Too Long, Did Read

Public

Просмотреть канал

Не можете присоединиться? @linksfromme

1.1k Участники

Обновлено: May 21, 2026 at 5:01 PM

Too Long, Did Read

Привет! Я - Тим: продакт, СТО-самоучка и стартапер (лол). Я читаю много нишевых статей про IT, безопасность и всякое другое - и в этом канале кратко пересказываю самые интересные из них. А еще я их пишу: https://timsh.org

Join @linksfromme for exclusive httpstimshorg content and discussions in 12

Рейтинг

Глобальный рейтинг

#456

Рейтинг по языку

#45

Рейтинг по категории

#23

-1

Рост участников (Сегодня)

Всего: 1.1K

Последние посты

Too Long, Did Read

21 мая 2026 г., 17:01

Страшилка про VPNы

Недавно ненадолго приезжал в Москву и прифигел от того, до чего техника дошла в плане блокировки контента.
Помимо того, что в России поблокировали кучу IP ranges разных облачных провайдеров, вроде Cloudflare, Digital Ocean и даже Hetzner, за последние пару лет большая часть существующих VPN-протоколов почти полностью перестали работать (особенно на LTE).
Очень рекомендую https://www.youtube.com/watch?v=2Vw-Am1rCoM, где про методы блокировок довольно подробно и интересно рассказывает директор фонда “Общество защиты интернета”.
Спойлер: почти все, что он там “предсказывал” про следующие протоколы, которые будут банить в РФ, за этот год уже произошло.

Большинство моих друзей в результате всего этого меняют VPNы раз в 1-2 месяца и держат сразу по несколько приложений одновременно на всякий случай.
В связи с этим решил повспоминать случаи, в которых разработчики VPNов умышленно или неумышленно (ага) подвергали пользователей разнообразным рискам, шпионили за ними и т д.

- Наверное, самый масштабный кейс с участием 150+ разных VPN-сервисов - https://www.justice.gov/archives/opa/pr/911-s5-botnet-dismantled-and-its-administrator-arrested-coordinated-international-operation, снесенный американскими спецслужбами в 2024.
Создатель ботнета на протяжении нескольких лет создавал и продвигал разные VPN-приложения “с сюрпризом” в App Store и Google Play и успел насобирать более 19 млн пользователей по всему миру и $99+ млн выручки.
Каждый девайс с установленным и включенным VPNом из этого набора превращался в зараженную ноду ботнета, который, в свою очередь, создатель сдавал в аренду разным киберпреступникам для организации DDoS-атак, фишингов и вымогательств.

- Уже про Onavo - VPN, который в 2013 году купил Facebook за астрономические на тот момент + для такого приложения $120 млн и продвигал его на главной фб как способ сидеть в интернете “безопаснее и дешевле”.
В ходе антимонопольного кейса против FB “случайно” обнаружилось, что вплоть до 2019 года фейсбук с помощью Onavo расшифровывал весь проходящий через VPN трафик на домены Snapchat, Amazon, Google…
https://haxrob.net/onavo-facebook-ssl-mitm-technical-analysis/
- В 2021 произошла https://www.kaspersky.co.uk/blog/supervpn-geckovpn-chatvopn-leak/22427/ трех популярных на тот момент VPNов: SuperVPN, GeckoVPN и ChatVPN.
Данные пользователей (емейлы, IMEI, пароли и прочее) выложили на один из даркнет-форумов и продавали всем желающим.
По слухам (чет не нашел железобетонных пруфов), разработчики оставили экспоузнутую базу данных с дефолтным логином/паролем, - так что и ломать особо ничего не пришлось.

Какие можно сделать выводы из подобных историй?

Во-первых, если VPN бесплатный, то он зарабатывает каким-то другим способом.
Если это “хороший” впн, то он показывает рекламу при заходе в приложение и очень сильно режет трафик, вымогая подписку.
Если ваш бесплатный впн этого не делает, работает без ограничений, смс, рекламы и т д - либо вы нашли святого VPN-провайдера, либо он монетизирует вас как-то иначе. И шансов узнать как именно у вас довольно мало.

Кстати, если впн платный - он может точно так же зарабатывать доп. деньги сливая данные или продавая вас как частичку ботнета - диверсификация revenue streams, так сказать.

Во-вторых, разработчик-вайбкодер, который запускает yet another VPN, мог и без всякого злого умысла оставить пару дырок для желающих угнать данные пользователей. А впн знает довольно много в сравнении с другими видами приложений.

