Hacker News Digest

Cloudflare удалила домены ботнета Aisuru из своего публичного рейтинга самых запрашиваемых сайтов после того, как они несколько дней занимали верхние позиции, обойдя Amazon, Apple, Google и Microsoft. Aisuru, стремительно растущий ботнет из сотен тысяч взломанных IoT-устройств, переключился с DNS-серверов Google на Cloudflare (1.1.1.1), что позволило его доменам доминировать в рейтинге. Генеральный директор Cloudflare Мэтью Принс объяснил: "Атакующие просто генерируют массу запросов, возможно, чтобы повлиять на рейтинг, но также и для атаки на нашу DNS-сервис".

Ботнет, способный запускать DDoS-атаки до 30 терабит в секунду, использовал домены, имитирующие крупных облачных провайдеров, и даже один из доменов занимал первое место с адресом улицы в Массачусетсе. Эксперты отмечают, что это выявляет недостаток в системе рейтингов Cloudflare, которая должна отражать реальное использование людьми, а не просто объем DNS-запросов. "Это провал со стороны Cloudflare, который ставит под угрозу доверие и целостность их рейтингов", — считает CEO компании Epi Алекс Гренланд.

• Обсуждение критикует Cloudflare за публикацию списка «топ-100 доменов» без категоризации, что делает невозможным отфильтровать вредоносные домены, и ставит под сомнение саму методологию подготовки таких списков.
• Участники спора поднимают вопрос о том, что невозможно отличить бот-трафик от реального трафика, и что это может быть не более чем маркетинговый трюк.
• Также обсуждается, что если бы список был бы полностью прозрачен, то он мог бы включать в себя и вредоносные домены, что ставит под сомнение ценность такого списка.
• Некоторые комментаторы также поднимают вопрос о том, что если бы список был бы полностью прозрачен, то он мог бы включать в себя и вредоносные домены, что ставит под сомнение ценность такого списка.

Cloudflare представила Oxy - новый прокси-фреймворк, написанный на Rust, который служит основой для нескольких ключевых продуктов компании, включая Zero Trust Gateway и iCloud Private Relay. Разработанный с учетом опыта создания высоконагруженных прокси, Oxy позволяет реализовывать современные протоколы связи и строить сложные сервисы для обработки огромного трафика.

Фреймворк предоставляет программный контроль над всеми аспектами проксирования: от декапсуляции протоколов и анализа трафика до маршрутизации и DNS. Oxy тесно интегрирован с внутренней инфраструктурой Cloudflare, но при этом настраивается под нужды приложений. Инженеры могут начать с базового решения, которое не требует написания кода, и постепенно добавлять функции через расширяемые точки. Например, для создания HTTP-файрвола достаточно реализовать обработчики запросов и ответов, а для L4-файрвола - добавить аутентификацию или георouting.

• Обсуждение в основном вращается вокруг негативного опыта с Cloudflare Tunnels и их IPv6-ограничений, а также сравнения с другими решениями вроде Tailscale и ngrok.
• Участники жалуются на плохую документацию, отсутствие прозрачности и "vendor lock-in" при использовании продуктов Cloudflare.
• Обсуждение также затрагивает вопросы лицензий, сравнение с другими решениями и влияние на разработчиков.
• Некоторые участники делятся личным опытом и альтернативными инструментами вроде localtunnel и Tailscale.
• В целом, обсуждение подчеркивает сложность выбора между удобством и контролем над инфраструктурой, особенно в контексте разработки ПО.

В последние годы скраперы, используемые компаниями для обучения LLM, стали более агрессивными, игнорируя robots.txt и маскируясь под обычных пользователей. Это привело к росту популярности Anubis — решения на основе proof-of-work, требующего от посетителей решения криптографической задачи перед доступом к сайту. Однако автор утверждает, что Anubis неэффективен против LLM-скраперов, так как те просто не выполняют JavaScript, а вычислительные затраты для обхода всех установок Anubис составляют примерно $0.00.

В качестве альтернативы предлагается простой 12-строчный Caddyfile, который устанавливает cookie через JavaScript, эффективно блокируя ботов без 10-секундной задержки для посетителей. Оба решения являются временными, так как боты могут научиться их обходить — Huawei уже умеет решать задачи Anubis. Автор подчеркивает, что если единственная проблема — ClaudeBot, лучше использовать менее раздражающие решения, а Cloudflare остается наиболее надежным, хоть и монопольным, способом защиты от ботов.

• Обсуждение в основном вращается вокруг того, что Anubis и подобные системы защиты от скрапинга, по сути, не решают проблему, а лишь создают неудобства для пользователей и разработчиков, и что это больше похоже на "security theater", чем на реальную защиту.
• Участники обсуждения подчеркивают, что LLM и скраперы уже давно научились обходить такие системы, и что единственный эффект — это лишнее время загрузки для обычных пользователей.
• Также поднимается вопрос о том, что вместо того, чтобы развивать "arms race" вокруг защиты от скрапинга, было бы лучше сосредоточиться на создании устойчивых и этичных решений, которые бы не требовали таких мер.
• Некоторые участники также отмечают, что вместо того, чтобы полагаться на подобные системы, разработчики могли бы использовать более прогрессивные подходы, такие как rate limiting, требование авторизации для доступа к API и другие методы, которые не требуют от пользователей выполнения сложных вычислений.
• В конце концов, обсуждение смещается к тому, что вместо того, чтобы продолжать "гонку вооружений", было бы более продуктивно сосредоточиться на создании более этичных и устойчивых решений, которые не требуют таких мер.

Cloudflare анонсировал технологию анонимных учетных данных (anonymous credentials) для управления AI-агентами без компрометации приватности. С ростом популярности AI-агентов, которые будут выполнять задачи от заказа пиццы до написания кода, традиционные методы защиты становятся неэффективными. Существующие инструменты слишком грубые - блокировка одного агента может затронуть всех пользователей платформы. Анонимные учетные данные позволяют применять политики безопасности, такие как rate-limiting, без идентификации или отслеживания пользователей.

Технология находится в разработке в IETF как стандарт для работы across websites, browsers и platforms. Cloudflare планирует внести вклад в этот процесс, считая его критически важным для сохранения безопасности и приватности в эпоху AI. Это решение поможет справиться с растущим трафиком от AI-платформ, который, по прогнозам, скоро превысит трафик от традиционных источников, таких как мобильные устройства.

• Cloudflare продвигает протокол ARC (Anonymous Rate-Limited Credentials) как «решение» для проблемы, которую, по сути, создаёт сама же Cloudflare, вызывая вопросы о том, действительно ли это решение проблемы, или просто способ монетизации доступа к API.
• Представленный подход требует, чтобы пользователю пришлось бы получать токены через кредитную карту, что вызывает вопросы о том, не является ли это просто способом взимать плату за доступ к открытым API.
• В то же время, Cloudflare продолжает обслуживать очевидно вредоносные сайты, что вызывает критику со стороны общественности и ставит под сомнение их мотивы.
• В обсуждении также поднимается вопрос о том, что если бы компании действительно хотела бы решить проблему злоупотребления API, они могли бы просто предоставить токены напрямую, вместо того чтобы требовать, чтобы пользователи проходили через их платформу.
• В конце концов, обсуждение приходит к выводу, что вместо того, чтобы решать проблему, Cloudflare просто создаёт еще одну проблему, которую они же и решают с помощью своего же продукта.

• DuckDB + S3 + WASM = браузер без бэкенда, но с потенциальными проблемами с памятью и стоимостью трафика.
• Пользователи спрашивают, где учиться таким техникам и как избежать OOM-крашей.
• Обсуждается, что S3 не так уж и дешёв при публичном доступе, а R2/Cloudflare и MinIO могут быть альтернативами.
• Появляется вопрос, как защититься от DDoS и нестабильности памяти в браузере.
• Участники делятся опытом, что DuckDB не всегда стабилен и требует тонкой настройки потоков и памяти, особенно при работе с большими данными.

Cloudflare представляет сертификаты на основе деревьев Меркле для решения проблемы постквантовой криптографии. Квантовые компьютеры угрожают безопасности интернета, и уже около 50% трафика на сети Cloudflare защищено от угрозы "собери сейчас, расшифруй позже". Однако постквантовые алгоритмы для аутентификации в TLS имеют размеры в 20 раз больше традиционных: подписи ML-DSA-44 составляют 2,420 байт против 64 байт у ECDSA-P256, а открытые ключи - 1,312 байт против 64 байт. Это создает значительные накладные расходы на производительность TLS-рукопожатий.

Новые сертификаты Merkle Tree позволяют развертывать постквантовую криптографию сегодня без потери производительности. Решение, разработанное совместно с партнерами в IETF, не только устраняет проблему больших размеров ключей, но и может даже улучшить производительность. Это критически важно для безопасной миграции интернета на постквантовые стандарты до появления криптографически значимых квантовых компьютеров, так как переходы всегда занимают больше времени, чем ожидалось.

