Kurgan-Telecom Ru | Информационные технологии

Всем доброго полудня, меня зовут Лара и я работаю менеджером проектов в вебе больше 5 лет.

В современном мире, когда люди поняли, что все эти психологические непонятные вещи не от лукавого и стали разбираться в причинно‑следственных событиях, то обнаружилось много чего интересного.

Сходив к специалисту я радостно узнала, что владею таким чудесным расстройством как «тревожное расстройство» и потихоньку начала разбираться в каких сферах я это я, а где эта обезьяна, которая постоянно орет «БЕЙ ИЛИ БЕГИ».

Я пришла не ныть, а разобрать как это работает в профессиональной сфере (и не только у меня).

Привет, мир! Недавно я решил пополнить свои знания протоколов NTLM'ом; и, к большому сожалению, стоящих материалов, которые бы подробно и полно описывали работу NTLM, я не нашел (есть лишь пара годных статей на английском языке, но и они, на мой взгляд, не дают нужного уровня глубины). Потому я решил написать статью, которая бы в подробностях рассказала о том, как работает данный протокол и удовлетворила даже самого душного нерда, каким автор и является)))

Играть в игры весело, а ещё веселее их разрабатывать!

Сегодня мы создадим простейшую игру для Telegram, представляющую собой Mini App.

В нашем случае, это игра с «бизнес-уклоном». Часто клиенты хотят бонус, но раздавать по запросу бонусы не очень правильно. Гораздо лучше, чтобы пользователи его «заработали», выполнив какие-то действия, взаимодействуя с вашим брендом. А что может быть веселее небольшой игры с призом в конце.

В нашей игре нужно будет прыгать по платформам и собирать звёзды.

Ссылка на игру – вы можете пройти её сами.

Когда данных мало, а домен сильно отличается, предобученные модели перестают работать.

Я попробовал вместо сбора и ручной разметки генерировать дорожные дефекты поверх реальных кадров.

Что получилось, где работает, где нет и сколько это стоит - в статье.

В статье расскажу, как можно экономить токены при использовании агентов в различных IDE Cursor, VS Code и т. п. Что такое MCP Serena, для чего она нужна, какие инструменты есть на борту.

Привет! Меня зовут Сергей Федоричев, я младший проектировщик интерфейсов в Selectel. Когда я был студентом, у меня, как и у многих, было довольно романтизированное представление о работе UX-дизайнера в IT. Казалось, что главное — уметь проектировать интерфейсы, знать паттерны и аккуратно работать с макетами.

Практика быстро расставила все по местам. В этой статье я расскажу о своем пути от студенческой практики до стажировки в продуктовой команде, о первых успехах и неудачах, о работе с командой и пользователями — и о тех инсайтах, которые, надеюсь, помогут другим новичкам, особенно UX-дизайнерам, чуть увереннее чувствовать себя на старте.

Привет, Хабр! Мы живем в информационном обществе. Ежедневно мы получаем огромные объемы информации из самых разных каналов — социальных сетей и других онлайн-площадок, наружной рекламы, от других людей, с которыми постоянно находимся на связи. Сегодня внимание и наша способность концентрироваться — это главный дефицитный ресурс. 

Последствия уже налицо: нейрофизиологи говорят о перегрузке фильтров внимания, педагоги — о проблемах с концентрацией у студентов, а психотерапевты диагностируют массовое состояние, близкое к СДВГ. 

Давайте посмотрим на разные точки зрения, познакомимся с теорией и авторами, которые раскрывают эту тему. А свое мнение пишите в комментариях!

В этом учебном году в нашей школе внедрили новый электронный дневник. Дизайн в стиле «привет из 2010-го», медленная загрузка — типичный набор для регионального госсектора. Глядя на всё это, я подумал: если визуальная часть сделана так лениво, то что же там под капотом?

Моё любопытство было вознаграждено сполна. Внутри мобильного приложения обнаружились: отладочные логи, пишущие сессионные куки в открытый доступ, самописная «криптография» на базе XOR, неиспользуемые фрагменты AES и вишенка на торте — захардкоженная в коде универсальная заглушка для авторизации, которую разработчики, видимо, забыли вырезать после тестов.

