linkmeup

На выходных в интернете случилось интересное. А именно - в сети то ли нашли, то ли вспомнили сайт-каталог компании, торгующей всяким крепежом, метизами и прочим жизненно необходимым для любого половозрелого скуфа в самом расцвете сил. Конторе уже за сотню лет, но фикус не в этом, а в скорости работы их сайта. Ибо, несмотря на обширный каталог всякого, сайт работает с какой-то невероятной скоростью. Локальные файлы не всегда так быстро открываются, как отдаёт страницы это чудо.
Ну и вот все засели разбираться, почему они смогли, а у остальных сотня фронтендеров кнопки красит и выбирает фреймворк

Сам чудо сайт: https://www.mcmaster.com/

Пример разбора используемых технологий: https://www.youtube.com/watch?v=-Ln-8QM8KhQ

TL;DR: Рендер HTML на стороне сервера, агрессивная предзагрузка всего, что оказывается под курсором, никаких заигрываний с масштабированием всего, загрузка только необходимых здесь и сейчас JS скриптов, по полной используется локальный кэш и CDN.
Словом, пока одни выступают на конференциях, других фигачат на результат.

Ну и чтобы два раза попу от стула не поднимать, хотя тут наоборот, попа будет прилеплена к стулу, ещё один докладец "Breaching AWS Through Shadow Resources".
Ребятки просто и без затей нашли шесть критических уязвимостей в автоматически генерируемых ресурсах AWS и теперь рассказывают о каждой. Ресёрч, конечно, белиссимо! Сколько таких дыр в других облаках – загадка великая.

https://www.youtube.com/watch?v=m9QVfYVJ7R8

Наверно, ещё долго не отстану от вас с крутыми докладами с DEF CON 32. Потому что других там и нет, хо-хо-хо.
А сегодня смотрим доклад про багбаунти. Только не те зажёванные до дыр истории как кто-то нашёл багу, зарепортил и получил 100500 денег, а про саму индустрию и её проблемы. Про ИИ ворующие репорты, про распределение денег среди репортеров, про нагрузки на разрабов разгребающих репорты, как ошибаются с оценками уровня ахтунга, как маркетологи даже здесь на заборах пишут одно, а на деле получается другое.
Словом, тот самый котик с лампой и удивительными историями.

https://www.youtube.com/watch?v=6SNy0u6pYOc

Продолжаем поглядывать интересные видео с DEF CON 32, коих, как обычно, слишком много, чтобы рассказать про каждое.
В этом речь идёт про песочницу, показывающую дыры в AD, коих реализовано больше тридцати. Так что можно воспринимать это видео как краткий курс "Как не отстрелить себя яйца через AD".

https://www.youtube.com/watch?v=M-2d3sM3I2o

В первом подкасте мы кратко разобрали историю развития магистральной связи, какие научные открытия позволили создать оптические линии связи. Во втором - как устроены оптические линии связи, какие требования предъявляет оператор к сети целиком и какую функциональность должны обеспечить отдельные узлы, чтобы эти требования обеспечить. В третьем же - из каких устройств состоят отдельные узлы связи, какую функциональность они обеспечивают и на каких принципах работают.
А заодно выяснили, что такое оптический пробой и как шарик плазмы может сжечь километры опты.

https://www.patreon.com/posts/telecom-no-140-114423178

https://boosty.to/linkmeup/posts/c9c045f9-8344-4e17-995d-6231ea668910

https://sponsr.ru/linkmeup/70791/telecom_140_Komponenty_DWDM

Быстрый и довольно лёгкий пример одной из техник подлома приложений на андрюше. Не load virus, но enable_premium=1

https://secfathy0x1.medium.com/use-case-bypassing-in-app-purchase-by-payment-client-side-validation-e87e2c775a9c

Дамы и господа,
Традиционно после митапа, пока не выветрились эмоции, мы активно ангажируем всех накидать нам полную панамку фидбека и проголосовать за лучший доклад митапа.

Хвалите нас, ругайте, предлагайте свои идеи - мы всё читаем, делаем выводы и корректируем планы на будущее.

И не устаём повторять - спасибо, что доверяете и приходите =)

Фидбек накидывать СЮДА.

