- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
package main
import (
"io"
"fmt"
"log"
"bytes"
"strings"
"net/http"
"net/http/httputil"
"net/url"
)
func UpdateResponse(r *http.Response) error {
for k, v := range r.Header {
newValue := strings.Replace(v[0], "umnico.com", "umnico.*****.ru", -1)
r.Header[k][0] = newValue
}
b, err := io.ReadAll(r.Body)
if(err == nil) {
bodyText := strings.Replace(string(b), "://umnico.com", "://umnico.*****.ru", -1);
if(strings.Contains(bodyText, "</head><body>")) {
injectedStyle := `<style>
.nav-menu.hidden, .widget__preview-container--tech-support {
display: none !important;
}
</style>`
bodyText = strings.Replace(bodyText, "</head><body>", injectedStyle + "</head><body>", -1);
}
if(strings.Contains(bodyText, "</body></html>")) {
injectedScript := `<script>
fetch('/api/user').then((response) => {
return response.json().then((data) => {
//alert(data.user.id);
if(data.user.id != 12345) {
const style = document.createElement('style');
style.textContent = '.im__chat-buttons{display:none!important;}';
document.head.appendChild(style);
}
return true;
}).catch((err) => {
console.log(err);
})
});
var currentDialogId = 0;
function checkDialogControls() {
if(location.pathname.indexOf('app/deals/inbox/details/') > 0 || location.pathname.indexOf('app/deals/active/details/') > 0) {
if(location.pathname.indexOf('app/deals/active/details/') > 0) {
var dialogId = location.pathname.split('app/deals/active/details/')[1];
} else {
var dialogId = location.pathname.split('app/deals/inbox/details/')[1];
}
var chatIndicator = document.querySelector('.im-aside-section.im-aside-section__toolbox');
if(chatIndicator != null) {
var injectedControls = document.querySelector('.im-aside-section.injected-controls');
if(injectedControls == null) {
chatIndicator.insertAdjacentHTML('afterend', '<div class="im-aside-section injected-controls"><div><button type="button" class="button" style="width:100%;" onclick="window.parent.postMessage(\'openBookingModalByUmnicoId('+dialogId+')\', \'*\');">Оформить бронь</button></div><div style="margin-top:5px;"><button type="button" class="button button_attention" style="width:100%;" onclick="window.parent.postMessage(\'openLeadTaskModalByUmnicoId('+dialogId+')\', \'*\');">Задача</button></div></div>');
} else {
if(currentDialogId != dialogId) {
injectedControls.remove();
}
}
currentDialogId = parseInt(dialogId);
}
}
}
setInterval(checkDialogControls, 100);
</script>`
bodyText = strings.Replace(bodyText, "</body></html>", injectedScript + "</body></html>", -1);
}
if(strings.Contains(bodyText, "window.location.hostname != \"localhost\"")) {
bodyText = strings.Replace(bodyText, "window.location.hostname != \"localhost\"", "window.location.hostname != \"localhost\" && window.location.hostname != \"umnico.*****.ru\"", -1);
}
buf := bytes.NewBufferString(bodyText)
r.Body = io.NopCloser(buf)
r.Header["Content-Length"] = []string{fmt.Sprint(buf.Len())}
}
return nil
}
func main() {
target, err := url.Parse("https://umnico.com:443")
if err != nil {
log.Fatal(err)
}
proxy := httputil.NewSingleHostReverseProxy(target)
proxy.ModifyResponse = UpdateResponse
http.HandleFunc("/", func(w http.ResponseWriter, req *http.Request) {
req.Host = req.URL.Host
proxy.ServeHTTP(w, req)
})
err = http.ListenAndServe("127.0.0.1:8803", nil)
if err != nil {
panic(err)
}
}
Мой код для проксирования одного из SaaS-сервисов, с целью встраивания в интерфейс последнего кастомных кнопок. Взглянул спустя пару месяцев и ужаснулся.
Follow us!
