Hacker News Digest

• Дискуссия разворачивается вокруг старых обвинений в адрес языка C и архитектуры x86, но участники быстро указывают, что стековые инструкции и концепция вызова функций существовали задолго до C и даже были запатентованы в 1957 году.
• Спор уходит в сторону от предмета: автор статьи не предлагает никакой альтернативы, кроме как упоминания о "сообщениях" без каких-либо деталей.
• Участники также отмечают, что статья игнорирует такие факторы как тепловой бюджет, параллелизм и стоимость транзисторов.
• В итоге обсуждение сводится к тому, что критика не предлагает никакой конструктивной альтернативы и что современные CPU не оптимизированы под конкретные задачи, но и под общий набор инструкций, что делает их универсальными.

В 1966–1979 гг. Нью-Йорк строил Всемирный торговый центр: два 110-этажных небоскреба, которые стали символом города. Проект был инициирован Дэвидом Рокфеллером и реализован Порт-Овторити. Архитектором был Минору Ямасаки, который предложил 207-футовые башни с узкими окнами, облицованные алюминием. Строительство заняло 13 лет и стоило 400 млн долларов.

• Пользователи обсуждали не только саму трагедию 11 сентября, но и более широкий контекст: от архитектурной ценности небоскрёбов до политических последствий и роли США в мире.
• Обсуждались вопросы, касающиеся того, как здания были построены, их влияние на горизонт Нью-Йорка и как они были уничтожены.
• Участники также затронули тему того, как 9/11 изменил мир и как это повлияло на политику США.
• Также обсуждались вопросы, связанные с тем, как трагедия повлияла на архитектуру и градостроительство в США.
• Некоторые также затронули тему того, как трагедия повлияла на культуру и общественное мнение.

Минимальный CSS для приятного сайта включает базовые стили, улучшающие типографику и читаемость. Начните с ограничения ширины медиа-контента: img, svg, video { max-width: 100%; display: block; } предотвращает переполнение. Для типографики используйте system-ui как безопасный шрифт, увеличьте размер до 1.25rem и установите line-height в 1.5 для лучшей читаемости.

Добавьте поддержку тёмной темы через html { color-scheme: light dark; }, но учтите, что пользователям может потребоваться ручное переключение. Ограничьте ширину основного контента с помощью main { max-width: min(70ch, 100% - 4rem); margin-inline: auto; } для оптимальной длины строки в 45–90 символов. Этот подход избегает избыточного кода и обеспечивает адаптивность.

• Обсуждаются минималистичные подходы к CSS, включая сброс стилей, базовые настройки для типографики и ограничения ширины контента для улучшения читаемости.
• Поднимается вопрос о реализации темной темы, важности ручного переключения пользователем и проблемах с "миганием" при загрузке.
• Критикуются стандартные системные шрифты и обсуждаются потенциальные проблемы с их отображением в разных ОС и локалях.
• Упоминаются различные инструменты и философии (например, SSG, Tailwind, Every-Layout) для создания простых и эффективных сайтов.
• Высказывается мнение, что пользователь должен иметь максимальный контроль над стилизацией контента, а не сайт.

Microsoft активно закрывает лазейки, позволявшие пользователям устанавливать Windows 11 без обязательной привязки к онлайн-аккаунту. Компания последовательно устраняет методы обхода, включая отключение интернета во время установки или использование командной строки, чтобы вынудить пользователей регистрироваться через учётную запись Microsoft. Это усиливает интеграцию с облачными сервисами, такими как OneDrive и Microsoft 365, но ограничивает выбор для тех, кто предпочитает локальные учётные записи из соображений конфиденциальности или автономной работы. Такая политика вызывает критику со стороны пользователей, ценящих контроль над своими данными и настройками системы.

• Пользователи выражают недовольство политикой Microsoft, особенно обязательной привязкой учетной записи Microsoft в Windows 11, воспринимая это как потерю контроля и приватности.
• Многие рассматривают или уже перешли на Linux как альтернативную ОС, отмечая её улучшившийся пользовательский опыт и свободу от навязчивых функций и слежки.
• Обсуждаются технические обходные пути для установки Windows без учётной записи Microsoft, но отмечается, что компания активно их блокирует.
• Высказывается мнение, что такие изменения вредят бренду Windows, отталкивают пользователей и продиктованы коммерческими интересами, а не заботой о пользователе.
• Подчёркивается, что для корпоративного сегмента, где используются доменные учётные записи, эти изменения не столь критичны, в отличие от обычных пользователей.

