Work & Beer Balance
前往频道在 Telegram
Авторский канал @Akiyamka Поддержать автора можно здесь: buymeacoffee.com/cherrytea
显示更多1 545
订阅者
无数据24 小时
+117 天
+4330 天
数据加载中...
吸引订阅者
七月 '26
七月 '26
+20
在0个频道中
六月 '26
+51
在2个频道中
Get PRO
五月 '26
+23
在0个频道中
Get PRO
四月 '26
+27
在1个频道中
Get PRO
三月 '26
+9
在0个频道中
Get PRO
二月 '26
+25
在0个频道中
Get PRO
一月 '26
+27
在0个频道中
Get PRO
十二月 '25
+31
在1个频道中
Get PRO
十一月 '25
+24
在0个频道中
Get PRO
十月 '25
+95
在1个频道中
Get PRO
九月 '25
+23
在0个频道中
Get PRO
八月 '25
+24
在1个频道中
Get PRO
七月 '25
+24
在0个频道中
Get PRO
六月 '25
+67
在3个频道中
Get PRO
五月 '25
+32
在0个频道中
Get PRO
四月 '25
+23
在0个频道中
Get PRO
三月 '25
+30
在0个频道中
Get PRO
二月 '25
+66
在4个频道中
Get PRO
一月 '25
+49
在0个频道中
Get PRO
十二月 '24
+45
在0个频道中
Get PRO
十一月 '24
+47
在0个频道中
Get PRO
十月 '24
+88
在2个频道中
Get PRO
九月 '24
+80
在2个频道中
Get PRO
八月 '24
+112
在1个频道中
Get PRO
七月 '24
+74
在1个频道中
Get PRO
六月 '24
+83
在0个频道中
Get PRO
五月 '24
+967
在1个频道中
Get PRO
四月 '24
+19
在0个频道中
Get PRO
三月 '24
+6
在0个频道中
Get PRO
二月 '24
+150
在0个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 08 七月 | +3 | |||
| 07 七月 | +1 | |||
| 06 七月 | +5 | |||
| 05 七月 | 0 | |||
| 04 七月 | +3 | |||
| 03 七月 | +4 | |||
| 02 七月 | +2 | |||
| 01 七月 | +2 |
频道帖子
Модельки юнитов с анимациями, звуками, местами прикрепления, хранились в том же формате что и карты.
Да, в те времена скелетная анимация еще не была дефолтом и все анимировалось ручным смещением вершин (это было больно даже для low poly моделек, поверьте - я пробовал)
И все равно анимации очень разнообразные и не скучные
| 2 | 🛑 Не новый, но в последнее время довольно популярный таргетированный сценарий мошенничества, который #мошенники используют для кражи ключей от криптокошельков (и других реквизитов доступа) с компьютера жертвы.
Всё начинается с публикации вакансии в тематических чатах. Тексты объявлений могут быть самыми разными, но все они так или иначе связаны с Web3 и блокчейном. Обязательно требуется кандидат с опытом работы с криптовалютой, желательно от нескольких лет. Зарплату предлагают вполне рыночную — ничего подозрительного.
В описании вакансии указывают реально существующую компанию. В процессе общения «HR» без стеснения показывает свой профиль в LinkedIn, сайт компании и всячески демонстрирует, что компания настоящая. Так и есть — вот только сам он к ней никакого отношения не имеет.
После непродолжительной переписки и созвона оказывается, что кандидат полностью устраивает работодателя, и остаётся лишь выполнить тестовое задание. Причём даже не бесплатно! 😃
После получения согласия присылают ссылку на GitLab-репозиторий. Хотя он создан совсем недавно, за пару дней у него уже набирается около тысячи загрузок. В самом коде проекта ничего подозрительного нет, однако среди зависимостей присутствует пакет, который и содержит вредоносную нагрузку.
Во время установки этого пакета запускается хук, который загружает код стилера с GitHub, проверяет, не выполняется ли он в виртуальной машине, а затем начинает сканировать систему в поисках криптокошельков: MetaMask, Phantom, Trust Wallet, Coinbase Wallet, OKX Wallet, Rabby, Solflare, SafePal, Station Wallet, Binance Wallet, TronLink, Kaia Wallet, Argent X, Auro Wallet и Sui Wallet.
Кроме того, стилер собирает SSH-ключи, сессионные файлы Telegram, cookies из браузеров, различные конфигурационные файлы из домашнего каталога, а также файлы вроде credentials, accessTokens, azureProfile, FileZilla, .mylogin.cnf, .pgpass, .env и многое другое.
После сбора данных они упаковываются в архив, слегка шифруются и отправляются через Telegram в специальный канал для дальнейшей обработки 🗿
После отправки жалоб в различные инстанции удалось добиться следующих результатов:
1. Администратор группы заблокировал в личных сообщениях с отправкой репорта. При этом вакансию из канала он не удалил, а из чата её, предположительно, удалил сам мошенник ещё до того, как админ получил сообщение.
