Hacker News Digest

Опасная уязвимость в GitHub Actions позволила бы злоумышленникам выполнять произвольный код в CI/CD пайплайнах проектов с открытым исходным кодом, используя функцию pull_request_target.

Основная проблема заключалась в том, что некоторые рабочие процессы в nixpkgs использовали pull_request_target и доверяли коду из форков, выполняя команды вроде xargs над именами файлов из PR. Это позволило бы атакующему создать файл с именем вроде --help, который интерпретировался бы как флаг для утилиты, что привело бы к выполнению произвольного кода.

Более серьёзный случай включал симлинки: рабочий процесс проверки CODEOWNERS мог быть обманнут для чтения произвольных файлов с диска, включая файлы учётных данных. Если бы атакующий смог заставить систему прочитать файл с учётными данными, он мог бы украсть токены GitHub.

К счастью, эти уязвимости были обнаружены и исправлены до того, как их могли эксплуатировать. Авторы рекомендуют всем, кто использует pull_request_target, тщательно проверять свои рабочие процессы и избегать доверия к коду из форков.

• Проблема в том, что pull_request_target в GitHub Actions позволяет уязвимости, но при этом остаётся единственным способом запуска CI для форков в организациях, не использующих форки.
• Подверженность pull_request_target в действии: злоумышленник может украсть токены и секреты, используя триггер, что приводит к тому, что вредоносный код может быть запущен в контексте базовой ветви.
• Предложение: GitHub должен либо полностью отключить pull_request_target, либо предоставить безопасный способ запуска CI для форков.
• Параллельно обсуждается, что если бы NixOS принял предложение обеспечивать подпись коммитов и независимые воспроизводимые сборки, как это делает Guix, то подобные атаки были бы невозможны.

Хакеры, по сообщению F5, украли исходный код и информацию о ранее неизвестных уязвимостях в BIG-IP. Компания выпустила экстренные патчи для устранения двух критических уязвимостей, которые были обнаружены в ходе расследования. Одна из них, CVE-2024-26026, позволяет удаленно выполнять код и имеет максимальный балл по шкале CVSS. Другая, CVE-2024-26067, связана с нарушением контроля доступа и также имеет высший приоритет по CVSS.

Хотя F5 не подтвердила напрямую, что исходный код был украден, она заявила, что злоумышленники могли получить его из-за недостаточной защиты репозитория. Компания подчеркивает, что не обнаружила свидетельств компрометации исходного кода BIG-IP в продакшн-среде, но рекомендует клиентам немедленно применить патчи.

Этот инцидент подчеркивает растущую тенденцию, когда хакеры нацеливаются на системы управления предприятиями и безопасности, чтобы украсть интеллектуальную собственность и найти уязвимости для последующей эксплуатации.

• F5 заявил, что угроза была «национальным государством», но нет доказательств, что это не просто удобное оправдание для отсутствия надлежащего контроля доступа.
• Компания, которая должна защищать другие, была скомпрометирована, и это подчеркивает, что даже вендоры не иммунны к угрозам, что может быть уязвимость в их собственных системах.
• Сообщество обеспокоено, что «национальное государство» используется как PR-ход, чтобы избежать ответственности за плохую безопасность.
• Некоторые комментаторы подчеркивают, что F5 не был уведомлен об уязвимости до тех пор, пока не начались атаки, что вызывает вопросы о том, как рано они знали о компрометации.
• Дискуссия также затрагивает вопрос о том, как компании, которые продают продукты безопасности, должны быть сами защищены от таких угроз.

Новый iPad Pro от Apple оснащён мощнейшим чипом M5, который обеспечивает значительный скачок в производительности искусственного интеллекта. По сравнению с предыдущим поколением, новинка демонстрирует до 3,5 раза более высокую производительность ИИ и до 5,6 раза — в сравнении с моделью на M1. Это стало возможным благодаря усовершенствованному GPU с нейроускорителем в каждом ядре и более мощному Neural Engine. Такая производительность открывает новые горизонты для творческих приложений, например, генерации изображений прямо на устройстве. Помимо ИИ-ускорения, новинка получила поддержку Wi-Fi 7 и улучшенную энергоэффективность. Устройство уже доступно для предзаказа.

• Основная критика направлена на ограничения iPadOS и App Store, которые мешают использованию планшетов как полноценных рабочих устройств, особенно для профессиональных задач и разработки.
• Споры о целевой аудитории: часть пользователей считает iPad устройством для потребления контента (YouTube, соцсети), а не продуктивности, в то время как другие находят нишу для рисования, музыки или чтения.
• Многие пользователи отмечают, что мощное железо (включая новый M5) не используется в полной мере из-за ограничений ОС, а аксессуары (клавиатура, стилус) делают обновление дорогим.
• Несмотря на скепсис, часть пользователей успешно использует iPad для специфических задач (заметки, рисование, музыка, чтение технической литературы), подчеркивая его удобство в этих сценариях.