Мне нравится, что ротоёб принес в Го частичку PHP. Всё таки первая любовь -- она на всю жизнь...
https://shedevrum.ai/post/5f9b0c1f8cf3f05/
Хех, я тоже в первый свой раз с девушкой нервничала, но помогает тупо действовать на автомате, как ни парадоксально, просто отпускаешь ситуацию и просто делаешь. Однако совет может быть не актуален для мужчин, все таки у меня от психологии руки и язык не зависят, а члена тупо нет)
Сегодня в клинике видел такого шиза, что всем шизам шиз. Ему дали скидку 200 рублей за приём (видимо психиатра), он так радовался, как будто забил гол в финале чемпионата мира. А ещё он идентифицирует себя как тян. Так что скорее всего это был.................................. (вы правильно поняли) T R A P. Более того, на ресепшене сидела девушка очень похожая на ...................................(как вы догадались?)............................ .............. T R A P.
#Fike #Tike #Etki #bormand #cykablyad
Делает аборт.
Какие три самых сложных года в жизни негра?
Первый класс.
потому что воздух бесплатный
соседская кошечка их закапывает
- Его глаза всё ещё красные от перцового балончика.
A: When she pulls the tampon out all the cotton is picked.
> вата
Это про гологуба что ли?
https://www.youtube.com/watch?v=04dKJ8jmkqM&list=PLUJsepdZhr7yHD ro_tV8WFwoCuAxlcbKY
ik ben waarschijnlijk in de randstad volgende woensdag, maar ik heb ook een toets volgende donderdag, zodat misschien heb ik veel spanning en geen tijd
mijn problemen endigen in juni en daarna zal ik definitief meer zaken doen in de randstad in juli
Делегация от Афганистана не смогла пройти пограничный контроль в Шереметьево. Именно оттуда они должны были лететь в Татарстан.
Некоторые делегаты не смогли объяснить причины визита в Россию и вынуждены были оставаться в стерильной зоне аэропорта.
*террористическая организация, запрещенная в России
- JlyKaweHKo
- Cu_LL3uHnuHb
- 6awap_Acag
- uJlbxaM_aJlueB
- Hyp_cyJlmaH
https://daily.afisha.ru/news/87592-v-ekaterinburge-proydet-vstrecha-incelov-i-femcelov/
https://x.com/alexskryll/status/1787241826337927551
Не заебывайте курильщиков! Они злопамятные!
А допустим я хочу запустить две программы на говне, и каждую ограничить по 50% ядер. Как мне это сделать?
Через API операционки
https://pkg.go.dev/runtime#NumCPU
>Как-то ему можно это подсказать?
The GOMAXPROCS variable limits the number of operating system threads that can execute user-level Go code simultaneously.
(Go 1.5 is set to make the default value of GOMAXPROCS the same as the number of CPUs on your machine)
Вообще, поковыряйся тут: https://pkg.go.dev/runtime
https://pbs.twimg.com/media/GOlz3kKWoAA3Nvl?format=jpg&name=medium
https://pbs.twimg.com/media/GOkxXsHXgAAMEOl?format=jpg&name=large
23 числа в Сене собирается искупаться мэр Парижа, чтобы показать всем чистоту и пригодность воды в реке.
Париж примерно посередине. Значит, от истока до Парижа порядка четырёх дней.
https://jechiedanslaseinele23juin.fr/
Кто во Францию в июне собирается?
Я думал, сайт вычисляет по географическим координатам или по названию населённого пункта, а оказалось, что нужно знать расстояние по реке.
Ввёл 300 км, получил ответ: «Pour arriver le 23 juin à 12h, vous devez chier le lundi 17 juin 2024 à 06:00».
Короче, срать нужно с 16 по 23 июня в зависимости от местоположения.
ахахаха, бобр
Но в самом Париже срать стрёмно, поэтому лучше насрать где-нибудь в провинции.
Через сколько времени дерьмо Пахома может оказаться в Стамбуле после того, как он насрёт в Бердянске?
https://pbs.twimg.com/media/GOlvf-6WsAEHZSu?format=jpg&name=large
Международная хакерская группа Head Mare рассказала о взломе системы СДЭК в своем аккаунте в соцсети X. По словам хакеров, для взлома они использовала вирус-шифровальщик. Это также подтвердили источник «Ведомостей» в СДЭК и собеседник в одной из крупных компаний в сфере информационной безопасности.
