможность создания несжатых tar-архивов.
• В команду target_link_libraries() и переменные CMAKE_EXE_LINKER_FLAGS*, CMAKE_SHARED_LINKER_FLAGS*, CMAKE_MODULE_LINKER_FLAGS* добавлена поддержка префикса "LINKER:".
• Добавлены новые переменные:
  • CMAKE_EXECUTE_PROCESS_COMMAND_ERROR_IS_FATAL,
  • CMAKE_‹LANG›_LINK_MODE,
  • CMAKE_‹LANG›_DEVICE_LINK_MODE,
  • CMAKE_LINK_WARNING_AS_ERROR,
  • CMAKE_MSVC_RUNTIME_CHECKS,
  • CMAKE_DEBUGGER_WORKING_DIRECTORY,
  • CMAKE_XCODE_SCHEME_LLDB_INIT_FILE,
  • CMAKE_XCODE_SCHEME_TEST_CONFIGURATION.
• Добавлены новые свойства: DEBUGGER_WORKING_DIRECTORY и VS_SOLUTION_ITEMS (для прикрепления файлов к .sln для Visual Studio).
• Обеспечено формирование готовых сборок CMake для SunOS для архитектур sparc64 и x86_64.

Выпуск дистрибутива для резервного копирования Rescuezilla 2.6

Rescuezilla поддерживает резервное копирование и восстановление случайно удалённых файлов в разделах Linux, macOS и Windows. Выполняется автоматический поиск и подключение сетевых разделов, которые можно использовать для размещения резервных копий. Графический интерфейс основан на оболочке LXDE. Формат создаваемых резервных копий полностью совместим с дистрибутивом Clonezilla. При восстановлении поддерживается работа с образами Clonezilla, Redo Rescue, Foxclone и FSArchiver, а также с образами виртуальных машин в форматах VirtualBox VDI, VMWare VMDK, QEMU QCOW2, Hyper-V VHDx и .dd/.img.

В новой версии:

• Обновлён пакет shim 1.58. Налажена загрузка на системах с включённым UEFI Secure Boot.
• Сборки на базе Ubuntu 23.10 и Ubuntu 22.10 заменены сборкой на базе Ubuntu 24.10.
• Обновлён инструментарий partclone 0.3.33.
• Обновлён пакет для тестирования памяти memtest86+ 7.00.
• Сборочное окружение переведено на использование Ubuntu 24.04.

GitHub вводит лимит в сто тысяч репозиториев для одной организации

Выявлена возможность обхода ограничений доступа к "user namespace" в Ubuntu

Пространства имён (namespace) в ядре Linux позволяют привязать к разным процессам разные представления ресурсов, например, процесс может быть помещён в окружение со своими точками монтирования, IPC, PID и сетевым стеком, которые не пересекаются с окружением других процессов. При помощи "user namespace" непривилегированный процесс в контексте изолированного контейнера может обращаться к подсистемам ядра, в обычных условиях требующих повышенных привилегий, но оставаться при этом непривилегированным вне контейнера.

Проблема в том, что изначально многие подсистемы ядра были написаны с расчётом на то, что работать с ними может только пользователь root, и проблемы в подобных подсистемах не рассматривались как уязвимость, так как непривилегированные пользователи не могли к ним обращаться. После того, как появился "user namespace" ошибки в подобных подсистемах стали иметь иное значение - эксплуатация уязвимости в ядре из изолированного окружения приводила к выполнению кода на уровне ядра и позволяла получить привилегированный доступ ко всей системе.

В Ubuntu в качестве дополнительного уровня защиты была реализована гибридная схема, выборочно оставляющая некоторым программам возможность создавать "user namespace" при наличии профиля AppArmor с правилом "allow userns create" или прав CAP_SYS_ADMIN. Подобная защита позволяла уменьшить риск эксплуатации уязвимостей в подсистемах ядра (сократить поверхность атаки), но при этом сохранить возможность полноценной sendbox-изоляции в избранных приложениях.

Создание "user namespace" с привилегированным доступом внутри контейнера представляет угрозу только если в системе не установлены все доступные обновления и в ядре присутствует известная неисправленная уязвимость. Выявлено три способа обхода механизма ограничения доступа к "user namespace", позволяющих непривилегированному локальному пользователю создать "user namespace" c привилегиями администратора внутри, достаточными для выполнения эксплоитов, требующих прав CAP_SYS_ADMIN или CAP_NET_ADMIN:

• Атакующий может использовать утилиту aa-exec, входящую в базовую поставку, для применения к себе имеющихся в системе профилей AppArmor, среди прочего и тех, что разрешают доступ к "user namespace". Например, можно применить к своему процессу профили от chrome, flatpak и trinity.

     $ aa-exec -p trinity -- unshare -U -r -m /bin/sh
  

• Атакующий может запустить командную оболочку из пакета busybox, поставляемого по умолчанию и снабжённого профилем AppArmor, допускающим создание "user namespace".

     $ busybox sh
     ~$ /usr/bin/unshare -U -r -m /bin/sh
  

• Атакущий может использовать переменную окружения LD_PRELOAD для загрузки своей библиотеки в контексте любой программы, имеющей AppArmor-профиль для доступа к "user namespace". Например, подобные права имеет файловый менеджер nautilus в Ubuntu Desktop.