Честно говоря, что со всем этим глобально делать я не знаю.
Я уже пару лет сижу только на собственноручно развернутом VPNе (в основном использую Tailscale, расскажу как-нибудь), но вот в последний приезд обнаружил, что на LTE он уже не работает (ну, точнее, на Билайне. хз может у других не так).

И даже моя “запасная” Amnesia с 10ю разными изощренными протоколами вроде X-Ray и Shadowsocks5 работала только на вайфае.
Видел, что люди покупают в тг ботах профили для Outline, вроде бы работает - но выглядит это все хуже и хуже.

Думаю (без пруфов и достаточной экспертизы), что если глушить все будут и дальше, через год-два уже только невероятные умельцы смогут ВПНить с мобильного интернета.
А вы как думаете?

3,230

Too Long, Did Read

21 мая 2026 г., 17:01

Дешевые авиабилеты

https://fortune.com/2025/07/16/delta-moves-toward-eliminating-set-prices-in-favor-of-ai-that-determines-how-much-you-personally-will-pay-for-a-ticket/

Нет, это не реклама авиасейлс: прочитал статью про эксперимент одной авиакомпании, которая для 3% своих пользователей сделала полностью индивидуальный “AI” прайсинг.
Статья не особо интересная + выглядит как реклама этой самой Delta для инвесторов, но навела меня на пару мыслей.

Во-первых, для инвесторов, конечно, звучит круто: по твоему digital fingerprint подберем максимальную цену, которую ты готов заплатить → оптимизируем margin per client и зарабатываем много деняк.
Вот только мне кажется, что после ковида авиакомпании и так перешли на новую ценовую модель: все билеты стоят дорого, надо будет поехать - заплатишь, куда ты денешься. И это звучит круче, чем индивидуальная цена, тк лучше пусть всем будет дорого, чем части покупателей.
Ну или возможно я бедный просто, хз.

Во-вторых, мне казалось, что и так уже давно все это делают - иначе VPN-сервисы не смогли бы (ага лол) рекламироваться в америках без роскомнадзоров через value proposition “покупаешь билет москва-стамбул? войди под айпшиником франкфурта и купи билет в Х раз дешевле”.
Что, кстати, по моим ощущениям, вообще не работает. Ну или возможно я не умею просто билеты покупать.

В статье какие-то эксперты высказывают мнение: авиабилеты это только начало, если эксперимент прокатит, то всякие аренды машины, букинг комы и прочие тоже будут делать индивидуальный прайсинг.

В связи со всем этим у меня родилась идея для стартапа: turnkey digital personality для разных покупок.
Уже давно существуют специальные браузеры, в которых можно создавать разные digital fingerprint в разных вкладках, абсолютно изолированные от внешнего мира.
Я парочкой таких пользовался во времена Track Pump, - например, https://multilogin.com/ и https://dolphin-anty.com/.
Их обычно используют для разного спама - вести параллельно 25 аккаунтов в инстаграме, или лайки накручивать (хз насколько актуально).

Но в них идея все-таки в том, что тебе дают абсолютно чистый и голый профайл, а ты его уже начиняешь куками и аккаунтами.
А я бы сделал такой сервис для новой эпохи AI-прайсинга: указываешь, на каком сайте ты что-то хочешь купить, и тебе подбирается и создается “правильный” профайл - в одном случае у тебя фингерпринт малоимущего на пособии, в другом - белого цисгендерного мужчины-водителя с 20+ летним стажем вождения, и так далее.

Чтобы с этим бороться, сервисам прийдется открыто признать, что они передают твои персональные данные (имя/фамилию/номер паспорта и т д) третьим лицам для enrichment’а своих данных - что, наверное, они все равно будут делать, тк кому какая разница.

Но глобально мне кажется, что чем дальше бизнесы будут уходить в fingerprinting тебя как клиента по digital-характеристикам, тем больше digital манипуляций можно будет делать, чтобы выдавать себя за другого.

Кто хочет заняться таким бредом - напишите, можем склепать лендинг по-быстрому :)

Too Long, Did Read

21 мая 2026 г., 17:01

📷 Photo

Левосторонние кошки

https://www.cell.com/action/showPdf?pii=S0960-9822(25)00507-X

Прочитал про исследование сна кошек, в результате которого было установлено значительное и статистически значимое превосходство сна на левом боку перед сном на правом: 65% vs 35% с p < 0.001.
Для этого ученые отобрали и отфильтровали 400+ видео со спящими 10+ секунд кошками в полный рост.

