Hacker News Digest

• Разработчики делятся полезными скриптами и алиасами, которые экономят им время и упрощают работу.
• Скрипты варьируются от простых алиасов до сложных инструментов, таких как f для быстрого поиска по истории или fzf для интерактивного выбора файлов.
• Некоторые участники обсуждения поделились своими собственными инструментами, включая posh для сокращения путей и memo для кеширования результатов команд.
• Обсуждались такие темы как использование fzf для поиска по истории команд, trash-cli для безопасного удаления файлов и tmux для управления сессиями.
• Участники также обсуждали, как эти инструменты могут быть использованы для упрощения повседневных задач, таких как поиск по истории команд, выбор файлов и управление сессиями.

В начале 2025 года исследователи обнаружили криптографические уязвимости в реализации FourQ от Cloudflare в библиотеке CIRCL. Проблемы были сообщены через HackerOne в марте и напрямую в Cloudflare после слабого ответа команды. FourQ — эллиптическая кривая с 128-битной безопасностью от Microsoft Research, работающая над расширением простого поля и подходящая для систем с ограниченными ресурсами.

Уязвимость связана с атаками на недействительные точки, когда сервер выполняет вычисления без проверки валидности точек на кривой. В протоколе ECDH это позволяет атакующему использовать точки с гладким порядком подгруппы, значительно упрощая восстановление секретного ключа. Cloudflare признала проблемы и исправила их после уведомления.

• Пользователи обсуждают, что Cloudflare не смогли должным образом проверить и исправить уязвимость в библиотеке CIRCL, что вызывает вопросы о надёжности их кода и процессов.
• Обсуждается, что баг-баунти программы не предоставляют достаточной мотивации для исследователей, особенно если речь идёт о сложных технических проблемах, что может отпугнуть исследователей от отчитывать о найденных проблемах.
• Участники обсуждают, что компании должны быть более открыты к внешнему аудиту и тестированию, особенно для критически важных систем как криптографические библиотеки.
• Участники также обсуждают, что вместо того чтобы полагаться на внутренние ресурсы, компании должны нанимать независимых экспертов для аудита и тестирования их систем, особенно если они не имеют внутрених экспертов по криптографии.
• Участники также обсуждают, что вместо того чтобы полагаться на внутренние ресурсы, компании должны нанимать независимых экспертов для аудита и тестирования их систем, особенно если они не имеют внутрених экспертов по криптографии.

Пол Хадсон создал приложение Hacktivate, чтобы научить детей 13+ основам кибербезопасности через формат игры "захвати флаг". В отличие от современных компьютеров, которые слишком защищены для экспериментов, приложение предлагает 240 уникальных заданий по SQL-инъекциям, взлому хэшей, стеганографии и другим практическим навыкам. "Я хочу вернуть тот же опыт, который был у меня, новому поколению", — объясняет автор, стремясь сделать обучение одновременно увлекательным и структурированным.

Приложение использует безопасную песочницу, где все действия происходят внутри игры, не затрагивая реальные системы. Задания варьируются от базовых вопросов о представлении данных (hex, binary, ASCII) до сложных криптографических задач с современными алгоритмами. "Моя цель — не превратить всех в опытных пентестеров за один день, а вдохновить новое поколение хактеров на эксперименты и обучение в безопасной среде", — подчеркивает Хадсон. Приложение уже доступно на iPhone, iPad и Mac.

• Пользователи обсуждают, как раннее влияние нехватки ресурсов в странах третьего мира сформировало их навыки и мотивацию к самообучению и творческому подходу к решению проблем.
• Поднят вопрос о том, что микротранзакции в приложениях могут быть неэтичными, особенно для детей, и что существует альтернативная версия приложения без них.
• Упомянуто, что разработчик приложения, Paul Hudson, ранее преподавал автору Swift и UIKit, что подчеркивает его вклад в обучении сообщества разработчиков.
• Участники обсуждают, что важно сохранять баланс между монетизацией и доступностью образования, и что существует версия приложения без микротранзакций.

