Hello, alone wonderer!
![[sticky post]](https://l-stat.livejournal.net/img/icon_sticky.png?v=11043 "[sticky post]"){kind=icon}
О блоге (самый верхний псто)
klink0vHello, alone wonderer!
klink0v... Говорят, что иногда мошенники изволят мстють чрезмерно недоверчивым пославшим их на йух гражданам. Один из вариантов: отправляют от лица "использованного" дропа перевод на небольшую сумму по СБП с назначением платежа наподобие "за наpкoтики". Тебе банк блокирует счета и ты какое-то время бегаешь с подгоревшей задницей. Раньше так было модно конкурентам-юрлицам проблемы устраивать, но с появлением СБП забава вышла на новый уровень. Вот в том числе и поэтому у меня банки привязаны к отдельным SIMкам, номеров которых никто не знает.
И блин, вместо того чтобы всячески развивать грамотность народонаселения, наборот, ограничивают в количестве SIM-карт, да ещё и вынуждают покупать под них отдельные аппараты, чтобы оные постоянно находились бы в сети. Ну и как это называется?
... Впрочем, то что с мошенниками на самом деле бороться никому не надо, косвенно подтверждается и вот такими байками тоже.
... Смотрю, у ОПСОСов в моду вернулся пропавший было безлимитный мобильный интернет. А чо, ежели всё и так заблокировано, то можно и безлимиты продавать. Всё равно много не скачают, даже если захотят. Удобно.
... Сбер традиционно охренел. Я выставил в настройках продления подписЬки (которая "Сберпрайм") чтобы списывались в первую очередь СберСпасибо. Ага, угу, щаззз. Несмотря на то, что у меня там этих спасибов на две подписЬки бы хватило, списали со счёта всё равно только рубли. Как, говорите, выглядят пи****сы?
С некоторых пор в этой программе лояльности перестали участвовать "Все Инструменты", а Купер с Мегамаркетом скатились в полное г...но. Так что бонусы стало особо-то и некуда тратить: только в некоторые аптеки, да на бензин. Поэтому подписЬку эту имеет смысл держать разве что ради Okko (если нету халявного Wink-а) и расширения платежных лимитов в банке. Начиналось всё вроде бы неплохо, но потом Антимидас вышел на марш.
Работает тоже оно как-то черезж**но всё. У мамы закончился срок действия "прайма". В личном кабинете так и пишут "неактивен". Но при попытке присоединить её к своей "семейной" подписке говорят, что у неё оная якобы уже подключена, так что шиш. Смешно. Но отдельно доставляет, что при попытке написать в чат техподдержки отвечают "что-то пошло не так". Ну да, ну да, узнаю брата Колю...
.. Я таки разобрался как в Qwen-е генерировать картинки. Достаточно было туда просто залогиниться, бггг. Только он теперь позволяет сколько-то пользоваться своими услугами, после чего заявляет что-то типа "ты израсходовал все токены, чувак, приходи теперь через 12 часов". Хм... а кнопки "оплатить" и ценника я там чё-то не нашёл. Плохо искал? Генерирует таки прикольно. Чисто субъективно, понимает чего я от него хочу намного лучше того же "Шедеврума".
... Странная штука. Современные FTD-циски в роли IPSec-инициатора при конфигурации "net-to-net" в качестве Traffic Selectors заявляют не только собственно SRC и DST сети, но рядом также впихивают в SA /32-адрес хоста, который "изнутри" спровоцировал старт тоннеля и /32-адрес куда он изволил обратиться. Всё бы ничего, но вот Juniper-ы такого прикола не понимают от слова "совсем". И фактически единственный способ построить IPSec между Cisco FTD и Juniper-ом — это прописывать единственный host-to-host криптодомен, на котором особо далеко не уедешь. Блин, вот на фига, а главное зачем они так сделали? Чтобы у купивших циски лохов не возникло соблазна диверсифицировать вендоров что ли?
... Наткнулся на интересную статью про QCow2 и дисковый кеш. Там про ProxMox, но оно одинаковое для любого Qemu. Если кратко, то QCow2 плюс включенный кеш — это совсем ж**а; QCow2 + "cache=none" ещё туда-сюда, но из-за логики реализации самого QCow2 страничный кеш хост-машины всё равно задействуется. Поэтому в суровом нагруженном проде лучше вообще не пытаться использовать QCow2 несмотря на всякие вкусные плюшки, которые он предоставляет. Я как-то чисто интуитивно это всегда чувствовал. Поэтому там где строил я, везде был только Raw. А вот там где доверили развернуть решение горе-бизапасникам... Прикол ещё в том, что на ранних версиях Qemu по умолчанию был включен режим "cache=writeback". В общем, кому-то сильно повезло, что у них на площадке никогда не выключалось аварийно электричество...
