Отличная новость, которая ну никак не может меня не радовать. Ощущаю особый прилив сил, когда слышу о том, что какой-либо протокол мезозойской эры собираются потихоньку придавать земле.
Начиная с шестьдесят третьей версии Chrome (т.е. до конца 2017го года) начнёт помечать открытые в браузере ресурсы работающие по протоколу FTP особой плашкой с надписью "Not secure" (и это - чистая правда), точно так же, как сейчас браузер помечает сайты с формами ввода пароля, открытые по HTTP.
https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/HknIAQwMoWo/xYyezYV5AAAJ
А в шестьдесят четвёртой версии хрома в браузере отключат автоматическое проигрывание видео со звуком! Теперь никаких непредсказуемых выкриков из ноутбука в самые неподходящие моменты - если вы понимаете, о чём я.
http://blog.chromium.org/2017/09/unified-autoplay.html

В PyPi (официальный каталог пользовательских пакетов для языка программирования Python) было обнаружено десяток зловредных библиотек, рассчитанных на распространение посредством тайпсквотинга на устройства потенциальных жертв. Вредоносные пакеты как правило содержат код оригинальный библиотеки плюс некоторая вредоносная функциональность добавленная злоумышленниками. Очевидно, что самый эффективный способ эксплуатации тайпсквотинга на PyPi это модификация скрипта setup исполняемого во время установки скрипта на пользовательскую машину. То есть, загрузив такой пакет, подмену заметить будет очень даже не просто.
Например, рассмотрим имена пакетов urlib3 и urllib и попытаемся определить какой настоящий, а какой зловредный. Обладая некоторым скилом внимательности можно заметить, что оба названия содержат ошибку мимикрируя под пакет urllib3. На данный момент каталог PyPi не обладает какими-либо средствами для определения таких пакетов и поэтому необходимо быть предельно внимательными в процессе установки дополнительных пакетов.
https://www.bleepingcomputer.com/news/security/ten-malicious-libraries-found-on-pypi-python-package-index/

Видеоигры, несмотря на то, что их часто отрицает старшее поколение, уже вовсю вошли в нашу жизнь. Причиной этому стало то, что дети из прошлого века уже выросли и теперь они стали взрослыми - теми, кто раньше всячески порицал любые игры помимо реальных. Одним из ярчайших примеров такой аккомодации компьютерных игр в нашу жизнь стал контроллер для перископа подводных лодок - теперь его собираются заменить на контроллер от Xbox.
Предыдущие способы управления были громоздкими и неудобными - морякам приходилось месяцами проходить подготовку, чтобы с должной сноровкой крутить камерой перископа. Также подобные контроллеры стоят порядка $38000 и производятся индивидуально под подлодку: сломалась кнопка - подожди пока сделают новый контроллер или свозят этот обратно на завод.
С джойстиком Xbox все эти проблемы решаются на раз. Во-первых, люди уже знают как им пользоваться - они как раз те вчерашние дети, выросшие на уйме видеоигр. Во-вторых, джойстик даёт необходимую точность, но абсолютно не громоздок - его проектировали не инженеры по военным технологиям, которые устоялись вот уже 30 лет, а люди, которые были заинтересованы, чтобы как можно большая аудитория могла без проблем пользоваться устройством. В-третьих, цена и доступность у таких контроллеров во много раз лучше: товар всегда имеется на полках и стоит $30, что в 1200 раз дешевле конкурента. Страшно подумать, что нас ждёт в будущем, когда каждый школьник после CS:Go сможет управлять каким-нибудь киборгом-убийцей в фуражке. Хорошо, что это будет только завтра. https://pilotonline.com/news/military/local/the-u-s-navy-s-most-advanced-submarines-will-soon/article_5c24eefc-8e70-5c4a-9d82-00d29e052b76.html

Университет «Нетология» запускают второй набор на очную программу обучения «Data Scientist». Мощная 5-месячная программа предназначена для аналитиков, разработчиков и продакт-менеджеров, которые ставят своей целью научиться профессионально работать с данными.

В рамках курса вы научитесь создавать рекомендательные системы, создавать и обучать нейросети, прогнозировать стоимость акций и других товаров, обрабатывать тексты на естественном языке и использовать data scientist в e-commerce.

Ваши преподаватели — это эксперты Яндекс, Сбербанк, OneTwoTrip, CleverDATA и других ведущих компаний, которые каждый день работают с большими данными и решают задачи, с которыми вам предстоит разобраться.