«Мы столкнулись с техническим сбоем и проводим расследование. Есть несколько теорий, и говорить что-либо до получения точной информации считаем непрофессиональным», — отметил представитель СДЭК.
Кроме того, хакеры опубликовали скриншоты проникновения в систему сервиса и «передали привет» российской компании по управлению цифровыми рисками Bi.Zone, которая консультирует СДЭК по кибербезопасности.
Сбой в работе СДЭК произошел 26 мая, из-за этого сервис третий день не могут возобновить выдачу посылок. В службе поддержки заявили, что сроки решения проблемы пока неизвестны. По словам источника «Ведомостей» в СДЭК, прием и выдача посылок, возможно, возобновится сегодня
А если у тебя есть доступ от сисадмина, то и к бекапам доступ есть.
Но большинство петухов в это не может, и у них с рабочего места кладовщика на складе в Конь-Колодезе можно по RDP тыкнуться на DC, на гипер-визоры, и на сервера с бекапом. А там наверняка или дырка есть, а обновлений -- нету
Типа hier komt de trein waarop we wachten.
Это как если бы в русском мы говорили "вот хуй, кудана ты пошел"
Ваша версия что там было
https://pikabu.ru/story/gollandskiy_shturval_11454544
В ту страшную тёмную ночь?
В РФ привезли более тысячи африканок для сборки дронов — The Wall Street Journal
Издание пишет, что еще тысяча темнокожих студенток присоединится к ним до конца года. Они также встану за военные конвейеры. Девушки получают документы через программу «Work&Study».
Каждая зарабатывает по $1000
Хотя ладно, соглашусь, что жена уёбка - тоже уёбок.
Жена уёбка -- уёбка.
В 2002 году в местности Клюквенной пади Кабанского района были найдены тела двух девушек, 17 и 18 лет, с признаками насильственной смерти — повреждениями костей черепа и травмами головы.
------
Слушайте, "клюквенная падь" это же охуенное название для ужастика.
https://imgur.com/Lvi6Ue8
ну что это за ёбаное говно, блядь
https://x.com/head_mare
Почему я вижу посты а каком-то рандомном порядке? Как посмотреть последние посты?
Кстати, взлом шифроблядью наивного админа есть у нас дома. Я сюда приносил историю, вроде. Там чувак теперь на воду дует, и уже три года ни единого разрыва
Интересно порофлить
https://pbs.twimg.com/media/GOlgci2XUAEB-oJ?format=jpg&name=large
https://pbs.twimg.com/media/GOlgQ3bW8AEjPQD?format=jpg&name=large
Они на best practices положили.
Причем там дохера политик и контейнеров, так что это рабочий домен со всеми машинами.
DNS имя домена `express.local`.
На второй картинке мы видим veeam, в котором задания созданы от имени `express\av.denisov` и `express\p.malinovsky`.
`express` это сокрашенное (ака NetBIOS) имя того же самого домена. Так у Windows строятся имена обычно.
Это значит, что сервер бекапа в домене, и более того: право создавать в нем задания есть у двух петухов с обычными учетками (не со специальными типа `backup_admin`).
Это значит, что скорее всего два обычных админа имеют админские права в домене на своих учетках и ходят под ними на все машины, включая бекап, и наверняка включая все остальыне машины тоже.
Достаточно один раз зайти на сломанную машину, и твой акк спиздят.
А спиздив твой акк -- получат доступ к домену, а через него и ко всем бекапам.
1. Бекап не должен зависеть от сети, которую он охраняет. Нельзя вводить бекап в домен, который он защищает. Это написан в бест-практисес veeam
2. Один бекап всегда нужно хранить на неудаляемом носителе: или внешнем отколюченном в сейфе, или hardended Linux (veeam так умеет): там используется магия ядра, не позволяюащя затирать файлы до определенной даты. Это тоже правило veeam, и частично отражение правила 3-2-1.
3. Доменные админы не должны иметь права входа ни на какие машины кроме контролеров домена. Нельзя никогда входить с доменно-админным паролем на обычные машины, которые могут быть заражены. Это в бест практис у MS написано.
Кажется что выполнение одного из трех пунктов бы уже их спасло
Получается если я молодой админ, то не смогу правильно настроить инфраструктуру мелкой фирмы, чтобы её не сломали? Без шансов не проебаться где-то?