... А у меня новая проблема мирового масштаба. Я привык носить мобильник в правом кармане. И теперь в этом месте постоянно протираются штаны до дыр. Даже совсем новые, только из магазина. Хоть заплатки на это место пришивай, как в советское времена на локти пиджаков лепили. Прям беда какая-то.
Всем использовать только Raw или Thick LVM и прочных карманов для мобильника.
klink0v... Я чё-то забыл прокукарекать. Ко мне жы ж наконец доехал из Китая мой Terrramaster D2-320. Всем моим требованиям он удовлетворяет: грамотная организации внутренней вентиляции, нешумный кулер с подстройкой оборотов в зависимости от нагрева, не тормозит шпиндель по неактивности, пропускает через себя SMART и ATA-команды наподобие standby. Так что в общем и целом я доволен. Мой мощный серверный 8-терабайтник под нагрузкой в виде торрентов рапортует о температуре 44 градуса, что я в принципе считаю допустимым. Без нагрузки / с легкой нагрузкой температура держится в районе 39 градусов. Побольше чем "на открытом воздухе" с внешним вентилятором, но вполне неплохо.
Единственное что несколько раздражает — это разъем USB type "C": пришлось покупать новый "полножильный" провод "type A — type C", все предыдущие коробки у меня были с USB type "B". И несколько "нестандартный" разъем питания 5,5x2,5: придется мне перепаивать мою "гирлянду" отводов от Meanwell-овского блока питания. Во всём остальном я доволен.
... Сбер смешной. Плакался-плакался в приложении, что ему нужно поддерживать актуальность данных о клиенте в соответствии с 115-ФЗ и просил подключить Госуслуги. Подключил, выдал разрешения. Но он всё равно не может / не хочет обновить адрес постоянной регистрации в учётке. Говорит, "приходи в отделение с паспортом". Ну да, ну-ну... красавцы, чо. Явно какая-то черепашка п...т.
... Оказывается, несколько лет тому назад у меня на раёне поселился профессиональный скульптор. И с тех пор он каждую зиму лепит в ближайшем лесопарке снеголедяные скульптуры на радость гуляющим. И что больше всего меня удивляет, так это то, что их никто не ломает / не разрушает. Стоят там уже несколько недель, хотя алканавтов, школоты и гопоты тут пруд пруди. Странно. Непонятно.
... В одном из телеграм-каналов пишут, что якобы в Ростелекоме собираются менять взад импортозамещенный псевдоотечественный почтовый сервис на Microsoft Exchange. Если это правда, то звучит довольно смешно.
... Вслед за mail.ru гайки закручивает и GMail. По мне так, что то, что другое сорта одного г...а. Куда валить? Я вижу два варианта: Яндекс с подпиской "360" за ~2400 рублей в год (на всяких пикабу дают скидочные промокоды) и TimeWeb, который дает 10 ГБайт места за 1000 рублей в год без ограничений на количество аккаунтов. Либо у них же за полторы тыщи в год 100 ГБайт места, но с тарификацией per-user. Усё, халява кончилась везде.
А один мой товарищ плотно подсел на GMail, выбрал там все свои 100 гигов дискового места и не знает что ему делать дальше. И докупить хрен докупишь, и того и гляди зобанят весь этот сервис в чебурнете, и куда / как всё это добро переносить, не очень понятно. Я бы конечно в такой ситуации архивы тупо на локальный комп сложил, но у него и компа-то своего нет...
... У Яндекса чё-т закончилась фантазия прямо как в анекдоте про креативного менеджера. То что раньше у них называлось "Алиса Про", теперь стало "Алиса Плюс". А "Алиса Про" теперь у них некая сущность в рамках сервиса "360", которая читает вашу почту и пытается её пересказывать (но зачем?).
Я тут долбанулся на отличненько и таки прикупил эту факен подписЬку на "Яндекс.360". В основном ради отключения рекламы в мобильном приложении и неограниченного по времени трындежа в "Телемосте", больше с неё взять особо-то и нечего, поскольку этот их "Диск" мне нафиг не впёрся. Шо я могу сказать? Мммм...
Телемост по сравнению с аналогичными сервисами самый дешёвый, но и самый глюкавый. Во время корпоративных созвонов то меня не слышно, то они обрываются, то голос "квакает", то ещё что-нибудь. В моём персональном субъективном рейтинге Zoom по-прежнему впереди планеты всей. Но он, сцуко, зело дорогой. Поэтому будем давиться, плакать, колоться, но жрать кактус. Есть ещё более-менее пристойные Контур.Толк и МТС.Линк. Но последний как-то не нацелен на простых "физиков", его просто так не купишь. А "Контур" чё-то зело прожорлив до вычислительных ресурсов клиента, плюс не переживает отключения мобильного интернета. Сбер.Jazz — совсем отстой. Так что, увы, Телемосту пока что вменяемых альтернатив особо-то и нет.
