Sergey Matveev [Thu, 7 Jun 2018 19:16:07 +0000 (22:16 +0300)]
Интереснейшая статья о том как транспортировать видео в сетях
https://habr.com/company/oleg-bunin/blog/413479/
RTMP, WebRTC, RTSP/RTP, HLS, DASH. Почему столько транспортов, их за и
против, где имеет смысл использовать. Очень понятно расписано.
Sergey Matveev [Wed, 6 Jun 2018 19:45:50 +0000 (22:45 +0300)]
Культурно образовывал молодую коллегу девушку
А то узнал что знакома с Покемонами (которых я не видел), но не знакома
с Мышами Рокерами с Марса (впрочем, я только название наверное и помню).
Пришлось познакомить с представителями порнограйгд и копрограйнд культуры:
* https://www.youtube.com/watch?v=BKNhwrYdQwg -- известными популярными
чехами SPASM
* https://www.youtube.com/watch?v=XzZzhJWxWhM -- не менее известными
чешскими копрограйндерами GUTALAX
* https://www.youtube.com/watch?v=G4QJoVuGLXg -- ярчайшими
представителями нашей порно/горграйнд столицы (Иваново) SEPTICOPYEMIA.
Пришлось объяснять ещё и что такое буккаке
* https://www.youtube.com/watch?v=l1zFkkqHkec -- футболками нашей
несравненной группы из Твери DUODILDO VIBRATOR, которых у меня было
масса, но все уже износились
* https://www.youtube.com/watch?v=QfXJhEaoN5k -- клёвыми японскими
one-man-band группами в виде NEEDLE CONTAMINATED PORK
Sergey Matveev [Wed, 6 Jun 2018 19:29:43 +0000 (22:29 +0300)]
Прочитал "Угонщиков" Терри Пратчетта
https://ru.wikipedia.org/wiki/%D0%A2%D1%80%D0%B8%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F_%C2%AB%D0%9D%D0%BE%D0%BC%D1%8B%C2%BB
Первая книга из серии про номов. В целом получил удовольствие, но до
большинства книг Плоского мира ей далеко. Но уже начинал вторую книгу.
В Wikipedia увидел факт что действие происходит там же где и его книги
про Джонни Максвелла -- именно их я закончил читать перед этим.
Sergey Matveev [Tue, 5 Jun 2018 19:23:37 +0000 (22:23 +0300)]
OpenBSD workstation guide
https://begriffs.com/posts/2017-05-17-openbsd-workstation-guide.html
Очень хорошее рассмотрение того как сделать отличную рабочую станцию под
управлением OpenBSD. Лично для меня самое ценное из статьи: список софта
используемого под кучу разнообразных задач. Взял на заметку вот такой
вот календарь: https://calcurse.org/
Sergey Matveev [Tue, 5 Jun 2018 18:45:30 +0000 (21:45 +0300)]
Почта, почтовые рассылки, Github
https://begriffs.com/posts/2018-06-05-mailing-list-vs-github.html
Автор показывает что почтовые рассылки можно отлично использовать для
отправки патчей и их обсуждения без какого-либо дополнительного
громоздкого online софта типа Gitlab/Github/Gerrit.
Я пару лет назад сильно холиварил по этому поводу на работе. В ivi ревью
проводилось просто прямо в комментариях Redmine-а. Это было удобно,
вполне. На текущей работе используется Gerrit. Он мне не нравился с
первого раза и не нравится и сейчас. Лично я его не подниму -- глюкавая
тяжёлая вещь, которая, на мой взгляд, ничего не решит если люди в
состоянии использовать почтовый клиент.
Но... как уже написал, требует умения владения почтой. Сегодня мне один
человек сообщил что я первый кто не доволен HTML почтой с top-posting и
что вообще все всегда просят полностью цитировать письмо на которое дают
ответ. Прежде уйму времени видел как люди абсолютно полностью не следят
за тредами и если им нужно написать foo@bar.com-у, то они просто ищут
любое письмо от него и нажимают ответ, не меняя ни темы, и даже оставляя
прошлую цитату совершенно полностью не имеющую отношения к тому о чём
они будут писать. Одной коллеге видимо заметили что у неё все сообщения
это один большой тред -- так сегодня *каждое* сообщение было не связано
с предыдущими, In-Reply-To/References напрочь стал отсутствовать.
Такое ощущение что люди в принципе не приемлют работающего удобного
софта и технологий. Если его им дать, то они, как специально, найдут
массу способов превратить его в нечто неперевериваемое чтобы оправдать
переход на что-то очередное новенькое свежее и shiny. Всю жизнь все
читали сверху вниз (ну в нашем языке) последовательно, а потом решили:
давайте ответ помещать перед вопросом!? А давайте ещё вместо текста
посылать HTML документ? А ещё связывать все письма в одну цепочку. А ещё
все все все цитаты как снежный ком наращивать. И после этого конечно же
любой согласится что любое убожество типа IM-клиентов будет лучшим
средством коммуникации людей.
Точно так же как и технологии не относящиеся к коммуникациям: людям
пофиг что у них данные в принципе не в сохранности (а зачем тогда эти
данные им нужны, спрашивается?), зато шрифтики красивы. Я так и не понял
в какой момент произошла разсинхронизация между мной и всеми окружающими
меня людьми: вроде бы все начинали примерно с одних и тех же компьютеров,
операционных систем (MS-DOS, Windows), но потом что-то пошло не так.
Практически никакие дорожки в ИТ мире теперь не пересекаются между нами.
А многие дорожки стёрлись напрочь: современный пользователь, похоже,
даже не подозревает что между компьютерами в принципе возможно передать
данные в зашифрованном виде (я имею в виду действительно зашифрованном,
чтобы третье лицо не нарушило конфиденциальность, а не как в Telegram).
Безусловно и про меня у них аналогичные мысли :-), только прямо наоборот.
Некоторые обзывают пещерным человеком, но при этом когда хотят защитить
SOCK-прокси, считают простейший вариант в виде stunnel абсолютно
неприемлемым и переусложненным (я кстати так и не узнал а какой же
вариант будет нормальным? похоже... MTProxy!). Каждый убеждён что
обычному пользователю вообще не нужно иметь никаких данных хранимых на
компьютере -- это задача облаков, а всякие резервные копии, RAID (или
аналоги) это для упоротых людей.
Моя проблема только в одном -- я почему-то пытаюсь навязать своё мнение,
меряю людей по себе. У нас всех банально в корне совершенно разные
потребности, мировоззрение и ценности. Из серии "сытый голодного не
вразумит".
Sergey Matveev [Mon, 4 Jun 2018 19:35:00 +0000 (22:35 +0300)]
Тюнинг FreeBSD
Пошарив по поисковикам, вижу что tracker.cypherpunks.ru много где
упоминается среди списка BitTorrent трэкеров. Сегодня занялся тюнингом
ядерных параметров чтобы тысячи пакетов/сек работали без порождения 8сек
ping-ов.
В amd64 и современной FreeBSD все параметры которые рекомендуют
подкрутить: уже имеют огромнейшие значения. netstat -m говорит что в
память по сетевым подключениям я не упрусь никогда. По TCP вообще нет
никаких ожиданий в очередях: netstat -i. Похоже основной повлиявший
параметр это kern.ipc.somaxconn.
Sergey Matveev [Mon, 4 Jun 2018 17:53:58 +0000 (20:53 +0300)]
Github учётная запись удалена
Когда-то давно я уже вынес все свои репозитории с Github-а из-за его
terms of service. c79456c70ed4bfabf1fa05110bb1d71b3fcac398 b9d2f499f6f68e13cd82ccf7fa2ca37097942653 d800b73a50023c7ab15a16911b3c8cfedf86c841
Но учётная запись оставалась чтобы делать fork/pull request по мелочам,
заводить тикеты. А сегодня Github куплен Microsoft. Стопудово это
приведёт к тому, что страницы вряд ли будут открываться без скачивания к
себе закрытой программы. Пока ещё можно, то удалился полностью.
Sergey Matveev [Sun, 3 Jun 2018 10:59:11 +0000 (13:59 +0300)]
Королёв -- прекрасен!
На выходных часто пешком или общественным транспортом езжу то к
родителям, то к друзьям, то просто в магазин (закупиться тем, чего нет в
близлежащих). Это районы Болшево, Подлипки, Юбилейный, старые и новые
части города (новые это там, где раньше были только деревья или домики).
