🎉 Ошибке 404 — 35 лет
Пользователь вводит адрес страницы, сервер её ищет, но не находит. В результате браузер получает код 404 — Not Found.
— Изначально страницы с ошибкой 404 были максимально скучны — белый фон, чёрный текст. С ростом креативности веб-дизайна 404 начали оформлять с юмором, абсурдом, а иногда и с философией.
Мы ищем информацию, людей, смыслы. Но иногда попадаем не туда. И вместо ожидаемой страницы получаем надпись: «не найдено». Но важно признать, что сбои тоже часть жизни. И иногда отсутствие — это тоже информация 🌚
Пользователь вводит адрес страницы, сервер её ищет, но не находит. В результате браузер получает код 404 — Not Found.
— Изначально страницы с ошибкой 404 были максимально скучны — белый фон, чёрный текст. С ростом креативности веб-дизайна 404 начали оформлять с юмором, абсурдом, а иногда и с философией.
Мы ищем информацию, людей, смыслы. Но иногда попадаем не туда. И вместо ожидаемой страницы получаем надпись: «не найдено». Но важно признать, что сбои тоже часть жизни. И иногда отсутствие — это тоже информация 🌚
В WinRAR обнаружили уязвимость на обход Mark-of-the-Web. Этого достигают за счёт использования символических ссылок.
Когда пользователь распаковывает архив со специальной ссылкой, WinRAR не добавляет MotW на исполняемые файлы.
Впрочем, создание символических ссылок требует прав администратора — то есть уже скомпрометированных аккаунтов, плюс юзер должен открыть вредоносный архив. Так что уязвимость получила 6.8 по CVE.
Когда пользователь распаковывает архив со специальной ссылкой, WinRAR не добавляет MotW на исполняемые файлы.
Впрочем, создание символических ссылок требует прав администратора — то есть уже скомпрометированных аккаунтов, плюс юзер должен открыть вредоносный архив. Так что уязвимость получила 6.8 по CVE.
Пока Microsoft продолжает закручивать гайки, усложняя использование локальных аккаунтов в Windows 11 (недавно убрали скрипт `` BypassNRO.cmd `` из превью-сборок), сообщество нашло новый, еще более простой способ обойти это требование при установке.
Метод работает прямо из коробки (OOBE):
1. На экране подключения к сети ("Let's connect you to a network") нажимаем комбинацию `` Shift+F10 ``, чтобы открыть командную строку.
2. Вводим команду: `` start ms-cxh:localonly `` и нажимаем Enter.
Эта команда открывает окно создания локального пользователя. Просто заполняем данные, нажимаем "Далее", и установка продолжается уже с локальной учетной записью, минуя все запросы на вход или создание Microsoft Account (MSA).
Этот способ значительно проще даже предыдущего метода с `` BypassNRO.cmd ``, так как не требует ручного ввода команд реестра или запуска скриптов. Пока неясно, как долго Microsoft позволит этой команде работать, но поскольку она выглядит более интегрированной в систему, чем просто скрипт, ее удаление может оказаться сложнее.
Microsoft закрывает одну лазейку, энтузиасты тут же находят другую. Классика жанра! 😂
Метод работает прямо из коробки (OOBE):
1. На экране подключения к сети ("Let's connect you to a network") нажимаем комбинацию `` Shift+F10 ``, чтобы открыть командную строку.
2. Вводим команду: `` start ms-cxh:localonly `` и нажимаем Enter.
Эта команда открывает окно создания локального пользователя. Просто заполняем данные, нажимаем "Далее", и установка продолжается уже с локальной учетной записью, минуя все запросы на вход или создание Microsoft Account (MSA).
Этот способ значительно проще даже предыдущего метода с `` BypassNRO.cmd ``, так как не требует ручного ввода команд реестра или запуска скриптов. Пока неясно, как долго Microsoft позволит этой команде работать, но поскольку она выглядит более интегрированной в систему, чем просто скрипт, ее удаление может оказаться сложнее.
Microsoft закрывает одну лазейку, энтузиасты тут же находят другую. Классика жанра! 😂
7 апреля у Рунета день рождения: в 1994 году впервые был зарегистрирован домен .ru
— Общее количество доменных имен в зоне .ru достигло 5 870 062.
— При этом пик роста пришелся на 2006-2008 годы (+61% в год).
— Сегодня по количеству доменных имен зона .ru занимает 6 место среди национальных доменов мира и 9 место среди всех доменов верхнего уровня.
— В 2024 году ежедневная аудитория Рунета составляла 103 млн человек (за 20 лет выросла в 19 раз).
— Общее количество доменных имен в зоне .ru достигло 5 870 062.