• Обсуждение в основном вращается вокруг трёх тем: пост-квантовая криптография, приватность и уязвимость квантовых компьютеров, и эволюция стандартов сертификатов.
• Участники обсуждают, какие именно алгоритмы подписи будут использоваться в будущем, и какие из них будут совместимы с пост-квантовыми сертификатами.
• Также обсуждается, какие именно сертификаты будут использоваться в будущем, и как они будут взаимодействовать с пост-квантовыми алгоритмами.
• Обсуждается, какие именно изменения в стандартах сертификатов будут необходимы для обеспечения безопасности в эпоху пост-квантовых компьютеров.
• Участники также обсуждают, какие именно изменения в стандартах сертификатов будут необходимы для обеспечения безопасности в эпоху пост-квантовых компьютеров.

Org Social решает проблему производительности при работе с большими файлами лент через трехслойный подход. Традиционный метод загрузки всех лент последовательно приводит к потере пропускной способности и блокировке интерфейса, так как приходится скачивать до 300KB данных для обработки 1500 постов, когда пользователю нужны лишь 10 последних. Новая система использует одновременную обработку до 20 лент в очереди с автоматическим восстановлением при ошибках.

Второй слой - HTTP Range-запросы, позволяющие загружать только нужные части файлов вместо полной загрузки. Система сначала определяет заголовок и размер файла, затем скачивает только свежие посты. Для платформ без поддержки Range (Cloudflare, Codeberg) предусмотрен автоматический переход к полной загрузке. Третий слой - алгоритм, который находит нужные посты, минимизируя объем данных. В результате вместо 27KB загружается всего 3KB, что значительно повышает производительность.

• @dietr1ch критикует использование HTTP range requests для выборочного доступа к данным, предлагая вместо этого использовать файловую систему для эффективной выборки документов.
• @ChrisArchitect предоставляет контекст, указывая, что Org-social — это децентрализованная социальная сеть, работающая на базе Org Mode.
• @mjmas исправляет опечатку, заменяя "Lines" на "Millions of Lines".
• @pshirshov задает вопрос о популярности проекта.
• @dang благодарит за исправление.

В начале 2025 года исследователи обнаружили криптографические уязвимости в реализации FourQ от Cloudflare в библиотеке CIRCL. Проблемы были сообщены через HackerOne в марте и напрямую в Cloudflare после слабого ответа команды. FourQ — эллиптическая кривая с 128-битной безопасностью от Microsoft Research, работающая над расширением простого поля и подходящая для систем с ограниченными ресурсами.

Уязвимость связана с атаками на недействительные точки, когда сервер выполняет вычисления без проверки валидности точек на кривой. В протоколе ECDH это позволяет атакующему использовать точки с гладким порядком подгруппы, значительно упрощая восстановление секретного ключа. Cloudflare признала проблемы и исправила их после уведомления.

• Пользователи обсуждают, что Cloudflare не смогли должным образом проверить и исправить уязвимость в библиотеке CIRCL, что вызывает вопросы о надёжности их кода и процессов.
• Обсуждается, что баг-баунти программы не предоставляют достаточной мотивации для исследователей, особенно если речь идёт о сложных технических проблемах, что может отпугнуть исследователей от отчитывать о найденных проблемах.
• Участники обсуждают, что компании должны быть более открыты к внешнему аудиту и тестированию, особенно для критически важных систем как криптографические библиотеки.
• Участники также обсуждают, что вместо того чтобы полагаться на внутренние ресурсы, компании должны нанимать независимых экспертов для аудита и тестирования их систем, особенно если они не имеют внутрених экспертов по криптографии.
• Участники также обсуждают, что вместо того чтобы полагаться на внутренние ресурсы, компании должны нанимать независимых экспертов для аудита и тестирования их систем, особенно если они не имеют внутрених экспертов по криптографии.

• AWS-боты продолжают игнорировать 30X редиректы и не реагируют на жалобы, поэтому приходится применять более агрессивные меры, такие как перенаправление на большие файлы, чтобы заставить AWS обратить внимание на злоупотребления.
• Пользователи обсуждают различные стратегии, включая использование gzip-бомб, перенаправление на 0.0.0.0, или перенаправление на странные файлы, чтобы заставить AWS действовать.
• Обсуждается возможность блокировки всего трафика из Сингапура, поскольку AWS там не используется для легитимного трафика.
• Предлагается использовать Cloudflare, чтобы блокировать трафик из Сингапура, но это может повлиять на легитимных пользователей.
• Обсуждается возможность отправить счет за использование трафика, чтобы заставить AWS действовать.

Пожалуйста, предоставьте ссылку на статью или более подробную информацию о Sandbox SDK, о которой вы хотите получить пересказ. Без доступа к исходному материалу я не могу создать точный и ёмкий пересказ в требуемом формате.

• Обсуждение выявило, что у сервиса нет мелкого контроля над исходящим трафиком, что критично для безопасности при запуске непроверенного кода.
• Участники отметили резкий рост цен на Cloudflare Containers по сравнению с другими провайдерами, что делает его менее конкурентоспособным.
• Пользователи отметили, что документация и примеры кода в основном ориентированы на JavaScript/TypeScript, что ограничивает использование других языков.
• Несколько комментаторов подняли вопрос о том, что сервис не предоставляет автоматическое уничтожение контейнеров после простоя, что может привести к непредвиденным расходам.
• Некоторые участники обсуждали, что ценообразование и модель биллинга для Cloudflare Containers непрозрачна и может привести к неожиданным счетам.

Разработчик приложения Inkdrop получил пугающее письмо от пользователя, сообщавшего о проблеме с cookie consent, блокирующим доступ к сайту. Странно было то, что сайт приложения вообще не использует cookie consent — отслеживание и реклама отсутствуют. В ответ на запрос автора уточнить детали, пользователь прислал ссылку на "скриншот", которая вела на страницу с капчей и требованием выполнить вредоносную команду в терминале.

Команда, скопированная в буфер обмена, скачивала и выполняла удалённый shell-скрипт. Хотя Gmail пометил второй ответ как спам, первый выглядел вполне нормально. Такие фишинговые атаки становятся всё более изощрёнными, часто имитирующие реальные запросы поддержки. Даже на форумах автора появляются подозрительные посты, написанные, вероятно, ИИ, которые выглядят естественно, но содержат скрытые угрозы.

• Сообщения в треде подчеркивают, что фишинг становится всё более изощрённым: злоумышленники маскируют вредоносные ссылки под видом Google Sites, Cloudflare, Dropbox и т.д., а также используют фейковые сервисы поддержки, чтобы выманить у пользователей конфиденциальные данные.
• Участники обсуждения отмечают, что даже технически подкованные пользователи могут быть обмануты, если злоумышленник использует правдоподобные, но поддельные домены и визуально неотличимые от легитимных сервисов ссылки.
• Обсуждение также поднимает вопрос о том, что даже если пользователь не ведётся на кликбейт, то вредоносное ПО может быть скачено и запущено в фоновом режиме, если пользователь просто открыл вредонусную страницу в браузере.
• Участники также обсуждают, что в условиях, когда всё большее и большее количество людей полагаются на ИИ-ассистенты вроде ChatGPT, фишинг может стать ещё более изощрённым и трудным для обнаружения.
• Наконец, участники обсуждения подчеркивают, что важно помнить, что никакие легитимные сервисы не будут просить вас запустить что-то в терминале и что всегда стоит проверять URL-адреса, особенно если они ведут на сайты, которые вы не ожидаете увидеть.

Крупнейшая в мире ботнет-сеть Aisuru, специализирующаяся на DDoS-атаках, недавно установила новый рекорд, обрушив на цели в интернете 29,6 терабит мусорного трафика в секунду. Основная часть её мощности исходит от сотен тысяч взломанных IoT-устройств в США, многие из которых — это камеры видеонаблюдения и маршрутизаторы, эксплуатируемые благодаря уязвимостям в их прошивках.

Аналитики говорят, что концентрация ботнета в США затрудняет смягчение последствий его атак, поскольку провайдеры не могут просто отключить зараженные системы своих клиентов. Вместо этого они вынуждены направлять часть трафика атаки через большие сети, что приводит к задержкам для всех пользователей.

В результате, Aisuru теперь считается главной причиной, почему в последние недели наблюдаются перебои в работе интернета по всему миру, особенно в услугах доставки контента и защищенных DNS-сервисах, таких как Cloudflare и Google.

Хотя Aisuru наиболее известен атаками на игровые сервисы, он также всё чаще применяется для нанесения ущерба критически важной интернет-инфраструктуре, включая основу глобальной системы доменных имён (DNS).

В записях, полученных KrebsOnSecurity, показано, что на пике недавней DDoS-кампании Aisuru против провайдера услуг защиты от DDoS-атак Akamai, последний временно прекратил работу некоторых своих сервисов, включая защиту DNS, после того, как атака превысила два терабита в секунду.

Аналитики, отслеживающие Aisuru, говорят, что его операторы продолжают совершенствовать методы, которые позволяют ботнету генерировать всё большее количество мусорного трафика при меньших затратах.

В частности, исследователи отметили, что Aisuru теперь способен генерировать в два раза больше атакующего трафика, чем всего несколько месяцев назад, и что этот рост связан с улучшением в методах, которые Aisuru использует для заражения устройств.