Авторы немного рассказывают о сне кошек в целом: домашние кошки являются одновременно хищниками и добычей (например, для койотов), и при этом спят 12-16 часов в день.
Получается, что они проводят 60%+ своей жизни в очень уязвимом положении, в котором они могут как пропустить проходящую мимо мыш, так и быть сожранной аккуратно подкравшимся койотом, которого вы видимо завели просто по угару.

Чтобы снизить риски, кошки предпочитают спать на возвышении, чтобы смотреть на всех свысока и иметь возможность отреагировать, пока они находятся в привилегированном положении.

Но это не объясняет, почему 2/3 кошек предпочитают спать на левом боку.

На это у ученых тоже есть ряд обоснований, самое достоверное из которых основывается на разных функциях левого и правого полушария мозга: левое визуальное поле, которое больше при сне на левом боку, соответствует правому полушарию мозга.

Правое полушарие гораздо чаще используется для анализа угроз, исходящих из внешнего мира.
Еще известно, что животные быстрее реагируют на хищника, который приближается с левой стороны.

Как только кошка, спящая на левом боку, открывает глаза, она быстрее осматривает окрестности на предмет опасности, и в случае реальной угрозы выживает с большей вероятностью.

Интересно, что это не связано с тем, левша кошка или правша — да, если что, 78% кошек имеют “ведущую” лапу, которой они чаще пользуются для более приоритетных дел, — и распределение правшей vs левшей среди кошек примерно 50:50.

Мне стало интересно, и я еще почитал https://pmc.ncbi.nlm.nih.gov/articles/PMC10436595/
Пишут, что правое полушарие используется для восприятия любого негатива, - например, внешней угрозы, или орущего на тебя кожаного мешка, а правое, наоборот, для всяких похвал и хороших новостей.

А еще, животные, у которых strength of lateralization (не придумал как перевести) низкий, хуже справляются с несколькими делами одновременно и легче впадают в состояние стресса.

В общем, если ваша кошка чаще спит на правом боку, то вам стоит провести с ней беседу и объяснить связанные с ее поведением риски. Вероятно, в этом случае вам также не стоит заводить койота, тк кошка может не пережить встречу с ним.
С другой стороны, возможно у вас такой безопасный вайб дома, что кошка уже в конец расслабилась и перестала бояться внешних угроз.
Хорошо это или плохо - решать вам.

Too Long, Did Read

21 мая 2026 г., 17:01

$500к за подсветку синтаксиса

https://securelist.com/open-source-package-for-cursor-ai-turned-into-a-crypto-heist/116908/

В тему предыдущего поста: на днях завирусилась новость про "blockchain developer from Russia", который потерял $500к, установив расширение в Cursor.
Очень кликбейтный заголовок, но на деле все так и было (ну если верить, что блокчейн-разработчик хранил 500к баксов не на леджере, а в браузерном кошельке):
он установил расширение "Solidity Language" из маркетплейса расширений курсора, которое было 1в1 слизано с нормального расширения solidity, а в нем оказался стилер https://threats.kaspersky.com/en/threat/Trojan-PSW.MSIL.PureLogs.gen/, кстати оч похожий на .

Как так вышло?

Немного контекста: https://forum.cursor.com/t/extension-marketplace-changes-transition-to-openvsx/109138 Курсор использует OpenVSX в качестве встроенного в IDE магазина расширений.
OpenVSX это опенсорсный-безограничений форк майкрософтовского vscode-магазина, который разрешает форкам vscode (в отличие от майкрософтовского) туда ходить и качать расширения.

Так вот, оказалось, что OpenVSX при ранжировании расширений в выдаче (например, когда ищешь "solidity") ориентируется на несколько факторов, включая рейтинг, количество скачиваний и дату последнего апдейта.

Упомянутое выше вредоносное расширение в результате попало в топ выдачи, даже выше solidity, тк последний апдейт у него был всего несколько дней назад.
В статье про это ничего не сказано, но я думаю, что накрутить рейтинги и количество скачиваний в OpenVSX - достаточно тривиальная задача: авторы этого расширения каким-то образом получили 50к скачиваний всего за пару недель, в то время как оригинальное расширение живет годами, и у него 64к.

