Это первая, для меня так точно, статья про Spectre и его эксплуатацию, где хоть как-то внятно объяснено, что болит в IBPB и как это могут использовать. Но что вызывает отдельный восторг, это не патч от Intel, а что даже Google Chrome его не использует, что оставляет спектр в статусе дыры, через которую никто ничего не утащит.
Так что вся эта история была и есть чисто академическая.
https://grsecurity.net/cross_process_spectre_exploitation

Внезапно (действительно внезапно) разрабы главной надежды всякого эмбедеда и серьёзной промышленности, великой и ужасной QNX, выкатили её в открытый доступ. Пусть только для некоммерческого использования, но такого не было последние 14 лет. Если вдруг кто забыл, но после того, как их купили BlackBerry, исходники были закрыты примерно сразу же.
Весь вопрос в том, как она себя покажет в реальном мире, где всё это время развивался линукс и местами вполне себе тоже пытается претендовать на лавры RTOS.
https://www.qnx.com/products/everywhere/

Давненько мы не говорили про CI/CD, а тема благодатная. Раньше было все просто - хочешь у себя - берешь Gitlab, хочешь на серверах у дяди - идешь в github. Но жизнь сделала крутой поворот и нам стала нужна альтернатива. Многие вспомнят Gitea, кто-то даже прошепчет Gitflic, и все будут правы. Но некоторые решили пойти своим путём и взяли в руки напильник.

Кто:
Евгений Калашников - руководитель стрима "Инженерные инструменты" Платформы Сфера

О чем:
- История создания собственной CI/CD-платформы
- Переезд с других решений/трекеров – боль и страдания или есть альтернативные пути?
- «Готовность» отечественных решений
- Специфика процесса разработки в России


https://boosty.to/linkmeup/posts/d5a21643-6ba2-45e4-b5f1-76ec87dbac34

https://sponsr.ru/linkmeup/72825/sysadmins_51_Eshche_odna_CICD_platforma

Знатный фальстарт получается, но пусть будет. В феврале исполнится 20 лет гуглокартам.
Про них я плюс-минус тогда и узнал, и это был полный отвал жопы, конечно же. Я тогда скучал на практике в ГОИ им. Вавилова (из которого сейчас лофт с кофейнями сделали), но там был важный бонус – безлимитный интернет не по диалапу.
И вот в какой-то день в какой-то из лабораторий мне показали это чудо невиданное. Возможность посмотреть на крышу своего дома, а потом на крышу соседнего, а потом метнуться в другой город, а потом вообще в лес посмотреть – просто не верилось, что так бывает. И всё это можно было масштабировать, крутить в любую сторону, строить маршруты, и так далее.
Навигация, конечно же, в наших степях работала примерно никак из-за околонулевой точности карт, и вообще представляла из себя вариант "построй маршрут и распечатай его на бумажке", но кого волновали такие мелочи.
https://googleblog.blogspot.com/2005/02/mapping-your-way.html

Какая прекрасная новость. Висел себе спутник в полтонны весом пятьдесят лет на орбите и никого не трогал. Но внезапно оказалось, что висит он не там, где оставили. И думают теперь лучшие умы, это гравитация – сволочь бессердечная, или чьи-то ручки шаловливые?

https://www.bbc.com/news/articles/cpwrr58801yo?s=09

Как нежно хвастается сам автор: "I Implemented a super reliable macOS kernel binary rewriting to instrument any KEXT or XNU at BB or edge level".
А я устал такие экзерсисы переводить в попытке не потерять и не переврать смысл, так что будет, как есть.
Уровень заморочи и выноса мозгов при чтении: примерно эпический. Впрочем, ковыряния в ядре ОС без такого и невозможны.

https://r00tkitsmm.github.io/fuzzing/2024/11/08/Pishi.html

Так, господа, составляющие бюджеты. Хватит приходить к нам в личку по одному.
Запоминайте все сразу:
- linkmeetup
- Москва
- Апрель (ну или около того)

Ещё одну машину подломили. В этот раз досталось стареньким маздам. Колеса на ходу не отвалятся, конечно, но прошивку от васяна теперь можно смело заливать.

https://www.zerodayinitiative.com/blog/2024/11/7/multiple-vulnerabilities-in-the-mazda-in-vehicle-infotainment-ivi-system

Интересное наблюдение: сколько бы кто ни рассказывал, что ЦОД – это сложный инженерный объект, что это вам не просто холод и электричество, только все разговоры всегда только про холод и электричество.
Видимо, всё остальное слишком банально и очевидно.

https://habr.com/ru/companies/nubes/articles/854102/

VMware Workstation и Fusion сделали окончательно бесплатными. В мае их объявили бесплатными для хомячков, но не комерсов. А на VMware Explore 2024 Europe сказали что теперь вообще всем бесплатно с 11 ноября. Прям совсем бесплатно, без всяких Pro версий за деньги.
Что происходит вообще?

https://blogs.vmware.com/cloud-foundation/2024/11/11/vmware-fusion-and-workstation-are-now-free-for-all-users/

Вероятно, это уже искажение какое-то, но я везде вижу идеи для будущих линкмитапов...

