Сообщество Программистов

❗️В видео было странное поведение lru_cache, поэтому я продолжил тесты, и нашел ответ. Написал небольшую статью, где показал все мои тесты с этой технологией, поэтому советую прочитать. P.S Спасибо всем, кто оставлял комментарии, это стало мотивацией для продолжения тестов 🐍

Сейчас посмотрел, и понял, что обновлений этого софта не было с прошлого года 😱 Поэтому хочу поздравить всех с наступающим или уже наступившим новым годом, желаю чтобы в этом году вы добились всех своих целей, прокачались во всех нужных вам направлениях, и чтобы 2023 год, был именно тем годом, который всё изменит. Желаю вам приятно провести праздники, всех обнял ☺️

С этого момента можете называть меня "хакером" 😁😎

☃️ Также напоминаю, что до конца декабря в честь нового года, — действует скидка на курс "Python ООП - С нуля до Профи". Сейчас записаться можно в 2 раза дешевле и получить в подарок приват канал и приват чат, то есть после покупки помимо курса вы получаете еще 2 канала с постоянными обновлениями. Почему именно этот курс? 1. Можно проходить в любое время 2. Я лично отвечаю на все вопросы и помогаю разобраться с материалом 3. Все каналы будут постоянно обновляться, вы покупаете доступ к источнику, который будет всегда расти и развиваться 4. Приват канал с инструментами, статьями, приватными видео и мини-курсами также идет в подарок 🎁 Первые 20 человек, которые оставят заявку, получат дополнительный бонус Оставить заявку

🐧 Президент Microsoft Брэд Смит заявил, что компания намерена полностью сократить свой бизнес в России По словам предпринимателя, корпорация будет сворачивать деятельность до тех пор, «пока ничего не останется» Возможно вы спросите, к чему я это пишу? Я не смог удержаться и еще раз не пошутить про линукс. На это заявление я смотрю со стороны пользователя, и четко вижу минусы централизованных систем. Если компания захочет, они смогут сделать что угодно с любыми вашими данными, и это касается всех пользователей, которые используют эту систему Я не призываю никого переходить на Linux, это ваше решение, но просто сравните подходы этих систем, и подумайте, где больше свободы?

☝️Небольшое дополнение к посту выше Также стоит понимать, что подобные проекты делают для какой-то выгоды Это либо кража ваших данных, либо шифрование, либо их перехват. Иногда даже в обфусцированных проектах и даже в готовых DLL можно найти импорты библиотек, которые позволяют это сделать К примеру, как понять что обфусцированный код будет воровать пароли? Если вы нашли в коде импорты библиотек для работы с FTP, SMTP, для работы с базами SQLite или для дешифровки локальных баз данных. И чаще всего, если посмотреть на то, какие библиотеки импортирует проект, то даже по самим библиотекам уже можно понять, что этот проект собрался делать Если вы открыли обфусцированный проект, и видите:

import smtplib
import pynput
from win32crypt import CryptUnprotectData

Это хорошо? 👍 - Да 😁 - Нет

😈 Как обнаружить вредоносный пакет PyPi Способы заразить машину: 1. Скачать и запустить файл (DLL в том числе) 2. Выполнить системную команду 3. Выполнить вредоносный код на текущем языке Какие моменты должны вызывать подозрение: 1. Любые системные команды для связи с удаленным пк или данными текущего пк 2. Попытки скачать любой файл системными командами или через код 3. Если либа практически пустая, но вся логика лежит в DLL 4. Если код обфусцирован, зашифрован или даже закодирован в base64. Та хоть это шифр Цезаря, это не имеет значения. Скрывают данные не прикола ради Так нашли инфостиллеры, ворующие пароли и системную информацию. Атака начинается с копирования существующих популярных библиотек и внедрения вредоносного оператора «__import__» в кодовую базу пакета В итоге либа выглядит 1в1 как оригинал, но во время взаимодействия, запускает вредоносный код. Пример таких "библиотек" вы можете наблюдать на изображении поста, я думаю тут и не надо объяснять что запускать такое это смерти подобно 💀

