Куча говна / Говнокод #26844 Ссылка на оригинал

0

  1. 1
IT Оффтоп #55

#27: https://govnokod.ru/26340 https://govnokod.xyz/_26340
#28: https://govnokod.ru/26372 https://govnokod.xyz/_26372
#29: https://govnokod.ru/26385 https://govnokod.xyz/_26385
#30: https://govnokod.ru/26413 https://govnokod.xyz/_26413
#31: https://govnokod.ru/26423 https://govnokod.xyz/_26423
#32: https://govnokod.ru/26440 https://govnokod.xyz/_26440
#33: https://govnokod.ru/26449 https://govnokod.xyz/_26449
#34: https://govnokod.ru/26456 https://govnokod.xyz/_26456
#35: https://govnokod.ru/26463 https://govnokod.xyz/_26463
#36: https://govnokod.ru/26508 https://govnokod.xyz/_26508
#37: https://govnokod.ru/26524 https://govnokod.xyz/_26524
#38: https://govnokod.ru/26539 https://govnokod.xyz/_26539
#39: https://govnokod.ru/26556 https://govnokod.xyz/_26556
#40: https://govnokod.ru/26568 https://govnokod.xyz/_26568
#41: https://govnokod.ru/26589 https://govnokod.xyz/_26589
#42: https://govnokod.ru/26600 https://govnokod.xyz/_26600
#43: https://govnokod.ru/26604 https://govnokod.xyz/_26604
#44: https://govnokod.ru/26627 https://govnokod.xyz/_26627
#45: https://govnokod.ru/26635 https://govnokod.xyz/_26635
#46: (vanished) https://govnokod.xyz/_26646
#46: (vanished) https://govnokod.xyz/_26654
#47: https://govnokod.ru/26671 https://govnokod.xyz/_26671
#48: https://govnokod.ru/26707 https://govnokod.xyz/_26707
#49: https://govnokod.ru/26750 https://govnokod.xyz/_26750
#49: https://govnokod.ru/26776 https://govnokod.xyz/_26776
#50: https://govnokod.ru/26804 https://govnokod.xyz/_26804
#51: https://govnokod.ru/26809 https://govnokod.xyz/_26809
#52: https://govnokod.ru/26817 https://govnokod.xyz/_26817
#53: https://govnokod.ru/26833 https://govnokod.xyz/_26833
#54: https://govnokod.ru/26840 https://govnokod.xyz/_26840

Запостил: nepeKamHblu_nemyx nepeKamHblu_nemyx, (Updated )

Комментарии (408) RSS

      • Может поставить 500 порог? А то читерство какое-то.
        Ответить
        • Зачем? Всегда ж на 400 перекатывали, пока обсуждение в старом оффтопе затихнет — как раз под пятьсот и будет.
          Ответить
    • А если пидор сракер потрёт, оно сработает?
      Ответить
        • Сделай, что если 404 вернёт предыдущий оффтоп, то перекат!
          Ответить
          • Перекатный петух не загружает предыдущий оффтоп. Он вообще запросов к ГК не делает, кроме тех, которые нужны для создания поста/комментариев.
            Ответить
            • Ну ты раз в час проверяешь перекат? Что мешает сделать запрос, и посмотреть код ответа, даже парсить ничего не нужно.
              Ответить
  • Хорошо питуз сработал.

    А вот такая идея. Пользователь заходит на сайт, оставляет свой публичный rsa ключ.

    Потом идёт по ssh, и попадает в файловую систему.
    Где каждый тред — это файл.

    Он может приаппендить к файлу свой текст. Это будет постинг.
    Или lessом изучить содержимое.

    Есть также вёб-отображалка этих файлов-тредов. То есть абстрактный ГК, так же как гитхаб просто отрисовует репу и файловые каталоги.

    Гипертекстовый ssh govnokod.
    Ответить
    • А с помощью who и echo > /dev/[терминал] можно слать приваты...
      Ответить
    • Сначала жертву заставляют оставить свой публичный ключ. Говорят, что делиться со всеми своим публичным ключом — это хорошо. Потом заставляют зашифровать своим приватным ключом случайное число. Говорят, что если жертва этого не сделает, то оглупеет.
      Ответить
    • > Пользователь заходит на сайт, оставляет свой публичный rsa ключ

      Уже хуйня, дальше не читал. Проектировщик юзабилити из тебя хуёвый.
      Ответить
        • кстати пару месяцев назад в одном проекте поднимали свой pki, вот тоже говна поели пиздец с этими вашими инновациями (коко давайте флуди использовать ed за ним будущее он уже давно поддерживается всем чем нужно), а также CA/Browser forum, в котором написано хуй вам а не ed, но можно NIST P-521, а по факту хром соснулей дико даже по рекомендуемым требованиям своих же ебучих комитетов!

          раз 5 переделывали то суб-ца, а то и рут-ца
          Ответить
        • Конечно
          У меня давно уже всё на крученых кривых Эдвардва
          Ответить
    • > приаппендить к файлу свой текст

      А удалить не может потому что append only на файлухе?

      > заходит на сайт

      Хуйня какая-то, зачем сайт? Пусть под рутом зайдёт и создаст себе юзера.
      Ответить
  • Хакеры утверждают, что взломали серверы корпорации Canon

    Они угрожают выложить в открытый доступ 10 терабайт данных пользователей, если не получат выкуп в течение недели.

    Результатом атаки уже стало то, что у корпорации, производящей фото и видеотехнику, не работают несколько американских сайтов, а также нарушена внутренняя коммуникация, пишет интернет-издание Bleeping Computer. По его сведениям, хакеры оставили сообщение, в котором утверждают, что зашифровали огромный объем данных Canon, в том числе фотографии, файлы и базы данных. Расшифровать ее, согласно письму, можно будет только после внесения выкупа в криптовалюте. Его сумма при этом не раскрывается. Как отмечается, за кибератакой может стоять группировка Maze – она ранее уже заявляла о причастности ко взлому данных компаний LG и Xerox, а также социальных служб одного из городов в американском штате Флорида.
    ----------

    чото походу 445-й порт лучше закрывать...
    Ответить
  • 1С-БИТРИКС

    Бизнес
    Для коллективной работы над сайтом, управления партнерскими сетями и развития торговли. 50 модулей.
    72900 ₽
    Ответить
  • NASA will no longer refer to planetary nebula NGC 2392 as the “Eskimo Nebula.” “Eskimo” is widely viewed as a colonial term with a racist history, imposed on the indigenous people of Arctic regions.
    Ответить
    • Классы красных и жёлтых звёзд они уже переименовали? Это вроде тоже расистские термины.
      Ответить
  • Ребята. Подскажите почему в KDE такое говно, в нем все за хардкоджено? Я блядь не могу банально положение иконок в системном лотке поменят, что за пиздец. КАК БЛЯДЬ ПОМЕНЯТЬ?! А то обижусь по пойду сносить и поставлю дохло мышь
    Ответить
    • Тебе KDE нужно пропатчить, я правильно понял? Это форум программистов ващет. Напиши в администрацию президента.
      Ответить
    • Любой DE говно. Мыш чуть меньше, гном и KDE чуть больше. Я за винду менеджер без попсы.

      -Is there a way to change the order of the icons in the system tray widget?
      -With the current one: no.

      Так было 2 года назд
      ша хз
      Ответить
      • Да вроде ща попробовал что-то сменить по зоветам предположительного тырнета. Но говно не меняется. Тупо захардкоженно.

        >> Любой DE говно. Мыш чуть меньше, гном и KDE чуть больше. Я за винду менеджер без попсы.

        ну я на мыше раньше и сидел и чутка на авесоме, но все же мышь меня всем устраивал. А Кеды решил накатить по приколу, посмотреть, никогда их не видел в живую как и гниль3
        Ответить
      • KDE вроде самый тяжёлый DE (ну или один из самых тяжёлых)? Раньше, когда ещё на компах оперативки было меньше гигабайта, не на любой технике его можно было запустить.

        С такой прожорливостью можно было сделать всё настраиваемым.
        Ответить
        • KDE легче гнома был в моем детстве, а может быть qt было более вылизано, чем гтк

          Но вообще все DE это свистелки и пирделки и не нужны
          Ответить
        • Именно по этому я за фар на винде и за cwm на прыще
          Ответить
    • > не могу банально положение иконок в системном лотке поменять
      ну конечно, это ведь самое важное

      меня гораздо больше бесит, что только телега осилила на своем значке в таскбаре (доке) рисовать счетчик непрочитанных
      остальные ищи в далеком углу (том самом лотке, полезность которого → 0)

      также мульти-хай-дпи на иксах плохо (у меня), а в вяленом (у человека рядом) лучше, но зато там пиздец как глючат другие вещи
      Ответить
  • А чего никто не обсуждает кражу 20 гигов данных у Штеуда?

