Технологический Болт Генона

Платформа для партнеров MAX стала доступна самозанятым https://vk.company/ru/press/releases/12335/

Присоединившиеся к платформе предприниматели получают возможность создать собственный публичный канал и привлекать аудиторию, автоматизировать работу с клиентами с помощью чат-ботов, а также запустить мини-приложение для удобства клиентов.

🚨BGP Hijack Телеграмма 🇮🇳 AS18101 (RELIANCE) анонсирует префиксы AS-ок принадлежащих Telegram (🇻🇬 AS62041, 🇻🇬 AS62041, 🇻🇬 AS211157, 🇻🇬 AS44907). Вероятно для "локальной" блокировки, дабы предотвратить утечку ответов на экзаменационные вопросы.. Распространение идет через провайдеров AS18101: 🇮🇳 AS4755 (TATA), 🇮🇳 AS9583 (SIFY), 🇬🇧AS15412 (FLAG Telecom).

Помните историю, как Даниэль Стенберг (автор cURL), сгорел от нейрохрючева, которое пытались на h1 скормить как отчёты об уязвимостях? https://t.me/tech_b0lt_Genona/5314 Потом они прекратили выплаты, чтобы уменьшить поток https://t.me/tech_b0lt_Genona/6066 , но это видимо не сильно помогло и в продолжении этой темы, Даниэль сказал, что с 1 июля закрывает до 3 августа приём отчётов, чтобы реально отдохнуть curl summer of bliss https://daniel.haxx.se/blog/2026/06/15/curl-summer-of-bliss/ Также предлагает присоединиться остальным

You too? If you and your Open Source projects also want to participate in the summer of bliss 2026: just do it and let us know! I would of course encourage you to do so. To take care of yourself as a top priority. The bad guys won’t rest Probably not. But we will.

А свежий релиз будет перенсён на сентябрь В целом, я его понимаю. cURL/libcurl это одна из "скреп" интернетов и сложно представить что происходит реально со всеми этими отчётами и багами коих, я уверен, количество немалое. Но по ленте на h1 видно, что всё равно там движухи много, не смотря на отсутствующие выплаты https://hackerone.com/curl ЗЫ Платная поддержка никуда не девается и не приостанавливается

В США хотят запретить одноразовые телефоны SIM-карты будут привязаны к ID Американская Федеральная комиссия по связи (FCC) предложила ввести новые правила идентификации клиентов операторов. Согласно этой инициативе операторы связи должны будут собирать и верифицировать персональные данные абонентов, включая имя, адрес и удостоверение личности каждого нового или продлевающего контракт абонента. В результате США станет таким же рынком, как все остальные: в мире осталось не так много стран, где можно купить анонимную SIM-карту, везде требуют паспорт.   В фильмах и сериалах нередко можно встретить ситуацию, когда полиция или ФБР не могут определить личность звонящего и говорят: «он использовал одноразовый телефон». Такой термин прижился в первую очередь потому, что традиционно в США продаются не SIM-карты, а мобильные телефоны с SIM-картой в комплекте. Это удобно: купил телефон, вытащил его из коробки и сразу начинаешь пользоваться. Особенно удобно это для преступников, которым важна конфиденциальность и которые нередко просто выбрасывают телефон после первого же звонка. Вот и прозвали такие телефоны одноразовыми.   Корни этого явления лежат в эпохе кнопочных телефонов: для личного пользования абонент обычно оформлял контракт на пару лет, а телефон (позже и смартфон) он получал в комплекте, платежи за него вшивались в абонентскую плату. Это уже после того, как Джон Легер навел суету с T-Mobile и стал призывать всех приходить с собственными SIM-картами, рынок стал меняться. Но одноразовые кнопочные телефоны никуда не делись. Борьба с ними оправдывается вполне обыденно борьбой с мошенничеством. Для россиян эта инициатива может иметь свои последствия. Для регистрации на зарубежных сервисах иногда требуется мобильный номер другой страны, а потому сформировался рынок аренды номеров, которым многие в России пользуются. Новые правила может и не уничтожат этот рынок, но точно усложнит процесс аренды и увеличит стоимость услуги. Такие площадки часто строят фермы из американских предоплаченных сим-карт или арендуют пулы у местных VoIP-провайдеров, которые если и проводят проверку клиентов, то без особого энтузиазма. Если же регулятор заставит поставщиков связи отвечать за своих абонентов, скупать номера станет рискованно.