     LD_PRELOAD=./shell.so /usr/bin/nautilus
  

Для блокирования найденных лазеек разработчики Ubuntu рекомендуют отключить возможность изменения профилей AppArmor утилитой aa-exec, выставив настройку "sysctl kernel.apparmor_restrict_unprivileged_unconfined=1". Также рекомендовано деактивировать профили AppArmor у приложений, имеющих доступ к "user namespace". В поставке по умолчанию подобные профили присутствуют у busybox и nautilus, а для проверки наличия отдельно установленных программ с подобными правами можно использовать команду "sudo aa-status --filter.mode=unconfined". Для отключения AppArmor-профилей busybox и nautilus (если не требуется использование утилит busybox с "user namespace" и можно обойтись без генерации миниатюр в nautilus) следует использовать команды:

   sudo ln -s /etc/apparmor.d/busybox /etc/apparmor.d/disable
   sudo apparmor_parser -R /etc/apparmor.d/busybox
   sudo ln -s /etc/apparmor.d/nautilus /etc/apparmor.d/disable
   sudo apparmor_parser -R /etc/apparmor.d/nautilus

Дополнительно можно отметить раскрытие сведений об уязвимости (CVE-2025-0927) в драйвере HFS+, позволяющей получить root-привилегии в системе. Проблема вызвана переполнением буфера, возникающем при обработке специально сформированных образов ФС. Для эксплуатации уязвимости требуется доступ к созданию "user namespace" или монтированию дисковых образов (например, пользователям Ubuntu с активным локальным сеансом polkit предоставляет право создания loop-устройств и монтирования блочных устройств, применяемые для автоподключения USB Flash). Проблема проявляется только в ядрах Linux до версии 6.12. Опубликован рабочий эксплоит, использование которого продемонстрировано в Ubuntu 22.04 с ядром 6.5.0-18-generic.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62970

Полынь

Проект Organic Maps перенёс разработку с GitHub на Forgejo

Проект Organic Maps является форком приложения MAPS.ME, созданным его изначальными авторами после продажи MAPS.ME компанией mail.ru компании Daegu Limited, которая перевела проект на проприетарную модель разработки. Код проекта Organic Maps распространяется под лицензией Apache 2.0. В ходе миграции на новую платформу перенесены: репозиторий с 54 тысячами коммитов, 9.5 тысяч сообщений (issues), 100 тысяч комментариев и 4.3 тысячи pull-запросов.

Платформа Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Ключевыми особенностями Forgejo является низкое потребление ресурсов (может использоваться в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62967

Утечка пользовательской базы списка рассылки автора сервиса HaveIBeenPwned

Трою пришло письмо от имени сервиса Mailchimp c предупреждением о приостановке работы его списка рассылки и необходимости выполнения определённых проверок. Трой перешёл по ссылке в письме, ввёл на открывшейся странице параметры учётной записи в Mailchimp, подтвердил запрос двухфакторной аутентификации и страница зависла...., а атакующие получить доступ к пользовательской базе его списка рассылки и выгрузили сведения об email и IP-адресах 16627 подписчиков. Примечательно, что в выгрузку вошли 7535 адресов пользователей, ранее отписавшихся от рассылки, но сервис Mailchimp сохранил их несмотря на отписку и включил в экспортируемые данные.

Трой не стал умалчивать свою оплошность и подробно разобрал инцидент в своём блоге, а также добавил информацию об утечке на свой сервис haveibeenpwned.com. Трой считает, что он не заподозрил подвоха из-за стечения нескольких факторов. Во время получения письма Трой вернулся из поездки, не адаптировался после смены часовых поясов и был сильно уставшим. Письмо было прочитано именно в тот момент, когда бдительность была подавлена.

Вторым фактором стало то, что письмо вначале было просмотрено на iPhone с почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email. Затем, когда письмо было повторно открыто утром на компьютере, Трой не стал перепроверять параметры и не обратил внимание на то, что письмо отправлено с подозрительного адреса "hr@group-f.be".

Текст был стилизован под стандартное сообщение Mailchimp и предупреждал об ограничении отправки рассылки из-за получения жалобы на спам. Информация была подана ровно в той мере, чтобы вызвать беспокойство, но не переусердствовать. В письме предлагалось проверить недавно отправленные рассылки и предпринять действия для разблокировки. По ссылке вместо mailchimp.com открылся сайт mailchimp-sso.com. Менеджер паролей 1Password автоматически не заполнил форму входа, но и это было проигнорировано. После зависания формы аутентификации Трой очнулся и перезашёл на реальный сайт Mailchimp, но было уже поздно - атакующие использовали захваченные учётные данные для получения токена для доступа к API и выполнили экспорт информации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62964

Бета-выпуск Ubuntu 25.04

Основные изменения:

• Рабочий стол обновлён до выпуска GNOME 48, в котором реализована поддержка HDR, тройной буферизации, стековой компоновки уведомлений, глобальных сочетаний клавиш. Расширен конфигуратор. Добавлены оптимизации потребления памяти и производительности.
• В Ubuntu Desktop вместо Evince для просмотра PDF задействована программа Papers (форк Evince, переведённый на GTK4 и частично переписанный на языке Rust).
• По умолчанию задействована обвязка xdg-terminal-exec, упрощающая замену эмулятора терминала, вызываемого комбинацией клавиш Ctrl+Alt+T.
• После сворачивания проекта Mozilla Location Service cервисы определения местоположения переведены на базу BeaconDB с информацией о размещении известных точек беспроводного доступа.
• Отключено по умолчанию звуковое сопровождение запуска системы.
• В инсталлятор в Ubuntu Desktop добавлен режим для замены существующих установок Ubuntu. При установке в режиме двойной загрузки, если в системе уже используются другие операционные системы, разрешена установка на шифрованные разделы и предоставлены расширенные настройки для дисковых разделов. Добавлена возможность установки Ubuntu на одном накопителе с Windows-системами, использующими шифрованные разделы на базе BitLocker.
• Вместо публикации отдельных сборок, специфичных для каждого ARM64-устройства, дистрибутив перешёл к предоставлению одного общего ISO-образа Ubuntu Desktop для устройств на базе архитектуры ARM64. Образ можно использовать для установки на рабочих станциях с процессорами Ampere, ноутбуках с чипами Snapdragon и в виртуальных машинах на Mac-системах Apple Silicon.
• Улучшены возможности для использования устройств на базе архитектуры ARM64 в качестве рабочих станций с графическим окружением. Добавлена поддержка новых устройств, например, на базе Qualcomm Snapdragon X Elite 13. Добавлены пакеты ubuntu-x1e-settings и qcom-firmware-extract.
• В дополнение к initramfs-tools добавлена опциональная поддержка инструментария Dracut для формирования образов начального RAM-диска (initrd). В Ubuntu осеннем выпуске 25.10 инструментарий Dracut намерены задействовать по умолчанию. Из проблем с initramfs-tools, которые будут решены после перехода на Dracut, упомянуты: невозможность использования systemd в initrd, отсутствие поддержки NVMe over Fabric (NVM-oF), сложность сопровождения из-за раздельной работы с initrd и корневой ФС, стагнация разработки initramfs-tools и обилие кода на shell в initrd.
• В репозиторий добавлен инструментарий crypto-config, предназначенный для работы с общим для всей системы профилем настроек, связанных с криптографией. В настоящее время доступны профили default, legacy и future.
• Обновлены системные пакеты: ядро Linux 6.14, glibc 2.41, systemd 257.4, binutils 2.44, OpenSSL 3.4.1, GnuTLS 3.8.9, BlueZ 5.79, NetworkManager 1.52, Pipewire 1.2.7, Poppler 25.03, xdg-desktop-portal 1.20.
• Обновлены средства для разработчиков: GCC 14.2, LLVM 20, Python 3.13.2, Go 1.24, Rust 1.84, .NET 9.0, PHP 8.4, Ruby 3.3, OpenJDK 24, PostgreSQL 17, Valkey (форк Redis) 8.0.2, MySQL 8.4.4, Qt 6.8.3.
• Обновлены пользовательские приложения: GIMP 3.0, LibreOffice 25.2, Firefox 136, Thunderbird 128.
• Обновлены серверные пакеты: Nginx 1.26.3, Apache httpd 2.4.63, OpenSSH 9.9, cloud-init 24.3.1, runc 1.2.5, Docker 27.5.1, Containerd 2.0.2, HAProxy 3.0.7, libvirt 10.10.0, ClamAV 1.4.2, OpenLDAP 2.6, QEMU 9.2.0, Squid 6.13, SSSD 2.10.1, Samba 4.21.
• В Chrony для синхронизации времени по умолчанию задействованы серверы точного времени от проекта Ubuntu, использующие протокол NTS.
• Командная оболочка Fish обновлена до ветки 4.0, переписанной на Rust.
• На ноутбуках с GPU NVIDIA по умолчанию включён сервис nvidia-powerd, обеспечивающий поддержку механизма Dynamic Boost, позволяющего балансировать энергопотребление между CPU и GPU для повышения производительности.
• Прекращено создание файла /run/utmp с данными о пользователях, в данный момент работающих в системе. Формат utmp, в котором задействовано 32-разрядное значение time_t, признан устаревшим из-за подверженности проблеме 2038 года. В следующем выпуске будет прекращена поддержка cgroup v1 и сервисов, запускаемых через скрипты в стиле System V init.
• Инструментарий для настройки параметров сети обновлён до выпуска Netplan 1.1.2, в котором появилась возможность использования метода аутентификации "wpa-psk-sha256" в беспроводных сетях и добавлена поддержка параметра "routing-policy" в NetworkManager.
• В сборки для плат Raspberry Pi добавлен стек для работы с камерами, основанный на libcamera 0.4 и libpisp. Для начальной настройки системы задействован пакет gnome-initial-setup, выполняемый при первом запуске. Утилиты libraspberry-bin заменены на raspi-utils. Обеспечена возможность загрузки по сети при помощи nbd-client.
• Продолжена работа над атомарно обновляемым вариантом Ubuntu Core Desktop, использующим технологии Ubuntu Core и включающим только приложения, оформленные с использованием пакетов в формате Snap.
• В Xubuntu задействован выпуск среды рабочего стола Xfce 4.20.
• В Ubuntu Cinnamon предложена версия рабочего стола Cinnamon 6.4.8. Проведена чистка пакетов, в которых нет необходимости, позволившая немного сократить размер сборки. Улучшена тема оформления Yaru-Cinnamon. Добавлены тёмный и светлый варианты применяемых по умолчанию обоев рабочего стола.
• В Ubntu Mate продолжает поставляться рабочий стол MATE 1.28.2.
• В Lubuntu включён выпуск среды рабочего стола LXQt 2.1.0. Осуществлён переход с ветки Qt 6 на Qt 8. Значительно ускорена работа исталлятора, основанного на фреймворке Calamares.
• В Ubuntu Studio по умолчанию использован рабочий стол KDE Plasma 6.3 и тёмный набор пиктограмм на панели. Обновлены версии программ, например, доступны Darktable 5.0.0, Ardour 8.12.0, Qtractor 1.5.3, Audacity 3.7.3, digiKam 8.5.0, Kdenlive 24.12.3, Krita 5.2.9 и GIMP 3.0.0.
• В Kubuntu задействованы выпуски KDE Plasma 6.3, Qt 6.8, KDE Frameworks 6.12.0, KDE Gear 24.12.3. По умолчанию предложен сеанс на базе Wayland, а поддержка X11 реализована в форме опции.

Утечка пользовательской базы списка рассылки автора сервиса HaveIBeenPwned

Трою пришло письмо от имени сервиса Mailchimp c предупреждением о приостановке работы его списка рассылки и необходимости выполнения определённых проверок. Трой перешёл по ссылке в письме, ввёл на открывшейся странице параметры учётной записи в Mailchimp, подтвердил запрос двухфакторной аутентификации и страница зависла...., а атакующие получить доступ к пользовательской базе его списка рассылки и выгрузили сведения об email и IP-адресах 16627 подписчиков. Примечательно, что в выгрузку вошли 7535 адресов пользователей, ранее отписавшихся от рассылки, но сервис Mailchimp сохранил их несмотря на отписку и включил в экспортируемые данные.

Трой не стал умалчивать свою оплошность и подробно разобрал инцидент в своём блоге, а также добавил информацию об утечке на свой сервис haveibeenpwned.com. Трой считает, что он не заподозрил подвоха из-за стечения нескольких факторов. Во время получения письма Трой вернулся из поездки, не адаптировался после смены часовых поясов и был сильно уставшим. Письмо было прочитано именно в тот момент, когда бдительность была подавлена.

Вторым фактором стало то, что письмо вначале было просмотрено на iPhone с почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email. Затем, когда письмо было повторно открыто утром на компьютере, Трой не стал перепроверять параметры и не обратил внимание на то, что письмо отправлено с подозрительного адреса "hr@group-f.be".

