PLEASE SHARE
Are you an #OpenSource project? Would you like to make your website (or web app?) easier to use?
I teach a university course on #usability testing, and I'm looking for clients to work with in spring semester. I'd love to help an open source project.
Timeframe is early March until early May, and you get a detailed report that tells you what's easy, what's hard, and what to improve. And it's FREE.
Interested? Email me so we can talk about details:
jhall @ freedos . org
"Tenderness in the Hands" by Mavenmob / Mistigris ( @flashparty )
(#asciiart)
I really like the Konilo logo:
_| _| _| _|
_| _| _|_| _|_|_| _| _|_|
_|_| _| _| _| _| _| _| _| _|
_| _| _| _| _| _| _| _| _| _|
_| _| _|_| _| _| _| _| _|_|
(#asciiart)
А в моем гемлоге новый пост, где я с колокольни своего опыта пытаюсь сравнить среднее специальное образование с учебой в универе.
Для тех, у кого есть #Gemini-браузер:
gemini://sysrq.in/ru/gemlog/technikum.gmi
Для тех, у кого еще нет:
https://portal.mozz.us/gemini/sysrq.in/ru/gemlog/technikum.gmi
#блог #гемлог #gemlog
Watercolor on paper
Acuarela sobre papel
#Watercolor #Acuarela #Art #Painting #Watercolor art
https://www.redbubble.com/people/jadlart/explore?asc=u
Okay, so all those t-rex puns from yesterday's drawing gave me the idea for this... Tea-Rex!
#dinosaur #drawtober #watercolor #tea
V/A - Wir Rufen Deine Wölfe (2003)
Compilation of neofolk / marial industrial musicians dedicated to single song.
Love it.
https://ahnstern.bandcamp.com/album/v-a-wir-rufen-deine-w-lfe-2003
#nowlistening #martialindustrial
Operating system of the day: Snowdrop OS
https://www.youtube.com/watch?v=E3uusC4exy0
More information: http://sebastianmihai.com/snowdrop/
#Snowdrop #OS #OperatingSystem #Programming #Hacking #Assembler #x86
@oreolek Нужно будет при случае попробовать
@oreolek А потом их куда?))
Happy birthday, #openbsd !
Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.
Уязвимость также проявляется в форках библиотеки async-tar, таких как tokio-tar, krata-tokio-tar и astral-tokio-tar, а также в утилитах на их основе, например, в пакетном менеджере uv, развиваемом в качестве высокопроизводительной замены "pip" для проектов на языке Python. Из популярных проектов, использующих уязвимые библиотеки, также отмечаются инструментарий testcontainers для запуска docker-контейнеров и WebAssembly runtime wasmCloud. В репозитории crates.is за последние 90 дней библиотека async-tar насчитывает 1.3 млн загрузок, tokio-tar - 2.2 млн, testcontainers - 2.9 млн.
Уязвимость вызвана некорректным выбором позиции при разборе разных значений размера в заголовках ustar и PAX. В tar-архивах в формате PAX
для каждого файла внутри архива указываются два заголовка - классический ustar и расширенный PAX. Проблема вызвана тем, что уязвимые библиотеки при распаковке файлов вместо вычисления смещения на основе размера из расширенного заголовка PAX, брали размер из устаревшего заголовка ustar. При нулевом значении размера в заголовке ustar, идущее за ним содержимое файла обрабатывалось как корректный блок TAR-заголовков для следующего файла.
Для совершения атаки достаточно создать TAR-архив, в котором в ustar-заголовке указан нулевой размер, а в заголовке для формата PAX актуальный размер, из-за чего содержимое файла с другим tar-архивом будет обработано как часть основного архива. Пример кода для создания подобных архивов размещён на GitHub. Уязвимость устранена в выпусках tokio-tar 0.5.6 и uv 0.9.5. Для остальных библиотек исправления пока не опубликованы, но для astral-tokio-tar, async-tar и
krata-tokio-tar отдельно подготовлены патчи.
Уязвимости в библиотеках присвоен уровень опасности 8.1 из 10, так как проблема может использоваться для перезаписи распаковываемых файлов (в уязвимых реализациях будут распакованы не те файлы, что были видны в архиве). При этом уязвимость в пакетном менеджере uv отмечена как неопасная, так как если атакующий может влиять на содержимое исходного архива, нет смысла усложнять атаку и эксплуатировать уязвимость через вложенный архив, когда можно добиться выполнения кода через сборочные сценарии в основном архиве.
