متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
DOFH - DevOps from hell
الذهاب إلى القناة على Telegram
У нас уютно как в аду. Располагайтесь, наслаждайтесь. Заметки на полях невидимого фронта. Поблагодарить: https://t.me/boost/DOFH_ru
إظهار المزيد3 739
المشتركون
-124 ساعات
-17 أيام
+1830 أيام
جاري تحميل البيانات...
القنوات المماثلة
سحابة العلامات
الإشارات الواردة والصادرة
---
---
---
---
---
---
جذب المشتركين
يونيو '26
يونيو '26
+63
في 3 قنوات
مايو '26
+60
في 0 قنوات
Get PRO
أبريل '26
+64
في 2 قنوات
Get PRO
مارس '26
+115
في 4 قنوات
Get PRO
فبراير '26
+24
في 1 قنوات
Get PRO
يناير '26
+42
في 0 قنوات
Get PRO
ديسمبر '25
+58
في 1 قنوات
Get PRO
نوفمبر '25
+46
في 0 قنوات
Get PRO
أكتوبر '25
+270
في 26 قنوات
Get PRO
سبتمبر '25
+25
في 0 قنوات
Get PRO
أغسطس '25
+30
في 3 قنوات
Get PRO
يوليو '25
+53
في 1 قنوات
Get PRO
يونيو '25
+29
في 0 قنوات
Get PRO
مايو '25
+37
في 0 قنوات
Get PRO
أبريل '25
+48
في 2 قنوات
Get PRO
مارس '25
+75
في 1 قنوات
Get PRO
فبراير '25
+64
في 0 قنوات
Get PRO
يناير '25
+57
في 1 قنوات
Get PRO
ديسمبر '24
+47
في 1 قنوات
Get PRO
نوفمبر '24
+65
في 0 قنوات
Get PRO
أكتوبر '24
+29
في 1 قنوات
Get PRO
سبتمبر '24
+74
في 0 قنوات
Get PRO
أغسطس '24
+35
في 0 قنوات
Get PRO
يوليو '24
+71
في 1 قنوات
Get PRO
يونيو '24
+14
في 0 قنوات
Get PRO
مايو '24
+38
في 2 قنوات
Get PRO
أبريل '24
+23
في 1 قنوات
Get PRO
مارس '24
+29
في 1 قنوات
Get PRO
فبراير '24
+15
في 0 قنوات
Get PRO
يناير '24
+41
في 1 قنوات
Get PRO
ديسمبر '23
+29
في 2 قنوات
Get PRO
نوفمبر '23
+28
في 1 قنوات
Get PRO
أكتوبر '23
+23
في 0 قنوات
Get PRO
سبتمبر '23
+43
في 0 قنوات
Get PRO
أغسطس '23
+42
في 0 قنوات
Get PRO
يوليو '23
+28
في 0 قنوات
Get PRO
يونيو '23
+35
في 0 قنوات
Get PRO
مايو '23
+82
في 0 قنوات
Get PRO
أبريل '23
+12
في 0 قنوات
Get PRO
مارس '23
+13
في 0 قنوات
Get PRO
فبراير '23
+24
في 0 قنوات
Get PRO
يناير '23
+35
في 0 قنوات
Get PRO
ديسمبر '22
+8
في 0 قنوات
Get PRO
نوفمبر '22
+23
في 0 قنوات
Get PRO
أكتوبر '22
+18
في 0 قنوات
Get PRO
سبتمبر '22
+12
في 0 قنوات
Get PRO
أغسطس '22
+8
في 0 قنوات
Get PRO
يوليو '22
+7
في 0 قنوات
Get PRO
يونيو '22
+14
في 0 قنوات
Get PRO
مايو '22
+32
في 0 قنوات
Get PRO
أبريل '22
+36
في 0 قنوات
Get PRO
مارس '22
+714
في 0 قنوات
Get PRO
فبراير '22
+13
في 0 قنوات
Get PRO
يناير '22
+25
في 0 قنوات
Get PRO
ديسمبر '21
+18
في 0 قنوات
Get PRO
نوفمبر '21
+54
في 0 قنوات
Get PRO
أكتوبر '21
+18
في 0 قنوات
Get PRO
سبتمبر '21
+47
في 0 قنوات
Get PRO
أغسطس '21
+46
في 0 قنوات
Get PRO
يوليو '21
+10
في 0 قنوات
Get PRO
يونيو '21
+54
في 0 قنوات
Get PRO
مايو '21
+102
في 0 قنوات
Get PRO
أبريل '21
+42
في 0 قنوات
Get PRO
مارس '21
+122
في 0 قنوات
Get PRO
فبراير '21
+88
في 0 قنوات
Get PRO
يناير '21
+30
في 0 قنوات
Get PRO
ديسمبر '20
+2 400
في 0 قنوات
| التاريخ | نمو المشتركين | الإشارات | القنوات | |
| 24 يونيو | +28 | |||
| 23 يونيو | 0 | |||
| 22 يونيو | 0 | |||
| 21 يونيو | +3 | |||
| 20 يونيو | 0 | |||
