Как вывести свою систему на новый уровень безопасности с модулями python-gnupg и getpass4.


Изображение :  freeGraphicToday, via Pixabay. CC0.

В условиях растущих требований к безопасности создание и хранение паролей может вызвать вопросы не только для пользователей, но и у разработчиков и системных администраторов. Специалисты и другие осведомлённые люди знают, что пароли нужно хранить в зашифрованном виде. Уже на этапе ввода символы пароля нужно скрывать от любых глаз (даже от того человека, который его вводит). Всегда ли мы можем выполнить хотя бы эти требования?

Я единственный пользователь своего ноутбука, а на его борту крутится ОС семейства Linux. Поэтому меня не беспокоят пользователи, которые могут случайно или неслучайно посмотреть мои конфигурационные файлы, работая на этом же компьютере. Я решил заморочиться и повысить безопасность своего личного ноутбука, и на то есть свои причины. Да, я шифрую свой домашний каталог, но как только вхожу в систему, любой пароль, хранящийся в виде простого текста в файле конфигурации, потенциально может быть уязвим для чересчур любопытных глаз.

К тому же, я использую почтовый клиент Mutt. Он позволяет мне читать и составлять электронные письма прямо в Linux-терминале. Мне удобно, мне нравится. Правда, ему нужно, чтобы я хранил пароль в файле конфигурации (.mutt), либо всё время вводил пароль в интерактивном режиме. Поэтому я ограничил права доступа к моему конфигурационному файлу Mutt, чтобы его мог видеть только я. 

Но есть ещё один важный момент:

«… я раньше думал, что могу писать программы без ошибок»

Это вторая часть интервью. Первую часть можно прочитать здесь.

Адам: Привет и добро пожаловать в CoRecursive. Я Адам Гордон Белл. В каждом эпизоде ​​CoRecursive кто-то делится увлекательной историей создания собственного программного обеспечения.

Что произойдет, если сайд-проект, который вы делали по фану, вдруг станет популярным во всём мире? Как вы будете монетизировать его? Будете ли вы уделять ему всё своё время? Будете ли вы париться на счёт его обслуживания или просто оставите сервера включёнными и соберёте для них шкаф? Мой специальный гость Ричард Хипп — разработчик SQLite — продолжает отвечать на эти и многие другие вопросы.

Во второй части интервью вы узнаете:

• почему Ричард считает себя причастным к провалу Motorola и Nokia;
• к каким проблемам привело масштабирование СУБД SQLite;
• сколько тест-кейсов нужно, чтобы обеспечить ей 100-процентное покрытие;
• о том, как Ричард добавил покрывающие индексы в SQLite;
• почему и как Ричард разрабатывает собственную систему контроля версий;
• какой совет он может дать младшим коллегам.

Адам: Привет и добро пожаловать в CoRecursive. Я Адам Гордон Белл. В каждом эпизоде ​​CoRecursive кто-то делится увлекательной историей создания собственного программного обеспечения.

Что произойдет, если сайд-проект, который вы делали по фану, вдруг станет популярным во всём мире? Как вы будете монетизировать его? Будете ли вы уделять ему всё своё время? Будете ли вы париться на счёт его обслуживания или просто оставите сервера включёнными и соберёте для них шкаф? У меня есть специальный гость, который ответит на эти и многие другие вопросы.

Ричард: Привет, я Ричард Хипп — разработчик SQLite.

Адам: СУБД SQLite вы можете встретить где угодно: в веб-браузере, в вашем телефоне, возможно, в вашей машине и даже в авиалайнерах. SQLite используют для хранения ваших сообщений в iMessages и WhatsApp. Попробуйте поискать на своём девайсе файлы с расширением .db, и вы удивитесь, насколько много баз данных SQLite окажется на борту. 

С появлением краудфандинговых сервисов у креативных и предприимчивых людей появилась возможность реализовать свои идеи на массовом рынке. Много ли надо для успешной реализации такого проекта? Очевидно, что идея должна быть, как минимум, интересной, нужной, а еще желательно и оригинальной.  За примерами успешных проектов далеко ходить не надо: очки виртуальной реальности «Oculus Rift», наручные часы «Pebble», макрообъектив «Laowa», сумка-рюкзак для фотографов «The Everyday» и тысячи других интересных проектов.
Однако, по разным причинам, не все идеи находят поддержку среди спонсоров. Здесь я приведу свой, слегка приправленный сарказмом, топ странных кампаний Кикстатретра. Итак, поехали!