Текст был стилизован под стандартное сообщение Mailchimp и предупреждал об ограничении отправки рассылки из-за получения жалобы на спам. Информация была подана ровно в той мере, чтобы вызвать беспокойство, но не переусердствовать. В письме предлагалось проверить недавно отправленные рассылки и предпринять действия для разблокировки. По ссылке вместо mailchimp.com открылся сайт mailchimp-sso.com. Менеджер паролей 1Password автоматически не заполнил форму входа, но и это было проигнорировано. После зависания формы аутентификации Трой очнулся и перезашёл на реальный сайт Mailchimp, но было уже поздно - атакующие использовали захваченные учётные данные для получения токена для доступа к API и выполнили экспорт информации.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62964

Компания LG опубликовала платформу webOS Open Source Edition 2.28

Платформа webOS была изначально разработана компанией Palm в 2008 году и использовалась на смартфонах Palm Pre и Pixie. В 2010 году после поглощения компании Palm платформа перешла в руки Hewlett-Packard, после чего HP пыталась использовать данную платформу в своих принтерах, планшетах, ноутбуках и ПК. В 2012 году компания HP анонсировала перевод webOS в независимый открытый проект и в 2013 году начала открытие исходных текстов его компонентов. В 2013 году платформа была выкуплена у Hewlett-Packard компанией LG и теперь применяется на более чем 70 миллионах телевизоров и потребительских устройств LG. В 2018 году был основан проект webOS Open Source Edition, через который компания LG попыталась вернуться к открытой модели разработки, привлечь других участников и расширить спектр поддерживаемых в webOS устройств.

Системное окружение webOS формируется с использованием инструментария и базовых пакетов OpenEmbedded, а также сборочной системы и набора метаданных от проекта Yocto. Ключевыми компонентами webOS являются менеджер системы и приложений (SAM, System and Application Manager), отвечающий за выполнение приложений и сервисов, и Luna Surface Manager (LSM), формирующий интерфейс пользователя. Компоненты написаны с использованием фреймворка Qt и браузерного движка Chromium.

Отрисовка осуществляется через композитный менеджер, применяющий протокол Wayland. Для разработки пользовательских приложений предлагается использовать web-технологии (CSS, HTML5 и JavaScript) и фреймворк Enact, основанный на React, но возможно и создание программ на С и C++ с интерфейсом на базе Qt. Пользовательская оболочка и встроенные графические приложения в основном реализованы как нативные программы, написанные с использованием технологии QML. По умолчанию предлагается оболочка Home Launcher, оптимизированная для управления с сенсорных экранов и предлагающая концепцию сменяющих друг друга карт (вместо окон).

Для хранения данных в структурированном виде с использованием формата JSON применяется хранилище DB8, использующее в качестве бэкенда БД LevelDB. Для инициализации используется bootd на основе systemd. Для обработки мультимедийного контента предлагаются подсистемы uMediaServer и Media Display Controller (MDC), в качестве звукового сервера применяется PulseAudio. Для автоматического обновления прошивки применяется OSTree и атомарная замена разделов (создаются два системных раздела, один из которых является активным, а второй используется для копирования обновления).

Источник: https://www.opennet.ru/opennews/art.shtml?num=62965

Выпуск дистрибутива Q4OS 5.8, поставляемого с пользовательским окружением Trinity

В состав входит несколько приложений собственной разработки, включая 'Desktop Profiler' для быстрой установки тематических наборов ПО, 'Setup utility' для установки сторонних приложений, 'Software center' для установки дополнительных программ, 'Welcome Screen' для упрощения начальной настройки, Lookswitcher для быстрого переключения внешнего вида, скрипты для установки альтернативных окружений LXQt, Xfce и LXDE. Предоставляется приложение для установки дистрибутива в отдельный каталог Windows, что позволяет использовать дистрибутив параллельно с Windows без выделения для него отдельного дискового раздела.

В новом выпуске пакетная база обновлена до Debian 12.10 с ядром Linux 6.1.0-32. Установщик наборов приложений Desktop Profiler переписан для работы в многопоточном режиме и получил поддержку пакетов в формате Flatpak.

Отдельно энтузиастами развиваются сборки Q4OS с интерфейсом в стиле Windows XP и Windows 10.

16 Googly-Eyed Street Art Gems That I Love: https://streetartutopia.com/googly-eye-street-art-bulgaria/

The videoart from my new album Objectivity is available on Peertube

https://peertube.wtf/w/rwoFmBSFPLP1sbHtujLJei

Also you can read more about the concept of this release on a dedicated blog page

https://nostates.noblogs.org/objectivity

#fediart #fedimusician #noisemusic #dronemusic

В Live-образах Debian 12 реализована поддержка повторяемых сборок

Во всём репозитории Debian 12, насчитывающем 33223 исходных пакетов, поддержка повторяемых сборок достигла 96.9% для архитектуры x86_64 и 96.5% для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён в 96.5% для архитектуры ARM64 и 96.3% для x86_64 при пересборке 37322 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 819 пакетов (2.2%), а у 428 пакетов (1.1%) возникли общие проблемы при компиляции из исходного кода. Для сравнения в Arch Linux возможность повторяемой сборки реализована для 86.3% пакетов из репозиторев core и extra, насчитывающих 12800 пакетов. В репозитории openSUSE Factory, насчитывающем 15754 пакета, уровень повторяемых сборок составляет 98.24%.

Повторяемые сборки дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками. Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Проверка тождественности бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62961

В ядро Linux добавлена поддержка работы в качестве хост-системы для Hyper-V

Изначально возможность использования Linux в роли хост-окружения для системы виртуализации Hyper-V была представлена в 2020 году. Linux для управления Hyper-V уже применяется в дистрибутиве Azure Linux и инфраструктуре Microsoft, но для сторонних проектов подобная возможность была доступна только в форме отдельных патчей. Теперь данные патчи включены в основной состав ядра. Драйверы Hyper-V для гостевых систем были добавлены в ядро Linux в 2009 году и поставляются начиная с выпуска 2.6.32.

Необходимость использования Linux для управления гипервизором Hyper-V обусловлена желанием упростить сопровождение и повысить производительность серверов, обслуживающих облачные системы Microsoft, в условиях того, что с 2018 года число гостевых систем с Linux в облачном сервисе Azure превышает число окружений с Windows.

