война панков против эмо в мехико, 2008

16 марта 2008 года сотни подростков собрались на улицах мехико, столкнувшись лицом к лицу в ебанутом и хаотичном столкновении субкультур. на одной стороне были панки, с другой — эмо, новое направление, только начинающее набирать популярность. после нескольких часов напряга и попыток ментов взять ситуацию под контроль, все прекратилось, когда в толпе заспавнилась группа кришнаитов.

конфликт нарастал в интернете, распространяясь через такие платформы, как myspace. эмо утверждали, что они получали угрозы, в то время как панки обвиняли их в копировании своего стиля и идентичности. то, что началось как попытка эмо организовать мирную демонстрацию, быстро изменилось, как только панки пронюхали об этом и пришли, чтобы выразить свое несогласие.

в конце концов две группы столкнулись, наполнив улицы шумом, суматохой и конфронтацией. мусора были на месте, но с трудом справлялась с ситуацией по мере ее обострения. затем, неожиданно, атмосфера изменилась. барабаны и песнопения раздались по всему месту, когда монахи в одеяниях вошли на поле боя, прорезая хаос и заставив все замезрнуть. их присутствие разрядило обстановку, положив необычное и внезапное окончание тому, что стало известно как «столкновение эмо и панков 2008 года».

External Attachment:

Выпуск растрового графического редактора Krita 6.0

Ветки Krita 5.3 и 6.0 развивались параллельно, построены на одной кодовой базе и выпущены одновременно. Базовая функциональность у веток 5.3 и 6.0 совпадает, различия сводятся к переводу ветки 6.0 на использование библиотеки Qt6, в тов время как в Krita 5.3 продолжает применяться Qt5. Помимо портирования на Qt6 ветка Krita 6.0 примечательна предоставлением поддержки Wayland, дробного масштабирования, 10-разрядного представления цвета и отображения содержимого с расширенным динамическим диапазоном (HDR), реализованного при помощи Wayland-протокола color-management-v1.

Основные новшества:

• Полностью переработана и значительно расширена функциональность для работы с текстом. Появилась возможность редактирования текста прямо на холсте, используя привычную навигацию по тексту при помощи мыши и клавиатуры. Реализован отдельный режим типографики для редактирования на холсте свойств текста, таких как размер шрифта, методы выравнивания, высота строки и позиция каждого глифа, без вызова отдельного диалога с настройками.
  
  

  Добавлена возможность автоматического обтекания текстом одной или нескольких векторных фигур, а также заполнения текстом определённой области и выравнивания текста по заданному контуру.
  
  

  Реализована отдельная панель для настройки стиля текста, предоставляющая более 50 редактируемых свойств. Имеется возможность одновременного редактирования нескольких текстовых объектов, настройки видимости свойств и автоскрытия неиспользуемых свойств. Расширена панель выбора шрифтов, в которой обеспечено индексирование имеющихся шрифтов в системе, добавлена пометка шрифтов тегами, расширен поиск и обеспечен вывод примеров и названий с учётом выбранного языка. Добавлена возможность сохранения преднастроек стилей для быстрого применения сохранённых наборов свойств к текущему тексту.
  
  

  Реализована полная поддержка формата OpenType и добавлена палитра грифов, позволяющая выбирать альтернативные глифы, доступные для текущего шрифта.
  
  

• Добавлен инструмент редактирования комиксов, позволяющий быстро разделять и объединять векторные объекты для упрощения создания раскладки картинок в стиле комиксов.
  
  
• В инструменте трансформации реализована возможность поворота рамки вокруг выделенной области независимо от ориентации пикселей для упрощения трансформации объектов, расположенных под углом. Заметно ускорена работа режима пластической деформации (liquify).
  
  
• Реализовано адаптивное изменение степени сглаживания в зависимости от скорости рисования (при медленном движении для компенсации дрожания руки сглаживание усиливается, а при быстром - уменьшается). Добавлен отдельный режим стабилизации пиксельной графики, позволяющий повысить чёткость при рисовании однопиксельными линиями.
• Реализована плавающая панель с инструментами для работы с выделенной областью, появляющаяся при наличии выделения.
• Добавлена возможность рисования одновременно несколькими кистями с фиксированным интервалом между ними.
• В инструмент заливки добавлена опция "Размыть выделение" ("Close Gaps"), позволяющая автоматически перекрывать небольшие разрывы в линиях при определении области заливки.
• Добавлен фильтр "Выбрать цвет" ("Propagate Colors"), который расширяет цвета в прозрачные области, т.е. заполняет окружающие объект прозрачные пиксели соседними цветами, расширяя непрозрачную область на указанное расстояние. В дополнение добавлен фильтр "Сбросить прозрачность" ("Reset Transparent"), который принудительно обнуляет остаточные цветовые каналы для всех полностью прозрачных пикселей.
• Добавлен фильтр "Наложение цвета" ("Fast Color Overlay Mask") для быстрой тонировки эскизов заданным цветом.
• В командах трансформации зеркало, поворот, масштабирование, сдвиг и смещение реализована возможность работы одновременно с несколькими выделенными слоями.
• В панели записи (Recorder Docker) реализован многопоточный захват кадров, позволяющий выполнять запись видео в реальном времени.
• Реализована возможность добавлять панели (Docker) во всплывающую палитру и вплывающие окна с инструментами.
• Для кистей реализован режим мягкого текстурирования, при котором сила нажатия контролирует интенсивность прорисовки текстуры кисти.
• Обеспечено автоматическое инвертирование текстуры кисти в режиме ластика.
• В редакторе кистей появился режим углов для кривых, позволяющий использовать заострённые переходы между кривыми.
• Добавлен режим наложения "Marker", предотвращающий накопление непрозрачности при нанесении нескольких штрихов.
• Добавлена поддержка форматов файлов Radiance RGBE (.hdr), многослойных и многостраничных изображений JPEG-XL, PSD-изображений с фигурами, текстом, направляющими и векторными масками.

The story of OpenBSD on Motorola 88000 series processors

The latest addition is OpenBSD on Motorola 88000 processors, where the first two of a planned total of nine chapters have been published.

The first chapter, The Forsaken RISC Architecture, takes us through some background and pre-history of the architecture.

The second chapter, A New Hope gives insight into the early porting efforts.

We very much look forward to seeing the further chapters of the OpenBSD on Motorola 88000 processors saga.

Wrote new article — about how to use some ThinkPad-specific keys with FreeBSD. Most of the Fn-keys and volume control separate keys could be uses "as is" — the OS passes the proper and well-known keycodes (like XF86audioMute, etc) to the X server. But some keys needs some "black magic" (devd and acpi_ibm kernel module).

The bonus point — how to use ThinkLight to signal about low battery level with Morse code

https://eugene-andrienko.com/it/2026/03/24/freebsd-thinkpad-specific-keys.html

#ThinkPad #FreeBSD

https://www.kommersant.ru/doc/8533998

Минцифры планирует увеличить пропускную способность ТСПУ <...>, а финансирование соответствующего федерального проекта — на 14,9 млрд руб.

Проект Pine64 представил умные часы PineTime Pro

Выпуск проприетарного драйвера NVIDIA 595.58.03

Основные изменения:

• Добавлена поддержка Vulkan-расширений VK_EXT_descriptor_heap и VK_EXT_present_timing.
• Добавлена поддержка интерфейса DRI3 1.2 (Direct Rendering Infrastructure).
• В модуле nvidia.ko реализована поддержка самостоятельного управления сохранением содержимого видеопамяти при переходе системы в спящий режим, активируемая при использовании настройки "NVreg_UseKernelSuspendNotifiers=1".
• В модуле nvidia-drm.ko по умолчанию активирован параметр "modeset=1", включающий технологию DRM Kernel Mode-Setting (KMS) для переключения режимов экрана на уровне ядра.
• Внесены изменения, позволяющие nvidia-smi сбрасывать (reset) состояние GPU при модуле nvidia-drm, загруженном с параметром modeset=1 и отсутствии других процессов, использующих GPU.
• Добавлен новый профиль приложений CudaNoStablePerfLimit, позволяющий программам, использующим CUDA, переходить в режим энергосбережения P0 PState.
• Добавлена поддержка отката на использование системной памяти в случае недостаточного размера свободной видеопамяти для исключения подвисаний композитных серверов на базе Wayland.
• В качестве минимально поддерживаемых версий заявлены Wayland 1.20 (2021 год), X.Org Server 1.17 (2015 год) и Glibc 2.27 (2018 год).

Первый публичный релиз VitruvianOS - гибрида Haiku на ядре Linux

VitruvianOS использует компоненты пользовательского пространства из ОС Haiku. Вместо привычных оконных менеджеров X11 и композитных серверов Wayland для вывода графики в VitruvianOS применяется app_server - графический сервер из Haiku, адаптированный для работы поверх Linux KMS/DRM. В качестве графического тулкита используется реализация Interface Kit из Haiku. Вместо systemd в будущем планируется использовать систему инициализации janus_daemon, который будет работать как launch_daemon в Haiku.

Для реализации большей части BeAPI используется своя версия библиотеки libroot, которая оборачивает многие нестандартные функции Haiku/BeOS поверх Linux, что даёт возможность запускать приложения и использовать более высокоуровневые компоненты Haiku OS на стандартном ядре Linux. Для реализации специфичных функций Kernel Kit из BeAPI разработана подсистема ядра Nexus, реализующая API node_monitor, отслеживание устройств и обмен сообщениями в стиле BeOS, что позволяет реализовать все специфические технологии Haiku/BeOS поверх ядра Linux.

На данный момент реализовано:

• Загрузка с файловых систем XFS и SquashFS с полной поддержкой расширенных атрибутов (xattr).
• Модифицированное ядро ​​Linux-rt для повышения отзывчивости при выполнении десктоп-задач.
• Слой совместимости с API BeOS/Haiku c поддержкой нативных приложений.
• Deskbar, Tracker и основные компоненты рабочего стола Vitruvian.
• Система ввода с поддержкой мыши, жестов, планшетов и многого другого.
• Специально разработанный графический слой (без использования X11 и Wayland).

Планируется:

• В версии 0.3.1 будут включены многие недостающие компоненты и исправлены ошибки, основанные на первых отзывах пользователей.
• В версии 0.3.2 ожидается создание самодостаточной системы, в которой VitruvianOS сможет собираться самостоятельно.
• В версии 0.4 будет проведена стабилизация и расширена поддержка аппаратного обеспечения, включая продолжающуюся разработку ARM-версии (arm32 и aarch64).

Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей

• CVE-2026-27654 - переполнение буфера в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках "location" директивы "alias". Уязвимость позволяет изменить пути к файлам для обращения за пределы базового каталога. Проблема выявлена с использованием AI-модели Claude.
• CVE-2026-27784, CVE-2026-32647 - переполнения буферов в модуле ngx_http_mp4_module, возникающие при обработке специально оформленных файлов mp4. Не исключается, что эксплуатация уязвимости не ограничивается аварийным завершением рабочего процесса.
• CVE-2026-27651 - разыменование нулевого указателя при некорректном использовании методов аутентификации CRAM-MD5 или APOP.
• CVE-2026-28753 - возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.
• CVE-2026-28755 - обход результата OCSP-проверки сертификата в модуле stream.

Среди не связанных с безопасностью изменений в nginx 1.29.7

• Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву "listen" добавлен параметр "multipath".
• В директиву "keepalive", используемую в блоке "upstream", добавлен параметр "local". При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.
• В блоке "upstream" активирована по умолчанию директива "keepalive".
• При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение "1.1" в директиве "proxy_http_version" и прекращена отправка по умолчанию заголовка "Connection"). Для возвращения старого поведения, позволяющего обращаться к бэкендам, поддерживающим только HTTP/1.0, следует выставить настройки:

     proxy_http_version 1.0;
     proxy_set_header Connection "Close";
  

Компания Oracle опубликовала ядро Unbreakable Enterprise Kernel 8.2

Ветка Unbreakable Enterprise Kernel 8 основана на ядре Linux 6.12, которое дополнено новыми возможностями, оптимизациями и исправлениями, а также проверено на совместимость с большинством приложений, работающих в RHEL, и оптимизировано для работы с промышленным программным обеспечением и оборудованием Oracle. Установочные и src-пакеты с ядром UEK 8.2 подготовлены для веток дистрибутива Oracle Linux 9 и Oracle Linux 10(нет никаких препятствий по использованию данного ядра в аналогичных версиях RHEL, CentOS, Alma Linux и Rocky Linux).