На выходе вы получите диплом о профессиональной переподготовке по специальности «Аналитик данных/Специалист по машинному обучению». С ним вы сможете претендовать на позицию «Аналитик данных», «Разработчик machine learning» с зарплатой от 120 тысяч рублей.

Есть возможность оплаты в рассрочку. Для обучения требуются базовые знания математической статистики и понимание хотя бы одного языка программирования на начальном уровне, предпочтительно — Python.

Старт программы — 6 октября.
Подать заявку — http://netolo.gy/dUK

Команда безопасности Adobe слишком буквально восприняла призыв к прозрачности, которой от них требовали годами - ведь действительно, дыры во многих продуктах замалчивались порой по полгода, пока хакеры без проблем их использовали. Но, вместо попытки хоть как-то наладить процесс по предупреждению людей о проблемах, безопасники Adobe, по случайности, выложили приватный ключ от своего основного email-аккаунта, давая любому человеку возможность написать что угодно от лица "Команды реагирования на события безопасности продуктов Adobe" - хорошая такая возможность, неправда ли?
Произошло всё случайно: для подтверждения очередной записи в блоге сотрудник, как обычно, решил приложить публичный ключ, но, вместо нажатия на кнопку "скопировать публичный ключ", он попал по кнопке "скопировать оба ключа". В итоге, не заметив, что ключей получилось в два раза больше, он опубликовал их прямо в статье компании про обновления безопасности продуктов. Благо, ошибка была замечена достаточно быстро - всё-таки ключ был выложен не в обычном блоге, а там, где находятся специалисты, способные отличить приватный ключ от публичного (привет, команда Adobe!), но сам факт, конечно, ошеломляет. С тех пор данный ключ был заменён и, если не учитывать, что не все получат обновления сразу, то всё, в принципе, стало в порядке.
Вообще безопасность - штука непростая, но не надо к ней относиться сквозь пальцы: хотя бы краем глаза надо проглядывать, что в итоге ты публикуешь в интернете. https://arstechnica.com/information-technology/2017/09/in-spectacular-fail-adobe-security-team-posts-private-pgp-key-on-blog/

Доставка продуктов прямо в холодильник - ну не здорово ли? Звучит хорошо, пока не оказывается, что этот пробный сервис от Wallmart так и работает: человек заходит к вам в дом и загружает продукты в холодильник.
Конечно, с одной стороны всё это высокотехнологично и потому замечательно: вы заказываете продукты в приложении, специалист из моментальной службы доставки тут же забирает их из магазина, подъезжает к дому, открывает его одноразовым ключом от умного замка, а вы получаете нотификацию, что доставщик зашёл и вы можете посмотреть, что он делает в реальном времени. Но, как мне кажется, тут слишком много вовлечённых сторон, а самостоятельно пускать человека в дом и давать ему рыться в вашем холодильнике, с пусть даже и какой-никакой системой безопасности - дело весьма на любителя. Даже сами умные замки крайне переоценёны: стоит только повспоминать, сколько раз и как банально их взламывали, а тут вы сами даёте его открыть. Когда же помимо них нужно надеяться на хороший интернет, вменяемое расположение и работу камер, общее пристойное поведение системы безопасности, да и то, что в случае чего компания-доставщик хоть за что-то будет отвечать - остановите, я сойду.
Как по мне, так тут опять имеет место быть горе от ума: если подобный сервис и вправду нужен, то я бы подумал об обычных термосумках с хладоэлементом, которые доставщики просто оставляют у порога. Себестоимость сумки многократно ниже кучи устройств для создания эффекта защищённости, а хладоэлементы сейчас стоят как жвачка и их можно прямо дарить с каждым заказом. https://consumerist.com/2017/09/22/walmart-wants-to-deliver-groceries-straight-to-your-fridge-while-you-watch-from-afar/

Анонсированная игровая консоль Ataribox ориентирована в первую очередь на ретрогейминг классических игр Atari, что, впрочем, не помешает запускать мультимедиа файлы, современные приложения и игры — консоль будет работать под управлением операционной системы основанной на Linux, с окружением рабочего стола оптимизированным для упрощенного использования в качестве игровой консоли. Материнская плата устройства спроектирована с использованием кастомного процессора от AMD и графической подсистемой Radeon Graphics - x86 вашему дому!
Заявленная стоимость варьируется от $249 до $299: обещают версию приставки со вставками в корпусе из натурального дерева и выглядит она как какой-то мега-стильный роутер. 🙂
https://techcrunch.com/2017/09/26/ataribox-will-be-an-open-linux-based-console-priced-starting-at-249/

В ноябре ожидается выход Firefox 57, и выпуск данной версии браузера привнесёт с собой в проект множество важных изменений, настолько больших и кардинальных, что эта версия приложения получит даже свое собственное имя — Firefox Quantum.