Выявившие уязвимость исследователи предложили несколько гипотетических сценариев атак, позволяющих обойти проверки безопасности и добиться выполнения кода через замену файлов конфигурации или вмешательство в сборочный процесс. Подразумевается, что присланный архив сможет пройти автоматизированную проверку сканером безопасности и ручной аудит, в ходе которого проверяющий не обратит внимание на странный вложенный архив с другими файлами, после чего при распаковке при помощи Rust-библиотек из архива будет извлечено иное содержимое, чем ожидалось.
Например, атакующий может загрузить модифицированный архив в репозиторий PyPI, который пройдёт проверку на основе анализа содержимого основного архива, содержащего легитимный файл pyproject.toml. При обработке данного пакета при помощи утилиты uv легитимный pyproject.toml будет заменён на вредоносный вариант из вложенного архива, содержащий команды, которые будут выполнены при сборке на компьютере разработчика или в системе непрерывной интеграции. Аналогично, можно организовать перезапись файлов контейнера при извлечении образа контейнера при помощи инструментария testcontainers.
Источник: https://www.opennet.ru/opennews/art.shtml?num=64093
@blauflame вот этому, кстати, менеджер паролей мощно помогает. Он не только позволяет не только делать сложные пароли и не запоминать их (для чего его советуют чаще всего), но и служит неплохой системой учёта аккаунтов, что на что зарегистрировано.
Intel и AMD стандартизируют механизм ChkTag для защиты от уязвимостей при работе с памятью
Компании Intel и AMD совместно развивают расширенный набор инструкций ChkTag (x86 Memory Tagging), который будет стандартизирован для унифицированной реализации в x86-процессорах различных производителей. По своим возможностям ChkTag напоминает расширение MTE (MemTag), уже поставляемое в процессорах ARM, и также позволяет блокировать эксплуатацию уязвимостей, вызванных обращением к уже освобождённым блокам памяти, переполнением буфера или обращением к памяти до инициализации.
ChkTag предлагает новые процессорные инструкции, позволяющие на аппаратном уровне привязать теги к областям в памяти и организовать проверку корректности использования указателей. Заявлено, что применение данных инструкций компиляторами позволит обеспечить безопасную работу с памятью без снижения производительности приложений. При этом использующие ChkTag приложения останутся совместимыми со старыми процессорами, не имеющими аппаратной поддержки ChkTag, что упростит внедрение защиты.
Реализованный метод защиты сводится к созданию для каждого блока памяти тега, который выступает подобием ключа для доступа к этой памяти (например, в реализации MTE для каждых 16 байт создаётся 4-битный тег). Тег генерируется приложением для выделяемой области памяти при помощи специальных инструкций CPU, а затем сохраняется в верхних неиспользуемых битах указателя, а также в зарезервированной и недоступной для приложений области линейной/виртуальной памяти. При обращении к памяти с использованием тегированного указателя процессор проверяет соответствие тега, привязанного к указателю, с тегами, привязанными к блокам памяти, и разрешает доступ только если теги совпадают.
Технология ChkTag разработана в рамках совместной работы Intel и AMD в группе EAG (x86 Ecosystem Advisory Group), образованной год назад для сотрудничества по обеспечению совместимости между платформами x86, стандартизации интерфейсов продуктов Intel и AMD, упрощения разработки программного обеспечения для систем x86 и выявления потребностей разработчиков в расширении архитектуры. Кроме Intel и AMD в число участников группы входят Линус Торвальдс, создатель ядра Linux, Тим Суини, основатель компании Epic Games и один из ключевых разработчиков игрового движка Unreal Engine, а также представители компаний Broadcom, Dell, Google, Hewlett Packard, Lenovo, Meta, Microsoft, Oracle и Red Hat.
Помимо ChkTag компании Intel и AMD также стандартизировали и унифицировали реализации модели обработки прерываний FRED (Flexible Return and Event Delivery), набора векторных инструкций AVX10 и расширений для умножения матриц ACE (Advanced Matrix Extensions).