Среди изменений в ядре UEK 8.2:

• Для гипервизора и гостевых систем реализована возможность использования механизмов Intel TDX (Trusted Domain Extensions) и AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) для защиты гостевых систем от вмешательства и анализа со стороны администратора хост-системы и физических атак на оборудование. Защита обеспечивается за счёт шифрования памяти виртуальных машин.
• Добавлена возможность восстановления ФС XFS в online-режиме при помощи утилиты xfs_scrub, без отмонтирования раздела и без остановки работы с ФС.
• Добавлена поддержка легковесных сторожевых страниц памяти (guard page), обращение к которым вызывает исключение и аварийное завершение процесса (SIGSEGV). По сравнению с маппингом в режиме PROT_NONE сторожевые страницы позволяют более эффективно блокировать выполнение кода за пределами выделенной области памяти, так как их создание не требует выделения новой области виртуальной памяти.
• Реализована возможность профилирования операций выделения и освобождения памяти в системе, накопления статистики о выделении памяти и размере используемой памяти, выявления утечек памяти. Для включения профилирования предложен sysctl-параметр "sysctl.vm.mem_profiling=1", доступ к информации осуществляется через /proc/allocinfo.
• Обновлены драйверы для устройств AMD HSMP, Intel Ethernet Connection XL710, Intel Data Streaming Accelerator, Intel 10 Gigabit PCI Express, Broadcom Emulex Fibre Channel HBA, NVIDIA ConnectX.

Дополнительно можно отметить обновление ветки UEK-next (Next Unbreakable Enterprise Kernel), которая переведена на использование выпуска ядра Linux 6.19. Яро UEK-next преподносится как непрерывно обновляемая опция для разработчиков, позволяющая получить доступ к наиболее свежим улучшениям из основной ветки ядра, сохранив при этом доступ к специфичным для ядра UEK расширенным возможностям. Ядро UEK-next формируется путём наложения на mainline-ядро Linux исправлений и улучшений, подготовленных для ядра UEK. Через какое-то время для одного из ядер UEK-next будет обеспечен длительный цикл поддержки (LTS) и это ядро будет использовано в качестве основы для формирования ветки UEK 9.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65067

В PyPI размещены вредоносные выпуски библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц

Токен доступа к учётной записи LiteLLM в PyPI попал в руки атакующий из-за использования в CI/CD сканера безопасности зависимостей trivvy. До этого в конце февраля атакующие смогли получить доступ к инфраструктуре проекта Trivy, воспользовавшись уязвимостью в обработчике pull_request_target, запускаемом в системе непрерывной интеграции Trivy. После компрометации атакующие опубликовали вредоносные выпуски Trivy 0.69-0.69, подменили GitHub Action обработчик trivy-action и разместили модифицированный Docker-образ с Trivy.

24 марта в 11:30 (MSK) перехваченные учётные данные сопровождающего LiteLLM (krrishdholakia) были использованы для прямой публикации вредоносных релизов LiteLLM 1.82.7 и 1.82.8 в PyPI в обход официального GitHub CI/CD. Репозиторий проекта на GitHub не пострадал - вредоносная активность наблюдалась только в PyPI. В выпуске LiteLLM 1.82.7 вредоносный код был встроен в файл litellm/proxy/proxy_server.py и активировался при импорте litellm.proxy. В выпуске 1.82.8 в состав был включён файл site-packages/litellm_init.pth и упакованный в формате base64 код в proxy_server.py, активируемый при любом запуске.

Добавленный вредоносный код осуществлял сканирование и отправку конфиденциальных данных. Отправлялись найденные в системе ключи SSH и SSL/TLS, содержимое переменных окружения, учётные данные к AWS, GCP, Azure и K8s, ключи от криптокошельков, пароли к СУБД, история операций в командном интерпретаторе, файлы конфигурации от систем непрерывной интеграции, Git, CI/CD, пакетных менеджеров и Docker. Обнаруженные данные шифровались с использованием алгоритмов AES-256-CBC + RSA-4096 и отправлялись HTTP POST-запросом на сайт "https://models.litellm.cloud/" (домен litellm.cloud был зарегистрирован за несколько часов до публикации вредоносных релизов).

Пользователям LiteLLM рекомендовано убедиться в отсутствии в каталоге site-packages/ файла litellm_init.pth, обновить все ключи и учётные данные в случае установки версии 1.82.7 или 1.82.8, закрепить конкретные версии LiteLLM в параметрах загрузки зависимостей и сверить используемые выпуски LiteLLM с кодом релизов на GitHub.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65065

В Telega, альтернативном клиенте Telegram, выявили возможность совершения MITM-атаки

Вывод о возможности перехвата трафика пользователей делается на основе нескольких технических находок, выявленных после декомпиляции APK-пакета, анализе библиотек и сетевых вызовов:

• Клиент Teleg перенаправляет трафик через собственную инфраструктуру: при старте он обращается к адресу api.telega.info/v1/dc‑proxy и получает JSON‑список "дата‑центров", которые подставляются вместо официальных адресов Telegram. Фактически это заставляет клиент устанавливать соединения не с оригинальными серверами, а через прокси Telega. Подобное поведение можно объяснить попыткой обхода блокировки прямого доступа к серверам Telegram.
• В сборке обнаружен дополнительный открытый RSA‑ключ, которого нет в официальных клиентах Telegram. Telega использует собственный набор ключей при установлении шифрованных сеансов, то есть появляется отдельный шифрованный канал между клиентом и инфраструктурой проекта.
• Подмена адресов в сочетании с использованием собственного открытого ключа дают возможность совершения MITM-атаки, позволяющей читать все входящие и исходящие сообщения в чате и просматривать историю переписки, подменять содержимое сообщений и выполнять любые действия с учётной записью пользователя без его участия.
• Механизмы PFS (Perfect Forward Secrecy) и поддержка секретных E2E‑чатов в клиенте либо отключены по умолчанию, либо управляются удалённой конфигурацией, доступной через тот же dc‑proxy (клиент игнорирует секретные чаты и скрывает UI‑элементы для их создания).
• В коде выявлены удалённые фильтры/чёрные списки (запросы к api.telega.info/v1/api/blacklist/filter), позволяющие скрывать каналы, профили и чаты на стороне клиента по решению сервера.

Telega позиционируется как "Telegram‑клиент, созданный на базе открытого кода мессенджера", который можно использовать без VPN, а на странице проекта присутствует формулировка, что "вся информация надежно защищена сквозным шифрованием Telegram". Ранее Telegram-канал Telega с более 5 миллионов подписчиков был верифицирован, однако на момент написания статьи отметка отсутствует. У бота авторизации Telega более 6 миллионов пользователей ежемесячно.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65063

Релиз Firefox 149 с VPN и режимом разделения экрана

Основные новшества в Firefox 149 (1, 2, 3):

• Включена поддержка режима Split View, позволяющего бок о бок в одном окне просмотреть содержимое двух вкладок. Режим активируется через кнопку "Add Split View" в контекстном меню, показываемом при клике правой кнопкой мыши на вкладках. При нажатии данной кнопки содержимое окна разделяется на две части и в правой части открывается содержимое страницы новой вкладки. Если выбрать опцию для группы из двух вкладок, указанные вкладки сразу будут раскрыты рядом с друг другом. Допускается произвольное изменение размера правой и левой области просмотра через перетаскивание мышью полосы-разделителя. Активная вкладка при одновременном просмотре выделяется красной рамкой.
  
• В состав интегрирован бесплатный VPN-сервис Firefox VPN (не путать с Mozilla VPN), позволяющий обращаться к сайтам не напрямую, а через промежуточные прокси-серверы в разных странах, скрывающие IP-адрес пользователя. Имеется возможность включать VPN только для выбранных сайтов. Для активации VPN необходима регистрация учётной записи в Mozilla. На первом этапе VPN-сервис доступен пользователям из США, Франции, Германии и Великобритании. В VPN-сервисе действует ограничение в 50 гигабайт трафика в месяц.
• Добавлена функция Tab Notes для прикрепления произвольных примечаний к вкладкам. Кнопка для добавления заметок помещена в контекстное меню и также показывается на эскизе, появляющемся при наведении курсора на вкладке. Для включения можно использовать настройку "browser.tabs.notes.enabled" на странице about:config или опцию в секции Firefox Labs на странице с настройками (about:preferences#experimental).
• Предложена панель TrustPanel, вызываемая при нажатии на пиктограмму с изображением щита перед адресной строкой и комбинирующая ранее выводимые раздельно панели c параметрами приватности и безопасности.
• Добавлена защита от отправки нечистыми на руку сайтами фоновых уведомления для рекламы, спама и фишинга. Уведомления теперь автоматически блокируются, а предоставленные полномочия отзываются для любых сайтов, помеченных вредоносными сервисом SafeBrowsing.
• Для ускорения вывода PDF-файлов задействовано аппаратное ускорение.
• В конфигуратор панели (Customize Toolbar) добавлена возможность добавления на панель кнопки Share для отправки текущей вкладки другим пользователями и на другие устройства при помощи предоставляемых платформами Windows и macOS системных сервисов обмена информацией.
• Для уменьшения поверхности атаки ужесточены требования к JavaScript-файлам, которые могут запускаться в родительском процессе, отвечающим за запуск дочерних процессов и базовую функциональность браузера, такую как интерфейс, профили, управление процессами и навигация.
• Переделано оформление страниц, показываемых при возникновении ошибок при попытке открытия сайтов.
• На платформе Linux вместо диалога GTK3 по умолчанию теперь используется XDG-портал org.freedesktop.portal.FileChooser, предоставляющий более функциональный интерфейс для выбора файлов.
• Повышена надёжность загрузки с использованием протокола HTTP/3 при нестабильном сетевом соединении.
• На платформе Windows для доступа к информации о местоположении задействован API Windows.Devices.Geolocation вместо старого API времён Windows 7.
• В инструментах для web-разработчиков в панель инспектирования хранилища добавлена кнопка для удаления всех записей в выбранном хранилище. В панели работы со стилями рядом с каждым CSS-элементом, связанным с показываемым в секции "Computed" вычисляемым значением, добавлена пиктограмма для перехода к этому элементу в секции "Rules".
  
  
  
• Добавлена возможность вызова предоставляемой браузером реализации выпадающего меню при помощи метода showPicker() для показа рекомендаций автозаполнения текстового поля ‹input type="text"› на основе вариантов, определённых в блоке ‹datalist›.
• В CSS-свойство "shape-outside" добавлена поддержка функций rect() и xywh() для формирования области обтекания текста. Ранее данные функции поддерживались только в CSS-свойствах clip-path и offset-path.
• Для выбора шрифта с дополнительными математическими символами в CSS-свойство "font-family" добавлена поддержка значения "math", которое также используется по умолчанию для шрифта при выводе содержимого элемента ‹math›.
• В HTML-элементы добавлена поддержка атрибута 'popover="hint"', позволяющего отображать автоматически скрываемые всплывающие подсказки, не приводящие к скрытию других типов всплывающих popover-блоков.
• Для мультимедийных элементов (‹audio›, ‹video›) включена поддержка псевдо-классов ":playing", ":paused", ":seeking", ":muted", ":buffering", ":stalled" и ":volume-locked".
• Включена соответствующая требованиям спецификации реализация API HTMLMediaElement.captureStream(), позволяющего захватывать содержимое, отрисовываемое при помощи HTMLMediaElements (например, контент, выводимый через теги video и audio).
• Добавлен API Reporting для получения информации о различных возможностях и проблемах, таких как нарушении правил CSP (Content Security Policy), Permissions-Policy, Integrity-Policy, Cross-Origin-Embedder-Policy, а также использовании устаревшей функциональности.
• Реализован API CloseWatcher, позволяющий отслеживать в web-приложениях Close-запросы и реагировать на их поступление (например, можно создать обработчик нажатия кнопки "назад" на Android-смартфоне). Close-запросы формируются при попытке закрытия модальных (‹dialog›) и всплывающих диалогов (popover="") через нажатие клавиши Esc, использование кнопки "назад" или экранный жест на смартфонах.
• В версии Firefox для Android проведена работа по улучшению навигации и обновлены панель инструментов, список вкладок и меню. Добавлена возможность закрытия всплывающих popover-элементов и диалогов системной кнопкой "назад".