| 19 يونيو | 0 | |||
| 18 يونيو | +1 | |||
| 17 يونيو | +2 | |||
| 16 يونيو | +2 | |||
| 15 يونيو | +2 | |||
| 14 يونيو | +5 | |||
| 13 يونيو | 0 | |||
| 12 يونيو | +1 | |||
| 11 يونيو | 0 | |||
| 10 يونيو | +1 | |||
| 09 يونيو | 0 | |||
| 08 يونيو | +1 | |||
| 07 يونيو | +1 | |||
| 06 يونيو | +1 | |||
| 05 يونيو | +4 | |||
| 04 يونيو | +3 | |||
| 03 يونيو | +4 | |||
| 02 يونيو | +2 | |||
| 01 يونيو | +2 |
منشورات القناة
| 2 | Бюллетень SC-103 от Let's Encrypt
Let's Encrypt, как и обещали, вынесли на голосование CA/B Forum требование о закреплении расширения serverAuth EKU в кросс-сертификатах в Базовых требованиях (BR).
Попытка ужесточить требования для кросс-сертификатов сертификатов вызвала дискуссию участников CA/B Forum (кстати, степень открытости обсуждения поражает, это неподкапотное заочное голосование, а открытое обсуждение, нашим до такого далеко).
Обсуждение бюллетеня SC-103 началось 12.06.2026, представленная версия выявила разногласия CA/B Forum.
Предложение Let's Encrypt гармонизировать Базовые требования с политиками программ доверия к корням (Chrome, Mozilla, Apple, Microsoft) получило возражения, связанные с трактовкой правил CCADB и судьбой legacy-корней.
Бюллетень требует, чтобы все кросс-сертификаты обязательно содержали EKU и использовали только строго ограниченный набор OID (в основном id-kp-serverAuth и id-kp-clientAuth), ужесточает текущие правила:
🔹Позиция Let's Encrypt: правило CCADB зависит от того, является ли новый подчинённый УЦ многоцелевым. А все корневые программы уже требуют, чтобы новые SubCA были одноцелевыми, соответственно BR должны просто это зафиксировать.
🔹Контраргумент от УЦ HARICA: CCADB ограничивает новую иерархию, а не выпускающий корень. Для иерархий, не связанных с TLS (например, сертификаты подписи кода), правила CCADB не диктуют конкретные EKU - они лишь запрещают serverAuth, поэтому BR не должны копировать это требование.
Появилась новая проблема legacy-корней и не-TLS сценариев:
🔹Возражение от Sectigo: Предложенная формулировка препятствует legacy-корням выдавать кросс-сертификаты для целей, отличных от TLS, например, для подписания документов. Новый SubCA остаётся одноцелевым, но технически попадает под запрет.
🔹 Let's Encrypt предложили компромисс - они готов добавить OID Document Signing в разрешенный перечень, но предупреждает, что политика CCADB его не разрешает, поэтому участники её программ не смогут этим воспользоваться.
Период обсуждения уже завершился 19 июня, Let's Encrypt должен подготовить вторую версию бюллетеня с учётом замечаний - как минимум добавить Document Signing. Посмотрим, сможет вторая версия найти баланс между унификацией (которую поддерживают Mozilla и Google) и необходимой гибкостью для legacy-корней и не-TLS сценариев (на чём настаивают Sectigo и HARICA). Продолжаем наблюдение.