С подписЬками этими... нет такого у Йандеха, чтобы было "всё в одной". "Плюс" отдельно, "360" отдельно. "Шедеврум" отдельно. "Нетупая Алиса" отдельно. То есть если тебе одновременно нужны Телемост, Музыка, Шедеврум и нетупая Алиса, то изволь башлять за четыре разных подписЬки. "Плюс" иногда бывает с хорошей скидкой в М.Видео / Эльдорадо, на "360" бывают промокоды до 40%. На Шедеврум и нетупую Алису строго по 100 рублей в месяц за один аккаунт.
С "семьёй" они тоже перемудрили. Семейный "Плюс" можно купить на четыре аккаунта, "360" — на восемь. Но при этом в обоих случаях аккаунт должен входить в "семью". И один и тот же аккаунт не может входить в две разных "семьи". Поясню на примере. У меня есть свой "Плюс", у жены — свой. При этом у меня есть свободные слоты в подписке "360", но я не могу поделиться ими с женой. Потому что если она примет приглашение в "семью", то тут же отвалятся те, с кеми она делится своим "Плюсом". А я их к себе в "семью" взять не могу, потому что у меня все свободные слоты в "Плюсе" уже заняты. И с одной стороны Яндекс официально призывает делиться подписЬкой с друзьями-приятелями-коллегами, а с другой стороны в Правилах использования пишет, что "Член семьи — это совместно проживающий родственник" и ниипёт. Таким образом, пригласив с семью коллегу, я тем самым нарушаю правила пользования. И кому я должен верить? Дурдом, короче.
Всем хорошей удобной почты и видеоконференций.
klink0vВот и до меня докатилась эта чума в виде NXDomain-ответов на DNS-запросы "неправильных" A-записей. Чебурнет продолжает окукливание. То есть таки да, ростелек берет DNS-ы из НСДИ, откуда поудаляли всякие крамольные тытрупки, вацапы и иже с ними. Вариантов решения, как всегда, несколько.
Первое скорее всего будет работать не быстро, т.к. надо ходить и опрашивать несколько серверов пока доберешься до домена нужного уровня. По поводу второго, это только вопрос времени когда ТЬФУ начнет лезть вовнутрь UDP:53 и подменять его содержимое. Некстати, на некоторых московских провайдерах я с таким уже сталкивался. Третий подход ломает GeoIP / GeoDNS, я об этом в предыдущих постах уже упоминал. Так что остается последний вариант. Натравить его на тот же гугол, например. Конечно, его (гугол) со временем тоже могут замедлить / заблокировать, но при таком раскладе неработающий DNS окажется наименьшей из проблем.
По поводу выбора конкретной технологии: DoT или DoH. Они плюс-минус похоже, но DoH перспективнее. Во-первых, с точки зрения чебурнета DoH это всё-таки "честный" HTTP со всеми прилагающимися к нему SNI и прочими заголовками. То есть меньше вероятность что его загнобят впоследствии. Во-вторых, он умеет работать поверх QUIC, то бишь UDP, что будет пошустрее. Увы, в стабильном OpenWRT 24 такое пока что не поддерживается, об этом чуть дальше.
Разработчики OpenWRT, как всегда, великодушно позаботились о ленивых одминах, поэтому для настройки всего это добра достаточно проделать четыре шага.
Собственно всё, можно работать. Я в очередной раз подывился как быстро оказывается у меня могут открываться въеб-сайты.
Что касается жЫлеза. Сейчас из доступного есть известный Routerich от парней из Альметьевска. Известен тем, что с ним "из коробки" уже идут преднастроенными наиболее актуальные инструменты для выживания в чебурнете. И есть другой вариант подешевле от китайцев, но нужна именно ревизия 1.0. Более новые не годятся.
И я таки кажется понял почему под раздачу попал XMPP. Это протокол, по которому работает Whatsapp. Поэтому его сигнатуры попали в "замедление", равно как и сигнатуры MTProto. То есть даже внутри чебурнета оно замедляется / блокируется, и пофиг на какой номер порта его вешать. И вот за что мне нравится телега — она умеет работать с самым обычным Socks. А что касается этого гадского вацапа.
Так что забанили его, и херъ бы с ним. Не жалко совершенно этих козлов. Ещё и ни в чём не повинный XMPP за собой утянули, говнюки.
И весёлая картинка для привлечения внимания.