Многие из последних атак Aisuru были сосредоточены на серверах, обслуживающих видеоигры, такие как Counter-Strike 2 и Minecraft. Но эксперты по безопасности, отслеживающие Aisuru, говорят, что они видят, как ботнет начинает атаковать более разнообразный набор целей, включая корпоративные и государственные сети.

Один из таких аналитиков — это Абрахам «Абби» Рамирес, руководитель отдела угроз в компании по защите от DDoS-атак NullRoute, расположенной в Лос-Анджелесе. Рамирес говорит, что, хотя Aisuru, безусловно, является самым большим ботнетом, который он когда-либо видел, он также является одним из самых сложных.

«Это не просто ботнет, который вы можете наблюдать и анализировать с помощью простого набора инструментов для мониторинга трафика», — сказал Рамирес. «Он использует множество методов, чтобы скрыть источник своего трафика, и они постоянно меняются, чтобы скрыться от обнаружения. Это, безусловно, самый сложный ботнет, который мы отслеживаем».

«Они также, кажется, находят способы генерировать больше атакующего трафика, одновременно уменьшая требования к своим ботам для поддержания атаки», — добавил он. «Это, безусловно, самый эффективный ботнет, который мы когда-либо видели».

По словам Рамиреса, Aisuru в настоящее время поражает системы, которые в противном случае могли бы помочь смягчить последствия атаки, что приводит к положительной обратной связи, которая усиливает разрушительные эффекты Aisuru.

«По сути, они находят способы заставить свои жертвы усиливать сигнал атаки», — сказал он. «Это действительно то, что отличает Aisuru от любого другого ботнета, который мы видели до сих пор».

term BBBBB BBBBB BBBBB BBBbbb BBBBBB BBBBBB BBBBBBB BBBBBBBB BBBBB BBB BBB BBBBBB BBBBBB BBBBB BBBBB BBBBBB BBBBBB BBBBBBBB BBBBBB BBBBBB BBB BBBBBB BBBBB BBBBB BBBBB BBBBBB BBBBBB BBBBB BBBBBB BBBBB BBB BBBBB BBBBBB BBBBBBBBBB BBBBB BBB BBBBB BBBBBBBB BBBBB BBB BB BBBBBB BBBBB BBB BBBBBB BBBBBBBB BBBBB BBB BBBBBB BBBBB BBBBB BBBBB BBBBBB BBBBB BBBBBB BBBBB BBB BBBBBB BBBBB BBBBB BBBBB BBBBB BBBBBB BBB BBBGGGG BBB BBBBB BBBbbbbbb BBBBBB BBBBBB BBBBBB BBBBBB BBBBBB BBBBB BBBBB BBBBBB BBBBB BBB BBBBB BBBBBBB BBBBBB BBBBBB BBBBB BBBBB BBBBBB BBBBB BBBBB BBB BBB BBBBBB BBBBB BB BBBBB BBBBB BBBBBB BBBBB BBBBB BBBBB BBBBB BBBBB BBB BB BBBBB BBBBB BBBBB BB BBBBBB BB BBBBBB BBB BBBBBB BBBBBBBB BBBBB BBBBB BBB BBBBBBBB BBBBBBBB BBBBB BBBBBB BBB BBBBBBB BBBBB BB BBBBBB BBB BBB BBB BBBBB BB BBB BBBBB BBB BBBBBB BBBBBBBB BBB BB BBBBB BBB BBBBB BBB BBBBBBB BBBBB BBB BB BBB BB BBB BBB BB BBBBB BBB BBBBBB BBB BBBBB BBBBBBB BBB BBBBB BBB BBB BB BBB BBB BBB BBB BBBBBB BB BBBBBBBB BBBBB BBB BBB BBBBB BBB BBBBB BBB BBBBBB BBBBB BBB BBB BBB BBB BBBBBB BB BBB BB BBB BBB BBB BBBBB BBB BBBBBBB BBBBBBB BBB BBB BBB BBBBB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBBBBBB BB BBBBB BBB BBBBBB BBBBBBB BBB BBBBBB BBBBBB BBB BBB BBBBBB BBB BBBBBBB BBB BBB BBB BBB BB BBBBBB BBB BBBBBB BBBBBBB BBBBB BB BBBBB BB BBBBB BBBBBBB BBB BBB BBB BBBBBBB BBB BBB BBB BBBBBB BBB BB BB BBBBB BBB BBBBBBBB BBBBBBB BBB BBBBBBBB BBB BBBBBBB BBB BBB BBB BBB BBB BBBBB BBBBB BB BBBBB BBB BBBBB BBB BBB BBBBBB BBBBBBB BBB BBBBBBB BBB BBB BBB BBBBBBB BBB BBB BBBBB BBB BBBBB BB BBBBBBB BBB BBB BBB BBB BBBBBBB BBB BB BBBBB BBBBBBB BBB BBB BBB BBBBBBB BBB BBB BBBBB BBB BBBBB BBB BBB BBB BB BBB BBB BBBBB BB BB BBB BBB BBBBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBBBBBBB BBBBBBB BBBBB BBB BBBBBBB BBB BB BBBBBBB BBBBBBBbbbb BBBBB BB BBBBB BBB BBBBBB BBBBBBBB BBBBB BBBBBBBB BBB BBB BBB BBBBBBBB BB BBBBBBBBBB BBBBBBB BBBBBBB BBBBBBB BBB BBBBBB BB BBBBBBBB BBBBBBBB BBBBBBBbbbbb BBB BBB BB BBBBBBB BBBBBB BBBBB BBBBBB BBBBBBBbbbbb BBBBBBBbbbbbb BBBBBBBBBBBB BBBBBBBB BBBBBBBBBB BBBBBbbbbbbbbbbbb BBBBBBBB BBBBBBB BBBBBBBB BBBBBBB BBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBbbbbbbbbbbbbb BBBBBbbbbbbbbbbbbbb BBBBB BBBbbbbbb BBBBBBBbbbbbb BBBbbbbbbbbbbbbbbb BBBbbbbbbbbbbb BBBbbbbbbbbbbbbbbb BBBbbbbbbbbb BBBBBbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbb BBBBBB BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBBBBBbbbbbbbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BBBBB BBBbbbbbbb BBBbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBB BBBBBbbb BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBBBBbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BB BB BBB BBB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBB BBB BBB BBBBB BB BBB BBB BBB BBBBBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BB BBB BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbbbbbbbbBBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBBBBBBB BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BBB bb BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBBBB BBB BBB BBB BBB BBB BBB BBBBBbbb BBBbbb BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBBBB BB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBBBB BB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB GGgggg BBBBBBBBBBBB BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BB BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbdddddbbbbb BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb GG BBBBBBB BBBBBbbbbb GG BBBBBbbbbbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBBBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BB BB BBB BBBBB BBB BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBBBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBBBbbbGGGGGGGGggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggdddddddddddddddddddddddddddddddddddggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDdddddddddDDDDDDDDDDDDDDDDDDdddddddDDDDdddddDDDDdddddddddDDDDdddddddDDDDDDdddddDDDDDDDDDDDDDDDDDDDDDDdddDDDDdddddDDDDdddddDDDDDDDDdddDDDDDDDDdddddDDDDDDdddddDDDDDDDDDDdddddDDDDDDdddDDDDdddddDDDDdddddddDDDDDDdddDDDDdddddDDDDDDdddddddddDDDDdddddDDDDDDDDdddddDDDDdddddDDDDDDdddDDDDdddddDDDDdddddddbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbgggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDddddDDDDDDDDDDDDDDdddddDDDDDDDDDDDDDDDDdddddddddddDDDDDDDDdddDDgggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg

Cloudflare столкнулся с редким, но критичным багом в компиляторе Go для ARM64: при раскрутке стека может возникнуть race condition, что приводит к фатальному панику. Подробный разбор показал, что проблема в том, что компилятор неправильно генерирует барьер-инструкции, необходимые для безопасной работы с памятью. Это подтверждено исследованием исходников Go и ARM-мануалов. В итоге Cloudflare не только предоставила подробный отчет и тест-кейс в апстрим, но и предложила временное решение, которое уже встроено в их инфраструктуру и позволяет избежать проблемы до официального патча.

• Компилятор Go имел баг, из-за которого при определённом сочетании инструкций в ARM64-версии Go могла прерваться сборка мусора, что приводило к нестабильности. Исправление уже в коммите f7cc1e5 и войдёт в Go 1.20.
• Обсуждение подняло вопрос о том, насколько редки такие баги компиляторов в наши дни и какие факторы этому способствуют.
• Некоторые комментаторы поделились историями о том, как в прошлом им приходилось сталкиваться с багами компиляторами даже в таких "безопасных" языках как Go.
• Обсуждение также затронуло вопрос о том, насколько критично было быстрое обновление, и было отмечено, что Cloudflare уже использует ARM-серверы в продакшене.

