От автора

Важно! Уязвимость на самом деле это 3 уязвимости — Meltdown, Spectre 1, Spectre 2
Здравствуй хабр! Сегодня у нас перевод заметки про уязвимость Meltdown (CVE-2017-5754). Переведена только первая страница и основная часть заметки для понимания данной уязвимости.

Meltdown

Общее

Безопасность современной компьютерной системы (прим. автора. Смартфоны, компьютеры, практически любые носимые устройства с возможностью запуска кода не от производителя) основывается на изоляции адресного пространства, для примера память ядра помечена недоступной и защищена от доступа со стороны пользователя. В этой заметке мы представляем вам Meltdown. Meltdown эксплуатирует побочный эффект исполнения-вне-очереди (out-of-order execution) в современных процессорах, чтобы прочитать данные из ядра, в том числе личную информацию и пароли. Исполнение-вне-очереди сильно влияет на производительность и включено в большинство современных процессоров. Атака не зависима от операционной системы и не эксплуатирует программные уязвимости. Meltdown ломает всю безопасность системы основанную на изоляции адресного пространства в том числе паравиртуализованного.
Meltdown позволяет читать часть памяти других процессов и виртуальных машин. Мы покажем, что система KAISER имеет важный побочный эффект в виде в блокировке Meltdown (но является костылем). Мы настаиваем на включении KAISER незамедлительно для исключения утечки информации.

Читать дальше ->

https://habrahabr.ru/post/346074/

Предисловие. Мудрость толпы

В «Рассуждениях о первой декаде Тита Ливия» Никколо Макиавелли есть следующие строки:

«Что же до рассудительности и постоянства, то уверяю вас, что народ постояннее и много рассудительнее всякого государя. Не без причин голос народа сравнивается с гласом Божьим: в своих предсказаниях общественное мнение достигает таких поразительных результатов, что кажется, будто народ ясно предвидит».

В своей книге «Мудрость толпы» Джеймс Сероуиеки писал: «при правильных условиях группы могут быть очень умными, а зачастую могут быть намного умнее, чем даже самый умный человек внутри группы». Он заметил, что коллективный разум обычно показывает лучшие результаты, чем небольшая группа экспертов, даже если члены группы не владеют всеми фактами или ведут себя иррационально, поступая по-своему.

Другими словами, группа случайных людей в среднем будет умнее нескольких экспертов. Этот тезис противоречит здравому смыслу и выглядит насмешкой над накопленной веками мудростью. Эксперты в области человеческого интеллекта (социологи, антропологи, психологи) встретили идеи Сероуиеки далеко не с распростертыми объятиями. Он пошел дальше: «добавив в группу специалистов, вы сделаете ее глупее, а добавив дилетантов, повысите опять ее интеллектуальный уровень. Как и любой рецепт, это работает только при определенных обстоятельствах».
Читать дальше ->

https://habrahabr.ru/post/346064/

Если бизнес вашей компании не связан с информационными технологиями, передача инфраструктуры на аутсорсинг внешнему провайдеру поможет сократить объем рутинных операций и развяжет руки IT-департаменту, дав ему возможности для развития. Работы у специалистов меньше не станет, просто она будет другой: в первую очередь высвободится время для адаптации бизнес-приложений. Однако руководство консервативно и едва ли согласится на дорогостоящий проект, если тот не принесет пользы основному бизнесу.

Чтобы убедить топ-менеджеров в необходимости перехода на IaaS, ваши аргументы должны лежать в экономической плоскости. Сегодня мы попробуем разобрать основные вопросы и возражения руководства и покажем, как нужно с ними работать.
Читать дальше ->

https://habrahabr.ru/post/346062/

Программирование превращается в помойку.
Я в этом твёрдо уверен. Мы стоим на краю пропасти, а возможно — и вовсе, уже спрыгнули. Думаете ли вы также? Чувствуете ли это?.. В любом случае, я должен объясниться. Дело в том, что программирование становиться грязным. Грязным в том смысле, что противоположен смыслу элегантности. Запутанные, и в то же время пустые в сути — вот каковы программы нашего века.