Кроме новшеств и исправления ошибок в Firefox 149 устранено 70 уязвимостей. 55 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65061

Доступен TypeScript 6.0, последний выпуск с компилятором на JavaScript

Язык TypeScript расширяет возможности JavaScript, оставаясь полностью обратно совместимым, что упрощает перевод существующих приложений на TypeScript. Итоговое приложение на TypeScript компилируется в обычный JavaScript, который можно выполнить в любом современном web-браузере или использовать c платформами Node.js, Bun и Deno. В программах на TypeScript можно использовать существующие JavaScript-библиотеки. От JavaScript язык TypeScript отличается средствами для явного определения типов, а также поддержкой использования полноценных классов. Статическая типизация позволяет избежать многих ошибок в процессе разработки, даёт возможность задействовать дополнительные техники оптимизации, упрощает отладку, делает код более читаемым и простым для доработки и сопровождения.

Ветка TypeScript 6.0 отмечена как последняя, поставляемая с компилятором на языке TypeScript, транслируемом в JavaScript. В ветке TypeScript 7.0 проект перейдёт на новый компилятор typescript-go (tsgo), разрабатываемый с 2024 года на языке Go. Новый компилятор существенно увеличит скорость сборки, уменьшит потребление памяти и сократит время запуска редакторов кода, что решит наблюдаемые ныне проблемы с масштабированием при использовании в очень больших проектах. Также будет предоставлен компактный инструментарии командной строки, позволяющий быстро собирать код для проверки его работоспособности.

Ветка TypeScript 6.x продолжает поставляться со старым компилятором, но включает отдельные изменения для подготовки к миграции на новую реализацию. Впуск TypeScript 6.0 позиционируется как связующее звено между ветками TypeScript 5.9 и 7.0, и содержит изменения, главным образом нацеленные на упрощение будущего перехода на ветку TypeScript 7.0. Для тестирования доступен предварительный выпуск TypeScript 7.0, опубликованный в форме дополнения к VSCode и NPM-пакета. После релиза TypeScript 7.0 ветки 6.x и 7.x будут сосуществовать и сопровождаться параллельно до тех пор, пока ветка TypeScript 7.x не достигнет зрелого состояния, готового полностью заменить старый инструментарий.

Среди изменений в TypeScript 6.0:

• Реализована возможность использования префиксов "#/" в стиле Node.js для импорта псевдонимов модулей, определённых внутри пакета, вместо указания относительных путей. Например, 'import * as utils from "#root/utils.js"' вместо 'import * as utils from "../../utils.js'.
• Добавлен флаг "--stableTypeOrdering" для включения применяемого в ветке TypeScript 7 алгоритма детерминированной сортировки типов внутри компилятора, гарантирующего одинаковый порядок определения типов в любых окружениях. Режим рекомендуется использовать только для диагностики возможных проблем перед переходом на ветку TypeScript 7, так как его включение в TypeScript 6.0 может замедлить компилятор на 25%.
• Реализованы встроенные типы для API Temporal, предлагающего альтернативные методы для работы с датами и временем, позволяющие манипулировать датами с учётом и без учёта часовых поясов, конвертировать время, форматировать вывод и выполнять арифметические операции со временем.
• Добавлены типы для upsert-методов getOrInsert и getOrInsertComputed в объектах Map и WeakMap, возвращающих уже имеющееся в коллекции значение, ассоциированное с указанными ключом, или создающих новую запись, если ключа не нашлось.
• Добавлена поддержка функции RegExp.escape, экранирующей спецсимволы в строках для из безопасного использования в качестве шаблона внутри регулярных выражений, задаваемых через конструктор RegExp().
• Изменены настройки по умолчанию:
  • Параметр rootDir теперь указывает на текущий каталог ".", в котором размещён файл конфигурации tsconfig.json, в не на типовой каталог с исходным кодом.
  • Поле "types" в tsconfig.json теперь определяется как "[]" вместо "["*"]", т.е. TypeScript теперь по умолчанию не включает все пакеты из "node_modules/@types" и требует явного указания глобальных пакетов (например, ["node", "jest"])). Изменение приводит к сокращению времени компиляции на 20-50%.
  • Значение target теперь включает актуальную версию ECMAScript (es2025). В поле tagret объявлена устаревшей версия es5 (ECMAScript 5), в качестве минимальной заявлена версия es6 (ECMAScript 2015).
  • По умолчанию активирован режим strict для строгой проверки типов.
  • Параметр module по умолчанию выставлен в значение "esnext", включающем поддержу JavaScript-модулей (ESM) с директивами import и export, вместо устаревшего формата CommonJS.
• Для повышения производительности компилятора объявлены устаревшими:
  • Опция "--baseUrl".
  • Использование ключевого слова module для определения пространств имён модулей ("module Foo { ... }" вместо "namespace Foo { ... }").
  • Опция "--outFile " (следует использовать внешние упаковщики, такие как esbuild, Rollup, и Webpack);
  • Режим "--moduleResolution: classic" (рекомендуется использовать nodenext или bundler).

Создан форк systemd без хранения возраста. GrapheneOS отказался верифицировать возраст

В качестве причины хранения возраста в userdb заявлена подготовка к реализации требований законов об интеграции в операционные системы API для проверки возраста, принятых в некоторых штатах США и в Бразилии. Добавленное поле сможет использоваться в развиваемом для дистрибутивов портале xdg-desktop-portal и сервисе AccountsService для выдачи приложениям сведений о возрастной категории пользователя через D-Bus интерфейс "org.freedesktop.AgeVerification1" или "org.freedesktop.ParentalControls".

Дополнительно можно отметить заявление проекта GrapheneOS, разрабатывающего защищённую свободную прошивку на базе Android, об отказе выполнять требования законов о верификации возраста. Указано, что GrapheneOS не будет требовать от пользователей передачи личной информации, идентификации или привязки к учётной записи. Сервисы и платформа будут предоставляться во всех странах без ограничений. Если в каких-то странах из-за отсутствия верификации возраста нельзя будет продавать устройства с GrapheneOS, то так тому и быть.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65058

Достаточно мощное расследование, доказывающее существование товарища майора внутри "мессенджера телега"

https://dontusetelega.lol/analysis

#Telega #Telegram #Privacy #Security

В Москве случился мем от РКН - "Я запрещаю вам срать".

#мем #ркн

Релиз фреймворка Qt 6.11

Основные изменения в Qt 6.11:

• Добавлен модуль Qt Canvas Painter, предоставляющий API для аппаратно ускоренной отрисовки 2D-контента, построенный с оглядкой на HTML-спецификацию Canvas 2D Context. Для отрисовки задействован движок RHI (Rendering Hardware Interface), поддерживающий различные 3D API (OpenGL, Vulkan, Metal и Direct 3D), благодаря чему удалось добиться существенного повышения производительности. В проведённых тестах Qt Canvas Painter оказался быстрее QPainter с бэкендом OpenGL в 2 раза на типовом ноутбуке Lenovo ThinkPad P16 Gen 2, в 5 раз на бюджетном Android-планшете Lenovo Tab M10 HD и в 10 раз на топовом Android-планшете Samsung Galaxy Tab S8.

  Помимо высокой производительности в Qt Canvas Painter реализована поддержка таких расширенных возможностей, как настраиваемое сглаживание (antialiasing), обрамляющие градиенты и тени (QCanvasBoxGradient и QCanvasBoxShadow наподобие CSS-свойства box-shadow), сетчатые шаблоны (QCanvasGridPattern), пользовательские шейдерные кисти и цветовые эффекты для изменения прозрачности, яркости, контраста и насыщенности.

  
• Функциональность модуля Qt Quick 3D приближена к возможностям игровых движков. Добавлена поддержка техники рендеринга SSGI (Screen Space Global Illumination) для симуляции отражения света от поверхностей на стадии пост-обработки (альтернатива запеканию карт освещения (lightmap)) и SSR (Screen Space Reflections) для реалистичной отрисовки отражений в реальном времени. Алгоритм сглаживания движущихся объектов улучшен за счёт генерации векторов движения для каждого объекта. Реализованы настраиваемые проходы рендеринга (render-pass), которые можно использовать напрямую из QML для масок слоёв, эффектов пост-обработки и определения объектов по цвету (color picking). Добавлены новые программные интерфейсы для слоёв и тегов, позволяющие управлять отдельными проходами рендеринга, включением элементов на разных этапах конвейера рендеринга (render pipeline) и перенаправлением в целевые буферы рендеринга.
• Расширены возможности модуля Qt Graphs. Добавлен тип CustomSeries, позволяющий создавать собственные графики, в которых за отрисовку каждого элемента данных отвечает заданный пользователем делегат. В 3D-графиках реализована поддержка нескольких экземпляров осей, например, в QBar3DSeries можно использовать отдельные оси для rowAxis, valueAxis и columnAxis, а в QScatter3DSeries и QSurface3DSeries - отдельные оси для axisX, axisY и axisZ. Добавлены новые свойства для переопределения цветов для отдельных осей, настройки градиентов на графиках, изменения стиля линий, позиционирования меток. Добавлен пример создания настраиваемых 2D- и 3D-графиков - Wind Turbine Dashboard.
• Добавлен экспериментальный модуль Qt TaskTree, предоставляющий декларативный подход для создания и выполнения асинхронных задач на C++. Ключевыми компонентами Qt TaskTree являются: "рецепты" - повторно используемые объекты, описывающие асинхронный рабочий процесс; "группы" - определяют политики для дочерних задач; "хранилище" для совместного использования данных между задачами; "итераторы" для циклов и повторного выполнения задач. Qt TaskTree также решает проблему несовместимости между API, унифицируя различные асинхронные API в типовой интерфейс.
• Расширены возможности для работы с анимированной векторной графикой, формируемой из изображений в форматах SVG и Lottie. Стабилизированы модуль Qt Quick VectorImage и инструмент lottietoqml. Добавлена поддержка морфинг-анимации, масок SVG, символов SVG и слоёв-масок (matte layer, для управления видимостью другого слоя).
• В Qt Quick Controls добавлен компонент DoubleSpinBox. В DialogButtonBox реализована возможность управления обработкой кнопок по умолчанию. В эффекте RectangularShadow появилось независимое управление радиусами углов.
• В Qt Widgets в QWizard добавлена опция StretchBanner; в QAbstractItemView реализован параметр keyboardSearchFlags для настройки поведения поиска по мере нажатия клавиш; в QColumnView добавлено свойство для управления видимостью предпросмотра.
• Добавлен модуль Qt OpenAPI, позволяющий сгенерировать код HTTP-клиента, использующего Qt Networks RESTful API, на основе спецификации OpenAPI в формате YAML.
• В модуль Qt GRPC добавлен механизм для управления потоком и содержимым запросов и ответов.
• В модуле Qt HTTP Server расширены средства управления лимитами и улучшена обработка ответов в рабочем потоке. В QNetworkRequest появилась возможность настройки параметров TCP Keep Alive (по умолчанию неактивные соединения автоматически завершаются через 2 минуты).
• В QML Language Server, применяемый для интеграции с IDE, добавлена информация о месте определения типа QML в коде C++ для упрощения навигации между QML и C++ из IDE - при работе с C++ кодом можно находить QML объекты по идентификаторам и легко обходить иерархию QML-контекстов.
• В дополнение к QRangeModel реализован класс QRangeModelAdapter, предоставляющий C++ API для изменения данных модели, взаимодействуя через протокол QAbstractItemModel, что упрощает передачу данных из кода бэкенда на C++ в Qt Quick или Qt Widget.
• Добавлена поддержка платформы Android 16. Реализована функциональность Google Play Feature Delivery для разделения приложения на пакеты (основной пакет устанавливается из Google Play сразу, а дополнительные подгружаются по мере необходимости). Для Android Automotive реализована поддержка запуска Qt без Android-зависимостей для быстрого старта отрисовки.

Дополнительно можно отметить опубликованный на днях релиз интегрированной среды разработки Qt Creator 19, предназначенной для создания кроссплатформенных приложений с использованием библиотеки Qt. Поддерживается как разработка классических программ на языке C++, так и использование языка QML, в котором для определения сценариев используется JavaScript, а структура и параметры элементов интерфейса задаются CSS-подобными блоками. Готовые сборки сформированы для Linux, Windows и maсOS.

Из новшеств выделяется режим minimap (Preferences > Text Editor > Display > Enable minimap), выводящий рядом с полосой прокрутки мини-эскиз всего содержимого, позволяющий разом охватить взглядом весь код. В состав встроен простой MCP-сервер для интеграции с AI-ассистентами, позволяющий открывать файлы и проекты, запускать сборку, производить отладку. Упрощена настройка сборки на внешних устройствах - добавлена кнопка Run Auto-Detection для автоматического определения версии Qt, компилятора, отладчика и CMake после регистрации устройства. Реализована поддержка прямого доступа к файловым системам подключённых устройств, Android-устройств и эмуляторов.

