И не знаю на что ссылку дать. У меня нет особо приватного блога. Ну в FB наверное.. Но я его недолюбливаю. Наверное, кто не остался ин тач, значит всё.
И треснул мир напополам, дымит разлом, И льётся кровь, идёт война...
Итоги 2021. - Это первый год с 2012-го, когда я ни разу не пересек госграницу. - Впервые за 12 лет был на корпоративе. - Впервые прокатился на фуникулере (Владивосток). - Бросил английский. Некогда. Иногда скучаю. - Проэтосамил подачу на гринкарту. - Побывал в Сибири. На Кузбассе. Раньше я думал, что Сибирь придумали коммивояжеры, чтобы накидывать цену товарам. Новосиб проездом в 2019 не считается. - Оценил разницу морозов в Сибири и в Питере. Сибиряки, вы ничего не знаете о том, что такое холодно. - Впервые посетил конференцию Олега Бунина за деньги. - За три дня до Нового Года я в авральном режиме наконец-то понял примерно, как составляется схема SNMP (хтонь, как есть хтонь). - Мне очень помогли с метриками. Очень сильно. Я вроде даже понял. - Впервые пользовался оптическим рефлектометром. - Побывал на глубине около полукилометра под поверхностью. - Понял, что меня не пугает темнота, зависимость от водокачки, вентиляции и сотни метров породы над головой. Я вообще не понял, когда надо бояться и депрессовать. - Ездил на броне (буду отрицать). - Могу улыбаться на камеру. Впервые за очень долгие годы.
Меня зовут Филипп Кулин. Я автор канала https://t.me/usher2, где рассказываю про блокировки интернета в России, и создатель сайта https://usher2.club, тот самый с графиками IP-адресов и надписью морзянкой DIGITALRESISTANCE в мае месяце. «Эшер II» это название и канала, и сайта. Оно взято из названия рассказа Рея Бредбери, который является спин-оффом к знаменитому «451 градус по Фаренгейту»
Премия Рунета 2018
kto-chto-gde.ru
Я хочу стать первой красавицей на Премии Рунета 2018. Почему? Because I can. Зачем мне это? Премия Рунета — это небольшое окно влияние там, где сейчас у меня его совсем нет. Власть и влияние. Зачем оно? Да чтобы мои скучные письма вдруг стали играть новыми красками
Я тут должен пояснить, что я не общественник, не НКО и не политик. Я не собираюсь этому посвящать свою жизнь. Я до весны вообще всё из своего кармана по фану делал. Я полноватый сисадмин в очках с бородой и зеленым свитером по Apache. Я могу про язык Cи (включая стандарт K&R), Perl, Python, Golang, про nginx, apache, mysql. Ну и чутка про бизнес, как кофаундер и гендир. А все эти скучные письма в РКН, на портал нормативных актов, министрам — это немного в стороне. Минихобби. Все стесняются, а у меня хватает наглости писать и хорошо спать. Наглость, напористость, некоторая доля хамства и быдловатости, отсутствие скромности как класса — это то, что я считаю в себе сильными хорошими сторонами. Это то, что позволило в апреле выставить графики (по данным, которые я получаю из серой зоны, замечу) и не покраснеть.
Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).
Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.
Открыл для себя LaTeX Как-то раньше я считал TeX скорее мертвым, чем живым. И мало кто знает, и редакторы какие-то непрезентабельные, и результат невнятный. А тут в очередной раз припёрло пересмотреть систему автоматизированного создания документов (счета, фактуры, инфойсы, акты, договора, квитанции, черти в ступе).
Внезапно снял стопоры в голове: - LaTeX не сложен. Во всяком случае XMLины писать сложнее и неприятнее. Немного непривычен и поэтому отпугивает, но прост. Совсем прост. Люди знающие, что такое DOCTYPE в HTML будут плакать от умиления. - LaTeX вполне себе жив и вполне даже современен.
JärviCon #9 Традиционная поездка в лес 13 декабря 2014 года. Это суббота. Ближайшая суббота. Сбор в 08:30 13 декабря 2014 года на платформе в Девяткино
Исторически мероприятие планируется для околохостинговой тусовки. Могут приехать все, кто считает что имеет смысл и готов к адекватному восприятию окружающих. Такие люди с нами ходят и тематика является только стержнем.
Цель мероприятия - отдохнуть на свежем воздухе с экзотикой. Новая особенность - с позапрошлого года на JärviCon можно (и нужно) сделать небольшой блиц-доклад на какую-нибудь техническую тему.
На всякий случай - мероприятие не согласовано и не санкционировано, более того - заявка даже не подавалась. Поэтому является несанкционированным шествием и митингом, с целью публичного обсуждения всяких интернет-технологий, и как вы уже заметили - привлечения внимания. Все участники автоматом будут являться нарушителями 54-ФЗ О собраниях, митингах, демонстрациях, шествиях и пикетированиях.