И вот глаз нарадоваться не может как же хорошо всё облагоустраивается из
года в год, улучшается. Полно людей, довольных, счастливых, семей,
велосипедистов, девушек красивых. Относительно регулярно какие-то
праздники устраиваются -- пускай магазинами, но всё-равно поднятие
настроение во всей округе. Так вот идёшь и тебе просто хорошо и
радостно. Особенно вспоминая места какие они были прежде. Я всегда любил
свой город, но он становится всё лучше и лучше. Да, когда он был закрыт
(и назывался Калининградом), у нас никаких не-русских на улицах не
встретишь, но, ничего страшного я считаю. Одно но: количество зелени
уменьшается, но ни в какое сравнение с тем как это происходит в Москве
например -- у нас очень зелёный город.
Sergey Matveev [Sun, 3 Jun 2018 08:11:19 +0000 (11:11 +0300)]
Посмотрел "Хакеры" и "Сеть"
О "Хакерах" упоминают относительно часто в разговорах, а я, не смотря на
то, что фильм 1995-го года, так и не посмотрел его. Решил исправить этот
недочёт. Я слышал что фильм с технической точки зрения так себе. Но, я
не ожидал что настолько. Один из худших фильмов которые я когда-либо
видел! А его техническая сторона... хоть как-то чтобы оно соприкасалось
с действительным миром компьютеров -- полнейшее срамнейшее говно. Мне
кажется фильм способен впечатлить 11-12 летних подростков, плохо
знакомых с компьютерами. Единственное что в нём было не бредово: эти
подростки мечтающе и заворожённо говорят о UNIX manual-ах (хотя, лично
я, в их возрасте уже банально использовал UNIX-like системы как основную
ОС). А всё остальное... мне даже стыдно как-то критиковать ибо такой
бред. И сама работа режиссёра мне не понравилась -- он явно пытается
вставлять трэки Prodigy чтобы типа показать активные действия, action,
но это вызывает только смех. Даже Матрица с её nmap-ом куда круче
выглядит по правдоподобности.
Но, пока читал про "Хакеров", наткнулся на упоминание "Сети" -- тоже
фильм 1995-го года с Сандрой Баллок. И тоже посмотрел. И вот это просто
небо и земля! Безусловно оно там конечно тоже наивно, но там хотя бы
показывают debugger-ы и поиск ветвлений в ассемблере, whois в IRC,
telnet, traceroute показывающий AS (автономные системы), триангуляцию
положения сотового телефона. Про этом можно забыть -- суть фильма в том,
что наши жизни дико зависят от нескольких байтах в базах данных
компьютеров и информация которой мы сорим в сетях достаточно чтобы
охмурить голову любому человеку. Казалось бы -- тема не нова. Но это
было в 1995-ом году! А сейчас прошло чуть ли не четверть века и всё
только ещё больше усугублено -- информацией люди сорят так, что с
точностью до часов можно предсказывать их шаги и вообще решения в жизни.
Вместо огромного количества разрозненных баз данных -- большинство людей
централизованно находится всего-лишь в нескольких (Faceboogle и Apple).
В один и тот же год выпустили два фильма на тему кракинга и вообще сетей
с компьютерами, но один вполне себе хорош и крут в плане реалистичности
(плюс Сандра на которую просто приятно смотреть), а другой... стыдоба и
откровенное дерьмо (плюс Анджелина Джоли на которую, лично мне, не очень
приятно смотреть). Но, "Хакеры" гораздо более известны и популярны
оказались.
Sergey Matveev [Sun, 3 Jun 2018 07:52:07 +0000 (10:52 +0300)]
Трэкбол vs мышки
http://xahlee.info/kbd/trackball_vs_mouse.html
После нескольких лет использования двух трэкболов, подтверждаю все его
преимущества описанные в статье. В FPS не поиграешь (хотя я на работе
как-то сделал на трэкболе двоих коллег в Q3, но я ж был "отцом" в этой
игре), зато во всём остальном трэкбол однозначно удобнее. Но приходится
регулярно протирать его от скапливающейся грязи.
А также есть ещё и список лучших трэкболов (по отзывам людей) на 2018-ый
год: http://xahlee.info/kbd/trackball.html
Kensington Expert Mouse который я использую присутствует и очень
рекомендую его, вместо какого-нибудь Logitech Marble. В Москве я его без
проблем находил (хотя Marble наверное самый доступный). Как минимум он
хорош своим scroll-колесом.
Sergey Matveev [Sat, 2 Jun 2018 14:37:57 +0000 (17:37 +0300)]
Зарелизил NNCP 3.2 с исправлением зависимости от баги в самом Go
https://lists.cypherpunks.ru/pipermail/nncp-devel/2018-June/000069.html
Использовал сегодня nncp-bundle команду для перелива одних данных.
Ничего не падает, но не работает. -debug говорит что корявый tar
заголовок встречает в потоке.
Оказалось что в Go 1.9 archive/tar библиотека не создавала валидные tar
архивы с длинными путями (более 100 символов). А я nncp-bundle код делал
рассматривая как-раз именно эти архивы. Более того, BSD tar успешно их
обрабатывал. В Go 1.10 они исправили багу в https://github.com/golang/go/issues/9683
и начали создавать корректные архивы которые уже nncp-bundle не в
состоянии был обработать.
В чём проблема? Мне необходимо в потоке байт (которые например льются с
CD-ROM, ленты, просто блочного устройства) искать так называемые NNCP
bundle-ы, которые чисто технически являются tar архивом с пакетами
сложенными в виде:
где (в данном конкретном случае):
* 2WHBV3TPZHDOZGUJEH563ZEK7M33J4UESRFO4PDKWD5KZNPROABQ -- получатель
* PKTJQKU5M62LF3IND7JTPIJB5A45FSSQ7TEP4SGGT26RW4WAE76A -- отправитель
* HKKECXX7PWZ6YCDMWU74BT6OYKDBZLKF25NI4S3LZ3CJ57WTVMAA -- шифрованный пакет
Всё это в Base32 и поэтому суммарная длина такого пути -- 163 символа.
Сократить это можно каким-нибудь Base64, но оно всё-равно будет длиннее
100 символов и менее удобно для использования человеком.
tar заголовок (USTAR и PAX) имеет фиксированные позиции для хранения
путей. Но в нём два поля: само имя файла и некий префикс который к нему
можно добавить. Длина имени файла ограничена сотней символов.
Для чего я добавлял NNCP/ директорию? Чтобы как-раз таки именно его
искать в потоке байт и пытаться интерпретировать последующие байты как
tar заголовок. Go 1.9 archive/tar библиотека не проверяла длину пути и
буквально просто засовывала эти 163 байта. Почему BSD tar это читал?
Видимо ориентировался по нулевым байтам каким-нибудь. Просто повезло.
Go 1.10 библиотека стала делать корректно: определяет длину пути и
разбивает его на части. Имя пакета (в моём случае) шло в имя файла, а
остальное отправлялось в середине заголовка в поле префикса. В итоге
"NNCP/" оказался где-то в середине заголовка и вся логика по поиску tar
заголовка ломалась. А искать название пакета я не могу потому-что это
псевдослучайная строка. Можно конечно усложнить сам код поиска и в
памяти, найдя NNCP/, "расчитывать" поток байт назад чтобы найти начало
заголовка.
Я решил более простым (с точки зрения кода) способом, но требующим чуть
больше места для хранения. Я просто добавляю перед каждым файлом "NNCP"
директорию в архив. Так как её длина маленькая, то она помещается
полностью в поле имени файла и находится в начале архива, как и прежде.
В коде я, как и прежде, ищу "NNCP", интерпретирую начиная с него байты
как tar заголовок, проверяю что это директория, дальше считываю
следующий заголовок, который уже должен быть файлом с NNCP пакетом.
То есть, теперь хранится вот так:
И, как известно, WhatsApp использует протоколы: Noise (атаснейшая штука,
отличнейший выбор), Signal (достойная вещь тоже для IM); FreeBSD и Erlang.
FreeBSD у них держит 2 миллиона TCP соединений на одной машине.
В одном из интервью их спросили почему не GNU/Linux?
http://uk.businessinsider.com/whatsapp-built-using-erlang-and-freebsd-2015-10
Linux is a beast of complexity. FreeBSD has the advantage of being a
single distribution with an extraordinarily good ports collection.
На одном из сайтов тоже ответили на вопрос почему не GNU/Linux?
https://www.quora.com/Why-did-WhatsApp-choose-FreeBSD-over-Linux
Linux is the only OS that excels in nothing.
Windows has better audio quality, better media support, and PC
gaming exists on Windows.
MacOS is productive, inspiring, and preferred by many developers.
FreeBSD is closer to MacOS than Linux is. There are less surprises
on deployment. FreeBSD is organized, stable, and secure. Linux
panics more often. Even leap seconds can crash Linux servers.
Linux is a mess. I remember how many issues I had on upgrading
(Debian, Ubuntu, Gentoo). Since my servers are on FreeBSD, I have
been having only seamless upgrades over 8 years. (No mess with the
bootloader config, no chaos in /etc)
и ещё про файловые системы и, особенно, btrfs:
Anyone who cares about their data would go for ZFS (with the
exception of those huge companies who can afford implementing their
own storage systems that have similar data-healing features).