#photo #shine #aurora #dslr #сияние #video #timelaps #carcam #phonephotography

Микрофильм про охоту на Аврору.

https://youtu.be/wgLPeaJSWJw

Яйцо ангела (天使のたまご), 1985

Фильм считается примером авангарда в аниме, отличается сюрреалистичностью и поднимает экзистенциальные и религиозные темы, при этом диалоги в нём сведены к минимуму. В «Яйце ангела» присутствуют христианская, юнгианская и экзистенциальная символика, интерпретации затрагивают проблемы веры, утраты и поиска смысла, создатели не дают ответов и оставляют их на усмотрение зрителей.

Очень любопытная работа.
Но нужно иметь соотвествующий настрой, что бы час с небольшим впитывать тягучие визуальные образы.

(#чтопосмотреть #анимация)

Проекты Artix Linux и GhostBSD переходят с X.Org Server на XLibre

Ранее о планах по переходу на XLibre также объявил сопровождающий десктоп-ориентированного дистрибутива GhostBSD, построенного на базе FreeBSD. Следующий релиз GhostBSD 26.01 будет поставляться с XLibre вместо X.Org Server. В качестве причин замены упоминается заброшенный характер проекта X.Org и потеря надежды, что он когда-либо выйдет из стагнации на фоне переключения всех усилий Red Hat на внедрение Wayland и намерения прекратить поддержку X11 в GTK5.

По мнению сопровождающего GhostBSD, проекты MATE, Xfce и GNUstep, ещё не готовы к переходу на Wayland, а действия сопровождающих X.Org выглядят деструктивными и иррациональными из-за удаления изменений, созданных автором XLibre. Предполагается, что наилучшим решением в подобной ситуации станет переход на XLibre, который даст возможность повысить качество поддержки предлагаемых проектом сборок на основе MATE, Xfce и собственной среды рабочего стола Gershwin на базе GNUstep. Пакеты с XLibre уже поставляются в дереве портов GhostBSD, прошли тестирование и показали хороший уровень качества.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65052

Опубликован порт X.Org-драйвера Synaptics для окружений на базе Wayland

Таким образом пусть прохождения событий пользовательского ввода выглядит так: ядро -> evdev -> [synaptics -> waynaptics] -> uinput -> ядро -> evdev -> libinput -> wayland-композитор. В настройках композитного сервера для эмулируемой мыши следует отключить ускорение указателя, поскольку оно уже обрабатывается на стороне Synaptics. В качестве конфигурации используется предварительно сохранённый в файл вывод synclient с настройками из X11-сессии.

В качестве причины создания порта упоминается то, что за 11 лет с момента первого стабильного релиза libinput не достиг паритета с драйвером Snaptics по поддерживаемым возможностям и количеству настроек, а среды рабочего стола так и не научились предоставлять доступ даже к имеющимся настройкам.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65049

Компания Canonical опубликовала MicroCloud 3, инструментарий для развёртывания кластеров

MicroClouds позволяет создавать кластеры, насчитывающие от 3 до 50 узлов при включении обеспечения отказоустойчивости. Программный стек для управления кластером основан на инструментарии LXD, платформе для построения виртуальных сетей OVN (Open Virtual Network) и распределённом отказоустойчивом хранилище Ceph. Настройка LXD, Ceph и OVN на всех узлах кластера осуществляется автоматически. В качестве основной платформы рассматривается дистрибутив Ubuntu Server, но инструментарий не привязан к Ubuntu и может быть использован в любых дистрибутивах, для которых доступна возможность установки инструментария snap (Arch Linux, CentOS, Fedora, Debian, openSUSE, RHEL и т.п.).

Для определения новых серверов в сети, которые могут быть подключены к кластеру, используется mDNS, что позволяет настроить весь кластер запустив всего одну команду "microcloud init" на одном из узлов и команду "sudo microcloud join" на остальных узлах, предварительно установив snap-пакеты lxd, microceph, microcloud и microovn. После запуска команды "microcloud init" инструментарий определит наличие других серверов в локальной сети, выдаст запрос на добавление дисков в общее хранилище Ceph и предложит настроить параметры виртуальной сети. Для добавления дополнительных узлов после завершения инициализации можно использовать команду "microcloud add". Конфигурация кластера может быть сохранена в формате YAML для последующего развёртывания аналогичных систем.

Общее файловое хранилище создаётся с включением репликации и отказоустойчивости, позволяющих в случае выхода из строя отдельных узлов не потерять данные, благодаря хранению нескольких экземпляров данных на разных узлах. Для развёртывания хранилища на базе Ceph в кластере, помимо локальных дисков, на трёх разных компьютерах должны присутствовать как минимум три отдельных диска, отведённых для распределённого хранения данных.

После готовности кластера пользователям предоставляется возможность запуска своих приложений, используя контейнеры или виртуальные машины, а также возможность доступа к общему хранилищу Ceph и инструментарию централизованного управления на базе LXD. Возможно гибкое управление предоставляемыми ресурсами CPU, памяти и ввода/вывода, проброс в окружения USB-устройств, GPU и накопителей. Изолированные и виртуальные окружения могут переноситься между узлами в режиме live-миграции и сохраняться с использованием снапшотов. Метрики о работе кластера и лог событий могут экспортироваться для мониторинга при помощи Prometheus и Grafana.

В новой версии:

• Добавлена поддержка использования Cluster Manager для централизованного мониторинга и управления несколькими кластерами MicroCloud в одном приложении.
• После завершения интерактивной установки кластера командой "microcloud init" обеспечен вывод запроса, позволяющего формировать ссылку для временного доступа в управляющий web-интерфейс, что позволяет сразу перейти в web-интерфейс LXD, через который можно создавать и настраивать узлы, сети, пулы хранения, образы, группы полномочий и т.п. Временный вход действует 24 часа (предполагается, что этого времени хватит для настройки постоянного доступа).
• Добавлена экспериментальная поддержка MicroOVN 26.03 (Micro Open Virtual Network), набора фоновых процессов для Open vSwitch, транслирующих конфигурацию виртуальной сети в OpenFlow. В отличие от Open vSwitch в MicroOVN предоставляется более высокий уровень абстракций, работающий не с потоками, а с логическими маршрутизаторами и коммутаторами.

10-гигабитный маршрутизатор Turris Omnia NG Wired, использующий OpenWRT

Как в прошлой модели в новом маршрутизаторе используется бесшумное пассивное охлаждение и доступно три слота M.2, через которые можно подключить модуль Wi-Fi, NVMe-накопитель и 4G/5G модем. Также имеется цветной экран с разрешением 240 × 240, который может использоваться для вывода статистики, уведомлений и мониторинга. Аппаратная начинка (схемы) включает 4-ядерный CPU Qualcomm IPQ 9574 (ARMv8 Cortex A-73, 2.2 GHz), 2 ГБ ОЗУ, 8 ГБ eMMC, 2 порта 10 Gbps (SFP+), 4 × 2.5 Gbps (RJ45). 3 слота M.2 (PCI Express 3.0 2x) и 2 порта USB 3.0. Опционально возможно подключение модулей Wi-Fi 6 и Wi-Fi 7 для превращения устройства в беспроводную точку доступа.

В прошивке задействовано собственное ответвление от открытой платформы OpenWRT, поставляемое под именем Turris OS. Помимо использования для создания маршрутизатора и точки беспроводного доступа, устройство может применяться в качестве цифрового центра для дома и малых/средних предприятий, пригодного для развёртывания сетевых хранилищ (NAS, Network-Attached Storage), VPN, резервного копирования, создания сервера печати, запуска различных сетевых сервисов.

Имеется встроенная возможность запуска Linux-контейнеров при помощи инструментария LXC, в которых можно устанавливать произвольные дистрибутивы Linux и создавать виртуальные серверы, для пользователей выглядящие как отдельный компьютер, подключённый к локальной сети. На базе платформы Sentinel в прошивке реализован динамический межсетевой экран c элементами для обнаружения вторжений и отслеживания потоков трафика. Прошивка обновляется автоматически без необходимости выполнения каких-либо действий пользователем. Управление осуществляется через web-интерфейс или командную строку.

Доступен ELKS 0.9, вариант ядра Linux для старых 16-разрядных процессоров Intel

Помимо ядра Linux, адаптированного для 16-разрядных систем, проектом развивается набор стандартных утилит (ps, bc, tar, du, diff, netstat, mount, sed, xargs, grep, find, telnet, meminfo и т.п.), включая совместимый с bash командный интерпретатор, консольный оконный менеджер screen, текстовые редакторы Kilo и vi, графическое окружение на базе X-сервера Nano-X.

Предлагается два варианта сетевого стека - штатный TCP/IP стек ядра Linux и стек ktcp, работающий в пространстве пользователя. Из сетевых карт поддерживаются Ethernet-адаптеры, совместимые с NE2K и SMC. Также возможно создание каналов связи через последовательный порт при помощи SLIP и CSLIP. Из файловых систем поддерживаются Minix v1, FAT12, FAT16 и FAT32. Настройка процесса загрузки осуществляется через сценарий /etc/rc.d/rc.sys. Формат исполняемых файлов заимствован из ОС Minix.

В новом выпуске:

• Обеспечена интеграция с проектом, развивающим графическую оконную систему Microwindows (Nano-X), имеющую архитектуру клиент-сервер и пригодную для создания сред рабочего стола, а также для запуска эмулятора терминала, игр и графических приложений.
• На базе оконной системы Nano-X реализована новая среда рабочего стола NXDSKTOP, способная работать на старейших x86-системах, таких как IBM 5150/5160 (8 MHz) и Amstrad 1640, а также на более мощных ПК на базе CPU 286, 386 и 486 с VGA-виреокартами. Предоставляются типичные для пользовательских окружений графические компоненты, такие как интерфейс запуска приложений nxselect, диалоговые окна, меню приложений, просмотрщик изображений nxjpeg и текстовый редактор.
• Предоставлен инструментарий ELKS 8086 Toolchain, работающий поверх ELKS и включающий компилятор для языка Си C86, ассемблер, утилиту make и компоновщик для систем с процессорами 8086.
• Добавлена поддержка компилятора DeSmet C (DCC), основанного на инструментарии 1989 DeSmet.
• Добавлена поддержка работы в эмуляторах Bochs, PCem, copy.sh/v86, MartyPC, EMU86 и Swan, в дополнение к ранее поддерживаемым DOSBox-X и QEMU.
• Реализована поддержка игр Doom, Paint, Elksmoria, ttypong, tetris, invaders, advent, nxtetris, nxmine, nxworld, matrix и sl.
• Реализован драйвер Direct ATA и добавлена поддержка оборудования с XT-IDE. Для эмулятора v86 обеспечена поддержка мыши PS/2.
• Выполнено портирование на компьютеры NEC V25, Solo/86 и WonderSwan.
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=65046

Основан GNOME-X11, форк GNOME 50 с возвращённой поддержкой X11

Очень низкий серп луны (хотя видно и окружность). В костре сгорают какие-то прошлогодние цветы, пахнущие почему-то ладаном.

Говорят, это была то ли утечка, то ли протечка тока. Наведение, самовозбуждение, колебания и так далее. Когда техники не знают в чем дело, то богатством своего словаря не уступают консилиуму врачей, обсуждающих безнадежный случай.

Станислав Лем "Мир на земле"

(#федичитает #чтопочитать)

Любителям весенних букетов стоит быть осторожнее. А всё потому, что сбор подснежников, занесенных в Красную книгу, может привести не только к крупному штрафу, но и к реальному тюремному заключению. Об этом предупредил член комиссии Общественной палаты РФ по общественной экспертизе законопроектов и иных нормативных актов Евгений Машаров.