Источник: https://www.opennet.ru/opennews/art.shtml?num=64091
I think it's time once again for some OpenBSD #78HYPE

LLVM/Clang/lld have been updated to 19.1.7 from 16.0.x, as well as libc++, libc++abi, compiler-rt and libunwind support libraries.
https://bsd.network/@brynet/115067656300420200
#OpenBSD 7.8's TCP stack now runs in parallel on multiple CPUs on network interfaces supporting multiqueue: bnxt, igc, ix, ixl, ngbe, vmx, vio, aq and ice(4).
https://bsd.network/@brynet/114405759583057709
https://bsd.network/@brynet/114467756116824641
Jonathan Gray (jsg@) continues to keep the drm graphics drivers in sync with the Linux 6.12.y longterm maintenance tree, bringing OpenBSD 7.8 up to 6.12.50, as well as Mesa 25.0.7. TearFree has been backported to the accelerated modesetting(4) used on modern Intel GPUs.
https://bsd.network/@brynet/114631270504655811
https://bsd.network/@brynet/114655260755077237
A new watch(1) utility, for periodically executing a command while displaying its output. Based on IIJ (Internet Initiative Japan)'s "iwatch", with modifications.
https://bsd.network/@brynet/114538687714442526
pkgconf replaces OpenBSD's implementation of pkg-config(1), pkgconf being a modern replacement written in C instead of perl.
https://bsd.network/@brynet/114445047214287864
The fc-cache(1) utility runs as an unprivileged '_fc-cache' user, drops root privileges at both build & runtime (pkg_add).
https://bsd.network/@brynet/114846583340693029
pkg_add(8) no longer advises users to rm(1) files on package upgrade erroneously.. or humorously, if you were perhaps to ask @miodvallat
https://bsd.network/@brynet/114418407170384274
The gprof process profiling facility has been overhauled and now works for privsep / privdrop software using things like, chroot, pledge, unveil, etc. Additionally, profiling threaded programs is possible now.
https://bsd.network/@brynet/114563085929044964
https://bsd.network/@brynet/114864449905751040
Support for Qualcomm Snapdragon laptops has improved, such as configuring battery charge limits, as well as initial driver support for the graphics display controller and basic drm(4) modesetting.
https://bsd.network/@brynet/114620210383704670
OpenBSD/arm64 now supports apmd -A/hw.setperf on Qualcomm X Elite laptops, and on Radxa Orion O6 motherboards.
https://bsd.network/@brynet/114948596188757416
https://bsd.network/@brynet/114659654469988048
And lots more to see in 7.8!
Пернатые хищники из Красной книги. Знакомьтесь — болотные совы
Пернатые хищники из Красной книги. Знакомьтесь — болотные совы
Есть у меня такая примета: Если идёшь в лес и не берёшь с собой камеру, то непременно произойдёт что-то достойное интересного кадра. То лось совсем рядом бродит, то птичка интересная сидит близко и будто ждёт, когда её сфотографируешь! А у тебя, увы, камеры с собой нет. Поэтому взял себе за правило: даже когда иду за грибами брать с собой фотоаппарат, чтобы не пропустить что-то интересное.

Но в этот день погода не задалась, пасмурно, иногда сыпал мелкий дождь, собирались птички на макушках ещё не облетевших деревьев, но всё реже и реже. Грибов не нашёл и, выйдя из небольшого леса, направился в сторону балки, густо заросшей дикими растениями, чтобы перейти на другую сторону. И здесь внезапно, едва ли не из-под ног, взмыла в небо стайка птиц.
Присмотрелся — совы! Не меньше десятка. Хотя сначала подумал, что это луни. Мигом включаю камеру и навожу на летающих вокруг меня птиц. Это были болотные совы, как оказалось, они занесены в Красную книгу Орловской области. Интересно и то, что болотные совы, в отличие от своих собратьев, активны днём, благодаря чему их можно спокойно фотографировать.
Прелесть ещё и в том, что они любопытны не меньше чем я! Совы не разлетелись, увидев человека, а кружили рядом, пикировали над головой совершенно бесшумно, а мне удавалось делать кадры. Конечно, чем больше мы друг на друга смотрели, тем больше им становилось скучно. Они взмыли ещё выше в небо и улетели в сторону поля, там, наверное, много мышей, которые являются излюбленным лакомством болотных сов. Даже количество птенцов зависит от того, сколько грызунов расплодилось в текущем году. Кстати, болотные совы моногамны, пары образуются на всю жизнь (хотя читал и об исключениях). Процесс ухаживания самца за самкой довольно долгий. Он постукивает лапами, дарит ей пищу, ходит кругами — такая вот романтика. Родительские обязанности тоже распределены: самки высиживают птенцов, а дальнейшим воспитанием занимаются оба родителя.

