Kurgan-Telecom Ru | Информационные технологии

Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты, терминалы и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) давно стали стандартной точкой входа в security. Проблема в том, что большинство из них плохо подходят новичкам: задачи либо слишком абстрактные, либо требуют уже сформированной базы.

Именно поэтому появление CyLab Security Academy выглядит важным событием для образовательного сегмента кибербезопасности. Платформа, выросшая из известного picoCTF и разработанная при участии Carnegie Mellon University, пытается решить проблему входа системно, а именно, через постепенное усложнение, практику и декомпозицию навыков.

Циклическая зависимость между двумя модулями в NestJS лечится двумя строчками forwardRef. Документация прямо это рекомендует, ревьюер пропустит за тридцать секунд, билд снова собирается. Через полгода окажется, что эти две строчки имеют ROI –35 000% за первый год и –360 000% к десятому: $30–60k в год сжигается в маленькой команде, $6–15M — в big tech, без единой написанной фичи. Счёт приходит размазанным платежом по будущим спринтам — и винить уже некого: автор уволился, команда сменилась, forwardRef стоит как стоял.

Серия из пяти частей: пошаговый разбор траектории на сквозном Twitter-подобном бэкенде, расчёт ROI типичной деградации в долларах и человеко-часах ($30–60k в год для команды из двух мидлов, $6–15M в год для big tech — с полным расчётом в части 3), и формальное доказательство на языке теории графов, при каких структурных условиях деградация невозможна.

Часть 3 — расчёт стоимости одной типичной декомпозиции по feature-based на горизонте пяти лет. Как первый forwardRef морозит цикл, как через пару спринтов он начинает блокировать соседние фичи и заставляет придумывать обходные костыли вокруг старой ошибки, во что это превращается в маленькой команде и в энтерпрайзе, и почему именно отсюда команды уходят в преждевременные микросервисы.

Как безопасно опубликовать домашний сервер без белого IP и проброса портов: домашний сервер сам устанавливает исходящее SSH-соединение к VPS, на VPS создаётся локальный endpoint обратного SSH-туннеля, а внешний доступ к сервисам отдаётся через Caddy по HTTPS. Backend-порты вроде Nextcloud, Home Assistant или Jellyfin не открываются напрямую в интернет, а остаются доступными только через loopback и reverse proxy. Отдельное внимание уделено hardening: ограниченный пользователь tunneluser, SSH-ключи, autossh, systemd, UFW, проверка sshd_config и диагностика типовых ошибок.

В 1936 году в СССР был сформирован уникальный, первый в истории полностью женский воздухоплавательный экипаж. Лётчицами на самолётах к этому времени было никого не удивить, они стали появляться ещё до Первой мировой войны, в том числе в Российской империи — но дирижабли долгое время оставались сугубо мужским царством, где женщины появлялись лишь в роли пассажирок. Свежепостроенный СССР В-1 «Первое мая», помимо основного экипажа, состоявшего из мужчин, со временем получил и второй, сугубо женский. Командиром стала Вероника Митягина, старпомом и штурвальным — Людмила Эйхенвальд, бортмехаником — Евгения Ховрина. Увы, сведений об их биографиях в сети меньше, чем хотелось бы, хотя и имеющееся однозначно характеризует их как людей большой отваги и силы воли. И в процессе написания подумалось, что очень хотелось бы однажды увидеть памятник им в столице отечественного дирижаблестроения Долгопрудном.

20 мая на ежегодном Alibaba Cloud Summit T-Head полупроводниковое подразделение Alibaba представила новое поколение GPU — Zhenwu M890. Это ускоритель с 144 ГБ памяти HBM на борту и возможностью интерконнекта между устройствами до 800 ГБ/с. На основе этого устройства также была представлен суперсервер Panjiu AL128 — стойка из 128 ускорителей M890, объединенных собственным коммутатором ICN Switch 1.0.

Предложение уже доступно китайским корпоративным клиентам и поддерживает Qwen, DeepSeek и Kimi. Но что там с характеристиками? Разбираемся под катом.

Стандартный ответ на god-сервис — декомпозиция: разнести логику по нескольким сервисам с чёткими зонами ответственности, оставить тонкий оркестратор. После рефакторинга код действительно становится приятнее на глаз, файлов больше, метод оркестратора плоский. Структурно — не меняется ничего: тот же god-сервис воспроизводится этажом ниже, в одном из новых сервисов. На следующей итерации декомпозиции — ещё раз. Это не ошибка реализации, а свойство подхода.

Серия из пяти частей: пошаговый разбор траектории на сквозном Twitter-подобном бэкенде, расчёт ROI типичной деградации в долларах и человеко-часах ($30–60k в год для команды из двух мидлов, $6–15M в год для big tech — с полным расчётом в части 3), и формальное доказательство на языке теории графов, при каких структурных условиях деградация невозможна.