@Dolphin Meshtastic работает на протоколе LoRa, а это субгигагерцовые частоты, обычно 868 МГц. Это огромная дальность при прямой видимости, но мизерная пропускная способность — только текстовые пакеты и GPS-координаты. Wi-Fi — это широкая полоса и короткие дистанции.
Но в остальном, да, это ж не гражданская технология, конечно там нет военной защиты от помех вроде ППРЧ. Заглушить узкий ISM-диапазон широкополосным генератором шума для РЭБ эт задача для школьника. Мэджик бокс потухнет сразу.
Если юзеры не поменяли дефолтный канал LongFast, то да, их пакеты читают вообще все вокруг. Но если они создали приватный канал, то трафик шифруется AES-256. Прочесть текст без ключа не выйдет, однако метаданные остаются видны.
А вот сценарий 'приведут толпу к товарищу майору' — абсолютно реалистичная хрень. В Meshtastic нет строгой криптографической аутентификации каждого отдельного пользователя внутри группы. Если у одного из участников конфискуют ноду или просто вытащат из неё ключи канала, тогда кто угодно сможет писать в зашифрованный чат, и сообщения будут выглядеть как легитимные.
Всё же это шикарная гиковская игрушка, связь для походов в лес, резервный канал на случай падения провайдера или способ поболтать с мужем без интернета, ящтаю, это крутая тема. Но пропихивать это массам как secure-инструмент для координации под носом у силовиков — это действительно опасная хренотень.

Опубликован легковесный дистрибутив antiX 26

В новом выпуске осуществлён переход на пакетную базу Debian 13 (ранее использовался Debian 12). Для использования доступны 5 систем инициализации: runit (по умолчанию), sysVinit, dinit, s6-rc и s6-66. В полной сборке предложено ядро Linux 6.6 (было 6.1), а в остальных сборках 5.10.224.

Состав:

• Пользовательское окружение по умолчанию построено на основе оконного менеджера IceWM и файлового менеджера zzzFM.
• Мультимедийный сервер pipewire и менеджер звуковых сеансов WirePlumber в полных редакциях (в остальных редакциях ALSA).
• Воспроизведение звука: xmms.
• Просмотр видео: celluloid, mpv и Xine.
• Просмотр изображений: mirage.
• Прослушивание интернет-радио: streamtuner2.
• Ведение заметок: cherrytree.
• Просмотр YouTube: gtk-pipe-viewer.
• Просмотр PDF-документов: evince.
• Навигация по приложениям: App Select.
• Файловые менеджеры: zzzFM, rox-filer, mc.
• Конвертация звука и видео: winff и asunder.
• Настройка сети: connman, gnome-ppp и ceni.
• Текстовые редакторы: geany, leafpad.
• Инструменты для ремастеринга и создания снимков установленной системы: iso-snapshot и remaster.
• Резервное копирование: luckybackup.
• Работа с электронной почтой: Claws Mail.
• Сканирование документов: simple-scan и Xsane.
• Загрузка торрентов: transmission-gtk.
• Настройка: antiX Control Centre.
• Разное: bootrepair, Package Installer, Network Assistant, User Manager, ddm-mx (установщик драйверов NVIDIA).
• Консольные приложения: редакторы nano и vim-tiny, RSS-ридер newsboat, чат irssi, аудиоплеер mocp, радио pmrp, видеоплеер mpv, загрузчик YouTube pipe-viewer, торрент rtorrent.

Выпуск системы инициализации SysVinit 3.16

В новой версии SysVinit расширены возможности скрипта sysd2v, предназначенного для преобразования unit-файлов systemd в sysv-скрипты. Удалён неиспользуемый код из sulogin. Удалены некоторые отладочные сообщения при чтении содержимого каталога /etc/inittab.d/ и документированы особенности чтения /etc/inittab.d/ в man-руководстве inittab. Проведена чистка man-страниц inittab и init.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65041

Выпуск Cambalache 1.0, инструмента для разработки GTK-интерфейсов

В отличие от Glade в Cambalache предоставляется поддержка ведения нескольких интерфейсов пользователя в одном проекте. Cambalache не зависит от GtkBuilder и GObject, но предоставляет модель данных, соответствующую системе типов GObject. Поддерживается редактирование, визуализация и создание GTK-стилей в формате CSS, редактирование XML-файлов с ресурсами GResources, создание шаблонов и виджетов, использование XML-файлов GtkBuilder и разметки Blueprint.

Модель данных может импортировать и экспортировать разом несколько интерфейсов, поддерживает объекты, свойства и сигналы GtkBuilder, предоставляет стек отката операций (Undo / Redo) и возможность сжатия истории команд. Для генерации модели данных из gir-файлов предоставляется утилита cambalache-db, а для генерации классов GObject из таблиц модели данных - утилита db-codegen.

Интерфейс может генерироваться на базе GTK 3 и GTK 4, в зависимости от определённой в проекте версии. Для обеспечения поддержки разных веток GTK формирование рабочей области осуществляется в отдельном процессе с привлечением виджета Casilda, позволяющего встраивать в GTK4-приложения окна других процессов и реализованного в форме специализированного композитного сервера, использующего протокол Wayland и библиотеку wlroots.

Выпуск GNU Autoconf 2.73

Уже не один человек пишет, мол, зиму ненавижу, ждал весны, но как вспомню быдлотуристов или все эти базы отдыха, которые захватывают и перекрывают всё вокруг, так лучше зима и морозы.

Довели страну, конечно, что на крошечных доступных для жилья и отдыха островках не протолкнуться, а большая часть земли умирает и захиревает.

Выпуск стандартной Си-библиотеки Musl 1.2.6

Основные изменения:

• Реализована функция posix_getdents, появившаяся в стандарте POSIX-2024. Функция читает содержимое каталога, связанного с открытым файловым дескриптором и помещает информацию о подкаталогах и файлах в структуры posix_dent с возможностью ограничения максимального размера.
• Добавлена специфичная для Linux функция renameat2, предоставляющая средства для атомарной замены имён двух файлов (первый файл переименовывается во второй, а второй в первый). От renameat новая функция отличается наличием дополнительного флагового поля - без выставления флага поведение renameat2 полностью аналогично renameat, а при указании флага RENAME_NOREPLACE операция переименования не приводит к замене уже существующего файла.
• Для систем Loongarch64 добавлена поддержка механизма TLSDESC (Thread-Local Storage Descriptor) для эффективного доступа к переменным в локальном хранилище потока.
• При помощи vDSO оптимизирована работы функции clock_gettime на архитектурах riscv32, riscv64, powerpc, powerpc64 и s390x. vDSO (virtual dynamic shared object) позволяет перенести обработчик системного вызова из ядра в пространство пользователя и избежать переключений контекста.
• Для определения возможностей CPU в runtime компиляторов, символ __getauxval переведён в публичный ABI.
• Устранена уязвимость (CVE-2025-26519), приводящая к переполнению буфера при преобразовании специально оформленного текста из кодировки EUC-KR в UTF-8 при помощи функции iconv(). Уязвимость выявлена более года назад и до релиза устранялась через установку патча.
• Решены проблемы с совместимостью в функциях initgroups, getusershell, exit, atexit, strerror, isatty, hasmntopt и vdso, а также в заголовочных файлах sched.h и shadow.h.
• Улучшено соответствие спецификациям в функциях pwrite (решена проблема с O_APPEND), mbnrtowcs (учтены требования POSIX-2024), strptim (учтены требования POSIX-2024e), inet_ntop (обеспечено соответствие RFC 5952).

В AlmaLinux появилась поддержка архитектуры RISC-V

Выпуск Wine 11.5 и Wine-staging 11.5

Наиболее важные изменения:

• В сборочной системе добавлена поддержка сборки кода на языке C++. В скрипт configure добавлена возможность проверки наличия компилятора, поддерживающего C++17. В состав включены заголовочные файлы для C++, а также библиотеки libc++, libunwind и libc++abi, импортированные из LLVM 8.0.1.
• В ntdll для платформы Linux реализована поддержка эмуляции системных вызовов, используя механизм ядра Linux "Syscall User Dispatch", позволяющий использовать в ptrace операции PTRACE_GET_SYSCALL_USER_DISPATCH и PTRACE_SET_SYSCALL_USER_DISPATCH, дающие возможность одному процессу управлять настройками диспетчеризации системных вызовов в другом процессе.
• В основной состав встроены ICU-библиотеки icucommon и icui18, соответствующие версии MS-ICU 72.1.0.3 (International Components for Unicode).
• Добавлена порция исправлений для улучшения совместимости с VBScript.
• Закрыты отчёты об ошибках, связанные с работой приложений: Axon MultiClamp Commander 700B, Evernote, PCG Tools, Clip Studio Paint, Sony Home Memories, Swift, VOCALOID6.
• Закрыты отчёты об ошибках, связанные с работой игр: Detroit: Become Human, Red Dead Redemption 2, Arknights: Endfield.

Одновременно сформирован выпуск проекта Wine Staging 11.5, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 228 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.5 и обновлён код vkd3d. В основной состав Wine перенесены патчи с поддержкой эмуляции системных вызовов x86_64 в ntdll. В windows.web добавлена поддержка парсинга массивов и объектов JSON. В windows.ui реализован интерфейс IRadialControllerInterop.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65035

Опубликован Fedora Asahi Remix 43, дистрибутив для ARM-чипов Apple

В Fedora Asahi Remix обеспечена возможность работы на системах Apple Mac, оснащённых ARM-чипами серии Apple Silicon - M1, M2, M3 и M4, применяемых в устройствах Mac Mini, MacBook Air и Mac Pro. На устройствах с чипами M1 и M2 полностью поддерживается: звуковая подсистема компьютеров Apple, камера, Wi-Fi, Bluetooth, устройства ввода, USB Type C (USB 3.0) и беспроводная зарядка MagSafe. Пока не поддерживается: подключение экрана через USB-C, Thunderbolt/USB4, микрофон и Touch ID.

В качестве основного пользовательского окружения поставляется KDE Plasma 6.6, но опционально доступна редакция с GNOME 49, а также версия для серверов и минималистичная сборка. В редакциях с KDE и GNOME используется Wayland, а для запуска X11-приложений применяется DDX-сервер XWayland. В графических драйверах поддерживается OpenGL 4.6, OpenGL ES 3.2 и Vulkan 1.4 (в родных графических драйверах для чипов M1 от компании Apple реализована только спецификация OpenGL 4.1).

Для запуска в отдельных виртуальных машинах приложений, собранных для систем x86_64, предоставляется инструментарий muvm и слой эмуляции на базе пакета FEX. При эмуляции поддерживается проброс GPU и использование Wine с прослойками DXVK и vkd3d-proton для выполнения компьютерных игр, собранных для архитектуры x86_64 и распространяемых через каталог Steam.

Кроме изменений, свойственных выпуску Fedora Linux 43, таких как переход на пакетный менеджер RPM 6 и задействование нового бэкенда DNF5 для PackageKit, отмечается добавление поддержки Mac Pro, микрофона в MacBook M2 Pro/Max и частоты обновления экрана 120Hz в моделях MacBook Pro 14/16.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65034

В ReactOS обеспечена совместимость с проприетарными видеодрайверами

Среди прочего, продемонстрирована работа ReactOS на реальном оборудовании и загрузка с установленными драйверами для видеокарт уровня Intel GMA 945, NVIDIA GeForce 8800 GTS и GTX 750 Ti и AMD Radeon HD 7530G. Отдельно отмечается успешный запуск на мобильной графике, например NVIDIA Quadro 1000M, где помимо 2D/3D-ускорения также функционируют звук и сетевые подключения. В дополнительных тестах также подтверждена работа на более редких и устаревших конфигурациях, включая ноутбук с Radeon Xpress 1100, а также на высокопроизводительных видеокартах, таких как NVIDIA GTX Titan X.

Особую роль сыграл принятый в основную ветку проекта патч для подсистемы управления памятью, который повысил стабильность работы драйверов и снизил количество сбоев при инициализации графических адаптеров.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65032

Три четверти книг, которые я сейчас читаю, такие:

Вылезли подснежники и коты.

Linux Foundation распределит $12.5 млн на поддержание безопасности открытого ПО

Распределением средств займутся проект Alpha-Omega и организация OpenSSF, созданные под эгидой Linux Foundation для работы в таких областях, как аудит и тестирование безопасности открытого ПО, скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки и выявление связанных с безопасностью угроз в открытом ПО.

Выделяемые средства предоставят сопровождающим дополнительные ресурсы в условиях усложнения процесса обеспечения безопасности, ускорения выявления уязвимостей и увеличения потока сообщений о новых уявзимостях, вызванных применением активно развивающихся AI-инструментов. Последнее время сопровождающие сталкиваются с наплывом сообщений об уязвимостях, многие из которых сгенерированы автоматически, не имея при этом должных ресурсов и инструментов для эффективного разбора и устранения подобных проблем.