— При этом пик роста пришелся на 2006-2008 годы (+61% в год).
— Сегодня по количеству доменных имен зона .ru занимает 6 место среди национальных доменов мира и 9 место среди всех доменов верхнего уровня.
— В 2024 году ежедневная аудитория Рунета составляла 103 млн человек (за 20 лет выросла в 19 раз).
WhatsApp Desktop для Windows: осторожно, JPEG может оказаться EXE!
Уязвимость (CVE-2025-30401) в WhatsApp Desktop для Windows (версии до 2.2450.6) позволяет выполнить произвольный код через поддельное вложение. Проблема кроется в обработке MIME-типов и расширений файлов.
🚩 Как работает:
WhatsApp отображает превью вложения на основе его MIME-типа (например, image/jpeg). Однако, когда пользователь кликает для открытия файла, приложение передает его системе на основе расширения имени файла (например, .exe
То есть: атакующий может создать файл картинка.jpeg.exe, указать для него MIME-тип image/jpeg, и отправить жертве. Пользователь увидит превью картинки, кликнет, но вместо просмотра изображения запустит исполняемый файл.
❗️ Требуется взаимодействие с пользователем – жертва должна сама кликнуть на вредоносное вложение. Учитывая доверчивость многих пользователей ("прислали же в WhatsApp, значит, безопасно"), особенно в групповых чатах, это вполне реальный вектор атаки.
Последствия печальны: Выполнение произвольного кода, кража данных, установка вредоносов, компрометация аккаунта. Баг пофикшен в версии 2.2450.6 или выше.
Никогда не доверяй MIME-типу больше, чем расширению файла. Особенно если его прислали в WhatsApp.
Уязвимость (CVE-2025-30401) в WhatsApp Desktop для Windows (версии до 2.2450.6) позволяет выполнить произвольный код через поддельное вложение. Проблема кроется в обработке MIME-типов и расширений файлов.
🚩 Как работает:
WhatsApp отображает превью вложения на основе его MIME-типа (например, image/jpeg). Однако, когда пользователь кликает для открытия файла, приложение передает его системе на основе расширения имени файла (например, .exe
То есть: атакующий может создать файл картинка.jpeg.exe, указать для него MIME-тип image/jpeg, и отправить жертве. Пользователь увидит превью картинки, кликнет, но вместо просмотра изображения запустит исполняемый файл.
❗️ Требуется взаимодействие с пользователем – жертва должна сама кликнуть на вредоносное вложение. Учитывая доверчивость многих пользователей ("прислали же в WhatsApp, значит, безопасно"), особенно в групповых чатах, это вполне реальный вектор атаки.
Последствия печальны: Выполнение произвольного кода, кража данных, установка вредоносов, компрометация аккаунта. Баг пофикшен в версии 2.2450.6 или выше.
Никогда не доверяй MIME-типу больше, чем расширению файла. Особенно если его прислали в WhatsApp.
14-летний подросток создал приложение, которое диагностирует заболевания сердца за 7 секунд
Сиддхарт Надьяла, живущий в Далласе, стал самым молодым сертифицированным специалистом по ИИ. Его программу протестировали на ~15.000 людях, и результаты оказались верными в 96% случаях.
Приложение Circadian AI использует искусственный интеллект для выявления заболеваний сердца с помощью простых записей сердечного ритма.
Сиддхарт Надьяла, живущий в Далласе, стал самым молодым сертифицированным специалистом по ИИ. Его программу протестировали на ~15.000 людях, и результаты оказались верными в 96% случаях.
Приложение Circadian AI использует искусственный интеллект для выявления заболеваний сердца с помощью простых записей сердечного ритма.
Intel отказалась исправлять критические уязвимости в процессорах 2017-2021 годов, несмотря на предупреждения российских экспертов. Устройства с этими чипами — от электронных книг до автомобилей — теперь мишень для хакеров.
Уязвимые чипы: Celeron, Pentium, Atom (поколения Denverton, Apollo Lake, Gemini Lake).
❓ В чем опасность:
— «Дыры» стали глубже: ранее уязвимости (CVE-2017-5705 и др.) позволяли частичный доступ — теперь хакеры могут полностью контролировать систему.
— Вредоносный код обходит Intel Boot Guard, антивирусы и VBS-технологии.
Intel бездействует, ведь:
— Чипы сняты с производства.
— Замена CPU в устройствах типа Kindle или автомобилей практически невозможна.
Компания предпочла игнорировать проблему, оставив миллионы пользователей один на один с угрозами.
Уязвимые чипы: Celeron, Pentium, Atom (поколения Denverton, Apollo Lake, Gemini Lake).