Почему нельзя делать софт так, чтобы невозможно было допустить такие ошибки?
Если средний, то читай документацию перед тем, как юзать продукт.
У Veeam есть анализатор best practicies
https://www.veeam.com/blog/security-compliance-analyzer.html
Посмотри на картинку, на посдение пять пунктов.
Там наверняка еще и хуйня про RDP (первый пункт) тоже не реализована.
У MS есть бесконечный документ
Там есть, например, пункт "Create or update incident recovery plans", которого у них явно не было
Есть и питушня с доменным адмном:
When a highly privileged domain account is used to log on interactively to a compromised workstation or member server, that compromised computer may harvest credentials from any account that logs on to the system.
Почему винда сразу сделана по-еблански? Почему не запрещен NTLM? Почему по-умолчанию винда сохраняет пароль в назначенном задании? Почему не запрещает вход доменных админов на обычные машины?
Наверное, из-за обратной совместимости.
А вот почему винда вместо ключей пароли использует -- я не еебу. Она умеет в смарткарты, но они денег стоят.
– я когда-то по приколу поставил какой-то софт и оставил лишние данные. они потом звонили с американского номера, узнавали, всё ли у меня хорошо))
Или попробовать посмотреть через фронтенд, который нашёл j123123.
А как комменты к посту открыть? Показывает N коментов, но хуй пойми как их открыть, только ответить самому даёт
Работал в сдэке , уровень ИБ у них на уровне пенсионерки со смартфоном . со своей учётки ты можешь из дома подключиться к RDP , вытащить базу клиентов и все до чего можешь добраться , а ты типо кладовщик , даже не менеджер какой нибудь когда их базы слили что нибудь поменялось ? да нихрена всем рассказали что кто то слил базу и продает в телеге за 40к баксов в криптовалюте ) а как была дырявая сеть так и осталась . ни впн'ов , ни антивирусов , ничего ) не удивлюсь если шифруются хакеры под "проукраинских" что бы следов их не искали , а по факту у них же в офисе и работают
Вот это адок, конечно. удаленный доступ из дома по RDP нужно делать:
1. По ключу. Пароли никогда не канают, потому что там всегда будет макакин пароль у кладовщика, причем одинаковый на всех сайтах, какие бы политики ты не крутил. Спиздил пароль кладовщика на сайте филателистов, и всё.
2. Через VPN: RDP наружу нельзя выставлять никогда, потому что RDP это Ransomeware Deployment Protocol, особенно когда три года не обновляешься (редко какие админы держат сервера up to date)
3. Через RDGateway, чтобы проксить Kerberos, иначе петухи будут ходить под NTLM, и в памяти будет висеть его хеш. Поломал машину -- спиздил хеш петуха, и пошел с нирм по всей сети. NTLM нужно запрещать.
4. Открывать только из той страны, откуда ходят петухи. Если ты в Раше -- значит на сетевом оборудовании открой VPN только из Раши. Это сразу отсечет половину петухов которые там из поломанных серверов в Бутане тебя пытаются ебать
5. Ключ и удаленный доступ на RDGateway нужно давать по явному требованию. Если петуху реально надо для работы. 99% петухов из дома нарботу не ходит
Потому что RDP - более дырявое говно, чем VPN? Звучит так же по-уебански, как надевание двух медицинских масок, в то время как по логике и одной должно хватать.
Да, безусловно. RDP это проприетарный протокол от компании, не славящейся своей безопасностью. В нем постоянно находят дыры.
https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/
И даже сам Microsoft не советует пускать его напрямую, а испольховать хотя-бы RdGateway для хождения через HTTPS.
Но разумеется опытный админ `http.sys` тоже ебал, и поднимает VPN на сетевом оборудовании.
Шансы на взлом IKE на Cisco или Mikrotik (это прыщи со стронгсваном под капотом) значительно ниже, чем на взлом RDP.
>в то время как по логике и одной должно хватать.