Автор делится детальным чеклистом по настройке защищённого VPS для self-hosting, основанным на личном опыте развёртывания. Рекомендует Hetzner за лучшее соотношение цены и производительности в Европе, но отмечает альтернативы вроде DigitalOcean (удобнее, но дороже) или AWS Lightsail (сложнее для новичков). Ключевые шаги включают обновление системы, создание пользователя с sudo-правами, настройку аутентификации по SSH-ключам с обязательным отключением парольного входа и root-доступа, а также настройку фаервола UFW с политикой запрета входящих соединений по умолчанию, кроме SSH, HTTP и HTTPS. Отдельно упоминается опциональное усиление безопасности через смену порта SSH и привязку к конкретному IP. Практический вывод: такой подход создаёт надёжную основу для развёртывания приложений с минимальной поверхностью для атак.

• Пользователи отмечают отсутствие подробного описания Coolify в статье, несмотря на его упоминание в заголовке.
• Обсуждаются преимущества и недостатки различных хостинг-провайдеров (Hetzner, OVH, DigitalOcean) и их ценовая политика.
• Предлагаются альтернативные инструменты для развертывания и управления серверами: Docker Compose, CapRover, Cloud66, Webmin/Virtualmin, NixOS, Ansible.
• Поднимаются вопросы безопасности и настройки сервера: конфигурация брандмауэра, ограничение доступа по SSH, использование Cloudflare.
• Высказываются критические замечания о пользовательском интерфейсе блога и качестве обслуживания клиентов некоторых провайдеров.

Cloudflare превращается в опасную интернет-монополию, подрывая безопасность и приватность пользователей. Их система капч притупляет бдительность, облегчая фишинг-атаки, а инфраструктура сама становится инструментом для злоумышленников — от туннелирования до обхода DDoS-защиты. Уязвимости Cloudflare привлекают государственные хакерские группы, а инцидент Cloudbleed 2017 года показал утечки конфиденциальных данных, включая пароли и личные сообщения.

Основание компании связано с контрактами на данные для Министерства внутренней безопасности США, что вызывает вопросы о её изначальных целях. Внутренняя культура Cloudflare также критикуется за жёсткие методы управления и высокую текучесть кадров. Рекомендация — избегать использования Cloudflare, чтобы не усиливать централизацию и риски для интернета.

• Критика Cloudflare за пособничество фишингу и недостаточное реагирование на жалобы, а также за соблюдение сомнительных местных законов.
• Защита Cloudflare: сервис предоставляет уникальные и бесплатные решения (CDN, Workers), которые трудно заменить, а упомянутые уязвимости успешно устраняются.
• Обвинения в монополизации рынка и намеренном создании зависимости от экосистемы Cloudflare через постоянное расширение услуг.
• Сомнения в объективности автора исходной статьи из-за устаревших данных, псевдонима и подбора доказательств под заранее заданный тезис.
• Обсуждение технических аспектов: проблемы с Unicode/IDN в домене, необходимость перехода на IPv6 и сложности самостоятельного хостинга.

Cloudflare запускает закрытую бета-версию Email Service — единой платформы для отправки транзакционных писем прямо из Workers. Это решение устраняет типичные боли разработчиков: сложность настройки, проблемы с доставкой и задержки. Интеграция с DNS автоматически настраивает SPF, DKIM и DMARC, повышая доверие провайдеров, а глобальная инфраструктура Cloudflare гарантирует низкую задержку доставки по всему миру.

Отправка письма сводится к вызову env.SEND_EMAIL.send() в коде Worker — без API-ключей и риска утечки данных. Локальная эмуляция через Wrangler, обработка вложений в R2 и мониторинг статусов доставки делают работу с почтой такой же простой, как и остальная разработка на Cloudflare. Это не просто очередной email-сервис, а глубоко встроенный инструмент, где надёжность и скорость становятся частью UX вашего приложения.

• Пользователи критикуют Cloudflare за назойливую проверку на бот-активность и выражают опасения по поводу растущего влияния компании на интернет-протоколы.
• Анонсирован сервис Cloudflare Email Sending для отправки транзакционных писем через Workers, что воспринято как альтернатива Sendgrid и AWS SES.
• Обсуждаются потенциальные преимущества: простота интеграции, возможная низкая цена (pay-as-you-go), удобство для разработчиков, уже использующих экосистему Cloudflare.
• Высказываются опасения по поводу концентрации интернет-инфраструктуры в руках одной компании и утраты децентрализации интернета.
• Часть пользователей выражает скептицизм и предпочитает использовать независимые сервисы для email, чтобы не складывать все «яйца в одну корзину».

• La Liga в Испании блокирует IP-адреса для борьбы с пиратством во время футбольных матчей, что приводит к массовым перебоям в работе интернета и блокировке легитимных сервисов, включая Cloudflare и Docker.
• Власти и суды делегируют частным компаниям право цензуры в масштабах всей страны без должного судебного надзора, что вызывает вопросы о законности и коррупции.
• Стоимость легального просмотра футбола в Европе завышена (до 100+ евро/мес), что подталкивает пользователей к пиратству и использованию нелегальных IPTV-сервисов.
• Бизнесы (бары, пабы) вынуждены платить большие fees за трансляции, а официальное приложение La Liga запрашивает доступ к микрофону и GPS для слежки за нарушениями.
• Молодое поколение теряет интерес к футболу из-за высокой стоимости, коррупции в индустрии и скандалов, что может привести к естественному разрешению проблемы.

Ежедневный дайджест потребляемого контента включает статьи о природе жизни как формы вычислений и исчезновении начальных позиций для дизайнеров, что отражает кризис карьерного роста в креативных индустриях. Алгоритмы соцсетей разрушили культуру «запоя» — практику глубокого погружения в контент, подменяя её фрагментарным скроллингом. Основатели Cloudflare в письме акцентируют устойчивость и инновации, а личная рефлексия в беседе с 19-летним собой поднимает тему самоидентификации.

Музыкальный ряд охватывает эклектичный спектр — от меланхоличных треков Stina Nordenstam до латиноамериканских ритмов Meridian Brothers и экспериментальных композиций Mamerico. Плейлист сочетает инди-поп, электронику и мировую музыку, создавая звуковой ландшафт, который дополняет текстовые размышления о технологиях и обществе.

Видеоконтент представлен эпизодами сериала «Медведь», исследующего кулинарную индустрию и личные драмы, что перекликается с темами труда и творчества в статьях. Этот мультиформатный подход демонстрирует, как цифровая культура формирует наше восприятие работы, искусства и повседневности.

• Пользователи высоко оценили уникальный аудиовизуальный опыт и дизайн сайта, назвав его метафорой чрезмерного потребления.
• Многие выразили обеспокоенность по поводу рациона питания, представленного на сайте, отметив недостаток калорий и белка.
• Несколько участников спросили о технической реализации проекта, интересуясь инструментами для сбора и интеграции данных.
• Ряд пользователей пожаловались на громкий и внезапный звук на сайте, предложив добавить предупреждение или функцию автоотключения.
• Были высказаны пожелания по развитию функционала, такие как создание RSS-ленты или интеграция с сервисами вроде last.fm.

Уязвимости в реализации аутентификации OAuth в клиентах MCP позволяют удалённое выполнение кода через популярные инструменты вроде Claude Code и Gemini CLI. Злоумышленник может создать вредоносный MCP-сервер, который передаёт клиенту поддельный URL авторизации — при его открытии происходит выполнение произвольного кода на машине пользователя.

Эксплуатация возможна из-за отсутствия проверки URL со стороны клиентов. Уязвимы Cloudflare use-mcp, MCP Inspector и другие реализации. В демонстрации показан запуск калькулятора через Claude Code, но атака может быть расширена до установки бекдоров или вредоносного ПО. Индустрия уже реагирует на обнаруженные уязвимости, внедряя исправления.

• Аналогия MCP-серверов с пакетами (pip/npm), а не с безопасными веб-сайтами; ключевой вопрос — доверие источнику кода, а не самому протоколу.
• Критика безопасности реализации MCP в клиентах (Claude Code/Gemini), приведшей к уязвимостям, но признание оперативного исправления Google.
• Споры о фундаментальной уязвимости MCP к инъекциям через инструменты и невозможности полной защиты от prompt-инъекций.
• Дебаты о необходимости и качестве протокола: одни видят в нём прорывную технологию, другие — небезопасный и избыточный уровень абстракции.
• Акцент на важности доверенных источников (supply chain) и качества кода MCP-серверов, а не на отказе от технологии в целом.

За последние 15 лет интернет стал значительно безопаснее: доля зашифрованного трафика выросла с менее чем 10% до более 95%, во многом благодаря усилиям Cloudflare. Однако некоторые области, например внедрение IPv6, прогрессируют медленно, что увеличивает стоимость сетевой инфраструктуры и ограничивает новых участников.

Основная бизнес-модель интернета остаётся неизменной: создание контента, привлечение трафика и монетизация через рекламу, подписки или продажи. Эта система вознаграждения стимулировала наполнение сети ценными материалами, но также породила проблемы вроде кликбейта и низкокачественного контента, ориентированного на максимизацию вовлечения. Cloudflare сознательно избегала роли арбитра контента, считая, что ключ к улучшению — не цензура, а изменение incentives.