Apollo 11 Command Module Illuminate Control Panel

Начнем с маленького шага для одного человека, но большого для всего человечества — точная копия панели управления командного модуля ракеты Сатурн-5.


Предлагаются три полноразмерные панели управления командными модулями общей шириной 82 дюйма, высотой 33 дюйма и глубиной 7 дюймов. При чем руководитель группы этого продукта Марк Ласофф, получил премию Оскар за свою работу над фильмом «Титаник». Также он работал над картинами «Аполлон-13», «Аватар» и «Легенды космического центра НАСА». Ума не приложу кому и зачем это надо, но кампания по сбору средств еще не закончена, и вы можете приобрести себе полномасштабную модель за $795 или ограниченную серию из бронзы за $9500. Для успешного завершения кампании, требуется собрать 280 000 долларов США. Пока собрано чуть более одной тысячи долларов. Ну что же, пожелаем успеха марку Лассофу.

Двадцать лет назад относительно неизвестный в то время программист по имени Брэм Коэн в одиночку совершил революцию в сфере технологий обмена файлами. Тогда социальные сети ещё не были развиты, но BitTorrent особо и не нуждался в лайках. Со временем он был оценён по достоинству в ИТ-сообществе. В начале двухтысячных новый протокол обмена файлами изменил ход развития Интернета.

«Наконец-то заработало моё новое приложение BitTorrent, оно доступно по ссылке ниже», — написал Коэн на доске объявлений Yahoo!.. Это было 2-го июля 2001 года.


Вероятно, за всю историю ИТ это была одна из самых, мягко говоря, лаконичных PR-кампаний в поддержку запуска нового продукта. Не впечатлил и «дизайн» официального сайта с чёрным текстом на белом фоне: весь сайт — несколько строк HTML-кода. Тогда никто не мог представить, какую роль в развитии всего Интернета сыграет BitTorrent.

Полное отсутствие маркетинговой составляющей Брэм Коэн компенсировал за счёт технических характеристик продукта. Он ранее работал в стартапе, команда которого трудилась над одноранговой сетью MojoNation. Потом у этого проекта закончилось финансирование, и 25-летний разработчик сосредоточился на развитии собственного проекта — протокола для обмена файлами.

История компании Apple невероятна: от гаража до одной из самых крупных компаний в мире. Сейчас Apple задает тренды и определяет, что будет модно завтра. Красивая упаковка, «челочка» у смартфона, да и вообще сам смартфон. Может быть, Apple и не были первыми, кто это придумал, но именно они задали на это моду. А история серии компьютеров Mac начиналась с очень интересного гаджета — Macintosh 128k. Давайте посмотрим, как его создавали и что он из себя представлял.

История создания

Разработка Macintosh началась в 1979 году с инициативы Джефа Раскина. Он хотел создать недорогой и удобный персональный компьютер для широких масс. Но перед тем, как набрать команду, необходимо было решить вопрос о названии. Выбор пал на сорт яблок Мекинтош. Во-первых, это был любимый сорт яблок Раскина. А во-вторых, о, неожиданно, это же Apple. На этом этапе у Apple возникли некоторые проблемы с таким названием, поскольку оригинальное название сорта яблок — McIntosh — было частью названия компании McIntosh Laboratory. Решили выбрать всем известный вариант, на который пришлось приобрести права. 

В команду за несколько лет разработки к Раскину попали следующие люди:

Компания OpenAI отказалась открывать исходный код алгоритма обработки естественного языка третьего поколения (модель называется GPT-3, имеет 175 миллиардов параметров). Поэтому другие компании разрабатывают свои модели. Они имеют меньше параметров, но похожую архитектуру и после обучения тоже показывают впечатляющие результаты.

Например, GPT-J от компании EleutherAI с 6 миллиардами параметров, разработанная Араном Комацзаки и Беном Вангом, также имеет сходства с GPT-3. У них есть бесплатное веб-демо, чтобы попробовать подсказки и ноутбук Google Colab. Модель не такая большая, как GPT-3, но для генерации текста с разумной скоростью ей уже требуется Google Cloud TPU.