К сожалению, популяция птиц сокращается, и на это влияет масса факторов. Болотные совы делают гнёзда на земле. Из-за этого их часто разоряют хищники вроде лисиц, кабанов и куниц, которые поедают и яйца, и беззащитных птенцов. На сов могут нападать более крупные хищники вроде ястребов. Не отстаёт от диких животных и человек. В первую очередь сельское хозяйство, обработка полей ядохимикатами приводит к гибели птиц, которые могут селиться рядом с культурными полями в сырых балках. Не меньшим злом являются и варварские поджоги сухой травы весной. Огонь, быстро охватывающий округу, не даёт шансов на выживание птенцам, и наверняка сгорает кладка.
Наблюдать за этой яркой птицей на фоне угасающего осеннего пейзажа очень интересно. Так что если повезёт увидеть болотных сов, то обязательно полюбуйся, удели время. Иногда они выписывают интересные пируэты в воздухе. Птицы делают широкие и глубокие взмахи крыльями. Делают близкие облёты вокруг друг друга. Это чем-то похоже на танец. Прекрасное украшение холодного октябрьского неба.

Болотные совы взмыли высоко. Темнело. Я уложил камеру в рюкзак и пошёл домой. Это был хороший день моего близкого знакомства с этими удивительными птицами, обитающими в нашей области. Фотоохота удалась и доставила немало эстетического удовольствия и азарта во время съёмки. Надеюсь, мы ещё увидимся здесь, — подумал я, когда уходил, напоследок взглянув на «танцующих» в небе сов.
#natureblogru #shortearedowl #болотнаясова #дикаяприрода #wildlife #wildbird
#фотоохота #осенниептицы #птицыроссии #природавкадре #съёмкаптиц
#орловскаяобласть
#краснаякнига
#BGGP6 is off to a great start! We got 4 entries in the first 24 hours (as many entries as all of BGGP1!).
In the lead so far by total score is mauke, who made a 55 byte 4-way polyglot that is also a palindrome (pictured).
See all verified entries here: https://github.com/binarygolf/BGGP/tree/main/2025
Моё решение для Binary Golf Grand Prix 6: Forth (3 байта)
6 .
=> gemini://any-key.press/esoteric/bggp6_4th.gmi Подробности в Gemini капсуле
(#bggp6 #gemini #forth)
Надо сказать, что робот велосипеды видит (в данном случае) и ведёт себя очень вежливо: притормозил, включил поворотник, выдержал две секунды и ушёл в соседний ряд целиком, хотя места в правом хватало.
Сразу понятно стало, что автопилот сработал, люди так не делают.
Взлом сайта Xubuntu с заменой ссылок на странице загрузки на вредоносное ПО
Официальный сайт дистрибутива Xubuntu скомпрометирован неизвестными злоумышленниками, которые на странице загрузки дистрибутива поменяли ссылки, ведущие на торренты, на файл "https://xubuntu.org/wp-content/Xubuntu-Safe-Download.zip". В итоге на странице загрузки остались только ссылки на вредоносный архив и доступные зеркала. Разработчики Xubuntu пока не прокомментировали ситуацию, но несколько часов назад удалили вредоносный архив и заблокировали доступ к разделу "xubuntu.org/download/", организовав перенаправление на главную страницу сайта.
Сервисом archive.org копии xubuntu.org были сделаны 11 и 18 октября - 11 октября страница ещё не была изменена, а 18 октября на странице уже имеется вредоносное изменение. Зеркала проекта, через которые распространяются iso-образы, судя по предварительному анализу контрольных сумм, не пострадали и соответствуют эталонному cdimage.ubuntu.com. Следы компрометации пока замечены только на сайте xubuntu.org, использующем систему управления контентом WordPress. Предположительно взлом был совершён через необновлённый плагин к WorkPress, содержащий уязвимость.
Распространяемый злоумышленниками архив "Xubuntu-Safe-Download.zip" содержит исполняемый файл для платформы Windows, который преподносится как инсталлятор Xubuntu. Проверка указанного файла в сервисе VirusTotal показывает наличие вредоносного ПО.
При запуске исполняемого файла показывается фиктивный интерфейс, включающий поля для выбора версии дистрибутива для загрузки и типа пакета, а также кнопку "Generate Download Link". При нажатии на кнопку в каталог "AppData Roaming" сохраняется файл "elzvcf.exe" и в реестре Windows настраивается его выполнение при запуске системы. По предварительной информации вредоносное ПО анализирует данные в буфере обмена и заменяет адреса криптокошельков Bitcoin, Litecoin, Ethereum, Dogecoin, Tron, Ripple и Cardano на кошельки злоумышленников.