Ну вот в UNIX мире обычно хватает OpenSSH по ключу: там VPN не нужен. Но
1. ssh умеет в ключ, а RDP -- нет (кроме физических смарткарт)
2. ssh можно блокировать при недуачных попытках (fail2ban) а винда из коробки так не умеет
3. в ipset можно загрузить все сети своей страны, и дать доступ только им, но удачи тебе сделать это на винде
4. OpenSSH ломают значительно реже, чем RDP
На самом деле можно наскриптовать такую хуйню: надо высосать логи, найти IP, и добавить правило.
Но обычный офисный васян такое хуй конечно сделает
но это тебе не сильно поможет: питухи сканируют все порты, и узнают протоколы по отпечатку.
Просто на 3389 тебя сломают в течение недели, а на 12345 -- в течение полугода
Лучше всего просто не выставлять порты наружу для всех. Если на сервер ходят только админы, то ты им и откой порты, и их IP
Именно поэтому я за "единую интернет базу паролей", в которой всегда можно проверить, использовал ли уже юзер такой пароль
простите, а у вас есть что-нибудь со вкусом строки?
а зачем тебе rot12? Типа rot13 легко угадать и сломать?
писали завидный апп
определи год, кстати. Хотя бы десятилетие
> бога нет
Остро!
Впрочем, на автора этого мультка уже завели уголовку
https://www.forbes.ru/society/498730-na-sozdatela-masani-zaveli-ugolovnoe-delo
блядь
и тег: encryption
сук))
а пыхеров реально врот13 в стандартной библе?
а майнсвиппера встроенного нету?
А вот врот16 для кириллицы уже самому писать нужно.
Кстати, врот13 используют некоторые сайты для «обфускации» ссылок.
А какую сумму им предложили за расшифровку их же данных (если предложили вообще): думать страшно…
>>
думаю милионов 10 рублей, не больше
У организаций, которые пользуются 1C не от «Смарт Офис», таких трудностей нет. Но дело в том, что «Смарт Офис» достаточно популярна среди бухгалтерских и консалтинговых фирм. А потому если компания не хочет потерять своих клиентов, то в ее интересах прежде всего быстрее преодолеть последствия хакерской атаки. В целом же ситуация показательная — это яркий пример, почему российский бизнес должен уделять повышенное внимание вопросу информационной безопасности.
> бухой админ накосячил в синтаксисе /etc/fstab, и теперь вместе с такими же сотрудниками дата центра ищет в гугле что такое live usb
Северная Корея отправила более 150 воздушных шаров через границу в Южную Корею. В шарах был различный мусор — пластиковые бутылки, батарейки, детали обуви и даже навоз. Об этом сообщает южнокорейское агентство «Рёнхап» со ссылкой на Объединенный комитет начальников штабов ВС страны.
Хаст ду этвас цайт фюр михь,
Зингэ ихь айн лид фюр дихь
Фон нойнунднойнцихь люфтбаллонс
Ауф ирэм вэг цум хорицонт.
В общем, копировать придётся не всё, а с умом.
Виртуальная внутренняя флешка (/sdcard) лежит в /data/media/0, там всё просто: ни прав доступа, ни симлинков.
1) /data/data/имя_пакета
Там поддиректория files для больших файлов, shared_prefs для конфигов в xml, databases для БД в sqlite. Ещё может быть куча поддиректорий.
2) /sdcard/Android/data/имя_пакета
Аналогично, но там обычно несекретные данные либо шифрованные, потому что /sdcard доступна с любыми правами.
3)
/sdcard/Android/obb/имя_пакета
Тут так называемый «кэш игры» (не путать с cache в предыдущих пунктах) — всякая тяжёлая графика, которую лень паковать в apk.
4) /sdcard/Android/media/имя_пакета
Используется реже. В основном, чтобы не использовать SAF для сохранения пользовательских файлов.
Директория Android бывает не только на встроенной флешке, но и на внешней SD-карте.
А если ещё используется adopted storage, то всё сложнее.
Есть готовые программы типа Titanium Backup, которые этим занимаются. Но вот восстановление данных на другой системе может приводить к неожиданным эффектам.
Кратко: Андроид для каждого apk создаёт юзера (есть исключение: для некоторых системных приложений шарится один uid).
https://learn.microsoft.com/en-us/troubleshoot/developer/visualstudio/language-compilers/deploy-aspnet-app-xcopy-command
Позволяет установить приложение просто скопировав файлы!