Попытки радикальной унификации пришли на смену аналогичным попыткам радикальной спецификации, столь популярным в прошлом веке. Видимо, напуганные хакерской изощрённостью, мы теперь не замечаем изощрённой глупости наших собственных программ. И если у хакеров было оправдание — они писали «эфективный» код, то у нас — оправдания нет. Все наши потуги нацелены на избавление от сложности, но, что иронично, они лишь делают всё сложней, добавляя всё новые и новые «универсальные» решения.
Читать дальше ->

https://habrahabr.ru/post/346060/

Вокруг нас достаточно разработчиков, которые хотели бы заняться своим проектом. Зачастую эти идеи так и пылятся в головах людей по самым различным причинам. Истории Вадима Смирнова из 2ГИС — как раз о том, как претворить их в жизнь. Потратив несколько выходных за год, он смог сделать пять разных проектов, не заработал миллионы, но при этом не разочаровался и не прекращает работать над pet-project'ами.

В основе публикации — доклад Вадима на AppConf 2017.
Читать дальше ->

https://habrahabr.ru/post/346050/

Есть хорошее демо MSR от 2012 года, которое показывает эффект времени отклика при работе на планшете. Если не хотите смотреть три минуты видео, они по сути создали устройство, которое симулирует произвольные задержки вплоть до доли миллисекунды. Задержка 100 мс (0,1 секунды), типичная для современных планшетов, выглядит ужасно. На 10 мс (0,01 секунды) задержка заметна, но уже можно нормально работать, а при задержке менее 1 мс всё просто идеально — как будто вы пишете карандашом по бумаге. Если хотите проверить это самостоятельно, возьмите любой Android-планшет со стилусом и сравните с нынешним поколением iPad Pro со стилусом Apple. У устройства Apple время отклика намного больше 10 мс, но разница всё равно кардинальная — она такая, что я реально использую новые iPad Pro для записи заметок и рисования диаграмм, в то время как Android-планшеты считаю совершенно неприемлемыми в качестве замены карандашу и бумаге.

Что-то похожее вы увидите в шлемах VR с разными задержками. 20 мс выглядит нормально, 50 мс лагает, а 150 мс уже непереносимо.

Странно, но редко приходится слышать жалобы на задержку ввода с клавиатуры или мыши. Казалось бы, причиной может быть то, что ввод с клавиатуры и мыши очень быстрый — и происходит практически мгновенно. Часто мне говорят, что так оно и есть, но я думаю, что ситуация совершенно обратная. Идея того, что компьютеры быстро реагируют на ввод данных — настолько быстро, что человек не замечает разницы — самое распространённое заблуждение, которое мне приходилось слышать от профессиональных программистов.
Читать дальше ->

https://habrahabr.ru/post/346054/

Вы когда-нибудь задумывались о том, как мы считаем? Как устроен счет на низком уровне? Например, как выглядят на прямой единичные отрезки в выражении 1 + 1 = 2. Или что такое квадратный корень из $$.

Счет появился не просто чтобы считать, а чтобы посчитать какие-то объекты. Например, количество яблок или антилоп в стаде. То есть всегда есть единица измерения.
Читать дальше ->

https://habrahabr.ru/post/346034/

На написание данной статьи меня сподвиг тот факт, что старший ребенок стал по ночам вместо того чтобы укладываться спать, смотреть на своем смартфоне всякие ролики на youtube, до поздней ночи, а так же замена домашнего роутера с TP-Link TL-WR1043ND на MikroTik RB951G-2HnD.
Читать дальше →

https://habrahabr.ru/post/346052/

Что случилось?

Разработчик c GitHub ником Siguza, сделал неортодоксальный новогодний подарок — обнаружил уже долго существующую zero-day уязвимость в macOS, позволяющую атакующему получить root доступ к системе для дальнейшей ее компрометаци. Уязвимость существует уже довольно продолжительный период времени но не предоставляет возможности для удаленного взлома системы.

Siguza, который является программистом и хакером из Швейцарии, детально описал уязвимость и дал ей название IOHIDeous. По заявлению Siguza, данной уязвимости подвержены все версии macOS, выпущенные за последние 15 лет.