Запуск GPT-J с моими тестовыми подсказками, в сравнении с тестами GPT-3, показал более слабые результаты на большинстве из них, но есть одно большое НО:

Генерация программного кода на GPT-J работает очень хорошо, а на GPT-3 — очень плохо.


Полный тред в твиттере

Такое поведение, вероятно, связано с обучающим набором GPT-J: его обучали на The Pile, который имеет больше входных данных с GitHub и Stack Overflow по сравнению с обучающим набором GPT-3 (там в основном Common Crawl, текстовый интернет-контент общего назначения).

Я использую текстовый редактор Edlin, когда мне хочется переместиться в 80-е годы. Согласен, развлечение это своеобразное, но у всех свои причуды. Кто со мной?



Когда-то стандартным текстовым редактором в DOS был Edlin. Его создал Тим Патерсон — для первой версии DOS, которая тогда называлась 86-DOS, а позже получила название PC-DOS и MS-DOS. Патерсон говорил, что хотел со временем заменить этот редактор другим. И только десять лет спустя в MS-DOS 5 (1991) вместо Edlin появился Edit, полноэкранный текстовый редактор.

Здесь я буду использовать версию Edlin для FreeDOS. Это операционная система с открытым исходным кодом. Её можно использовать для игры в классические игры DOS, запуска старого программного обеспечения или разработки встроенных систем. FreeDOS поддерживает совместимость с MS-DOS и включает утилиты и программы, созданные по образу и подобию своих аналогов из MS-DOS. 

Одна из таких программ — это open source реализация легендарного редактора Edlin, которая распространяется под лицензией GNU General Public License v2. Портированием Edlin на FreeDOS занимался Грегори Питч. У него получился GPL-лицензированный клон Edlin, который, ко всему прочему, умеет работать с длинными файлами. Он поставляется вместе с дистрибутивом FreeDOS. Клон Edlin также можно установить в MS-DOS. При желании вы даже можете скомпилировать Edlin для Linux- и Unix-систем. 

Наш организм куда сложнее любой компьютерной программы. И если даже при работе с кодом бывает трудно определить истинную причину того или иного бага, то что тогда говорить о «неполадках» в человеческом теле? Именно поэтому банальный совет «если чувствуете недомогание, обратитесь к врачу» никогда не потеряет своей актуальности, ведь один и тот же симптом может быть следствием абсолютно разных патологий, и только опытный специалист способен выявить истинную причину его возникновения. Впрочем, не будем голословными, а лучше рассмотрим конкретный пример.

Если при длительной работе за ПК вы отмечаете снижение остроты зрения, у вас появляется чувство инородного тела в глазах и их покраснение, это вполне может быть проявлением компьютерного зрительного синдрома. Если вас бросает то в жар, то в холод, вы обильно потеете и не можете уснуть, даже если сильно устали, возможно, у вас имеет место соматоформная вегетативная дисфункция. Если периодически у вас возникают головокружения, появляются шум в ушах и головные боли, сопровождаемые перебоями в работе сердца, это может быть следствием гипертонической болезни.

Однако в то же время все перечисленные симптомы, столь непохожие друг на друга, характерны и для вертебро-базилярной недостаточности (ВБН), а причиной развития данного недуга может оказаться искривление шейного отдела позвоночника, вызванное неправильной осанкой при длительной работе за компьютером. Что же это за болезнь и как не допустить ее развития? Об этом мы и расскажем в сегодняшнем материале.

Image by : Opensource.com

Не так давно корпорация Microsoft открыла исходный код GW-BASIC. И на волне этого инфоповода автор решил скачать его, установить на FreeDOS и написать на этом языке знаменитую игру с угадыванием чисел. Казалось бы, всё просто. Но не совсем… Об этом его статья.

В детстве я почитал за абсолютную истину, что вообще любой «персональный компьютер» от TRS-80 до Commodore и Apple позволяет писать свои собственные программы на BASIC. Меня также подкупил тот факт, что его название расшифровывалось, как Beginner's All-purpose Symbolic Instruction Code — универсальный код символических инструкций для начинающих. В нашей семье был клон Apple II под названием Franklin ACE 1000. На его борту работал интерпретатор AppleSoft BASIC. Естественно, я хотел научиться программировать на BASIC и начал с чтения соответствующих книг и журналов.