В этой статье я расскажу, как декомпиляция APK, USB-отладка и пара скриптов на Python помогли мне обойти защиту системы, написать собственного Telegram-бота для получения оценок и в очередной раз доказать, что концепция «Security through obscurity» не работает, если за дело берется школьник с JADX.

В программе:

Перехватываем X1_SSO через adb logcat.

Реверсим класс Crypt и реализуем его логику на Python.

Ищем загадочный pdakey и находим «магическую» строку 000xpda.

Пишем бота, который работает быстрее официального приложения.

В 2000 году, когда у нас вышла первая лицензированная Might and Magic — восьмая часть, — большинство геймеров смогли впервые познакомиться с легендарной серией ролевых игр старой школы. Звучит странно, но всё было именно так: сначала официально появилась «восьмёрка», и только потом до нас добрались лицензированные Might and Magic 6 и 7. Я, как и многие тогда, начал знакомство с серией именно с VIII — и уже гораздо позже открыл для себя остальные части, постепенно втянулся во вселенную и неплохо разобрался в её лоре. Но в те годы я даже не подозревал, что события моих любимых «Героев 3» (как и вторых) происходят в том же мире и почти в одно время с Might and Magic 6, 7 и 8.

Игра продолжила знаменитую серию Might and Magic и стала прямым сюжетным наследником прошлых частей, но одновременно — их лебединой песней. В ней вновь предлагается окунуться в обширный мир «Меча и Магии» от первого лица, собрать отряд героев, обучив их множеству навыков и заклинаний, добыть эпические предметы и артефакты, чтобы после сразиться с многочисленными монстрами, знакомых многим по «Героям». Однако на фоне предыдущих хитов серии Might and Magic VIII привнесла несколько противоречивых нововведений и получила куда более сдержанный отклик — впервые в истории серии оценки критиков и геймеров стали скорее «средними», чем восторженными. Сегодня я постараюсь рассмотреть историю разработки Might and Magic VIII, пройтись по её геймплейным особенностям и рассказать, как с помощью модов «прокачать» любимый проект, чтобы удобно играть в 2026 году. Ну и, конечно, выложу для вас готовую сборку. Ладно, хватит прелюдий — поднимаем старые сейвы, накидываем свежие моды и ныряем в любимую классику!

В мире, где всё чаще во главу угла ставятся деньги, а не реальная польза, легко потерять ориентиры. Мы привыкли к тому, что образовательные курсы - это конвейер по выкачиванию средств, а Junior-разработчики - просто статистика. Мне захотелось создать что-то, что выбивается из этой парадигмы. Что-то, что принесет реальную пользу сообществу Гоферов.

Представляю вам The Gopher Shop - бесплатный open-source проект для обучения Go-разработке.

ConsentFix - это атака, при которой пользователь сам передаёт злоумышленнику код авторизации OAuth.

ConsentFix интересен тем, что это не эксплуатация бага и не 0day. Это UX-driven атака - атака на предположения модели безопасности OAuth о поведении пользователя. В сценариях с browser-based логином, localhost redirect и first-party приложениями пользователь внезапно оказывается частью trust boundary и может сам передать bearer token, не осознавая этого.

В статье разбирается:

• где именно в Authorization Code Flow возникает трещина,
• почему MFA и PKCE здесь не помогают,
• как выглядят такие атаки в реальности и в логах,
• и почему browser-first и identity-first архитектуры делают подобные сценарии всё более массовыми.

Зачем изобретать свой Street View?

Все мы привыкли к Google Street View, но что, если нужно показать пространство, куда машина со 360-камерой не заедет? Интерьер офиса, музей, университетский холл. Коммерческие решения для виртуальных туров часто дороги или ограничены в кастомизации.