Будет внедрён новый пользовательский интерфейс Photon и это, пожалуй, самое большое обновление интерфейса со времен 29 версии (в свою очередь, интерфейс внедрённый в 29 версии носил название Australis). В Photon, наконец-то, по умолчанию убрано отдельное поле ввода для поиска, главное меню, основанное на пиктограммах, будет заменено на «классическое» (кнопки-строки), а в различных частях интерефейса добавлена интеграция с сервисом Pocket, например, на «новой» вкладке пользователю будут предлагаться рекомендации контента для прочтения от Pocket.

Значительно увеличить производительность работы браузера призван новый CSS-движок Stylo (изначально он разрабатывался для использования с новым движком браузера Servo от той же Mozilla), написанный на языке программирования Rust и позволяющий браузеру эффективно распараллеливать работу с CSS-стилями. Заявляется, что ускорение работы столь значительно, что по быстродействию опережает версию Firefox актуальную на август 2016 года в два раза.
Также завершен переход на WebExtensions для используемых в браузере плагинов - теперь будет только один общий стандарт плагинов и для Firefox и для WebKit-подобных браузеров (Chrome, Safari).

Если сильно хочется попробовать данную версию приложения, то уже в доступе есть бета-версия - только остерегайтесь багов!
https://blog.mozilla.org/blog/2017/09/26/firefox-quantum-beta-developer-edition/

Интернет-бизнес и налоги - вещь до сих пор очень неоднозначная. Бизнесу, расположенному в интернете, не нужны офисы в каждой стране присутствия. Этим, до недавнего времени, пользовались многие из гигантов индустрии - они открывали офисы только там, где это выгодно, выплачивая минимум налогов и, тем самым, получая максимум прибыли. Евросоюзу такая ситуация не понравилась и он начал расследование в отношении Facebook, Apple и Amazon. И вот, первой ласточкой в этом списке стал Amazon - Европейская комиссия обязала компанию выплатить налогов на 250 миллионов евро. Дело в том, что Amazon заключила договор с Люксембургом, по которому получала низкие налоговые ставки, которых нигде больше нет. Евросоюзу, естественно, такая ситуация не понравилась: Люксембург получает все деньги, а остальные страны не получают ничего - нечестный получается союз. Следующей в очереди Европейской комиссии стоит целая страна - Ирландия, которая досотрудничала с Apple в обходе европейской системы налогообложения на сумму 13 миллиардов (!) евро. После приказа Европейской комиссии собрать недостающие налоги Ирландия не сделала ничего, поэтому теперь претензии предъявляют уже к самой стране. Всем нужны деньги. http://www.bbc.com/news/uk-41497459

И как раз в тему новости (https://www.krackattacks.com) о уязвимости в WPA2 (читай: весь Wi-Fi потенциально уязвим):

«Лаборатория Касперского» завершает серию Кибервстреч - мероприятий, на которых вы не только узнаете тонкости цифровой безопасности, но и сможете задать любые вопросы сотрудникам компании. Последняя Кибервстреча состоится уже 18 октября в МИФИ: старший исследователь данных Павел Филонов расскажет о том, как переплетаются миры нейросетевых технологий и индустриальной кибербезопасности в решении повседневных задач: начиная описанием объектов, заканчивая выбором подходящих алгоритмов.

Сегодня последний день, когда можно зарегистрироваться, так что вперед: https://kas.pr/93td

Увидел свет дистрибутив операционной системы Ubuntu версии 17.10, заслуживающий внимания по ряду причин:
- название операционной системы начинается с буквы А и звучит трудновыговариваемо "Artful Aardvark" и переводится (вы не поверите, но с английского) не иначе как "Хитрый трубкозубр".
- операционная система снова работает с окружением рабочего стола основанного на Gnome, а не получившая какого-либо распространения Unity отправлена на свалку истории.
- из состава дистрибутива убран второй Python, а идущий в составе третий, обновлен до версии 3.6. Король умер, да здравствует король!
- прекращены сборки образов с дистрибутивом Ubuntu Desktop для архитектуры i386. Что примечательно, i386 образ с дистрибутивом для минимальной установки и образ для установки на сервера всё ещё поставляется, соответственно, обновления пакетов для x86 приложений в репозитории также продолжается и пользователи Ubuntu Desktop предыдущих версии любой разрядности без труда смогут обновится на свежую версию операционной системы.
http://www.omgubuntu.co.uk/2017/10/ubuntu-17-10-release-features