The most pathetic FS ever developed is BTRFS. It’s a shame that they
still didn’t stop fooling the world about it. The companies behind
it are too large to admit the stupidity. No sane person would ever
put production data on BTRFS. XFS is usable, but has nothing of the
power of ZFS.
И вот во всём согласен что самое точное слово для Linux мира это "mess".
И то, что оно ничем не выделяется вообще -- в Linux ничего нет
выдающегося (ну кроме copyleft, за это действительно уважаю). Разве что
из коробки он хорошо будет работать на суперкомпьютерах и утилизировать
многопроцессорные системы. Даже чисто технологически GNU/Linux мир
крайне отстаёт: ZFS, DTrace, LXC его на десять лет позже Jails
появившийся, ад со звуковыми системами.
Sergey Matveev [Sat, 2 Jun 2018 12:33:27 +0000 (15:33 +0300)]
Из любопытства посмотрел статистику по входящему трафику
И у меня за прошлый месяц было более 11 TB скачано.
Сколько отдано -- Ростелекомовский кабинет не показывает.
Вспоминаю разговоры о том что "терабайта хватит всем",
плюс то, что через месяц закон Яровой должен вступить в силу.
Sergey Matveev [Sat, 2 Jun 2018 10:22:06 +0000 (13:22 +0300)]
Оказывается Downfall создал тот же автор что и Cat Lady
http://the-cat-lady.wikia.com/wiki/Downfall_-_A_Horror_Adventure_Game
https://en.wikipedia.org/wiki/The_Cat_Lady
Эти два квеста очень понравились и только сейчас увидел что их сделал
один и тот же автор. Достойнейшие творения! Хотя Downfall по началу
очень кажется отталкивающим наколенным поделием.
Sergey Matveev [Sat, 2 Jun 2018 09:17:43 +0000 (12:17 +0300)]
Разговоры о приобретении Github Microsoft-ом
http://www.businessinsider.com/2-billion-startup-github-could-be-for-sale-microsoft-2018-5
Если это всё же произойдёт, то будет конечно огромный удар по свободному
ПО, которое вовсю хостится на Github. Впрочем... лично я уже давно не
использую его и не рассматриваю как вариант:
Sergey Matveev [Sat, 2 Jun 2018 09:00:16 +0000 (12:00 +0300)]
Ryzen действительно виснет
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=225584
Никак не связанно с bdb46c4c59a780a8760b7a4dafcda88b13f8be6f, но чисто
случайно по совпадению увидел вот такой тикет где действительно на Ryzen
процессорах есть повисания. AMD -- в топку. Я просто как-то задумывался
а не посмотреть ли в сторону AMD процессоров.
Sergey Matveev [Sat, 2 Jun 2018 07:47:04 +0000 (10:47 +0300)]
Контактная информация calomel.org
https://calomel.org/calomel_at.html
Вот меня ещё называли задротом, но этот чувак переплёвывает.
* Если ваш RSS-reader не поддерживает ECDHE, ChaCha20/AES-256, ECDSA
256bit, то вы не сможете использовать его HTTPS. Вообще форсированно
вот так заботится о приватности/безопасности пользователей сайта, по
моему, чересчур. Это ж пользователю надо, а не самому сайту
* Явно написали что не принимают подарков, пожертвований, итд, показывая
что оно создаётся бескорыстно для блага. Это да, хорошо
* А чтобы узнать email адрес для связи, то надо выполнить echo | tr
код, что отсеивает всяких пользователей Windows. Это тоже здорово, тем
более что на сайте только по нормальным ОС есть информация, но
чересчур радикально :-)
* А когда я им отправил письмо, то их почтовый сервер отказался общаться
без TLS. Прям вот... TLS-lover-ы. С переездом отправляющего сервера на
VDS (потому-что сраный Ростелеком не предупреждает о том что PTR
запись он даёт только юридическим лицам) я, как оказалось, TLS вырубил
вообще. Ну сейчас в клиентском режиме без проверки сертификатов сделал.
Ибо особенно в SMTP вообще не вижу смысла в TLS особо
Sergey Matveev [Sat, 2 Jun 2018 07:38:32 +0000 (10:38 +0300)]
Intel vs AMD
https://utcc.utoronto.ca/~cks/space/blog/tech/MyIntelVsAMDView-2018
Опытный ИТ-шник рассказывает что, не смотря на его нелюбовь к Intel,
альтернативы в виде AMD всё-равно (даже не для сервера) нет. Это
относится и ко мне пока -- как бы я не не хотел видеть встроенный
компьютер с полноценной ОС Minix у себя в процессора, но пока нет
(возможно кроме arm64) возможности взять и купить что-то другое что
могло бы использоваться в качестве сервера за вменяемые деньги и 64-х
битное. Например БайкалТ1 за 40 тыс.руб. (f42b52ec88657b04454afac2da44353998bb0744)
32-х битный и поэтому никакой ZFS, ну и FreeBSD я думаю там не ахти
будет работать. AMD, как пишет автор, и больше жрёт и медленнее работает
и бывают просто повисания, нет стабильности из серии just works.
Sergey Matveev [Sat, 2 Jun 2018 07:36:02 +0000 (10:36 +0300)]
Предложение о едином стандарте обмена сообщениями
https://habr.com/post/412985/
Министр ФРГ предложила сделать yet another XMPP/Matrix стандарт. Прям
вот взять бы поп-корн и последить что же из этого получится. Корпорации
делают всё лишь бы никакой совместимости между ними не было.
Sergey Matveev [Sat, 2 Jun 2018 07:33:13 +0000 (10:33 +0300)]
drone.io из-за GDPR закрывает форум
https://discourse.drone.io/t/shutting-down-forum-gdpr/2297/13
Про сам сайт вообще никогда не слышал, но сама ситуация интересна.
Open-source (не знаю free software ли) проект где форум администрируется
одним человеком вынужден закрыться из-за бремени GDPR. Ведь и у нас до
такого дойдёт запросто. У нас уже есть конечно "законы о блоггерах", но
таких как я он не затрагивает. Но запросто появятся (что, с одной
стороны и хорошо) и аналогичные GDPR более жёсткие.
Sergey Matveev [Fri, 1 Jun 2018 21:31:30 +0000 (00:31 +0300)]
Network tuning and performance guide for FreeBSD
https://calomel.org/network_performance.html
https://calomel.org/freebsd_network_tuning.html
Отличнейшая статья актуальная не только для FreeBSD/OpenBSD систем!
* Дерьмовое дешёвое железо => фиговая производительность, не зависимо от
используемой ОС. Поэтому мой дешёвые Celeron встроенный на мать: так
не в состоянии выжать гигабит
* FreeBSD любит память. Она очень хорошо и активно её использует. В
отличии от Linux ядра, где полно памяти может постоянно простаивать. И
речь даже не о ZFS
* Там написано что OpenBSD не увидит памяти больше чем 3.1 GB. Не
разбирался почему, но, видимо ядро больше этого сегмента (из-за
ограничений/особенностей x86-архитектуры) не увидит. Это кстати прям
дико удручает в OpenBSD. Казалось бы замечательнейшая ОС, но...
вопросы SMP, вот памяти/производительности выглядят очень плачевно
* HyperThreading -- надо отрубать. Чего я делаю уже давно на всех
компьютерах
* OpenBSD, пишут, всё-равно себя ведёт как однопроцессорная система (в
сетевых задачах, firewall)
* Настройки ZFS могут в три (!!!) раза повысить скорость на чтение с
NVMe диска
Sergey Matveev [Fri, 1 Jun 2018 20:17:43 +0000 (23:17 +0300)]
Лавина UDP до моего BitTorrent tracker
Более двух суток на мой компьютер с BitTorrent tracker-ом идут тысячи
UDP пакетов/сек. Из-за этого (возможно потому-что оно ещё и поверх PPPoE
через netgraph mpd-ный) бооольшие проблемы со всем остальным трафиком.
ping до любых ресурсов занимает 7-8 сек!
Не знаю DoS ли это какой или внезапно кто-то стал активно использовать
мой трэкер, но пока проблему вроде решил просто traffic shaping-ом по
этому трафику.
Понравилось поведение NNCP при этом: из-за малого кол-ва round-trip-ов и
их малого размера, он быстро делает handshake и прокачивает пакеты.
Из-за колоссальных задержек связь (TCP) всё-равно обрывается, но после
переподсоединения успешно идёт докачка файлов/почты. monit генерировал
под сотни писем о том что всё плохо -- и сотни этих сообщений стабильно
проходили через NNCP по TCP. Хорошо он себя показал в действительно
паршивых условиях.