Всем успехов в освоении OpenWRT.
klink0v... Говорят, что Роскосмос намеревается покрыть Россию высокоскоростным заблокированным спутниковым интернетом. А я вот с огромным разочарованием обнаружил, что XMPP тоже "замедляется", даже в пределах одного чебурнета. Дома на антресольном сервере у меня крутится eJabberd. Когда я подключаюсь к нему через домашние же IPSec-и, всё работает замечательно. С мобильного же интернета сообщения ходят, картинки — нет. Была у меня изначально мысль развернуть для внутрикорпоративного общения Jabber, благо релевантный опыт родом из середины 2010-ых имеется. Но теперь уже даже и не знаю.
... Что-то поменяли в системе московского здравоохранения примерно с ноября месяца. Теперь дозволяется записываться на прием к единственному предложенному безальтернативному специалисту. Опять что-то отоптимизировали по самые помидоры.
... А мне врачи запретили жрать сладкое. Теперь официально. Какие-то неправильные бактерии и археи у меня в кишках обитают, оказывается. И тем самым портят мне жизнь. Их нетрудно вытравить антибиотиками, но примерно в 30% случаев они возвращаются взад при несоблюдении режима здорового сбалансированного питания. И вот как прикажете слезать с сахара и фруктозы, ежели в современном мире их суют примерно во все готовые продовольственные изделия и полуфабрикаты? Даже в майонез и в хлеб. Я уж молчу, что конкретно для меня эта зависимость сродни наркотической. Да и нафиг так жить?
... Не прошло и пятилетки, Azul Systems таки исподобилась заменить алгоритм хеширования в своих GPG-ключах, которыми она подписывает свои пакеты. Кто тоже пользуется, возрадуйтесь.
... Зима в Нерезиновске в этот раз какая-то ненастоящая. Вон, даже кораблики всё плавают. Снег? Ну да, завалило малость. С собаками стало тяжко гулять.
... Мегафно пробил очередное дно. Мы с супругой долго не могли дозвониться с Мегафна на МТСовский номер нашего общего друга. Просто не соединяло: ни в ту сторону, ни в другую. С Ростелека дозвонились моментально. А мне на Мегафно не может дозвониться робот из поликлиники. Я снимаю трубку, и тут же вызов сбрасывается. Хоть он (вызов) нормально определяется, маркируется и точно не относится к спаму-фроду. Хрень, короче.
... А моей маме пресловутый Мегафно предложил персональный тариф... за 10 (десять) рублей в месяц. В него входит 1 гигабайт и 100 минут звонков, дык ещё и внутрисетевой голосовой безлимит. Непонятно с чего бы такая щедрота, из серии "с молчаливого абонента хоть чирик позорный" что ли? Ну ладно, даже удобно, не надо вспоминать что SIMку выгуливать пора. Кинул 100 рублей, на год хватило, бггг. Проверьте свои "персональные предложения" в личном кабинете, может и у вас там чего-то эдакое-разэдакое будет.
... Mail.Ru собирается обнести "альтернативные" почтовые клиенты пейволлом. То бишь, очень скоро вы не сможете создать пароль для приложения не купив у них подписЬку. Если кто-то пользуется этим говносервисом, срочно создавайте пресловутые пароли для приложений (лучше с запасом) пока эту лавочку не прикрыли. А ещё лучше валите оттуда. Mail.ru всегда был чем угодно, но только не почтовым сервисом.
... Не уловил с какого момента, но Сбер нонче даёт халявные виртуальные карты. Раньше была проблема: чтобы пользоваться сервисами Сбера обязательно требовался хотя бы один физический пластик. Иначе не привязывался номер телефона к аккаунту. Я смотрю, они сейчас это пофиксили. А если кто подключил прастихоспади биометрию, то можно стать клиентом Сбера вообще полностью дистанционно. В лесу сдохло что-то крупное. Хотя я бы никому не советовал идти таким путём. Паспорт можно поменять, а свою рожу — нет.
... Ещё раз обматерился при попытках понастраивать микротик. Шел 2026-й год, а он до сих пор не умеет ни в route-based IPSec, ни в AEAD-шифры в первой фазе. Ну и кому он такой красивый нужен, спрашивается?
... Мособлгаз мне тут заявил в личном кабинете, что у меня газовая плита типа "слишком старая", поэтому я негодяй, мурзилка, и вообще они мне теперь в любой момент отключат газ. "Слишком старая" по их мнению — это старше 10ти лет (ну да, ей 20). Дык это что, мне предлагается плиту каждые 10 лет менять что ли? А они там не уху ели случаем? Тем более, что я на газу почти и не готовлю. Правда чтоль отключить его к какой-то матери? Задрали они со своими ежегодными проверками и мздой за "техобслуживание".