В дополнение к предыдущей новости:

Тот неловкий момент когда выясняется, что Ubuntu сегодня исполняется ровно тринадцать лет.
Двадцатого октября две тысячи четвёртого года состоялся релиз стабильной версии Ubuntu 4.10 "The Warty Warthog".
Письмо с анонсом от Марка Шатлворта:
https://lists.ubuntu.com/archives/ubuntu-announce/2004-October/000003.html

На GitHub несколько тысяч звёзд собрал awesome-список сайтов, посвященных хакингу и пентестингу. Вообще awesome-списки - это такие тематические подборки ссылок, которые, как правило, тщательно модерируются автором и сообществом. Список здесь достаточно большой, ресурсы, что естественно, все англоязычные. Наверняка, если вы интересуетесь темой, то найдёте тут для себя ворох интересной информации. https://github.com/vitalysim/Awesome-Hacking-Resources
Из любопытного: в списке есть один англоязычный Telegram-канал в котором, собственно, идут ссылки с информацией по данным темам. Субъективно он близок к русскоязычному @HNews , только (sic!) хуже =(

Сегодня одним сообщением хотелось бы рассказать сразу про два события и в конце сообщения даже есть промо-код.

1. Бесплатный курс Alfa-Factory для студентов

IT-архитекторы с навыками Business Process Management — редкие и высокооплачиваемые специалисты. Для тех, кто под описание выше еще не подходит есть решение.

Бесплатный курс Alfa-Factory для студентов и выпускников факультетов, близких к сфере IT-разработки. За 2 месяца вы научитесь создавать приложения на BPM-платформе Pega (лучшей по версии Gartner). Четыре опытных коуча расскажут об IT-ландшафте в банкинге, поделятся личными кейсами успешных проектов и поведают о тенденциях в разработке пользовательских интерфейсов. Лучшие участники получат место в штате Альфа-Банка сразу после завершения курса.

Поторопитесь с подачей заявки до 29 октября включительно. Мест осталось мало: https://goo.gl/FbjZv4


2. Промо-код на шоу Бронебот

Специально для подписчиков нашего канала - скидка 10% на крутейшее шоу БРОНЕБОТ: Бои Роботов 2017 (29 октября, «Олимпийский» Москва, 5 ноября, «Юбилейный» Питер ) - https://goo.gl/QHARZG - по промокоду SPECIAL (скидка распространяется только на Москву)

Тонны живой стали, киловатты света и звука, килограммы пиротехники, море адреналина и никакой пощады!

Интересный прецедент. В каталоге приложений Google Play найдено мошенническое приложение «Update WhatsApp Messenger», представляющее из себя фейковый апдейт для одноименного мессенджера, который уже скачали более миллиона раз! Данное приложение после установки на смартфон начинает показывать полноэкранную рекламу поверх мессенджера - отличное обновление, неправда ли? Большое количество скачиваний скорее всего обусловленно тем, что приложение опубликовано от имени компании «WhatsApp Inc.» с одним лишь «но»: в названии компании мошенники использовали символ неразрывного пробела (0xC2 0xA0), который на письме точно также как обычный. Сама страница приложения использует элементы оформления оригинального мессенджера, поэтому выявить обман «на глаз» не так уж и просто. Оценка приложения в Google Play при этом также выше четырёх баллов - какое полезное приложение!
В общем и целом печально, что Google так плохо модерирует свой магазин, потому что обман можно было найти и на этапе оценок - они явно накручены, и на этапе жалоб - вряд ли миллион человек молча поставили эту штуку и никто не попытался призвать модераторов. Большие скачивания, скорее всего, связаны с тем, что WhatsApp вчера какое-то время не работал и люди пытались его "починить" любыми способами, помимо этого, не стоит забывать, что мессенджер заблокирован в ряде стран, где ранее он был очень популярен - мошенники такими вещами отлично пользуются. С другой стороны, я уже давно прежде чем скачать приложение с популярным названием захожу в профиль его разработчика - довольно странно скачивать "обновление для WhatsApp" от людей, которые не выпускали оригинальный WhatsApp.
https://www.theregister.co.uk/2017/11/03/fake_whatsapp_app/