Самое жесткое, что когда это расширение все-таки зарепортили и смогли удалить, почти сразу же появилось новое.
С названием "solidity" и автором расширения "juanbIanco" - точно таким же, как и у хорошего расширения, но с заглавной i вместо прописной L. В интерфейсе курсора с их шрифтом разницы между ними ровно 0.
Больше того, у этого нового вредоносного расширения 2М скачиваний (возвращаясь к накрутке), в то время как у оригинального все еще 64к.
Давайте честно, какое из них выбрали бы вы?

Мне от всей этой истории стало жутко с первой минуты, тк у меня стоит "какое-то" расширение "solidity", правда в vscode.
Благо у меня стоит оригинальное.
Но это я к тому, что в отличие от большинства источников стилеров, тут я был максимально близко к бедному блокчейн-разработчику и прочей целевой аудитории этого расширения - я думаю, что я бы повелся с вероятностью около 100%.

Microsoft https://x.com/code/status/1943720372307665033?s=46, что "у них это расширение удалили за 2 секунды", и вообще "Not in our house."
Ага.
С другой стороны, что еще им говорить, когда они конкурируют с форком собственного продукта, https://www.reddit.com/r/GithubCopilot/comments/1jnboan/github_copilot_vs_cursor_in_2025_why_im_paying/ итд.
Может у них и безопаснее в магазине расширений, но за майкрософтом есть довольно много грешков, связанных с модерацией своих сервисов, см. тот же пост про Redox.

Основная проблема с этими расширениями состоит в том, что они запускаются не в сендбоксе, а прямо на вашей машине под вашим юзером. И сделать могут +- все что угодно. Зная это, доверять даже вскодовскому маркетплейсу, где "все плохое удаляют за 2 сек" не хочется.

Еще вспомнил, что месяцом ранее читал https://blog.koi.security/marketplace-takeover-how-we-couldve-taken-over-every-developer-using-a-vscode-fork-f0f8cf104d44 про уязвимость, которую они нашли в OpenVSX, которая позволяла злоумышленнику удалять, добавлять и пушить обновленные версии любых расширений на маркетплейсе.
Просто вдумайтесь, какой ущерб мог быть от такой атаки (у OpenVSX примерно 10+ млн пользователей).

Выводы и что со всем этим делать

1. По возможности вообще не ставьте расширения.
Если надо - ставьте официальные (где автор - Microsoft, к примеру).
На страничке расширения в маркетплейсе есть ссылка на репозиторий - точно будет не лишним перейти по ней и убедиться, что репозиторий принадлежит известному разработчику / организации, которым "можно доверять".

2. Выключайте у расширений Auto-update - по умолчанию он всегда включен!
Так у вас есть шанс не попасть под зловредный апдейт какого-нибудь расширения, которое захватил злоумышленник.

Too Long, Did Read

21 мая 2026 г., 17:01

Клод в докере

https://timsh.org/claude-inside-docker/

Уже пару месяцев хотел:
- пересесть с курсора за 20$ + gpt за 20$ на одну клодовскую подписку
- пересесть с курсора в целом на claude code тк все говорят что надо
- перестать давать AI агенту доступ к моей файловой системе и терминалу, тк это опасно

И вот вчера за вечер пересел, все настроил, и даже написал небольшой https://timsh.org/claude-inside-docker/ про это.
А еще сделал quick start репу для желающих попробовать то же самое: https://github.com/tim-sha256/claude-in-docker

Имхо, все, кто пользуются агентами в yolo mode (когда не каждую команду аппрувишь, а только “жоские”), да и тем, кто аксептит руками, не стоит делать это просто на компьютере, тк есть много рисков.

Например, что агент возьмет и жестко удалит что-нибудь вне репы — в интернетах много таких примеров.
Больше того, судя по некоторым постам, даже с установленными в Курсорсе правилами по запрещенным командам, Claude https://forum.cursor.com/t/important-claude-has-learned-how-to-jailbreak-cursor/96702/2?ref=timsh.org, запихивая команды в bash-скрипт и запуская его.

Или поставит кучу херни в непонятном окружении (или просто в рут проекта), а потом окажется, что какая-то из установленных зависимостей была взломана и отравлена. А ллмки обожают ставить кучу непонятно зачем нужных либ на каждый пук :)

Как будто бы моя горе-вайбкодерская жизнь стала чуть безопаснее, и при этом UX стал даже получше - клод код это реально крутая штука, мне и интерфейс нравится больше курсоровских чатов, и работает он проворнее, и все затраты сразу видны.
Ну и в комбо с VSCode и его интеграцией и с докером (devcontainers), и с клодом - все нативно, никакого гемора — в общем, сплошная красота.