    Наверняка благодаря им найдутся новые бекдоры и уязвимости в их цпу
    In fact, the title of many of the documents do correlate to the list of purported information posted by the leaker:

    Intel ME Bringup guides + (flash) tooling + samples for various platforms
    Kabylake (Purley Platform) BIOS Reference Code and Sample Code + Initialization code (some of it as exported git repos with full history)
    Intel CEFDK (Consumer Electronics Firmware Development Kit (Bootloader stuff)) SOURCES
    Silicon / FSP source code packages for various platforms
    Various Intel Development and Debugging Tools
    Simics Simulation for Rocket Lake S and potentially other platforms
    Various roadmaps and other documents
    Binaries for Camera drivers Intel made for SpaceX
    Schematics, Docs, Tools + Firmware for the unreleased Tiger Lake platform
    (very horrible) Kabylake FDK training videos
    Intel Trace Hub + decoder files for various Intel ME versions
    Elkhart Lake Silicon Reference and Platform Sample Code
    Some Verilog stuff for various Xeon Platforms, unsure what it is exactly.
    Debug BIOS/TXE builds for various Platforms
    Bootguard SDK (encrypted zip)
    Intel Snowridge / Snowfish Process Simulator ADK
    Various schematics
    Intel Marketing Material Templates (InDesign)
    Lots of other things
    Ответить
      • Говорят куда-то на мегу залили.

        Пока не могу найти, в поиске одни жёлтые сми, которые копипастят друг друга.

        Да, меня ME тоже очень заинтересовало.
        Ответить
        • С «Меги» уже удолили, вместе с аккаунтом, «за грубое нарушение правил». Какой багор )))
          Ответить
          • Файлопомойки так всегда делают, когда что-то интересное сливают.
            Ответить
      • magnet:?xt=urn:btih:38f947ceadf06e6d3ffc2b37b807d7ef80b57f21/announce

        Intel ME
        
         3rd party software licenses - sw only.zip
        14.67 KB
         ccl link to intel(r) csme fw 11.8.78.3681 release notes (1).pdf
        199.92 KB
         ccl link to intel(r) csme fw 11.8.78.3681 release notes.pdf
        199.92 KB
         CCL Link to Intel(R) CSME FW 15.0.0.1192 v2_ RKL_S_Release Notes (1).pdf
        196.15 KB
         CCL Link to Intel(R) CSME FW 15.0.0.1192 v2_ RKL_S_Release Notes.pdf
        196.15 KB
         intel compliance kit content - 15 0 2019 5.pdf
        596.29 KB
         intel software license agreement 11.2.17.pdf
        357.11 KB
         intel(r) cse fw 13_30_0_1065_ww11_bkc_release_notes.pdf
        597.79 KB
         intel(r) cse_consumer_13.30.0.1065.zip
        232.46 MB
         Intel(R) CSME Runtime Verification 0.3.0.zip
        93.81 KB
         intel(r) management engine 5mb 10.0.60.3000v2 hot fix release notes.pdf
        639.65 KB
         intel(r) management engine 10.0.55.3000v2 hot fix release notes.pdf
        610.96 KB
         intel(r) management engine 11 software 11.0.6.1194v3 release notes.pdf
        492.00 KB
         Intel(R) ME 11.8 FW Update API Library UEFI v11.8.50.3425.zip
        10.53 MB
         intel(r) me compliance and debug documentation v.15.0.2019.5.zip
        27.42 MB
         intel(r)_csme_consumer_14.0.35.1147.zip
        236.91 MB
         intel(r)_csme_corporate_14.0.35.1147.zip
        302.94 MB
         Intel(R)_CSME_Corporate_15.0.0.1192_v2 (1).zip
        272.62 MB
         Intel(R)_CSME_Corporate_15.0.0.1192_v2.zip
        272.62 MB
         intel(r)_me10.0_1.5m_10.0.55.3000v2.zip
        12.76 MB
         intel(r)_me10.0_5m_10.0.60.3000v2.zip
        24.96 MB
         intel(r)_me_11.0_sw_only_consumer_11.0.6.1194_v3.zip
        80.39 MB
         intel(r)_me_11.8_consumer_11.8.78.3681.zip
        362.31 MB
         intel(r)_me_11.8_corporate_11.8.77.3664_version_3 (3).zip
        437.48 MB
         intel(r)_me_11.8_corporate_11.8.78.3681.zip
        429.81 MB
         intel_(r)_csme_13.0.35.1508_consumer mgphy-9.0.2.1.zip
        355.91 MB
         Intel_(R)_CSME_15.0.0.1166_Consumer_UP3_B0.zip
        211.05 MB
        
        125.47 KB
        Ответить
        • udp://open.stealth.si:80/announce 201 сид
          udp://tracker.tiny-vps.com:6969/announce 179 сидов
          udp://zephir.monocul.us:6969/announce 104 сида
          udp://tracker.internetwarriors.net:1337/announce 103 сида
          udp://9.rarbg.me:2970/announce 34 сида
          udp://tracker.torrent.eu.org:451/announce 10 сидов
          udp://exodus.desync.com:6969/announce 8 сидов
          udp://tracker.cyberia.is:6969/announce 2 сида
          Ответить
          • А откуда ты узнал эти адреса и количество сидов?
            Ответить
            • У пиров спросил скорее всего. Если они через трекер качают, то в их торрент файле будет ссылка на него. Там только info dictionary, а в ней трекеров нет.

              Ну или где-то уже есть глобальная база кто что качает...
              Ответить
              • > У пиров спросил скорее всего
                Хелло, Вы спрашивали, как скачать торрент 38f947ceadf06e6d3ffc2b37b807d7ef80b57f21 …
                Ответить
            • Спасибо, сэр. Что это за язык? Файл с расширением bsf:
              /** @file
              
                Boot Setting File for Platform Configuration.
                @copyright
                Copyright (c) 2020, Intel Corporation. All rights reserved.<BR>
                This program and the accompanying materials
                are licensed and made available under the terms and conditions of the BSD License
                which accompanies this distribution.  The full text of the license may be found at
                http://opensource.org/licenses/bsd-license.php
              
                THE PROGRAM IS DISTRIBUTED UNDER THE BSD LICENSE ON AN "AS IS" BASIS,
                WITHOUT WARRANTIES OR REPRESENTATIONS OF ANY KIND, EITHER EXPRESS OR IMPLIED.
              
                This file is automatically generated. Please do NOT modify !!!
              
              **/
              
              
              
              GlobalDataDef
                  SKUID = 0, "DEFAULT"
              EndGlobalData
              
              
              StructDef
              
                  Find "KBLUPD_T"
                      $gPlatformFspPkgTokenSpaceGuid_Revision                        1 bytes    $_DEFAULT_ = 0x00
                      Skip 55 bytes
                      $gSiPkgTokenSpaceGuid_PcdSerialIoUartDebugEnable               1 bytes    $_DEFAULT_ = 0x00
                      $gSiPkgTokenSpaceGuid_PcdSerialIoUartNumber                    1 bytes    $_DEFAULT_ = 0x02
                      Skip 6 bytes
                      $gEfiMdePkgTokenSpaceGuid_PcdPciExpressBaseAddress             8 bytes    $_DEFAULT_ = 0xE0000000
                      $gSiPkgTokenSpaceGuid_PcdPciExpressRegionLength                4 bytes    $_DEFAULT_ = 0x10000000
              
                  Find "KBLUPD_M"
                      $gPlatformFspPkgTokenSpaceGuid_Revision                        1 bytes    $_DEFAULT_ = 0x00
                      Skip 55 bytes
                      $gPlatformFspPkgTokenSpaceGuid_PlatformMemorySize              8 bytes    $_DEFAULT_ = 0x440000
                      $gKabylakeFspPkgTokenSpaceGuid_MemorySpdPtr00                  4 bytes
              Ответить
    • source: They have a server hosted online by Akami CDN that wasn't properly secure. 
      After an internet wide nmap scan I found my target port open and went through 
      a list of 370 possible servers based on details that nmap provided with an NSE script.
      
      source: I used a python script I made to probe different aspects of the server 
      including username defaults and unsecure file/folder access.
      
      source: The folders were just lying open if you could guess the name of one. 
      Then when you were in the folder you could go back to root and just click into 
      the other folders that you didn't know the name of.
      
      deletescape: holy shit that's incredibly funny
      
      source: Best of all, due to another misconfiguration, I could masqurade as any 
      of their employees or make my own user.
      
      deletescape: LOL
      
      source: Another funny thing is that on the zip files you may find password protected.
      Most of them use the password Intel123 or a lowercase intel123
      
      source: Security at it's finest.
      Ответить
      • >nmap
        пиздец, конечно
        голую жопу не прикрыли

        >username defaults
        блядь
        Ответить
      • > The folders were just lying open if you could guess the name of one

        Это походу какая-то файлопомойка для партнёров была? Доки, SDK и т.п.
        Ответить
  • И́бу ибуди́ — хуйда́о муди́ — китайский афоризм (кит. 一步一步地会到目的).
    Перевод на русский — «Шаг за шагом можно достигнуть цели».