Позже наша семья перешла на IBM PC с DOS. На этой машине была установлена ​​собственная версия DOS под названием BASICA. Более поздние версии DOS уже выходили с обновленным интерпретатором GW-BASIC.

BASIC стал моим счастливым билетом в мир программирования. Со временем я изучил другие языки программирования. Я не писал код на BASIC много лет, но всегда с теплотой вспоминал BASIC и GW-BASIC.

Не секрет, что инструменты Google Workspace собирают наши данные. Но могут ли предложить аналогичный инструментарий другие компании, которые заботятся о нашей конфиденциальности? Что они потребуют от нас взамен? (спойлер: деньги, но дело не только в них)

Зашифрованный почтовый сервис ProtonMail существует с 2014 года, но в последнее время компания начала ориентироваться на более широкий сегмент. В апреле Proton запустил публичную бета-версию своего календаря. А в начале этого месяца выкатил бета-версию облачного хранилища под названием Proton Drive для всех платных подписчиков. Недавний редизайн помог связать все эти продукты в единый интерфейс.

В планах компании разработка таких продуктов, как видеочат. Как говорится, делайте выводы. И это далеко не единственный пример.


Proton Calendar

Асинхронное программирование — мощный инструмент. Но экосистема Rust продолжает активно развиваться, и пока язык далёк от идеала. В частности, по этой причине многие считают, что асинхронное программирование в Rust — это боль. Однако некоторые не только критикуют, но и предлагают. Среди таких людей автор данной статьи. 

Здесь я расскажу о некоторых ранее предложенных идеях и свяжу их с новыми предложениями. Я проведу некий мысленный эксперимент и постараюсь ответить на вопрос «Что мы могли бы сделать с асинхронным программированием в Rust, если бы нам дали полный карт-бланш?». 

Непродуманное внесение изменений в Rust может разрушить его. Поэтому всё нужно делать аккуратно, учитывая плюсы и минусы. Допускаю, что некоторые предложения могут вызвать негативную реакцию. Я отношусь к этому с пониманием и прошу читателя подойти к изучению этого материала максимально непредвзято.

Потоки vs Асинхронность

Писать асинхронный код зачастую сложнее, чем просто использовать потоки. Но с потоками мы не можем получить выигрыш в производительности, так как они слишком прожорливые. В процессе переключения между разными потоками и обмена данными между ними возникает много накладных расходов. Даже поток, который сидит и ничего не делает, использует ценные системные ресурсы. Чаще всего, асинхронный код работает гораздо быстрее. Но не всегда:

Например, этот echo server написан с использованием потоков. Он работает быстрее своей асинхронной версии — для случая, когда количество одновременных подключений не превышает 100.

Что такое краудфандинг, надеюсь, рассказывать нет необходимости, потому без лишних предисловий поведаю о своем опыте работы с одним из таких сервисов. Речь пойдет не о таком гиганте как Kickstarter, а о более специализированном на «железных» open source проектах сервисе CrowdSupply. Но обо всем по порядку. 

Значит пилил я, пилил свой девайс, себе в копилку очередных погодных информеров, раздвигателей штор, котопоилок (нужное подчеркнуть) и, внезапно… Допилил. Ну то есть, ребята которым показал, сказали, что такое нельзя прятать от общественности и предложили показать на суд публики. Штош, попробуем. Попробовал. Понравилось. Предложили запуститься на CrowdSupply.

Итак, что эта за платформа и в чем преимущество (и есть ли оно) перед Kickstarter. Во-первых, создатели сервиса делают упор на открытость и «железячность» проектов. И действительно, если полистать список, можно убедиться, что подавляющее большинство профинансированных проектов, это устройства реализованные в железе, хотя в числе первых были и довольно необычные. Например этот кусок э-ээм… говядины в шоколаде:

Уж кого нельзя обвинить в скупости на разного рода ошибки и уязвимости, так это корпорацию Microsoft. За примером далеко ходить не надо — достаточно посмотреть на Windows 10, просто утопающую в багах. Упрекать разработчиков не стоит: они «старательно» выпускают патчи, исправляющие ошибки. Но статистика — вещь непредвзятая. Согласно «ежегодному отчету об уязвимостях Microsoft« от компании BeyondTrust, за 2020 год было обнаружено 1268 уязвимостей, из которых критических — 132. В этой статье взглянем на самые странные и глупые уязвимости, которые были найдены в продуктах от Microsoft.

