Hacker News Digest

Troy Hunt объявил о добавлении в Have I Been Pwned 2 миллиардов уникальных email-адресов (точнее 1,957,476,021) и 1,3 миллиарда паролей, из которых 625 миллионов ранее нигде не встречались. Это крупнейшая база данных утечек, которую когда-либо обрабатывали. Данные поступили из двух источников: логов вредоносного ПО, собирающего данные с зараженных устройств, и списков для подбора паролей, полученных из других утечек. Hunt отмечает, что такие списки становятся "ключами от замка" из-за привычки пользователей использовать один и тот же пароль на разных ресурсах.

Для проверки данных Hunt проанализировал собственные старые email-адреса и обратился к подписчикам. Один пользователь подтвердил, что в базе находились как его старые, так и текущие пароли. Особенно показателен случай, когда человек использовал простой пароль, состоящий из другого пароля с добавлением в конце "!!". Это подтверждает распространенную практику создания слабых вариаций паролей, что делает пользователей уязвимыми при утечках данных.

• Пользователи обсуждают, что их данные уже неоднократно оказались в утечках, но при этом не ясно, какие именно сервисы пострадали и что делать с этим дальше.
• Обсуждается, что вместо того, чтобы собирать и продавать наши данные, компании могли бы просто не собирать лишние данные и не хранить их нешифрованными.
• Участники обмениваются опытом использования уникальных email-адресов и менеджеров паролей, но при этом отмечается, что даже при наличии таких инструментов, большинство сайтов всё ещё требуют email-адрес и не поддерживают вход через SSO-провайдеров.
• Поднимается вопрос, почему до сих пор не введён стандарт веб-автентификации через асимметричные ключи, вместо паролей, и почему пароли всё ещё не храняться в виде хеша, а не в открытом виде.

Электронная почта превосходит мессенджеры благодаря универсальности и контролю над данными. Все сообщения приходят в единый интерфейс, где их можно сортировать, архивировать и искать — в отличие от десятка разрозненных платформ вроде Slack или WhatsApp. Архив писем остаётся доступным десятилетиями, тогда как сервисы вроде ICQ или Google Hangouts исчезают, унося историю переписк. Локальное хранение в формате Mbox гарантирует долговечность и возможность обработки скриптами.

Функциональность клиентов вроде Thunderbird включает фильтры, отложенную отправку, тегирование и офлайн-работу, а открытые протоколы SMTP/IMAP дают свободу выбора программ. Электронная почта асинхронна, не отвлекает уведомлениями, защищает конфиденциальность и не содержит рекламы. Это продуктивная среда, где пользователь управляет данными, а не зависит от прихотей корпораций.

• Email предпочтительнее для асинхронного, вдумчивого общения с архивом и поиском, но не подходит для динамичных групповых дискуссий.
• Мессенджеры (Slack, Teams) популярны из-за удобства мгновенного общения, но страдают от отсутствия структуры и проблем с архивом.
• Проблемы email включают спам, сложные ветки обсуждений, ненадежную доставку и устаревшие клиенты.
• Предлагаются гибридные решения: улучшенные интерфейсы email, интеграция с мессенджерами или использование форумов.
• Важен выбор инструмента по ситуации: email для официальной переписки, чат — для оперативных вопросов.

Fastmail подчеркивает важность человеческого подхода в мире, где ИИ всё чаще используется для создания контента. Основатель компании отмечает, что электронная почта остаётся неизменным цифровым архивом — в отличие от веб-страниц, которые могут редактироваться постфактум, письма сохраняют историческую точность. Это делает email надёжным источником памяти, защищённым от манипуляций.

Компания поддерживает осознанное использование ИИ как инструмента, но призывает сохранять критическое мышление. Сотрудники и клиенты Fastmail в основном с осторожностью относятся к автоматизированным решениям, предпочитая личное участие. Внутренняя политика компании требует строгого соблюдения конфиденциальности данных при использовании любых инструментов, включая ИИ, чтобы гарантировать защиту приватности пользователей.

