#RetroForth 2025.8 is out, changelog at https://retroforth.org/relnotes/202508.txt and source at https://retroforth.org/r/RETRO12-2025.8.tar.gz

I'll be submitting a patch for the #FreeBSD ports tree this weekend.

Красно-черные флаги на антинаци-демо в #Осло сегодня
Ingen rasister i våre gater!
#antifa #norway #oslo

Кипу – это узелковая система письма и счёта, использовавшаяся доколумбовыми цивилизациями, в основном инками. Она представляла собой сложную структуру из переплетённых нитей и узлов, изготовленных из шерсти лам или альпак либо хлопка. Кипу могло насчитывать до двух с половиной тысяч свисающих нитей и служило для передачи сообщений, налогового учёта, фиксации законов, календарей и топографических данных. Информация кодировалась через цвет, длину, порядок нитей-подвесок, количество и тип узлов, интервалы между ними, а также а также через различные элементы, которые в нити вплетали, — ракушки или части растений.

Half-Life 1 can now run on GNU/Hurd

(specifically xash3d-fwgs from git, on newest release Debian GNU/Hurd 13)

Улькунды в Башкирии.
Карст – это образование пустот под землей после вымывания водами подземных рек. Явление красивое на фотографиях и опасное для городской инфраструктуры – территория республики и сама Уфа усеяны воронками, из-за этого случаются провалы.

Фото — Алексей Скалин https://vk.ru/club39283647

Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

Суть проблемы в том, что клиент может создать очень большое число одновременно обрабатываемых потоков, независимо от лимита SETTINGS_MAX_CONCURRENT_STREAMS, сбрасывая каждый поток на начальном этапе. Подобный сброс приводит к тому, что для отправки нового запроса в установленном соединении HTTP/2 клиенту не требуется жать ответа от сервера и можно сразу направить большой непрерывный поток запросов, насколько позволяет пропускная способность канала связи.

Клиент перестаёт зависеть от задержек между отправкой запроса и получением ответа (RTT, round-trip time) и может провести атаку с минимальными накладными расходами, при том что сервер продолжает тратить ресурсы на обработку поступающих запросов. Например, сервер осуществляет выделение структур данных под новые потоки, разбор запроса, распаковку заголовка и сопоставление URL с ресурсом. При атаке на обратные прокси, атака может распространиться на бэкенды, на которые прокси успеет перенаправить запрос до его сброса.

Уязвимость напоминает ранее известную проблему Rapid Reset (CVE-2023-44487) и вызвана расхождением логики сброса потоков, определённой в спецификации протокола HTTP/2 и реализованной в конечных продуктах. В спецификации предусмотрена возможность сброса потока клиентом и сервером в любой момент, но во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться. Ключевым отличием новой атаки является то, что сброс обработки запроса осуществляется по инициативе сервера, а не через отправку клиентом кадра с флагом RST_STREAM.

Сброс по инициативе сервера происходит при поступлении некорректных запросов, но подобные запросы отбрасываются сразу без начала их полноценной обработки и без передачи бэкенду. Для того, чтобы добиться полного цикла обработки запроса атакующий вначале может отправить корректный HTTP-запрос, но следом за ним передать некорректную последовательность управляющих кадров HTTP/2. Подобная активность приведёт к тому, что сервер начнёт полноценно обрабатывать запрос, но потом из-за ошибки при обработке следом идущих кадров сбросит поток (переведёт поток с корректным запросом в состояние RST_STREAM).

Наличие проблемы подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish, lighttpd, Zephyr RTOS. Проблема проявляется также на сайтах и серверных сервисах Mozilla. Apache httpd, Apache Traffic Server, Node.js, LiteSpeed и HAProxy проблеме не подвержены. Статус наличия уязвимости в nginx не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63726

🤔
#УвиделТут

🗺🔎: 55.330, 38.669

Mountain Realm - Stoneharrow
"Recommended for fans of Dungeon Synth, Retro CRPGs and Cold Nordic atmospheres"
https://cryocrypt.bandcamp.com/album/stoneharrow
#darkambient #cryochamber #np

сегодня я узнала, что "от" во фразе "от кутюр" - это не русский предлог, как я всегда думала. хотя я никогда не задумывалась, кто же такие эти "кутюры", которые делают модную одежду (как я расшифровывала это выражение в детстве)

а это, оказывается, целиком французское выражение "haute couture"

I've tried to explain the difference between #smolweb and #smallweb in this blog post:

https://adele.pages.casa/md/blog/smolweb_vs_smallweb.md

So, how do you see things?