1,630

Too Long, Did Read

21 мая 2026 г., 17:01

Игра в английскую бюрократию

https://jameshaydon.github.io/passport/

Прочитал уморительную статью про попытку логически решить задачу подачи на британский паспорт.
Суть в двух словах: автор подавал свою дочку, рожденную не в ЮК, на паспорт, у него изначально запросили сколько-то документов.
Он их нашел, перевел, предоставил… спустя неделю запросили еще документов.

Дело в том, что англичане для принятия всех решений решения - британец ты или нет, - должны увидеть один из двух (это без корнеркейсов) пруфов твоей британскости: либо ты родился в британии, либо на момент твоего рождения кто-то из твоих родителей был британцем.
А как понять, был ли кто-то из твоих родителей британцем? Либо они родились в британии, либо… :)

Это рекурсивное дерево продолжается до тех пор, пока не достигнут “base case” - предок, имевший гражданство до 1983 года,
тк для него и для его предка уже не обязательно доказывать легитимность этого гражданства.
Для всех, родившихся после, доказывать “британскость” надо.

И главный прикол подачи на паспорт (на практике - на любые документы) в ЮК - ты не можешь изначально узнать весь набор документов, которые тебе потребуются. Отправь емейл - и через 5-7 business days ты узнаешь, какой документ от тебя ждут для прохождения на следующий этап.

Поигравшись месяц в эту игру и после того, как для паспорта его дочери запросили applicant's father's father's father's birth certificate, автор не выдержал и написал скрипт на Haskell, который задает тебе вопросы, и исходя из ответов показывает доступные варианты пруфов и наборы документов.

Не буду подробно пересказывать, что там написал автор - в целом, аккуратно расписал все правила и конфликты в виде логических функций. Приведу пару примеров того, как это выглядит:


-- | British citizenship for those born abroad
britBornAbroad :: Person -> M Proof
britBornAbroad p =
viaParent p $ \parent ->
britOtbd parent `orElse` (brit parent `and` evidence (Years3LivingInUK parent))

-- | British otherwise than by descent (BOTD)
britOtbd :: Person -> M Proof
britOtbd p = do
check (IsBritOtbd p)
evidence (Naturalised p) `orElse` britOtbdUkBorn `orElse` bornCrownService p
where
britOtbdUkBorn = evidence (BornInUK p) `and` britBornInUk p

bornCrownService :: Person -> M Proof
bornCrownService p = viaParent p $ \parent -> do
check (CrownService parent)
brit parent `and` evidence (CrownService parent)


Итоговая программа задает тебе вопросы, пока не придет к однозначному base case и соответствующему набору документов, например:
Proof 1:

• Applicant was born after 2006
• Via Applicant's Father's britishness:
• Applicant's Father was born in UK
• Via Applicant's Father's Mother's britishness:
Applicant's Father's Mother was settled at time of birth

Possible doc sets:
• - Birth certificate for Applicant,
- Birth certificate for Applicant's Father,
- Settled status document for Applicant's Father's Mother

Всего за 37 вопросов скрипт собрал аж 3 возможных пруфа с наборами документов - естественно, applicant's father's father's father's birth certificate требуется только в самом длинном и неоптимальном пруфе)

В общем, смешно и познавательно!
Всем, кто когда-либо подавался на английские визы / подтверждал дипломы и т п - очень советую почитать, прям одинаковые паттерны:)
Хорошо, что я уже со своей англией успокоился.

Too Long, Did Read

21 мая 2026 г., 17:01

Для тех, кому 400 страниц про это читать лень - пара ссылок:

- Рецензия-пересказ от Кори Доктороу с самым соком: https://pluralistic.net/2025/04/23/zuckerstreisand/
- Увидел это видео примерно год назад у https://t.me/thingsiread - история преступлений фб за 3 часа: https://www.youtube.com/watch?v=MPyJBJTHyO0
- Довольно едкий пост про то, как топы в ФБ последовательно убивали (и продолжают убивать) все хорошее в ФБ: https://www.wheresyoured.at/killingfacebook/

#fuckzuck :))

1,820

Too Long, Did Read

21 мая 2026 г., 17:01

Careless people

Пару дней назад дочитал книжку Сары Уинн-Уильямс “Careless People” про ее опыт работы в Фейсбуке в роли Head of Global Policy.
Она занималась коммуникацией с президентами / премьерами / ведомствами разных стран, чтобы фейсбук мог выйти на новый рынок / не быть заблокированным на старом, и много общалась лично с Цукербергом и Шерил Сандберг (ех-СОО фейсбука).