​В интернете вчера было две темы для обсуждений:
- Голая задница Тайсона в прямом эфире Netflix и
- Дико лагающий у многих прямой эфир с голой задницей Тайсона.
Собственно, если пробежаться на графикам с разных IX, можно легко найти прыжок трафик в 3-4 раза. Такого запаса прочности даже у нетфликса не оказалось, т.к. в их случае это история про прыжок в район 100 Gbps.
Также с мест докладывают, что явно был задействован странный схематоз с кешированием на стороне нетфликса, без буферизации на местах. То есть, прямой трафик мог резко упасть, но одновременно с этим резко прыгал транзитный. Самые смелые высказываются даже за перегрузку Tier 1 транспорта.
Словом, нужен вечер офигенных историй.

Мы начинаем подкаст про эксплуатацию DWDM, про бобров, поезда, рефлектометрию и грозы.

https://live.linkmeup.ru
https://youtube.com/live/8QX3-kojcDs

​Так, господа, нужен общий общий разум и взгляд на проблему: кто чем мониторит свои серверные? Датчики всего и вся, управление электропитанием, контроллеры для всего этого и так далее.

Товарищи из NetPing утверждают, что уже 20 лет занимаются разработкой и производством устройств для мониторинга и удалённого управления энергопитанием серверного оборудования. И предлагают присмотреться к их оборудованию.

Особенно налегают на те факты, что:
- Собственная разработка со всеми её плюсами
- Настройка без заумных заморочей
- Просто работает
- Интеграция с чем угодно без болей.

Всех сомневающихся зовут проверить и убедиться лично.

Блог APNIC радует неожиданной годнотой. Решили сделать обзор вариантов транспорта у глобалов и получилось про всё понемногу. SDH, всякие *DWM, MPLS, QnQ и прочее, что дружит с Ethernet.
Серебряной пули в конце не предлагают, так что опять думать придётся самостоятельно.
https://blog.apnic.net/2024/11/05/comparing-carrier-ethernet-transport-technologies/

На новосибирском линкмитапе был доклад, посвящённый железу, но не со стороны его логической начинки, а именно про UX куска железа, из которого собраны те самые сервера и прочее оборудование.
Александ Чуриков из Yadro рассказывал о том, как сделать сервер удобным в эксплуатации и какие неочевидные нюансы приходится учитывать, когда думаешь не только о тех, кто в консоли сидит, но и про тех кто в физическом мире упражняется вокруг стоек. И да, решаемые вопросы гораздо сложнее, чем выбор размера ручек и дизайна лицевой панели.

https://youtu.be/2XO6uhSBdes

В сети замечен конкурс для тех, кто помнит что такое моддинг, как пилить стенки дремелем, окна из плексиглаза и как запитать светодиоды напрямую из БП через +5V.

КРОК подарит фирменный мерч и сертификат на 50К для апгрейда компа сразу 10 победителям.

Как это работает:
1. Читаем правила
2. Выбираем категорию от бюджетного косплея и выбивающего слезу олдскула до беспредела с водянкой и светодиодами в каждой дырке
3. Грузим фотки, пишем описание
4. Наслаждаемся победой

Победителей объявит жюри на прямом эфире с Yuri The Professional 6 декабря. Кнопки для регистрации: https://croc.global/2hc

Галопом по европам вокруг новых протоколов для VPN, куда, якобы, не влезала рука тащмайора. Этот гражданин, кстати, последний месяц как-то совсем лютует и туннели падают пачками. Но, чисто по личной статистике, тот же Stealh от протона кое-как ещё держится. Но это, конечно, не тот вариант, где ты в хецнере себя дырочку проковырял и не палишься.
Юзернейм, а у тебя на чём собрано?
https://habr.com/ru/companies/globalsign/articles/853808/

CDN и DDoS-защита: взболтать, но не смешивать?

Марат давно хотел выпуск про CDN, а тут ещё и повод громкий подвернулся - Cloudflare то блокируют, то не блокируют, куда податься и что делать - решительно непонятно.

Поэтому в компании со знающими людьми будем разбираться, можно ли совмещать CDN и DDoS-защиту в одном флаконе. И при чём тут гномы.

Кто:
- Никита Демянчук Директор по продукту CDN, EdgeЦентр
- Георгий Тарасов, продакт CDN и антибота в Curator

Про что:
- Я подключил CDN, но меня все равно ддосят, что я делаю не так?
- Layer 7 DDoS-атаки на динамику и на статику: какие у них векторы и мишени
- Отличия сетей CDN и сетей фильтрации трафика: архитектура, быстродействие, косты
- Как CDN защищают себя и клиента от перегрузок. Подпись запросов, шилдинг, шардирование.
- Что, если объединить системы и задачи antiDDoS и CDN? Однородный и эшелонированный подходы.
- Я теперь подключил WAF, но меня все равно ддосят, что опять я делаю не так?


https://linkmeup.ru/blog/2715/
Когда: 22.11.2024 13:00 МСК. (ссылка на гугло-календарь)

Ну и чтобы два раза не вставать, дополнение к недавней публикации из Новосибирска.

https://habr.com/ru/companies/yadro/articles/857588/