Часть 2 — что произойдёт, когда команда честно сделает напрашивающийся после части 1 рефакторинг. Без художественности: реальный код после декомпозиции, демонстрация того, что на верхнем уровне всё действительно стало лучше, и параллельный запуск ровно того же сценария деградации уровнем ниже. Точка, в которой видно: декомпозиция не убирает проблему.

Вышедшая в феврале 2022 года портативная консоль Steam Deck была весьма тепло встречена прессой и геймерами. Детище старины Гейба и его компании наделало немало шума — начались закономерные сравнения с Nintendo Switch, а нескончаемый поток мемов оккупировал социальные сети практически сразу после анонса игрового устройства. Выход Steam Deck оказался весьма удачным коммерческим явлением — только к концу 2024 года было распродано 3,7 миллиона устройств. А по более свежим оценкам аналитиков в 2026 году портативкой владеет уже как минимум 6 миллионов человек!

Секрет успеха в изменении игровой аудитории — международные исследования показывают, что игровое сообщество неуклонно взрослеет. Среднестатистический геймер сейчас — человек в возрасте 41 года. Мы уже не школьники и студенты с кучей свободного времени и энергии, работа по 8 часов в день (зачастую за компьютером!), быт, общение и прочие активности не оставляют времени и сил на продолжительные игровые сессии за ПК. Вместе с тем остается потребность в развлечении и отдыхе, а спокойный диванный гейминг с портативной консолью — именно то, что даст необходимую эмоциональную разрядку.

Специально для владельцев портативной консоли от Valve мы подготовили данный материал.

Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS‑запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP.

Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно. И вариант «попросите пользователя сначала включить VPN» нас не устраивал совсем. Ниже разберу, почему мы в итоге встроили обход прямо в приложение, на чём он работает и на какие грабли мы наступили. Без маркетинга, по делу.

Недавно я купил умный дверной звонок на Temu, китайской торговой площадке, которая набирает популярность во всем мире в последние пару лет. Я хотел узнать, насколько безопасно дешёвое подключённое оборудование, продаваемое на этой платформе. Устройство поставляется под названием «Умный дверной звонок X3» и сопрягается через мобильное приложение под названием «X Smart Home». Камера, микрофон, двусторонняя аудиосвязь, внутренний приёмник в диапазоне ниже ГГц. Такое оборудование незаметно появилось на многих входных дверях.

Экспериментальный препарат помог участникам крупного клинического испытания похудеть гораздо сильнее, чем лекарства от ожирения, уже представленные на рынке, объявила в четверг компания-производитель Eli Lilly.

Среди пациентов с наибольшим избыточным весом результаты оказались сопоставимы с результатами желудочного шунтирования — единственного эффективного метода лечения для большинства людей с тяжёлой степенью ожирения.

Препарат ретатрутид, по-видимому, является самым мощным из всей новой волны инъекций и таблеток, которые преобразили лечение ожирения — настолько, что некоторые участники других исследований заявили, что прекратили приём ретатрутида, поскольку почувствовали, что теряют слишком много веса.

Подробное руководство по ускорению любимого браузера подручными средствами. В помощь домохозяюшкам, студентам и высшему руководству — всем у кого нет под рукой топового железа с 64Гб памяти для работы в современном интернете.

Всем привет! Меня зовут Катя, я продуктовый дизайнер. За последние 5 лет успела поработать над разными проектами: от креативных сайтов и клиентских сервисов до высоконагруженных B2E систем и даже HMI интерфейсов.

За все время у меня был как опыт быстрого найма, когда ко мне обращались напрямую через знакомства или портфолио, так и тестовые задания, в том числе вайтборд. Но первый вайтборд комом (об этом как‑нибудь потом).

Хочу рассказать о том, как работала над тестовым заданием на стажировку в Т‑Банк. Как раз таки сюда я и не прошла вайтборд за пару недель до начала экзаменов на стажировку. Не стала отступать и спонтанно решила, что я в деле.

Астрономы уже много лет пытаются заглянуть в эпоху, когда после Большого взрыва во Вселенной начали появляться первые галактики. Эти системы были небольшими, содержали совсем мало тяжелых элементов и светили гораздо слабее современных звездных скоплений. За миллиарды лет их свет сильно ослаб и сместился в инфракрасную область спектра, поэтому обнаружить такие объекты долгое время было крайне сложно. Даже самые совершенные телескопы не позволяли рассмотреть их достаточно подробно, и важная информация терялась на фоне слабого космического излучения.

Космический телескоп Джеймса Уэбба кардинально изменил положение дел, открыв настоящее окно в ту далекую эпоху. Особенно когда сама природа подкидывает эффект гравитационного линзирования, который собирает и усиливает слабые лучи от объектов, расположенных далеко за массивными скоплениями. Благодаря такому природному увеличителю удалось разглядеть одну из самых примитивных галактик по имени LAP1-B, возникшую всего через 800 миллионов лет после рождения Вселенной, и получить уникальные данные.

Разбираю проблемы cross-platform onboarding между Telegram Mini Apps и native apps. Почему Android, iOS, Windows и Linux по-разному ведут себя при deeplink handoff внутри Telegram WebView.