... Ноутбук у меня че-то стал самопроизвольно вставлять лишние пробелы. Ну то есть я нажимаю на пробел, а он иногда мне рисует две-три штуки. Неприятно. Странно, что на "взрослом" компе с такой же версией Linux-а подобной проблемы нет. Но разбираться с этим пока что лень.
... Procter & Gamble без предупреждения заменил в своих гигиенических изделиях верхний слой полимерного материала на нетканый. Женщины негодуют. Моя супруга тоже. Если кто знает где взять нормальные прокладки без этих вот "оптимизаций", напишите пожалуйста.
Всем сбалансированного питания и качественных гигиенических материалов.
klink0vБольше в режиме памятки. И в основном ниже пойдёт сплошное капитанство.
Допустим нам надо скопировать до фига жЫрный файл с одной линукс-машины на другую. И сетка у нас не то чтобы прям сильно шустрая. Как бы по возможности ускорить этот процесс?
Первое, что приходит в голову, это, конечно, scp / smb / ftp / rsync. Только вот scp сразу скушает энное количество вычислительных ресурсов на шифрование, особенно если ему явно не указать AES-ный шифр. И только rsync хоть как-то попытается сжать передаваемые данные, но при этом тоже много затратит на разбивку файлов на chunk-и и высчитывание контрольных сумм. Поэтому только netcat, только хардкор. И желательно в udp-режиме.
Ещё вспомним про подставу, что netcat бывает трёх разных видов: Traditional, OpenBSD и NMap. Они все умеют плюс-минус одно и то же. Но с двух сторон хорошо бы иметь одинаковый netcat, и лучше если он будет OpenBSD-шный.
Далее, капитан просил передать, что мы можем упереться в одну из трёх максимальных скоростей: чтение с носителя на источнике, передача по сети, запись на носитель на приёмнике. С первым и последним мы обычно мало что можем поделать, а вот сеть реально чуть-чуть "типа ускорить" за счёт компрессии. Но чем сжимать? Однозначно zstd. Хотя бы потому, что он "из коробки" без танцев с бубном умеет в многопоточность.
Но просто сжать мало. Между архиватором и отправкой в сеть желательно ещё поставить буфер, который будет сглаживать "рваный" выхлоп упаковщика и не давать сети простаивать. Оный существует и называется "mbuffer".
Таким образом, на отправителе данных вырисовывается заклинание наподобие.
zstd -T24 -zc ./some_big_file | mbuffer -s 1M -m 2G | nc -4 172.16.1.1 5555
Отдаем по-доброму 24 потока на растерзание zstd (да, у меня толстый сервер), под буфер выделяем 2 гигабайта и всё скармливаем в netcat.
На получателе что-то типа того.
nc -4 -w 10 -l 5555 | zstd -dc | pv -s 101G > some_big_file
pv тут чисто для наглядности. Если ему заранее скормить приблизительный размер передаваемого файла, то он нарисует красивенький progress bar. И заодно сравнивая показания pv и mbuffer можно понять насколько эффективной оказалась отдача от самого процесса сжатия.
Со всеми этими параметрами наподобие количества потоков, степени сжатия zstd или размера буфера можно играться. До тех пор пока не упремся в то, на что уже не можем повлиять (смотри выше). Конкретно я в своих экспериментах достиг предела в скорости записи на диски на целевой машине.
И ещё у древних netcat-ов был баг. Если на машине двойной стек (IPv4 + IPv6), то надо явно указывать протокол (4 или 6). Иначе коннект рвется с неинформативным отлупом и иди ищи почему.
Всем быстрого копирования.
klink0v... Завалили работой, в том числе местами традиционно идиотской. В мире и в России творится какая-то хтоническая дичь. Устаю. Настроения нет совершенно. Новости есть, но я их складываю "в ящик". Писать в ЖЖ как-то не особо хочется.
... Из комментариев в ЖЖ с некоторых пор пропали IP-адреса. Видать, "развитие" прогрессирует. Не знаю хорошо это или плохо. Теперь я не вижу кто из какого города меня комментит.
... Ростелек в моём районе (Северное Медведково) работает таки крайне х...о (не подумайте что хорошо). Стоит только запустить торренты — латентность тут же улетает в небеса. И формально-то особо не подкопаться. Заявленную скорость по тарифу внутри России канал держит. Без нагрузки потери и RTT тоже вполне себе в рамках договора. А то что под нагрузкой латентность начинает скакать — дык, что называется, кормить никто не обещал. Придется собраться с духом, таки проложить по квартире ещё N проводов и таки воткнуть МТС. Правда, говорят, на отдачу он тоже не ахти. И вот этот его фирменный прикол, что нельзя одновременно подключить фиксированный IPv4 и хоть какой-нибудь IPv6 тоже не внушает уважения.