❓ В чем опасность:
— «Дыры» стали глубже: ранее уязвимости (CVE-2017-5705 и др.) позволяли частичный доступ — теперь хакеры могут полностью контролировать систему.
— Вредоносный код обходит Intel Boot Guard, антивирусы и VBS-технологии.
Intel бездействует, ведь:
— Чипы сняты с производства.
— Замена CPU в устройствах типа Kindle или автомобилей практически невозможна.
Компания предпочла игнорировать проблему, оставив миллионы пользователей один на один с угрозами.
4 дня по 10 часов vs 5 дней по 8?
Облачный провайдер Civo поделился своим уже 4-летним опытом работы по 4-дневной неделе. CEO Марк Буст честно признает: производительность особо не изменилась – ни значительного роста, ни падения по сравнению с 5-дневкой замечено не было.
Зато эффект на HR-метрики оказался заметным: стало легче привлекать и удерживать таланты. Большинство сотрудников выбрали выходным пятницу, получив 3-дневный уикенд для личных дел и лучшего work-life balance.
☝️ Важный момент: полная недельная норма часов отрабатывается за эти 4 дня, это не сокращенная неделя по часам.
Конечно, есть и операционные сложности. Для отделов, требующих постоянного присутствия (поддержка, продажи), пришлось нанимать дополнительных людей и выстраивать гибкие графики ротации для обеспечения покрытия, в том числе по пятницам и выходным.
Этот опыт контрастирует с позицией IT-гигантов:
— Microsoft после успешного пилота в Японии в 2019 году (где они заявляли о +40% продуктивности!) глобально схему так и не раскатила и теперь неохотно комментирует эту тему.
— Dell также проводила тесты, но не расширила практику.
— В то же время люди вроде Сергея Брина из Google призывают AI-инженеров работать 60+ часов в неделю, желательно в офисе.
Полная недельная норма за 4 дня. Интенсивность такая, что к вечеру четверга забываешь пароль от рута 😑
Облачный провайдер Civo поделился своим уже 4-летним опытом работы по 4-дневной неделе. CEO Марк Буст честно признает: производительность особо не изменилась – ни значительного роста, ни падения по сравнению с 5-дневкой замечено не было.
Зато эффект на HR-метрики оказался заметным: стало легче привлекать и удерживать таланты. Большинство сотрудников выбрали выходным пятницу, получив 3-дневный уикенд для личных дел и лучшего work-life balance.
☝️ Важный момент: полная недельная норма часов отрабатывается за эти 4 дня, это не сокращенная неделя по часам.
Конечно, есть и операционные сложности. Для отделов, требующих постоянного присутствия (поддержка, продажи), пришлось нанимать дополнительных людей и выстраивать гибкие графики ротации для обеспечения покрытия, в том числе по пятницам и выходным.
Этот опыт контрастирует с позицией IT-гигантов:
— Microsoft после успешного пилота в Японии в 2019 году (где они заявляли о +40% продуктивности!) глобально схему так и не раскатила и теперь неохотно комментирует эту тему.
— Dell также проводила тесты, но не расширила практику.
— В то же время люди вроде Сергея Брина из Google призывают AI-инженеров работать 60+ часов в неделю, желательно в офисе.
Полная недельная норма за 4 дня. Интенсивность такая, что к вечеру четверга забываешь пароль от рута 😑
14-летний подросток создал приложение, которое диагностирует заболевания сердца за 7 секунд
Сиддхарт Надьяла, живущий в Далласе, стал самым молодым сертифицированным специалистом по ИИ. Его программу протестировали на ~15.000 людях, и результаты оказались верными в 96% случаях.
Приложение Circadian AI использует искусственный интеллект для выявления заболеваний сердца с помощью простых записей сердечного ритма.
Сиддхарт Надьяла, живущий в Далласе, стал самым молодым сертифицированным специалистом по ИИ. Его программу протестировали на ~15.000 людях, и результаты оказались верными в 96% случаях.
Приложение Circadian AI использует искусственный интеллект для выявления заболеваний сердца с помощью простых записей сердечного ритма.
За 4 года Meta* потратила уже $45 млрд на воплощение мечты о метавселенной
Четыре года назад Марк Цукерберг переименовал Facebook* в Meta*, пообещав будущее в виртуальной реальности. Теперь ясно: это будущее стоит $45 млрд убытков — как если бы Meta купила Twitter, Snap и Pinterest, а потом уничтожила их.
❓ Что не так с метавселенной?
— Сотрудники жалуются, что лидеры не понимают AR/VR;
— Убытки растут: $6 млрд в 2020 → $10 млрд в 2021 → $16 млрд в 2023;
— Выручка падает: продажи VR-шлемов и софта снижаются с 2021 года.