какой пхп ))
>This article describes how to use the MS-DOS Xcopy command to deploy a Microsoft ASP.NET Web application.
бля)) а вы тоже черное окошечко в винде называете "MS-DOS"?
На каких-то девайсах можно было получить рут без разблокировки загрузчика.
Ещё данные можно тырить из кастомного рекавери, если они не зашифрованы или если рекавери умеет их расшифровывать.
Так вот для установки кастомного рекавери опять нужно разблокировать загрузчик. Для некоторых устройств есть tethered recovery: для его запуска не нужно разблокировать загрузчик, оно грузится в оперативку на один раз. Но это, как и рут без разблокировки загрузчика, редкий случай. Это возможно только при наличии бекдоров в системе.
К сожалению, обычно предустановленный проводник, даже если он установлен в /system/priv-app, не показывает корневую директорию и /data. Он обычно показывает только /sdcard и внешнюю карту памяти.
Ключ шифрования физически может быть на другой флешке, в процессоре и т. п. Если ты выпаяешь флешку и вставишь в программатор, ты увидишь шифрованные данные.
Возможно, это сделали, чтобы в мастерской было труднее спиздить твои данные.
https://pbs.twimg.com/media/GOuibTNWQAARySz?format=jpg&name=medium
https://www.youtube.com/watch?v=V0Cot3Vfm0s
#MAKAKA
Однажды мы хранили много информации в Trello.
В том числе и пароли. В отдельной карточке. Под кодовым именем "ПАРОЛИ".
>>
Напоминает историю, как петух случайно захаркдкодил пароль в конфиге на публичном гитхабе.
но он потом удалил другим коммитом с месседжем "password removed", так что ничего страшного
https://bigpicture.ru/tak-tochno-ne-zabudesh-gavajskoe-agenstvo-po-chrezvychajnym-situaciyam-xranilo-parol-na-stikere-na-monitore/
какой багор ))
Пароли надо заменять на смарт-карты.
https://www.youtube.com/watch?v=zzyrhf17ask
Слонина – дефицит, а потому деликатес, причём цены на него в африканских и южно-азиатских ресторанах заоблачные. Важен ещё один нюанс: кулинары готовят только из туш слонов, умерших по естественным причинам.
403 Forbidden
Since Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Republic of Crimea, Sudan, and Syria. If you are not in one of these cities, countries, or regions and are blocked, please reach out to https://hub.docker.com/support/contact/
https://habr.com/ru/news/818177/
Общество с пониженной социальной ответственностью
Сказывается, конечно, традиционная для западной цивилизации ошибка состоящая в отрицании возможности самостоятельного развития где-либо ещё, проявляющаяся ввиду закостенелого расизма и крайней степени гордыни этой самой цивилизации.
С такими врагами и союзников не нужно.
Какой же там прекрасный визг
Что в этом плохого
Чувствую я, здесь сарказмом отдаёт
Российские суды и связанные с ними органы перестали принимать письма от доменов, зарегистрированных в США и странах ЕС. Они блокируются почтовым сервером и адресатам не поступают, сообщил Сергиево-Посадский городской суд Московской области.
В качестве примеров приведены домены .com, .net, .rs (Сербия) и.ua (Украина), при этом обе страны не входят в ЕС. Для обращения в суд советуют использовать российские домены или домены, которые зарегистрированы в странах, не попадающих под ограничения.
Информацию о прекращении приема российскими судами писем с иностранными доменами подтвердил и источник РИА Новости в столичной системе судов общей юрисдикции. По его словам, это помогает снизить число сообщений о лжеминированиях, из-за которых регулярно эвакуировали здания судов по всей стране.
https://github.com/altfoxie/vzlom-kazino/commits?author=altfoxie
Так вот та программа имитировала перебор паролей (на самом деле она в модем ничего не отправляла), а спустя какое-то время выводила месседж-бокс с текстом: «Подбор паролей засекли правоохранительные органы. Срочно удалите все логи с компьютера.»
https://huecker.io/others.html
https://dcr-px.ru прислал имейлом аноним
Даже более того, при должном умении за пару дней можно нафигачить особый прокси, который будет автоматически всовывать трояна в любой скачиваемый образ, и никто этого не заметит — кроме адовых параноиков, которые вместо тегов используют пуллы по sha256 (вы, кстати, знали, что так можно?).