Alpha-Omega и OpenSSF будут напрямую работать с сообществами и разработчиками, вовлечёнными в сопровождение открытых проектов, для разработки новых инструментов в области безопасности, сочетающихися с существующими рабочими процессами в открытом ПО. Инициатива также позволит сформировать стратегии, которые помогут сопровождающим справляться с увеличивающимися требованиями к безопасности и повысить общую устойчивость экосистемы открытого ПО.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65007

Внезапно, Openai купили Astral, которые делают ruff, uv и ty: https://astral.sh/blog/openai

Опубликована децентрализованная платформа совместной разработки Radicle 1.7

Radicle позволяет не зависеть при разработке и распространении кода от централизованных платформ и корпораций, привязка к которым вносит дополнительные риски (единая точка отказа, компания может закрыться или изменить условия работы). Для управления кодом в Radicle используется привычный Git, расширенный средствами определения репозиториев в P2P-сети. Все данные в первую очередь сохраняются локально (концепция local-first) и всегда доступны на компьютере разработчика, независимо от состояния сетевого подключения.

Участники предоставляют доступ к своему коду и связанным с кодом артефактам, таким как патчи и обсуждения исправления ошибок (issues), которые сохраняются локально и реплицируются на узлы других заинтересованных разработчиков, подключённые к общей децентрализованной P2P-сети. В итоге формируется глобальный децентрализованный Git-репозиторий, данные которого реплицированы и продублированы на разных системах участников.

Для определения соседних узлов в P2P-сети применяется протокол Gossip, а для репликации данных между узлами протокол Heartwood, основанный на Git. Так как протокол основан на Git, платформу легко интегрировать с существующими инструментами для разработки на Git. Для идентификации узлов и верификации репозиториев используется криптография на основе открытых ключей, без применения учётных записей. Аутентификация и авторизация осуществляется на основе открытых ключей без централизованных удостоверяющих серверов.

Каждый репозиторий в P2P-сети имеет свой уникальный идентификатор и самосертифицирован (self-certifying), т.е. все действия в репозитории, такие как добавление коммитов и оставление комментариев к issue, заверяются владельцем цифровой подписью, позволяющей убедиться в корректности данных на других узлах без использования централизованных удостоверяющих центров. Для получения доступа к репозиторию достаточно, чтобы в online находился хотя бы один узел, на котором имеется его реплицированная копия.

Узлы в P2P-сети могут подписываться на определённые репозитории и получать обновления. Возможно создание приватных репозиториев, доступных только определённым узлам. Для управления и владения репозиторием используется концепция "делегатов" (delegates). Делегатом может быть как отдельный пользователь так и бот или группа, привязанные к специальному идентификатору. Делегаты могут принимать в репозиторий патчи, закрывать issue и задавать права доступа к репозиторию. К каждому репозиторию может быть привязано несколько делегатов.

Radicle-репозитории хранятся на системах пользователей в виде обычных git-репозиториев, в которых присутствуют дополнительные пространства имён для хранения данных пиров и форков, с которыми осуществляется текущая работа. Обсуждения, предлагаемые патчи и компоненты для организации рецензирования тоже сохраняются в git-репозитории в виде совместных объектов (COB - Collaborative Objects) и реплицируются между пирами.

В новом выпуске:

• Переработана реализация подписанных ссылок (sigrefs - Signed References), в которой появилась защита от повторного использования подписей. Старая структура репозитория позволяла подменить код на его старую версию, повторно использовав старую корректную подпись. Для блокирования проблемы в новой реализации добавлен указатель на предыдущую запись, охватываемый текущей подписью, что формируют непрерывную цепочку изменений, целостность которой можно отследить относительно корня.
• Расширены возможности блокировки узлов, которые теперь блокируются на уровне управления соединениями. Если раньше блокировался только приём данных, не не ограничивалось подключение узла, то теперь блокировка применяется на этапе установки соединения с заблокированным узлом и при приёме соединения от заблокированного узла.
• Разрешено использовать любые ссылки на внешние объекты Git, кроме временных веток. Раньше разрешались только ссылки на внешние ветки, теги, метаданные Radicle, заметки и объекты для совместной работы.
• Повышена информативность сообщений об ошибках, возникающих при попытке выполнения выполнения операций, для которых у пользователя недостаточно прав.
• Повышена эффективность ввода/вывода. Разработчики обнаружили, что на долго запущенных узлах сочетание настроек "journal_mode = WAL" и "synchronous = FULL" в БД SQLite, применяемой для хранения локального состояния, приводит к большому объёму операций ввода/вывода. Для снижения нагрузки по умолчанию параметр "synchronous" выставлен в значение "NORMAL", а в файл конфигурации Radicle добавлены настройки для изменения значения данных параметров пользователем.
• Устранена уязвимость, информация о которой будет раскрыта 23 марта. В настоящее время сообщается лишь то, что команда разработчиков выполнила сканирование всех публично доступных репозиториев Radicle и не выявила следов эксплуатации данной проблемы.

Pledge changes in 7.9-beta

David Leadbeater (dgl@) posted to ports@ a message, entitled Pledge changes in 7.9-beta, which explains the consequences for porters of the recent pledge(2)/unveil(2) changes in -current (and, to some extent, 7.8). Whilst targeted at porters, it provides a good overview for anyone interested in the changes.

The message reads:

Read more…

Google анонсировал новый процесс установки сторонних приложений в Android

Алгоритм установки вручную загруженных пакетов сведётся к следующим действиям:

• Включение в настройках режима для разработчика - необходимо коснуться 7 раз области с номером сборки на странице About Phone, после чего в настройках появится секция с опциями для разработчиков, в которой нужно выбрать "Allow Unverified Packages". Данный шаг позволит исключить случайную установку и усложнит практикуемые мошенниками методы быстрой установки отправленных пользователю вредоносных пакетов.
• Подтверждение, что пользователь осознаёт риски и действует по своей инициативе, а не следует советам и уговорам посторонних.
• Перезагрузка смартфона и введение своего кода разблокировки экрана. Данный шаг помешает удалённо управлять процессом установки и не позволит неразрывно контролировать действия пользователя по телефону.
• Возможность установки вручную загруженного пакета будет активирована через 24 часа, что даст пользователю время на осознание ситуации, если он находится по влиянием мошенников. Через 24 часа пользователь должен повторно зайти в настройки и подтвердить, что он сознательно активировал режим для установки сторонний пакетов, используя PIN-код или биометрическую аутентификацию.
• После подтверждения на выбор предлагается две опции: бессрочная возможность установки приложений от неподтверждённых разработчиков или разрешение, действующее только 7 дней (после истечения 7 дней процесс подтверждения потребуется повторить).
• При каждой установке неверифицированного приложения пользователю будет показано предупреждение об имеющихся рисках, с которым нужно согласится, нажав кнопку "Install Anyway".

Помимо нового метода сохранится и ранее доступная возможность установки приложений при помощи утилиты "adb" (Android Debug Bridge), требующая подключения устройства к внешнему компьютеру и включения режима разработчика. Также будет предоставлена возможность регистрации бесплатного типа учётных записей для энтузиастов и студентов, работающая без подтверждения личности, но требующая регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено.

Напомним, что Google переходит к использованию на сертифицированных Android-устройствах зарегистрированных приложений от верифицированных разработчиков. Для верификации разработчик должен платно (25 долларов) зарегистрироваться в сервисе Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для организаций потребуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS). После регистрации разработчик должен добавить свои приложения и подтвердить, что он является их автором, предоставив полные имена пакетов и ключи для цифровых подписей. Верификация станет обязательной в Бразилии, Индонезии, Сингапуре и Таиланде в сентябре 2026 года и будет распространена на остальные страны в 2027 году.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65029

Предварительный выпуск дистрибутива для игровых консолей SteamOS 3.8.0

Платформа основана на Arch Linux, использует для ускорения запуска игр композитный сервер Gamescope на базе протокола Wayland, поставляется с доступной только на чтение корневой ФС, применяет атомарный механизм установки обновлений, поддерживает пакеты Flatpak, использует мультимедийный сервер PipeWire и предоставляет два режима работы интерфейса (оболочка Steam и рабочий стол KDE Plasma).

Среди изменений:

• Среда рабочего стола обновлена до выпуска KDE Plasma 6.4 (ранее была ветка 6.2) с использованием по умолчанию протокола Wayland (поддержку X11 можно вернуть через steamosctl).
• Добавлена начальная поддержка игровой приставки Steam Machine.
• Добавлена возможность указания в настройках пароля для десктоп-сеанса.
• Реализована начальная поддержка запуска виртуальных машин с использованием драйверов virtio.
• Предоставлена возможность использования планировщика задач LAVD (Latency-criticality Aware Virtual Deadline), который включается через "steamosctl set-cpu-scheduler lavd". LAVD учитывает актуальность снижения задержек для конкретных задач и использует информацию о ходе выполнения процессов при принятии решений о распределении ресурсов CPU.
• Осуществлена синхронизация с пакетной базой Arch Linux. Ядро Linux обновлено до версии 6.16. Задействованы свежие версии графических драйверов.
• В игровом режиме (Game Mode) улучшена поддержка создания скринкастов.
• Улучшена поддержка механизма VRR (Variable Refresh Rate), адаптивно меняющего частоту обновления монитора для плавности и отсутствия разрывов во время игр и показа видео.
• Улучшена поддержка игр, пытающихся открывать PDF-файлы во внешних просмотрщиках.
• Улучшена поддержка некоторых игровых рулей с интерфейсом USB, а также комбинированных USB-устройств (например, накопитель + модем).
• При использовании HDMI для вывода звука добавлена поддержка сведений о звуковых каналах и конфигурации динамиков.
• Добавлена настройка для использования микрофона из Bluetooth-гарнитур.
• Улучшена поддержка поворотных мониторов.
• Улучшено масштабирование при выводе на телевизор.
• Добавлена поддержка внешних HDR-экранов и дисплеев с VRR.
• Предоставлена возможность раздельного выбора уровня масштабирования для разных экранов.
• Параметры раскладки клавиатуры и языка синхронизированы между десктопом и игровым режимом.
• Добавлена начальная поддержка спящего режима c сохранением памяти на диск (hibernation).
• Улучшена совместимость с новыми платформами Intel и AMD.
• Значительно расширены возможности управления видеопамятью для дискретных видеокарт.
• Добавлена поддержка игровых контроллеров для приставок OneXPlayer X1 и Lenovo Legion Go 2.
• Улучшена поддержка игровых контроллеров для приставок ASUS ROG Xbox Allym, OneXPlayer F1, GPD Win 5, GPD Win Mini, Anbernic Win600, OrangePi NEO и Lenovo Legion Go.
• Добавлена начальная возможность ограничения уровня заряда для устройств Legion Go, Legion Go S и Legion Go 2.

Обновление OpenWrt 24.10.6 и 25.12.1

Среди изменений:

• Добавлена поддержка устройств Devolo Magic 2 WiFi next, MeshPoint.One, MeshPoint.One и Cudy M3000 с Motorcomm YT8821 PHY.
• Внесены исправления, связанные с работой платформ airoha (EN7581 PCIe), ath79 (TP-Link RE355 v1, RE450 v1/v2), ipq806x (AP3935), lantiq, mediatek (TP-Link BE450), microchipsw (Novarq Tactical 1000), ramips (Keenetic KN-1910), realtek (RTL838x), treewide (Linksys).
• В драйвер mt76 добавлена поддержка прошивок для контроллера MT7990, используемого в новом чипсете MediaTek WiFi 7.
• В качестве приоритетного задействован пакет firewall4. В пакете firewall задействована по умолчанию реализация iptables на базе nftables (iptables-nft, ip6tables-nft).
• Пакетный менеджер apk обновлён до версии 3.0.5. Добавлена опция "--force-reinstall" для переустановки уже установленных пакетов без проверки изменения их версии.
• Обновлены версии ядра Linux 6.12.74, jsonfilter 2026-03-16, libubox 2026-03-13, odhcpd, omcproxy 2026-03-07, procd 2026-03-14, umdns 2026-02-06 и ustream-ssl 2026-03-01.
• Устранены уязвимости: два переполнения буфера в umdns (CVE-2026-30871, CVE-2026-30872), возникающие при обработке DNS-запросов (PTR и определение адреса IPv6); утечка содержимого памяти в jsonpath (CVE-2026-30873); организация выполнения команд через манипуляцию с переменной окружения PATH в procd (CVE-2026-30874); межсайтовый скрпитинг в web-интерфейсе LuCI; переполнения буфера в odhcpd и procd; обращение к памяти после её освобождения в ustream-ssl (вариант OpenSSL).