Actor–critic методы относятся к классу on-policy алгоритмов: политика обучается только на данных, собранных текущей версией агента. После каждого обновления старые траектории становятся невалидными и не могут быть повторно использованы. Это делает обучение дорогостоящим и ограничивает эффективность оптимизации: агент вынужден постоянно генерировать новый опыт вместо того, чтобы извлекать максимум информации из уже собранных взаимодействий. Естественное желание – обучаться более оптимально, выполняя несколько шагов оптимизации на одном и том же наборе траекторий. 

Эта идея была реализована в алгоритме TRPO (Trust Region Policy Optimization), который вводит явное ограничение на расстояние между старой и новой политиками через KL-дивергенцию. Такое ограничение задаёт доверительную область, внутри которой можно безопасно выполнять несколько шагов оптимизации политики на одном и том же наборе траекторий. TRPO дает сильные теоретические гарантии, но требует сложной оптимизации второго порядка и плохо масштабируется.

PPO (Proximal Policy Optimization) предлагает практичную альтернативу: вместо жёсткого ограничения используется clipped surrogate objective, штрафующий слишком большие изменения политики. Это сохраняет ключевую идею trust region, но делает алгоритм простым для реализации и эффективным на практике. Благодаря этому PPO стал стандартным инструментом для обучения агентов в задачах управления, игровых средах, робототехнике и в RLHF при обучении больших языковых моделей.

Что такое «стратегия ИБ», которую поймёт Бизнес

Компания среднего размера. Один системный администратор отвечает за всё. Владелец не спрашивает о стратегии. Администратор действует по интуиции.

Установлен антивирус, бэкапы делаются раз в неделю, пароли меняются раз в год. Потом приходит атака шифровальщика.

Владелец платит. Потому что недельный бэкап означает неделю простоя.

Пока ИБ-директор говорит о технических угрозах правление не видит бизнес-ценности. Когда он говорит о рисках — слышит деньги.

Почему этот разрыв так трудно преодолеть? Потому что предупреждающая защита требует признания проблем. Что системы работали небезопасно и что сотрудники потенциальная угроза.

Легче купить инструмент который обещает обнаружить атаку после того как она произошла. Он не требует изменений. Не требует признаний. Так создаётся видимость управления.

Если система не падает никто не видит как специалист её защищает. Так возникает скрытая обратная мотивация не слишком усердствовать с профилактикой чтобы оставаться востребованным в момент кризиса.

AI в PHP: не теория, а место, с которого можно начать

В своей прошлой статье я описал на довольно общем уровне почему тема AI вроде бы везде, но при этом почти не пересекается с повседневной PHP-разработкой. Не потому что PHP "не подходит", а потому что сам разговор обычно идёт мимо наших задач и привычного способа мышления. Ну и, конечно, о том, что почти нет материала, который объясняет AI именно для PHP-разработчиков, их задач и их мышления.

После публикации мне несколько раз задали один и тот же вопрос, в разных формулировках:

Окей, допустим. А с чего конкретно начать?

И это, пожалуй, самый интересный вопрос из тех, что я получил. Ниже я попытаюсь дать на него ответ.

Пока работал над флоу в статье, заметил, что некоторое количество просадок в производительности при работе с агентом вне режима авто-пилота возникает из-за тихих ожиданий. Например, ты не смотришь в IDE, читаешь что-то, а Claude Code сидит тебя ждет. Особенно это надоедает, когда агенту нужно какое-то разрешение.

Я люблю и практикую ChatOps. Поэтому решение пришло само: пусть агент мне пишет в телеге, когда я ему нужен.

В работе проведено исследование особенностей использования цифрового двойника в условиях отсутствия «бесшовной интеграции», определены требования и рекомендации к структуре цифрового двойника, позволяющие обеспечить передачу данных между системами с отличающимся функционалом без роста его деградации. Исследование проведено методом теоретического анализа через моделирование ситуаций в рамках заданных ограничений и особенностей рассматриваемой системы.

Живу в России, и последние пару лет доступ к интернету стал напоминать квест: то ChatGPT заблокирован, то GitHub тормозит, то Discord не работает. VPN на телефоне и ноутбуке — это полумера: приходится настраивать на каждом устройстве отдельно, Smart TV вообще не умеет работать с VPN, а гости, приходя в дом, не могут нормально пользоваться интернетом.