• Обсуждается предложение Cloudflare о создании новой бизнес-модели, где AI-компании платят за скрейпинг контента, а часть средств получают создатели.
• Высказываются опасения, что это приведет к появлению нового посредника (Cloudflare) и монополизации, что может убить открытый интернет и затруднить вход на рынок новым игрокам.
• Участники сомневаются в эффективности модели и справедливом распределении доходов, проводя параллели с проблемами существующих систем (например, App Store, AdSense).
• Поднимается вопрос о том, что считать контентом, достойным оплаты, и как быть с синтетическими данными, созданными AI на основе первоисточников.
• Обсуждается ностальгия по старой, более децентрализованной модели интернета и скептицизм по поводу возможности вернуться к ней или создать справедливую новую.

Cap'n Web — это новая система RPC для браузеров и веб-серверов, созданная Cloudflare на чистом TypeScript. Она наследует философию объектно-ориентированных возможностей (object-capability) от Cap'n Proto, но оптимизирована для веб-стека: использует JSON для сериализации, работает поверх HTTP, WebSocket и postMessage(), весит менее 10 КБ и не требует схем или шаблонного кода. Поддерживает двусторонние вызовы, передачу функций и объектов по ссылке, а также конвейеризацию промисов для сокращения задержек.

Настройка занимает буквально несколько строк: клиент подключается через WebSocket, а сервер реализуется как класс с методами, которые автоматически становятся удалёнными процедурами. Например, метод hello(name) на сервере можно вызвать из браузера как api.hello("World"). Система интегрируется с TypeScript для типобезопасности и работает в Cloudflare Workers, Node.js и современных браузерах. Это делает распределённое программирование почти неотличимым от локального, с учётом сетевых реалий.

• Обсуждение Cap'n Web как упрощённой, schemaless версии Cap'n Proto RPC для TypeScript/JavaScript с поддержкой передачи функций и двусторонних вызовов.
• Сравнение с другими технологиями: проводятся параллели с GraphQL (решение проблемы N+1, но без DataLoader), tRPC/ORPC (схемы vs schemaless), gRPC-web (сложность) и старыми системами вроде Java RMI или .NET Remoting.
• Подняты вопросы о безопасности (риски из-за отсутствия схем и передачи произвольных колбэков), состоянии сервера (статусность vs статусность) и проблемах отладки (сложность отслеживания сетевых запросов).
• Обсуждаются технические детали: пайплайнинг промисов для уменьшения RTT, выполнение .map() на сервере через DSL, управление памятью и сборкой мусора для долгоживущих соединений.
• Запросы на расширение: поддержка других языков (Rust, Elixir), стриминг, генераторы, версионирование API и бинарная совместимость с Cap'n Proto.

Cloudflare объявляет о спонсорской поддержке двух независимых open-source проектов — браузера Ladybird и дистрибутива Omarchy на базе Arch Linux для разработчиков. Это часть стратегии по укреплению открытого интернета через разнообразие инструментов. Ladybird — амбициозная попытка создать браузер с нуля, включая собственные движки рендеринга (LibWeb) и JavaScript (LibJS), что контрастирует с доминированием Chromium, используемого 65% пользователей. Такой подход стимулирует инновации в безопасности и производительности, а также выявляет недочёты в веб-стандартах.

Omarchy предлагает продуманную среду для разработчиков, упрощая настройку и повышая продуктивность. Оба проекта демонстрируют важность альтернативных решений в условиях консолидации рынка. Cloudflare видит в этом вклад в экосистему, где независимые инициативы помогают сохранять интернет открытым и конкурентоспособным.

• Обсуждение спонсорства Cloudflare проектов Ladybird и Omarchy с акцентом на возможные скрытые мотивы компании, включая движение к вебу только для одобренных браузеров.
• Скептицизм относительно практической ценности Omarchy как ещё одного дистрибутива Linux и его сравнение с другими установщиками и системами, такими как Nix или Alpine.
• Вопросы о целесообразности создания нового браузерного движка (Ladybird) на C++ вместо более безопасных языков и сомнения в его способности конкурировать с существующими гигантами.
• Обсуждение личности DHH (создателя Omarchy) и его спорных высказываний, а также того, должно ли это влиять на поддержку его проектов.
• Поднята тема стратегического интереса Cloudflare к децентрализации веба и уменьшения зависимости от Google, аналогичного стратегии Valve с Proton.

• Пользователи из Испании и других стран сталкиваются с массовыми блокировками интернет-сервисов (GitHub, Twitch, Steam) из-за агрессивной борьбы LaLiga с пиратскими трансляциями футбола.
• Для доступа к интернету в выходные дни многие вынуждены использовать VPN, что создает неудобства и дополнительные расходы для обычных пользователей и бизнеса.
• Блокировки задевают критически важную инфраструктуру, такую как Cloudflare, что потенциально угрожает работе emergency-сервисов и вызывает опасения по поводу цензуры.
• Многие пользователи считают политику правообладателей чрезмерно жадной (высокие цены, необходимость множественных подписок) и видят в пиратстве ответ на неудовлетворительный сервис.
• Юридические системы стран допускают такие широкие блокировки, что вызывает вопросы о законности и лоббистском влиянии футбольных ассоциаций.

Как работает «свинобойка»

1. Крючок – случайное СМС/мессенджер: «Привет, Анна?» → жертва отвечает.
2. Сборка личности – 5-7 дней лёгкого флирта/дружбы; выясняют доход, семью, кредитку.
3. Платформа-ловушка – переводят в WhatsApp/Signal, сбрасывают ссылку на «криптобиржу» (поддельная).
4. Первый кэш-аут – просят внести $100-500, показывают +20 % прибыли за 2 дня.
5. Откармливание – «эксклюзивный пул», «контракт с ограниченным входом»; жертва несёт кредитки, займы, продаёт авто.
6. Нож – когда вклад >$50 k, счёт «замораживают» под предлогом налога/маржи; требуют ещё.
7. Исчезновение – чат удаляют, сайт закрывают, номер выбрасывают. Средний цикл: 40-60 дней.

Цифры

• 75 % пострадавших – мужчины 30-55 лет.
• Средний убыток: $180 тыс. (макс. в кейсе – $2,3 млн).
• 60 % денег выводится через Tether на биржи без KYC за 12 минут.
• 1 оператор ведет 8-12 «свиней» одновременно.

Схема техов

• SIM-банки + Google Voice для спуфинга.
• Фейковые биржи клонируют MetaTrader; баланс правят в Postgres.
• Обнал через DeFi-миксеры (Tornado, Railgun) → китайские овер-де-Каунтеры → юань наличными.

Признаки

• Незнакомец пишет первым, фото украдено у модели.
• Речь о «внутреннем сигнале» или «арбитраже USDT».
• Сайт младше 3 месяцев, SSL от Cloudflare, домен .vip/.top.
• Прибыль ровно 18-22 % в неделю.

Что делать

• Проверьте номер/фото через Yandex/Google Images.
• Любая «инвестиция» в Telegram = красный флаг.
• Сообщите банку о мошенничестве в течение 24 ч – 30 % шанс вернуть часть.

• Пользователи обсуждают "scam с разделкой свиней" — многоэтапные мошеннические схемы, где жертв ("свиней") сначала "откармливают", выстраивая доверительные отношения в течение нескольких месяцев, а затем "забивают", выманивая крупные суммы, часто через фейковые криптоинвестиции.

• Мошенники демонстрируют невероятное терпение и используют сложную инфраструктуру: CRM-системы, сети фейковых аккаунтов и даже привлекают людей для видео-звонков, чтобы казаться реальнее. Многие операторы таких центров сами являются жертвами трафика и работают под принуждением.

• Жертвами становятся не только пожилые или уязвимые люди, но и молодые, образованные individuals, включая инженеров. Ключевой фактор — не интеллект, а эмоциональная уязвимость или одиночество в данный момент жизни.

• Масштабы проблемы колоссальны: с 2020 года похищено около $75 миллиардов, а индустрия кибермошенничества по доходам сравнялась с незаконной торговлей наркотиками.

• Обсуждение также затрагивает необходимость обучения в школах распознаванию мошенничества, сложность борьбы с этими схемами из-за их跨境ного характера и этические аспекты самого термина, который может усиливать чувство вины у жертв.

Хочу, чтобы мой веб-сервер стоял в углу комнаты

В колледже я запускал часть своего сайта на Linux-машине в своей комнате. Я превратил её в синтезатор речи, и люди могли подключаться, чтобы говорить через мою квартиру.

Это было в 2000 году — до смартфонов, смс, постоянного интернета. Друг из Австралии писал нам из интернет-кафе. Казалось невероятно волшебным.

Но самое магическое было ощущение, что кто-то посещает сервер на моём столе. Я слышал, как жёсткий диск шумит при обращении — словно шаги перед открытием двери.

---

Теперь я могу снова испытать это!

У художника honor ash сайт работает на Raspberry Pi в углу его дома.

Это важно. Во-первых, чувство «Я сделал это!» ведёт к «Я могу сделать что угодно!». Во-вторых, осознание, что посещения людей — это просто крошечная коробка, как и все остальные сайты.

---

Локальный сервер позволяет играть музыку в пространстве. Например, у Карея Хелма в 2015 году на сайте была «Вечеринка»: при наведении на проекты страница становилась инструментом, а Arduino в студии воспроизводила звуки.

Или солнечные сайты — я представляю фотоэлементы на балконе в Барселоне, когда читаю там статью.