Одновременно сформировано обновление прошлой ветки OpenWrt 24.10.6, в котором устранены уязвимости в компонентах umdns, jsonpath, LuCI и procd, а также исправлены накопившиеся ошибки, связанные с поддержкой оборудования в платформах mediatek, airoha, ath79, imx, ipq40xx, lantiq, mt7620, ramips и realtek. Обновлены версии ядра Linux 6.6.127, openssl 3.0.19, procd 2026-03-14, umdns 2026-02-06 и wireless-regdb 2026.02.04. Ветка OpenWrt 24.10 будет поддерживаться до сентября 2026 года.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65027

Введён в строй AI-сервис Sashiko для рецензирования изменений в ядре Linux

Проект уже некоторое время используется в компании Google для выявления проблем, а теперь стал доступен для всех и настроен для автоматического рецензирования всех патчей, отправляемых в список рассылки разработчиков ядра Linux. Код Sashiko написан на языке Rust и открыт под лицензией Apache 2.0. Система самодостаточна и может использоваться на собственном оборудовании.

Sashiko был разработан для работы с моделью Google Gemini Pro 3.1, но частично протестирован с Claude и, вероятно, будет работать с другими современными большими языковыми моделями. Использованные для рецензнирования промпты основаны на наборе review-prompts, подготовленном Крисом Мейсоном (Chris Mason), создателем файловой системы Btrfs. Бюджет токенов и инфраструктуру Sashiko финансирует Google. Права на проект переданы организации Linux Foundation.

Судя по проведённым тестам, при использовании модели Gemini 3.1 Pro инструментарий Sashiko смог обнаружить 53% ошибок из не отфильтрованного набора, включающего 1000 недавних проблем в ядре, отмеченных тегами "Fixes:". На первый взгляд 53% выглядит не слишком впечатляющим, но следует иметь в виду, что все из выявленных проблем вначале не были замечены при рецензировании людьми.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65022

Состоялся релиз браузера Vivaldi 7.9 для десктопов

Проект ставит своей задачей создание настраиваемого и функционального браузера, сохраняющего приватность данных пользователей. В число основных функций входит блокировщик слежки и рекламы, менеджеры заметок, истории и закладок, приватный режим просмотра, синхронизация, защищённая сквозным шифрованием, режим группировки вкладок, боковая панель, конфигуратор с большим числом настроек, режим горизонтального отображения вкладок, а также встроенный почтовый клиент, RSS-ридер и календарь.

В новой версии представлены следующие улучшения:

• Автоскрытие интерфейса - функция позволяет автоматически скрывать все элементы интерфейса при просмотре страниц, включая панель вкладок, адресную панель, боковую панель и панель состояния, как по отдельности, так и всех сразу. Среди прочего, функция доступна и в полноэкранном режиме просмотра.
• Парные вкладки - позволяют работать в основной вкладке и открывать все ссылки с этой страницы в парной вкладке, размещённой рядом с основной в одном окне.
• Отдельное окно для создания писем - возможность откреплять окно создания сообщений, позволяя размещать его там, где удобно пользователю, включая второй дисплей. Одновременно была проведена оптимизация работы со списками рассылки.

Доступен Wayland 1.25

Основные изменения в протоколе:

• Документация преобразована из формата DocBook в mdBook (Markdown).
• Полностью документированы диалект Wayland XML, модель обновления контента и возможности для управления цветом.
• Добавлен новый атрибут "frozen" для интерфейсов с несколькими родительскими интерфейсами.
• Добавлен новый запрос wl_surface.get_release для получения уведомления о высвобождении буфера, прикреплённого клиентом через wl_surface.attach. В отличие от wl_buffer.release в wl_surface.get_release уведомление привязано к конкретному моменту отрисовки.
• Добавлена функция wl_display_dispatch_pending_single(), позволяющая достать из очереди событий и обработать только одно событие, а не все накопившиеся события, как это делает wl_display_dispatch_pending().
• Обеспечено выделение цветами отладочного вывода WAYLAND_DEBUG.

Добавленные c момента выпуска Wayland 1.25 расширения протоколов, дополняющих базовый протокол Wayland и поставляемых в отдельном наборе Wayland-Protocols:

• xx-input-method - позволяет приложениям реализовывать методы ввода текста для композитных серверов и формировать введённый текст, что может применяться, например, для создания виртуальных клавиатур и IME-прослоек (Input Method Editor) для обработки ввода.
• xx-text-input - позволяет композитным серверам реализовывать методы ввода и отправлять текст в приложения. Протокол стандартизирует взаимодействие между композитным сервером и приложениями, и позволяет управлять такими возможностями, как передача вводимого текста, обработка событий об изменении фокуса ввода и учёт специфики полей ввода (язык, выделение текста, тип контента).
• Доработаны протоколы color-management-v1 и color-representation-v1, предоставляющие возможности для управления цветом, поддержки HDR и определения цветового представления Wayland-поверхности.

Наиболее заметные события, связанные с Wayland и произошедшие с момента публикации прошлого выпуска:

• В GNOME 50 удалена поддержка X11. В KDE Plasma 6.8 решено прекратить поддержку X11.
• JetBrains переводит IDE IntelliJ на использование Wayland по умолчанию.
• Xfce анонсировал композитный сервер Xfwl4, использующий Wayland.
• Среда рабочего стола Budgie 10.10 переведена на Wayland.
• QNX Developer Desktop на основе Wayland.
• Marathon OS - мобильная ОС на базе Wayland.
• Выпуск Wayback, прослойки для запуска рабочих столов X11, используя компоненты Wayland.
• Обновление композитных серверов: Weston 15.0, River 0.4.0, Hyprland 0.54, labwc 0.9.4, Niri 25.11, miracle-wm 0.8, Wayfire 0.10, wlmaker 0.6, labwc 0.9.0.

Напомним, что Wayland представляет собой протокол взаимодействия композитного сервера и работающих с ним приложений. Клиенты самостоятельно выполняют отрисовку своих окон в отдельном буфере, передавая информацию об обновлениях композитному серверу, который комбинирует содержимое буферов отдельных приложений для формирования итогового вывода с учётом возможных нюансов, таких как перекрытие окон и прозрачность. Иными словами, композитный сервер не предоставляет API для отрисовки отдельных элементов, а оперирует только с уже сформированными окнами, что позволяет избавиться от двойной буферизации при использовании высокоуровневых библиотек, таких как GTK и Qt, берущих на себя работу по компоновке содержимого окон.

Wayland решает многие проблемы с безопасностью X11, так как в отличие от последнего изолирует ввод и вывод для каждого окна, не позволяет клиенту получить доступ к содержимому окон других клиентов, а также не допускает перехват связанных с другими окнами событий ввода. Поддержка прямой работы c Wayland реализована для большинства применяемых в Linux графических библиотек, включая GTK, Qt, SDL, FLTK, wxWidgets, Clutter и EFL (Enlightenment Foundation Library).

Взаимодействие с аппаратным обеспечением в Wayland/Weston, например, проведение инициализации, переключение видеорежимов (drm modesetting) и управление памятью (GEM для i915 и TTM для radeon и nouveau) графических карт, может производиться напрямую через модуль, работающий на уровне ядра, что позволяет обойтись без привилегий суперпользователя. Для обеспечения выполнения обычных X11-приложений в окружении на базе Wayland используется DDX-компонент XWayland (Device-Dependent X), похожий по организации работы на Xwin и Xquartz для платформ Win32 и macOS.

Доступен системный менеджер systemd 260

Среди изменений в новом выпуске:

• Прекращена поддержка скриптов сервисов в формате System V и прекращена поставка компонентов rc-local.service, systemd-sysv-install, systemd-rc-local-generator и systemd-sysv-generator.
• Реализован механизм "mstack" (Mount Stack), позволяющий использовать каталоги с суффиксом ".mstack/" для формирования составной иерархии каталогов, образуемой через последовательное монтирование и наложение дисковых образов и частей ФС при помощи OverlayFS и "mount --bind". Добавлены команда systemd-mstack, опция "--mstack" в systemd-nspawn и параметр RootMStack в unit-ы, которые могут использоваться для монтирования и отмонтирования разом всех элементов, определённых в конфигурации ".mstack", например, для быстрого воссоздания образа контейнера или рабочего окружения сервиса. Каждый файл или подкаталог в ".mstack/" определяет один уровень монтирования или слой "overlayfs".

  Например, следующая конфигурация "foobar.mstack/" определяет overlayfs с двумя слоями в режиме только для чтения из дисковых образов base.raw и app.raw (указаны как символические ссылки), и каталогом "rw" с возможностью записи поверх них:

      foobar.mstack/layer@0.raw → ../base.raw
      foobar.mstack/layer@1.raw → ../app.raw
      foobar.mstack/rw/
  

• Реализованы фреймворки "metrics" и "report", которые могут использоваться системными компонентами для вывода статистики через Varlink в каталоге /run/systemd/report/. Добавлена утилита systemd-report, формирующая сводный отчёт, объединяющий статистику от всех компонентов, и выводящая его в формате JSON. В настоящее время метрики предоставляют только сервисный менеджер и systemd-networkd.
• В systemd-networkd обеспечена интеграция с ModemManager и добавлена секция "[MobileNetwork]" с настройками APN, AllowedAuthenticationMechanisms, User, Password, IPFamily, AllowRoaming, PIN, OperatorId, RouteMetric и UseGateway, позволяющими использовать systemd-networkd для подключения через модем к сотовым операторам.
• Предоставлена возможность запуска systemd-portabled как пользовательского сервиса, запускаемого непривилегированным пользователем. Для выбора типа сервиса в утилиту portablectl добавлены флаги "--user" и "--system". Переносимые сервисы ("Portable Services") представляют собой системные сервисы, оформленные в виде самодостаточных контейнеров (поставляется в виде системного образа, но обрабатывается как обычный сервис).
• В systemd-logind и systemd-udevd добавлена поддержка концепции "xaccess" (Extended Access), позволяющей в графическом сеансе предоставить доступ к GPU для пользователей с удалённым доступом, которые физически не пользуются монитором и устройствами ввода на локальной системе (по аналогии с доступом uaccess, охватывающим физически работающих с компьютером пользователей). Для настройки сеансов в этом случае предлагается через PAM выставлять переменную окружения XDG_SESSION_EXTRA_DEVICE_ACCESS.
  
  
  