Время проведения - 13-о декабря 2014 года. Утром в 8:30 на станции Девяткино собираемся, в 9:06 садимся в электричку и едем на место. На месте делаем костёр, едим, пьём. Вечером примерно в 20:00 отбываем обратно в Питер. Едем на 67-ой километр Приозерского направления. Это практически тот самый Кирьясальский выступ. Прямо ровно на старой русско-финской границе со стороны Финляндии (да-да, в направлении озера через холм - Россия, на холме можно увидеть остатки оборонительных сооружений, если кто до туда дойдёт). А также с 1919 по 1921 год - граница Финляндии и Северной Ингерманландской Республики.
Приезжаем на место, доходим до контрольной точки (речка Смородинка (финск. Tungelmanjoki), озеро Париканярви (русского названия не имеет)), готовим дрова и разводим костёр. Я варю походную баланду типа суп из пакетиков с тушонкой, перловкой, перцем, рисом и всякой хренью. Едим. Пьём кофе. Много разговариваем, греемся у костра, поём песни, желающие занимаются сексом (хотя, я думаю что будет холодно - застудите себе почки, ничего будет уже не надо), играем в снежки (по воле Божьей). Итак традиционная баланда, кофе.
Одеваемся тепло - в любом случае жарко не будет. Термобельё, коврики, ватники лишними не будут. Пластиковые такие игрушечные лыжи в прошлый раз показали свою неэффективность. Есть вариант обычных лыж, но внимательно оцените свои возможности. Идти километров 7 по пересечённой местности, приготовтесь к карабканию по полузамерзшему склону. Желательно иметь седушки. Все берём фонарики. Напоминаю - суббота, 13-ое декабря, платформа Девяткино, под расписанием, 08:30-08:50. Из еды с собой иметь закуску и запивку на дорогу туда и на дорогу обратно и что-нибудь к чаю. Каждый на себя возьмёт - замечательно. Очень рулят бетерброды в электричке и чай/кофе в термосе. Всё равно обычно с запасом берут, так что всем достанется. Кружку миску и ложку лучше не забывать :) «JärviCon» на Яндекс.Картах Финская 200-метровка, отцентрировано по стоянке
Повторяю * Тепло одеться. Иметь хорошую тёплую обувь, желательно с шерстяными носками сменными. Перчатки/рукавицы/шарфы * Фонарики с батарейками. 13-ое декабря и здесь север, Ингрия * Кружка, ложка, миска * Хорошее настроение * Возможно доклад
Да, я особо каждый раз подчёркиваю, что никто не против новых людей. Приводите, приходите сами - без разницы.
Меняйте свои планы, закупайте комки, термобельё, седушки, кружки/ложки походные, рюкзаки и перчатки.
mod_proctitle — модуль Apache для отображения в ps/top чего там творицо Я достаточно давно использую патч для apache, который после разбора строки запроса пишет в имя программы IP, откуда был запрос, то, что пришло в заголовке Host и саму строку запроса. Но этот двухстрочный патч был написан 12 лет назад для Apache версии 1.3. А потом руки не доходили. Тем более, с того времени появилось множество (я за пять минут нашел как минимум два) разновидностей модулей для тех целей, для более новых версий Apache. Однако, со временем мне стало маловато просто строк запросов. И… я написал свой модуль. http://habrahabr.ru/post/240767/
Вдруг у кого не завалялось книги Дж. Доннован "Системное программирование"? Отсканировать это там место про транслятор https://github.com/schors/astramacro
Вкратце - косяк позволяет исполнить что-то, разными извращёнными способами, зачастую очень простыми для злоумышленика. Осложняется всё тем, что линукс вообще везде bash.
Теперь более подробно, но на пальцах. Что происходит?
bash - командная оболочка UNIX. Если вы в Linux, то скорее всего ваша оболочка - bash. Более того, большинство Linux-дистрибутивов ещё и не различают sh и bash. Для пользователей Windows поясню - bash это такой cmd только для *NIX. С какого-то перепоя bash позволяет определять функции в переменных окружения. Грубо говоря, при запуске bash, он пробегает по переменным окружения, и если видит в какой из них синтаксис определения функции - берёт и исполняет эту переменную как свою строку. Соответственно, вот такая строка:
придаст переменной atata значение '() { :;}; echo Дыра в безопасности', переменная atata экспортируется в окружение, потом (после ';') запустится bash, который в начале запуска интерпретирует переменную окружения atata как строку для исполнения, а только потом выполнит команду echo. как ему предписано. Правда прекрасно?
А теперь представьте, что некий веб-бот обходит сайт, представляясь "User-Agent: () { :;}; rm -rf". А у Вас CGI на /bin/sh и Linux, где это bash... Или cgi-скрипт делает вызов через shell, а shell - это bash...