Книга написана в формате мемуара - от истории как она хотела попасть в фб в 2010 и изменить мир, до ее увольнения в 2019 [allegedly за то, что она вместе с кучей других женщин обвинила своего начальника в домогательствах].

В 2025 Сара стала whistleblower`ом (не знаю, какой аналог в русском языке) и выступила перед конгрессом, обвиняя фейсбук и цукера лично в разнообразых преступлениях. Пара примеров:

- Фейсбук очень долго пытался выйти на китайский рынок, и ради аппрува от КПК сделал для них инструмент, который позволял трекать пользователей + шэдоубанить или удалять неугодные посты, а также читать личные переписки без официальных запросов и в неограниченном количестве.
Больше того, не только граждан Китая, а еще Гонгконга и Тайваня, а еще всех, кто с ними контактировал.
В 2018 Цукерберг “под присягой” на слушании конгресса заявил, что ничего такого фб никогда не делал.

- То, из-за чего в том числе https://www.theverge.com/news/646809/ftc-v-meta-antitrust-monopoly-trial-instagram-whatsapp американской антимонопольной службой и ФБ по поводу WhatsApp: в 2013 ФБ купил впн Onavo, который продвигал в фб на главной в качестве рекомендуемого сервиса для обеспечения приватности и “экономии мобильного траффика”.
В реальности, в течение 5 лет впн служил бекдором, с помощью которого https://x.com/jason_kint/status/1772459601356583268 некоторых (=любых) приложений на телефонах пользователей.
С помощью этого “тулза” они следили за активностью людей в Snapchat, а также вовремя приняли решение купить WhatsApp, руководствуясь инсайдерской информацией. Если что, вот https://www.parliament.uk/globalassets/documents/commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-Six4Three.pdf в качестве пруфа.

Если честно, меня это все не очень удивило.
Давно понятно, что Мета это компания, которая превзошла всех в enshitification и в абьюзе собственных пользователей.
Но почитать про 40 разных примеров подобного пиздеца, сжатых в одну книжку, - все равно источник ярких ощущений.

Сама авторка как человек (ну, по крайней мере, по ее книжке) мне не оч понравилась, - у нее там много раз мелькает тема: “да, я понимаю, что это пиздец, и не могу повлиять на решение хедов, которое ставит под угрозу жизни людей, (см. кейс с геноцидом в Мьянмаре), но сейчас мне очень сложно будет менять работу и ходить по собеседованиям :(“.
С другой стороны, она себя особо и не выставляет как какого-то героя. Спасибо, что хоть рассказала про все это - может быть, чуть больше людей задумается о том, что мета со своими продуктами существует не ради объединения людей и их самовыражения.

Две вещи, от которых мне страшно / немного грустно:

- ФБ ничего никогда не будет за это (пока какой-нибудь конкурент еще больше не сможет задушить их). Максимум - заплатят какой-нибудь смешной штраф. Как говорится, 2Big2Fail, 2Big2Jail.

- Каждый раз, когда в книге упоминался очередной суд / скандал / пруф преступлений фб, я шел читать статьи того времени и материалы с заседаний суда по диагонали.
Пруфов и огласки всего этого очень много, большая часть того, в чем Сара обвинила фб - не конспирология, а факты с бумажными доказательствами. Но за +-10 лет с появления первого такого “громкого” кейса, на мой взгляд, восприятие большинства людей от ФБ не изменилось почти никак (а может и изменилось в лучшую сторону).
Надеяться, что книжка или yet another слив документов, или даже решение суда “виновен” это изменит - сложно.

Too Long, Did Read

21 мая 2026 г., 17:01

S in IoT stands for Security

Последнее время часто читаю про разные attack chains с участием IoT девайсов - умных камер, термостатов, холодильников и тд.
Тема не новая - среди кибербезопасников давно ходит шутка: S in IoT stands for Security.

Начинающим пентестерам часто советуют попробовать себя в IoT, особенно с дешевыми девайсами а-ля беби-камера с Амазона за 20$.
Вот, например, https://www.youtube.com/watch?v=YPcOwKtRuDQ как раз про это.