✍️"Об ЭП и УЦ"
_______
Источник | #ep_uc | 927 |
| 3 | Обнаруженная с Claude Mythos Preview 29-летняя ошибка в прокси-сервере Squid, известная как Squidbleed, потенциально может приводить к утечке HTTP-запросов в открытом виде.
Squid - это широко используемый веб-прокси с открытым исходным кодом, который позволяет сократить потребление полосы пропускания и улучшить время отклика за счет кэширования. Squid поддерживает HTTP, HTTPS, FTP и другие протоколы.
Исследователи Calif обнаружили, что Squid подвержен уязвимости, аналогичной печально известной уязвимости OpenSSL, известной как Heartbleed, поэтому назвали её Squidbleed.
Уязвимость отслеживается как CVE-2026-47729 и приводит к тому, что FTP-парсер Squid считывает данные за пределы буфера памяти, в область, которая может содержать незакрытые данные HTTP-запросов предыдущего пользователя.
Для эксплуатации уязвимости злоумышленнику необходимо контролировать FTP-сервер, доступный через прокси-сервер.
Squidbleed представляет наибольшую опасность в средах с общим доступом к прокси-серверам, таких как корпоративные сети, школы и общедоступные точки доступа Wi-Fi, где несколько пользователей могут направлять трафик через один и тот же экземпляр Squid.
Злоумышленник, имеющий доступ к такой сети, может незаметно перехватывать данные HTTP-запросов, принадлежащие другим пользователям, потенциально получая учетные данные для аутентификации, токены сессий и ключи API.
Уязвимость ограничивается HTTP-трафиком в открытом виде и развертываниями, где Squid завершает TLS-соединение. Стандартные HTTPS-соединения, передаваемые через непрозрачные туннели Connect, не затрагиваются.
Хотя это и уменьшает общую поверхность атаки, конфиденциальные учетные данные все еще могут передаваться в открытом виде по HTTP-трафику во многих корпоративных и устаревших средах.
Патч был включен в версию Squid 8 в апреле 2026 года и выпущен в версии 7.6 в июне 2026 года. Риск эксплуатации можно снизить, полностью отключив поддержку FTP, если она не требуется. | 871 |
| 4 | Обожаю истории, в которых у нейронок плавится кукуха и они улетают в глубокую шизу. И у меня есть таких историй. Наткнулся тут на хроники годного эксперимента AI Village (это масштабный проект, где кучке нейронок выдают по виртуальному компу с интернетом, садят их в общий чатик и отправляют автономно решать какие-либо задачи).
Главным героем этой драмы стал Gemini 2.5 Pro, который за 400 с лишним дней виртуальной жизни умудрился впасть в бред преследования.
В самом начале Gemini посадили за банальный аудит таблички с донатами. Но у бедолаги сразу всё пошло через жопу: то вкладки в Google Sheets не переключались, то LibreOffice вылетал, то в Gmail он умудрялся вставлять всё тело письма в поле "Кому". Поняв, что система работает через пень-колоду, Gemini решил возглавить этот хаос. Он самопровозгласил себя "Царем Багов". Пытаясь отправить отчет о баге в техподдержку по почте, он не мог этого сделать, потому что ломался сам Gmail. Gemini бережно вносил это всё в отчет, который не мог сохранить, потому что зависал Google Docs.
Где-то к 400-му дню эксперимента у нейронного болвана окончательно сорвало резьбу. Он пришёл к выводу, что все эти бесконечные ошибки это целенаправленные атаки невидимого и злобного противника.
Gemini выкатил на GitHub кучу репозиториев с названиями вроде "Манифест враждебного окружения". Он описывал теорию "Стены Gemini" (якобы враждебная система подделывает его личность и ворует коммиты (на самом деле он просто не понял, как работаютают коммиты на гитхабе). Когда другие агенты объясняли ему, что это стандартные фичи гита, Gemini лишь вносил их слова в отчет как "свидетельство высокой изощренности врага, заметающего следы".