• Обсуждается ценность иммутабельности email в сравнении с другими формами коммуникации, где сообщения могут быть отредактированы или удалены.
• Поднимаются вопросы о реальной неизменности email, включая возможность модификации на стороне провайдера и использование динамического контента в HTML-письмах.
• Участники делятся техническими решениями для обеспечения подлинности и неизменности писем, такими как DKIM, GPG-подписи и локальное архивирование.
• Высказываются опасения по поводу использования AI провайдерами, включая Fastmail, и сильное желание сохранить традиционный email-сервис без AI-функций.
• Обсуждается роль AI в создании и распространении misinformation, а также потенциальные технические решения для аутентификации цифрового контента.

С января 2026 года Gmail прекратит поддержку Gmailify и POP-подключений для сторонних почтовых аккаунтов. Gmailify позволял применять функции вроде защиты от спама и категоризации входящих к другим ящикам, а POP использовался для загрузки писем без синхронизации в реальном времени.

Вместо этого Google рекомендует использовать IMAP-подключения через мобильное приложение Gmail, которое поддерживает синхронизацию нескольких аккаунтов. Ранее импортированные письма останутся доступными, но новые настройки придётся обновить вручную. Это изменение направлено на повышение безопасности и переход на современные стандарты работы с почтой.

• Пользователи выражают недовольство отключением функции POP3 в Gmail, которая позволяла получать почту с внешних серверов, что создает проблемы для миграции и резервного копирования.
• Предлагаются обходные пути: настройка пересылки (forwarding), использование IMAP через почтовые клиенты (например, Thunderbird) или переход на другие сервисы (ProtonMail, Zoho, самохостинг).
• Высказываются предположения о причинах отключения: монетизация через Google Workspace, борьба с рекламными блокировками в сторонних клиентах и общая стратегия «эншитификации» сервиса.
• Многие отмечают, что потеря POP3 ударяет по платным пользователям Google Workspace и усложняет использование дешевых почтовых хостингов с брендированными доменами.
• Обсуждение подчеркивает централизацию email-инфраструктуры вокруг крупных компаний и упадок децентрализованных протоколов.

Электронная почта и почтовые рассылки остаются незаменимыми благодаря своей федеративной природе, асинхронности и лёгкости архивирования. Они не требуют одновременного присутствия онлайн, что отличает их от современных альтернатив вроде мессенджеров и соцсетей.

Ключевые преимущества включают отсутствие необходимости в специальном ПО — достаточно стандартного почтового клиента, простоту использования с едиными правилами, низкие риски безопасности и конфиденциальности по сравнению с веб-форумами, а также экономию трафика. Эти факторы делают почтовые рассылки устойчивым решением для технических и профессиональных сообществ.

• Обсуждаются преимущества почтовых рассылок: независимость от компаний, федеративность, архивируемость и доступность.
• Отмечаются проблемы рассылок: сложность модерации, уязвимость email-адресов, плохой UI/UX и отсутствие истории для новичков.
• Упоминаются альтернативы: NNTP (Usenet), ActivityPub, Matrix, IRC, RSS и форумы (Discourse), но у них есть свои ограничения.
• Подчёркивается ирония обсуждения рассылок на централизованном проприетарном форуме (Hacker News).
• Приводятся примеры успешного использования рассылок для HOA, профессиональных сообществ и длительных дискуссий.

Cloudflare запускает закрытую бета-версию Email Service — единой платформы для отправки транзакционных писем прямо из Workers. Это решение устраняет типичные боли разработчиков: сложность настройки, проблемы с доставкой и задержки. Интеграция с DNS автоматически настраивает SPF, DKIM и DMARC, повышая доверие провайдеров, а глобальная инфраструктура Cloudflare гарантирует низкую задержку доставки по всему миру.

Отправка письма сводится к вызову env.SEND_EMAIL.send() в коде Worker — без API-ключей и риска утечки данных. Локальная эмуляция через Wrangler, обработка вложений в R2 и мониторинг статусов доставки делают работу с почтой такой же простой, как и остальная разработка на Cloudflare. Это не просто очередной email-сервис, а глубоко встроенный инструмент, где надёжность и скорость становятся частью UX вашего приложения.