Вопрос совместимости конфигураций при миграции – боль больнючая, но как-то вопрос надо решать. Карапет Аветисян на митапе рассказывал, какие есть варианты в случае Континента.

https://youtu.be/G6Dtz1RbLFk

А в sshd, тем временем, продолжается сплит. Аутентификация отъехала в отдельный бинарь, так что изоляция, безопасность, мир, труд, май.

https://linuxiac.com/openssh-unveils-new-authentication-binary/

Читатели подкинули интересный проект, который изначально про образование, но интересных сфер применения явно больше.
Фактически, небольшая коробочка с малинкой, где поднимается хотспот и контейнер с интранетом, куда заранее напихан нужный контент. Ограничивается содержимое только фантазией и размером SD карты.
То есть, вроде никаких прорывных технологий, просто всё аккуратно сделано и красиво упаковано в готовый продукт, чтобы делать интересно.
https://internet-in-a-box.org/

Ох уж эти бумажки с наклейками. Особенно когда закупаешь технику отдельно, софт отдельно. Скучающему бухгалтеру покажи, ничего не понимающему властителю охранников объясни, если на местах кто-то её содрал, то акт составь. Жесть мороки было.

https://habr.com/ru/companies/timeweb/articles/843386/

И ещё интересного про Microsoft: устав бороться с фактом существования фишинговых сайтов (хотя валят они их пачками), они просто стали зафлуживать их левыми данными. То есть они сами генерят данные левых компаний, учётки для них и прочий корпоративный мусор, которым потом забивают фишеров. А дальше всё, даже ловить особо не надо. Они сами приходят.

https://www.youtube.com/watch?v=78qnM_ZzpNc&t=686s

Microsoft неожиданно выкатили в опенсорс интересное, только осталось понять, как это всё по-русски описать.
В общем, это новый слой виртуализации, написанный на Rust, как в этих ваших виртуалбоксах, кему и прочих хайперв, чтобы ещё лучше отвязывать хоста от гостей. Если совсем по верхам, то проект даёт единый CLI для управления виртуалками с поддержкой нескольких ОС и гипепрвизоров, не запариваясь за нюансы и особенности каждого. Плюс модная фича паравизор (читать OpenHCL) для запуска всякого внутри гостевых ОС.
По слухам, проект написан командой, отвечающей за WSL, и уже используется внутри Azure.
Должно быть годно, но надо разбираться. Проект явно не для домашнего использования, но облакостроителям будет интересно.

https://github.com/microsoft/openvmm
Доки можно почитать здесь: https://openvmm.dev/

Обзорно про три метода расшифровки TLS-трафика. Без особо глубоких подробностей, но как они работают и в каком случае какой используется, написано вполне доступно.

https://blog.apnic.net/2024/10/14/how-to-inspect-tls-encrypted-traffic/

Кибербез давно перестал быть пассивным, но что с инструментами для проактивного реагирования? Какие там изменения?

25 октября в 11:00 (МСК) камрады из «Лаборатории Касперского» проводят стрим, посвящённый обновлённому Kaspersky Threat Intelligence Portal, где обсудят, как в режиме реального времени понимать актуальный ландшафт угроз и как это упростит работу команд SOC.

С мест докладывают, что Вьетнам присоединяется к секте свидетелей IPv6 и планирует к 2030 году перевести на шестой протокол все локальные сети.

https://www.theregister.com/2024/10/14/vietnam_digital_infrastructure_policy/

В Ubuntu придумали интересное, но явно рискованное. Говорят, что теперь будут использовать в сборках самую свежую версию ядра на момент фриза. Даже (!) если апстрим находится в статусе RC.
Так что перед тем как обновиться, теперь надо будет не свечку зажигать, а целый алтарь возводить.
https://discourse.ubuntu.com/t/kernel-version-selection-for-ubuntu-releases/47007

Митап прошёл. Кажется, всё получилось круто. Всем отдыхать и набираться сил для новых трудовых свершений.

ЧГК с оглушительным успехом.

Музей связи
Свидетели мамонта
Any name

И другие смешные команды, молодцы!

Что ещё надо объяснять? Рома, доклад про микротики, и сразу после него закрытие.