Владельцы сайтов могут бесплатно получить российские TLS-сертификаты https://ria.ru/20260613/vladeltsy-2098780656.html

Для получения сертификата владельцам сайтов - физическим и юридическим лицам, а также индивидуальным предпринимателям — необходимо подать заявление на "Госуслугах".

Ясно

Возможно, кто-то посчитает, что я наркоман, но, кажется, гипотеза взлетела. Мне удалось без модификации кода Cilium расширить его сетевую модель так, что поверх SRv6 появился VRF-идентификатор, а вместе с ним — поддержка overlapping-сетей. Что получилось: 1. Cilium можно расширять, не правя сам Cilium. 2. Удалось собрать тенантированную сеть по смыслу близкую к kube-ovn: полноценная VPC-модель с изоляцией, своими сетями и своим контекстом маршрутизации. 3. Политику Cilium по непересечению адресов можно обойти архитектурно. В результате разные VPC могут иметь пересекающиеся CIDR и при этом оставаться изолированными. 4. Трафик без особых доработок нативно виден в Hubble. 5. С малыми доработками Hubble можно научить обогащать трейсы полезным контекстом: vpcID, subnetID, nicID и другими идентификаторами. 6. Вишенка на торте — нативные сетевые политики на базе CiliumNetworkPolicy и CiliumIdentity продолжают работать в этой модели. По сути, Cilium можно использовать не только как CNI/eBPF dataplane, а как основу для полноценной multi-tenant VPC-сети внутри Kubernetes. Самое интересное здесь не SRv6 само по себе, а то, что получилось совместить: — изоляцию VPC; — overlapping CIDR; — наблюдаемость через Hubble; — сетевые политики Cilium; — расширение без форка Cilium. Дальше нужно нормально упаковать это в понятную архитектуру, описать ограничения и прогнать больше edge-case’ов. Но как инженерная гипотеза — выглядит очень вкусно.

https://t.me/ixbtnocomments/3013 Когда играл в GeoIP и проиграл

Список отозванных сертификатов НСПК прилетело, а это всех задеть может

👮 Правительство США осознало мощь новых нейросетей Fable 5 и Mythos 5 и запретило давать к ним доступ любым иностранным гражданам (даже собственным сотрудникам). Политика снова победила инженерию, добро пожаловать в эру Цифрового Феодализма... уже сегодня 😭

Модели класса Mythos обладают беспрецедентными возможностями в сфере кибербезопасности. Они способны автономно находить сложные уязвимости в критическом софте, операционных системах и браузерах.

На данный момент Anthropic пытается оспорить решение регулятора и ведет переговоры, чтобы вернуть модели в доступ. Типичный 🥸 Сисадмин

"Домино" посыпалось дальше (https://t.me/tech_b0lt_Genona/6615) Японский GlobalSign начал отзыв «цифровых паспортов» российских сайтов https://www.rbc.ru/technology_and_media/13/06/2026/6a2d12da9a7947f7d5334aa0

Один из крупнейших глобальных центров сертификации начал отзывать сертификаты безопасности российских сайтов. Под угрозой до 20 тыс. сайтов, говорят эксперты: зарубежные браузеры могут признать их небезопасными В письме Рыжикова говорится, что Международный консорциум CA/Browser Forum (глобальный регулятор, в который входят все крупнейшие центры сертификации мира и разработчики браузеров — Google, Apple, Microsoft, Mozilla — и который устанавливает единые правила выпуска и отзыва цифровых сертификатов) утвердил обновленные требования к проверке организаций. «К нашему глубокому сожалению, текущие жесткие регламенты этого консорциума напрямую подразумевают исполнение международных санкционных ограничений, — указано в письме. ... Цаплин также отметил, что единого решения, которое закрыло бы все задачи бизнеса, сегодня нет. Сертификаты Минцифры устойчивы к санкциям, но не признаются зарубежными браузерами; переход на центры сертификации из Китая или СНГ кратно дороже и не страхует от аналогичных отзывов; использование Let's Encrypt через зарубежные прокси-серверы несет слишком высокие регуляторные риски. Главным итогом, по его мнению, станет «окончательное исчезновение бесшовного Рунета» — бизнесу придется либо разделить инфраструктуру на внутренний и внешний контуры, либо смириться с блокировками для части аудитории

