Telegram "приземляется" и готовится открыть представительство в России. Процесс находится «в стадии согласования».
https://236-fz.rkn.gov.ru/agents/list/6

@rf@mastodon.ml

Just discovered the remarkable 18th century paintings of Joseph Ducreux

https://en.m.wikipedia.org/wiki/Joseph_Ducreux

Электрический хвойный шум / tih i radosten

tih i radosten. Это сольный проект Михаила Климова, участника групп Fogh Depot и Фиолетовый Пëс (флюгельгорн, синтезаторы).

В основе своего творчества он использует мелодии знаменного распева — древнерусского богослужебного молитвенного пения, уходящего корнями в византийские литургические традиции. Михаил сочетает аскетичную игру и космические синтезаторные структуры, играя на стыке электроники, дарк-джаза и неоклассики.

Меня заинтересовало.

(#чтопослушать #nowplaying)

#OpenBSD now supports Intel E823-L Ethernet devices, a variant of the E810 devices supported by the ice(4) driver.

https://marc.info/?l=openbsd-cvs&m=175274391607699&w=2

There are more variants which could likely be supported with relatively low effort: E823-C, E822-C, E822-L, and E825-C. If anyone has such devices available for testing remotely or by shipping a device to me, please let me know.

У меня на телефоне, флагмане Сони 2019 года, стоит DeltaChat с несколькими аккаунтами, с включенным IMAP-idle, стоит Thunderbird Beta, тоже держащая коннект по IMAP, Conversations держит два коннекта к двум разным серверам XMPP. И всё это через WireGuard.

Но все эти приложения, держащие живые подключения к серверам, не появляются в списке жрущих батарею приложений если не дёргать постоянно их UI.

Им совершенно не нужен GCM для показа нотификаций. Гугл вам всем врёт, что соединения много жрут. Всё для того, чтобы знать содержимое нотификаций всех пользователей. Не ведитесь на это! Пишите приложения с постоянными соединениями и не используйте GCM и другие системы пушей.

#андроид #android #tcp #networking #xmpp #imap #development

For those in the #OldComputerChallenge in need for a lightweight #web browser, #Dillo can be built from source in under 10 minutes from old CPUs (let us know otherwise).

We always welcome new pictures for the gallery: https://dillo-browser.github.io/gallery/

Подтверждены планы по слиянию Chrome OS и Android в одну платформу

Ранее представители Google не упоминали планы по объединению Chrome OS и Android, информация о котором в ноябре была неофициально раскрыта некоторыми сотрудниками Google. В качестве причины объединение упоминалось желание усилить конкуренцию с iPad и более эффективно использовать инженерные ресурсы чтобы не распылять усилия на две операционные системы.

Косвенным подтверждением намерений Google стала начатая в прошлом году работа по переводу системного окружения ChromeOS на вариант ядра Linux, фреймворки и системные компоненты платформы Android. В то же время в последних выпусках платформы Android началось активное развитие режима рабочего стола и возможностей для работы на устройствах с большими экранами.

Операционная система ChromeOS напоминает по своей архитектуре атомарно обновляемые дистрибутивы Linux, использует ядро Linux со специфичными патчами, системный менеджер upstart и сборочный инструментарий ebuild/portage из Gentoo Linux. Несмотря на то, что пользовательское окружение ChromeOS сосредоточено на использовании web-браузера, а вместо стандартных программ задействованы web-приложения, платформа включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Для запуска приложений, созданных для Linux и Android, используются виртуальные машины, запускаемые при помощи гипервизора CrosVM, основанного на KVM.

По умолчанию в Chrome OS применяется шифрование дисковых разделов c пользовательскими данными (при помощи fscrypt), а системные разделы монтируются в режиме только для чтения, верифицируются по цифровой подписи и обновляются атомарно (два корневых раздела, рабочий и для установки обновления, которые меняются местами). Вывод на экран осуществляется при помощи графического стека Freon (ведётся работа по переходу на использование Wayland) и оконного менеджера Aura. Исходный код распространяются под свободной лицензией Apache 2.0.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63577

Tämä melkein lipsahti ohi ellei puoliso olisi tästä maininnut. Oikein tyylikästä ja jouheaa (ha) dark folkkia suomeksi Porista.

Noiduin-ryhmän "Lovi"-levy: https://album.link/i/1810050783 (löytyy myös bandcampistä).

#darkfolk #musadontti

A smaller #watercolor #artwork I painted in a forest in the German #Eifel. Just did the finish touches to show at a painting festival. I've put it now in my webshop.

#art #drawing #アート #fineart #illustration #イラスト #絵画 #芸術 #gemälde #Dreamy #Landscape #FairyTale #GermanForest #natureart #Rursee #eifel #naturparksüdeifel #outside #pleinair #watercolors #ink #inkdrawing #schilderij #woodpanel #Ampersand

(#gemalde #naturparksudeifel)

Turns out Codeberg hosts a Weblate instance where translators can translate applications: https://translate.codeberg.org/ Now this is the kind of thing that makes me go "huh, this is actually better than GitHub".

