jewishi

Итоги 2020

Сменил  работу. Бросил хостинг. Совсем бросил. И теперь Golang программист в майнинге

Oki

Премия Рунета 2018. Эшер II

Меня зовут Филипп Кулин. Я автор канала https://t.me/usher2, где рассказываю про блокировки интернета в России, и создатель сайта https://usher2.club, тот самый с графиками IP-адресов и надписью морзянкой DIGITALRESISTANCE в мае месяце. «Эшер II» это название и канала, и сайта. Оно взято из названия рассказа Рея Бредбери, который является спин-оффом к знаменитому «451 градус по Фаренгейту»

Я хочу стать первой красавицей на Премии Рунета 2018. Почему? Because I can. Зачем мне это? Премия Рунета — это небольшое окно влияние там, где сейчас у  меня его совсем нет. Власть и влияние. Зачем оно? Да чтобы мои скучные письма вдруг стали играть новыми красками

Я тут должен пояснить, что я не общественник, не НКО и не политик. Я не собираюсь этому посвящать свою жизнь. Я до весны вообще всё из своего кармана по фану делал. Я полноватый сисадмин в очках с бородой и зеленым свитером по Apache. Я могу про язык Cи (включая стандарт K&R), Perl, Python, Golang, про nginx, apache, mysql. Ну и чутка про бизнес, как кофаундер и гендир.  А все эти скучные письма в РКН, на портал нормативных актов, министрам — это немного в стороне. Минихобби. Все стесняются, а у меня хватает наглости писать и хорошо спать.  Наглость, напористость, некоторая доля хамства и быдловатости, отсутствие скромности как класса — это то, что я считаю в себе сильными хорошими сторонами. Это то, что позволило в апреле выставить графики (по данным, которые я получаю из серой зоны, замечу) и не покраснеть. 

Collapse )
jarviconi

DNSSEC. Руководство регистратора доменов.

Ого. Давненько меня тут не было

Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

http://www.slideshare.net/schors/dnssec-71055077

Для тех, кто не может обойти блокировку или не имеет регистрации на слайдшаре:
http://www.diphost.ru/docs/DNSSEC-regs.pdf
Oki

Открыл для себя LaTeX

Как-то раньше я считал TeX скорее мертвым, чем живым. И мало кто знает, и редакторы какие-то непрезентабельные, и результат невнятный. А тут в очередной раз припёрло пересмотреть систему автоматизированного создания документов (счета, фактуры, инфойсы, акты, договора, квитанции, черти в ступе).

Внезапно снял стопоры в голове:
- LaTeX не сложен. Во всяком случае XMLины писать сложнее и неприятнее. Немного непривычен и поэтому отпугивает, но прост. Совсем прост. Люди знающие, что такое DOCTYPE в HTML будут плакать от умиления.
- LaTeX вполне себе жив и вполне даже современен.

Collapse )
jarviconi

JärviCon #9

Традиционная поездка в лес 13 декабря 2014 года. Это суббота. Ближайшая суббота. Сбор в 08:30 13 декабря 2014 года на платформе в Девяткино

Исторически мероприятие планируется для околохостинговой тусовки. Могут приехать все, кто считает что имеет смысл и готов к адекватному восприятию окружающих. Такие люди с нами ходят и тематика является только стержнем.

Цель мероприятия - отдохнуть на свежем воздухе с экзотикой. Новая особенность - с позапрошлого года на JärviCon можно (и нужно) сделать небольшой блиц-доклад на какую-нибудь техническую тему.

На всякий случай - мероприятие не согласовано и не санкционировано, более того - заявка даже не подавалась. Поэтому является несанкционированным шествием и митингом, с целью публичного обсуждения всяких интернет-технологий, и как вы уже заметили - привлечения внимания. Все участники автоматом будут являться нарушителями 54-ФЗ О собраниях, митингах, демонстрациях, шествиях и пикетированиях.