    Транслитерация выражения не вполне верна. Иероглиф 地 имеет два произношения, «ди» и «дэ»; первое означает «земля» и близкие к ней понятия, второе служит для формирования наречий. 地 в этом афоризме произносится именно как «дэ», показывая, что устойчивое выражение 一步一步 во фразе является наречием. Ошибка также допущена в транслитерации иероглифа 会, который по стандартной системе транскрибируется как «хуэй» и в стандартном китайском языке произносится так же.
    Однако, для пущего комического эффекта произносить афоризм стоит так, как указано в преамбуле («ди», «хуй»).

    Источник: https://mat.pifia.ru/wiki/Ибу_ибуди_—_хуйдао_муди
    Ответить
  • Вопрос к опытным питонистам. Что там сейчас в моде?

    Для установки пакетов надо юзать pip (а не easyinstall)?
    setup.py для своих пакетов надо писать в формате setuptools (а не distutils, distribute и т.п.)?
    Для виртуальных окружений надо юзать изкоробочный venv (а не virtualenv, pipenv и ещё 100500 вореций на эту тему)?

    Что-то я уже запутался в этом море говна и велосипедов.
    Ответить
    • Какой There's Only One Way To Do It )))

      Лично я использую то, что новее и более изкоробочное (если функционал позволяет, конечно).
      Ответить
        • Подтверждаю. «venv» ещё не использовал, но когда в следующий раз понадобится — пересяду на него.
          Ответить
          • Ну кстати pipenv выглядит очень даже неплохо. Одной командой и зависимости качает и окружение создаёт и код в нём запускает. Не надо со всеми этими активационными скриптами пердолиться.
            Ответить
      • З.Ы. Там ещё какой-то pipfile на горизонте вместо requirements.txt... Блядь, как вы с этим живёте?
        Ответить
        • не совсем.

          Для пакетов, которые ты хочешь распостранять, надо юзать setup.py в фомате setuptools (distutils это лоу левел фигня, поверх котоой работает сетаптулс емнип).

          https://packaging.python.org/overview/

          а для конечных приложений нужно юзать poetry: оно и окружения создает, и зависимости трекает
          Причем в отличие от pip умеет лок файлы.

          Врроде так
          Ответить
  • > Please note that SELinux is a Linux-specific feature and Debian packages shouldn't assume it is present

    Эээ... у дебиана разные ядра могут быть? Внезапно.
    Ответить
    • Внезапно Debian не обязан быть Linux.
      Есть Debian на ядре FreeBSD, только он никому не нужен.

      Ну это примерно как нативное приложение под виндуос не обязано быть Win32, но мы же все понимаем, да?
      Ответить
    • Ն. Ս. ՍՏԵՓԱՆՅԱՆԻ
      ԵՐԲԵՄՆ ՃԱՐՏԱՐԱՊԵՏՈՒԹՅԱՆ ԴԱՍԱԿԱՆ ՏՐԱԴԻՑԻԱՆԵՐՆ ԱՅՍՊԵՍ ԵՆ ԶՈՒԳԱԿՑՈՒՄ ՇԻՆԱՐԱՐԱԿԱՆ ՆՈՐԱԳՈՒՅՆ ՄԻՋՈՑՆԵՐԻՆ.

      Н. С. Степанян
      ИНОГДА КЛАССИЧЕСКИЕ ТРАДИЦИИ АРХИТЕКТУРЫ ТАК СОЧЕТАЮТСЯ С НОВЕЙШИМИ СТРОИТЕЛЬНЫМИ СРЕДСТВАМИ.
      Ответить
      • Заголовок OCR не распознаёт, но, вероятно, там написано «ՄԱՐՏԱՐԱՊԵՏԱԿՆ ՎԵՐԵԼԱԿԸ» = «ВОСХОЖДЕНИЕ НА БОЕВЫЕ ПОЗИЦИИ».
        Ответить
      • какой красивый язяк
        ՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱ ՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱ ՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱՍԱԿԱ ՍԱԿԱՍԱԿԱ
        Ответить
            • Сасаев?

              Помимо лигатуры «և» («ев») у армян есть ещё несколько общепринятых лигатур:
              ﬓ = մ+ն = mn
              ﬔ = մ+ե = me
              ﬕ = մ+ի = mi
              ﬖ = վ+ն = vn
              ﬗ = մ+խ = mkh
              Ответить
        • Упорядочим буквы по геометрической форме:
          ԱՄՍՆԵ
          ԳՊԴՂՌՈ
          ՐԸ
          ԲԹՔ
          ԻԽԷԼՒ
          ՎԿ
          ԾՇ
          ՋԶՉՁ
          Ну и отдельной строкой оставшиеся:
          ՓՅՏՀՑՃԺ

          Особенно радует, что «Ս» — это наше «с», а «Տ» — это наше «т».
          Ответить
    • Мне понравилась фановая труба, заканчивающаяся выше раковины. При ветре говно будет брызгать в того, кто пользуется раковиной.
      Ответить
  • Кто знает художника Фернандо Ботеро?

    Похищение Европы
    https://sr.gallerix.ru/B/618282529/1551033819.jpg

    Христос
    https://sr.gallerix.ru/B/618282529/1943194282.jpg

    Мона Лиза
    https://veryimportantlot.com/uploads/over/files/%D0%9D%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8/2019/%D0%9D%D0%BE%D1%8F%D0%B1%D1%80%D1%8C%202019/%D0%9D%D0%BE%D1%8F%D0%B1%D1%80%D1%8C%20%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F%202%20(1)%20%D0%A4%D0%B5%D1%80%D0%BD%D0%B0%D0%BD%D0%B4%D0%BE%20%D0%91%D0%BE%D1%82%D0%B5%D1%80%D0%BE%20%D0%9C%D0%BE%D0%BD%D0%B0%20%D0%9B%D0%B8%D0%B7%D0%B0%2C%2012%20%D0%BB%D0%B5%D1%82.jpg
    Ответить
  • Хм, лол, в убунте оказывается куча готовых интересных профилей для apparmor. Например для фаерфокса, чтобы он не мог читать и писать .ssh.

    Но почему-то по дефолту профиль для firefox отключен. Видимо у хомячков что-то ломается от этого.
    Ответить
    • Хм, странный профиль на самом деле. Начали за здравие - писать только в downloads, читать только из public. А кончили за упокой - а теперь разрешаем все подряд в домашнем каталоге и на флешках, ну кроме .ssh и прочих хранилищ с ключами и паролями.

      Че к чему. Видимо предполагается что я сам лишнее выкину если параноик.
      Ответить
    • Ничего не понял. Приведи реальный пример, как это может понадобиться обычному юзеру?
      Ответить
      • Ну чтобы ты случайно свои ключи и пароли в веб не закинул. Ну или чтобы фаерфокс, словивший эксплойта, не пошел удалять или шифровать все подряд.

        З.Ы. Для всей системной хуйни там по-умолчанию подобные правила включены, так что даже рутовые процессы довольно бесправны.
        Ответить
  • https://habr.com/post/514286/
    > Habr vs Medium: сколько можно заработать, опубликовав 9 статей на Medium.com
    > За месяц было заработано целых 49 центов.

    Какой заработок )))
    Ответить
    • помоему зарабаывать на статьях это днище
      это надо писать мусорную хуйню типа той статьи про память айфона и юзать кликбейт
      Ответить
  • https://habr.com/post/514356/
    > Компульсивное переедание или как потолстеть на 20 кг
    > Привет, дорогой читатель! Меня зовут Лера, мне 20 лет и я ненавижу свою жизнь.
    > В 2018 году я заболела анорексией. За год я потеряла 20 кг и тогда мой вес составлял 42 кг при росте 178 см. Почему я начала худеть? Всё очень просто — манящие мечты о модельной карьере, контракты с Gucci и Dior, обложки на глянцевых журналах и путешествия по всему миру.