Я решил настроить прозрачный прокси для всей домашней сети раз и навсегда. Теперь любое устройство, подключившееся к моему Wi-Fi, автоматически получает доступ ко всему интернету без каких-либо настроек. При этом российские сайты (госуслуги, банки) идут напрямую через моего провайдера, а всё остальное — через прокси.

Бонусом сделал веб-панель для управления: можно добавлять домены в исключения, смотреть статистику соединений и DNS-запросы.

Механизм охлаждения воздуха в ВТР – это охлаждение самого газа при адиабатическом расширении  из сжатого состояния, также как при обычном дросселировании. Но зачем тогда нужен вихрь в ВТР?

Последние две статьи были экспериментальными, где я делился результатами личных измерений в экспериментах с конкретной  «Вихревой трубкой Ранка-Хилша» (ВТР)

Результатом этих экспериментов стали следующие выводы:

1.     Для работы ВТР не играет роль  материал исполнения завихрителя с раструбом «холодного выхода». Это было подтверждено в эксперименте с заменяемыми завихрителями из разных материалов. То есть я  ошибался, заявляя про важность величины теплопроводности материала завихрителя для работы ВТР, о чём сейчас открыто заявляю.

2.     При недостаточном подпоре в тормозе «горячего конца» ВТР может превратится в «вихревой эжектор», то есть ВТР начинает  подсасывать наружный воздух в себя из «холодного конца», а не только разделять входящий  сжатый воздух на холодный и горячие потоки.

3.     Вращение вихря в ВТР идёт с высокой скоростью, которая определяется скоростью выходящего воздуха из сопел завихрителя ВТР.

4.     Необходимо точно определять  скорость воздуха из сопла ВТР чтобы начать расчёт происходящих процессов в глубине вихря в ВТР.

Последний вывод крайне важен, так как в учебниках и книгах вопрос о скорость струи из отверстия при транспортировании обходят заговором молчания. 

Температура струи из сопла ВТР

При истечении  воздуха из сопла  с перепадом давления от Рс=2атм  до Р2=1 атм  скорость потока от насосного выдавливания составляет Vнас= 288,7м/с на срезе прямого сопла. При этом молекулы газа имеют минимальную кинетическую энергию Екин=42 кДж/кг:

Вчера Ollama стала устанавливаться как версия 0.15.5

Теперь доступны новые модедели, например qwen3-coder-next.

Данная модель очень хорошо пишет код, но есть одна проблема. Для ollama есть только модели с квантизацией q4_K_M размер модели 52Гб., q8_0 размер 85Гб или платный запуск из облака. Сама модель обучена на 80 миллиардах параметров, большую часть которых составил код.

Да, в минимальной конфигурации, для локального запуска этой модели необходимо не меньше 80 Гб. видеопамяти если нужна большая скорость. Конечно можно запустить эту модель и на CPU, имея от 128 Гб. DDR5 RAM, работать будет, но очень медленно.

Что интересно, на такие статьи всегда налетают хейтеры, я думаю это из за того что не каждый может собрать сервер для запуска таких моделей. Но проблема в том что, когда я предлагаю таким людям доступ к своему серверу, на котором уже загружены эти модели и у которого хватает мощности для их инференса, они начинают ставить минусы к статьям и писать нелепые комментарии о том что ollama это полное гавно.

Если вы не хейтер и не супергуру в нейросетях, то буду рад дать доступ к моему ИИ серверу на котором вы сможете испытать 10 различных моделей.

Доступ к серверу бесплатный, но к сожалению не вечный. Когда я закончу настройку своего RAG, я выключу этот сервер. Хотя есть слабая возможность что я привезу из Китая еще один такой же.

Адрес сервера http://demonryb.ru:8080/

Доступ к моделям возможен только после того как я подтвежу вашу регистацию.

Сразу добавлю, если я одобрил вашу регистрацию НО вы попытаетесь перегрузить сервер тупыми запросами, я буду вынужден вас отключить.