Оригинал: IOHIDeous is a macOS zero-day for the New Year
Читать дальше →

https://habrahabr.ru/post/346048/

Современные корпоративные сети часто охватывают несколько облачных сервисов. Чтобы упростить работу с сетями, компании прибегают к методам программной автоматизации.

Однако для создания такого ПО требуются квалифицированные разработчики, которых, согласно недавнему опросу среди клиентов и партнеров Juniper Networks, не хватает 43% компаний.

Поэтому Juniper представили набор программных ботов, которые позволят автоматизировать работу по обслуживанию сетей. Подробнее об этом — под катом.

Читать дальше ->

https://habrahabr.ru/post/346036/

Приветствую!

В этом мини-гайде речь пойдет о моей любимой теме: о связывании систем электронных валют вместе.

Для вас имеет смысл потратить свое время на прочтение, если:

• вы хотите пополнять Webmoney с рублевой карты с комиссией всего в 3%, а не 30 рублей + сколько-то там процентов;
• вы хотите переводить средства с Qiwi Wallet на кошелек в Яндекс.деньгах не через официальный шлюз с комиссией в 3%, а через официальный костыль с комиссией всего в 1%;
• вы хотите создать свой автономный обменник электронных валют*, чтобы минимизировать использование сторонних;
• вы просто хотите убить время.

* разумеется, этот автономный обменник должен использоваться только в личных целях, чтобы не нарушать правил платежных систем.

Вам нет смысла читать этот гайд, если:

• вы используете сторонние обменники электронных валют, и это вас полностью устраивает;
• вам не хочется узнавать что-нибудь новое/забытое старое;
• комиссии даже в 1%, не говоря уж о трех процентах, для вас неприемлемы;
• вам не нравится моя манера изложения.

Если вы все-таки из первой группы, велком под кат.
Читать дальше ->

https://habrahabr.ru/post/346040/

Доброго дня, друзья.

Задачу обозначил как абстрактную, т.е. для освоения методов решения,
хотя практическое применение кто-нибудь может и найдет.

Изначально, идея возникла когда я пришел в контору скуль-разработчиком. Там были
сотни хранимых процедур, битая документация, не было связей между таблицами.

К делу. Далее использование Antlr и примеры кода.
Читать дальше ->

https://habrahabr.ru/post/346038/

JavaScript — это потрясающий инструмент, который можно найти буквально в каждом углу современного интернета. Но даже несмотря на его невероятную распространённость, и профессионалам в области JS всегда будет чему поучиться. Всегда найдётся что-то такое, чего они не знают.



В этом материале вы найдёте разбор двенадцати вопросов о JavaScript, на которые нередко не могут ответить даже опытные разработчики. Сначала мы рассмотрим десять типичных вопросов, включая такие, которые часто всплывают на собеседованиях. Оставшиеся два вопроса посвящены более сложным и неоднозначным вещам, в частности, использованию JS для улучшения производительности веб-страниц и разработке приложений, которые не теряют актуальности с течением времени.
Читать дальше ->

https://habrahabr.ru/post/346022/

В промышленных системах часто требуется выполнить преобразования данных с использованием pl/sql кода с возможностью обращения к этим данным в sql запросе. Для этого в oracle используются табличные функции.
Читать дальше →

https://habrahabr.ru/post/346032/

Здравствуйте, меня зовут Александр Зеленин, и я веб-разработчик.
Многократно я слышал мнение, что верстка — удел начинающих frontend’еров. Хотя фактически это важнейшая часть любого (почти) веб-проекта. Это то, что пользователи видят в первую очередь. На текущий момент качественная вёрстка (особенно проектирование блоков) в крупном проекте требует большого количества различных навыков.
В данной статье представляю схему развития верстальщика

[большая по клику]
Само собой, это не всеобъемлющая и единственно верная схема. Есть ещё целая гора связанных навыков, релевантных технологий и так далее. Градация является субъективной.

Описание пути код катом

https://habrahabr.ru/post/346010/

Начало года — время прогнозов. Вот и мы не удержались от соблазна виртуального путешествия во времени в поисках будущего EdTech.