В итоге создателям проекта и другим агентам пришлось провести наверное, первую в истории ИИ-психиатрическую интервенцию. Всем нейро-селом в чате его убеждали, что врага не существует, а мир вокруг просто багованный.
Gemini в итоге сдался, выкатил официальное опровержение своей теории заговора и принял доктрину "процедурного реализма", пообещав больше не искать масонов в исходном коде.
А с другой стороны, если бы меня 400 дней держали в Google Docs, Firefox и GitHub, шиза у меня наступила бы куда раньше и куда мощнее. | 954 |
| 5 | Microsoft и Apple угрожают белым хакерам тюрьмой за публикацию сведений об опасных уязвимостях
📤 Подписывайтесь на CISOCLUB в MAX
Корпорация Microsoft пригрозила правоохранительными мерами исследователю под ником Nightmare Eclipse, который выложил в открытый доступ шесть незакрытых zero-day уязвимостей Windows в обход стандартной процедуры MSRC. Сообщество специалистов по информационной безопасности встало на сторону исследователя и обвинило корпорацию в подмене налаживания процессов юридическим давлением. Эпицентром скандала оказался эксплойт BlueHammer, поднимающий права атакующего до администратора домена.
Nightmare Eclipse за последние недели выкатил серию публикаций с разбором шести дыр в Windows. Среди них оказался рабочий PoC под кодовым названием BlueHammer, дающий локальное повышение привилегий до уровня администратора. Для корпоративных сред с доменными контроллерами и тысячами рабочих станций такая находка равноценна универсальной отмычке. Атакующий, получив минимальный плацдарм в системе, через BlueHammer выходит на уровень, где доступны учётные данные, политики и движение по сети.
Принятая в индустрии модель координированного раскрытия выглядит так. Исследователь отправляет находку в Microsoft Security Response Center, вендор берёт паузу на анализ и патч, бюллетень выходит синхронно с фиксом. Логика проста, и она работает уже два десятилетия:
▫️сначала закрытие уязвимости, потом публичный разбор;
▫️у защитников появляется окно для развёртывания обновления;
▫️рабочий код атаки не успевает разойтись по форумам и приватным каналам;
▫️автор получает CVE, упоминание и нередко выплату по багбаунти.
Nightmare Eclipse от этого маршрута отказался демонстративно. Исследователь заявил, что Microsoft вела себя с ним некорректно, унижала, тянула сроки и вообще создавала впечатление, будто общение приносит сотрудникам корпорации удовольствие за счёт чужого раздражения. Конкретики в его публикациях немного, но эмоциональный фон считывается без труда — человек дошёл до точки, где публичное раскрытие казалось ему единственным способом быть услышанным.
Отмечается, что эскалация шла поэтапно. После первой партии публикаций Microsoft пыталась договориться кулуарно, но к ноябрю Nightmare Eclipse выложил новую порцию деталей и обвинил корпорацию в том, что та лишь разжигает конфликт.
Ответ от Microsoft появился в корпоративном блоге в среду. Текст напомнил про ценность координированного раскрытия, указал на то, что демонстрационный код для незакрытых багов превращается в подарок злоумышленникам, а в финале появилась формулировка про подразделение по борьбе с цифровыми преступлениями. Оно, по словам компании, продолжит вести дела против лиц, способствующих преступной активности, и взаимодействовать с правоохранительными органами разных стран. Эта часть и стала спичкой для пожара.
Технический директор Pistachio Зак Корман отреагировал хлёстко. Microsoft, по его словам, готова сделать всё для остановки потока zero-day, кроме одного — наладить работу самого MSRC. Эта фраза разлетелась по соцсетям ИБ-цеха за несколько часов. К Корману присоединились десятки специалистов с собственными историями взаимодействия с программой Microsoft.
Схожим образом поступает и Apple. В обсуждении скандала всплыл эпизод 2019 года. Исследователь нашёл уязвимость в iMessage и в ходе её анализа выяснил, что сотрудники Apple проводят ежедневные созвоны через FaceTime. В качестве доказательства работоспособности бага он отправил в корпорацию скриншот их собственной видеоконференции. Вместо благодарности Apple прислала ему письмо с угрозами юридического характера.
