Hacker News Digest

Проект демонстрирует создание двух файлов — веб-шелла и обычного файла — с идентичными MD5-хэшами. Это возможно благодаря уязвимости алгоритма MD5 к коллизиям, когда разные данные производят одинаковый хэш. Такой подход позволяет обойти системы проверки целостности или антивирусы, полагающиеся исключительно на MD5.

Практический вывод: использование MD5 для безопасности критически устарело, следует переходить на более стойкие алгоритмы вроде SHA-256. Неожиданный эффект — даже безобидный файл может маскировать вредоносный код, оставаясь незамеченным при поверхностной проверке.

• Демонстрация уязвимости MD5: файл PDF/NES ROM отображает собственный хеш MD5, что невозможно для обычных документов.
• Практические применения коллизий MD5: обход сканеров безопасности и кеширования хешей, особенно в устаревших системах (например, WordPress).
• Технические достижения: создание исполняемых файлов с идентичным хешем, но разным поведением, и коллизии для plaintext-блоков.
• Критика MD5: алгоритм не только криптографически сломан, но и медленнее современных альтернатив на современных CPU.
• Условия эксплуатации: требуется специфичная среда (загрузка файлов с проверкой хеша MD5, выполнение после сканирования).

Суд отклонил ключевые иски WP Engine и Silver Lake: антимонопольные и вымогательские претензии сняты. Дело существенно сузилось — победа для всех, кто поддерживает open-source. Остальные обвинения рассмотрим, уверены в законности своих действий.

• Matt рад «победе» в суде, но юристы и HN-утверждают: большинство исков WP Engine просто отклонены «с возможностью доработки», а не разбиты.
• Сообщество не делит радость: массово уходят с WP.com, ставят ClassicPress/Statamic, смотрят на децентрализованный форк fair.pm под Linux Foundation.
• Репутационный ущерб оценивают выше юридического: «выиграл дело, но потерял доверие», «WordPress больше не рекомендую клиентам».

• Платформа Typepad закрывается 30 сентября, вызвав волну ностальгии и тревоги за сохранение контента.
• Пользователи спешат выгрузить посты и фото, жалуются на плохой экспорт и короткий срок на миграцию.
• Многие обсуждают, почему блоги умерли: смена формата на короткие соцсети, спам, монетизация и переход на телефоны.
• Предлагают альтернативы — Ghost, WordPress, Textpattern, Kirby — и задаются вопросом, почему не перевели всех на WordPress.
• Кто-то хочет выкупить Typepad, кто-то надеется на Archive Team и Internet Archive, чтобы спасти данные.

• Простота — главное в долгоживущем коде: понятность и уверенность при изменениях.
• Программы должны быть «одноразовыми», как Кенни, а не «неубиваемыми», как Терминатор.
• Laravel начинался как хобби на PHP 5.3 и вырос до 70 человек; Тейлор всё ещё единственный куратор ядра.
• Первым коммерческим продуктом стал Forge — решение собственной боли.
• Не ломай обратную совместимость без крайней нужды; «умники» всегда уходят, а их хитрости остаются.
• Лучшие проекты — те, кто не изобретает велосипеды и следует конвенциям.
• Споры закрываются сравнением реального кода: «покажи, как будет выглядеть».
• Фасады остаются популярнее DI, но Laravel постепенно добавляет типы и статический анализ.
• Культура тестирования изменилась после курса Adam Wathan.
• Сейчас задача — передать ответственность команде и оставаться интересным.

• Участники обсуждают, что Laravel учит «не писать код как Laravel»: пример — баг в cache tagging, который просто убрали из документации.
• Поддержка старых версий Laravel (3–4) описывается как кошмар, требующий полного переписывания, тогда как Rails и Symfony позволяют плавные апгрейды.
• Сообщества Laravel, Symfony, Drupal и WordPress различаются культурно: Laravel ориентирован на быстрый MVP и продажу продуктов, Symfony — на стандарты и долгосрочную поддержку.
• Несколько человек жалуются на плохое качество аудио и просят поп-фильтр.

Gemma 3 270M — самая маленькая модель семейства Gemma 3, всего 270 млн параметров.
Подходит для запуска на смартфонах, микроконтроллерах и в браузере без облака.

• Производительность: на MMLU и HumanEval обгоняет Gemma 2 2B и Llama 3.2 3B, уступает Gemma 3 1B.
• Скорость: на Pixel 8 Pro — 1,2 токена/с, на RTX 4090 — 200 токенов/с.
• Форматы: Keras, JAX, PyTorch, Gemma.cpp, Ollama, Transformers.
• Лицензия: Gemma Terms of Use, коммерческое применение разрешено.

Доступна в Kaggle, Hugging Face, Ollama и через gemma-3-270m-it в Vertex AI.

• Команда представила Gemma 3 270M — сверхкомпактную модель (241 МБ) для локального запуска и тонкой настройки под узкие задачи.
• Пользователи уже тестируют её на телефонах, но жалуются на холлюцинации и слабое следование инструкциям.
• Обсуждаются примеры применения: тегирование статей WordPress, NER/перевод, генерация SVG, «умные» клавиатуры, обработка 50 млн строк в день.
• Многие спрашивают туториалы по дообучению и сравнение с Qwen 0.6B, который показывает лучшее качество при схожем размере.
• Авторы подчеркивают: модель «из коробки» слаба, но после fine-tuning может стать мощным специализированным инструментом.

• Суть атаки: порносайты внедряют вредоносный код в файлы .svg, которые при клике заставляют браузер ставить лайк заданным постам в Facebook без ведома пользователя.
• Техника: SVG-файлы содержат скрытый JavaScript, зашифрованный через «JSFuck». После раскодировки загружается цепочка скриптов, завершающаяся трояном Trojan.JS.Likejack, который кликает «Like».
• Условие: пользователь должен быть авторизован в Facebook в этом же браузере.
• Масштаб: десятки сайтов на WordPress используют схему; Facebook блокирует связанные аккаунты.
• История: злоупотребления SVG-файлами фиксировались раньше — эксплойты Roundcube в 2023 г. и фишинг Microsoft в июне 2025 г.

• Вредоносные SVG-файлы на порносайтах заставляют браузер ставить «лайк» на Facebook без ведома пользователя.
• Это работает через обычный CSRF: SVG, загруженный в iframe или открытый в новой вкладке, выполняет JavaScript, который вызывает Facebook-API.
• Если SVG вставлен как картинка (<img src=file.svg>), скрипты не запускаются; уязвимость появляется только при «полном» показе SVG.
• Некоторые считают, что проблема не в SVG, а в отсутствии защиты от CSRF со стороны Facebook.
• Пользователи советуют блокировать JS по умолчанию (NoScript/uBlock), использовать режим инкогнито или отдельные контейнеры для Facebook.