Отдельно компания Microsoft опубликовала обновление открытого проекта Hyperlight, развивающего гипервизор для встраивания в приложения. Гипервизор оформлен в виде разделяемой библиотеки, обеспечивающей выполнение отдельных функций в легковесных виртуальных машинах (micro-VM) и организующей обмен данными с этими функциями. Hyperlight может потребоваться, например, при необходимости изоляции части кода, не заслуживающего доверия или требующего особой защиты.

Из изменений отмечается реализация надстройки hyperlight-wasm, позволяющей запускать в отдельных виртуальных машинах Wasm-модули и компоненты, скомпилированные в промежуточный код WebAssembly. Предполагается, что использование виртуальной машины обеспечит более надёжную изоляцию при необходимости запуска стороннего WebAssembly-кода. Hyperlight-Wasm может использоваться в Windows (WHP - Windows Hypervisor Platform) и в Linux (KVM или Hyper-V через /dev/mshv).

Для выполнения WebAssembly-кода применяется специальный урезанный образ гостевой системы, применяющий runtime Wasmtime для запуска WebAssembly-компонентов, скомпилированных из кода на различных языках программирования. В виртуальной машине используется единый линейный фрагмент памяти. Работа осуществляется без виртуальных устройств, без операционной системы и без разделения на процессы. Запуск виртуальной машины производится с минимальными задержками и накладными расходами - создание легковесной виртуальной машины hyperlight занимает всего 1-2 миллисекунды, что в 100 раз меньше, чем при запуске обычной виртуальной машины.

Дополнительно можно отметить принятие в ветку ядра Linux 6.15 патча с поддержкой блочных устройств, у которых размер блока превышает страницу памяти. Например, Linux теперь сможет работать с устройствами с размером сектора 64Кб на системах со страницами памяти, размером 4Кб.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62959

Шалаш над рекой.

На велосипеде я мимо мимо этой дорожки, заросшей и заваленной упавшими деревьями, проезжал раз десять так точно. Да и не удивительно: а зачем лезть с велосипедом в этот непроездной бурелом, если к речке и нормальных дорог хватает? А бредя пешком, решил зайти. Подумалось вдруг: а что, если там уютная стояночка на берегу? Тем паче что ноги уже гудят, термос почти опустел и хочется просто немного поваляться и расслабиться, бездумно глядя в серое небо... И обнаружил вот такой артефакт.

Кто и зачем построил этот давно забытый шалаш на помосте над речкой, я так и не придумал. Охотник в качестве засидки? Романтик-выживальщик? Не знаю... Но что бы то ни было, я сюда ещё вернусь, зацепило меня это место. Это ещё одна стояночка в список "козырных", где можно спокойно побыть наедине с природой и куда хочется вернуться...
Речка Еленка, Беларусь.
#photography #WTphoto #nature #landscape #river #travel #by #природа #пейзаж #река #путешествия

Обновление почтового сервера Exim 4.98.2 с устранением уязвимости

Проблема проявляется начиная с выпуска Exim 4.96. Из крупных дистрибутивов уязвимые версии использовались в Debian 12, Ubuntu 24.04/24.10, openSUSE 15.6, Arch Linux, Fedora и FreeBSD. RHEL и производные дистрибутивы проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (в EPEL обновление к пакету exim пока не опубликовано).

Уязвимость присутствует в коде с отладочными вызовами и вызвана обращением к памяти после её освобождения (use-after-free) в pretrigger-обработчике. Проблема возникала из-за освобождения памяти под буфер вывода отладочной информации (debug_pretrigger_buf) без выставления в указатель значения NULL, которое используется для проверки наличия буфера перед обращениями к нему.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62960

Шалаш над рекой.

На велосипеде я мимо мимо этой дорожки, заросшей и заваленной упавшими деревьями, проезжал раз десять так точно. Да и не удивительно: а зачем лезть с велосипедом в этот непроездной бурелом, если к речке и нормальных дорог хватает? А бредя пешком, решил зайти. Подумалось вдруг: а что, если там уютная стояночка на берегу? Тем паче что ноги уже гудят, термос почти опустел и хочется просто немного поваляться и расслабиться, бездумно глядя в серое небо... И обнаружил вот такой артефакт.

Кто и зачем построил этот давно забытый шалаш на помосте над речкой, я так и не придумал. Охотник в качестве засидки? Романтик-выживальщик? Не знаю... Но что бы то ни было, я сюда ещё вернусь, зацепило меня это место. Это ещё одна стояночка в список "козырных", где можно спокойно побыть наедине с природой и куда хочется вернуться...
Речка Еленка, Беларусь.
#photography #WTphoto #nature #landscape #river #travel #by #природа #пейзаж #река #путешествия

Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов

В настоящее время какие-то части платформы, такие как Blutooth-стек, развиваются публично, а какие-то вначале создаются во внутреннем репозитории Google и становятся доступны только при публикации кода очередного релиза. Публикация кода с новыми API зависит от их пригодности для тестирования - для некоторых версий Android код реализаций API публиковался до релиза, а для некоторых - после. Кроме Google доступ к внутренней ветке имеют производители устройств, подписавшие лицензионное соглашение GMS (Google Mobile Services).

Компания Google решила отказаться от практикуемой до сих пор смешанной модели и в будущем перенесёт разработку всех компонентов Android в свою внутреннюю ветку. Вместо двух веток - открытой и внутренней, при разработке будет использоваться только внутренняя ветка, код из которой станет открываться в привязке к релизам.

После перехода на модель разработки с одной активной веткой для сторонних участников код платформы по-прежнему останется доступен, но уже не получится непрерывно отслеживать разработку отдельных компонентов Android, код которых будет размещаться не по мере принятия патчей, а только после готовности релиза. Среди компонентов, разработка которых будет переведена с открытой на внутреннюю ветку упоминаются система сборки, движок обновлений, Blutooth-стек, фреймворк виртуализации и конфигурация SELinux.