@vnwnmn@shitpost.poridge.club

Searx - это не поисковик, а метапоисковик. Он использует другие поисковики, своего движка и индекса не имеет.

Yacy - полноценный поисковик, со своим индексатором и краулером. Потому и непопулярен. Я хостил его, эффективность крайне низка, несмотря на то, что ноды могут между собой обмениваться содержимым индексов (а-ля торрент) — просто у гугляндексов несравнимо больше мощностей, чем у кучки энтузиастов. По итогу хостящий Яцы просто тратит прорву времени (приемлемые результаты можно получить далеко не сразу) и денег (база растёт, джава течёт, ресурсы выжираются), а выхлоп весьма грустный.

Потому народ предпочитает играть в независимость с помощью эрзаца в виде SearX (толку от которого на самом деле — разве что для анонимизации поисковой истории, и то при условии, что сервак маленький и админу нет смысла торговать статистикой). Типа захостил свой (нет) поисковик и весь из себя селфхост криптопанк.

@rf@mastodon.ml

«Опустошитель» выпустило Технологическое рабство Качинского.
#ЧтоПочитать

GPUHammer - вариант атаки Rowhammer на память GPU

До сих пор создание атак класса Rowhammer для видеопамяти было затруднено из-за сложности определения физической раскладки памяти в чипах GDDR, больших задержек при доступе к памяти (в 4 раза медленнее) и более высокой частоты обновления памяти. Кроме того, проведению исследований мешало задействование в чипах GDDR проприетарных механизмов защиты от манипуляций, приводящих к преждевременной потере заряда, для анализа которых требовалось создание специальных аппаратных тестовых стендов на базе FPGA.

Для изучения видеопамяти исследователями была создана новая техника обратного инжиниринга GDDR DRAM, а в самой атаке задействованы применяемые для организации параллельных вычислений оптимизации доступа к памяти, которые были использованы в качестве усилителей интенсивности доступа к отдельным ячейкам. Для проведения атаки на GPU NVIDIA использован низкоуровневый код CUDA.

В пользовательском коде CUDA не выполняется обращение по физическим адресам памяти, но в драйвере NVIDIA производилось отражение виртуальную памяти в одну и ту же физическую память, чем и воспользовались исследователи для вычисления смещения виртуальной памяти и определения раскладки банков памяти. Распознание обращений к разным банкам памяти было произведено через анализ задержек, которые отличались при доступе к одному или разными банкам памяти.

В системах, совместно использующих GPU, таких как серверы для выполнения моделей машинного обучения, атака позволяет одному пользователю изменить содержимое видеопамяти с данными другого пользователя. В качестве меры защиты компания NVIDIA рекомендует включить коды коррекции ошибок (ECC, Error Correction Codes) командой "nvidia-smi -e 1" или использовать серии видеокарт с поддержкой OD-ECC (On-Die ECC), такие как GeForce RTX 50, RTX PRO, GB200, B200, B100, H100, H200, H20 и GH200.

По данным исследователей включение ECC на системах с GPU A6000 приводит к снижению производительности выполнения моделей машинного обучения примерно на 10% и уменьшению объёма памяти на 6.25%. Инструментарий для проведения атаки и выполнения обратного инжиниринга низкоуровневой раскладки видеопамяти на системах с GPU NVIDIA опубликован на GitHub.

Атака RowHammer позволяет исказить содержимое отдельных битов памяти DRAM путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. Если интенсивность чтения большая, то соседняя ячейка может потерять достаточно большой объём заряда и очередной цикл регенерации не успеет восстановить её первоначальное состояние, что приведёт к изменению значения сохранённых в ячейке данных.

Метод атаки Rowhammer был предложен в 2014 году, после чего между исследователями безопасности и производителями оборудования началась игра в "кошки-мышки" - производители чипов памяти пытались блокировать уязвимость, а исследователи находили новые способы её обхода. Например, для защиты от RowHammer производители чипов добавили механизм TRR (Target Row Refresh), но оказалось, что он блокирует искажение ячеек лишь в частных случаях, но не защищает от всех возможных вариантов атаки. Методы атаки были разработаны для чипов DDR3, DDR4 и DDR5 на системах с процессорами Intel, AMD и ARM. Также были найдены способы обхода коррекции ошибок ECC и предложены варианты совершения атаки по сети и через выполнение JavaScript-кода в браузере.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63575

TIL: Ever wanted to compress data or use cryptographic algorithms but you don't want to link to C libraries or you're just plain lazy?

The Linux kernel has you covered! Create a socket of type AF_ALG, bind to your favorite algorithm, send() in your data and recv() it back!