• Для автоматизации настройки DeviceTree в UKI-образах (Unified Kernel Image) предложен канонический набор файлов c идентификаторами оборудования /usr/lib/systemd/boot/hwids/, связывающими идентификаторы устройств с элементами DeviceTree. При помощи данного набора UKI-образ автоматически находит и загружает необходимый DTB (Device Tree Blob) во время загрузки без необходимости создания образов, специфичных для каждого устройства. В настоящее hwid-файлы сформированы для ARM64-устройств на базе чипов Snapdragon.
• В /etc/os-release добавлено новое поле "FANCY_NAME", отличающиеся от "PRETTY_NAME" возможностью использования не-ASCII глифов Unicode. При наличии поля "FANCY_NAME" оно будет использоваться в выводе systemd, systemd-hostnamed и hostnamectl вместо "PRETTY_NAME".
• Сервисы, предоставляющие публичные интерфейсы Varlink, при помощи символических ссылок сведены в одном каталоге /run/varlink/registry/. Для просмотра списка подобных сервисов реализована команда 'varlinkctl list-registry'.
• В unit-ах реализована возможность указания в параметре PrivateUsers значения "managed" для автоматического назначения unit-у диапазонов идентификаторов пользователей и групп (UID/GID) через systemd-nsresourced.
• В unit-ы добавлена настройка RefreshOnReload для обновления расширений и учётных данных при перезапуске unit-а.
• В unit-ы добавлена настройка BindNetworkInterface для автоматической привязки всех создаваемых в unit-е сокетов к указанному сетевому интерфейсу.
• В unit-ы добавлены настройки ConditionPathIsSocket и AssertPathIsSocket для изменения поведения или аварийного завершения unit-а, если указанные пути не являются сокетами.
• В systemctl добавлена команда 'enqueue-marked', вызывающая метод D-Bus EnqueueMarkedJobs(). Ранее применяемый для этих целей параметр '--marked' объявлен устаревшим.
• В сервисы добавлена настройка MemoryTHP для управления использованием в сервисах больших страниц памяти (THP - Transparent Huge Pages).
• В .delegate-файлы systemd-resolved добавлена поддержка параметра FirewallMark для выставления в сетевом стеке метки межсетевого экрана ("firewall mark") для генерируемого DNS-трафика.
• В systemd-sysupdate добавлена команда 'acquire' для разделения этапов загрузки и установки или обновления. Реализована поддержка пометки разделов как частично загруженных.
• В systemd-vmspawn добавлена опция "--image-format" для выбора формата (qcow2 или raw) дискового образа.
• В systemd-inhibit для опции "--list" реализована поддержка формата "JSON" c возможностью использования флагов "--what", "--who", "--why" и "--mode" для фильтрации вывода.
• В systemd-repart добавлена базовая поддержка контроля целостности шифрованных разделов, используя dm-integrity.
• В утилиту systemd-keyutil добавлена команда 'extract-certificate' для вывода содержимого сертификатов X.509.
• В systemd-sysext и varlinkctl реализована поддержка интерактивного прохождения авторизации при помощи polkit.
• Добавлена polkit-политика, позволяющая вызвать systemd-ask-password непривилегированным пользователем.
• В systemd-importd добавлена возможность загружать OCI-образы командой "importctl pull-oci", которые сохраняются в форме образов для монтирования через "mstack".
• Добавлена поддержка цветов SYSTEMD_COLORS=auto-16, SYSTEMD_COLORS=auto-256, и SYSTEMD_COLORS=auto-24bit.
• Предоставлены полнофункциональные обособленные исполняемые файлы systemd-sysusers и systemd-tmpfiles (ранее собирались урезанные версии).
• В systemd-oomd добавлен "prekill hook", позволяющий подключать обработчики, срабатывающие перед принудительным завершением процесса из-за нехватки памяти в системе.
• Возобновлена, но помечена устаревшей, возможность использование несистемных пользователей и групп в правилах udev (OWNER=/GROUP=) и настройках systemd-networkd (User=/Group=).
• В systemd-repart задействована появившаяся в xfsprogs 6.17.0 функциональность утилиты mkfs.xfs для развёртывания начального содержимого ФС из указанной директории.
• Повышены требования к минимальным версиям: ядро Linux 5.4 → 5.10 (рекомендовано 5.14, а для полной функциональности - 6.6), libidn → libidn2, Python 3.7.0 → 3.9.0, glibc 2.31 → 2.34, OpenSSL 1.1.0 → 3.0.0, cryptsetup 2.0.1/2.3.0 → 2.4.0, elfutils 158 → 177, libblkid 2.24 → 2.37, libseccomp 2.3.1 → 2.4.0.
• Переработаны и упрощены правила обеспечения переносимости и стабильности, в которых усилены обязательства по недопущению видимых пользователям регрессий в публичных интерфейсах.

PF queues break the 4 Gbps barrier

With 10G, 25G, and 100G network interfaces now commonplace, OpenBSD devs making huge progress unlocking the kernel for SMP, and adding drivers for cards supporting some of these speeds, this limitation started to get in the way. Configuring bandwidth 10G on a queue would silently wrap around, producing incorrect and unpredictable scheduling behaviour.

A new patch widens the bandwidth fields in the kernel's HFSC scheduler from 32-bit to 64-bit integers, removing this bottleneck entirely. The diff also fixes a pre-existing display bug in pftop(1) where bandwidth values above 4 Gbps would be shown incorrectly.

Read more…

забанивание зондов типа телеграма - это редкое положительное действие

@iron_bug уверен, что это приведёт ни к каким массовым положительным сдвигам. Часть людей реально повалила в Макс, например. Это усиливает давление на остальных. Другие ищут "что-то незабаненное" и внезапно находят для себя не XMPP, а Яндекс.Мессенджер, ВК и пытаются зарегистрироваться в китайском WeChat.

@contrinitiator @visuallyperfect @Dima812

@Dima812 я верю в то, что люди идут по пути наименьшего сопротивления и что снижение разнообразия и вообще затруднения толкают людей к менее рациональному выбору.

Короче говоря - лучше не будет, будет хуже :) Не будет Телеграм - не в Макс пойдут, так найдут какое-нибудь говно, начнут ставить её сомнительные протрояненные форки и так далее.

Как можно наблюдать с теми же VPN. Некоторые тут любят потрындеть про "выросшую компьютерную грамотность населения", а по факту имеем эпидемии форда, сотни тысяч людей, качающие малварь под видом бесплатных випиэнов и незабаненных приложений, а темщики клепают кривые палящиеся сервисы, продают их и РКН потом банит целые подсети для всех.

@contrinitiator @visuallyperfect

via Космонавт Константин Борисов

Филологическая минутка — to prikryt' — уникальный английский глагол, который знают все экипажи и ЦУПы.

К этому невозможно привыкнуть — меня это веселит все несколько лет, в течение которых я тесно работаю с английской версией аварийной документации МКС.

В русском языке есть четкий и лаконичный глагол — «прикрыть». Ну, вы знаете: в комнате прохладно, и ты просишь кого-то прикрыть окно. И человек сразу понимает — нужно створку окна чуть придвинуть, чтобы меньше была щель, через которую проникает в комнату уличный воздух.

Представьте: на станции пожар или разгерметизация. Каждая секунда на счету. Работники ЦУПов и экипаж действуют четко по инструкции и докладывают друг другу о сделанных шагах. В некоторых ситуациях нужно прикрывать люки — то есть ты его доводишь до конечного положения, но не запираешь с помощью запорного механизма.

Теперь сравните:
🇷🇺: мы прикрыли люк ГА-ФГБ
🇺🇸: we have closed, but not latched, GA-FGB hatch

Таких действий в некоторых аварийных ситуациях довольно много. Фразу close but do not latch говорить намного дольше, чем «прикрой». Поэтому, по предложению кого-то из инструкторов, в обиход ЦУПа Хьюстона введен русский глагол — to prikryt'.

В нем все прекрасно: и написание, и попытки склонять, и использование в варианте Perfect tense. Когда я на тренировке слышу «have you prikryt'ed люк Node 1 aft», у меня что-то в голове перемыкается, и я на пару секунд теряю возможность думать на английском языке.

Мой вердикт: удобно. Но, пожалуйста, давайте ограничимся инфинитивной формой, без склонений. А то голова идёт кругом!

Старший, Кастор, занимался алгоматикой, то есть алгеброй конфликтов, заканчивающихся фатально для всех, кто в них вовлечен. Поэтому данную отрасль теории игр иногда называют садистикой, а Кастора коллеги называли садистиком, причем Рорти утверждают, будто его полное имя -- Кастор Ойл, то есть Касторка. Должно быть, шутил.

Станислав Лем "Мир на земле"

сс: @litclub

(#чтопочитать #федичитает)

"Татарская кошка продалась за еду"
#Нышество_броши

New blog post: Fancy Curl Sites

https://nytpu.com/gemlog/2026-03-18
curl nytpu.com/gemlog/2026-03-18 | less

#blog #blogpost #website #curl

Выпуск Samba 4.24.0

Ключевые изменения в Samba 4.24:

• Добавлен новый VFS-модуль vfs_aio_ratelimit для ограничения интенсивности (rate-limit) операций асинхронного ввода/вывода (AIO). Ограничения могут задаваться в байтах в секунду или в операциях в секунду. При превышении заданного лимита модуль начинает подставлять искусственные задержки в асинхронные операции для поддержания заданного верхнего порога.
• В VFS-модуль ceph_new добавлена поддержка RPC-протокола Keybridge и режима FSCrypt для шифрования данных и имён файлов в файловой системе CephFS. Возможно включение шифрования на уровне отдельных каталогов.
• Реализована поддержка аудита информации, связанной с аутентификацией. Добавлены отладочные классы "dsdb_password_audit" и "dsdb_password_json_audit" для отражения в логе изменений атрибутов Active Directory: altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink и servicePrincipalName.
• В VFS-модуль vfs_streams_xattr, позволяющий сохранять альтернативные наборы данных NTFS (NTFS alternate data stream) в расширенных атрибутах файлов (xattr) в Linux, добавлена настройка "streams_xattr:max xattrs per stream", определяющая допустимое число xattr, применяемых для хранения данных. В Linux размер xattr ограничен 65536 байтами, но ФС XFS позволяет привязывать к одному файлу более одного xattr, что позволяет использовать несколько xattr для хранения до 1 МБ альтернативных данных.
• Добавлена поддержка внешних систем управления паролями Microsoft Entra ID и Keycloak, использующих при изменении пароля операцию сброса пароля (SSPR, password reset) без передачи старого пароля в контроллер домена. Для соблюдения политик, контролирующих время действия паролей, при сбросе пароля передаются дополнительные параметры ("password policy hints"), позволяющие обрабатывать выставление пароля после сброса, как обычную операцию смены пароля. Теперь Samba учитывает подобные параметры при применении связанных с паролями, локальных политик.
• Добавлена поддержка механизма аутентификации Kerberos PKINIT KeyTrust, дающего возможность в контроллерах домена на базе Samba и Heimdal KDC, использовать метод "Windows Hello for Business Key-Trust logons" для применения механизма аутентификации PKINIT с самоподписанными ключами. Для добавления и просмотра открытого ключа в утилиту samba-tool добавлена команда "user|computer keytrust". Сведения об открытом ключе сохраняются в учётной записи при помощи атрибута msDS-KeyCredentialLink.
• В контроллеры домена на базе Samba и Heimdal KDC добавлена поддержка расширения протокола Kerberos PKINIT для маппинга ключей ("Windows Strong and Flexible key mappings"), применяемого при аутентификации по открытым ключам. По умолчанию допускается только точное сопоставление сертификатов ("strong certificate binding enforcement = full"), но возможна и гибкое сопоставление ("strong certificate binding enforcement = compatibility"), допускающее сертификаты новее учётной записи пользователя. Данные о маппинге сертификатов для учётной записи сохраняются в атрибуте altSecurityIdentities
• Добавлена поддержка расширения протокола "Kerberos PKINIT SID", позволяющего использовать при аутентификации сертификаты с идентификатором Object SID. Для генерации запросов на подписание сертификатов в утилиту samba-tool добавлена команда "user|computer generate-csr".
• В реализации KDC (Key Distribution Center) по умолчанию включено возвращение структуры PAC (Privilege Attribute Certificate), содержащей данные о полномочиях пользователя, независимо от того, указано ли поле PA-PAC-REQUEST в запросе клиента. Для возвращения старого поведения предусмотрена настройка "kdc always generate pac = no".
• В KDC добавлена настройка "kdc require canonicalization", при выставлении которой в значение "yes" клиент обязан запрашивать выполнение канонизации имени пользователя при обращении к серверу аутентификации (AS_REQ). Если канонизация не запрошена, сервер вернёт ошибку "пользователь неизвестен". В Windows сетях активация новой настройки не должно вызвать проблем, так как Windows-клиенты по умолчанию всегда запрашивают канонизацию.

  Обязательная канонизация позволяет защититься от так класса "dollar ticket", манипулирующих тем, что имена пользователей могут задаваться по разному ("user" и "user$") и по разному обрабатываться KDC в канонизированном и обычном представлении. Суть атаки в том, что злоумышленник, например, мог создать учётную запись компьютера с именем "root$", получить у KDC мандат (ticket) для пользователя "root" (без $) и затем использовать этот мандат для подключения под пользователем root через SSH или NFS к Linux-серверу с SSSD.

• В конфигурацией с отключённым обязательным запросом канонизации имён ("kdc require canonicalization = no", применяется по умолчанию) в KDC добавлен обходной вариант защиты от атак "dollar ticket". По умолчанию, если клиент не запросил выполнение канонизации и проверяемое имя не найдено, сервер выполняет дополнительную проверку, прикрепив символ "$" к имени. При помощи новой настройки "kdc name match implicit dollar without canonicalization = no" можно отключит данное поведение и выполнять только точные проверки (в контексте вышеупомянутой атаки, сервер не станет проверять имя "root$" при запросе "root").
• В Heimdal KDC по умолчанию включена отправка сервисам Kerberos только канонизированных имён (sAMAccountName из PAC) вместо исходного значения cname. Для возвращения старого поведения предусмотрена настройка "krb5 acceptor report canonical client name = no".
• Для защиты от атак "dollar ticket" рекомендуется выставить настройки:

     strong certificate binding enforcement full
     kdc always include pac yes
     kdc require canonicalization yes
  

• Для блокирования уязвимости CVE-2026-20833 метод шифрования домена в настройках KDC по умолчанию изменён на AES (настройка "kdc default domain supported enctypes" выставлена в "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96").