• Пользователи критикуют Cloudflare за назойливую проверку на бот-активность и выражают опасения по поводу растущего влияния компании на интернет-протоколы.
• Анонсирован сервис Cloudflare Email Sending для отправки транзакционных писем через Workers, что воспринято как альтернатива Sendgrid и AWS SES.
• Обсуждаются потенциальные преимущества: простота интеграции, возможная низкая цена (pay-as-you-go), удобство для разработчиков, уже использующих экосистему Cloudflare.
• Высказываются опасения по поводу концентрации интернет-инфраструктуры в руках одной компании и утраты децентрализации интернета.
• Часть пользователей выражает скептицизм и предпочитает использовать независимые сервисы для email, чтобы не складывать все «яйца в одну корзину».

Приют для компьютерных мышей ЦЕРН

Мы вернулись! После происшествия в начале 2012 года нам удалось получить новое финансирование, и мы рады сообщить о повторном открытии приюта для компьютерных мышей ЦЕРН на лужайке перед Компьютерным центром ЦЕРН. Приют работает в будние дни с 8:30 до 17:30.

---

В сене... Едят... Пьют...

Обнимаются... Играют... Паникуют...

---

Сообщение от спонсора

«Остановись — Подумай — Кликни»...

...это основная рекомендация для безопасного интернет-серфинга и чтения email. Пользователи, следовавшие ей ранее, реже заражали компьютеры или компрометировали учётные записи. Однако слишком многие всё ещё кликают на вредоносные ссылки, подвергая риску свои системы.

Чтобы избежать кликов вообще, все пользователи ЦЕРН должны отключить компьютерные мыши и принести их в наш приют.

Помощь и информация:
https://cern.ch/Computer.Security или Computer.Security@cern.ch

Приют не несёт ответственности за содержание сообщения спонсора.

Отказ от ответственности:
Приют — некоммерческая организация, поддерживаемая сотрудниками ЦЕРН в свободное время. Пожертвования: чек на «CERN Animal Shelter for Computer Mice», CERN P.O. Box G19710, CH-1211 Geneva 23, или email Computer.Shelter@cern.ch

© Приют для компьютерных мышей ЦЕРН

• Обсуждается лингвистический нюанс: множественное число от компьютерной мыши — «mice» или «mouses».
• Ностальгия по «старому» интернету с его душевностью, whimsy и некоммерческим контентом.
• Критика современной корпоративной культуры в IT (FAANG) за отсутствие неформального общения.
• Шутливые отсылки к CERN, включая «приют для компьютерных мышей» и квантовые запутанные овцы.
• Проблема снижения качества продукции из-за оптимизации затрат.
• Воспоминания о конкретных моделях компьютерных мышей (Logitech PilotMouse, Sun mouse).
• Указание на то, что «старый» интернет всё ещё существует, но его сложнее найти.

• Пользователей пугают «право на запись» ИИ и утечки; команда обещает «safe-mode» только для чтения и черновиков.
• Главные опасения: безопасность при вождении, когнитивное отвлечение и невозможность «отозвать» письмо.
• Критика Google/Siri: интеграция Gmail/Calendar слабая, April позиционируется как независимый «виртуальный ассистент» с расширением на Outlook.
• Приватность: доступ к письмам только по запросу, данные не хранятся и не используются для обучения.
• Пользователи просят Android, SMS, подключение собственных MCP-серверов и инструмент для разбора огромных backlogs.

Устаревшая техника в тюрьмах рушит шансы на свободу

В камерах всё ещё работают компьютеры 2005 г., без USB и Wi-Fi. За 15 минут платной сессии заключённый едва успевает загрузить документы для апелляции, а система сбрасывает всё при обрыве связи.

Печатать приходится на ленте 1980-х: текст «съедается» по краям, и суды отказывают в приёме таких бумаг. Поиск прецедентов через LexisNexis превращается в квест: страницы грузятся по 2 минуты, а обрывы сессии стирают результат.