Предполагается, что изменение не повлияет на разработчиков производных продуктов и прошивок, основанных на AOSP, так как подобные сборки, как правило, формируются на основе определённых тегов или веток в репозитории, а не используют находящуюся в разработке нестабильную ветку "main". Затруднения могут возникнуть у разработчиков, заинтересованных в отслеживании изменений - вместо анализа непрерывного потока изменений придётся изучать целиком все изменения в релизе. Усложнится и участие сторонних разработчиков, желающих вносить свой вклад в проект, так как состояние кодовой базы в AOSP будет сильно отставать от ветки, находящейся в разработке.

Целью изменения называется желание упростить процесс разработки Android. Наличие двух веток, при том, что часть компонентов развивается в одной ветке, а часть в другой, приводит к тому, что по мере разработки релиза в ветках накапливаются различия и Google приходится тратить ресурсы на синхронизацию изменений и слияние патчей между открытой и внутренней ветками. Основная работа по развитию API ведётся во внутренней ветке и открытая ветка часто сильно отстаёт от неё, что приводит к возникновению конфликтов при переносе во внутреннюю ветку изменений из компонентов, развиваемых в открытой ветке.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62954

Осторожно, уязвимость synapse (сервер matrix)

https://github.com/element-hq/synapse/security/advisories/GHSA-v56r-hwv5-mxg6

46 минут назад выпущен фикс, фиксите быстро! Можно сообщить админам
(DoS федерации)

#infosec #opsec #matrix

Lenin discovering Alexander Kerensky has accidentally added him to the Provisional Government group chat.

Выпуск Zorin OS 17.3, дистрибутива для пользователей, привыкших к Windows или macOS

В качестве основы рабочего стола в Zorin OS используется GNOME с набором собственных дополнений и панелью на основе Dash to Panel и Dash to Dock. Для интеграции рабочего стола со смартфоном поставляется приложение Zorin Connect (на базе KDE Connect). Кроме пакетов в формате deb и репозиториев Ubuntu по умолчанию включена поддержка форматов Flatpak, AppImage и Snap с возможностью установки программ из каталогов Flathub и Snap Store.

В новой версии:

• Расширена встроенная база данных для определения установщиков популярных Windows-приложений, охватывающая более 150 программ. Улучшен вывод информации о наличии альтернатив. Например, при попытке запуска инсталлятора Windows-версии Obsidian будет показан диалог о наличии в репозитории сборки для Linux, а при попытке установки Adobe Acrobat Reader будет предложено использовать Document Viewer.
• В качестве web-браузера по умолчанию вместо Firefox задействован Brave. В качестве причины замены упоминается недовольство изменением политики Mozilla. Brave выбран из-за наличия встроенной блокировки рекламы и трекеров, защиты от пассивной идентификации, встроенной возможности работы через Tor, автоматической блокировки сторонних Cookie и баннеров с запросами подтверждений, связанных с Cookie.
• Расширены возможности интеграции рабочего стола со смартфоном при помощи приложения Zorin Connect (ответвление от KDE Connect). Изменено оформление интерфейса мобильного приложения, устанавливаемого на смартфон. Добавлена функция "Удалённый ввод" для управления клавиатурой и мышью со смартфона. Добавлены такие возможности, как передача ссылок и обложек музыкальных альбомов, фильтрация уведомлений, размещение отличающихся ярлыков для разных компьютеров.
• Улучшена поддержка устройств с сенсорными экранами. Повышено удобство работы панелью задач с сенсорного экрана. Добавлена поддержка вызова экранной клавиатуры через нажатие кнопки на панели, помимо автоматического показа при переходе в формы ввода текста.
• Обновлены версии предустановленных приложений и пакетов. В состав включена новая ветка драйверов NVIDIA 570.

Новая версия музыкального проигрывателя DeaDBeeF 1.10.0

Среди возможностей: автоматическое перекодирование кодировки текста в тегах, эквалайзер, поддержка cue-файлов, возможность управления через командную строку или из системного лотка, загрузка и отображение обложек, встроенный редактор тегов, гибкие возможности в отображении нужных полей в списках композиций, поддержка потокового интернет-радио, режим воспроизведения без пауз, наличие плагина для перекодирования звуковых файлов.

Основные изменения:

• Возможность отката (undo/redo) операций редактирования списка воспроизведения.
• Команды для перехода к предыдущему, следующему и случайному альбому, работающие с учётом режима перемешивания (shuffle).
• Поддержка кадров TORY в метаданных ID3v2.3.
• Поддержка мультимедийного пакета FFmpeg 7.
• Отдельный файл конфигурации для хранения конфиденциальных данных, таких как пароль к Lastfm.
• Возможность использования относительных файловых путей при загрузке списков воспроизведения DBPL.
• Поддержка формата сжатия звука EAC3 в плагине ffmpeg.
• Опция для отключения автоматического показа окна с логом после ошибок.

Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов

В настоящее время какие-то части платформы, такие как Blutooth-стек, развиваются публично, а какие-то вначале создаются во внутреннем репозитории Google и становятся доступны только при публикации кода очередного релиза. Публикация кода с новыми API зависит от их пригодности для тестирования - для некоторых версий Android код реализаций API публиковался до релиза, а для некоторых - после. Кроме Google доступ к внутренней ветке имеют производители устройств, подписавшие лицензионное соглашение GMS (Google Mobile Services).

Компания Google решила отказаться от практикуемой до сих пор смешанной модели и в будущем перенесёт разработку всех компонентов Android в свою внутреннюю ветку. Вместо двух веток - открытой и внутренней, при разработке будет использоваться только внутренняя ветка, код из которой станет открываться в привязке к релизам.

После перехода на модель разработки с одной активной веткой для сторонних участников код платформы по-прежнему останется доступен, но уже не получится непрерывно отслеживать разработку отдельных компонентов Android, код которых будет размещаться не по мере принятия патчей, а только после готовности релиза. Среди компонентов, разработка которых будет переведена с открытой на внутреннюю ветку упоминаются система сборки, движок обновлений, Blutooth-стек, фреймворк виртуализации и конфигурация SELinux.