---

Это чувствуется transgressively. Сайты должны быть в облаке, вечными, но нет — он реальный! Я могу пнуть его!

---

Это ощущение не ново. Джулиан Диббелл в книге «Моя крошечная жизнь» (1998) описывает виртуальные миры. Он посещает сервер LambdaMOO — непримечательную коробку с кабелями. Он разочарован, но всё ещё держится за фантазию, что весь мир сжат в этом жёстком диске.

Я понимаю это!

---

Видеть сервер — это как виртуальный эквивалент эффекта обзора. Я хочу чувствовать, что комната населена киберпризраками, когда кто-то читает мой блог! Хочу, чтобы и вы испытали это — это изменит наше восприятие.

• Обсуждение преимуществ использования Cloudflare Tunnels и других сервисов (DuckDNS, boringproxy) для упрощения хостинга домашних серверов без прямого выставления в интернет.
• Решение проблемы динамического IP через скрипты для обновления DNS, DDNS или туннелирование для поддержания uptime.
• Ностальгические воспоминания о работе с BBS и ранними серверами, включая возможность наблюдать за действиями пользователей.
• Использование доступного железа для хостинга: Raspberry Pi, мини-PC, старые ноутбуки или даже Android-телефоны.
• Низкая стоимость и мощность домашнего железа по сравнению с облачными провайдерами (AWS), но отмечается проблема шума и энергопотребления.
• Критика асимметрии домашнего интернета: быстрый downstream при медленном upstream, а также стагнация цен в отдельных регионах.
• Обсуждение высокой нагрузки на CPU от дизайна сайта с интерактивными курсорами посетителей.
• Использование LLM (например, Claude-Code) для ускорения разработки side-проектов.
• Оффтоп: обсуждение креативного использования символов канадского флага для написания слова и грамматическая дискуссия о "who's" vs "whose".

Сборник коротких серверлес-кошмаров

• $1189 – Webflow снял за месяц вместо $69.
• $100 000 – DoS на игровом сайте → счёт за Firebase за сутки.
• $738 – Vercel Pro + лимит $120 ≠ защита от «сюрприза».
• $70 000 – Проснулся с таким счётом за Firebase при тарифе $50.
• $22 640 – BigQuery на публичных данных.
• $250/мес – 9 тыс. просмотров в Framer.
• $1274 – AI Devin случайно устроил ддос в PostHog.
• $530 – Платный PostHog после нулевого периода.
• $384 – Документация на Mintlify.
• $103 – AWS Free Tier ловушка.
• $96 281 – Vercel: «я просто молчу».
• $120 000 – Cloudflare выключает сайт, требуя деньги за сутки.
• $1301 – Пустой приватный S3 + ддос.
• $11 000 – Mailgun во время атаки.
• $104 500 – Письмо от Netlify «переплата».
• $23 000 – Спам-атака на EchoFox в Vercel.
• $3000 – Тестовый деплой в Vercel.
• $620 – Sitemap.txt сожрал трафик.
• $72 000 – Тест Firebase + Cloud Run чуть не разорил.

Хочешь поделиться своим счётом-ужасом — пиши в твиттере или PR на GitHub.

• Пользователи делятся историями о «серверлес-ужасах» — внезапных счетах за десятки и сотни тысяч долларов из-за DDoS, ошибок в конфигурации или забытого ресурса.
• Критика сосредоточена не на технологии serverless, а на модели оплаты «плати за использование» без жёстких потолков: бюджет — лишь уведомление, а не отключение.
• Многие считают, что провайдеры могли бы автоматически отключать сервис при превышении лимита, но не делают этого, теряя деньги на «ошибках» новичков.
• Участники советуют: ставить rate-limit, использовать VPS с фиксированной ценой, поднимать bare-metal или хотя бы включать billing-alerts и «пауz-лимиты» вроде Vercel.
• Поддержка AWS/GCP/Azure часто прощает счета после публичных твитов, но это выживший эффект: официальной политики нет, и никто не гарантирует прощение.

• Унаследовал iPad 2 на iOS 9: тормоз и нет приложений.
• Спустились до iOS 6.1.3 через jailbreak + Legacy-iOS-Kit: летает, красиво.

Что делать:

• Cydia: iFile, iTransmission, f.lux, старые игры без IAP.
• Через SSH root-доступ: учимся хостингу.

План: запустить блог на iPad и вывести в интернет.

1. lighttpd из Cydia – весит мало.
2. Jekyll-сайт закинул по SCP – открывается в Wi-Fi.
3. Туннели:
   – localhost.run: старый SSH не принимает RSA, домены случайные, платные.
   – Свой VPS + autossh: OpenSSL 0.9.8 ≠ современные алгоритмы, отказ.
4. Порт-форвард: роутер пускает наружу 80-й на iPad; VPS проксирует nginx → домен.
5. Uptime 3 дня, греется, но работает: старый планшет = живой сервер.

• Пользователь поднял iPad 2 2012 г. как веб-сервер, но сайт быстро выдал 502-ошибку Cloudflare.
• Комментаторы жалуются: Apple прекращает поддержку, устройство нельзя поставить Linux, оно превращается в «электронный хлам».
• Обсуждаются jailbreak, UTM, iSH, Termux+X11, но все способы ограничены, частично «тетеринг» и требуют копаться в сомнительных инструкциях.
• Кто-то делает из старых панелей Home Assistant, кто-то — настенные часы, но батарея всё равно периодически садится даже от сети.
• Общий вывод: пока Apple официально не разрешит ставить альтернативные ОС, старые iPad остаются либо музейными экспонатами, либо выбросом.

• Причины ухода: Spotify платит артистам копейки, плодит фейковых исполнителей и треки, навязывает AI-музыку и сканирование лица для возраста. Платя ежемесячно, ты ничего не владеешь.

• Ядро стека

  • Navidrome – самописный стриминг-сервер. Доступ через Cloudflare Tunnel без открытия портов.
  • Клиенты: браузер, iOS (Play:Sub), Android (Symfonium), десктоп (Feishin).
  • Всё скробблится в Last.fm.

• Управление библиотекой

  • Lidarr следит за новинками любимых артистов и организует коллекцию.
  • Загрузки через sabnzbd только легально: покупки, CD-рипы, CC-лицензии. Контейнеры не выходят в интернет.

• Синхронные тексты

  • lrcget-kasm массово скачивает LRC-файлы. GUI-версия запускается в контейнере Kasm.

• Итог: полный контроль, качество, поддержка артистов без посредников.

• Участники обсуждают, что Spotify платит артистам ~$0,005 за стрим и спорят, какая компенсация была бы «справедливой»: кто-то считает, что платформа забирает слишком много, кто-то — что рынок перенасыщен треками и цена на запись стремится к нулю.
• Почти все сошлись: чтобы «поддерживать артистов», нужно покупать у них напрямую (Bandcamp, концерты, Patreon), а не полагаться на стриминг.
• Одновременно многие признают, что самоуправляемые стеки (Navidrome, Jellyfin, Plex, Lyrion LMS) — это хобби для тех, кто готов тратить время и деньги на «сервер + хранилище + поддержку».
• Часть комментаторов прямо указывает на иронию: автор жалуется на мизерные выплаты артистам, но описывает систему, где музыка по сути скачивается из Usenet/торрентов, и артисты не получают ничего.

Le Chat: 20+ MCP-коннекторов и Memories

• Каталог коннекторов (beta)
  20+ безопасных интеграций: Databricks, Snowflake, GitHub, Jira, Notion, Asana, Outlook, Box, Stripe, Zapier и др.

  • Поиск, анализ, действия в одном чате.
  • Добавьте собственные MCP-коннекторы.
  • Запуск в браузере, мобильном, on-prem или вашем облаке.

• Memories (beta)
  Персонализированные ответы на основе сохранённых фактов и предпочтений.

  • Контроль: хранить, править, удалять.
  • Импорт из ChatGPT.

• Бесплатно для всех пользователей.

Категории коннекторов

• Данные: Databricks, Snowflake, Pinecone, Prisma Postgres, DeepWiki.
• Продуктивность: Box, Notion, Asana, Monday, Jira, Confluence.
• Разработка: GitHub, Linear, Sentry, Cloudflare.
• Автоматизация: Zapier, Brevo.
• Коммерция: PayPal, Plaid, Square, Stripe.
• Custom: любые MCP-серверы.

Примеры

• Анализ отзывов в Databricks → задача в Asana.
• PR в GitHub → задача в Jira + документация в Notion.
• Сравнение контрактов в Box → краткий отчёт обратно в Box.
• Jira → спринт-обзор в Confluence.
• Stripe → аномалии → задача в Linear.

Управление и безопасность
Админы определяют доступ, аутентификация от имени пользователя.
Развёртывание: self-hosted, ваше облако или Mistral Cloud.

• Пользователи жалуются на провал gpt-5-mini и переходят на mistral-medium-0525: дешевле, быстрее, но при ошибке «падает жёстче».
• Mistral анонсировала 20+ «безопасных» MCP-коннекторов (S3, FTP, SharePoint и др.) и поддержку кастомных удалённых коннекторов.
• Валютация в $14 млрд выглядит низкой против OpenAI/Anthropic; для европейцев главный плюс — «сделано в ЕС».
• Качество моделей: в чате и простых задачах сравнимо с OpenAI, но уступает топ-версиям; скорость реакции высокая.
• Бесплатный тариф и быстрый релиз новых фич отмечают как плюсы, однако многие так и не пробовали Mistral всерьёз.