    { Вы случайно не канал об аниме Сообщество IT-специалистов ? }
    Ответить
      • Судя по
        >>> P.S.: я сама сейчас в поисках психотеравпевта, так что начало положено.
        , не будет.
        Ответить
      • Ну она сначала заболела анорексией и потеряла 20 кг, потом вылечилась и набрала обратно 20 кг, а потом заболела компульсивным перееданием и потолстела на 20 кг уже от базового состояния. Всё сложно, в общем.
        Ответить
          • >>> люблю кушатц
            >>> Каждый день я испытываю чувство стыда и отвращения к себе. Как только вижу холодильник — превращаюсь в комбайн для переработки жратвы.
            Мне кажется, или в этих параграфах есть некоторые противоречия?
            Ответить
            • Эм, да вроде нету противоречий.

              Утверждение 1: я люблю кушать.
              Утверждение 2: но мне стыдно, что я люблю кушать.
              Ответить
                • Я очень люблю писать на PHP. Но каждый день я испытываю чувство стыда и отвращения к себе. Как только вижу текстовый редактор -- превращаюсь в комбайн для написания говнокода.
                  Ответить
              • Я вижу противоречие в размещении утверждения о любви к процессу питания на главной странице (в поле «о себе»?) своего «ТикТока» и одновременно испытываемом стыде, совмещённом с отвращением к себе, связанном с упомянутым процессом.
                Ответить
                • Это сделано, чтобы сообщить всем, что она себя ненавидит.

                  Публичное самоистязание может быть привлекательным
                  Ответить
                  • > может быть привлекательным

                    Пускай себя острым перцем намажет
                    Ответить
      • Кстати, ебаный инстаграм раньше не давал листать далеко ленту без залогина, теперь даже просто зайти не даёт. Реальный пример того, как ссаные менеджеры наращивают количество регистраций.
        Ответить
    • Как бы мне заболеть анорексией? На счет двадцати не знаю, но десять кило я бы потерял
      Ответить
  • Никто не собирал у себя хотя бы примерную коллекцию ников шизиков? Можно паттернами.

    Хочу блеклист добавить у себя потом. Или проще будет вайтлист сделать? 🙂
    Ответить
    • А зачем? Ну вернутся - закинешь в игнор. Или ты хочешь чтобы они в древних тредах не упоминались?
      Ответить
      • Мне не для ngk.

        Я хочу, чтобы они не могли "авторизоваться" через гк у меня.
        Ответить
        • По-моему, это совершенно бесполезная трата времени, учитывая, что создание нового аккаунта на ГК — дело одной минуты. Лучше закинь их в шэдоубан.
          Ответить
            • Лучше запили гибкие инструменты модерации, от шэдоубана до отката правок по шаблонам ников.
              Ответить
              • Я, если честно, ещё не придумал, как вообще лучше сделать админского юзера.

                root или admin это валидные ники на гк :))

                Наверное, или их придётся запретить и делать отдельную форму логина для админа, или ставить админу какой-то никнейм типа [ДАННЫЕ УДАЛЕНЫ]
                Ответить
                • Зачем админу отдельная учётка? Просто выдай привилегии нужным участникам да и всё.
                  Ответить
                  • Не хочется связывать учётку на гк с админской учёткой на сервисе.
                    Ответить
                    • Двухфакторку добавь и запрети все админские действия без неё. Она и другим участникам будет полезна, имхо.
                      Ответить
                        • Да ну, time based через гугловский аутентификатор элементарно делается. Пара строчек буквально.
                          Ответить
                          • Спасибо, почитаю.

                            Сделал роли для админа, модера, юзера и шадоубана.

                            И ещё даже не прикасался к основной логике. Какой бэкенд )))
                            Ответить
                            • Ну собственно поэтому иногда стоит начать с готового фреймворка, где все эти "мелочи" уже реализованы и можно сразу хуярить бизнес-логику.
                              Ответить
                                • Х.з., джанга какая-нибудь? Я её не юзал ни разу. Но мне кажется, что там по-любому уже есть и роли и основы аутентификации и плагины для джвухфакторки?
                                  Ответить
                                  • А, так в asp.net роли есть из коробки и авторизация на их основе, но всё равно ж надо прописать, какие мне нужны изначально.

                                    Наверное, и для двухфакторки есть что-то, я ещё не гуглил.
                                    Ответить
                                    • Судя по MSDN вообще встроенное, только включить да отображение QR кода привернуть.
                                      Ответить
                                  • Подтверждаю
                                    Роли есть в джанге и в asp.net
                                    Ответить
                    • Ну тогда ничего не остаётся, кроме как пилить отдельную систему регистрации для админов/модераторов, хотя это и странно. Кстати, если планируешь заводить модераторов из числа участников, придётся ещё пилить механизм для связи модераторской учётки и юзерской, потому что никому не хочется перелогиниваться по десять раз на дню.
                      Ответить
                      • Не, с модераторами проблем нет так сделать.

                        А вот с админами... Ну в общем наверное пока добавлю роли для учёток, связанных с гк, это быстрее и проще и вряд ли этого будет поначалу недостаточно.
                        Ответить
                • Добавить в колонку «isAdmin» или что-то в этом духе?
                  Ответить
                  • Ну кстати на реддите прикольно сделано. В нормальной обстановке модератор может общаться как обычный юзер без выебонов. А если что-то случится - может сделать sudo написать официальный коммент с плашкой модератора.
                    Ответить
        • А в чём проблема их потом ёбнуть? Они же скорее всего новые учётки заведут когда вернутся. А против новых учёток ты ничего не сделаешь.
          Ответить
  • Старая цитата, но почему бы не вспомнить.

    I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them.
    Ответить
    • and nothing else matters..)

      На самом деле многие вещи действительно не имеют значения, а вот секурити -- да (привет Гармину)
      Ответить
  • Петухи, чем можно отметить 5г порошкового вещества?
    Ответить
    • ты решил закладчиком поработать, и тебе нужно как-то место закладки пометить?
      Ответить
            • Не слушай его. Кажется, я догадался: он предлагает кредитной картой рубить дорожку на части.
              Ответить
              • Если бы у меня было 10 грамм, я бы воспользовался советом.
                Ответить
      • Месяц ждать? Тупые амеры не положили мерную ложку, теперь нужно как-то изъебнуться.
        Ответить
        • Ну можешь самодельные весы наколхозить и монетки вместо гирь. Жопа в том, что современные монеты вроде как с неудобным весом. Советские больше подходили для этой цели.
          Ответить
          • Угу, 5 копеек весили ровно 5 граммов.

            Есть другие методы отмеривания, но они менее точные:

            1. Если знаешь плотность, можно отмерить нужный объём мензуркой. Плотность можно узнать, поделив массу, написанную на упаковке, на её объём (жопа в том, что измерение объёма зачастую представляет собой задачу нетривиальную). Плотность из справочника может не подойти, потому что у разного помола порошкового вещества может быть разная средняя плотность (у грубого помола между большими крупинками образуется воздушный зазор).

            2. Упаковку известного веса можно разделить на N частей: на лист бумаги высыпать дорожку и поделить её линейкой (жопа в том, что нужно сделать дорожку постоянной высоты и ширины, а на глаз это сделать нереально).
            Ответить
              • Можно высыпать пирамидку и поделить её пополам. Повторяя эту процедуру, можно поделить упаковку на целую степень двойки.

                На пирамидку ФСКН не приедет?
                Ответить
            • Привезли. Оказалось, что я примерно в 2 раза ошибался на глаз. Тупые прыщебляди говорили, что 1 чайная ложка без горки - это примерно 5г соли. Ну я примерно так и делал. Проверил - оказалось хуй. Ничему верить нельзя.
              Ответить
              • а ты "соль" продаешь, или исключительно для собственного потребления?
                Ответить
                • C4H9N3O2

                  Тупые американцы сказали 5г, но не положили мерную ложку.
                  Ответить
  • Продолжаю обсирать сайты интернет-магазинов.

    https://www.ulmart.ru/ — сертификат просрочен 58 дней назад (если проигнорировать истечение срока действия, то сайт работает).

    https://www.oldi.ru/ — выдаёт белую страницу. Иногда пишет: «Please enable cookies and javascript to access this site» — хотя «cookies and javascript» у меня включены. Он вообще работает?

    https://leroymerlin.ru/ — смешно распидорашивается в старых браузерах:
    https://i.imgur.com/kcdT7IS.png

    Видимо, вывод таблицы, состоящей из картинок с подписями, — это «bleeding edge».

    Отдельного комментария заслуживает распидорашивание страниц в современных мобильных браузерах (типа последнего «Хрома» под «Андроид»).
    Ответить
  • У меня есть гипотеза, почему «Telegram» так популярен в Иране: его название созвучно со словом Тегеран.
    Ответить
  • Ох блин, почитал про старую реализацию GIL в питоне. Они для "вытесняющей" многозадачности каждые N опкодов пытались отпустить лочку и пробудить соседние треды. Но поскольку соседний тред просыпается относительно долго, текущий тред обычно успевал забрать лочку обратно и ебашил дальше. В итоге переключение тредов затягивалось хер знает насколько и отзывчивость была никакая.