И вот сейчас целая страна разработчиков побежала встраивать в свои пайплайны левые, абсолютно никем не проверенные прокси от анонимусов... Ух, сколько веселья скоро будет в новостях!
Надеюсь, какая-нибудь конторка, у которой до этого пиздили данные пользователей. Это будет очень иронично: забивали хуй на инфобез, когда это касалось персональных данных юзеров, а когда закономерный пиздец придёт им самим — окажется уже поздно. Со «СДЭКом», к слову, произошло именно это: на защиту данных пользователей они всегда клали здоровенный ХУЙ, а теперь, вот, докладывались, понимаешь.
https://github.com/altfoxie
зачем бы ему сувать мне трояна?
Кстати, а почему хеш образа не публиковать и не подписывать ключом?
Выше уже ответил, что да, можно пуллить конкретный образ по конкретному хешу*. Просто так никто не делает, потому что неудобно.
*И тогда скорее всего демон отъебнёт, если прокси ему отдаст кривой образ... но это не точно, поскольку сам я не проверял, а «Докер» — это современная технология со всеми вытекающими.
Почему нельзя подписывать хотя-бы леценкриптовым сертом репозитория все загруженные образы, а локально проверять?
Тогда маминому хакеру придется спиздить приватный ключ у докера, а это намного сложнее
На самом деле в обычной ситуации это не проблема: по сети все образы всё равно ходят по «HTTPS», поэтому заMITMить их не получится. Чтобы стал возможен такой MITM — пользователь сам должен явно прописать себе проксю («registry mirror» или хардкорный сокс, на выбор). Предполагается, что это доверенные прокси в сети предприятия, которые у себя делают всякую хуйню вроде локального кэширования. Также предполагается, что если пользователь дорылся до «daemon.json», то он достаточно умён, чтобы понимать, что он туда пишет.
И, в принципе, в цивилизованном мире всё так и обстоит, и никто не прописывает себе в конфиг левые прокси от полных анонимов.
--Вот тебе мой приватный, публичный сам выведешь
Кто первый?
https://www.vedomosti.ru/society/articles/2024/05/31/1040652-za-sdachu-norm-gto-i-dispanserizatsiyu-rossiyane-poluchat-vichet
https://stackoverflow.com/users/330644/delan-azabani
Ну естественно
Почему не бывает скуф-программист на расте и them/they программист на 1С?
Вот как-то одобрение защитников жопы не вяжется с образом земзея.
— Девчонки, познакомимся?
— Стой! Они же из шоу...
— Какого ещё шоу?!
— Шоу трансвеститов...
— Какой симпатичный молодой человек!
— Ты тоже...
У ворона борода.
Чёрная ворона по телосложению, как серая, только чёрная.
Галка меньше, и у неё блеск и глаза такие, что ни с кем не спутаешь.
А вот тюленей с котиками путаю.
Его проводило МЧС. Новость о победе появилась в официальном канале мэрии между двумя предупреждениями о ракетной опасности.
https://www.nyx-hotels.com/
В основном европейские столицы, но не только они.
В ювелиры хочешь податься или продавцом стать?
Пиздец мещанство.
Пиздец обезьяны.
https://cdn.fishki.net/upload/post/2021/08/27/3905803/8f6ee8e76645a8987882325e714451aa.jpg
«К месту происшествия прибывает Картман; он начинает бить Куролюба по лодыжкам, на что Барбреди говорит, что это неправильно — преступников надо бить по голове, чтобы сразу вырубать.»
„Куролюб дарит Барбреди книгу Айн Рэнд «Атлант расправил плечи».
...
В финале в городе проходит парад в честь научившегося читать Барбреди. Тот произносит речь о том, что, прочитав ужасную книгу, которую ему дал Куролюб, он осознал, что чтение — отстой, и даёт зарок больше никогда не читать. Дети горячо его поддерживают.“
https://pikabu.ru/story/ne_vyistrelil_trend_kozopas_11468696