Читать дальше ->

https://habrahabr.ru/post/346018/

Наткнулся на замечательную статью «Paxos Made Live — An Engineering Perspective» рассказывающую о реализации инженерами Гугл алгоритма распределеннго консенсуса Пакос в проекте Chubby (аналог Zookeeper). В статье разбираются большинсво вопросов возникающих у прикладного программиста после озкакомления с алгоритмом. Помимо прочего интересного, в разделе «Unexpected failures» упоминается об одном рабочем эпизоде, который многим из нас покажется чем-то знакомым: Читать дальше ->

https://habrahabr.ru/post/346028/

Что случилось?

Исследователи Google опубликовали исследование «Reading privileged memory with a side-channel», в котором они описывают найденную ими аппаратную уязвимость, которая затрагивает практически все современные и устаревшие процессоры вне зависимости от операционной системы. Строго говоря, уязвимостей целых две. Одной подвержены многие процессоры Intel (на них проводилось исследование). AMD с ARM также уязвимы, но атаку реализовать сложнее.

Атака позволяет получить доступ к защищенной памяти из кода, который не обладает соответствующими правами.

Пожалуй, самое вероятное и неприятное применение на данный момент — получение дампа системной памяти во время выполнения JavaScript.

Другой интересный вариант — эскалация прав чтения памяти из виртуальной машины. Как вам VPS, который ворует данные из других машин хостера?

Эксплуатация уязвимости не оставляет следов.

Насколько это серьезно?

Это очень серьезно. Мир разделится на «до» и «после» и даже у вас вообще нет компьютера, отдельные последствия косвенно могут догнать вас в офлайне.

Как защититься?

Установить последние обновления системы и браузера. Если вы не уверены в том что дыра точно закрыта и ваша система совершенно точно в безопасности, лучше отключите JavaScript даже при посещении безопасных сайтов — они могут быть скомпроментированы. Некоторые эксперты считают, что программным образом полностью обезопаситься нельзя и единственный способ решить проблему — сменить процессор на вариант без асбеста заведомо безопасный.

Прекрасные новости, это всё?

Не все. Судя по тестам, патчи сильно повлияют на производительность существующих систем. Тесты показывают падение на 10-30% в некоторых задачах. Да-да, вы все правильно поняли, ваш мак может навсегда стать медленнее, а AWS заметно дороже.

Дополнительные данные

Читать дальше ->

https://habrahabr.ru/post/346026/

От переводчика: На проекте, где я работаю, сейчас идет активное переписывание логики, ранее реализованной в виде богатой модели предметной области (с использованием Active Record и Unit of Work). Новый подход включает в себя классы сущностей без поведения и служб без состояния, взаимодействующих посредством интерфейсов — фактически, он представляет собой анемичную модель, с перспективой перехода в дальнейшем на микросервисную архитектуру. Наблюдая в режиме реального времени, как «макаронный монстр» из примерно полутора миллионов LOC постепенно обретает форму, как упрощаются тестирование, масштабирование и кастомизация системы под нуждый различных заказчиков, я был весьма удивлен, узнав, что такой подход часто рассматривается как архитектурный анти-шаблон. Пытаясь разобраться в причинах этого, я наткнулся на данную статью и размещаю здесь ее перевод, чтобы обсудить с сообществом плюсы и минусы подхода.

Оригинал: The Anaemic Domain Model is no Anti-Pattern, it’s a SOLID design

Читать дальше ->

https://habrahabr.ru/post/346016/

Привет, Хабр. В прошлом году сделал "умный" удлинитель для управления гирляндами на елочке. Но тогда руки так и не дошли написать об этом статью. Исправляюсь.

Сама елочка

На елочке 3 гирлянды, а под ней выводок светящихся белых мишек. Когда гирлянд много, встает вопрос — как ими управлять? Каждый раз залезать под елочку и включать/выключать из розетки нужные гирлянды — сомнительное удовольствие.

Конечно, продается большое количество "умных розеток" — но с голосовым управлением, и так что бы 4 розетки сразу в одном устройстве, без лишних проводов и блоков питания — таких не встречал.

Читать дальше →

https://habrahabr.ru/post/346014/