Author here, would be happy to field any questions or feedback! Thanks for the post, this is pretty cool!I feel like I've seen Cupti have fairly high overhead depending on the cuda version, but I'm not very confident -- did you happen to benchmark different workloads with cupti o

Linux capabilities представляют собой механизм контроля доступа, который разделяет привилегии суперпользователя на отдельные единицы. В системе существует 40 таких возможностей, что позволяет более гибко управлять правами доступа, чем традиционная модель "всё или ничего". Статья демонстрирует, как злоумышленник может использовать setcap cap_setuid+ep /usr/bin/python3 для создания бэкдора, позволяющего обычному пользователю получить права root без установки бита SUID. Это особенно опасно, так как традиционные методы поиска эскалации привилегаций фокусируются на файлах с установленными битами SUID и SGID.

Для обнаружения файлов с capabilities можно использовать команду getcap -r /, а для анализа процессов — проверять /proc/[pid]/status или использовать утилиты capsh и getpcaps. Статья подчеркивает важность поиска таких файлов при проведении расследований и аудитов безопасности. Скрипты вроде LinPEAS также включают проверки capabilities при поиске путей эскалации привилегий. Для удаления capabilities с бинарного файла используется команда setcap -r.

• Linux capabilities не реализуют настоящую модель capability-based security, а лишь предоставляют грубые флаги привилегий.
• Проблема в том, что они слишком грубы и не позволяют выдавать только конкретный порт или другой ресурс, а вместо этого разрешают "всё, что угодно, кроме какого-то".
• Наследование прав при fork/exec в Linux не ограничено, что позволяет любой процесс получить доступ к любым ресурсам, если только он может получить fd откуда-нибудь.
• Это делает невозможным реализовать настоящую capability-модель безопасности, где процесс может только делегировать конкретные доступы вместо всего набора прав.
• Подобные ограничения делают невозможным использование механизма в качестве реальной системы контроля доступа, вместо этого он используется лишь как дополнительный слой поверх традиционной модели.

If you dig into the actual report (I know, I know, how passe), you see how they get the numbers. Most of the errors are "sourcing issues": the AI assistant doesn't cite a claim, or it (shocking) cites Wikipedia instead of the BBC.Other issues: the report doesn't even say which pa

Washington post has been becoming increasingly irrelevant. They went from 500-800k paid subscribers to less than 100k after Bezos started interfering editorially. Some of the most respected journalists left the paper. So I wouldn’t take WaPo as an indicator of anything; its a Boz

I tried understanding the gist of the paper, and I’m not really convinced there’s anything meaningful here. It just looks like a variation of the transformer architecture inspired by biology, but no real innovation or demonstrated results.> BDH is designed for interpretability. A

If you can get malicious instructions into the context of even the most powerful reasoning LLMs in the world you'll still be able to trick them into outputting vulnerable code like this if you try hard enough.I don't think the fact that small models are easier to trick is particu

SourceFS — высокопроизводительная виртуальная файловая система, которая ускоряет сборку Android в 9 раз, снижает вычислительные затраты в 14 раз и уменьшает использование диска в 83 раза. Современные кодовые базы огромны: Linux содержит 40 миллионов строк кода, Android AOSP — 140 миллионов+, а автомобильные системы — до 500 миллионов строк. Медленные сборки и выгрузки кода отнимают часы времени разработчиков и милли долларов на CI-ресурсах.

SourceFS виртуализирует всё, материализуя файлы по требованию, что ускоряет выгрузку кода более чем в 10 раз. Система создает виртуальное представление всей кодовой базы и материализует файлы только при необходимости, экономя сотни гигабайт дискового пространства. Для сборки SourceFS использует легковесные песочницы, записывая все шаги и повторяя их для идентичных операций. В результате сборка ускоряется до 10 раз, а на обычном разработческом компьютере — более чем в 9 раз по сравнению с традиционными методами.

• Обсуждение в основном вращается вокруг производительности сборки, кэширования и ценообразования, а также того, насколько продукт действительно уникален по сравнению с другими инструментами.
• Участники обсуждают, насколько продукт может быть полезен для больших кодовых баз, которые не помещаются в памяти, и как он справляется с инкрементальной сборкой.
• Некоторые комментаторы подчеркивают, что продукт, похоже, не открытый исходный код, и что это может быть препятствием для его принятия.
• Также обсуждается, что продукт может быть полезен для больших кодовых баз, но неясно, будет ли он работать с другими языками программирования, кроме Android.