Microsoft Teams и .GIF файлы

В апреле 2020 года CyberArk опубликовала статью об уязвимости в Microsoft Teams, позволяющей злоумышленникам получить доступ к аккаунту жертвы с помощью одного лишь .GIF изображения. 

Суть уязвимости в следующем: чтобы убедиться, что пользователь получает предназначенное для него изображение, в Microsoft Teams используются два токена для аутентификации: authtoken и skypetoken. Authtoken позволяет загружать изображения на доменах Teams и Skype, а затем генерирует skypetoken. Skypetoken используется для аутентификации на сервере, обрабатывающем действия клиента, например чтение и отправка сообщений.

Аппарат линейной алгебры применяют в самых разных областях — в линейном программировании, эконометрике, в естественных науках. Отдельно отмечу, что этот раздел математики востребован в машинном обучении. Если, например, вам нужно поработать с матрицами и векторами, то, вполне возможно, на каком-то шаге вам придётся решать систему линейных алгебраических уравнений (СЛАУ). 

СЛАУ — мощный инструмент моделирования процессов. Если некая хорошо изученная модель на основе СЛАУ годится для формализации задачи, то с высокой вероятностью её можно будет решить. А вот насколько быстро — это зависит от вашего инструментария и вычислительных мощностей.

Я расскажу про один из таких инструментов — Python-пакет scipy.linalg из библиотеки SciPy, который позволяет быстро и эффективно решать многие задачи с использованием аппарата линейной алгебры.

В этом туториале вы узнаете:

• как установить scipy.linalg и подготовить среду выполнения кода;
• как работать с векторами и матрицами с помощью NumPy;
• почему scipy.linalg лучше, чем numpy.linalg;
• как формализовать задачи с использованием систем линейных алгебраических уравнений;
• как решать СЛАУ с помощью scipy.linalg (на реальном примере).

Если можно — сделай тут habraCUT! Важно, чтобы этот ^^ список люди прочитали и заинтересовались

Когда речь идёт о математике, изложение материала должно быть последовательным — таким, чтобы одно следовало из другого. Эта статья не исключение: сначала будет много подготовительной информации и только потом мы перейдём непосредственно к делу. 

Если готовы к этому — приглашаю под кат. Хотя, честно говоря, некоторые разделы можно пропускать — например, основы работы с векторами и матрицами в NumPy (если вы хорошо знакомы с ним).

Персонал отряда 731

Совсем недавно, в 2018 году, Японский Национальный архив рассекретил личные данные всех 3607 членов так называемого отряда 731, который устраивал эксперименты на людях во время оккупации Китая. В японском общества давно имеется запрос на признание и обнародование всех материалов, касающихся военных преступлений Японии в ходе ВМВ. Японское же правительство по возможности избегает неудобных тем, давая комментарии в крайних ситуациях: так факт применения биологического оружия против Китая был официально признан лишь в 2002 году.  Теперь имена преступников известны общественности, но понесли ли они хоть какое-нибудь наказание? 20 августа 1947 года завершился Нюрнбергский процесс над врачами. По итогу суда, из 23 подсудимых 7 были приговорены к смертной казни, 5 к пожизненному заключению, 4 к тюремному заключению от 10 до 20 лет и 7 человек были оправданы. В рамках процесса рассматривались преступления немецких врачей, а именно их участие в зверских медицинских экспериментах над пленниками концентрационных лагерей. 

Так вот, Япония также проводила подобные бесчеловечные эксперименты. Одним из самых жестоких и крупных японских военных преступников являлся отряд 731 — подразделение, которое занималось разработкой биологического оружия и медицинскими экспериментами на людях. Эти опыты по своей бесчеловечности ничуть не уступали немецким. От рук отряда, по официальной версии, погибло порядка 3 тысяч человек, но большинство сотрудников не понесли никакого наказания за свои деяния. В этой статье рассмотрим, как создавался отряд «смерти», чем они занимались, как сложилась их судьба после окончания Второй мировой войны и повлияла ли их деятельность на международный контроль биологического оружия.