... У этого ростелека ещё очень тормозные DNS-сервера временами. И я че-то подумал, а у ростелека ли? Если все эти DNS-запросы проходят через DPI (а они проходят), то может это и не провайдер тормозит. Только ж никто не расскажет.
... И на фоне всех вот этих историй, что "первые 16 килобайт проходят, а дальше досвидос". Во-первых, как выяснилось, это распространяется даже на нешифрованный HTTP. Например, вы можете попробовать загрузить одну из моих архивных фоток по ссылке. Для сравнения, та же фотка, но на российском сервере. Придется мне весь фотоархив "сюда" перетаскивать, но это не самая большая из проблем конечно. Получается, что GeoIP / GeoDNS / GeoCDN становится всё более актуален. Потому что для пришедших из чебурнета надо отдавать с серверов внутри чебурнета. А для пришедших снаружи — из-за его пределов. Во-вторых, мне интересно что станет с теми же самыми торрентами. Их тоже загнобят / зачебурнетят вместе со всем остальным трафиком?
Но самая-пресамая ж...а конечно с ресурсами, которые изнутри чебурнета "замедляются" как "типа неблагонадежные", а "с той стороны" не впускают с подсетей ЦОДов и хостеров в целях "типа защиты от DDoS-атак". Например, вот такой. К счастью, пока таких не очень много. Но это пока. И если всерьёз припрёт что-то на таких сайтах посмотреть, то это становится проблемой даже для меня.
... Не скажу зачем искал максимально непопулярных в России хостеров, которые можно оплачивать при помощи AliPay. Нашел вот такого. HostZealot, сокращённо "HZ". Хм, похоже что это "наш" вариант.
... Вроде на дворе 2026-й год. А у российского гражданина по-прежнему есть аж целых три "прописЬки": по мнению МВД (эта та которая "адрес постоянной регистрации"), по мнению МФЦ (это та которая "выписка из домовой книги") и по мнению ЕИРЦа / снабжающей организации. И в общем случае эти три прописЬки никак не синхронизированы. Так-то в общем юрдическую силу имеет только МВДшная, а на остальные в принципе плевать. Но ровно до тех пор пока не приспичит провести какие-нибудь манипуляции с недвижимостью. И вот тут начинается, что банк вдруг очень хочет выписку из домовой книги (упразднённые ещё в 2018-м году), а потенциальный покупатель — посмотреть последнюю платёжку за ЖКХ, аж кушать не может. М-дя.
... У меня на раёне на полном серьёзе открылась аптека "Шах". Штош, ждём открытия неподалёку похоронного бюро "Мат".
... В 16-м андроиде приложения че-то сами по себе стали "терять" ранее выданные им системные права. Может конечно это только у меня такой глюк, не знаю. Вроде разрешил всё что нужно, а потом "бац" — и оно перестает работать. Материшься, пересоздаешь подключения, заново раздаешь привилегии. Вроде работает ещё какое-то время. Неприятное.
... Смотрел на ТыТрубке сюжет про прототип ЦОДа на орбите. У ведущего за спиной стоял монитор с какими-то обоями. Пошел смотреть откуда они. Оказалось, из анимешки под названием "Dandadan". Она (анимешка) настолько норкоманская, что "зашла" и мне, и внезапно супруге (которая эти все анимешки в норме терпеть не может). Теперь оба цитируем её. А вот другая анимешка, "Dededede", чё-то не "зашла". На половине стало дико скучно, не смог досмотреть.
... Говорят, мир состоит из протонов, нейтронов, электронов и гондонов. Как мне кажется, последних больше всего.
Всем иметь правильную прописку. А ещё лучше правильное гражданство.
klink0vЯ сейчас про протокол Socks5. Да, снова.
Сегодня все инфополе забито тем, что известные обезьяны начали удалять из DNS всякие неугодные им RR (resource records). DNSSec в этой ситуации не особо спасёт. Он защищает от подделки, а когда ты в принципе не можешь разресолвить IP ресурса, то... ты не сможешь разресолвить IP ресурса. NXDomain и привет.
Да, есть всякие там DNS over HTTPS и всё в этом духе. Но оно тоже такое... Плюс надо ещё держать в голове про балансировку по GeoIP. То есть если ты приходишь на ресурс не с того же самого SRC IP, с которого отправлял DNS-запрос, то с некоторой вероятностью получишь неоптимальный маршрут до него или даже вовсе ничего не получишь.
Понятно, что всегда можно устроить КВН с DNS-форвардером "с той стороны" и заворачивать вообще весь трафик в этот КВН. Решение, да, но не очень гибкое.