😈 Как обнаружить вредоносный пакет PyPi Способы заразить машину: 1. Скачать и запустить файл (DLL в том числе) 2. Выполнить системную команду 3. Выполнить вредоносный код на текущем языке Какие моменты должны вызывать подозрение: 1. Любые системные команды для связи с удаленным пк или данными текущего пк 2. Попытки скачать любой файл системными командами или через код 3. Если либа практически пустая, но вся логика в DLL, стоит задуматься прежде чем запускать такое 4. Если код обфусцирован, зашифрован или даже закодирован в base64. Та хоть это шифр Цезаря, это не имеет значения. Скрывают данные не прикола ради Так нашли инфостиллеры, ворующие пароли и прочую информацию с пк. Атака начинается с копирования существующих популярных библиотек и внедрения вредоносного оператора «__import__» в исправную кодовую базу пакета В итоге либа выглядит 1в1 как оригинал, но во время взаимодействия, запускает вредоносный код. На изображении поста вы можете наблюдать такого рода "библиотеку", я думаю тут и не надо объяснять что запускать такое это смерти подобно 💀

Не можете найти замену Slack ? 📱 Compass - лучшее приложение для работы и общения с командой 👥 ✔️Отдельное рабочее пространство для команды ✔️Группы и личные диалоги ✔️Треды ✔️Реакции, упоминания и голосовые сообщения ✔️Видеозвонки ✔️Профиль сотрудника Первые 30 дней БЕСПЛАТНО Попробовать без подписки и банковской карты 👆

В PyPi обнаружили вредоносные библиотеки Библиотеки имитировали популярные пакеты и носили очень похожие на них имена, чтобы пользователь мог не заметить разницы. К примеру, под фреймфорк Django маскировались diango, djago, dajngo и djanga. Авторы подделок внедряли в свои проекты вредоносный код, который собирал информацию о зараженной машине и окружении, некоторые библиотеки открывали реверс шелл для удаленного управления. В настоящее время все проблемные библиотеки уже исключены из репозитория. В пакете colourama(имитация colorama) нашли код, который следит за буфером обмена, и меняет криптовалютные кошельки на собственные. По информации сервиса PyPI Stats, библиотеку colourama успели скачать всего 54 пользователя. Другими словами, colourama явно не принесла своим разработчикам финансового успеха. Не все так безопасно как казалось, поэтому прежде чем устанавливать рандомную библиотеку, стоит хотя бы один раз пробежаться по коду.

Цифровая подпись в Python HMAC можно использовать для проверки целостности данных, заранее сгенерировать готовые подписи, и далее при получении файлов или ответов от клиента, сравнивать эти подписи Тем самым мы можем убедиться в целостности данных, и в том, что их не подменили во время передачи, ведь если изменить хотя бы 1 байт информации, хеш подписи будет совершенно другой

Значение возвращаемое time.time() основано на системном времени и напрямую зависит от него, поэтому замерять время выполнения кода не совсем удачная идея, если системное время может изменится Этого можно избежать используя monotonic() из time. Последовательные вызовы возвращают только возрастающие значения, и они не могут быть ниже предыдущего вызова Для монотонных часов начало отсчета не определено, поэтому вычисления с ними полезны только с использованием start и end В данном примере они используются для измерения паузы программы, но вы также можете измерять время выполнения определенных участков кода и заменять их на более быстрые реализации

На всякий случай напоминаю, что осталось 2 дня до повышения цены на курс "Python ООП - С нуля до Профи" Что изменилось с момента публикации этого поста: - В приват канал добавлено 12 новых технологий - Идет разработка приватного телеграмм бота для всех участников канала, где будут приходить обновления курса, домашние задания, фишки с кодом и много других полезных вещей - Идет подготовка чата для всех участников приват канала, где мы сможем обсуждать различные технологии - После публикации технологий пойдет цикл видео и прочего материала с более детальным обзором - Около 30 технологий подготавливаются для публикации в приват канал После 28 октября как и обещал, цена вырастает ровно в 2 раза, поэтому если вы заинтересованы получить доступ в каналы, то сейчас лучшее время это сделать Более подробно о курсе говорил тут Записаться можно на сайте: https://www.zproger-school.com/