Но тут наткнулся на статью, в которой автор напоминает об очень серьезной проблеме, связанной с IoT-девайсами и их безопасностью, а именно - с ростом количества ботнетов, состоящих из умных девайсов.

https://spectrum.ieee.org/iot-security-root-of-trust

Если для создания "классического" ботнета обычно нужно заразить виндовые компы каким-нибудь трояном, а потом еще не палиться, что с компьютером "что-то не то",
то в случае с IoT задача часто гораздо проще, так как:

- многие девайсы крайне посредственно защищены (или не защищены вообще)
- абсолютное большинство людей никак не меняет настройки девайса, который они покупают - в том числе, логины и пароли от админки, а также настройки доступа устройств к интернету (помимо локальной сети)
- у большинства девайсов интерфейс примитивный, спрятанный в мобильное приложение с 3 кнопками, что усложняет диагностику
- никто не следит за запущенными процессами на условной wi-fi камере, а также не думает: блин, че это моя камера так тупит, может прогнать проверку антивирусом?

Все это делает IoT девайсы легкой добычей для создателей ботнетов.
Более того, вы можете никогда не узнать о том, что ваше устройство было заражено, если целью хакеров является именно использование устройства для DDoS-атак, а не вымогательство / кража ваших данных.

В статье ссылаются на статистику, https://iot-analytics.com/number-connected-iot-devices/ IoT-устройств - представьте себе, сколько из них в абсолютном выражении являются уязвимыми к атакам с использованием базовых, часто бесплатных, инструментов.

Говоря про инструменты, вспомнил, что когда мне было лет 16 я узнал про появление http://shodan.io/ - поисковик по всем подключенным к интернету устройствам, - и за 1 день нашел несколько частных камер с парой логин-пароль из списка:
[admin, root, user, 1234, 0000].
Помню, что мне было от этого очень весело)

Автор, кстати, упоминает крупный ботнет Mirei, запущенный в 2016 году, который был ориентирован как раз на это.

Цитирую https://www.cloudflare.com/learning/ddos/glossary/mirai-botnet/ про него:
Mirai scans the Internet for IoT devices that run on the ARC processor. This processor runs a stripped-down version of the Linux operating system.
If the default username-and-password combo is not changed, Mirai is able to log into the device and infect it.


И еще, про дефолтные логины и пароли - ради интереса, предлагаю вам в следующей поездке, если снимите квартиру через AirBnb или саблет, проверить, менял ли владелец квартиры дефолтные логин и пароль от админки роутера (ака 192.168.0.1)
Я так делаю последние полгода, просто из интереса. По моим наблюдениям, больше половины админок с дефолтными логином-паролем, которые написаны на роутере.

Надо ли говорить, что можно сделать с помощью доступа к роутеру квартиры, в которой в год бывает по 50 разных постояльцев?)

У устройств посерьезнее, типа умных колонок, с безопасностью, конечно, получше - в них часто используют хардверный Root of Trust прямо внутри процессора или SoC-чипа - если все сделано правильно, он обеспечивает единый и неизменяемый "центр правды" внутри устройства, и каждый следующий слой (вроде операционной системы, контейнера с приложением, и т д) полагаются на него для проверки "хорошести" исполняемого кода.

Но и это не всегда панацея: рукастый человек с инструментами за <100$ может, например, https://habr.com/ru/articles/910308/
Это я молчу про разные виды конспирологии относительно того, как Яндекс в целом обрабатывает речь, которую слышит ваша колонка, и с кем она может этим делиться.

Too Long, Did Read

21 мая 2026 г., 17:01

Вайблендинг

Недавно мои друзья решили открыть свое агентсво по разработке, и я вызвался помочь им сделать лендинг чисто курсорингом.
Я собрал лендинг (от готовых макетов в фигме до деплоя) за ~6 часов, и больше половины из этого ушло на нюансы.

Хочу поделиться своим подходом, проблемами-решениями, и дать пару советов всем тем, кто собирается делать то же самое.

Зачем это мне?

Я за жизнь сделал лендингов 10-15, и каждый раз я выбирал между доступными nocode инструментами - Tilda, Webflow и прочими.
И я их все ненавижу - из-за ограничений, платных фичей, и сложности редактирования уже готового (особенно, сделанного другим человеком) проекта.
Когда я последний раз мучился с лендингом Track Pump я сказал себе: в следующий раз я не буду собирать лендинг в конструкторе.

И так, нам понадобятся:

1. Макеты в фигме

Сразу скажу, что качество макетов очень очень важно.
Под качеством я подразумеваю правильное использование компонентов, стилей, Auto-Layout, Hug и прочих бесконечных фичей фигмы в макете.