И вот тут весьма полезными оказываются те самые носки. Потому что в пятой версии протокола есть встроенный функционал вида "ресолвить имена на стороне Socks-сервера". Таким образом, во-первых не нужно городить DNS-форвардер. Во-вторых, трафик всегда уйдет из той же точки, что и DNS-запрос, т.е. GeoIP-балансировка не страдает. В-третьих, разные приложения можно одеть в разные носки (или не одевать), а для браузеров прописывать условия использования носков для тех или иных доменных имён. То есть это удобнее чем пытаться рулить на третьем уровне.
Недостаток, впрочем, тоже очевиден: не все приложения умеют одеваться в носки. Среди мобильных приложений не умеет почти что никто. Ну и сами по себе носки не отменяют необходимость в использовании КВН-а, поскольку содержимое внутри обертки не шифрованное.
Всем ярких удобных тёплых носков.
klink0v... Нет, я никуда не пропал и меня не съели инопришеленцы. Две недели тому назад схватил (вероятно в метро) какую-то очередную бациллу. Вполне допускаю, что это могла быть энная по счёту волна ковидлы. И перетаскал её как-то странно: высокая температура держалась всего полдня, а всё остальное время просто дикая усталость. Которая не отпускает до сих пор. Моя и так-то не суперская работоспособность упала совсем ниже плинтуса, так что на ЖЖ тупо уже ничего не остаётся.
... Смешной юридический казус номер один. Какой-то школотрон снял на видео как его безответная лубофффь ****ся с его дружбаном и из чувства мести отправил сей видос мамашке оной. Теперь незадачливому видеооператору шьют дело о распространении детской порнографии. Хых, мстя не удалась.
... Другой казус, ссылку приводить не буду. Некоему условному Васе после неких событий некая страна Трухляндия всучила своё гражданство, о котором он так-то ни разу и не просил. А потом через несколько лет арестовала его же по статье за измену родине. Хм, а чо, удобно. Я думаю, "кто надо" возьмёт себе на вооружение. Вот мешает тебе, например, какой-нибудь условный гражданин США. Ты его сначала вытаскиваешь к себе на территорию, быстренько предоставляешь ему гражданство и можешь делать с ним что хочешь в обход любых дипломатических международных процедур. Правда, в случае с Россией для этого требуется указ президента, но это же ведь всё решаемо, да?
... Случайно удалил на своем ондроед-телефоне имени Xiaomi часы с главного экрана. Потом час наверное разбирался как их туда вернуть. Раз пять прокручивал менюшку мимо нужного места и никак не замечал кро-о-о-о-охотную ссылку "добавить системный виджет". А сегодня на тот же телефон прилетела HyperOS 3.0.1 на базе Android 16. После чего отвалился GadgetBridge. Что-то они там в очередной раз намудрили с блюпупом. Пришлось накатывать ночную сборку GadgetBridge и заново настраивать. Пока вроде работает, но всё равно неприятно.
... Я вот не понял, Qwen больше не занимается генерацией изображений, или я просто не туда опять смотрю? Раньше я им всякие забавные картинки клепал, а нонче чё-т и не получается.
... С некоторым удивлением узнал, что иногда операторы "не отпускают" по MNP "красивые" номера, особенно если с момента покупки оного прошло менее трёх лет. Это фиксируется допником к договору на оказание услуг связи, который обычно никто не читает. Смешно. Никогда не гонялся за красивыми номерами, поэтому сам не сталкивался. Хотя... каюсь, грешен. В 2012-м году купил симметричный "бронзовый" номер за целых полторы тыщи рублей у Мегафна. По тем временам это были ощутимые деньги.
... Забавный ИИшный видосик про Москву 2035-го года. Извините что ссылка на втентакле, но можно не логиниться, оно публичное.
... Говорят вводють некий ИД ЕРН чтобы всех посчитать воедино созвать и единою чёрной волей сковать. Больше номеров богу номеров. Есть жы СНИЛС, зачем ещё какой-то "Единый Реестр Населения"? И где все эти религиозные фанатики, которые обычно яростно протестуют против присвоения человекам каких-то там номеров? Чё их не слышно в этот раз?
... ProxMox начиная с версии 9.1.2 научился нативно запускать OCI-контейнеры. Функционал этот, правда, ещё сыроват, но говорят что в целом работоспособен.
... Okko как-то лихо выкупил эксклюзивные права на трансляцию олимпиады. Так что в цифре можно посмотреть прямой эфир с места событий только у него. Мне-то глубоко похрен на всех этих дрыгающих ногами-руками чудиков под препаратами, но среди моих друзей оказывается есть спортивные фанатики. Есличо, Okko с некоторых пор тоже под Сбером живет, так что на него распространяется подписЬка "Прайм". Имейте в виду есличо.