• smolweb
• small web

Уязвимости в Brave Tor и Chrome VPN позволяют раскрыть реальный IP-адрес пользователя

#blue_team #Tor #Brave #chrome

Утечка происходит через специфические веб-API, такие как BackgroundFetch и WebAuthn. Злоумышленник вызывает эти API внутри замаскированных окон или popunder. API выполняют запросы напрямую и раскрывает реальный IP пользователя, даже если он был подключен через приватное окно в Brave или через VPN в Chrome.

Brave и Chromium закрыли некоторые баги. Однако часть векторов всё ещё работает. То есть в данный момент включение приватного режима Brave или VPN в Chrome не гарантирует анонимности, если веб‑страница может вызвать сетевые API, которые обходят эти инструменты.

Подробности (https://0x999.net/blog/leaking-ips-in-brave-tor-window-chrome-vpns-popunders-csp-bypass).

Уязвимость в ядре Linux, позволяющая обойти sendbox-изоляцию Chrome

Уязвимость вызвана ошибкой в реализации флага MSG_OOB, который можно выставить для сокетов AF_UNIX. Флаг MSG_OOB ("out-of-band") позволяет прикрепить дополнительный байт к отправляемым данным, который получатель может прочитать до получения остальных данных. Данный флаг был добавлен в ядре Linux 5.15 по запросу Oracle и в прошлом году предлагался для перевода в разряд устаревших, как не получивший широкого распространения.

В реализации sandbox-окружении Chrome разрешены операции с UNIX-сокетами и системные вызовы send()/recv(), в которых флаг MSG_OOB допускался наряду c другими опциями и не был отдельно отфильтрован. Ошибка в реализации MSG_OOB позволяла добиться обращения к памяти после её освобождения (use-after-free) после выполнения определённой последовательности системных вызовов:

   char dummy;
   int socks[2];
   socketpair(AF_UNIX, SOCK_STREAM, 0, socks);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, 0);
   recv(socks[0], &dummy, 1, MSG_OOB);

Самец болотного луня взирает грозно на окрестности. Он тут хозяин, он тут главный. С высоты видит всё, что происходит, и всё, что ему подчинено. Всякая мелкая птичка и зверушка с опаской смотрит в небо, когда кружит эта немаленькая птица. Длина птицы может доходить до полуметра, а то и больше. Размах крыльев — от метра до полутора.

«Кто не спрятался, я не виноват!» — будто говорит он, взмывая высоко в небо и паря над заболоченной поймой реки, высматривая себе жертву.

Их гнёзда здесь же, в камышах. Птенцов высиживает самка, самец её кормит и охраняет. У птиц заметный половой диморфизм. До четырёх лет самцы не отличаются от самок.

Из интересного: по наблюдениям французских орнитологов, многие самцы сохраняют женскую окраску на протяжении всей жизни. По наиболее вероятным предположениям, это такая природная хитрость. Женский окрас помогает самцам подобраться к самке, не вызывая подозрений у других самцов и избегая драк.
#natureblogru #БолотныйЛунь #wildbirds #mastobirds

the proposed design is modern, vibrant, and inspiring

Знаете, я жёсткая противница публичной критики чего бы то ни было (потому что профессиональная критика - это очень трудная и кропотливая работа, за которую платят большие деньги), и особенно - независимых СМИ в последние три года, но на этой неделе они дали мне столько поводов для совершенно чистого, незамутнённого ахуя, что я уже едва сдерживаюсь. Серьёзно. Какой же это кошмар. Какой же это ужасный, непревзойдённый непрофессиональный мрак, когда люди с журналистским образованием делают за деньги контент хуже, чем средний увлечённый блогер с узкой экспертизой и любовью к делу. Я как архитекторка (исследовательница видеоигр, писательница, блогерка в конце концов) вижу эти чудовищные провалы только в своих областях, но они настолько ужасные, что я начинаю подозревать, что материалы на другие темы тоже могут быть жуткими. Я просто не понимаю, на что идут мои донаты - кажется, пора отменять 2/3 моих подписок и просто отдавать эти деньги классным блогеркм, а не вот этим вот со "стандартами"