И ещё один наброс ночных мыслей, пишите в ЛС или комменты, если поправить хотите, но в моей голове хронология выглядит "ровной" То что мы наблюдаем со всеми этими сертификатами это "эффект домино" как по мне, а главным триггером стало вот это событие от 01.04.2026 Операторы связи РФ отключили пополнение Apple ID с мобильных телефонов https://habr.com/ru/news/1017762/ Т.е. Apple игнорил санкции пока получал бабки. Цифр я не знаю, но думаю что достаточные. Как только это отключили, то Apple стало бессмысленно репутацию себе портить в глазах западных, денег даже теперь не получить и бюрократия сделав оборот 3 июня 2026 года (2 месяца, ага) делает ответный шаг Apple удалили Макс из стора и таким образом Макс привлёк к себе внимание со стороны остальных компаний (даже если и знали, но ничего не делали) Отозвали у Макса GlobalSign сертификат ВНЕЗАПНО 1!1!! увидев проблему Прыжок Макса на Let's Encrypt привлёк внимание к LE в свою очередь, по сути став триггером для пересмотра и внимания к остальным компаниям из РФ, в первую очередь подсанкционных и "околосанкционных. Т.е. теперь непонятно откуда и кому ловить следующую "подачу", именно с этим и связана суматоха https://t.me/tech_b0lt_Genona/6614 Выглядит так, что все всё знали, но в среднем ждали кто из больших первым начнёт что-то делать реально. И вот этим первым стала Apple.

> По банкам/эквайрингам пошла волна шевеления, просят ставить клиентов сертификаты от Минцифры и следить за происходящим https://t.me/tech_b0lt_Genona/6613 Ко мне в личку пришли три человека и подтвердили, что вместо того чтобы жарить шашлыки ебутся с инфрой и всем остальным. Я тян, пруфов не будет

Важно. Один из самых популярных западных SSL-провайдеров включил в устав соблюдение санкций. Речь про Let's Encrypt. Если у вас certbotом выпущенные сертификаты, это они. Есть риск массового отзыва сертификатов у российских сайтов в ночь с 12 на 13 июня. По банкам/эквайрингам пошла волна шевеления, просят ставить клиентов сертификаты от Минцифры и следить за происходящим. Критично для тех, кто принимает платежи, эквайринги уже разослали предупреждения. Источник на рынке:

Есть несколько сценариев. В первом – рынок ничего не почуствует, просто сменится провайдер. Во втором возможен крупный сбой в 4 утра, на несколько часов. В третьем – полный переход на русские сертификаты, а к нему никто не готов. Шансы первых двух одинаковы, третий – маловероятно.

В дополнение к предыдущему посту (https://t.me/tech_b0lt_Genona/6611) про Let's Encrypt и Макс Во-первых ко мне в личку пришли сразу две пресс-службы. Одна из Макса, а другая из ВК и попросили опубликовать официальный текст. Мне несложно

В Мах действуют и будут действовать все необходимые сертификаты для обеспечения безопасного соединения в соответствии с мировыми стандартами.

Попросил больше технических подробностей, обещали принести как будут обновления. Во-вторых подписчик принёс ссылку на обсуждение Why issue certificate for max.ru forbidden by policy? https://community.letsencrypt.org/t/why-issue-certificate-for-max-ru-forbidden-by-policy/248143 Обсуждение создал некий ilya1984 🌝

❗️Мессенджеру MAX не продлят сертификат от Let's Encrypt после 4 сентября Пресс-служба американского центра сертификации Let's Encrypt заявила, что не будет продлевать сертификат национальному мессенджеру. Напомним, 6 июня бельгийский центр сертификации GlobalSign лишил max.ru сертификата. В тот же день разработчики национального мессенджера выпустили себе сертификат от Let's Encrypt. Как мы писали ранее, он выдаётся автоматически без строгой модерации сроком на 90 дней. Наш подписчик отправил запрос компании Let's Encrypt, и те любезно ответили, что продлевать сертификат «Максу» они не будут. Более того, в компании сказали, что именно после его письма, они обратили внимание на то, что ими был выдан сертификат домену подсанкционной организации. Хотя совсем на днях в политике конфиденциальности Lets Encrypt появился пункт об отказе таковым компаниям в выдаче TLS-сертификатом. Редакция «Шифровальни» убедилась в подлинности письма, подписчик предоставил все необходимые доказательства. Получается, очередной сертификат у «Макса» будет отозван 4 сентября. Если разработчики не найдут какой-то другой сертификат, то установить безопасное по международным меркам соединение с доменом max.ru через любой популярный во всём мире браузер будет невозможно. Напомним, что сейчас скачать MAX через AppStore «яблочники» не могут. Поэтому разработчики добавили мобильную веб-версию и даже изменили авторизацию. Пользоваться ей хоть с каким-то TLS-сертификатом можно будет только через «Яндекс.Браузер» или «Атом» — они поддерживают сертификат от Минцифры РФ. Соединение через любой другой браузер можно будет перехватить, перенаправить или заменить содержание страницы. @shifrovalnya