    А вы все ещё сидите на двойке? )))
    Ответить
    • Кстати, там ещё объяснили, почему ctrl-c не работал в многопоточных прогах.

      Оказывается питон, получив сигнал, пытается его обработать в главном треде. Но своего шедулера у него нету. Поэтому он начинал каждый тик отпускать GIL и смотреть, не подхватит ли его случайно главный тред. А главный тред обычно спит на каком-нибудь wait'е и никогда не придёт.

      Какой анскилл )))
      Ответить
  • У меня все друзья Белорусы отвалились и не выходят на связь. у вас усатый долбоеб тврнеты рубанул чтобы люди нехуя не рассказывали?
    Ответить
    • пишут, что да
      чтобы не координировали протесты

      Чай з варэннем
      @belteanews
      Белтелеком продолжает зажимать интернет и рассказывает сказки про кибератаки, перегрузку каналов и вот это вот всё. Да и как им работать, интернета же нет
      Ответить
        • Да. Будешь моим другом? Твои друзья - мои друзья, мои друзья - твои друзья.
          Ответить
          • Звучит как очередная "Давай дружить" на детском утренике.
            Подходит ребенок к незакомому ребенку и говорит: "Давай дружить"

            Ну давай.
            Ответить
              • ну мне вот не нужны, а тебе -- хз. Приведи реальный пример юзкейса друзей
                Ответить
                  • Если тебе хочется шашлыков, то ты можешь купить их в любой шашлычной, нет?
                    Ответить
                    • ладно, похуй
                      если это сарказм, то мне нечем ответить
                      если нет - то тем более
                      Ответить
    • >У меня все друзья Белорусы отвалились и не выходят на связь.

      Что, и через ГК связаться не получается?
      Ответить
        • Говорят, у них там весь «HTTPS»-трафик похерили.
          Ответить
          • рази?

            Писали вроде, что у них просто скорость сильно зарубили, а пограничные маршутизаторы не пускают траффик наружу.

            Смешно, что Лука сказал, что это "нас снаружи блокируют", что (как мы понимаем) нереально практически с таким-то количеством пиров. Но лекция для колхозников
            Ответить
            • > нас снаружи блокируют

              Лол, ну наших же провайдеров тоже готовят к отключению инета если начнутся атаки "снаружи". И большинство обычных людей в это верит, я думаю.
              Ответить
              • у нас еще страшнее говоярт, дескать блокируют из белого дома

                Сразу представляешь себе рубильник в кабинете Трампа: "отключить Россию от Интернетов"


                Маршрутизацию между автономными системами нужно в школе изучать, на уроке инфомратики
                Ответить
                • Как раз технически то не сложно BGP поправить. Ну где-то пинг вырастет, конечно, где-то скорость упадёт. Но та же европка на это вполне согласится, если какие-нибудь очередные санкции.

                  Просто вероятность такого пиздеца на порядки меньше, чем если всё это надумают отрубить изнутри.
                  Ответить
                  • Политически это довольно сложно сделать, а технически можно конечно нагадить, но пиры-то есть не только в Европе. Может настать момент, когда у Хуя Интернет будет лучше работать, чем у меня, бо до восточных рубежей ему ближе:)

                    Но делается это, разумеется, чтобы отключить его в нужный момент
                    Ответить
  • Добрый вечер! С вами регулярная рубрика «Обсёр Обновлений Винды», и у нас для вас есть свеженькое блюдо!
    https://habr.com/post/514582/
    > Windows 10@2004 update и потеря куков
    >
    В интернете много жалоб на то, что в Windows 10 после апдейта 2004
    приложения теряют куки. Проблема в том, что после апдейта DPAPI как-то
    неправильно работает. К сожалению, данные восстановить не получится,
    но заставить работать браузеры не вводя при каждом ребуте пароли, и не
    откатываться с 2004 — возможно. Под катом — метод, который у меня заработал.
    
    1. Делаем локального администратора
    2. Делаем Logout из текущего пользователя и заходим под администратором
    3. Заходим в %userprofile%\AppData\Roaming\Microsoft того пользователя, где
        нужно восстановить работу DPAPI
    4. переносим куда-нибудь каталоги: Crypto и Protect
    5. авторизуемся под старым пользователем и опять включаем синк в профилях
        браузеров, Microsoft store, и майкрософтовских приложениях — в общем везде,
        где использовался DPAPI
    Ответить
    • Похоже, Наделла заполнил отдел тестирования всеми своими троюродными братьями и сёстрами, а те в свою очередь привезли ещё отряд автомейшн бандерлогов и теперь всё поют, танцуют, куки удаляются.
      Ответить
    • Ой пиздец. И они с апреля так и не выпустили апдейт который это чинит?
      Ответить
      • >>> Windows 10 2004: New update fixes all these problems, says Microsoft
        >>> By Liam Tung | August 3, 2020 -- 10:56 GMT (03:56 PDT)
        Какой анскилл )))
        Ответить
    • https://habr.com/post/512498/
      >>> Microsoft будет принудительно устанавливать обновление May 2020 Update на ПК с Windows 10 версий 1809 и 1903
      >>> В конце июля 2020 года Microsoft объявила о том, что в компания переходит на новую фазу апдейта ОС Windows 10 до версии 2004 для всех пользователей. Теперь обновление May 2020 Update будет принудительно устанавливаться на ПК с Windows 10 версий 1809 и 1903.

      Какой багорище )))
      Ответить
      • Походу линуксу уже ничего не надо делать, чтобы завоевать рынок. МС сами справятся.
        Ответить
    • Вот именно по этому я всегда молюсь перед обновлением винды. И вы тоже молитесь
      Ответить
      • А зачем? Это же не боевой сервер, можно если что попросись админов переустановить.
        Ответить
          • Я живу полноценной жизнью
            Шиндошс сама себя не переустановит

            Кстати коляска вполне годно с 18.10 до 20.04 самодоросла в свое время
            Ответить
              • ... Но для экстенсивного увеличения количества лулзов, а, стало быть, расширения круга жертв, были открыты другие входы в прыщемирок. Например, на одном из них выдают красочную табличку с надписью «инвалид» и инвалидную самодвижущуюся коляску с обещанием доставить прямо через ограду в прыщемирок, где всё будет хорошо, бесплатно и легко. Не забывают, впрочем, предупредить, что вставать с коляски нельзя ни в коем случае. Что удивительно, коляска действительно начинает своё уверенное движение со спермоблядком на борту, однако сам спермоблядок уже очень скоро начинает смутно догадываться, что его обманули, поскольку, положение, в котором он сидит в коляске не такое уж и удобное, и до боли в анусе напоминает ему то самое положение, в которое его так часто ставил спермогосподин, а сама коляска движется с ощутимыми рывками, меняя направление, да и радостей прыщемирка не особо заметно, а окружающие прыщебляди посмеиваются и указывают на спермоблядка пальцами. И тут, спермоблядок понимает, что его разоблачили, поднимается со своей коляски и начинает грозить прыщеблядкам и кричать им, что он тоже прыщеблядь, поскольку уже проник в прыщемирок, преодолев границу. Это вызывает в прыщеблядях только смех, поскольку никакую границу спермач не преодолел — он просто катается в инвалидной коляске. А когда же спермач понимает и это, то он от досады делает неловкое движение и попадает в цепкие манипуляторы, устремившиеся к его заднице. И тут происходит разрыв на потеху всем окружающим прыщеблядям. Пожалуй, вид такой спермобляди, ещё более униженной, забавит куда больше. А собравшиеся вокруг прыщебляди тыкают палочками в агонизирующую спермоблядь, пока та изрыгает проклятья, обильно поливая собственную инвалидную коляску и землю вокруг анальной кровью. Вот в этом-то и состоит мрачная суть древней кровавой традиции прыщемирка, который не прощает и не ошибается. Так и будет: спермоблядство неизбежно должно караться в прыщемирке разрывом пердака. ...
                Ответить
                • В Санкт-Петербурге руководство прыщемирка приняло решение запретить проезд инвалидам-колясочникам, объяснив это тем, что прыщемирок небезопасен для людей с ограниченными возможностями, сообщает "Фонтанка.ru".

                  В пресс-службе петербургского прыщемирка такую меру назвали "вынужденной". "Бывали случаи, когда воля Шаттлворта не удерживала коляску с инвалидом, и она летела вниз. Кроме того, у нас есть заключение завода, который изготавливает прыщеядра, о том, что на них нет специальных креплений для колясок и они не приспособлены для перевозки пассажиров этой группы", – заметили в организации.