Sergey Matveev [Thu, 31 May 2018 04:24:21 +0000 (07:24 +0300)]
Умер гитарист Anal Cunt/Adolf Satan
http://www.hitkiller.com/byvshij-gitarist-anal-cunt-josh-martin-pogib-upav-s-eskalatora-torgovogo-centra.html
Как и недавно ушедший Сет Путнам -- фронтмен Anal Cunt:
http://www.hitkiller.com/umer-vokalist-anal-cunt-seth-putnam.html
Не скажу что это примерная классическая жизнь около-грайндкорных
последователей, но наверное нойзкорных.
Sergey Matveev [Tue, 29 May 2018 21:22:09 +0000 (00:22 +0300)]
Дурацкий hype с DNS over HTTPS
http://bitsup.blogspot.com/2018/05/the-benefits-of-https-for-dns.html
Я вот не понимаю нафига всё это использовать вместо DNSCrypt??? Как
минимум, DNSCrypt может работать поверх UDP -- никаких handshake-ов (ну,
кроме самого первого по согласованию эфемерных ключей). Криптография в
DNSCrypt -- ОЧЕНЬ простая и вполне себе грамотно сделанная (я не смог ни
к чему придраться, всё очень нравится). В DNS over TLS/HTTPS --
используется TLS: это ж сущий ад в плане сложности! DNS over DTLS -- ещё
куда не шло из-за UDP, но сложность... нет, не вариант. Единственный
вменяемый аргумент, на мой взгляд, который приводит статья: куча софта
умеет работать с HTTP. И... что? Из-за этого делать крайне не
эффективную реализацию? Неужели миру не надоели legacy протоколы из-за
которых дико просаживаются ресурсы? Неужели не надоела сложность?
Sergey Matveev [Mon, 28 May 2018 20:17:29 +0000 (23:17 +0300)]
Сходил на митап "Приватность и безопасность в Интернете"
https://te-st.ru/events/security-digital/
Материал конечно существенно отличается от того что даю я на криптопатях.
Про свободное ПО нет вообще ничего. Зато много screenshot-ов как настроить
одно или другое под Windows.
Sergey Matveev [Sun, 27 May 2018 20:11:33 +0000 (23:11 +0300)]
RetroAhoy -- Secret Of Monkey Island
https://www.youtube.com/watch?v=9F9ahZQ7oP0
Что-то типа документального фильма про историю adventure компьютерных
игр: от interactive fiction, до Monkey Island и Grim Fandango. Вовсю
включает реальные вставки настоящих игр (а не просто screenshot-ы). И,
после просмотра, я всё ж понимаю что ярый поклонник именно LucasArts
игр, а не Sierra. Ну а Monkey Island (1-2 части, хотя и 3-я мне нравится
очень)... лучшие квесты после Grim Fandango.
Под конец начали рассказывать про современных последователей
классических квестов. Я даже не подозревал что прям новые жанры, типа
"walking simulator" появились. Интересно звучит и выглядит.
Sergey Matveev [Sun, 27 May 2018 15:34:45 +0000 (18:34 +0300)]
Mutt: set hostname
Годами я мучился и страдал от того что в Mutt не выставил значение
hostname опции. Если она не выставлена, то Mutt при запуске делает
reverse DNS запрос чтобы узнать свой hostname предполагаемый. Если
DNS лежит/недоступен/медленный, то и запуск Mutt затягивается.
Sergey Matveev [Sun, 27 May 2018 14:54:53 +0000 (17:54 +0300)]
Тест: Как защитить себя в Сети?
https://te-st.ru/2018/05/18/test-digital-security/
Увидел тут вот такой тест. Я начал стараться не писать в свой блог
всякое негативное, но тут не сдержусь.
* Во-первых, тест запрашивает указать ссылку на профиль в ВК/FB. И это
обязательный пункт. Мне кажется, если человек его указал, значит
имеет, значит он уже не прошёл тест :-)
* На вопрос "что нужно сделать, чтобы защитить данные в сети?" есть
только один вариант который можно выбрать среди: "Подключить
двухфакторную для почты и соцсетей, использовать сложный разнообразный
пароль с помощью менеджера паролей", "Просто не вводите данные с
чужого компьютера". Видимо, намёк на первый пункт. Но а чем второй то
не угождает? По моему крайне актуален и правилен. Не порядок.
* "При покупке в Интернете на что стоит обратить внимание?". Вариант
который можно выбрать только один "На значок соединения слева от
адресной строки. Убедитесь, что работаете с сайтом по зашифрованному
соединению (HTTPS-протоколу)". Хм, и это всё??? Просто увидеть что
значок показывает что соединение по HTTPS?
* "Безопасно ли подключаться к бесплатному публичному wifi?". Среди
ответов есть "Безопасно, если просматривать только сайты по протоколу
HTTPS", "С VPN-сервисом можно просматривать любые сайты", "Ни в коем
случае нельзя подключаться". И можно выбрать несколько. Третий
очевидно не предполагается, поэтому среди правильных ответов первый и
второй. Я снова удручён что народ упорно считает что HTTPS это просто
безопасно и точка.
* "Как защитить данные, если ваш ноутбук окажется в чужих руках?".
Несколько вариантов ответов которые можно выбрать: "Установить пароль
на вход в BIOS", "Шифровать компьютер и делать регулярные бэкапы в
облако", "Не хранить данные на компьютере, только в облаке". Последний
вариант очевидно не правильный. Первый... вообще ни о чём, ни капли не
поможет. Остаётся похоже только вариант с бэкапом в облако... ужас,
просто ужас что хотят от людей и считают это безопасным.
Впрочем меня это всё радует тем, что если бы грамотность людей в плане
безопасности была хороша, то у таких как я было бы меньше работы, когда
речь о серьёзной безопасности, например государственных секретов. Но
люди не то, что не знают о безопасности, так они банально
дезинформированы, снова предоставляя почву для работы и зарабатывания
денег.
Sergey Matveev [Sun, 27 May 2018 14:48:06 +0000 (17:48 +0300)]
Обновил сертификат для DNSCrypt
К сожалению, не поставил в monitoring проверку на время протухания и
dnscrypt.cypherpunks.ru пролежал больше суток. DNS запись с обновлённым
сертификатом, скорее всего, прососётся только на следующий день.
Sergey Matveev [Sun, 27 May 2018 12:31:25 +0000 (15:31 +0300)]
Зарелизил NNCP 3.1
https://lists.cypherpunks.ru/pipermail/nncp-devel/2018-May/000066.html
Всего-лишь одна фича: через "-via -" можно сказать чтобы при посылке
пакета вообще не делался relay. Раньше, к сожалению, можно было разве
что закомментировать "via:" в конфигурационном файле, что неудобно.
Sergey Matveev [Sun, 27 May 2018 11:54:04 +0000 (14:54 +0300)]
Indigo2/Indy машины -- мой идеал как должен выглядеть компьютер
https://en.wikipedia.org/wiki/File:SGI_Indigo2_High_Impact_workstation,_next_to_an_SGI_Espressigo.jpg
На фотографии Indigo2, его родная клавиатура, мышь и... кофе-машина (Espressigo).
Всякие брэндовые компьютеры типа HP, IBM -- ничего не вызвают, не
цепляют глаз. Apple техника... среди неё наверное только PowerMac G5
хоть как-то был приятен глазу. А SGI... Indy, Indigo, Tezro -- даже
просто такая коробочка хороша на столе. Открывающая крышка для доступа к
оптическим или ленточным накопителям тоже хороша.
Только сейчас обратил внимание что для Sun Microsystems и SGI
компьютеров даются нормальные PC-совместимые механические клавиатуры. Не
как адский ублюжеский отстой в виде Apple-клавиатур: несовместимость и
полное унижение пользователей заставляя такое использовать для работы.
Для тех кто тыкает мышкой -- пойдёт любое говно (даже Apple). Но когда
речь именно о работе с клавиатурой, то SGI и Sun делали достойно,
потому-что действительно для работы. Плюс трёхкнопочные мышки, какие с
самого начала подразумевались к использованию в X11-системах (2-х
кнопочные в Windows, однокнопочные в Apple).
Sergey Matveev [Sat, 26 May 2018 14:28:34 +0000 (17:28 +0300)]
Зарелизил PyDERASN 3.8
https://lists.cypherpunks.ru/pipermail/pyderasn-devel/2018-May/000013.html
В 3.7 релизе я добавил полную поддержку декодирования BER. Но pprint для
BER заключался в метке "BER" для структур закодированных не в DER и в
вычитании длины из-за EOC-ов сопутствующих indefinite длинам (LENINDEF,
как я это везде в коде обзываю). Но например dumpasn1 и openssl asn1parse
явно выводят EOC тэги и явно показывают что длина была indefinite. Мне
эта идея понравилась и в текущем релизе я начал делать так же.
