Блог*

#game #meme

😒

На созвоне по работе на новом проекте сказали: "Давайте представимся, чтобы лучше понимать кто что делает. Я вот не знаю что делает Антон, но знаю, что его надо звать на все митинги". В общем, репутация сложилась крепкая. Работаем дальше.

#prog #rust #article Revisiting random number generation Автор сделал сайт для генерации случайных чисел, который работает на краудсорсинге. Сделал и забыл. А спустя несколько месяцев о сайте рассказали на lobste.rs, и из-за внезапно свалившегося трафика ему пришлось этот сайт чинить. Статья рассказывает о том, как это происходило

"An Architectural Approach to Level Design" — первая книга про связь архитектуры и левел-дизайна, которая попалась мне в руки ещё в 2014 году, и с тех пор я считаю её одной из важнейших работ в этой сфере. Почему? Потому что она не просто учит применять архитектурные принципы в геймдизайне, но и позволяет взглянуть на архитектуру через призму видеоигр. Левел-дизайн — это упрощённая модель архитектуры, где чётче видны её ключевые приёмы. Изучая, как пространство влияет на игрока, можно понять, какие элементы архитектуры действительно работают — и усилить их в реальном мире. Автор книги, архитектор и геймдизайнер Кристофер Тоттен, рассматривает игровые уровни не просто как фон для геймплея, а как архитектурные пространства, формирующие нарратив и эмоции. 🔷 Архитектура в левел-дизайне 💜Как исторические здания помогают создавать эффективные игровые уровни. 💜Что из планировки, зонирования и направляющих линий можно перенести в геймдизайн. 😒 Как пространство управляет вниманием 💜 Визуальные символы, цвет, освещение и текстуры как инструменты навигации. 💜 Как эмоции игрока формируются через композицию уровней. 🐶 Повествование через пространство 💜 Как архитектура рассказывает истории без слов. 💜 Методы нарративного дизайна в игровых мирах. 👋 Городская среда и социальные взаимодействия 💜 Применение принципов урбанистики в мультиплеерных картах. 💜 Как левел-дизайн формирует способы взаимодействия игроков. ❤️ Музыка и звук как часть левел-дизайна 💜Как ритм и аудиодизайн влияют на восприятие пространства. Тоттен объясняет базовые принципы проектирования, которые понятны и архитекторам, и геймдизайнерам. Это отличное чтение для всех, кто хочет глубже понять, как пространство влияет на восприятие человека — и в виртуальном, и в физическом мире. Но самое интересное — через левел-дизайн можно переосмыслить саму архитектуру. Это зеркало, в которое архитектура может заглянуть и увидеть в своём отражении что-то новое. Вся книга целиком доступна бесплатно в PDF по ссылке 🤓

#gamedev

#prog #python #suckassstory

добро пожаловать в питон, у нас в 2к25 до сих пор

Impossible

Кто скажет, что я выкладываю херню, тот будет абсолютно прав

Nokia: connecting people

the problem is that dbg!() expands to something like

match 42 { tmp => ..., }

where tmp now parses as a constant pattern instead of a variable binding

notably, this does not compile playground

Мой мозг словно гений, он покончил с собой в молодости и больше не работает.

Does bisexual mean "twice as sexual" or "once every other sexual"? 🧐

#vercheniye_academy

Subaru ImpressUs, или как открыть машину, зная только ее номер https://samcurry.net/hacking-subaru Прочитал недавно вышедший баг-репорт Сэма Карри - очень крутого баг-баунти хантера, который специализируется на поиске уязвимостей в компаниях-производителях автомобилей. Сэм рассказывает о том, как год назад купил маме Subaru Impreza нового поколения, к которой по умолчанию прилагается сервис “Starlink” - нет, не спутниковый интернет Маска, а всего лишь умная система управления машиной + ее отслеживания, что-то вроде Find My, но для машин. Оказалось, что зная номера машины, через эту систему ее можно отследить, открыть и угнать без шума. Как это часто бывает, самая опасная часть айти-системы - админка для сотрудников, так как защищена она бывает плохо (ну а кто зайдет), а возможностей там просто дохрена. Вот и в этой истории обнаружилось, что в админке крайне уязвимая апишка, если конкретнее - есть эндпоинт “resetPassword”, который ведет себя вот так:

POST /forgotPassword/resetPassword.json HTTP/1.1
Host: portal.prod.subarucs.com

{
  "email": "random@random.com",
  "password": "Example123!",
  "passwordConfirmation": "Example123!"
}

{
  "error": "Invalid email"
}

Дело за малым - нужно найти подходящий емейл сотрудника. Естественно, корп емейл у Субару, как практически у всех, имеет формат [first_initial][last]@subaru.com, так что достаточно найти ФИО любого сотрудника на линкдине. Но все-таки, не может же все быть так легко? И да, и нет. Для того, чтобы пользоваться функционалом админки после того, как мы вошли туда, сбросив пароль, надо также ввести 2FA - в данном случае, секретный вопрос, вроде “имя первой собаки”. бтв, ужасное решение, никогда не делайте так ) Но вскоре выяснилось, что функционал 2FA реализован… на фронте. То есть, просто закомментив на уже отрисованном сайте 1 строчку: //$(‘#securityQuestionModal').modal('show’);, можно спокойно пользоваться всем функционалом сайта. Итак, мы внутри админки. Что дальше? Начнем с того, что сотрудник имеет доступ к данным всех покупателей в США, Канаде и Японии (пиздец) - и ему доступен поиск по фио, телефону, и даже номерам машины. Как пишет Сэм, сложно сделать систему безопасной, если в ней предусмотрен такой уровень доступа для любого 18-ти летнего интерна в компании. Одна из возможностей сотрудника в админке - добавлять верифицированного пользователя в систему Starlink… без уведомления текущих оунеров и юзеров. Ни смс, ни письма на почту, вообще ничего! То есть, имея доступ в админку, я могу выдать себе доступ к вашей машине, а вы этого даже не узнаете. А из самой системы Старлинк, наконец, можно: - Удаленно заводить и останавливать, открывать, закрывать и отслеживать машину. А еще бибикать :) - Вытащить историю перемещений машины ЗА ПОСЛЕДНИЙ ГОД, размеченную по времени + с информацией о том, когда машину заводили и глушили. - Получить все персональные данные владельца, включая имена других авторизованных пользователей, домашний адрес и т д. Хотя кому нужен домашний адрес, когда есть годовая история всех перемещений… Дальше Сэм с коллегой сделали proof of concept, объединив все находки в одну консольную утилиту: вводишь номер машины, тебя редиректит на Starlink с полным доступом к машине. Посмотрите видео, это просто полный треш: https://youtu.be/0i8juy6RPBI. Заключение Если вы думаете, что такие приколы бывают только с Субару, то можете посмотреть на аналогичную историю с KIA, а также на открытую базу данных Volkswagen, в которой хранится история перемещения ВСЕХ машин марки, включая машины полицейских и сотрудников спецслужб. А еще советую всем интересующимся посмотреть выступление Сэма на DEFCON (он взломал все модемы очень крупного интернет-провайдера) и подкаст Critical Thinking с его участием: там он, например, рассказывает, к чему приводят его находки (его недавно арестовали на границе в аэропорту и обвинили в какой-то жести. но все хорошо закончилось).