В автомобилестроении примерно шесть лет назад всерьез взялись за кибербезопасность, начали инвестировать в проектирование и развертывание киберзащитных решений. Сегодня в автомобильной индустрии кибербезопасность обеспечивается как аппаратными, так и программными решениями, но предстоит долгий путь, прежде чем все до одного ECU (электронные блоки управления) в машине будут защищены от активизирующихся кибератак. 

Кибербезопасность в автомобилестроении гораздо сложнее, чем на смартфонах и ПК, по двум основным причинам: 

1. Десятки ЭБУ в каждой машине, соединенные множеством электронных шин и отвечающих за различные скорости и характеристики, и 
2. Множество потенциальных точек доступа, как расположенных внутри автомобиля, так и удаленных, в частности, OBDII, USB и SD-порты, бесключевой доступ, Bluetooth и Wi-Fi, встроенный модем, датчики, инфотейнмент или приложения для смартфонов, а также множество подключений с применением телематики и других облачных систем, имеющих доступ к системам автомобиля.

Повод для оптимизма – в том, что в области автомобильной кибербезопасности все больше делается для оснащения автомобиля собственным аппаратным и программным обеспечением, а также для развития облачных платформ, обеспечивающих кибербезопасность. Формируется несколько стандартов и регламентов, регулирующих кибербезопасность, что дополнительно способствует развертыванию киберзащитных решений во всех подключенных автомобилях. 

В следующей таблице обобщены аспекты кибербезопасности, затронутые в этой авторской колонке. Дополнительная информация будет изложена в другой авторской колонке на эту тему.

Сейчас упоминание Electronic Arts (ЕА) у многих вызывает ассоциации, в первую очередь, с однообразными застойными сиквелами и бесконечными микротранзакциями. Но так было не всегда: долгое время издатель пользовался любовью геймеров и уважением со стороны представителей индустрии. В 80-90-ых ЕА построила прибыльный бизнес на франшизах спортивных видеоигр (таких, как Madden и FIFA) и помогла состояться культовым проектам и талантливым разработчикам — Уиллу Райту (SimCity), Питеру Молинье (Theme Park), Ричарду Гэрриоту и Уоррену Спектору.

Что такое Workbox?

Workbox (далее — WB) — это библиотека (точнее, набор библиотек), основной целью которой является "предоставление лучших практик и избавление от шаблонного кода при работе с сервис-воркерами" (далее — СВ).

Если вы впервые слышите о СВ, то перед изучением данного руководства настоятельно рекомендуется ознакомиться со следующими материалами:

• Service Worker API — MDN
• Service Workers: an Introduction — Web Fundamentals
• Визуализация работы сервис-воркеров — Хабр
• Рецепты по приготовлению офлайн-приложений — Хабр

WB предоставляет следующие возможности:

• предварительное кэширование
• кэширование во время выполнения
• стратегии (кэширования)
• обработка (перехват сетевых) запросов
• фоновая синхронизация
• помощь в отладке

Это вторая часть руководства. Вот ссылка на первую часть.

Модули, предоставляемые WB

Мы продолжаем серию публикаций адаптированного и дополненного перевода "Карманной книги по TypeScript".

Другие части:

• Часть 1. Основы
• Часть 2. Типы на каждый день
• Часть 3. Сужение типов
• Часть 4. Подробнее о функциях
• Часть 5. Объектные типы
• Часть 6. Манипуляции с типами
• Часть 7. Классы
• Часть 8. Модули

Обратите внимание: для большого удобства в изучении книга была оформлена в виде прогрессивного веб-приложения.

Определение модуля

В TS, как и в ECMAScript2015, любой файл, содержащий import или export верхнего уровня (глобальный), считается модулем.

Файл, не содержащий указанных ключевых слов, является глобальным скриптом.

Модули выполняются в собственной области видимости, а не в глобальной. Это означает, что переменные, функции, классы и т.д., объявленные в модуле, недоступны за пределами модуля до тех пор, пока они в явном виде не будут из него экспортированы. Кроме того, перед использованием экспортированных сущностей, их следует импортировать в соответствующий файл.