This seems to support deflate, SHA, RSA and some more on ppc64le and additionally even zstd, chacha, lzo, hmac and more on ARM!

https://www.kernel.org/doc/html/latest/crypto/userspace-if.html

Российские силовики считают любые группы АЧК «нежелательной организацией»

В начале 2024 года Минюст России включил американскую Федерацию Анархического Чёрного Креста в список «нежелательных организаций». Тогда мы (АЧК-Москва) заявили, что не имеем с ней организационных связей: группы АЧК по всему миру автономны, и российские группы никогда не были частью американской федерации.
Но в 2025 году стало ясно, что российские власти считают «нежелательной» не только американскую федерацию. Они атакуют любые группы АЧК.

https://avtonom.org/news/rossiyskie-siloviki-schitayut-lyubye-gruppy-achk-nezhelatelnoy-organizaciey
#АнархическийЧёрныйКрест #ИгорьОлиневич #Фаланстер #Россия #анархизм #АвтономноеДействие

Ребятушки, шарящие за кофе! Я хочу дома делать такое же вспененное молоко как в кофейнях. Посоветуйте, что я могу для этого купить, чтобы в балансе были цена, качество и простота использования?

Был у меня подобный венчик-капучинатор, но он не давал такую клёвую пенку.

Браузерные дополнения вовлекают в построение распределённой сети скрапинга для AI-ботов

Работа организуется через включение в код браузерных дополнений открытой JavaScript-библиотеки mellowtel.js, поставляемой под лицензией LGPLv3. Библиотека развивается проектом Mellowtel, продвигающим новую платформу монетизации, которая кроме браузерных дополнений может применяться в программах на базе фреймворков Flutter и Electron. Основная идея платформы в том, что разработчики браузерных дополнений и приложений могут зарабатывать деньги не через показ рекламы или сомнительные методы, такие как продажа данных, ущемляющих приватность пользователей, а через выполнение задач по индексации web-контента для обучения AI-систем.

Потребность AI-компаний в данных для обучения моделей привела к появлению многочисленных ботов, индексирующих сайты без разумного ограничения интенсивности отправки запросов и игнорируя правила индексирования robots.txt. Так как данные боты создают огромную паразитную нагрузку на серверы, нарушают нормальную работоспособность систем и отнимают время администраторов, последнее время их начинают активно блокировать (например, сеть доставки контента Cloudflare реализовала опцию для блокирования подобных ботов по умолчанию).

AI-компании готовы платить за индексацию и платформа Mellowtel выразила готовность удовлетворить подобную потребность через вовлечение обычных пользователей в процесс сбора данных с сайтов. Платформа передаёт владельцам дополнений 55% от средств, вырученных от сотрудничества с AI-компаниями. Проект полностью легитимен и настаивает на том, что участие в скрапинге должно быть добровольным и активироваться только после явного согласия пользователя. Подразумевается, что пользователь в качестве благодарности к разработчикам дополнения может включить по умолчанию отключённый режим скрапинга и оказать им косвенную финансовую поддержку.

Проблема в том, что не все разработчики дополнений готовы работать честно и в открытую. В некоторых дополнениях пытаются скрыто от пользователя включить монетизацию Mellowtel в обход правил сервиса, что приводит к тому, что пользователь без явного согласия становится участником распределённой сети для загрузки данных с сайтов. Из 45 дополнений к Chrome, применяющих Mellowtel, 12 уже заблокированы Google за вредоносную активность. В каталоге Microsoft из 129 дополнений заблокировано 8, а в каталоге Mozilla из 71 дополнения заблокировано 2. Причины удаления не детализируются, но не исключается, что поводом стало некорректное использование Mellowtel.

Разработчик Mellowtel заявил, что для решения проблемы с возможным скрытым включением скрапинга сервис переходит на обязательную проверку всех дополнений, применяющих Mellowtel, на предмет обязательного отключения скрапинга по умолчанию (активация только после явного согласия пользователя) и наличия видимой кнопки для отключения. Запросы на получение заданий от дополнений не прошедших проверку будут помещаться в карантин и игнорироваться.

В процессе работы дополнения, использующие библиотеку Mellowtel, устанавливают websocket-соединение к внешнему серверу, размещённому в облаке AWS, через которое передают сведения о доступности пользователя, стране, пропускной способности канала связи и активации поддержки скрапинга пользователем. Периодически через соединение отправляются heartbeats-запросы, проверяющие доступность клиента. При появлении заданий на загрузку контента в просматриваемые пользователем страницы подставляется скрытый iframe, из которого осуществляется скрапинг.

Для загрузки внешних страниц из iframe, подставляемом при просмотре других сайтов, библиотека временно обходит предоставляемую в браузере защиту от загрузки стороннего контента, вырезая HTTP-заголовки Content-Security-Policy и X-Frame-Options и возвращая их после того, как нужная страница загружена. Вырезание осуществляется через модификацию сетевых запросов при помощи API declarativeNetRequest (для доступа к данному API дополнения запрашивают отдельное полномочие). Временное отключение заголовков Content-Security-Policy и X-Frame-Options негативно влияет на безопасность, так как на какое-то время убирает штатную защиту от атак с использованием межсайтового скриптинга (XSS).

Платформа Mellowtel аффилирована с компанией Olostep, предлагающей API для скрапинга, способный обходить защиту от ботов и параллельно выполнять до 100 тысяч запросов в минуту. Подобную активность сервиса, применённую в контексте одного сайта, можно сравнить с проведением распределённой DoS-атаки. Сервис также потенциально может использовать пользователей как прокси для извлечения контента из приватных сайтов, доступных только в подсетях, к которым пользователь получает доступ через VPN.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63568