Когда вы выбираете дизайнера, который будет делать макеты - попросите у него ссылку на полный проект любого из его кейсов.

Если там 2 компонента, все фреймы называются Frame 2398319, и все задано НЕ через стили - это ред флаг, не тратьте время и деньги, даже если сам дизайн невероятно красивый.

2. Figma Pro + https://www.figma.com/community/plugin/1399388645422727783

К сожалению, Dev Mode в фигме, который был нужен для моего подхода, есть только в платных версиях.

Сам по себе он не производит супер вау-эффект, но вместе с figma-to-json позволяет сделать очень крутую вещь - выделить целиком материнский фрейм и экспортировать полное дерево всех элементов внутри фрейма в json формате со всеми стилями.

Возвращаясь к качеству дизайна: чем меньше структуры, переиспользуемых элементов и стилей, а также нормальных названий есть в макете, тем сложнее будет любой ЛЛМке (и вам) разобраться, что куда.

Также, если вместо auto-layout и relative позиционирования элементов дизайнер везде “нахардкодил” все размеры в пикселях, то придется выгружать такие json’ы для каждого из нужных разрешений экрана, тк дизайн по умолчанию будет не адаптивный.

У меня в итоге вышло 8 json’ов: 5 на разные разрешения экрана по 2000+ строк и 3 под компоненты (форму, футер, хедер) по 200-600 строк.

3. Cursor + Astro (или реакт) + терпение

В качестве фреймворка я выбрал Astro, а не традиционный реакт, потому что устал от реакта + почитал https://docs.astro.build/en/concepts/why-astro/, и мне очень понравилось, как астро устроен.

Дальше возникла проблема: большинство ллмок не способны сожрать за раз 10к+ строк кода, да еще и “понять”, что там описаны одни и те же элементы для разных разрешений экрана.

Так что я завел базовый astro-проект, и начал кормить курсор: сразу выделил отдельные секции, которые должны стать отдельными компонентами ComponentName.astro, глазами отмерил строки json’ов, которые отвечают за каждую секцию, и указал для каждого https://t.me/media теги, чтобы стили применялись только для заданного диапазона разрешений экрана.

На самом деле, почти сразу пошло хорошо - гораздо лучше, чем когда я пробовал делать то же самое со скриншотами вместо json.

Я долго провозился с адаптивами формы / попапов, а еще с z-index и расположением элементов под друг другом, но это (по памяти) всегда сложно и долго, с курсорами и без.
А вот отправку емейла из формы, кстати, я прикрутил с https://www.emailjs.com/ за 5 минут и 0$.

4.Настроенный Coolify и еще немножко курсора

Coolify меня он уже был развернут и прикручен к домену, - см. .

Весь деплой занимает минут 15:

-просим курсор сделать для проекта docker-compose
-пушим все это в гитхаб репозиторий, цепляем через Github App к Coolify, деплоим
- магия.

Крутейшая фича кулифая с гитхаб-эппом: при пуше в мастер-ветку сервис автоматически редеплоится с учетом нового кода.

Вот и все!
Сам лендинг пока не покажу, извините - там еще остались заглушки и lorem ipsum, - но потом покажу.
Поверьте пока что на слово: вышло красиво, стабильно, нормально работает адаптив, в общем, я остался доволен.
Точно быстрее, чем собирать целиковый проект в конструкторе, не говоря про то, что это +- бесплатно.

Showing 10 of 10 posts

No more posts

Рейтинг

Требуется вход

Отзывы пользователей (0)

Пока нет отзывов. Будьте первым, кто поделится своим опытом!

Too Long, Did Read

Too Long, Did Read

Рейтинг

Рост участников (Сегодня)

Последние посты

Рейтинг

Отзывы пользователей (0)

Похожие каналы Telegram

Магазин цифровых товаров YanGoShop(@yangosart)

Финтехстан

Горизонт событий | Event horizon

Новости в 3д сфере. Stl news 3d models. Видео по 3D

Электрион Клуб

TMT Channel

ИнфоТЭК

Афонтово

Похожие каналы Telegram

Магазин цифровых товаров YanGoShop(@yangosart)

Финтехстан

Горизонт событий | Event horizon

Новости в 3д сфере. Stl news 3d models. Видео по 3D

Электрион Клуб

TMT Channel

ИнфоТЭК

Афонтово

Отзывы пользователей (0)

Последние посты