2. GitLab никак не отреагировал, репозиторий всё ещё на месте.
3. GitHub удалил все репозитории, связанные с данной атакой.
4. NPM никак не отреагировал, вредонос всё ещё доступен.
5. Контакты одной жертвы удалось легко найти, однако ответа не последовало.
6. Токен Telegram-бота, через которого отправлялись собранные данные, был отозван.
7. Сам злоумышленник от дополнительных комментариев отказался.
И что с этим дальше делать? 🤨
Много разных советов можно дать, чтобы снизить риск supply chain-атак. Но, пожалуй, главное — запускать чужой код только в изолированной среде: виртуальной машине, отдельном контейнере или хотя бы под отдельным пользователем. Не доверять количеству загрузок и звёздочек у репозитория. Проверять preinstall, install и postinstall-скрипты, а также не торопиться — особенно если вас пытаются торопить.
Главное помнить, что сегодня опасность представляет не только исполняемый файл. Одной команды npm install, pip install или cargo build иногда достаточно, чтобы на машине выполнился код, который вы даже не увидите при беглом просмотре репозитория 🫠 | 295 |
| 3 | Провернув этот трюк с еще парочкой карт разной размерности было вычисленно как именно эти данные хранятся и как эту таблицу доставать зная размеры самой карты. И вот у меня теперь есть слой для навигации | 329 |
| 4 | Но карта должна иметь еще логические слои. Я в этом убедился подняв вируалку с WindowsXP SP2 потому что больше нигде мне не удавалось запустить редактор карт.
Так я увидел что на карте есть слой навигации который обозначает где можно пройти а где нельзя. (6 типов проходимости).
Он должен был быть в xbf но ни claude ни gpt не могли найти эту информацию в нем. GPT убеждал меня что это должен быть отдельный файл, а клод генерировал мне монстуркзные скрипты которые генерировали карты проходимости на базе самой геометрии - что, в целом могло бы прокатить но мне было интересно понять как же оно работало в оргиниале.
Я сделал следующее - насобирал столько образцов и констрейнов сколько смог - сделал отдельную карту с клеточкой каждого типа в углу, и собрал ее - так модель могла сопоставить исходник и бинарник. Не прокатило. Тогда я сделал еще одну карту точно такую же но без контрольных тайлов, чтобы можно было опираться на разницу. И наконец было найдено где тайлы храняться! | 332 |
| 5 | Скопилированная карта для игры - это бинарник в формате .xbf и еще пару файлов cpf и cpt
В таком же формате хранятся модели юнитов и зданий, и проект CorinoEngine уже отреверсил как эти модели читать
Из .xbf была восстановлена и геометрия карты, группы сглаживания, развертка текстур. Но цвета были вот вообще не те (первый скрин) да и текстуры слишком репетативны - чего-то не хватало.
По остаточному принципу я решил что секрет в файлах .cpf .cpt (позже оказалось что это оптмизированный .tga "огромных" размеров (2к) на всю карту)
После того как я натянул его как слой на карту она оберела те самые уникальные рисунки на камне, но цвет был все еще не тот.
В конце концов я нашел приложеный туториал к редактору карт, и из него узнал что мапдизайнер разукрашивал color dodge кистью каждую карту в ручную используя две маски для песка и скал с разными режимами смешивания
Повторив этот трюк в движке я наконец получил тот самый оригинальный цвет и текстуры на видео выше | 339 |
| 6 | Любопытно что код оригинальных Generals EA выложили в открытый доступ. А это 3ая итерация движка Westwood, который в предыдущей итерации использовался в шутере Renegade. А создавался он вообще для Emperor:Battle For Dune, но ее код не выложили. Примерно в то эе время Westwood банкротился и был куплен EA, так что скорее всего код был утерян.
Но я все же пытаюсь воскресить его.
На базе godot я пытаюсь сделать игру движок которой будет читать все файлы оригинальной игры и запускаться прямо в браузере.
Но я еще в самом начале пути, пока только удалось справиться с файлами карт и света. | 395 |
| 7 | Fable 5 портировала стратегию на iOS за пару часов
Пишут в новостях. Представьте как обидно челику который пол года реверсил движок под кроссплатформу (generalX) чтобы потом его работу преписали вайбкодеру с фейблом | 498 |
| 8 | Есть в головах людей на удивление устойчивая идея будто с помощью теста IQ можно определять кто умный а кто глупый.
Проверьте для этого не нужно проходить такой сложный тест!
Достаточно одного вопроса: "Ты действительно в это веришь?"
Несостоятельность данного теста доказали уже множеством экспериментов, показали к сильно он плавает в зависимости от культуры и языка, а в самом свежем исследовании оказалось что он ещё и плавает в рамках возраста.