Интересно, что 10 сентября один из пользователей
пожаловался на появление записи в блоге на сайте xubuntu.org с рекламой казино, но данная запись в блоге была оперативно удалена и инцидент не получил развития (вероятно, посчитали, что реклама была подставлена вредоносным ПО на стороне пользователя).
Источник: https://www.opennet.ru/opennews/art.shtml?num=64079
@JoseMel Like a gingerbread house IRL
Кроме того существует московская кинокомпания полного цикла "План 9" ("Plan 9"), основанная в 2016 году.
Кооператив «Компост» выпустил книгу Эдварда Эбби «Костёр на горе»
Эдвард Эбби — анархистский писатель из США, натуралист, вдохновитель экологического движения Earth First! и просто большой любитель американской пустыни. «Костёр на горе» — это захватывающий роман о настоящей любви к родной земле, чутком восприятии дикости и желании жить по-своему вопреки ценностям и устремлениям современной хищнической цивилизации. Это история о бескрайних выжженных просторах американского Юго-Запада и их непокорном хранителе — пожилом ранчере Джоне Воглине, противостоящем правительству США и его планам по расширению военного полигона Белые Пески. Эта книга — свидетельство борьбы отважных и вольных защитников своих земель против бездушия, утилитарности и фальшивой благосклонности бюрократической машины, маскирующейся под родину, но никогда ею не являющейся.
https://avtonom.org/news/kooperativ-kompost-vypustil-knigu-edvarda-ebbi-kostyor-na-gore
#КооперативКомпост #Россия #Москва #анархизм #АвтономноеДействие
Binary Golf Grand Prix 6 begins now!
#BGGP6 theme: "Recycle"
Challenge Announcement: https://binary.golf/6
Дорогами с бесконечными шлагбаумами, запретными зонами, базами и особыми режимами охраны, со взлетающими впереди длиннохвостыми сороками, с домами, украшенными защитными символами, с множеством солярных петухов на коньках, сквозь садоводства с мероприятиями по самой настоящей очистке от котов (я такого безумия в жизни ещё не встречал), к священной берёзовой роще на холме, где некогда стояла старинная церковь святого Генриха, а откуда по дороге вдоль озера (захваченной каким-то нелепым глэмпингом с модными уличными купелями) к странным локациям у самой магистрали, изрытым дикими зверями, а также целыми системами траншей и ходов сообщения, с безымянными ручьями, пересекающими странные ямки с остатками надгробий и крестов, оставленные конфетки на пнях - следы срытого кладбища.
#Ingria #ЛенинградНутряной
Autumn swingin'
#drawtober #watercolor
@acelatte
что порекомендуете попытаться захостить в первую очередь
Обычный web-сервер статических файлов.
какие гайды/книги/ресурсы порекомендуете для изучения селфхостинга с самого нуля?
Документация к выбранному серверу
Я сижу на #OpenBSD и взял то, что есть в базовой системе: httpd(httpd.conf.5).
Потом добавил relayd с acme-client и на эту основу уже можно прикручивать любую "динамику": ActivityPub, Matrix, альтернативные front-end'ы всего на свете, ...
WPA3 support for OpenBSD 802.11 wireless funded by NLNet Foundation
The project to implement
WPA3 support for OpenBSD 802.11 wireless
has now been funded by a grant from the NLNet Foundation.
The work is to be carried out by Stefan Sperling (stsp@
) and Chirpy Software.
The announcement states,
This project delivers the second open-source implementation of WPA3, the current industry standard for Wi-Fi encryption, specifically for the OpenBSD operating system. Its code can also be integrated by other operating systems to enable modern Wi-Fi encryption, thereby enhancing the diversity and resilience of the global IT ecosystem.
The project has an October 2025 start date, which likely means that work to implement even better Wi-Fi support in our favorite operating system is already under way. Read more from the announcement at the NLNet Foundation website.
We look forward to seeing the tangible results in future commits!
@jpmens there are more pages with funny BUGS section - https://bronevichok.ru/posts/manual-pages.html
«Цыганская рука» - типичный каталонский пирог. Это хлебный рулет с кремом.
Это странное имя потому что цыгане обычно ели этот сладкий десерт.