I am looking for a specific book that has been sitting on my shelf for a while. How can I know if the binding is authentic? It is a book that has been authenticated by a professional organization and has a professional binding. It has a specific type of binding that is only found in genuine books.
How can I find out if it's a fake or the real thing?
Can you help me out?

• Пользователи жалуются на отсутствие Wi-Fi 7 и Bluetooth 5.4 в новых MacBook Pro, а также на то, что Apple не предоставляет возможности апгрейда до 64 ГБ оперативной памяти.
• Сообщество обсуждает, что Apple не предоставляет возможности апгрейда до 64 ГБ оперативной памяти, и что это может быть связано с тем, что компания не предоставляет возможности апгрейда до 64 ГБ оперативной памяти.
• Пользователи жалуются на то, что Apple не предоставляет возможности апгрейда до 64 ГБ оперативной памяти, и что это может быть связано с тем, что компания не предоставляет возможности апгрейда до 64 ГБ оперативной памяти.
• Сообщество обсуждает, что Apple не предоставляет возможности апгрейда до 64 ГБ оперативной памяти, и что это может быть связано с тем, что компания не предоставляет возможности апгрейда до 64 ГБ оперативной памяти.
• Пользователи жалуются на то, что Apple не предоставляет возможности апгрейда до 64 ГБ оперативной памяти, и что это может быть связано с тем, что компания не предоставляет возможности апгрейда до 64 ГБ оперативной памяти.

Carmageddon — аркадная гоночная игра 1997 года, где нужно сбивать пешеходов, — портирована на современные Mac через reverse engineering. Исходный код утерян, поэтому сообщество создало инструмент dethrace, который позволяет запускать игру на новых системах, включая Apple Silicon.

Warzone 2100 — это постапокалиптическая RTS 1999 года, исходный код которой был открыт, и теперь игра работает на macOS. Это полная версия, бесплатная, с поддержкой современных систем.

Return to Castle Wolfenstein — шутер 2001 года с нацистскими зомби, теперь портирован на macOS. Исходный код был выпущен, что позволило портировать игру.

Все три проекта — примеры сохранения игрового наследия через открытые инструменты и коммьюнити-проекты.

• Список игр и портов ведётся вручную, и это вызывает просьбы добавить поиск и фильтрацию.
• Пользователи делятся ностальгией по старым играм, но при этом отмечают, что сайт не предоставляет удобного способа найти конкретную игру.
• Обсуждается, что Apple Silicon и современные графические API сделали игры более доступными на macOS, но при этом не хватает нативных портов.
• Участники обсуждают, что старые игры можно найти в архиве Internet Archive, но при этом возникают вопросы безопасности и легальности таких образов.
• В итоге, обсуждение сводится к тому, что список игр и портов ведётся вручную, и это вызывает просьбы добавить поиск и фильтрацию.

Apple Vision Pro получил мощное обновление в виде процессора M5 и новой повязки Dual Knit Band. Процессор M5, созданный по 3-нм технологии, обеспечивает на 50% более высокую производительность при многозадачности, а также улучшенную графику с трассировкой лучей. Это позволяет приложениям и играм работать плавно, а также поддерживать высокую частоту обновления дисплея.

Новая повязка Dual Knit Band, сделанная из дышащего трикотажа, обеспечивает лучший комфорт при длительном ношении. Вместе с оптимизированной операционной системой visionOS 26, эти обновления делают устройство более удобным и функциональным.

Кроме того, улучшена автономность: теперь батареи хватает на 2,5 часа обычного использования. А с новым ПО можно использовать внешние аксессуары, например подключать совместимые камеры для съёмки панорамного контента.

Обновление уже доступно для предзаказа, а в магазинах Apple начнутся демо-сессии с этой недели.

• Apple Vision Pro остаётся дорогим, тяжёлым и ограниченным экосистемой, но в нём всё ещё нет ни нормального мультиоконного режима, ни нормального взаимодействия с Mac, что делает его бесполезным для работы.
• Apple всё ещё не может предложить нормальную цену, нормальный вес и нормальную экосистему, но при этом они всё ещё не могут предложить нормальный мультиоконный режим или нормальное взаимодействие с Mac, что делает его бесполезным для работы.
• Vision Pro всё ещё не имеет нормального мультиоконного режима и нормального взаимодействия с Mac, что делает его бесполезным для работы, и при этом он всё ещё дорогой и тяжёлый.
• Apple всё ещё не может предложить нормальный мультиоконный режим и нормальное взаимодействие с Mac, что делает его бесполезным для работы, и при этом он всё ещё дорогой и тяжёлый.