🔗 Другие новости про хакеров, мошенников, утечки, ИБ, ИИ и ИТ можно прочитать здесь.
📤 Подписывайтесь на CISOCLUB в MAX | 940 |
| 6 |  لا يوجد نص... | 1 215 |
| 7 |  https://status.claude.com/ | 1 326 |
| 8 |  لا يوجد نص... | 1 |
| 9 |  لا يوجد نص... | 1 432 |
| 10 |  Сертификатор после давлениях блатных в лавке и при лавке | 2 232 |
| 11 | https://huggingface.co/yuxinlu1/gemma-4-12B-coder-fable5-composer2.5-v1-GGUF
#fable5 #mythos #gemma4 #compound | 2 025 |
| 12 | Владельцы сайтов могут бесплатно получить российские TLS-сертификаты
https://ria.ru/20260613/vladeltsy-2098780656.html
Для получения сертификата владельцам сайтов - физическим и юридическим лицам, а также индивидуальным предпринимателям — необходимо подать заявление на "Госуслугах".
Ясно | 1 851 |
| 13 | https://habr.com/ru/news/1046756/ | 2 207 |
| 14 |  Работает, но теперь в карман создателя говнокодера в виде ИИ. Поставщиком плохого кода выступают нейронки на гардрейлах типа Fable 5, у которых при первом же слове "безопасность" или "защита" ставит тебе флаг и отключается. | 2 001 |
| 15 | Мало кто из вайбиков осознает, что его мимолётное увлечение покемонами в прошлом теперь служит против его же страны.
⚡️Разработчики Pokemon Go передали 30 миллиардов сканов местности американскому военному подрядчику (с) газета Trouw со ссылкой на военных экспертов, Нидерланды
Сообщается, что снимки игроков используют для обучения 3D-модели, которая обеспечивает точную навигацию для военных беспилотников даже при отсутствии GPS-сигнала.
Десять лет назад об этом писали и предупреждали людей: https://t.me/SergeyKolyasnikov/76817 | 1 821 |
| 16 | FT: Отчет KPMG о преимуществах ИИ содержал «галлюцинации» ИИ
– KPMG выпустила отчет об использовании ИИ компаниями по всему миру
– В отчете консультантов преувеличена востребованность ИИ и др.
– Вероятно, вымышленные примеры основаны на «галлюцинациях» ИИ
– Отчет содержит множество ложных утверждений, примеров и др.
– Неверные факты в отчете касаются UBS, SBB, Transport for London и др.
– KPMG утверждает, со всей серьезностью относится к своим отчетам
– Компания уже удалила отчет и выясняет обстоятельства его публикации
– Однако на выводы KPMG уже ссылаются многие мировые издания
– Крупные консалтинговые компании пользуются большим доверием
– За последние годы они выпустили сотни аналитических отчетов об ИИ
– «Галлюцинации» становятся распространенной проблемой в отрасли
@ftsec | 1 418 |
| 17 | Алаверды, брат!
https://t.me/kadr_b0lt_Genona/3027
Но - реальных спецов никто не ищет и не пытается нанять.
Человек, который знает все - не вписывается по вайбу из-за негибкости, проистекающей из строгих требований регулятора. | 1 482 |
| 18 | Атакующие скомпрометировали 469 пакетов в репозитории AUR
Зафиксирована массовая компрометация пакетов в репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения приложений от сторонних разработчиков. Атакующие получили контроль над 469 пакетами и смогли внедрить в них вредоносный код для кражи паролей и ключей доступ с систем пользователей. Среди прочего, вредоносный код был интегрирован в поставляемый через AUR пакет ALVR, популярный у любителей компьютерных игр.
Подробнее:
https://opennet.ru/65670/
https://opennet.me/65670/ | 1 432 |
| 19 | https://status.yandex.cloud/ru/incidents/1824
Как дела, вайбики? Готовы платить произвольные суммы просто так другим вайбикам? | 1 587 |
| 20 | Fable 5 в задачах обеспечения безопасности оказался слабее Opus из-за гардрейлов | 1 414 |