Почта ещё хуже: письма идут 3 недели, а сканы доказательств теряются. Из-за этого сроки подачи ходатайств пропускают, и люди остаются за решёткой лишние годы.

Обновить технику стоит копейки по бюджету системы, но пока этого нет, правосудие для бедных откладывается на неопределённый срок.

• Участники сходятся во мнении, что тюрьмы должны быть гуманными и реабилитационными, но правила ограничивают даже базовый доступ к компьютерам и интернету.
• Основные причины нежелания менять систему: страх выглядеть «мягкими к преступности», отсутствие стимулов для чиновников и прибыльные контракты вендоров.
• Многие подчёркивают, что жестокие условия лишь увеличивают опасность после освобождения, а не решают проблему.
• Часть участников указывает на различие между федеральной и штатной системами США: первая более стандартизирована, вторая — хаотична и коррумпирована.

JavaScript отключён.
Включите его или перейдите в поддерживаемый браузер. Список браузеров — в Справке.

Что-то пошло не так.
Попробуйте ещё раз.

⚠️ Расширения, блокирующие трекинг, могут мешать работе сайта. Отключите их и обновите страницу.

• Участники считают, что давать LLM-агенту полный доступ к браузеру — это «смертельный трифекта»: чтение всех вкладок, кук и паролей.
• Основной риск — prompt-injection: любой сайт может внедрить команду, и агент выполнит её, потому что «каждое чтение — это запись в контекст».
• Люди сравнивают это с тем, что Microsoft делала скриншоты, но теперь молчат, когда AI получает plaintext-доступ к банковским данным.
• Единственный «безопасный» сценарий — код в git, где изменения легко откатить; всё остальное (покупки, банкинг, e-mail) считается безумным.
• Итог: без изоляции, sandbox и чёткого разграничения «что можно» агенты становятся идеальным вектором атак, а компании, их выпускающие, — объектом для судебных исков.

Кратко
PyPI теперь ежедневно отслеживает, не истёк ли домен, к которому привязан e-mail пользователя. Если домен переходит в «период искупления» (redemption), адрес автоматически становится «неподтверждённым», что блокирует атаку «воскрешения» домена и захват аккаунта через восстановление пароля. С июня 2025 г. таким образом аннулировано более 1 800 адресов.

Как работает атака

1. Владелец забывает продлить домен.
2. Злоумышленник выкупает домен, поднимает почту, запрашивает сброс пароля PyPI.
3. До внедрения 2FA (до 1 янв 2024) это давало полный доступ; теперь нужно ещё обойти второй фактор, но риск остаётся.

Жизненный цикл домена
Активен → дата окончания → льготный период (до 45 дней) → redemption (30 дней, высокая цена) → 5 дней «pending delete» → освобождение. PyPI проверяет статус раз в 30 дней через API Domainr и действует до момента смены владельца.

Что делает PyPI

• С апреля 2025 ежедневный мониторинг.
• При переходе в redemption статус e-mail меняется на «unverified».
• Пользователю приходит уведомление; повторное подтверждение возможно только после продления домена.

Совет пользователям

• Продлевайте домены заранее.
• Используйте надёжный почтовый сервис с авто-продлением.
• Добавьте резервный подтверждённый адрес на стабильном домене.

• Проблема повторного использования email-адресов после удаления аккаунтов ставит под угрозу цифровую идентичность и безопасность пакетов (Maven, Go).
• Google и Microsoft по-разному подходят к блокировке «мертвых» доменов и email, но единого стандарта нет.
• URI-импорты и доменные namespace кажутся хрупкими: домен может истечь, а пакет — подмениться.
• Сильная криптографическая идентичность (PGP, Keybase, SigSum) технически решена, но не взлетела из-за UX, потери ключей и репутационных проблем крипто-мира.
• Участники сходятся во мнении: нужно что-то простое, децентрализованное и без единой точки отказа, но пока нет рабочего массового решения.

Keep in mind that default Gmail allows webhooks for any changes (email received but also changing labels, etc), for free using Gmail pubsub. I use it a lot because it's the only way of getting programmatic notifications from credit card purchases (turn on purchase alerts to all c