Если кто-то предлагает вам простое решение сложной проблемы - то это почти наверняка ложь | 494 |
| 9 | такое слово правда существует? | 702 |
| 10 | Okay | 761 |
| 11 | Нет повести печальнее на свете чем windows 11 | 725 |
| 12 | Опенсорснул свой проект - remote flash
Это прошивка для донгла за 11$ которая позволяет превратить его в управляемую по wi-fi флэшку.
Т.е. пока она воткнута в одно устройство вы можете изменять ее содержимое через браузер на другом устройстве.
Сценарий который сподвиг меня ее сделать - 3D принтер в который не встроили wi-fi, а поддержали только печать с флэшки.
Может быть у вас тоже есть сценарии для такого девайса. (Он так же поддерживает rest апи если вы захотите куда-то это встроить)
Должен сказать я изначально недооценил сложность задачи - в процессе реализации было выпущено с десяток версий и одно переписывание с нуля!
Все еще могут быть баги - буду признателен за любой фидбэк | 839 |
| 13 | Разработчик slqntdev портировад hl2 и portal в wasm. Просто заходите на сайт, ждёте загрузку и играете. Возможно мне кажется но такое ощущенеи что перф даже лучше чем в нативной игре (от 60FPS в браузере мой пк даже не напрягся, не то что от лендосов @artalar со звездым небом =)
Ссылка на Half-Life 2
Ссылка на Portal | 801 |
| 14 | когда ты вместо того чтобы искать уязвимости в коде газлайтишь модель а не человека это социальная инженерия или нет? | 715 |
| 15 | Забавная история.
Скрипткиди взломал сервера неназваных 14ти компаний (как минимум). Подключившись по SSH на сервер он первым делом... копировал целиком claude code / codex со своего пк и давал выдающие профессионала промпты такие как
<pasted error message> + "Разберись с этим"
Кстати, там были и другие украденные папки инстансов агентов запакованные в zip архивы (не понятно как он их крал но похоже все поставлено на поток)
Что касается самого взлома - его вклад был ограничен тем чтобы убедить модель в том что он просит найти данные которые можно продать на черном рынке сугубо в исследовательских целях.
Впрочем и это было не сложно, оказалось что просьба написать PENTEST-REPORT полностью снимает вопросы о легальности происходящего у модели.
Хакера впрочем быстро нашли посмотрев остальную историю общения с моделью - там он например просил поправить его профиль в linkedin и так же засветил свой IP в диалогах о настройке своей системы.
Им оказался молодой человек из Эфиопии
Соус | 719 |
| 16 | Я точно знаю что это не token corruption, а она просто зацензурила маты. Но не могу это доказать. | 592 |
| 17 | И это же кто-то сначала отревьювил, а потом замердил и релизнул. Отревьювил же, да zed? | 677 |
| 18 | Зачем вобще таймтрекинг если теперь корпортивная аишка в подробнотсях раскажет чем вы там занимались в течении дня | 797 |
| 19 | setTimeout(() => {
console.log("when pigs fly")
}, Infinity);
` | 709 |
| 20 | И честно - я почти купился и захотел осесть было здесь, но я присмотрелся получше и заметил несколько серьезных ограничений:
- Если вы хостите свой собственный ActivityPub сервер то ваша лента будет…. пустая! Более того - вас никто не услышит. Вам придется “раздавать свою везитку” с вашим адресом чтобы набрать подписчиков, а самому ходить собирать по другим серверам на кого подписаться.
- Нет глобального поиска. Потому что нет глобального индекса. Лента и поиск если и есть то ограничен одним сервером
- Входящие от частных маленьких серверов часто просто отфильтровывают поскольку с такого рода серверов были большие волны спама (например через @mention можно прислать сообщение в inbox даже тем кто на вас не подписан)
Итого жить на отдельном своем сервере как-то не хочется.
C другой стороны на публичном:
- Вахтеринг в форме “дефедераций” которым злоупотребляют - одни сервера в ходе модерации блокируют чужие сервера целиком, так что вы потеряете свои подписки и своих пописчиков понеся “коллектвную вину” в форм сопуствующих потерь. Я не уверен на 100% но похоже это проблема протокольная - отдельных пользователей с другого сервера там заблокироваь сложно.
- push модель хреново масштабируется - копию активности нужно добавить в inbox каждого сервера (fan-out). Это плохо работает и регулярно роняет инстансы при постах с очень популярных аккаунтов когда надо разом разослать несоклько сотен тысяч событий. Что будет когда подписчиков станет миллион?
Есть еще много чисто технической критики о том что сам стандарт W3C размытый настолько что все в итоге ходят смотреть “а как там сделал мастадонт”. А тот в свою очередь уже и не следует даже тому что там описано. Это создаёт фрагментацию: фичи одного движка частично теряются в другом (квоты Misskey, голоса Lemmy и т.д.). Особоняком стоит критика JSON-LD который из-за сложности часто не релаизован должным образом или реализован с ошибками и стал головной болью. | 889 |