Часто в социальных сетях люди видят в предлагаемых контактах тех, кого они встречали в жизни всего пару раз и, вроде бы, никак в интернете с ними не пересекались. Обычно под такую категорию попадают те люди, кто кардинально отличается от вас кругами общения: например, выпускник другого вуза живущий в другом городе и работающий в совершенно другом виде деятельности, без общих знакомых - это довольно неочевидный выбор как "предлагаемый друг".
Первым в голову приходит ваш список контактов телефона: если вы включили их импорт в Facebook, то логично, что социальная сеть сможет предложить вам человека в друзья по совпадению его телефона/email. Другой момент в том, что далеко не все пользуются данной, довольно устрашающей функцией, - всё-таки иногда встречается дельная мысль, что Facebook необязательно знать номера всех людей, которых вы добавили в записную книгу телефона, мало ли чего из этой информации можно получить.
Но, даже в этом случае, возникает непредсказуемый фактор второго человека, потому что большинство людей всё же отдаёт Facebook информацию о своей записной книге, где как раз и может оказаться ваш номер телефона. В итоге получается так, что любой человек, с которым вы когда-либо обменивались номерами, в реальном времени "сливает" эту информацию интернет-гиганту, и помешать этому, по сути, можно только давая другие контакты, которые никак не ассоциированы с Facebook. О дивный новый мир. https://gizmodo.com/how-facebook-figures-out-everyone-youve-ever-met-1819822691

Я уже полгода для быстрого редактирования скриптов использую редактор Visual Studio Code (далее VSC), сместивший с этой должности на моих ПК "вечно молодой и перспективный" Sublime Text 3. Благо, что VSC представлен под все основные платформы и субъективно работает, даже удивительно, гораздо быстрее (и даже гораздо удобнее) своего предка в лице редактора Atom от GitHub.

И вот, не так давно стало известно, что создатель самого популярного расширения для VSC, добавляющего в редактор расширенную поддержу Python, был нанят в Microsoft. Теперь Python-плагин получает официальную поддержку от Редмондского гиганта, что в перспективе должно способствовать ускорению закрытия багов и добавлению новых возможностей. При этом расширение всё равно останется с открытым исходным кодом, размещённым на GitHub.

https://blogs.msdn.microsoft.com/pythonengineering/2017/11/09/don-jayamanne-joins-microsoft/

Кажется, что выкладывать закрытые ключи шифрования в общий доступ становится нормой, как минимум далеко не первая компания попадает на такую, казалось бы, детскую ошибку. В этот раз опозорился производитель дронов DJI, который умудрился посредством github сообщить всем данные открытого (!) bucket в AWS и отдать все свои ключи, включая сертификаты HTTPS и файлы для шифрования прошивок, а также много другой интересной информации: email-письма пользователей, логи полётов дронов, включая государственных, и даже некоторые фотографии владельцев и локаций. Конечно, существующие сертификаты тут же были заменены, но те же ключи от прошивок могут дать отличную возможность энтузиастам открыть уже имеющиеся прошивки и изучить/изменить их настолько, насколько им это понадобится. Как такое произошло, что всё лежало в одном месте и без всякой защиты - мне решительно непонятно, но вместо того, чтобы наградить человека, сообщившего им об уязвимости, компания предложила ему соглашение, которое по сути перекладывало любой будущий ущерб компании от этого инцидента на исследователя, хотя он этими данными не пользовался и никому их не распространял. Юристам DJI хочется пожелать удачи в создании образа компании - мало того, что производитель смог так опростоволоситься, так ещё и они добавили негатива, потому что попытались всё спихнуть на того, кто пытался им помочь. Вообще же, кажется, подобным фирмам пора заводить отдельных людей, которые будут ответственны за всё, что публикует компания, начиная от блога (привет, Adobe Security Team!) и заканчивая публичным git-репозиторием (привет, любители git add -a!). https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf

Занятный пример того, как что-то небольшое, но хорошо придуманное и аккуратно сделанное, может собрать горсть звезд на гитхабе и даже быть вполне полезным.
На HackerNews не так давно промелькнула ссылка на крошечную библиотечку Eel, позволяющую реализовывать в приложениях пользовательский интерфейс основанный на HTML/JS.
Почти как Electron только для Python.
Из любопытных особенностей: из коробки реализован удаленный вызов процедур между Javascript и Python (что в общем-то не очень важно в современном мире, но всё же достаточно приятно), проект не тянет за собой тонну зависимостей, вполне приятно выглядит и снабжен примерами.
И, конечно же, проект размещается GitHub: https://github.com/ChrisKnott/Eel