Время проведения - 13-о декабря 2014 года. Утром в 8:30 на станции Девяткино собираемся, в 9:06 садимся в электричку и едем на место. На месте делаем костёр, едим, пьём. Вечером примерно в 20:00 отбываем обратно в Питер. Едем на 67-ой километр Приозерского направления. Это практически тот самый Кирьясальский выступ. Прямо ровно на старой русско-финской границе со стороны Финляндии (да-да, в направлении озера через холм - Россия, на холме можно увидеть остатки оборонительных сооружений, если кто до туда дойдёт). А также с 1919 по 1921 год - граница Финляндии и Северной Ингерманландской Республики.

Приезжаем на место, доходим до контрольной точки (речка Смородинка (финск. Tungelmanjoki), озеро Париканярви (русского названия не имеет)), готовим дрова и разводим костёр. Я варю походную баланду типа суп из пакетиков с тушонкой, перловкой, перцем, рисом и всякой хренью. Едим. Пьём кофе. Много разговариваем, греемся у костра, поём песни, желающие занимаются сексом (хотя, я думаю что будет холодно - застудите себе почки, ничего будет уже не надо), играем в снежки (по воле Божьей). Итак традиционная баланда, кофе.

Одеваемся тепло - в любом случае жарко не будет. Термобельё, коврики, ватники лишними не будут. Пластиковые такие игрушечные лыжи в прошлый раз показали свою неэффективность. Есть вариант обычных лыж, но внимательно оцените свои возможности. Идти километров 7 по пересечённой местности, приготовтесь к карабканию по полузамерзшему склону. Желательно иметь седушки. Все берём фонарики. Напоминаю - суббота, 13-ое декабря, платформа Девяткино, под расписанием, 08:30-08:50.
Из еды с собой иметь закуску и запивку на дорогу туда и на дорогу обратно и что-нибудь к чаю. Каждый на себя возьмёт - замечательно. Очень рулят бетерброды в электричке и чай/кофе в термосе. Всё равно обычно с запасом берут, так что всем достанется. Кружку миску и ложку лучше не забывать :)
«JärviCon» на Яндекс.Картах
Финская 200-метровка, отцентрировано по стоянке

И картинки для привлечения внимания:

Collapse )

Повторяю
* Тепло одеться. Иметь хорошую тёплую обувь, желательно с шерстяными носками сменными. Перчатки/рукавицы/шарфы
* Фонарики с батарейками. 13-ое декабря и здесь север, Ингрия
* Кружка, ложка, миска
* Хорошее настроение
* Возможно доклад

Да, я особо каждый раз подчёркиваю, что никто не против новых людей. Приводите, приходите сами - без разницы.

Меняйте свои планы, закупайте комки, термобельё, седушки, кружки/ложки походные, рюкзаки и перчатки.

И да придёт к вам ФАС! (c)
Oki

mod_proctitle — модуль Apache для отображения в ps/top чего там творицо

Я достаточно давно использую патч для apache, который после разбора строки запроса пишет в имя программы IP, откуда был запрос, то, что пришло в заголовке Host и саму строку запроса. Но этот двухстрочный патч был написан 12 лет назад для Apache версии 1.3. А потом руки не доходили. Тем более, с того времени появилось множество (я за пять минут нашел как минимум два) разновидностей модулей для тех целей, для более новых версий Apache. Однако, со временем мне стало маловато просто строк запросов. И… я написал свой модуль. http://habrahabr.ru/post/240767/

И тут меня понесло. Докину на github Славкину программку:
https://github.com/schors/nginxctl

Вдруг у кого не завалялось книги Дж. Доннован "Системное программирование"? Отсканировать это там место про транслятор https://github.com/schors/astramacro
Oki

Shellshock на пальцах

Все уже слышали об эпической дырке в bash?
Для тех, кто не слышал:
http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html - тут недурно на басурманском
http://www.securitylab.ru/vulnerability/458762.php - тут так себе
http://xakep.ru/shellshock/ - тут тоже так себе
А тут продолжение банкета:
https://news.ycombinator.com/item?id=8367883

Вкратце - косяк позволяет исполнить что-то, разными извращёнными способами, зачастую очень простыми для злоумышленика. Осложняется всё тем, что линукс вообще везде bash.