... Душещипательная история о том, как некоего Витю Батарейкина задолбал РКН и он установил себе где-то в Калининградской области Starlink-терминал. По мне так полная брехня из того же разряда, что всякие success-story из журнала "Хакер" для детей младшего и среднего школьного возраста. Сейчас уже за 150 евро в месяц (плюс НДС) можно вполне официально купить гигабитный L2 от московского ЦОДа до немецкого. Подробности разглашать не буду, да и предложение не то чтобы сильно публичное. Но если кому всерьёз надо, тот всегда найдёт правильных людей и правильные конторы. А не вот этот вот онанизм со Starlink, притом что никто никому, мягко говоря, не гарантирует работоспособность шифрованного канала от той же Москвы до Калининграда. Так что надёжность такого решения... сказать помягче... вызывает некоторые вопросы.
... Вот за что я не люблю всякие модно-молодежные кубернетесы и прочую контейнерно-микросервисную дрянь. Оно берет и втихую прописывает в локальном файрволле хоста правило вида "DROP !127.0.0.0/8 → 127.0.0.0/8". На хрена, зачем? Я часа два искал, не мог понять где затык. Вроде должно работать, а не работает.
... Равно как и ненавижу этот б***ский Checkpoint. Штоб гениталии отсохли у тех кто его продает и внедряет! Никак не мог понять почему входящие TCP-коннекты по IPv4 с хост-машины до виртуалки не проходят, в то время как IPv6 и ICMP работают. Удалил из виртуалки Checkpoint VPN Client и всё сразу стало хорошо. Потные суки. Мои лучи поноса в сторону создания этого г...на безграничны. Впрочем, ровно то же самое могу сказать и про Citrix, и ещё много про что.
... Чё-то много букаф получилось, устал клавиатуру топтать. Остальной дыбр тогда оставлю до следующего поста.
klink0v... Есть у конторы интеграция с одним из заказчиков. Ничего особенного. С двух сторон Javaписьные приложения, пуляют друг в друга XMLками поверх HTTPS. Одно клиент, второе сервер, аутентификация по X509-сертификатам посредством mTLS (mutual TLS). Короче говоря, всё как у людей.
В какой-то момент подошел срок годности сертификатов. Ладно, договорились, выпустили новые. Отправили заказчику в шифрованном письме JKS-ку (Java KeyStore) как они просили, альтернативным способом сообщили пароль от неё, вроде ничего такого экстраординарного.
Наступает час икс: сервис заказчика перестает работать. Прибегают к нам с жалобами и криками "мать-перемать". Уходим в отладку и видим, что не шлёт нам их софтина свой клиентский сертификат. Ну не шлёт и всё тут, хотя сервер вполне недвусмысленно просит.
Дальше начинается долгая муторная переписка, созвоны, тонна наводящих вопросов. Все эти перипетии опущу, главное что мы таки выяснили что же на самом деле случилось.
Эти товарищи, именующие себя инженерами, вместо того чтобы импортировать в свой keystore свежую JKS-ку "как есть", открыли её какой-то утилитой. Подозреваю, что Keystore Explorer-ом, но это не точно. Она у них спросила пароль, но они просто нажали "Enter". Действительно, реальные пацаны не вводят пароли: они ж чисто для лохов. Разумеется, при таком раскладе утилита не показала им закрытый ключ, ведь он по сценарию защищен тем самым паролем. Далее они выгрузили только открытый ключ с сертификатом и импортировали их в свой keystore. А потом долго сидели и не вдупляли почему же всё на****лось. И попутно кидали предъявы, что мы им якобы этот самый закрытый ключ не предоставили.
... Другой заказчик; внедрили у них некий оккультный сервис, у которого в качестве бэкенда используется Apache Cassandra. Те зачем-то решили провести следственный эксперимент. Загрузили в этот сервис 20 миллионов записей. Измерили занятое кассандрой место на диске: два гигабайта. Потом удалили эти 20 миллионов записей. Снова измерили занятое кассандрой место: те же два гигабайта. И прибегают с яростными воплями "а-а-а-а, как же нам планировать место на дисках, когда неизвестна динамика его расходования???!!!111" Ответ вида "да выдайте вы кассандре 200 гигабайт, поставьте машину на мониторинг и успокойтесь" их категорически не устроил. Вот уже месяц делают мозги с требованиями провести какие-то испытания и выдать им чёткий график использования дискового пространства кассандрой в зависимости от нагрузки на сервис.
... Оба заказчика являются крупными российскими компаниями, позиционирующими себя как исключительно высокотехнологичные. М-дя...
donz_ru