То что раньше pprint-илось вот так:
15-2 [0,0,1576]-4 . content: [0] EXPLICIT [UNIV 16] ANY
[...]
стало теперь таким:
15-2∞ [0,0,1576]∞ . content: [0] EXPLICIT [UNIV 16] ANY
[...]
1587 [1,1, 0] . content: BER EOC
1589 [1,1, 0] . content: EXPLICIT BER EOC
Sergey Matveev [Wed, 23 May 2018 12:09:49 +0000 (15:09 +0300)]
Можно ли соблюсти полную анонимность мобильного телефона: инструкция
https://piratemedia.net/mozhno-li-soblyusti-polnuyu-anonimnost-mobilnogo-telefona-instrukciya
Статья мне в принципе понравилась. Особо придраться ни к чему не могу.
Понравилось ещё:
Настоящие хакеры, чья свобода, а быть может, и жизнь, зависит от
анонимности, не пользуются мобильными телефонами в повседневной
жизни. Вообще не пользуются. Только одноразовые звонки, скайп и т. п.
Да и жизни "повседневной" у них нет. Вечная мгла, небытие. Нет
друзей, нет родных, нет привычек и "любимых" мест. Вот что такое
анонимность.
Про Skype и "хакеров" промолчу, но неплохо сказано про то, что такое
анонимность.
Sergey Matveev [Mon, 21 May 2018 07:46:04 +0000 (10:46 +0300)]
Как отучить Firefox самостоятельно лазить в Интернет
https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections
Огромная документация как отключить то одно, то другое. По факту
современный Firefox просто напичкан сливом данных. Особенно "радует"
телеметрия отправляемая на их сервера при запуске броузера.
Sergey Matveev [Mon, 21 May 2018 05:20:27 +0000 (08:20 +0300)]
На новом PyPI нельзя скачать .sig подпись пакета
https://pypi.org/project/pyderasn/
А раньше было можно. В какое же полнейшее говно превращается мир пакетов
Python. С переездом на CDN скачивать стало, мягко говоря, проблематично:
оно постоянно лежит. Потом они добавили хэши к URL-ам и просто так
ссылочку для скачивания уже не сделаешь. Сейчас вот ещё и .sig файлы
отсутствуют (не хочу сказать что я сильно жаждил их, но регрессия же
произошла).
Sergey Matveev [Sun, 20 May 2018 08:01:37 +0000 (11:01 +0300)]
Git протокол второй версии
http://www.opennet.ru/opennews/art.shtml?num=48622
Ну лично мне все эти фишки не интересны, но очевидно что огромным
репозиториям будут приятны. А вот в комментариях народ замечает что
докачки прерванного клонирования в Git нет. Действительно нет. Но вот
Linux красиво решает эту проблему через недельные bundle-ы репозитория:
https://www.kernel.org/cloning-linux-from-a-bundle.html
Так как bundle это обычный атомарный файл, то его можно с докачкой
осилить через HTTP транспорт. После распаковки уже используя родной
git-протокол докачать дельту.
Sergey Matveev [Sun, 20 May 2018 07:51:34 +0000 (10:51 +0300)]
Только недавно обратил внимание на clean команду GnuPG ключей
Я знал про minimize -- когда из ключа вычищаются все подписи и куча
метаинформации. Остаётся только самое необходимое чтобы передать ключ.
Когда я выкладываю свой публичный ключ на домашнюю страницу, то не хочу
такого вырезания. Однако есть ещё clean опция:
Compact (by removing all signatures except the selfsig)
any user ID that is no longer usable (e.g. revoked, or
expired). Then, remove any signatures that are not usable
by the trust calculations. Specifically, this removes
any signature that does not validate, any signature that
is superseded by a later signature, revoked signatures,
and signatures issued by keys that are not present on the
keyring.
И вот она уже полезна! Во-первых, когда меняются предпочтения в
шифровании, то добавляется новый подписанный блок. Можно проследить
изменение предпочтений владельца ключа со временем. Но вряд ли это кому
интересно. Во-вторых, когда UID отзывается, то кроме самого блока
отзыва, все остальные остаются, что тоже не много кому нужно. clean
как-раз позволяет их зачистить.
Sergey Matveev [Sun, 20 May 2018 07:28:01 +0000 (10:28 +0300)]
Выбор форматов для скачивания обычно не велик. Приходится перекодировать
Вот когда качаешь какой-нибудь видеоматериал, то частенько бывает выбор
не велик. Особенно фильмов. Или небольшого размера но в доисторическом
кодеке типа XviD что-нибудь, или в современном H.264 но огромного
размера потому-что кодируется 1920x1080. Лично мне места жалко на такое
качество, зачастую абсолютно ненужное. Но и небольшие 700-1.4GB файлы
не очень хорошо скомпрессированные тоже удручают.
Приходится качать "большую" версию и самостоятельно перегонять в форматы
получше. Во-первых, сбавлять разрешение. Во-вторых, делать нормализацию
звука. Уже как-то писал в 3762a9ca8cedd2862854584b7f182dfecfabb1e9 о том
какой скрипт для использую для переконвертирования. Для каждого контента
там бывают свои небольшие правки, но суть его уже не первый год остаётся
без изменений.
Sergey Matveev [Sun, 20 May 2018 07:09:22 +0000 (10:09 +0300)]
EFAIL postmortem
https://medium.com/@cipherpunk/efail-a-postmortem-4bef2cea4c08
Хорошая статья о EFAIL-е, OpenPGP мире. Всё написано очень хорошо и по
существу. А то надоела вся эта журналистская информация вводящая людей
в заблуждение.
Sergey Matveev [Sat, 19 May 2018 19:46:07 +0000 (22:46 +0300)]
PyDERASN экспериментальная поддержка BER
Обнаружилось что CMS сообщения создаваемые gpgsm (утилита для S/MIME из
состава GnuPG) делаются в BER кодировке и поэтому мой PyDERASN вообще не
в состоянии их отпарсить. Я вообще видел в стандарте что CMS это BER, но
вот в упор не замечал что там явно сказано почему это BER, что то, что
подписывается всё-равно в DER, и BER это не просто опечатка или
устаревший документ. Каждый раз читая эти стандарты обнаруживаешь что-то
новое.
В итоге решил попробовать добавить BER поддержку в процесс декодирования
PyDERASN-ом. Примерно один рабочий день, даже кое какие тесты есть, и
CMS-ки я могу полностью отпарсить без проблем. Похоже что завтра уже
будет релиз с BER поддержкой. Но укажу что экспериментальная -- не шибко
она будет протестирована пока. Кодировать в BER будет нельзя -- впрочем
DER является BER-ом, поэтому оно как-бы всё же в BER закодировано.
Sergey Matveev [Sat, 19 May 2018 15:16:30 +0000 (18:16 +0300)]
ZFS TRIM на Linux
https://habr.com/post/351932/
В комментариях говорят что TRIM в марте в Linux не работает для ZFS.
Лично я сам не проверял, но не удивлюсь. Нет, нет, в Linux мир я не
вернусь -- ну это ужас.
Sergey Matveev [Sat, 19 May 2018 09:37:53 +0000 (12:37 +0300)]
Работа с новобранцами -- испытание
Чуть больше месяца проработал и был что-то типа наставника у Python
junior-ов. Был бы выбор, то теперь предпочту не сталкиваться с таким
снова.
Во-первых, это отнимает очень много времени и я больше месяца толком
работой (своей) не занимался вообще и мы уже официально начали выходить
за все допустимые сроки -- хотя нас честно спрашивали осилим ли обучение
людей или нет. Во-вторых, отношение junior-ов под конец стало
удручающим: например то, что я в ревью писал больше месяца назад было
посчитано не нужным -- спустя месяц задают вопрос а не сделать ли нам
вот так, именно как я давно предлагал и что было отвергнуто. Если
малейшее недовольство проявляю, то сразу "я злой" и реально просто
вообще уходят, бросая сессию в которой работаем, позже обращаясь за
помощью уже к другому коллеги. *Любое* моё ревью интерпретируется как
сплошные придирки. Мол если делают коммит для ревью, то понимают что
"придёт Серёжа" и напридирается к их с душой сделанному коду.
Вот у коллеги получилось с ними работать, но он и сам говорил что имеет
опыт обучения людей. Я же только пока понял что людьми нельзя по
хорошему и по доброму -- обернётся стороной. Поэтому понимаю что когда
говорят что в армии по-хорошему не бывает: там надо сурово, не жалея --
так действительно будет работать, особенно когда задача обязана быть
сделана в нужные сроки. Безусловно это мой косяк что если они что-то не
понимают, то значит плохо донёс, раз у других при этом получается.
