Разработка ждёт балета

Кайф, SLAP и FLOP уязвимости в свежих Apple процессорах. Позволяют злоумышленникам без каких-либо привилегий удалённо читать интересную память. #apple #cybersec #vulnerability

Новая история из JS и NPM мира, но на этот раз вполне себе милая, без трэша. Автор рассказывает, как ему в голову пришла прекрасная идея сократить размер всех пакетов на ~5%, сохраняя обратную совместимость. Он довёл это всё до RFC и до обсуждений с мейнтейнерами NPM, после чего копнул глубже, детальнее разобрал трейдоффы, понял, что игра не стоит свеч и закрыл RFC. #js #compression #optimize

Можете быстро определить, какой из этих двух URLов легитимный, а какой ведет на фишинг-сайт? Подсказка: это не какой-то странный вид /, и не кириллическая буква вместо латинской. Правильный ответ: первый URL ведет на сайт v1271.zip (да, есть такие домены .zip), и передает ему юзернейм "https" и пароль "//github.com/..../refs/tags/". Впечатляет, в общем. Я это в теории знал, но на практике настолько хитро спрятанные примеры не встречал, кажется. Следите за @ в URLах, короче. И если вы скачиваете какой-то файл данных, а скачался .exe, не запускайте никогда. Надеюсь, что это хоть и без меня понимаете.

Замечательная история. Кандидату на собесе дали FizzBuzz, но с рядом ограничений. И сказали, что постепенно ограничения будут добавляться. Одним из запретов стало использование чисел и любых операций с числами. Но чел красава, решил всё чисто на системе типов TypeScript. #interview #ts #type

Тут чел рассуждает над governance в open source проектах. Мечтает, чтобы при создании репо наравне с выбором лицензии нам предлагали выбор управленческой модели. Ну и описывает ряд готовых подходов. #oss #community #repository

Ещё раз про "Don’t roll your own crypto". Автор показывает, что а) люди по-прежнему этим занимаются; б) строить какую-то свою конструкцию поверх надёжных библиотек, предоставляющих примитивы, - всё ещё является нарушением этого правила. #cryptography #cybersec

Этот пост читать смешно и больно. JS-чел пишет, что сортировка массивов на самом деле гораздо сложнее, чем кажется. А потом начинает упорно сортировать массив, в котором и числа, и строки. Месье знает толк в извращениях. #js #sorting

Кто тут помнит умные часы Pebble? У меня были как раз Pebble Time. Прикольные были девайсы, потом компанию купили, убив продукт. Так вот, часть сорцов ОС открыли, есть шанс, что часики возродятся. #watch #hardware

Ну и ещё про проблемы WASM: GC. Как только мы хотим перестать таскать с собой свой garbage collector и начать полагаться на WASM GC, оказывается, что линейная память была не так уж и плоха! #wasm #gc #memory

Вау, злоумышленники смогли и от вполне себе приличного номера гугла позвонить, и письма от google.com через эксплуатацию workspaces и g.co рассылать. Как страшно жить! #google #cybersec #vulnerability

У MasterCard много лет была весёлая опечатка в конфигурации DNS. "t" потерялось, и вместо "akam.net", получилось, что кто угодно может купить "akam.ne" (спойлер: кто-то несколько лет назад успешно покупал) и оттуда уже думать, куда это дальше раскручивать. #cybersec #vulnerability #dns

В WASM мы сами вольны решать, нужна нам 32-х битная память или 64-х битная. На первый взгляд может показаться, а почему вообще 32 оставили, весь мир давно на 64 же. Так вот оказалось, что браузеры просто автоматом выделают WASM модулям 4 гига памяти, чего как раз хватает на все 32 бита, после чего можно со спокойной совестью все проверки на выход за границы памяти дропать и радоваться скорости. А вот кто Memory64 себе включил, тот в цирке уже не смеётся - приходится платить за все честные проверки. #wasm #memory #browser

Тут чел детально прошёлся по своему опыту с Nix (и как с менеджером пакетов, и как с ОС). По итогу у него получается, что пользоваться можно, но разного рода проблемы поджидают за каждым углом, то есть нужно ну очень этого хотеть. #os #package #linux

Тут чуваки нормально так закусились. Один говорит, что Session - форк Signal - небезопасен, и не надо его использовать. На что разработчики Session в свою очередь отвечают, что неправ. Будем наблюдать. UPD: ответ ресёрчера на ответ команды. #cybersec #vulnerability #cryptography

Интересный кейс, как email скам эксплуатировал особенности PayPal и обходил Gmail защиты. #email #cybersec

Все, кто запускал в контейнерах что-то статически слинкованное, с радостью писал заветное FROM scratch. В посте собрали ряд моментов, которых в scratch нет и про которые нужно помнить. Ну и предлагают посмотреть на distroless в качестве альтернативы. #docker #build

Выпуск подкаста озаглавили в духе Zig vs. Go, но на деле там много разного интересного затрагивается. Фаундер HashiCorp и создатель Ghostty заглянул на огонёк, встречайте. #talk #go #zig

Чел нырнул в безумную сложность рисования текста, от простой загрузки глифов из файла, до нормального рендеринга разных хитрых шрифтов. #talk #font #rendering

Тут разбирают UX разных LEGO панелей, ну и поясняют на их примере, как подходят к дизайну всех этих сложных физических кнопок, крутилок и переключателей. #lego #ux #ui

Тут вот вполне разумная критика входа через magic link. Подход-то красивый и поначалу мне прямо нравился, но со временем практика показала, что всё это совсем не так удобно. #auth #login #email