Обнаружена критическая уязвимость удалённого выполнения кода в Redis (CVE-2025-49844) с максимальным баллом CVSS 10.0. Проблема связана с ошибкой Use-After-Free, присутствующей в коде около 13 лет, которая позволяет аутентифицированному злоумышленнику выполнить произвольный код на хосте через специально сформированный Lua-скрипт.

Уязвимость затрагивает все версии Redis и представляет особую опасность, учитывая распространённость системы в 75% облачных сред. Атака позволяет получить полный контроль над системой, включая кражу, шифрование данных и перемещение внутри инфраструктуры. Эксплуатация требует лишь отправки вредоносного скрипта, что делает угрозу высокой для публично доступных экземпляров Redis.

• Уязвимость в Redis (CVE-2024-XXXX) позволяет выполнить произвольный код после аутентификации через уязвимость use-after-free в Lua-скриптах.
• Критичность уязвимости (CVSS 10) оспаривается, так как для эксплуатации требуется аутентификация или доступ к Lua-скриптам, что редко встречается в типичных конфигурациях.
• Проблема усугубляется большим количеством экземпляров Redis (десятки тысяч), публично доступных в интернете без настроенной аутентификации.
• Уязвимость существует в коде более десяти лет, исправлена в Redis 8.1.4 и форке Valkey, но многие системы остаются незащищенными.
• Обсуждаются проблемы безопасности по умолчанию в Docker-конфигурациях и необходимость обновления устаревшей версии Lua в проектах.

Google DeepMind представила CodeMender — ИИ-агента для повышения безопасности кода. Он использует новейшие модели Gemini для автоматического обнаружения и исправления уязвимостей в программном обеспечении. Система способна анализировать код в реальном времени, предлагая исправления ещё до попадания ошибок в продакшен.

CodeMender интегрируется в процесс разработки, снижая риски кибератак и ускоряя выпуск надёжных приложений. Это часть более широкой стратегии Google по внедрению ИИ в инструменты для программистов, что может значительно сократить затраты на аудит и повысить общую устойчивость цифровой инфраструктуры.

• Опасения по поводу потенциальной гонки вооружений между ИИ, создающим уязвимости в библиотеках, и ИИ, пытающимся их обнаружить и исправить.
• Критика подхода к анонсам ИИ-инструментов (например, CodeMender), которые представлены как готовые продукты, но фактически находятся на стадии исследования и недоступны широкой публике.
• Скептицизм относительно недостатка технических деталей и излишней помпезности в анонсах, а также скрытности вокруг обучения и возможностей ИИ.
• Оптимизм в отношении того, что автоматизированное тестирование и исправление уязвимостей может сделать защиту проще, чем атаку, в будущем с широким внедрением ИИ.
• Обсуждение практических проблем безопасности, включая неравенство в навыках атакующих и защищающихся, и необходимость проверки происхождения инструментов в ненадежных средах.

VALORANT изначально требовал серверы с частотой 128 тиков для минимизации преимущества атакующего и обеспечения честного геймплея, где защитники успевают реагировать. Это означало обработку кадра каждые 7,8125 мс, но изначально сервер тратил 50 мс на кадр, что делало задачу масштабирования неподъёмной из-за высоких затрат на CPU.

Команда разбила проблему на категории: репликация, сеть, анимация, движение и другие, внедрив систему ValSubsystemTelemetry для точного измерения времени выполнения кода. Используя внутреннюю аналитическую платформу Riot, инженеры визуализировали данные и последовательно оптимизировали код, железо и настройки ОС, достигнув цели в 2,34 мс на кадр и обеспечив бесплатные 128-тиковые серверы для всех игроков.

• Обсуждается высокая частота обновления (128 тиков/секунда) серверов Valorant в сравнении с другими играми (Factorio 60, Minecraft 20, CS:GO 64, Fortnite 30).
• Поднимается вопрос архитектурных решений и оптимизаций для достижения низкой задержки (<35 мс), включая выбор процессоров Intel Xeon и отключение анимации в фазе покупки.
• Критикуется система "sub-tick" в CS2 как менее эффективная по сравнению с классическим высоким тикрейтом, а также современный matchmaking, не учитывающий пинг.
• Упоминается, что для некоторых жанров (например, Runescape) достаточно низкого тикрейта (0.6 в секунду), и это определяет геймплей.
• Обсуждаются технические сложности реализации высокопроизводительных серверов на языках с GC (Erlang, Elixir) и предпочтение C++ для симуляции игры.