                  В свою очередь инвалиды крайне возмущены подобным решением. Так, студентка Северо-Западного института заправки картриджей Евгения Гурова, которую не пустили в прыщемирок 16 июня, когда она возвращалась с зачета по обжимке витой пары, написала о случившемся в свой блог в "Живом журнале", а затем направила жалобу на имя губернатора Санкт-Петербурга Валентины Матвиенко.
                  Ответить
  • Здравствуйте. Это форум программистов? Почему котобуса не бьёт лепестричеством, когда он переходит со столба на провод?
    Ответить
  • Оказалось, что jwt нельзя инвалидировать штатными средствами и нужно городить какие-то костыли.

    Никогда бы не подумал, что логаут может быть таким багром )))
    Ответить
    • в SAML все тоже сконцентрировались на Single Sign On, проебав Single Logout, потом наверстывали
      так что это повсеместно
      Ответить
      • В интернете советуют делать блеклисты, но это какой-то оверкилл.

        Потому я просто буду при "логауте" генерировать jwt, который тут же экспайрится, и передавать его.

        Норм?
        Ответить
        • > Потому я просто буду при "логауте" генерировать jwt, который тут же экспайрится, и передавать его.
          > но это какой-то оверкилл
          Э-э-э…
          Ответить
          • Ну дык тут уже всё сделано, просто сгенерировать токен с более другим временем жизни.

            А блеклисты надо самому вкорячивать, а потом ещё и к авторизации как-то прикручивать.
            Ответить
            • Я о том, что сама технология «JWT» — это очень большой оверкилл для простого монолитного проекта. Кука «auth» (или что там в твоём фреймворке её заменяет) — крайне простая и надёжная штуковина. Логин — генерация новой куки и запись в БД, логаут — удаление записи из БД, и не нужно городить костылей.
              Ответить
        • мы jwt никуда не притащили, чтобы я потрогал и сказал норм не норм
          насколько я понимаю, ты не можешь заставить клиент уничтожить предыдущий токен, поэтому твое решение, скорее, прилично пахнет
          это не кука, которая создается у тебя и проверяется "по вайтлисту" просто исходя из своей природы
          это не авторизация через общение с IdP, который тебе приватно расскажет, насколько валиден тикет
          вот такие модные технологии, да?
          Ответить
          • На самом деле, это кука по итогу. В куке jwt в качестве токена авторизации.
            Но, начитавшись рекомендаций, я её сделал httpOnly, то есть js-клиент её потрогать и удалить не может.
            Ответить
            • > На самом деле, это кука по итогу. В куке jwt в качестве токена авторизации.
              Зачем? Зачем?

              Не забывай, что смысл логаута ещё и в экстренном удалении сессии. Например, если у клиента спиздили куки, то он должен иметь возможность немедленно убить все сессии.
              Ответить
              • Так я о том же.
                Как мне убить сессию, если jwt нельзя инвалидировать? Вот никак, только блеклистить.

                Надо значит в какую-то другую сторону смотреть, только шоб оно ещё и роли нормально поддерживало, и вот это всё.
                Ответить
                • > Надо значит в какую-то другую сторону смотреть, только шоб оно ещё и роли нормально поддерживало, и вот это всё.
                  Делаешь в БД таблицу «sessions» вида (token, user_id, login_time, expire_time, ...), когда пользователь залогинивается — генерируешь рандомный токен X, отсылаешь его кукой клиенту и добавляешь в эту таблицу новую строчку (X, user_id, ...). Когда нужно аутентифицировать клиента — ищешь в таблице соответствующую сессию по предоставленному клиентом токену. Когда нужно разлогинить — просто удаляешь соответствующую строчку.
                  Вся эта рутина, разумеется, гавным-гавно реализована в 99% веб-фреймворках, проверь.
                  Ответить
            • звучит как замешать старое и новое

              тебе бы подошло, предполагаю, генерить jwt токены с коротким временем жизни и заставлять клиент рефрешить их раз в эн минут
              а сервер бы в очередной раз сказал бы "иди в жопу", когда ты разлогинился эн/2 минут назад

              тогда твоя "авторизация" уязвима на период в эн минут
              в этом плане блеклист, удерживаемый на эн минут, как раз затыкает и эту дыру (чтобы за период формальной валидности на клиенте - невалидности на сервере никто не просочился)
              Ответить
              • Да ну, а зачем мне access/refresh для простого сайта, ладно бы АПИ, тем более, на котором аутентификация будет проходить при помощи ГК, то есть, если токен сдох, то идём на ГК и весь процесс заново?
                Ответить
              • Чот такая схема выглядит как семиколёсный велосипед.
                Насколько я понимаю, «JWT» в первую очередь нужен для распределённых проектов, когда за аутентификацию/авторизацию отвечает сервер A.example, а клиент заходит на B.example и C.example, при этом у A, B и C нет единой БД. А если весь проект находится на одном сервере с одной БД — нафига все эти танцы на граблях, когда можно просто сделать куку с токеном?
                Ответить
                • Для jwt рекомендуется выделяет отдельный сервис, но это необязательно.

                  Фишка jwt в том, что он сам содержит всю информацию о себе, такой себе serverless, и именно поэтому его нельзя "инвалидировать".

                  Это как я понял.
                  Ответить
                  • > Фишка jwt в том, что он сам содержит всю информацию о себе, такой себе serverless
                    Ну да. А нужна эта фишка для того, чтобы ты мог попросить у https://auth-provider.company.test/ сгенерировать тебе JWT, а потом использовать его для входа на других сайтах (https://other-company.test/, https://yet-another-company.test/, etc). При этом другим сайтам совершенно не обязательно иметь хоть какую-то связь с auth-provider.company.test, они вообще могут быть сделаны другими людьми. Главное — чтобы они доверяли провайдеру.
                    Ответить
                • кука - привязка к домену, и максимум - поддоменам
                  если тебе надо между доменами скакать, то с кукой можно только лососнуть
                  и с недавних пор в хроме затянули гайки так, что даже решения "встрой позволительный спецсайт от домена2 в ифрейм, чтобы в него закинуть жаваскриптом со своей страницы хоть че нить, чтобы тот, что в ифрейме, уже со своим сервером поговорил и получил нормальную куку для домена2" перестали работать (недавно пригорало об этом)
                  Ответить
                  • Ну да. А «JWT» в куке — это, получается, worst of both worlds. Ни нормального логаута без костылей, ни аутентификации между доменами.
                    Ответить
      • Можно, наверное, генерить эти jwt токены не с реальным айдишником юзера, а с каким-нибудь рандомом, который в соседнем поле лежит. Ну и при принудительном логауте менять этот рандом чтобы все старые токены сразу же протухли.

        На распределенных серваках не сработает, туплю.
        Ответить
        • Кстати, а ведь блэклисты тоже на распределённых серверах без пердолинга не заведутся, придётся их с сервиса аутентификации раскидывать на все подчинённые сервера. Ну или с подчинённых запрашивать, валиден ли такой вот токен.
          В обоих случаях львиная доля смысла «JWT» теряется.
          Ответить
          • У тебя скорее всего будет один сервис аутентификации для jwt с одним блеклистом, а уже все остальные твои серверы, распределённые или нет, будут к нему стучаться.
            Ответить
            • Если они будут к нему стучаться на каждый чих, нахуй тебе jwt?
              Ответить
              • Потому что они ничего не знают про идентити, которая им прилетела с jwt. Передают jwt на сервак авторизации, он им возвращает данные пользователя или дулю.

                А как ты хочешь? Чтобы они ещё и кешировали данные авторизации? Ну тогда да, отдельный сервак не нужен )))
                Ответить
                • > Передают jwt на сервак авторизации, он им возвращает данные пользователя или дулю.
                  Ну а зачем JWT? Сервер аутентификации генерирует рандомную строку и даёт её клиенту, клиент даёт её подчинённому серверу, подчинённые сервера
                  > Передают рандомную строку на сервак авторизации, он им возвращает данные пользователя или дулю.
                  Всё.
                  Ответить
                  • Разница в том, как я понимаю, что с рандомной строкой тебе нужна БД, а с jwt тебе нужен только ключ, которым токен расшифровывается.

                    Типа пирфоманс
                    Ответить
              • Подтверждаю. Сама суть «JWT» в том, что подчинённые сервера никуда не стукаютчатся и вообще ни о каких сервисах аутентификации не знают.
                Ответить
                • Нет.

                  У тебя есть jwt, в котором есть некая зашифрованная информация. Ты хочешь, чтобы каждый твой сервак умел эту информацию расшифровать?