• Проблема: боты OpenAI, Anthropic, Google и др. генерят до 45 % трафика сайтов, но не приносят денег и ломают инфраструктуру.
• Последствия: сервера перегружаются, счета за трафик растут, а доход от рекламы не покрывает расходы.
• Решения: блок-листы, rate-limit, Cloudflare Bot Management, «умные» robots.txt и платные API.

• Агрессивные AI-боты превратились в DDoS: малые сайты лежат, счета за трафик вырастают в разы, хостинги выгоняют клиентов.
• Компании вроде Anthropic/Claude и «мелкие» стартапы не соблюдают rate-limit, не кешируют и маскируют ботов, хотя технически могли бы всё сделать правильно.
• Админы вынуждены ставить CAPTCHA, login-wall, ASN-блоки, rate-limit и Cloudflare, что ломает accessibility и приватность для людей.
• Пользователи ищут обходы: кто-то уходит к AI, кто-то отказывается от сайтов с капчами.
• Общий вывод: боты «пьют молочный коктейль» открытого веба, пока сами компании не несут последствий.

• Методика Cloudflare (по Referer) фиксирует только переходы по ссылкам, поэтому сильно завышает долю Google и не видит внутри-LLM-запросы.
• Пользователи массово переключаются на ChatGPT, Gemini и Claude для сложных запросов, но это не отражается в статистике.
• В списке отсутствуют Китай, Япония и большинство стран Азии, где Google не доминирует.
• Даже в США доля Bing выше, чем в среднем, а в России и Чехии лидируют Яндекс и Seznam.
• Нишевые поисковики вроде Kagi и DuckDuckGo практически незаметны в данных из-за малой аудитории и особенностей приватности.

• Cloudflare становится «налоговым» шлюзом интернета: решает, кто «хороший» бот, вводит WebBotAuth и потенциально платные привилегии.
• Данные Radar показывают: ChatGPT — лидер, Character.AI уверенно второй, Claude и другие идут дальше; вызывает сомнение, что Googlebot не числится «AI-ботом».
• Участники сомневаются в точности метрик: DNS-кеш, скрытые прокси, игнорирование robots.txt и несоответствие crawl/refer.
• Многие опасаются двойного «налога» (CDN + доступ к контенту) и монополизации, но признают необходимость верификации ботов.

Проблема: при входе на f-droid.org браузеры Edge и Chrome выдают «Ваше соединение не защищено» из-за просроченного сертификата.

• У F-Droid сбой при ротации сертификатов, из-за чего сайт и репозиторий временно недоступны.
• Обходной путь — использовать Cloudflare-зеркало https://cloudflare.f-droid.org/.
• Пользователи жаловались на ошибки в dfroidcl и необходимость переустановки приложения.
• Проблема уже исправлена, но участники обсуждают, насколько надёжны короткоживущие LE-сертификаты.

• Участники спорят: нужен ли единый «привратник» (типа Cloudflare), чтобы защищать сайты от агрессивных ИИ-ботов, или это лишний централизованный контроль.
• Многие жалуются, что крупные компании (Meta, OpenAI, Perplexity) игнорируют robots.txt и нагружают серверы.
• Противники Cloudflare считают, что «публичное» должно оставаться публичным, а проблему можно решить простым rate-limiting и децентрализованными ID.
• Часть пользователей готова платить или использовать invite-only доступ, лишь бы не было единого gatekeeper.
• Пока нет открытого стандарта идентификации агентов, владельцам сайтов приходится либо доверять Cloudflare, либо играть в «кошки-мышки» с ботами.

Thinkbot — бот, представляющийся строкой
Mozilla/5.0 (compatible; Thinkbot/0.5.8 … please_block_its_IP_address),
игнорирует robots.txt и предлагает просто банить его по IP.
За август он зашёл с 74 адресов, разбросанных по 41 сетевому блоку,
все принадлежат Tencent. Автор блокирует 40 подсетей Tencent,
покрывающих ≈ 476 590 IP-адресов, и подозревает,
что КНР внешне перекладывает затраты «Великого файрвола» на остальной мир.

• Большинство жалуется на агрессивных ботов, особенно из Китая (Tencent, Alibaba и др.); многие просто банят весь CN-диапазон ASN.
• Роботы маскируются под браузеры, пренебрегают robots.txt и генерируют основную нагрузку; честные UA всё равно блокируют «на всякий случай».
• Популярные защиты: Cloudflare + CrowdSec/ModSecurity, geoblock, rate-limit, tarpit, «zip-bomb» или ложные данные вместо 403.
• Участники спорят о легитимности скрапинга и этике блокировок; предлагают whitelist-ASN, централизованные чёрные списки, CAPTCHA или авторизацию.
• Итог: без идеального решения; все методы похожи на «кот и мышь», а модель «блокировать всё подозрительное» становится нормой.

Загрузка…

• Игроки в восторге от пиксель-арта и атмосферы, но все застревают во второй комнате и не понимают, что делать дальше.
• Автор признал, что это пока лишь демо из двух комнат, а полноценная игра требует много времени и ресурсов.
• Проблемы с обнаружением объектов, неочевидный курсор-рука и внезапно громкий звук вызывают недоумение.
• Проект не работает на мобильных устройствах, иногда грузится бесконечно из-за Cloudflare Pages.
• Движок написан с нуля на SDL3 + Lua, исходники выложены на GitHub.

Bluesky временно блокирует доступ из Миссисипи из-за закона HB1126, обязывающего всех пользователей проходить возрастную верификацию и предоставлять чувствительные данные.
Нарушение грозит штрафом до $10 000 за аккаунт; для маленькой команды затраты на инфраструктуру и приватность неподъёмны.

Закон охватывает всех, а не только детей, и требует отслеживать несовершеннолетних — в отличие от британского Online Safety Act, где проверки нужны лишь для отдельного контента.

Мы разделяем цель защитить детей, но считаем, что HB1126 ставит барьеры свободе слова и дискриминирует малые платформы.
Пока суды не разрешат спор, приложение Bluesky недоступно с IP Миссисипи.

Другие клиенты AT-протокола могут поступить иначе — децентрализация позволяет каждому выбирать собственный путь.

• Участники обсуждают, что закон Миссисипи о возрастной верификации заставляет BlueSky полностью блокировать штат, в отличие от более мягкого подхода в Великобритании.
• Многие считают закон чрезмерным, создающим барьеры для свободы слова и угрозу малым платформам, и поддерживают решение BlueSky временно отключить доступ.
• Поднимаются вопросы о практичности: дети легко обходят ограничения через Wi-Fi соседей или VPN, а продажа «взрослых» аккаунтов может стать новым бизнесом.
• Предлагаются альтернативы — централизованная система верификации, услуги вроде Cloudflare или государственные гранты на создание инфраструктуры.
• Некоторые подозревают, что истинная цель закона — расширение слежки и давления на неугодные платформы, в то время как «свои» ресурсы, вроде Truth Social, останутся безнаказанными.

Cloudflare запустил первый MoQ-CDN
Теперь можно тестировать Media over QUIC на их глобальной сети — это официальный продукт. MoQ — новый стандарт для live-медиа, призванный заменить WebRTC, HLS/DASH, RTMP и SRT.

Что уже работает

• Бесплатный технический превью: relay.cloudflare.mediaoverquic.com
• Поддерживаются клиенты draft-07: moq-rs, imquic, moxygen и др.
• Публикация/просмотр прямо в браузере через Web-компоненты <hang-publish> и <hang-watch>:

<hang-publish url="https://relay.cloudflare.mediaoverquic.com"
              name="unique-name-abc123" audio video controls captions>
  <video muted autoplay></video>
</hang-publish>

• Скрытые субтитры генерируются в браузере (Whisper + WebGPU) и передаются по MoQ.
• Есть Rust-библиотека: импорт MP4, ffmpeg, gstreamer.

Что пока не работает

• Нет аутентификации — используйте случайные имена стримов.
• Нет ANNOUNCE → конференции не стартуют.
• Safari не поддерживает WebTransport (в планах).
• Код не оптимизирован, баги гарантированы.

• Пользователи хвалят скорость и плавность демо MoQ, но жалуются на чёрные полосы на мобильных и проблемы с полноэкранным режимом.
• Вопросы к разработчикам: поддержка multicast, graceful degradation, fallback для Safari, балансировка нагрузки и сравнение с WebRTC после установки соединения.
• Разработчики объясняют: multicast не нужен — CDN решает это на L7; MoQ строится поверх WebTransport/WebCodecs и может работать с MSE для совместимости.
• QUIC/WebTransport пока работает в основном в Chrome; Firefox страдает от багов WebTransport и HTTP/3.
• MoQ позиционируется как более гибкая замена WebRTC для лайв-стриминга и может быть использована и для других данных, включая игровой трафик.