Скорее всего, потому-что я нетерпелив и мне проще сделать самому или
сразу сказать решение. В общем, не завидую учителям.
Sergey Matveev [Sat, 19 May 2018 09:25:25 +0000 (12:25 +0300)]
Вышел Vim 8.1
https://www.vim.org/vim-8.1-released.php
Обновился. Заметил только одно изменение: подсвечивает слова которые я
ищу сразу же. Ну и, похоже, это уже традиция: netrw плагин снова сломан,
так как проверка версии Vim написана некорректно.
https://github.com/vim/vim/releases/tag/v8.1.0001
Я вот удивляюсь: неужели его так мало кто использует что проверку
работоспособности не проводят?
Sergey Matveev [Thu, 17 May 2018 05:26:19 +0000 (08:26 +0300)]
Уязвимые EFAIL почтовые клиенты
Судя по этой таблице (конечно не полной), Mutt идеален и Claws. Я на
Mutt сижу уже больше десяти лет. А вот Claws меня порадовал тем, что
среди всех GUI клиентов которые я видел -- именно он мне нравился больше
всего. По-настоящему его никогда не использовал (GUI для почты? смеётесь?),
но я чуял что с ним всё хорошо!
TABLE OF VULNERABLE MAIL CLIENTS
| OS | Client | S/MIME | PGP |
| | | | -MDC | +MDC | SE |
|---------+-----------------+--------+------+------+-----|
| Windows | Outlook 2007 | yes | yes | yes | no |
| | Outlook 2010 | yes | no | no | no |
| | Outlook 2013 | user | no | no | no |
| | Outlook 2016 | user | no | no | no |
| | Win. 10 Mail | yes | – | – | – |
| | Win. Live Mail | yes | – | – | – |
| | The Bat! | user | no | no | no |
| | Postbox | yes | yes | yes | yes |
| | eM Client | yes | no | yes | no |
| | IBM Notes | yes | – | – | – |
| Linux | Thunderbird | yes | yes | yes | yes |
| | Evolution | yes | no | no | no |
| | Trojitá | yes | no | no | no |
| | KMail | user | no | no | no |
| | Claws | no | no | no | no |
| | Mutt | no | no | no | no |
| macOS | Apple Mail | yes | yes | yes | yes |
| | MailMate | yes | no | no | no |
| | Airmail | yes | yes | yes | yes |
| iOS | Mail App | yes | – | – | – |
| | Canary Mail | – | no | no | no |
| Android | K-9 Mail | – | no | no | no |
| | R2Mail2 | yes | no | yes | no |
| | MailDroid | yes | no | yes | no |
| | Nine | yes | – | – | – |
| Webmail | United Internet | – | no | no | no |
| | Mailbox.org | – | no | no | no |
| | ProtonMail | – | no | no | no |
| | Mailfence | – | no | no | no |
| | GMail | yes | – | – | – |
| Webapp | Roundcube | – | no | no | yes |
| | Horde IMP | user | no | yes | yes |
| | AfterLogic | – | no | no | no |
| | Rainloop | – | no | no | no |
| | Mailpile | – | no | no | no |
- = Encryption not supported
no = Not vulnerable
yes = Vulnerable
user = Vulnerable after user consent
-MDC = with stripped MDC, +MDC = with wrong MDC, SE = SE packets
Sergey Matveev [Tue, 15 May 2018 19:35:32 +0000 (22:35 +0300)]
Почему end-to-end шифрование невозможно в броузере (как и вся криптография)
https://secushare.org/end2end
https://rdist.root.org/2010/11/29/final-post-on-javascript-crypto/
Отличная подборка коротких фактов о попытке использовать криптографию в
броузере на JS. Решил полностью сюда скопировать:
Why don't you try end-to-end encryption in the web browser?
Because it is impossible to achieve, by design of the web, without
trusting your server or installing something on your machine.
Let's say your encryption application comes from your server. If you
have to trust your server anyway, why make a huge effort to try to
put it into the web browser?
You can't tell your web server, as it controls what you see in your
web browser, won't just make the web page transmit an unencrypted
version of whatever message you are reading or authoring, somewhere
you wouldn't want it to go. So the browser silently allows the
server administrator to watch over your messaging. You MUST trust
your server. It's inevitable.
The entire architecture of HTML and Javascript is intended to be so
flexible, that you cannot ensure the safety of crypto operations.
The existence of plenty of dedicated crypto APIs and libraries does
not solve this chicken/egg issue of trust: A web server can make it
look like everything is fine and you can't tell something is going
on behind your back.
Even the developers of Javascript crypto solutions admit it
themselves, that their tools are only useful if the server is
trustworthy: "A person getting access to your server can modify
Javascript code and public key of the receiver."
There's also the possibility for a man in the middle to insert
malicious Javascript designed to redirect copies of your unencrypted
messages elsewhere. Maybe even your passwords and private keys, so
he only needs to do this once. Thanks to the complete unreliability
of the X.509 certification infrastructure it is only a question of
money for a man in the middle to view or modify anything you send or
receive over HTTPS.
A web browser just isn't suited for 100% private communications as
it is built to do what the web server tells it to.
What if my website isn't coming from a server?
Then it can be okay. If the website you are using is actually
entirely installed on your device and all communication to the web
server is exclusively done via something like secushare, or in the
case of traditional web servers, via AJAX-like technologies over
encrypted HTTP, the way hellais does it for GlobaLeaks. Most
smartphone apps are somehow implemented that way: in the form of
"static" web applications that get downloaded to your phone and stay
there.
Unfortunately, for end users installing a serverless web interface
on the local computer is just as complicated as installing an actual
software package, so there is no advantage in choosing a work-around
if you could have a dedicated and properly designed end-to-end
communication tool without unnecessary drawbacks.
What about an add-on to my web browser?
One thing that is slightly easier to install than custom software is
a browser plugin like Cipherbox. Still, Cipherbox provides for a
quite simple attack vector: Once the message has been decrypted and
inserted into the HTML document, a drive-by Javascript can steal the
decrypted message and send it wherever you don't want it to be.
The only solution to truly provide end-to-end encryption in that
case is to have unencrypted data only appear in the custom user
interface of the add-on, never in the web page. That usually
destroys any intended usability and you can no longer say your
application is actually web-based. It is quite impractical and makes
it pointless to not use a dedicated and secure software package from
the very start. That's why there apparently doesn't exist any such
add-on.
In the case of secushare you of course get a lot more than just what
a browser add-on could offer, since a web browser wouldn't be able
to do sybil-attack resistant cryptographic routing, or other of the
magic described on this website, to dramatically improve your
privacy in communications.
The End-to-End-Encrypted Web is a myth.
It's a logical fallacy. A technical impossibility. A bad idea. A
very bad idea. But there's nothing as strong as a bad idea whose
time has come, so you will hear of this a while longer until
somebody hits their nose bleeding on it.
Sergey Matveev [Tue, 15 May 2018 04:30:51 +0000 (07:30 +0300)]
Как и ожидалось, пошли призывы отключать PGP
https://habr.com/company/pt/blog/358570/
https://tproger.ru/news/pgp-flaw/
И, опять же, как я и ожидал, ссылки при этом ведут постоянно на EFF.
Короче EFF -- уроды, подорвавшие безопасность и приватность
пользователей, от которых я такого не ожидал. Как вот в комментарии к
статье кто-то и написал:
А не вброс ли это, чтобы напугать хардкор-шифрующихся граждан и
заставить их отказаться от шифрования с помощью PGP?
PGP вообще с нами уже как четверть века, но люди понятия не имеют что
это и про что они вообще пишут. Где уязвимость и вообще что нужно
отключать. Оказывается шифрование почты, оказывается уязвимость в PGP,
оказывается его надо отключать.
Sergey Matveev [Mon, 14 May 2018 11:26:42 +0000 (14:26 +0300)]
EFF катастрофически подрывает моё доверие и уважение к ним
https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
Фактически они яростно орут что есть проблемы с "PGP", срочно переходите
на Signal. Меня терзают смутнейшие сомнения что не подкупили ли их
очернять достойные работающие решения. Эту организацию слушают очень
многие! И эта организация призывает отказаться от *единственного*
промышленного надёжнейшего решения по криптографической безопасности
(хоть оно и не идеально). Я прям даже не знаю, не знаю... крайне
разочаровывают...
Sergey Matveev [Sun, 13 May 2018 19:21:34 +0000 (22:21 +0300)]
Rowhammer просто через Ethernet
http://www.opennet.ru/opennews/art.shtml?num=48591
Атака впечатляет! Изначально впечатляло что просто через JS в броузере
можно было поменять значение любого элемента памяти. Теперь вот то, что
на практике просто посылая Ethernet трафик! Типа присланный Ethernet
пакет это уже что-то, что ваш компьютер вынужден обрабатывать как вы
того захотели.