                  Именно поэтому и рекомендуется делать отдельный сервак для хранения чисто jwt, которому остальные серваки проксируют токены, а он им возращает, юзеров, роли, группы, пермишены и т.д.
                  Ответить
                  • Нет. «JWT» — это открытая, подписанная информация.
                    «JWT» работает так:
                    1. Пользователь даёт серверу аутентификации свой логин и пароль.
                    2. Сервер аутентификации генерирует подписанный JSON такого вида:
                    {
                        Предъявитель сего — админ.
                        -- Подпись Главного.
                    }

                    3. Пользователь даёт этот JSON подчинённому серверу.
                    4. Подчинённый сервер проверяет (локально!) подпись сервера аутентификации, таймауты и прочую питушню.
                    5. Если всё сошлось — подчинённый сервер убеждается, что пользователь является админом.
                    Ответить
                    • Ну, окей, это не шифрование, там просто хешируется ещё и секрет.

                      Без секрета ты токен не проверишь, верно?

                      И ты предлагаешь секрет держать на всех "подчинённых" серваках?
                      Ответить
                      • Там же асимметрику можно юзать, у подчинённых серваков только публичный ключ будет.
                        Ответить
                        • Да, нашёл на странице.

                          However, JWT and SAML tokens can use a public/private key pair in the form of a X.509 certificate for signing.

                          Это то, что так любит Д++ )))

                          Ну ок, тогда норм (наверное).
                          Ответить
                          • в смысле "любит"
                            так-то SAML выглядит на голову мощнее этой фронтоперделки jwt
                            с контентом, который по факту успешной идентификации придёт в сервис, можно вообще нормально жить
                            и когда ты юзера не знаешь, ты просто вежливо его просишь перейти по вот такому адресу, в надежде, что затем ты снова получишь попытку от юзера, но уже с билетом - и юзеру не надо на клиенте ничего запоминать, никаких говнотокенов - они прозрачно по существующим механизмам протащатся

                            и да, затем у тебя (если ты не обосрался) и сингл логаут работать будет

                            даже в oauth и то нормально можно запросить у источника то, что юзер разрешил предоставить

                            а это какая-то отрыжка
                            ничего нового не изобрели, "перформанс" итить
                            Ответить
                            • > ничего нового не изобрели, "перформанс" итить
                              Ну так-то да, лол, весь «JWT» — это просто строка с подписью. Конкретное его использование в RFC не определяется, там только общее описание джейсона, его представление в виде «base64» и зарезервированные поля.
                              Ответить
                              • Дорисуй сову сам.

                                А может есть какое-то другое RFC, где уже конкретная схема аутентификации описана?

                                RFC 7523, к примеру.
                                Ответить
                                • >>> JSON Web Token (JWT) Profile
                                  >>> for OAuth 2.0 Client Authentication and Authorization Grants
                                  Ну хуй знает, «OAuth» и безо всяких «JWT» нормально работает. Профита особого не видно.
                                  Ответить
                              • The algorithm can be changed to "none" by an attacker, and some
                                libraries would trust this value and "validate" the JWT without
                                checking any signature.

                                Вот фронтендеры и дорисовали сову.

                                Какой анскилл )))
                                Ответить
                                  • The specification does not mandate replay protection for the JWT
                                    usage for either the authorization grant or for client
                                    authentication. It is an optional feature, which implementations may
                                    employ at their own discretion.



                                    А вот и тот самый логаут, с которого начался этот тред.
                                    Ответить
                                    • > which implementations may employ at their own discretion
                                      «Ладно, похуй.»
                                      Ответить
                                    • Короч, по итогам треда

                                      1) jwt нинужен
                                      2) даже если бы он был нужен, я обосрался и использовал его неправильно, лол
                                      Ответить
                                      • Потом зомбируемого заставляют смешать «Java Web Toolkit» и «JSON Web Token».
                                        Ответить
                              • А я вообще не понял, какой смысл в jwt, если мы используем асимметричную крипту. Что мешает тогда просто произвольный JSON или XML или Аллаха так зашифровать?
                                Ответить
                                • В стандартизации. «JWT» определяет (ну, наследует от «JWA») алгоритмы подписи/шифрования и стандартные поля, вроде времени протухания, субъекта, которому выдан токен, и так далее. Это всё позволяет реализовать библиотеки, которые всю работу по генерации/подписи/проверке берут на себя, и тебе не нужно закатывать Солнце вручную. Более того, благодаря наличию стандарта, ты можешь спокойно* передавать токены из «ASP.NET» куда-нибудь в «Python», при этом тебе не нужно забивать голову форматами передачи, кодирования и прочей питушнёй.

                                  * С точностью до «some libraries would trust this value and "validate" the JWT without checking any signature».
                                  Ответить
                                  • Ну как бы да.

                                    Но зачем, например, в уже зашифрованном токене ещё и хеши считать? Кстати, если я правильно понимаю, то при схеме с шифрованием никакой секрет-«соль» в хешировании не участвует.

                                    Или надо читать спеку, а они там на самом деле могут шифровать только секрет лол?
                                    Ответить
                                    • Ты про какой алгоритм (UPD: поле «alg» в заголовке токена JWT) говоришь? Если про HSxxx — то это обычный HMAC, не асимметричная подпись. Вкратце, мы берём общий секрет, хитрым образом присоединяем его к подписываемой строке и вычисляем SHAxxx от полученного значения. В результате валидную подпись можно получить только владея указанным общим секретом.

                                      Асимметричная подпись — это RSxxx (RSA), ESxxx (эпилептические курвы) и PSxxx (хуй пойми что, доку надо читать). Проверь на https://jwt.io/.

                                      Шифрование всего токена — опционально.
                                      Ответить
                                      • Перечитал доку, понял. Любой алгоритм применяется к подписи aka третья часть токена.
                                        Ответить
                      • Я ничего не предлагаю, так работает «JWT».

                        > Без секрета ты токен не проверишь, верно?
                        > И ты предлагаешь секрет держать на всех "подчинённых" серваках?
                        На подчинённых серверах хранится публичный ключ «главного» сервера, приватный — только на главном. Для проверки подписи нужен только публичный ключ.
                        Ответить
                • ну вот мы и пришли к очевидному выводу, что JWT - идентификация, но не аутентификация и не авторизация

                  т.е. сервис, который тебя узнал по токену (привет, Вася Пупкин), должен тебя завести как юзера у себя, завести сессию, выдать куку
                  и заниматься сессией уже не оглядываясь ни на какой jwt
                  Ответить
                  • либо, раз уж и аутентификация (как хочет Desktop), тогда это безотзывной тикет, и пока он действует, ты _обязан_ его обслуживать
                    Ответить
  • Аккумуляторы GP производятся по новой, более совершенной технологии LSD (Low Self Discharge — низкий саморазряд).

    Затем зомбируемого заставляют смешать «low self discharge» и «Lysergsäurediethylamid».
    Ответить
    • Затем зомбируемого заставляют смешать «General Protection» и фирму «GP».
      Ответить
  • https://github.com/microsoft/WSL/issues/4518

    2020-й год. «Microsoft» не считает задачу реализации «IPv6» в «WSL» приоритетной. Петухи, как вы этой хуйнёй вообще пользуетесь?

    TurnOffNOD commented yesterday
    Hi, @craigloewen-msft , is there any schedule for ipv6 support?
    Ответить
    • Эм, ну я думаю там куча более насущных проблем есть, чем мифический IPv6.
      Ответить
        • Ну сколько сайтов и провайдеров НЕ поддерживает ipv4? За исключением всякого тестового барахла, конечно. Ноль?

          А WSL год назад просто крашился и вис, емнип. Так что им было чем заняться.
          Ответить
            • Кстати, а нахуй вообще WSL2 нужен?