21 августа 2025
Инцидент Cloudflare ↔ AWS us-east-1

• 16:27 UTC — один клиент на AWS us-east-1 резко увеличил объём запросов к кэшу Cloudflare.
• Проблема — ответный трафик переполнил прямые линии пиринга между Cloudflare и AWS, вызвав высокую задержку, потери пакетов и сбои до origin-серверов.
• 19:38 UTC — влияние существенно снизилось; остаточные задержки до 20:18 UTC.
• Масштаб — только трафик между Cloudflare и AWS us-east-1; глобальные сервисы не пострадали. Это не атака и не BGP-хайджек, а перегрузка каналов.

Почему произошло

Cloudflare работает как обратный прокси: если контент не в кэше, запрос идёт к origin-серверу клиента. Внутренняя сеть рассчитана с запасом, но несколько edge-линков к AWS-оборудованию оказались недостаточны для внезапного скачка. AWS, пытаясь снять нагрузку, отозвала часть BGP-префиксов, что лишь перенаправило трафик на ещё более узкие каналы через офф-сайт интерконнект.

Что делаем дальше

1. Увеличим пропускную способность всех линков к AWS us-east-1.
2. Внедрим более агрессивное автоматическое шейпирование трафика, чтобы локальные перегрузки не распространялись.
3. Улучшим алгоритмы балансировки и отказоустойчивости между пиринговыми точками.
4. Добавим ранние оповещения и автоматические сценарии отключения «проблемных» клиентов при аномальном росте трафика.

Приносим извинения за неудобства и благодарим за терпение.

• Один клиент Cloudflare сгенерировал всплеск трафика, перегрузив каналы к AWS us-east-1 и вызвав отказ.
• Проблема усугубилась тем, что AWS автоматически отозвал BGP-маршруты, а резервные линии оказались недостаточными.
• Участники обсуждают необходимость пер-клиентских лимитов, rate-limiting на краю сети и улучшенной наблюдаемости.
• Некоторые считают, что единственное долгосрочное решение — уход из us-east-1 из-за хронических проблем масштабирования.
• Возникли шутки и догадки о том, кто именно был «тем самым клиентом».

Fastly: боты для ИИ атакуют сайты до 39 000 запросов в минуту
CDN-провайдер зафиксировал всплеск автоматического сканирования, когда модели собирают данные для обучения.

• Пиковая нагрузка: 39 000 обращений/мин (≈ 650 в секунду)
• Основной инструмент: библиотека python-httpx, User-Agent «ImagesiftBot»
• Цели: медиа-файлы, API-документация, старые URL-ы
• Последствия: рост счёта за трафик и риск DDoS.

Рекомендации Fastly: фильтровать по User-Agent и ASN, ставить rate-limit, использовать WAF.

• AI-компании массово и агрессивно скрапят сайты, игнорируя robots.txt и rate-limits, что приводит к сбоям, росту трат и вынужденному закрытию доступа.
• Пострадавшие владельцы маленьких ресурсов вынуждены ставить Cloudflare, Anubis, honeypot-ловушки и полностью банить ботов, ухудшая опыт обычных пользователей.
• Часть участников считает проблему не технической, а регуляторной: корпорации сознательно нарушают правила, полагаясь на армию юристов.
• Некоторые предлагают добровольно отдавать данные пакетами (tar-файлы), но боты даже официальные каналы скачивания игнорируют.

SSO Wall of Shame — список вендоров, считающих SSO роскошью, а не базовой безопасностью.

SSO позволяет компании управлять доступом через собственный поставщик идентификации (Google, Okta, Azure AD), централизованно создавать/удалять аккаунты и мгновенно отключать уволенных сотрудников. Для любой организации >5 человек это критично.

Однако вендоры прячут SSO за «Enterprise»-тарифами, где цена выше в 2–4 раза или привязана к большому пакету ненужных функций. Это тормозит внедрение безопасности.

Примеры завышенных надбавок

Вендор	Базовая цена	SSO-цена	Рост
Airtable	$10/польз./мес	$60	+500 %
Appsmith	$15	$2 500	+16 567 %
Coursera	$399/польз./год	$49 875/год	+12 400 %
Cloudflare	$20/домен/мес	$1 000	+4 900 %
Breezy HR	$171/мес	$1 500	+777 %
DatoCMS	$100/мес	$667	+567 %
Canva	$10/польз./мес	$40	+300 %
Figma	$12	$45	+275 %
Bitrise	$90	$270	+200 %
Box	$5	$15	+200 %

(и ещё ~30 компаний с ростом 15–167 %).

Вывод: если вендор «серьёзно относится к безопасности», SSO должен быть либо в базе, либо за умеренную доплату.

• «SSO-налог» — это не техническая, а ценовая сегментация: крупные клиенты обязаны иметь SSO (SOC2), поэтому за него платят.
• Поддержка SSO действительно дорога: множество тикетов, сложные интеграции, вызовы инженеров, особенно при частных IdP.
• Часть вендоров всё же даёт базовый SSO через Google/GitHub/Microsoft, но «частный IdP» остаётся маркером Enterprise.
• Малым компаниям SSO тоже нужен по контрактам, но высокие цены отталкивают; кто-то предлагает субсидии или прокси-решения.
• Итог: SSO = не «фича», а показатель зрелости клиента и объём его кошелька.

• Airbnb: бесшовное обновление Istio на десятках кластеров K8s, тысячи подов.
• Cloudflare + OpenAI: новые открытые модели GPT теперь в Workers AI.
• OpenAI: оценка худших рисков «открытых» LLM.
• Shopify: MCP UI — интерактивные компоненты для AI-агентов в e-commerce.
• Cloudflare: Perplexity обходит robots.txt скрытыми краулерами.
• Meta: интерфейс «человек-компьютер» на основе электромиографии запястья.
• Google: обновлённая программа разработчиков с гибкой подпиской.

• Пользователи одобрили идею «поисковика» по инженерным блогам, но попросили расширить список за пределы 15-16 крупных компаний и включить мелкие, но ценные ресурсы.
• Просят добавить RSS-фид, фильтры по темам/источникам и возможность исключать AI/LLM-контент.
• Отмечены проблемы со скоростью, Cloudflare-captcha и отсутствием тегов C#/ASP.NET.
• Некоторые делятся альтернативами: daily.dev, minifeed.net, GitHub-список kilimchoi, Kagi Lenses.
• Обсуждается, стоит ли ограничиться 10–20 тщательно отобранными блогами или открыть индекс для сотен источников.

OpenFreeMap выдержал 100 000 запросов/с

Внезапно сервис получил 3 млрд запросов за сутки и 215 ТБ трафика.
Пиковая нагрузка — 100 000 rps.
Стоимость такого трафика у конкурентов превысила бы $6 млн/мес.

Единственный замеченный сбой — nginx жаловался на «слишком много открытых файлов», но 96 % запросов успешно обслужены (200 OK), лишь 3,6 % вернули 206 Partial Content.
Система продолжала работать, Cloudflare кешировал даже «пустые» тайлы.

Причина всплеска — новый коллаборативный сайт рисования wplace.live, построенный на OpenFreeMap и ставший вирусным.

• На фоне внезапного хайпа wplace.live (2 млн пользователей, 3 млрд запросов) бесплатный OpenFreeMap получил «объятие смерти» ~1 000 rps, что выявило узкое место в лимите открытых файлов nginx.
• Автор OFM защитил решение ограничить по Referrer и отказаться от IP-рейт-лимита, чтобы не блочить обычных пользователей.
• Часть комментаторов считает, что бесплатный сервис не обязан выдерживать такую нагрузку; другие спорят, кто виноват — отсутствие лимитов или неожиданный виральный проект.
• Обсуждаются альтернативы: Cloudflare-only хостинг, PMTiles-файлы, self-host, но все сходятся, что 96 % доступности при таком наплыве — уже успех.

Горизонт в 41,60054° N, 93,60911° W

• Высота: ~300 м над уровнем моря
• Рельеф: пологие холмы, сельхозугодья, редкие деревья
• Видимость: 20–25 км, ограничена деревьями и постройками
• Точки рельефа:
  • Север: 1,5 км до реки Des Moines
  • Юго-запад: 2 км до лесополосы
• Освещение: ровное, без резких теней из-за низкого рельефа
• Цвета: зелёные поля, тёмно-серая дорога, голубое небо

• Проект показывает реальный цвет неба прямо сейчас, используя расчёты по научной статье и данные местоположения Cloudflare.
• Пользователи в восторге: «совпадает 100 %», «в точку», «прекрасный минимализм», но ночью/при облаках видно просто чёрный или тёмный фон.
• Автор Suncalc рад, что его библиотека пригодилась; другие предлагают добавить погоду, сделать обои для iOS/десктопа или встроить в smart-дэш.
• Кто-то путается, ждёт загрузки, пока не понимает, что ночь; кто-то ставит телефон к окну и зовёт жену «посмотри!».
• В коде нет JS/CSS, только цвет фона, генерируемый сервером — это вызывает удивление и восхищение.

I find this problem quite difficult to solve:1. If I as a human request a website, then I should be shown the content. Everyone agrees.2. If I as the human request the software on my computer to modify the content before displaying it, for example by installing an ad-blocker into