Теперь более подробно, но на пальцах. Что происходит?

bash - командная оболочка UNIX. Если вы в Linux, то скорее всего ваша оболочка - bash. Более того, большинство Linux-дистрибутивов ещё и не различают sh и bash. Для пользователей Windows поясню - bash это такой cmd только для *NIX. С какого-то перепоя bash позволяет определять функции в переменных окружения. Грубо говоря, при запуске bash, он пробегает по переменным окружения, и если видит в какой из них синтаксис определения функции - берёт и исполняет эту переменную как свою строку. Соответственно, вот такая строка:

export atata='() { :;}; echo Дыра в безопасности'; bash -c echo;

придаст переменной atata значение '() { :;}; echo Дыра в безопасности', переменная atata экспортируется в окружение, потом (после ';') запустится bash, который в начале запуска интерпретирует переменную окружения atata как строку для исполнения, а только потом выполнит команду echo. как ему предписано. Правда прекрасно?

А теперь представьте, что некий веб-бот обходит сайт, представляясь "User-Agent: () { :;}; rm -rf". А у Вас CGI на /bin/sh и Linux, где это bash... Или cgi-скрипт делает вызов через shell, а shell - это bash...

Где это сработает


  • CGI-скрипты, если там хоть где-то есть вызов bash, или если это Linux и есть какой-нибудь запуск. Даёт доступ к shell кому угодно.

  • gitolite, gitosis, gitlab, если логин-шелл - bash. Проблема в том, что эти системы работают через ключи SSH и ограничивают пользователя жёстко одной командой, однако, реальная команда, которую хотел исполнить пользователь, передаётся в переменной окружения SSH_ORIGINAL_COMMAND. Итак:
    ssh git@you_gitolite_sercver '() { :;}; rm -rf ~/'
    и репозитария больше нет, даже если у вас были права на посмотреть одну веточку. Но если валидного логина SSH нет, то ничего и не будет</i>
  • shell_exec() в страницах на PHP на Linux, если php запущен как php-fpm. FastCGI передаёт заголовки HTTP в окружение и поэтому запуск bash будет в соответствуюем окружении. Выкладка теоретическая, поправьте меня, если это не так.

  • Придумайте ещё что-нибудь



Где это не сработает


  • Эта уязвимость не повышает привилегии

  • CGI на Perl даже если есть запуск через qx - запускает sh. Если у вас sh - это bash, то вы сами себе Linux

  • Запуск bash со страниц на PHP под управлением mod_php, поскольку php в этом случае не передаёт заголовки HTTP как переменные окружения

  • SSH без валидной авторизации. Ибо shell запускается уже после неё</b>
  • На домашних роутерах и т.д. и т.п., как обозначено в релизах. В большинстве своём домашние роутеры - это мини-Linux с лёгким shell, который точно не bash.



Это серьёзная уязвимость?

Нет. Да.

Вообще я чуть со смеху не помер, когда понял как она работает :)
Гаара

Яндекс.Почта и SSL

Намедни, я обеспокоился за коллег из Яндекса, в связи с принудительным переходом на deprecated технологии. Вот здесь http://schors.livejournal.com/867003.html

Сим вынужден признать, что был горяч, поспешен и неразумен. Приношу свои искренние извинения. Беспокоиться и переживать тут надо за меня.

Оказывается, существуют в природе популярные современные POP3-клиенты, которые понимают SSL только как POP3S, т.е. на отдельном порту и сначала SSL, потом POP3. Более того, эксперимент показал, что упомянутый программный комплекс - почтовый-клиент - не понимает STARTTLS в принципе (даже если сервер заявляет о нём) и фигачит LOGIN прямо так по открытому соединению. Да, LOGIN.

Кто же, спросит въедливый читатель, кто же этот негодник, в XXI веке отринувший STARTTLS?

БАРАБАННАЯ ДРОБЬ!!! GOOGLE MAIL!!! Подключение сторонних аккаунтов почты по pop3 (по другому он и не умеет).
jewishi

Яндекс.Почта меняет формат

Приходит мне тут письмо от Яндекс.Почты. Говорят, переходят на SSL строгий и просят... почменять порты подключений...
http://help.yandex.ru/mail/mail-clients/ssl.xml

XXI век? Нет, не слышал.
http://www.imc.org/ietf-apps-tls/mail-archive/msg00204.html
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?&page=9

Беспокоюсь и переживаю за коллег. Может зря я не согласился в своё время работать там?