Sergey Matveev [Sun, 13 May 2018 08:01:34 +0000 (11:01 +0300)]
Кто пишет про обходы блокировок -- удручает безграмотностью
https://habr.com/sandbox/115384/
Статью за статьёй вот на Хабре/Geektimes смотрю и вот следующая после
curl | sh -- говорит что L2TP это IPsec + IKE. Лучше бы промолчал автор,
так как... я мягко говоря дальше бы просто даже не стал бы читать раз у
него такой подход к объяснению терминов. L2TP, мягко говоря, вообще не
IPsec, ни IKE, ни рядом с ним лежал. То, что его часто используют поверх
-- верно, но это так же сказать как Интернет это Ethernet + PPPoE.
Sergey Matveev [Sun, 13 May 2018 07:54:48 +0000 (10:54 +0300)]
Пользователи GNU/Linux ведут себя как Windows/macOS онные
https://habr.com/sandbox/115296/
Когда-то я считал что тащить какой-то исполняемый файл из сети и сразу
на него тыкать, в надежде что он сделает что надо -- прерогатива
пользователей проприетарных систем. Именно из-за этого у них постоянно
вирусы и прочие проблемы.
Но вот на фоне блокировок народ статью за статьёй публиковать где
предлагают делать curl | sh. А раз пишут, то, видимо, пипл хавает и
делает так. https://curlpipesh.tumblr.com/
А самое фиговое, я считаю, что разработчики какого-нибудь Rust поступают
аналогично и, видимо, даже считают правильным, мол их пользователи
полные простаки с которыми можно поступать как заблагорассудится.
Sergey Matveev [Wed, 9 May 2018 18:10:57 +0000 (21:10 +0300)]
Пока слушал Cranberries альбомы, зацепили сольные Dolores O'Riordan
Решил посмотреть есть ли у Cranberries ещё чего-нибудь здоровского типа
Zombie. Быстро по-диагонали оценивал трэк за трэком, пока не попались
под руку сольные альбомы Dolores O'Riordan. И вот они то зацепили ещё как!
Это конечно не Zombie, вообще совсем по другому, но очень здорово!
Sergey Matveev [Wed, 9 May 2018 17:11:06 +0000 (20:11 +0300)]
Прошёл с Бессмертным полком
http://www.stargrave.org/photoes/9may.jpg
Прошёл вот от Белорусской до самой Красной площади и чуть дальше с отцом
и дедом. Очень много радостного народу! Хорошая организация.
Sergey Matveev [Sun, 6 May 2018 17:38:18 +0000 (20:38 +0300)]
Дао изоленты
https://serkov.su/blog/?page_id=2573
Простой путеводитель по электроматериалам. Безумно интересная книга!
Сам я в электричестве мало разбираюсь -- но тут всё простым понятным
языком и очень интересно!
Sergey Matveev [Sun, 6 May 2018 09:26:09 +0000 (12:26 +0300)]
Начался спор о формате документации NNCP в FreeBSD
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=227859
Или я чего-то совсем не догоняю или человек так и не может объяснить
зачем же ему HTML. man pages, сразу говорю, пока нельзя будет сделать
простым texi2man, то делать не буду ибо огромный труд, который лично мне
будет бесполезен.
Sergey Matveev [Sun, 6 May 2018 09:18:36 +0000 (12:18 +0300)]
Blockchain is not only crappy technology but a bad vision for the future
https://medium.com/@kaistinchcombe/decentralized-and-trustless-crypto-paradise-is-actually-a-medieval-hellhole-c1ca122efdec
https://jl.ly/Money/bccrud.html
Статью по первой ссылке я встречал и раньше, начинал читать, но что-то
забрасывал, мол фигня какая-то. Сегодня я всё-таки решил (может с той
ноги встал?) прочитал её и не пожалел. Я уже писал статью почему "я не
могу спать спокойно с blockchain-ом": http://www.stargrave.org/Sleep-blockchain.html
Так вот наши мнения с автором в целом сходятся.
Всё крутится вокруг доверия. Это брехня когда говорят что в PoW
blockchain-е решает всё математика: так говорят только те, кто не
понимает как оно работает. В blockchain-ах всё решают люди,
взаимоотношения людей, их поведение. В любом случае всё сводится к
доверию к людям. В своей статье я говорил что не хочу blockchain
потому-что снова всё сводится к доверию к людям: для меня эта задача уже
решена и поэтому нет никакого смысла и пользы от blockchain. Статья по
ссылке говорит похожее: людям нужно доверие, всё должно сводится к
доверию, trustless системы не нужны и всё-равно blockchain сводится к
доверию к программистам. Именно поэтому он не решает ни одной настоящей
(а не выдуманной) проблемы и именно поэтому, особенно smart-контракты,
никто и не использует.
А статья по второй ссылке говорит что blockchain это как-раз таки
мировоззрение либертарианцев может выдать эту технологию за что-то
полезное и решающее проблемы. Либертариацны, как я уже убедился не раз,
живут в абсолютно вымышленном мире, полностью не осознавая как же люди
взаимодействуют и общаются между собой.
Sergey Matveev [Sat, 5 May 2018 08:32:42 +0000 (11:32 +0300)]
Впервые заметил блокировку Amazon сети. Про LLVM CoC
Пытаясь посмотреть нашумевшее письмо одного из главных разработчиков
LLVM: http://lists.llvm.org/pipermail/llvm-dev/2018-May/122922.html
Сразу получаю TCP-отлуп при попытке соединения с ним.
А вообще в последнее время уже надоедает слышать про все эти Code Of
Conduct. Раньше такого не было -- люди просто работали и никому не важно
было зигует ли он когда пишет код или нет, особенно когда связь с
человеком в основном электронная. И каждый каждый раз всё это связано с
пидарасами или женщинами -- их затронуть и ты лишаешься работы, и пофиг
на твои профессиональные достижения, пофиг на судьбу проекта (благо если
ты не был такой важной шишкой в нём).
Возможно я не учитываю что все эти CoC появляются когда людей становится
слишком много и, так как количество перерастает в качество, то это
вынужденная мера, иначе люди пересрутся и передерутся? И из-за CoC
как-раз уходят такие буяны?
Sergey Matveev [Sat, 5 May 2018 08:00:30 +0000 (11:00 +0300)]
IPv6 и IPsec удобства
Понадобилось мне с моей VDS-ки проксировать DNS запросы/ответы. Чтобы
было ещё один сервер постоянно доступный.
Первая часть задачи выполняется легко: поднимаю Unbound и вот уже
имеется кэширующий DNS. Но, на VDS-ке один IPv4 адрес на котором 53-ий
порт уже занят authoritative DNS сервером. Сразу мысль о том чтобы
поднять на другом порту, но потом вспоминаю: ведь у меня целых 2*64
адресов IPv6 из которых только один занят! Просто выбранный наугад в
качестве alias-а к своему сетевому интерфейсу:
Крайне непривычно осознавать что каждое действие, каждое желание можно
выразить на отдельном IPv6 адресе, коих практически бесконечно.
Но теперь хотелось бы чтобы домашний провайдер не видел эти DNS запросы.
Первая мысль -- DNSCrypt. Но останавливает меня вся эта возня с
генерированием ключей на стороне сервера -- лень. Опять же, моё старое
классическое мышление тут подводит: ведь есть же IPsec специально
созданный для того, чтобы можно было по любому поводу создавать
безопасные соединения.
Racoon демон, предлагаемый handbook-ом FreeBSD, хоть и устаревший, стоит
у меня на всех системах. У всех общие базовые настройки, которые просто
копирую:
Мне надо сказать что связь между ...:dd4 адресом и мной должна
шифроваться (никаких туннелей, просто транспортный режим):
# cat >> setkey.conf <<EOF
spdadd 2a03:5a00:17:123:50c2:1bff:fea8:dd4 2001:470:1f12:aa9::2 any -P out
ipsec esp/transport//require;
spdadd 2001:470:1f12:aa9::2 2a03:5a00:17:123:50c2:1bff:fea8:dd4 any -P in
ipsec esp/transport//require;
EOF
и аналогичная симметричная настройка на противоположной машине.
И, объяснить racoon.conf как подключаться к машине с которой можно было
бы установить SA при срабатывании SP указанных выше (это copy-paste в
которой изменены только адреса и identifier-ы):
Всё! Теперь прозрачно IPsec будет устанавливаться при связи между ::2 и
...:dd4 машинами. Так как IPsec работает на сетевом уровне, то сказать
ему шифровать только определённые UDP/TCP порты не получится, но у нас
адресов хоть отбавляй, поэтому это и не нужно. И, опять же, не нужно
никаких классических полноценных VPN, туннелей или проксирования через
stunnel -- из коробки все современные ОС умеют IPsec рассчитанный на
использование в транспортном режиме, когда надо просто сказать что с
этим IP-шником по такому-то протоколу надо делать безопасно.