Предполагается, что изменение не повлияет на разработчиков производных продуктов и прошивок, основанных на AOSP, так как подобные сборки, как правило, формируются на основе определённых тегов или веток в репозитории, а не используют находящуюся в разработке нестабильную ветку "main". Затруднения могут возникнуть у разработчиков, заинтересованных в отслеживании изменений - вместо анализа непрерывного потока изменений придётся изучать целиком все изменения в релизе. Усложнится и участие сторонних разработчиков, желающих вносить свой вклад в проект, так как состояние кодовой базы в AOSP будет сильно отставать от ветки, находящейся в разработке.

Целью изменения называется желание упростить процесс разработки Android. Наличие двух веток, при том, что часть компонентов развивается в одной ветке, а часть в другой, приводит к тому, что по мере разработки релиза в ветках накапливаются различия и Google приходится тратить ресурсы на синхронизацию изменений и слияние патчей между открытой и внутренней ветками. Основная работа по развитию API ведётся во внутренней ветке и открытая ветка часто сильно отстаёт от неё, что приводит к возникновению конфликтов при переносе во внутреннюю ветку изменений из компонентов, развиваемых в открытой ветке.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62954

Для KDE разрабатывают новый менеджер входа для замены SDDM

В качестве золотого стандарта, на который стоит ориентироваться при создании нового менеджера входа, отмечен GDM (GNOME Display Manager). GDM базируется на технологиях GNOME Shell и Mutter, и сильно завязан на них, что позволило добиться уровня интеграции с GNOME, недостижимого при использовании SDDM. В Plasma Login Manager пытаются воплотить похожую на GDM архитектуру, позволяющую более тесно интегрировать менеджер входа со средой рабочего стола KDE Plasma и композитным сервером Кwin.

Проблемы возникли из-за того, что SDDM изначально развивался как универсальный менеджер входа, написанный на Qt и подходящий для всех графических окружений. SDDM рассчитан на вывод одного окна с экраном входа, но разработчикам KDE требуется более тесная интеграция, чем просто окно, показывающее сеансы и пользователей. В SDDM также применяется собственная реализация функций управления энергопотреблением со своей системой настройки. Без усложнений SDDM не получается интегрировать с имеющимися в KDE Plasma средствами управления громкостью, яркостью, энергопотреблением и сетевыми соединениями. В SDDM также имеется проблема с дублированием функциональности, которая уже имеется в KDE, что значительно усложняет сопровождение.

В итоге был подготовлен прототип нового многопроцессного менеджера входа Plasma Login Manager, использующий бэкенд на основе урезанной версии SDDM и механизм запуска, идентичный тому, что применяется для запуска сеанса рабочего стола KDE Plasma. Оформление экрана входа приближено к существующему блокировщику экрана KDE, а настройки унифицированы с KDE Plasma. Разработчики отказались от использования QML для кастомизации тем оформления в пользу поддержки существующих плагинов обоев рабочего стола, цветовых схем и тем оформления Plasma.

Для тестирования доступен рабочий прототип Plasma Login Manager, который пока не доведён до уровня качества, пригодного для использования в стабильной ветке KDE Plasma. Бэкенд на основе кода SDDM и новый фронтэнд, а также модуль для конфигуратора (KCM) пока развиваются в отдельных репозиториях, которые в будущем планируют объединить. По возможностям Plasma Login Manager почти достиг паритета со старым менеджером входа.

Среди отсутствующих в SDDM возможностей, которые намерены реализовать в Plasma Login Manager:

• Качественная работа в конфигурациях с несколькими мониторами, экранами с высокой плотностью пикселей и HDR.
• Переключение раскладки клавиатуры.
• Возможность использования виртуальной клавиатуры.
• Поддержка ввода на китайском, японском, корейском и вьетнамском языках.
• Управление подсветкой экрана и клавиатуры.
• Полноценное управление энергопотреблением.
• Поддержка экранных ридеров.
• Возможность сопряжения с Bluetooth-устройствами.
• Возможность подключения к известным точкам доступа Wi-Fi.
• Поддержка удалённой работы через VNC/RDP.

Компания Cloudflare опубликовала opkssh для аутентификации в SSH через OpenID Connect

Opkssh совместим с OpenID-провайдерами Google, Microsoft/Azure и Gitlab, что позволяет настроить вход через имеющиеся учётные записи в сервисах gmail.com, microsoft.com и gitlab.com. При использовании opkssh вместо не ограниченных по времени ключей SSH генерируются временные ключи, действующие считанные часы и формируемые на основе подтверждения от провайдера OpenID. Утечка подобных ключей после окончания срока действия не представляет угрозы безопасности. По умолчанию время действия ключа составляет 24 часа, после которых необходимо повторно идентифицировать себя через OpenID.

Интеграция с OpenSSH основана на возможности создания расширений протокола SSH, допускающих прикрепление произвольных данных к сертификатам SSH. После прохождения аутентификации через OpenID клиент формирует открытый ключ, содержащий PK-токен, подтверждающий принадлежность ключа заявленному пользователю. Токен интегрируется в протокол SSH через поле с дополнительными данными SSH-сертификата. Создание PK-токенов и их проверка на стороне сервера осуществляется с использованием криптографического протокола OpenPubKey.

OpenPubKey позволяет сгенерировать открытый ключ и привязать его к токену, выданному OpenID-провайдером. Через цифровую подпись провайдер подтверждает, что этот ключ создан заявленным аутентифицированным пользователем. Например, OpenID-провайдер Google может подтвердить, что пользователь аутентифицирован как test@gmail.com. На стороне севера выполняется проверка подписан ли прикреплённый токен провайдером OpenID и соответствует ли цифровая подпись заявленному открытому ключу, т.е. сервер может удостовериться, что именно пользователь test@gmail.com создал открытый ключ для подключившегося SSH-клиента.

Интеграция с OpenSSH организована через указание программы opkssh в файле конфигурации "sshd_config" через директиву "AuthorizedKeysCommand" (например: "AuthorizedKeysCommand /usr/local/bin/opkssh verify %u %k %t"). Настройка связывания учётных записей с OpenID осуществляется на стороне сервера SSH. На стороне клиента SSH изменения настроек не требуется, но перед входом необходимо запустить команду "opkssh login" и в появившемся окне браузера выбрать провайдера OpenID и выполнить через него аутентификацию.