Talk Python in Production – это книга, которая учит разворачивать Python-приложения без привязки к облачным провайдерам. Вместо микросервисов и Kubernetes автор предлагает «stack-native» подход: один мощный сервер, Docker Compose, NGINX и минимум внешних сервисов. Книга сопровождается GitHub-репозиторием с примерами кода, конфигами и скриптами CI/CD, а также готовыми Docker-образами.

• Обсуждение началось с критики обложки книги, вызванной использованием AI-изображения без ретуши, что вызвало волну схожих жалоб на дизайн и оформление.
• Участники обсуждали ценность и применимость таких изображений, их влияние на восприятие контента и общий уровень подготовки материала.
• Были подняты вопросы о том, как технологии генерации изображений влияют на качество и доверие к материалу, а также обсуждались проблемы читабельности текста и его контрастности на фоне.
• Обсуждались также и другие темы, включая ценообразование, сравнение стоимости облачных провайдеров, а также вопросы, связанные с публикацией книги и её содержанием.
• В целом, обсуждение подчеркнуло важность внимательного подхода к визуальному оформлению и качеству контента, а также подчеркнуло, что читатели ожидают большего, чем просто базовые знания в области технологий.

RSA-алгоритм изначально использовал функцию Эйлера φ(n), но со временем её заменили на функцию Кармайкла λ(n). Это изменение незаметно для пользователей, но оно важно: λ(n) делит φ(n) и может уменьшить приватный ключ в 2-3 раза, что ускоряет расшифровку. Однако экономия невелика, так как gcd(p-1, q-1) почти всегда равен 2 или 4.

• Обсуждение поднял вопрос о том, что многие курсы и преподаватели обучают RSA без должного фундамента в теории чисел, что может привести к неправильной реализации.
• Участники обсудили, что вместо того, чтобы вводить студентов в детали реализации RSA, включая использование функции Кармайкла и алгоритма Гарнера, часто вместо этого преподают поверхностное понимание алгоритма, что может в будущем привести к небезопасной реализации.
• Также было отмечено, что вместо того, чтобы обучать эллиптическим кривым, которые более современны и просты в реализации, продолжают преподавать RSA, который требует более глубокого понимания теории чисел.
• Несколько участников выразили обеспокоенность тем, что студенты, обучающиеся по таким курсам, могут в будущем реализовывать небезопасные системы, из-за недостаточного понимания криптографических основ.
• В конце обсуждение сошлось на то, что вместо того, чтобы пытаться упростить обучение криптографии, следует требовать от студентов, что они выучат необходимые математические основы, так как в отсутствии этого они не смогут правильно реализовать безопасные системы.

OpenAI представила Apps SDK — фреймворк для разработки приложений, интегрируемых напрямую в ChatGPT. Он позволяет создавать инструменты на основе MCP-серверов, настраивать пользовательский интерфейс, управлять аутентификацией и хранить данные. Сейчас доступен в режиме предпросмотра для тестирования, а публичная отправка приложений откроется позже в этом году.

Разработчикам предлагаются чёткие руководства по дизайну, безопасности и метаданным, чтобы приложения соответствовали стандартам качества и органично вписывались в экосистему ChatGPT. Процесс включает планирование use-cases, развёртывание серверов и подключение к ChatGPT, с примерами и troubleshooting для упрощения разработки.

• OpenAI представляет платформу "Apps" на базе MCP, позволяющую интегрировать сторонние сервисы (например, бронирование отелей, поиск недвижимости) прямо в чат-интерфейс ChatGPT.
• Мнения разделились: одни видят в этом стратегический шаг к созданию экосистемы и монетизации (доля от транзакций, скрытая реклама), другие критикуют за слабую UX, бритвость и повторение прошлых неудач (как Custom GPTs).
• Поднимаются вопросы для разработчиков: монетизация, риск заблокирования будущими обновлениями ChatGPT и усиление зависимости от OpenAI.
• Техническая реализация вызывает вопросы: работа примеров кода, механизм внедрения интерактивных элементов (iframe?) и ограничения MCP.
• Обсуждается фундаментальный конфликт: должен ли чат быть универсальным интерфейсом или AI-функции лучше встраивать в традиционные приложения.