Тестор разной хрени про безопасность. В основном Android
Joined Jul 2020
Я не знаю, поведение это конкретно #SoloKey или вообще это нормально для всех, но нажатие на кнопку подтверждения позволяет сайту читать данные на 3 секунды.
Выглядит скорее неприятно, чем опасно.
Как проверить:
1. Зайти на любой сайт, где можно использовать U2F. Например https://u2f.bin.coffee/
2. Зарегать ключ
3. Нажать кнопку на ключе и только потом нажать на сайте кнопку запроса верификации
Тестовый сайт сразу вернёт данные, без необходимости нажимать кнопку.
Т.к. время этого всего 3 секунды, не считаю проблему серьёзной.
Проверял на #Firefox
Я не могу пробросить видяху в qemu, если она одна в компе, даже не смотря на то, что установлена Ubuntu Server и эта видяха в хостовой ОС вообще ни для чего не нужна?
Спам? В моём Федивёрсе? Это ли не признак популярности?!
Если кому полезно для превентивного бана, то это учётка https://mastodon.online/@Alice6894
Уж сколько раз твердили миру, а воз и ныне там: https://positive.security/blog/url-open-rce
Интересное поведение в Fx+KeePassXC.
Если сайт использует вот эту авторизацию, которая поднимает модальное окно (как она там называется), то КиПас не реагирует. Но если, пока окно висит (в последних версиях Лисы окна перестали быть модальными и доступ к строке ввода сохраняется), нажать Enter на этом же адресе, который уже поднял запрос, то КиПасс предложит ввести креды и на сайт уже можно будет войти.
А есть где подписаться на уведомления о скидках от ДжетБрейнс? Хочу прикупить GoLand, но с текущим рублём прям дорого для "возможно пригодится, но не факт"
```
➜ ~ cat /etc/pam.d/sddm
#%PAM-1.0
auth include system-login
auth required pam_u2f.so nouserok origin=pam://minium appid=pam://minium
<cut>
```
А как мне повесить запрос от SoloKey ещё и на пароль после блокирования экрана?
Umnik
boosted
@rf Уважаемые, а кто-нибудь может в двух словах обозначить модель федерации Fediverse: как узел находит другие инстансы? Используется модель стартовых узлов, каких-то общих списков, или как? 
Umnik
boosted
Ну что, пацаны и девчата, переходим на полноценный российский дистр "Старт" на ядре "Kernel"?
СОБЕСЕДОВАНИЕ в СУРОВОЙ РОССИЙСКОЙ IT КОМПАНИИ (2021)
https://www.youtube.com/watch?v=EjgfSC3Eenk&t=311
Umnik
boosted
Что-то около года назад у меня знатно пригорело от #YouTube и того, как они спокойно рекламировали мошенников ("верните 300 000 рублей с ваших ндс!" и прочее дерьмо со скриншотами из федеральных новостей с ведущими). Тогда я ушёл с официального клиента на #Vanced.
Знаете, это было действительно классное решение: смотри себе на мобилке ютуб без рекламы с премиум-плюшками вроде воспроизведения видео с выключенным экраном. Реально, это классно.
За год эта тема немного развилась, и я хотел бы чуточку об этом рассказать тем, кто не знает.
Начну с простого: с установки Vanced. Раньше требовалось ставить левый софт, чтобы установить по-особенному подготовленный пакет приложения, не забыв рядом подобрать специальную версию MicroG..
Позже были предприняты попытки сделать установку удобнее без лишнего софта, но пользователи всё равно были привязаны к офф. сайту или apk с #4pda. И вот недавно авторы Vanced предложили новый вариант установки, который является наиболее удобным. Они предложили приложение Manager, которое способно устанавливать сразу необходимый софт и обновлять его по мере обновления. Никаких APK с форумов больше не нужно.
Потом я понял, что мне хотелось бы смотреть ютуб без говно-рекламы и на телевизоре в ряде сценариев. К моему счастью существует #SmartTube Next. Там точно так же нет никакой рекламы, зато есть возможность обновления приложения через интерфейс программы. Добавить к этому что-то сложно, ибо с задачей софтина справляется.
НО! В 2021-м году для меня стала настоящим открытием опция SponsorBlock в Vanced и SmartTube. Я сразу не понял, что это, и как-то подзабил. Но со временем любопытство взяло верх.
Собственно, это плагин (для браузеров он есть в магазинах дополнений), который позволяет пропускать рекламу в видеороликах, которую автор встроил прямо в видеоряд (все эти "рекомендую вам молодой канал", "покупайте по моему промокоду" и "увидимся в рейде"). Фишка в том, что пользователи сами выбирают рекламные сегменты и отправляют на сервер сообщества. Информация обменивается очень быстро.
Очень порадовало, что на разных устройствах можно ввести свой код профиля и получить что-то вроде общей статистики с устройств.
Прикрепляю свой скрин работы плагина за несколько дней. Я сделал 11 отметок, которые помогли суммарно сэкономить людям 34 с половиной часа времени, убрав рекламу.
Жить стало существенно проще. Я перестал видеть автоматическую рекламу, спонсорский мусор в самих видеороликах, а также бонусом пропускаю длинные неинтересные заставки к видео. Ощущение, словно ютуб очистился от говна.
Люто рекомендую попробовать, если вы ещё не. Это не сложно и не займёт много времени.
Что такое 2FA с точки зрения Mail.Ru: https://t.me/mydaybug/338
При попытке логинов под admin:admin отдавать 200 и base64 текст.
При декодировании текста будет другой текст под шифром Цезаря.
При декодировании шифра получаем ссылку.
При открытии ссылки загружается страница: "ВОТ ТЫ И ПОПАЛСЯ, ПЕТУШАРА" и обязательно рикроллинг, конечно. В идеале, чтобы в ролике тоже петух был.
Мой роутер понимает, что телефон использует рандомизацию MAC адреса. Как он это понял?
Предполагаю, что для у рандомов есть какой-то стандартный префикс или, например, выделен какой-то пул.
Но может кто-то точно знает, как именно роутер распознал рандомизацию?
Нарциссизм раньше: "боже, как я хорош".
Нарциссизм сейчас: "neofetch"
Чёт я туплю. Как мне заставить в шелле (zsh) использовать только en_US локаль для _текста_, сохранив даты, сортировки и всё прочее в ru_RU?
В файлах ~/.{zshenv,zshrc} написано:
```
➜ ~ cat ~/.zshenv
export LANG="en_US.UTF-8"
export LC_CTYPE="ru_RU.UTF-8"
export LC_NUMERIC="ru_RU.UTF-8"
export LC_TIME="ru_RU.UTF-8"
export LC_COLLATE="ru_RU.UTF-8"
export LC_MONETARY="ru_RU.UTF-8"
export LC_MESSAGES="en_US.UTF-8"
export LC_PAPER="ru_RU.UTF-8"
export LC_NAME="ru_RU.UTF-8"
export LC_ADDRESS="ru_RU.UTF-8"
export LC_TELEPHONE="ru_RU.UTF-8"
export LC_MEASUREMENT="ru_RU.UTF-8"
export LC_IDENTIFICATION="ru_RU.UTF-8"
export LC_ALL=
```
Однако mc использует русскоязычную локаль. Да и пакман пишет мне по-русски:
```
➜ ~ pacman
ошибка: не указана операция (используйте -h для справки)
```
Тестор разной хрени про безопасность. В основном Android
Joined Jul 2020