              У WSL1 хоть какая-то киллер-фича была, что он лёгкий и быстрый. А WSL2 - это ж просто виртуалка под hyper-v, даже файлуху предлагают линуксячью юзать для пирфоманса.
              Ответить
                • Ну т.е. они признали своё поражение и просто тащат его для обратной совместимости. Которую тут же и сломали, лол. IPv6 то в первом WSL работал.
                  Ответить
  • Что такое «Служба активации Windows»? Гуглёжка показывает, что пользователи думают, что это что-то связанное с активацией «Windows» (внезапно, да?), т. е. с лицензией. На самом деле это кривой перевод какой-то хуеты, не имеющей к активации лицензии никакого отношения:
    https://docs.microsoft.com/ru-ru/dotnet/framework/wcf/feature-details/hosting-in-windows-process-activation-service

    Затем зомбируемого заставляют смешать

    Нахуй этот компонент вообще нужен?
    Ответить
    • Эм, да обычный пул воркеров. Как у того же апача. Попытались общую абстракцию сделать, чтобы каждый себе такое не велосипедил снуля.
      Ответить
        • Ну у майков же всегда грандиозные планы, видимо считали, что в будущем все пересядут на WCF. Это же достаточно общий фреймворк, не просто кусок IIS. Ты можешь и сам его юзать в своих прогах.
          Ответить
          • был диком, а потом вцф, а потом еще что-нить придумают
            Ответить
  • https://habr.com/post/514954/
    > Этой осенью «Роснефть» организует открытый марафон ИТ-соревнований для программистов.
    > 3 задачи
    > Нашей талантливой молодёжи предстоит разработать алгоритм для построения пути движения на сложной поверхности. Похожие задачи возникают во многих прикладных областях, связанных с геологией, сейсморазведкой, трубопроводным транспортом и нефтепереработкой. Приз за самое оперативное и качественное решение – 289 000 рублей.
    > Задача подразумевает техническое творчество: необходимо разработать роботизированное решение для выполнения операции, связанной с текущей производственной деятельностью по обслуживанию технологического оборудования. При этом мы вооружим участников настоящим роботом-манипулятором и трудолюбивым 3D-принтером. Призовой фонд для любителей роботов – 139 000 рублей.
    > Задача очень серьёзная: определение распределения линейных размеров зёрен пропанта по серии фотографий. В идеале получить уникальный алгоритм для определения характеристик пропанта по фотографии без каких-либо лабораторных исследований. Естественно, целью не является замена исследований как таковых, но в обозримом будущем реализованный алгоритм может быть применен как «онлайн» метод проверки качества пропанта на линиях производства, что повысит уровень контроля качества выпускаемой продукции. Тут придётся выложиться по максимуму. Но и призовой фонд весьма достойный – 1 142 000 рублей.

    Охуенно! «Как найти лошков, которые за миску пластиковой каши запилят тебе профессиональное производственное решение».
    Ответить
    • Это популярный подход, его еще Паша Дуров юзал.

      Допустим, тебе нужно приложение для Foo.
      Ты устраиваеш конкурс. Тебе приносят сорок тысяч версий приложения. Ты выбираешь лушчее, и покупаешь. Остальные идут нахуй.
      Ответить
      • > Ты выбираешь лушчее, и покупаешь. Остальные идут нахуй.
        А что самое главное: так как это конкурс, ты «покупаешь» полученный продукт за месячную зарплату одного миддла. Охуенно же!
        Ответить
        • Скорее даже джуна, т.е. победителю конкурса не надо всяких страховок, налогов, рабочего места, помещения...
          Ответить
      • Паша голимый стартапщик, а тут целая копрорация, она что, не может нанять пару профильных НИИ? Или профильные НИИ попросту не в состоянии гадать по зёрнам пропанта на фото?

        Как-то несерьёзно выглядит.
        Ответить
        • > она что, не может нанять пару профильных НИИ?
          Ну так профильным НИИ деньги плотить надо, а тут, считай, халява. Особенный смак будет, если по итогам решат, что на «победителя» никто не тянет.
          Ответить
          • Ага, напоминает марафон тестовых заданий в не очень добросовестных шарагах.
            Ответить
          • проблема в том, что профильные НИИ хотят очень много, решают очень долго (оплачивайте грант, приходите через год), а гарантий на успех примерно столько же
            Ответить
            • Почему бы тогда Роснефти не открыть свой собственный НИИ или центр RnD с тотальным контролем.

              Решать специализированную узкопрофильную задачу в контексте основного вида деятельности руками студентами -- участниками хакатонов ну как бы кхм.
              Ответить
              • с чего ты решил, что у них нет такого НИИ?
                просто задач бывает очень много, в частности, такие НИИ будут специализироваться на нефтегазовых/технологических задачах (качество, химические процессы, трубы), но при этом сосать в машинном зрении, бигдате, корпоративной гигиене, роботизации и т.д.
                Ответить
    • А мне нравится. Вдруг у меня скрытый талант в пропантах а в НИИ не возьмут без пхд в физике или каком-то говне. А тут могут и бабок отсыпать и на работу пропантщиком взять. В конце концов вряд ли чуваки которые живут этими самыми "профессиональными производственными решениями" возьмутся если приз такой уж низкий и конкурс будет не запредельным
      Ответить
      • я могу лишь сказать, что 1 млн рублей за такую задачу - маловато.

        разве что если они готовы просто выбрать из двух-трех участников, как из сортов говна, просто "лучший", который просто среди худших и просто на 2% лучше, чем рандом, и этот 1М гарантирован, то ок, можно и слить
        Ответить
        • Я просто знаю что нечестным образом монетизировать мое решение не получится потому что это в лучшем случае будет слегка рабочее непрофессионально сляпанное говно и получить что-то другое от людей с которыми ты не договаривался - самонадеянно
          Ответить
        • > 1 млн рублей за такую задачу - маловато.
          Там всё ещё смешнее.
          3.2.8. На основе рассчитанной метрики оргкомитет утверждает список победителей
          Состязания RPCC: 10 командных призовых мест, на основе итоговых протоколов
          экспертов – приз за лучшую презентацию проекта. Также возможно выделение
          призовых мест по номинациям, утверждаемым оргкомитетом и экспертами.
          Победителям Состязания RPCC вручаются дипломы и денежные призы.
          Призовой фонд Состязания RPCC составляет 1 142 тыс. руб. (до уплаты налогов).
          Налоговым агентом при выплате вознаграждений победителям выступают
          партнеры Организаторов (см. п. 4.3).

          Миллион — это общий призовой фонд до уплаты налогов. Что-то мне подсказывает, что в итоге победителям там и сотни тысяч на морду не достанется.
          Ответить
          • ну и нормально
            за бюджет корпоратива одного филиала хоть полезное дело сделают
            вон даже до говнокода инфоповод дошёл этот
            Ответить
            • Да для студента норм в общем-то. Это же больше ради экспы чем ради бабла. Да и на реальной работе что-то помимо диплома показать можно будет.
              Ответить
    • Предлагаю объявить конкурс для грузчиков. Каждый участник получает пустую фуру и кучу ящиков. Загрузивший свою фуру первым получает приз.
      Ответить
    • приятно, что в комментариях им напихали хуёв
      Ответить
    • Именно поэтому я бесплатно участвую только в том, где нет выгоды от высранного мною решения.
      Ответить
  • Если у меня на один и тот же запрос на сервер юзер может или создаваться, или апдейтиться, то имеет ли смысл возвращать 201 и 200 или это избыток информации и хватит только 200?
    Ответить
    • если ты хочешь сообщить клиенту, то можно 201, но вообще редко какой клиент будет этим пользоваться.

      just to make sure: ты же такие запросы принимаешь только по POST, верно?
      Ответить
        • классический вопрос на собеседовании - что вы слышали про HTTP REST, чем отличается POST от PUT, какие ещё методы бывают
          тебе бы тоже повторить базу

          а 201 это какая-то экзотика, ты бы ещё 418 использовал
          Ответить
          • Плюсую посрать плюс плюса. Можно вообще на всё 200 возвращать. Кого ебут вообще эти коды, и на что влияют? Только для красоты.
            Ответить
            • ну считается хорошим тоном возвращать 204, если всё заебись, но контента нет
              (у меня в подкорке какие-то проблемы где-то с чем-то, когда 200 + content-length: 0 какой-то хуйней считалось харамом, но подробнее вспомнить не могу)

              в остальном надо идти по принципу наименьшего удивления
              201 как раз удивляет (но тут я могу быть не прав)
              Ответить
          • У меня нет rest запроса, связанного напрямую с созданием или изменением юзера, потому put мне не пригодился, а так я про него знаю, спасибо.

            Я просто наверное не совсем корректно написал про "может апдейтиться". Юзер на этот конкретный запрос не обновляется, но создаётся, если раньше не было. Что обновляется/добавляется, так это access token.
            Ответить
    • Был такой канал на Ютубе года три назад, Train Driver вроде просто и назывался. Вёл его чувак из Петрозаводска, который по Карелии электрички водит.

      Норм были видосы. И по депо водил, и на маршрутах с рабочими поездами ролики были, но потом случился конфликт с начальством и он всё под замок убрал.
      Ответить
      • > но потом случился конфликт с начальством
        Пидоры.
        Ответить
        • Ну я так догадываюсь, что там прилетело не потому, что он снимал (потому что он снимал где-то полгода к тому моменту), а потому что он бабло начал собирать на стримах. Вот тут кому-то из РЖД и не зашло
          Ответить
          • > полгода

            И что? Может они через полгода как раз только и узнали. Начальство же обычно по рельсам не шарится, а остальным пофиг.
            Ответить
            • Да нет.

              Он, когда снимал локомотивы в депо, сам рассказывал, что делает это с разрешения начальника депо.

              Так что или он пиздел, или всем было похеру до определённого момента.

              Может, начальнику депо было ок, а начальнику дирекции или что там вышло не ок.
              Ответить