Что она несет? Поясните, че за бред несет Наталья Касперская и Дима Лазаренко? По пунктам: 1) С каких пор Tensorflow и PyTorch стали нейросетями? Wat? 2) Tensorflow и PyTorch являются открытым ПО под пермиссивными лицензиями. Tensorflow это Apache License 2.0, PyTorch это BSD-3-Clause. Они приналежат всему человечеству и не являются "российскими" или "нероссийскими". Любой человек, у которого в руках есть исходник Tensorflow, теперь его хозяин. Это суть и определения OpenSource от OpenSource Initiative, и определения Free Software от Free Software Foundation. 3) Как веса нейросети (отчуждаемый артефакт) зависят от геолокации железа? Железо можно купить у Китая (Huawei Ascend), можно доставить серым флотом, просто подключиться к уаленному облаку, что угодно. DeepSeek по слухам был дистиллирован из ChatGPT, это не потребовало всех ресурсов железа в мире. 4) Так-то и американские процессоры Intel делаются поверх нидерландской литографии ASML, на вполне себе тайваньском TSMC, ARM/RISC-V - архитектуры британского по происхождения. От этого менее американскими процессоры Intel они не становятся. И никто не говорит "Intel - это нидерландская литография", это было бы абсурдом. Чё за дичь у них там происходит? Они вообще в курсе, что слова имеют вполне определенное значение, их нельзя в произвольном порядке объединять в предложения?

🆕Статистика по сертификатам безопасности за 5 месяцев 2026 года Статистика по используемым TLS-сертификатам в доменной зоне .RU, которая нужна перед следующим постом. Всего действующих сертификатов - 2 214 614, подавляющее большинство от Let's Encrypt - 92,16 %. 🔹Let's Encrypt R13 - 873 218 шт. (39,43 %) 🔹Let's Encrypt R12 - 871 723 шт. (39,36 %) 🔹Let's Encrypt E7 - 148 178 шт. (6,69 %) 🔹Let's Encrypt E8 - 147 884 шт. (6,68 %) 🔹WE1 Google Trust Services - 131 402 шт. (5,93 %) 🔹GlobalSign R3 - 28 983 шт. (1,31 %) 🔹Иные (в т.ч. НУЦ) - 13 226 шт. (0,60 %) По сроку действия сертификатов: 🔹3 мес. - 2 173 973 шт.  (98,16 %) 🔹13 мес. - 28 984 шт. (1,31 %) 🔹6 мес. - 6 692 шт. (0,30 %) 🔹7 мес. - 3 471 шт. (0,16 %) 🔹12 мес. - 1 424 шт. (0,06 %) 🔹Иные - 66 шт. (0,01%) Количество действующих TLS-сертификатов от национального УЦ ("отечественный RSA") за 5 месяцев увеличилось с 5276 до 6050 шт. и составляет 0,26%, ранее было снижение с 5410 шт. до 5276 шт. Источники - Интернет-ресурс «Домены России», CTlog

Подсказывают, что и участники уже не нужны на конференциях. Оплачиваем конфу и отправляем AI-агента на нее Еще бы ИИ сам платил за себя... 👀@ever_secure | 💪 Обучене | 💳Поддержать

Еще немного ворчания. Опять столкнулась с тем, что фидбэк на доклад от программного комитета выглядит нейроночным и человек, присланные спикером материалы, явно не читал. Я, конечно, все понимаю, раз код ревьювить можно, то должно быть можно и доклады. Но вообще нет, не понимаю. Если ПК конференции ревьюит доклады ИИ, то а) нафиг такой ПК, зачем это лицемерие б) я понижаю рейтинг конференции в целом и перестаю считать, что кто-то несет ответственность за качество программы 🤷‍♀️ И мало того буду кулуарно высказывать это мнение и нести его в сообщество 😡