Утилита opkssh сгенерирует ключи SSH и получит PK-токен, подтверждающий, что пользователь прошёл аутентификацию и позволяющий проверить, что созданные ключи принадлежат заявленному пользователю. Открытый ключ SSH, к которому через поле с дополнительными данными прикреплён PK-токен, будет записан в файл ~/.ssh/id_ecdsas и начнёт передаваться при подключении к серверу утилитой ssh.

Подключение к серверу производится с использованием штатной для SSH схемы "ssh логин@сервер", при этом на сервере логин предварительно должен быть отождествлён с учётной записью в OpenID, которую использует пользователь. Таким образом работа сводится к тому, что ssh-клиент отправляет на ssh-сервер публичный ключ, а сервер запускает команду "opkssh verify" для проверки ключа.

Для привязки учётной записи к OpenID администратор сервера выполняет команду "opkssh add". Например, для того чтобы разрешить вход на сервер под пользователем "root" с OpenID-аутентификацией через учётную запись test@gmail.com в Gmail следует выполнить "sudo opkssh add root test@gmail.com google", после чего клиент сможет подключаться под параметрами данной учётной записи командой "ssh root@хост_сервера".

Привязку учётной записи также можно выполнить вручную через файл конфигурации /etc/opk/auth_id (или ~/.opk/auth_id), в который для вышеприведённого примера будет записана строка "root test@gmail.com https://accounts.google.com". Дополнительно через файл /etc/opk/providers можно определить список допустимых OpenID-провайдеров, их параметры и список разрешённых идентификаторов клиентов.

Такое чудо из стрёмного ларька.
На вкус неплохо, но до пива чего-то не хватает.
#пиво

Пока цена на электричество самая низкая в стране, а аварий в сетях нет, то люди не обращают внимание на проблему, живут, топят улицу, платят от силы 10-12 тысяч рублей за отопление и электричество зимой. 

Но так жить во время суровых... морозов, всё равно что играть в «русскую рулетку». Тут уже основное значение слова беспечность вступает в свои права.

Make VoWiFi calls from an open source client using asterisk: https://osmocom.org/news/297 - osmocom main contributor @sysmocom has recently released a forked version of asterisk that can be used to make VoWiFi calls using nothing but FOSS, a smart card reader and a SIM card. #foss #opensource #telecom #3gpp

Такое чудо из стрёмного ларька.
На вкус неплохо, но до пива чего-то не хватает.
#пиво

Выпуск системы проектирования печатных плат LibrePCB 1.3.0

Из особенностей отмечается интеграция в одном пакете редактора схем и средств управления проектом; простой кросс-платформенный графический интерфейс на базе Qt; применение концепции "умной" библиотеки элементов; использование доступных для ручного разбора форматов библиотеки элементов и проектов; режим Multi-PCB для параллельной разработки разных вариантов плат на базе одной схемы; автоматическая синхронизация списка электрических соединений (netlist) между схемой и раскладкой платы. Программа оснащена многоязычным интерфейсом с поддержкой русского (охват перевода 96%) и украинского языков (охват перевода 91%), предоставляющим возможность наименований элементов на разных языках.

LibrePCB включает в себя интерфейс для управления проектом; редактор электронных схем; редактор многослойных печатных плат; сервис для генерации данных для начала производства; утилиту командной строки librepcb-cli для автоматизации типовых работ (например, проверки и экспорта данных); библиотеку электронных компонентов с навигацией по древовидному категоризованному списку. Имеется интерфейс для подключения различных существующих библиотек элементов, которые могут добавляться как в форме архивов, так и через интеграцию с репозиториями. Поддерживается импорт файлов DXF и экспорт в форматах PDF, SVG и CSV BOM, pick&place X3/CSV, Gerber/Excellon и STEP.

Основные новшества:

• Добавлена возможность генерации интерактивного списка компонентов (BOM - Bill of Materials) и сборочного плана, включающего описание, достаточное для пошагового ручного изготовления печатной платы. Список сохраняется в формате HTML и использует обработчики, стили и JavaScript-библиотеки, развиваемые для KiCad-плагина InteractiveHtmlBom. В отличие от статичных PDF-инструкций интерактивный формат позволяет выполнять такие операции, как сортировка, фильтрация и поиск компонентов.
• Обеспечена совместимость с обновлённым форматом библиотек компонентов, предложенным во KiCad 9.
• Добавлена поддержка использования для разработки LibrePCB языка Rust. Упомянутый выше генератор BOM написан на Rust. Предполагается, что поддержка Rust позволит ускорит разработку и положительно повлияет на стабильность продукта. В планах отмечено постепенное смещение от использования языка С++ в пользу Rust и намерение полностью переработать интерфейс пользователя, используя написанный на Rust фреймворк Slint вместо библиотеки Qt.
• Вместо библиотеки QuaZip для чтения и записи ZIP-архивов задействован crate-пакет zip, написанный на Rust.
• Код на C++ переведён на использование стандарта C++20 (tl::optional в коде заменён на std::optional).
• Прекращена поддержка Qt5.

Опубликован AerynOS 2025.03, первый выпуск после переименования Serpent OS

Дистрибутив использует пакетный менеджер moss с собственным форматом пакетов Stone и инструментами для управления состоянием системы. Для экономии дискового пространства при хранении нескольких версий пакетов применяется дедупликация на основе жёстких ссылок. Обновление производится в атомарном режиме с заменой содержимого раздела /usr. В случае сбоя во время установки обновления система откатывается на прошлое рабочее состояние.

Большая часть пакетов, включая ядро Linux, собрана при помощи компилятора Clang. За исключением ядра и некоторых системных компонентов изменения применяются на лету, без необходимости перезагрузки. Проектом также развиваются инсталлятор Lichen, система сборки boulder, панель управления summit, менеджер загрузки blsforme и система контейнеров moss-container.

Микориза / Чисто Поле - Около (Nearby)
Чисто Поле понравилось больше, колючее такое и тревожное. Оформление релиза интересное.

Сплит на bandcamp

#noise #nowplaying