Где это сработает
CGI-скрипты, если там хоть где-то есть вызов bash, или если это Linux и есть какой-нибудь запуск. Даёт доступ к shell кому угодно.
gitolite, gitosis, gitlab, если логин-шелл - bash. Проблема в том, что эти системы работают через ключи SSH и ограничивают пользователя жёстко одной командой, однако, реальная команда, которую хотел исполнить пользователь, передаётся в переменной окружения SSH_ORIGINAL_COMMAND. Итак: ssh git@you_gitolite_sercver '() { :;}; rm -rf ~/' и репозитария больше нет, даже если у вас были права на посмотреть одну веточку. Но если валидного логина SSH нет, то ничего и не будет</i>
shell_exec() в страницах на PHP на Linux, если php запущен как php-fpm. FastCGI передаёт заголовки HTTP в окружение и поэтому запуск bash будет в соответствуюем окружении. Выкладка теоретическая, поправьте меня, если это не так.
Придумайте ещё что-нибудь
Где это не сработает
Эта уязвимость не повышает привилегии
CGI на Perl даже если есть запуск через qx - запускает sh. Если у вас sh - это bash, то вы сами себе Linux
Запуск bash со страниц на PHP под управлением mod_php, поскольку php в этом случае не передаёт заголовки HTTP как переменные окружения
SSH без валидной авторизации. Ибо shell запускается уже после неё</b>
На домашних роутерах и т.д. и т.п., как обозначено в релизах. В большинстве своём домашние роутеры - это мини-Linux с лёгким shell, который точно не bash.
Это серьёзная уязвимость?
Нет. Да.
Вообще я чуть со смеху не помер, когда понял как она работает :)
Сим вынужден признать, что был горяч, поспешен и неразумен. Приношу свои искренние извинения. Беспокоиться и переживать тут надо за меня.
Оказывается, существуют в природе популярные современные POP3-клиенты, которые понимают SSL только как POP3S, т.е. на отдельном порту и сначала SSL, потом POP3. Более того, эксперимент показал, что упомянутый программный комплекс - почтовый-клиент - не понимает STARTTLS в принципе (даже если сервер заявляет о нём) и фигачит LOGIN прямо так по открытому соединению. Да, LOGIN.
Кто же, спросит въедливый читатель, кто же этот негодник, в XXI веке отринувший STARTTLS?
БАРАБАННАЯ ДРОБЬ!!! GOOGLE MAIL!!! Подключение сторонних аккаунтов почты по pop3 (по другому он и не умеет).
Что есть Twitter Bootstrap Для чайников типа меня. Twitter Bootstrap - набор готовых .js и .css файлов, которые содержат описания кнопочек, менюшек, разметок и прочих мелочей. Сайт http://getbootstrap.com/ К сожалению родной Getting Started там никакой. Ни один пример не работает из коробки.
Давайте просто посмотрим. Внизу приведён код, который надо просто скопировать в какой-нибудь файл и открыть браузером. ( Read more...Collapse )
Помощь зала по мониторингу 1. Что кто может сказать зал о Ganglia? Там немного странная документация, я например по сей момент не могу найти какие метрики оно выдаёт из коробки. Не могу найти внятный каталог модулей третьих разработчиков. Вот банально - geom статистика во FreeBSD? Или какие метрики диска есть и так для FreeBSD? 2. Что кто может сказать о Shinken? Как жрёт ресурсы? Какие подводные камни?
FreeBSD php port Есть FreeBSD. В портах есть lang/php5. Обращаюсь к помощи зала за разъяснением, что делают прилагающиеся к порту патчи. Честно говоря, мне большинство не очевидно. Очень похоже на какие-то наколенные штуковины...
FreeBSD packages FreeBSD надо срочно со сроками "вчера" в режиме "всё бросили и метнулись и волосы назад" надо: - Внедрить в порты альтернативные зависимости. Например, чтобы порт p5-DBD-mysql ставился и при наличии mysql55-client, и при наличии mysql56-client, и при наличии percona5x-client, а не пытался тянуть mysql55-client. Собственно порт вроде не тянет, но эту строку наследует pkgng и сцуко считает зависимостью. Это важно. - Убить того, кто придумал переменные WANT_*. это убивает вообще всё. Или выносите WANT_* в суффикс названия пакета. А вообще без этого можно обойтись, просто поделив пакет по дебилиановски на дев, коммон, сам, доки/примеры. Например, отсутствие отдельных пакетов на php-cli, php-cgi, php-fpm, php-mod_php - это какой-то фейспалмджепеге. - pkg.conf - это вообще кто придумал? Зачем этот ужос в таком виде? А в чуть более простом формате не? Я так и не понял, как можно сделать иерархию вложенную репозиториев. А это надо и важно. - Договоритесь уже все о наименованиях шаренных библиотек. Ну итить, ну невозможно же!!!!111