Привет, Хабр! Меня зовут Илья, я работаю Manual QA в команде, которая отвечает за качество продукта с большим количеством микросервисов, API и регулярными релизами. Если вы хоть раз писали тест-кейсы по тикету из Jira, потом руками собирали Postman-коллекцию по OpenAPI-спецификации, а после ревью документации обнаруживали, что половину сценариев забыли — эта статья для вас.

Я собрал инструмент, который автоматизирует три самых рутинных задачи QA-инженера: генерацию тест-кейсов, генерацию API-тестов и ревью документации. Всё это под одной крышей, с поддержкой любого OpenAI-совместимого LLM (включая локальные модели), с интеграциями в Jira, Confluence, TestRail, TestIT и Zephyr Scale.

Проект называется Test Generator Suite (TGS), и в этой статье я расскажу, какие проблемы он решает и как устроен внутри. Сразу оговорюсь: я не разработчик, я QA, и большую часть кода писал «как умею» — поэтому если в архитектурных решениях вам что-то покажется странным, я заранее согласен. Это инструмент для коллег по цеху, а не образец Python-инженерии.

Представьте: вы в офисе, срабатывает пожарная сигнализация. Что вы делаете?

Идёте к эвакуационному плану на стене? Пытаетесь вспомнить, что показывали на последнем инструктаже? Или просто идёте за толпой, надеясь, что все знают, куда бежать?

Наша команда столкнулись с этим вопросом, когда начала работать над проектом для «Просоюза», профсоюзной организации «Сбера». Задача звучала просто: «Помочь людям не растеряться в чрезвычайной ситуации». Но когда мы начали погружаться в тему, оказалось, что не всё так однозначно.

Когда вы открываете mail.google.com, ваш рекурсивный резолвер делает три-четыре шага: спрашивает root, потом TLD, потом authoritative для google.com, иногда ещё один уровень. Десятилетиями каждому из этих серверов отправлялся один и тот же вопрос целиком: «дай мне mail.google.com». Root-серверу, который понятия не имеет про google. TLD-серверу, который умеет только делегации com.. Каждый из них видел всю строку, хотя для своей работы нуждался в одной метке.

В 2016 году Стефан Бортцмайер написал RFC 7816 и сказал: ребята, это странно. Давайте резолвер будет спрашивать ровно столько, сколько нужно для следующего хопа. Идея простая до неприличия. И с этого момента началось десять лет внедрения.

Вы когда-нибудь задумывались, что будет с вашей профессией, когда ИИ научится делать половину вашей работы? Дело не в увольнениях — меняется сама структура занятости. 

Согласно свежему исследованию McKinsey, в десяти крупнейших странах Европы уже сегодня можно автоматизировать 58% рабочих часов. Технологии созрели. Вопрос только в том, как быстро компании начнут их внедрять.

Аналитики выделили три новых архетипа профессий. В первом (31% занятости) человек остается в центре — это врачи, менеджеры, педагоги. Во втором (27%) люди работают бок о бок с агентами и роботами — продавцы, сантехники, медсестры. В третьем (42%) структура и алгоритмы берут верх — бухгалтеры, операторы, инспекторы. 

Изменения не сводятся к тому, что вместо человека за цифры отвечает нейросеть. Это переформатирование профессий: одни навыки уходят в автоматику, другие становятся еще более ценными. Меняется сам способ работы. Европе, чтобы оставаться конкурентоспособной, предстоит переобучить миллионы людей.

Попробуем разобраться, какие навыки окажутся в выигрыше, какие уйдут в тень и что это значит для каждого из нас.

Состоялся выпуск kmscon 10.0 – эмулятора терминала, который создан в качестве замены ядерной консоли. Вместо подсистемы ядра vt kmscon использует KMS и реализует необходимую функциональность в юзерспейсе.

С помощью такого подхода решается проблема низкого качества кода в подсистеме vt и отсутствия у сопровождающих опыта в нем, что делает практически невозможным дальнейшее развитие этой подсистемы.

( читать дальше... )

 drm, linux, vt, ядерная консоль

Пришла мне как-то идея сделать мобильное приложение на базе Telegram. Полез в npm и сразу нашёл react-native-telegram, но это оказалась обёртка над Bot API и тут я понял, что будет весело.

У Telegram с инструментами для разработчиков в целом нормально — Bot API, MTProto, TDLib. Только под RN ничего нет и вряд ли когда-то будет, насколько я знаю уже есть популярные Telegram-клиенты на React-Native, но видимо они не стали упаковывать это в библиотеку и делиться опытом с народом.

Кто пробовал запилить свой клиент Telegram на RN, тот знает, что без хороших навыков нативной разработки особо ничего не получится. В какой-то момент я устал мучиться с patch-package и кучей натива внутри RN проекта, поэтому решил, что пора это упаковать в либу. Через два года и одиннадцать релизов она оказалась в официальной документации TDLib.