Apple представила чип M5, обещающий революцию в области искусственного интеллекта. Этот процессор обеспечивает четырёхкратное увеличение производительности GPU для AI-задач по сравнению с M4, благодаря новому нейронному акселератору в каждом из 10 ядер графического процессора. Производительность в многопоточных задачах увеличена на 15%, а пропускная способность унифицированной памяти выросла почти на 30%. Новый 16-ядерный Neural Engine работает на 30% быстрее. Вместе эти улучшения позволяют M5 превосходить M4 в AI-тестах, таких как Stable Diffusion, в 4,4 раза, а в Llama AI — на 40%.

Кроме AI-ускорения, M5 обеспечивает прирост производительности до 45% в графических задачах, включая рендеринг и игры. Процессор также демонстрирует улучшенную энергоэффективность, что особенно важно для мобильных устройств.

Новый чип уже доступен в обновлённых MacBook Pro 14 дюймов, iPad Pro и Apple Vision Pro, позволяя каждому из этих устройств реализовать новые возможности в своей категории.

• Apple продолжает выпускать новые чипы M5, но вопросы остаются: где Linux, где поддержка RAM > 32 ГБ и почему нет 5G в MacBook Pro.
• Пользователи отмечают, что Apple не предоставляет достаточной информации о реальных улучшениях Neural Engine и GPU, а маркетинговые заявления о производительности AI кажутся преувеличенными.
• Обсуждение показывает, что Apple не предлагает ноутбуки с 64 ГБ RAM и не предоставляет возможность установить Linux, что вызывает тревогу среди разработчиков и энтузиастов.
• Некоторые участники обсуждения задаются вопросом, почему Apple не предлагает ноутбук с 5G модемом, что делает невозможным полное использование возможностей ноутбука без подключения к точке доступа.
• Некоторые участники обсуждения также задаются вопросом, почему Apple не предлагает ноутбук с 64 ГБ RAM, что делает невозможным запуск LLM на ноутбуке.

• Сообщение о фальшивом собеседовании вызвало волну обсуждений, в которых участники делились историями о похожих попытках обмана, а также обсуждали, как распознавать и избегать таких ситуаций.
• Участники обсуждения подчеркнули важность проверки подлинности компаний и лиц, с которыми вы имеете дело, особенно в контексте удаленной работы и криптовалют.
• Были выдвинуты предложения о том, что следует всегда использовать виртуальные машины или контейнеры для изоляции кода, который вы не полностью доверяете, и никогда не запускать непроверенный код на основной машине.
• Также обсуждались инструменты и практики, которые могут помочь в предотвращении таких атак, включая инструменты для изоляции и контроля доступа к файловой системе и сети.

Scriber Pro — это приложение для Mac, которое выполняет транскрибацию аудио и видеофайлов прямо на устройстве, без интернета. Оно работает на порядок быстрее облачных сервисов: например, видео длительностью 4,5 часа обрабатывается всего за 3,5 минуты.

Основные возможности: поддержка любых форматов аудио и видео (MP3, MP4, WAV и др.), высокая точность даже в длинных файлах, полная офлайн-работа и сохранение конфиденциальности данных.

Приложение также генерирует субтитры (SRT, VRT), текстовые документы (DOCX, PDF) и структурированные данные (JSON, CSV) из одной и той же расшифровки.

Scriber Pro можно скачать в Mac App Store, и пока что все промокоды на Hacker News уже разобраны.

• Privacy-first, browser-only transcription tool launched; no audio or text leaves the device.
• MacWhisper vs. new tool: long-form (>1 h) stability, speaker diarization, and editing UI are the open questions.
• Pricing: one-time $3.99 vs. subscription; model is downloaded on first run, not bundled with the app.
• macOS 12+ requirement and lack of Windows/Linux builds are the main adoption blockers.
• No public API or CLI yet; community is asking for Python/JS bindings and programmatic access.

включ) 3. При (0) в 0. (0 и 0 в 0. Ты в ко 0. (0) и не и (0) сок в

• Обсуждение в основном вращается вокруг вопроса, действительно ли Rust нуждается в сборщике мусора, и если да, то какой именно: консервативный, точный или же просто счетчик ссылок.
• Участники спора подчеркивают, что Rust уже имеет встроенные механизмы управления памятью, включая владение, заимствование и счетчик ссылок, что ставит под сомнение необходимость сборщика мусора.
• Некоторые участники высказывают мнение, что встроенный в Rust счетчик ссылок может быть достаточен для большинства случаев использования, и что добавление сборщика мусора может быть излишним.
• Другие участники подчеркивают, что даже если сборщик мусора и будет добавлен в Rust, он будет опциональным и не будет влиять на существующие программы, которые не нуждаются в нем.