Sergey Matveev [Thu, 3 May 2018 20:16:22 +0000 (23:16 +0300)]
Мировое эхо
https://ru.wikipedia.org/wiki/%D0%9C%D0%B8%D1%80%D0%BE%D0%B2%D0%BE%D0%B5_%D1%8D%D1%85%D0%BE
Оказывается с нами уже как век пытаются связаться внеземные цивилизации!
Sergey Matveev [Tue, 1 May 2018 10:22:58 +0000 (13:22 +0300)]
Познакомился с творчеством группы Emperor
И взялся исключительно потому-что в ней играет Ihsahn. Не ожидал, но
понравилась очень и очень сильно! Не думал что почти black так зацепит.
Обычно всё же нравится что-то на грани с death-ом типа Marduk.
Sergey Matveev [Tue, 1 May 2018 10:21:37 +0000 (13:21 +0300)]
Посмотрел "Каникулы президента"
Очень понравился! Простоватый, но забавный фильм, выглядящий достаточно
реалистично. Актёр играющий самого Путина выглядит и играет очень
правдоподобно.
Зеркалирование PyPI -- крайне неприятная процедура
PyPI заявляет что с переездом на CDN, всё стало значительно лучше и
стабильнее. Вот на моей практике за все эти годы стало как-раз наоборот.
Если коротко, то как-раз стало крайне нестабильно: постоянные обрывы
соединений, хотя канал точно не загружен и параллельные соединения живут
отлично до них. Впечатление что там случайным образом решают кому и как
оборвать скачку. Не знаю сейчас как с консистентностью состояния, но
года 2-3 назад bandersnatch регулярно приходил в состояние когда ничего
не докачивает и ему приходится удалять state-файл.
http://pygost.cypherpunks.ru/News.html
Кроме небольших некритичных исправлений, появился PBKDF2 для 34.11-2012.
По факту заключающийся в небольшом рефакторинге, так как PBKDF2 без
изменений со всеми хэшами работает.
https://lists.cypherpunks.ru/pipermail/pyderasn-devel/2018-April/000011.html
Долгожданная для многих фича: возможность устанавливать значения
Sequence/Set прямо во время их инициализации, без обязательного setitem.
Замечательнейшая и превосходнейшая книга! Ходжа очень впечатляет своей
мудростью и остроумием. Некоторые фразы уже какой день не выходят из
головы, как хорошо сказаны.
http://www.opennet.ru/opennews/art.shtml?num=48501
Вообще очень многие известные мне вещи в NetBSD появлялись раньше чем в
любой другой BSD -- например ZFS (ну, после Solaris, конечно же). Но в
этом релизе добавлена такая куча всего, что моя FreeBSD выглядит как
хипстерское линуксовое модное поделие: USB3, микширование звука, W^X,
ASLR, UEFI загрузчик, nvme, Intel 10G Ethernet. Штуки типа ASLR просто
стали работать по-умолчанию. Но вообще впечатляет проделанная работа в
NetBSD.
Взял эту книгу потому-что от автора "Видоизменённого углерода". Так себе
оказалась. Вначале не захватила, потом сделал большой перерыв, потом
дочитал. Лишь ближе к концу хоть как-то затягивать начала. Ничуть не
пожалел бы если бы не знал о её существовании. "Углерод" гораздо более
весом!
https://geektimes.com/post/300301/
Увидел сегодня эту статью на Хабре по поводу блокировок. Как надоело
всё это нытьё и удивления почему не так массово все переживают.
Заголовки: повсеместно используемые технологии зависят от ресурсов,
попавших в блокировку; подобные блокировки нарушают работоспособность
компьютерного оборудования. Лично для меня очевидно нарисовалась
проблема: мы повсеместно зависимы заграничных ресурсов. Очевидно что
надо решать эту проблему зависимости. Если мы сами можем повлиять на
работоспособность используемых технологий, значит и "они" (с той
стороны) смогут одним кликом нам навредить и принести урон. Сейчас мы
проверяем и понимаем насколько всё плохо или хорошо, чтобы удар по нам
не был внезапным.
По поводу нарушения работоспособности там описывают то, что
заблокировались CRL, OCSP для TLS PKI. Опять же, очевидно, что PKI
значит на практике очень уязвим против атак государственного масштаба.
Если кто-то строит серьёзную безопасность на PKI с использованием
зарубежных CA, то сам себе враг и сам своими действиями выбрал
зависимость от недружественных стран от которых и к которым можно
ожидать чего угодно.
https://habrahabr.ru/post/354044/
По большей части основан на Daala, от Xiph.org. Этот факт мне чисто
эстетически очень нравится. Объективно говорят что и технически он
покруче всех HEVC-ов уже. На прошлых выходных пытался перекодировать в
него один фильм. Но... не вышло, так как за 20 минут он закодировал
только 2 секунды видео, в которых только начальная заставка на тёмном
фоне. То есть пока вынужден ждать появление существенно
прооптимизированной по скорости кодирования реализации.
https://blog.cryptographyengineering.com/2018/04/21/wonk-post-chosen-ciphertext-security-in-public-key-encryption-part-1/
Ещё одна отличная статья (пока только первая часть) о chosen ciphertext
атаках и безопасности при использовании асимметричного шифрования. А
также то, как Apple плохо сделала iMessage.
https://www.youtube.com/watch?v=cgmdfpc-2KM
Идеальный бы получился музыкальный soundtrack к фильму Тетсуо --
Железный Человек! Жаль вышел он сильно раньше чем появились эти ребята.
https://www.chipdip.ru/product0/9000471985
Я бы прям сейчас на всё это постарался перейти, но вот только для ZFS
нужны 64-бит системы. А вообще очень круто что по такой доступной цене
продают, в отличии от Эльбруса!
Согласно решению рабочей группы МАС, топонимы Харона называются в
честь легендарных странников и путешественников (как настоящих, так
и вымышленных), их кораблей, этапов путешествий, а также визионеров.
К последним относят писателей, режиссеров, художников и иных людей
искусства, чье творчество было посвящено темам космоса и иных миров.
Благодаря этому теперь на карте Харона появились такие обозначения,
как впадина Арго, горы Кларка и Кубрика, а также кратеры Дороти,
Пиркс, Насреддин и Садко.
http://www.opennet.ru/opennews/art.shtml?num=48429
Похоже что надо мне переходить на этот кодек. Так получалось, что новые
кодеки я первее всех начинал использовать на практике: когда был XviD,
то я в него перегонял, хотя он мало кем поддерживался. Потом так же было
с Matroska контейнером, Opus-ом. Спустя лет 10 его наконец-то начали
использовать. Из-за Интернета и быстрого распространения софта AV1,
видимо, будет уже быстро где доступен.
Сам не мерил скорость кодирования. Возможно придётся подождать когда
выпустят сильно оптимизированный по производительности кодировщик.
Половина и больше песен -- Deep Purple. Теперь я могу честно сказать на
любое приглашение посетить концерт Deep Purple -- а чего я ихнего не
слышал в живую? Все свои хиты Rainbow исполнила. Очень понравился
ожидаемый Stargazer, а также DP-овский When The Blind Man Cries.
Вокалист и барабанщик очень понравились. А вот... гитарист, тот самый
Блэкмор -- никакой. Что есть гитара, что нет -- разницы особо не будет.
Ну или мне подавай гитару как Петруччи и Сатриани -- зажрался или не
понимаю всей сути. Но в целом доволен концертом!
Странные дела при записи лент появились, требуется шифрование
БОльшую часть данных которые я записываю составляют зашифрованные
архивы. Однако последнее время записываю много простых больших файлов.
Запись делаю командой tar cvf /dev/esa0 *. Ближе к концу (95% записанных
данных) у меня внезапно вылетает write error. Ok, подумал я, может быть
лента какая-то порченная или ещё чего, ведь на другую точно такая же
директория записалась. Поменял на другую -- тоже самое, вылетает в
конце, но всегда в чуть-чуть отличающемся месте. Взял третью --
аналогично. Три раза подряд "битая" лента -- не может быть.
Вообще я заметил что привод явно умеет понимать что ему подсовывают на
вход. Зачастую между файлами архива я прям слышу что он притормаживает,
видя что что-то в tar поменялось, пошла другая метаинформация. Поэтому
решил "обмануть" его и записывать полностью зашифрованные данные, где он
точно не сможет сделать ничего "умного" (как сейчас слово smart любят
применять ко всему чему не попади). Для скорости решил использовать свой
самописный https://git.cypherpunks.ru/cgit.cgi/gohpenc.git/tree/README
который на лету при записи на ленту может обеспечить даже дохлый Celeron.
Всё успешно записалось.