Meta* доказала, что даже $45 млрд не превратят VR в «новый интернет». Может позже всё изменится?
*принадлежит Meta, признанной экстремистской и запрещенной в России
Четыре года назад Марк Цукерберг переименовал Facebook* в Meta*, пообещав будущее в виртуальной реальности. Теперь ясно: это будущее стоит $45 млрд убытков — как если бы Meta купила Twitter, Snap и Pinterest, а потом уничтожила их.
❓ Что не так с метавселенной?
— Сотрудники жалуются, что лидеры не понимают AR/VR;
— Убытки растут: $6 млрд в 2020 → $10 млрд в 2021 → $16 млрд в 2023;
— Выручка падает: продажи VR-шлемов и софта снижаются с 2021 года.
Meta* доказала, что даже $45 млрд не превратят VR в «новый интернет». Может позже всё изменится?
*принадлежит Meta, признанной экстремистской и запрещенной в России
Windows 11 в огне: обновление KB5055523 ломает Hello и зависает
«Накопительный» апдейт Microsoft превратился в кошмар с ошибками, отключением камер и мистической папкой inetpub.
— ошибки 0x80070306, 0x800f0905, 0x800704ec — обновление зависает на 20% или 70%;
— Windows Hello не работает: если закрыта шторка камеры, ИК-датчик игнорируется;
— папка-призрак: C:\inetpub появляется даже без IIS.
P.S. Пока вы читали это, KB5055523 успел зависнуть ещё у 1000 пользователей.
«Накопительный» апдейт Microsoft превратился в кошмар с ошибками, отключением камер и мистической папкой inetpub.
— ошибки 0x80070306, 0x800f0905, 0x800704ec — обновление зависает на 20% или 70%;
— Windows Hello не работает: если закрыта шторка камеры, ИК-датчик игнорируется;
— папка-призрак: C:\inetpub появляется даже без IIS.
P.S. Пока вы читали это, KB5055523 успел зависнуть ещё у 1000 пользователей.
TSMC переходит с круга на квадрат
Сейчас кремниевые пластины имеют форму круга диаметром 300 мм, а чипы при этом прямоугольные, из-за чего появляется много отходов.
Тайваньский гигант бросил вызов полувековой традиции — вместо круглых кремниевых пластин теперь квадраты 310×310 мм. Мелкосерийное производство начнут в 2027 году.
А что раньше никто не догадался? 😁
Сейчас кремниевые пластины имеют форму круга диаметром 300 мм, а чипы при этом прямоугольные, из-за чего появляется много отходов.
Тайваньский гигант бросил вызов полувековой традиции — вместо круглых кремниевых пластин теперь квадраты 310×310 мм. Мелкосерийное производство начнут в 2027 году.
А что раньше никто не догадался? 😁
Nvidia впервые переносит производство суперкомпьютеров с ИИ в США
Чипмейкер решил спастись от торговой войны Трампа — часть производства ИИ-чипов Blackwell и суперкомпьютеров DGX переносят на территорию Штатов. Массовое производство начнётся в 2026.
NVIDIA страхуется от политических штормов, но станет ли США новой Меккой полупроводников?
Чипмейкер решил спастись от торговой войны Трампа — часть производства ИИ-чипов Blackwell и суперкомпьютеров DGX переносят на территорию Штатов. Массовое производство начнётся в 2026.
NVIDIA страхуется от политических штормов, но станет ли США новой Меккой полупроводников?
Google стирает границы: все домены теперь ведут на Google. com
Поисковый гигант объявил революцию: национальные домены вроде Google .co .uk или Google. com .br теперь перенаправляют на Google. com. Локализация остаётся, но URL — больше нет.
Исторически эти домены помогали компании локализовать результаты, но из-за развития технологий они больше не нужны. Маловероятно, что от них окажутся полностью, так как это внесёт хаос в закладки, которые используют эти адреса.
Изменения начнут внедрять в ближайшие месяцы. Компания предупредила, что пользователям могут предложить повторно ввести некоторые из настроек поиска (вот спасибо, Google!).
Поисковый гигант объявил революцию: национальные домены вроде Google .co .uk или Google. com .br теперь перенаправляют на Google. com. Локализация остаётся, но URL — больше нет.
Исторически эти домены помогали компании локализовать результаты, но из-за развития технологий они больше не нужны. Маловероятно, что от них окажутся полностью, так как это внесёт хаос в закладки, которые используют эти адреса.
Изменения начнут внедрять в ближайшие месяцы. Компания предупредила, что пользователям могут предложить повторно ввести некоторые из настроек поиска (вот спасибо, Google!).
США признали Google монополистом рекламного рынка
Суд постановил: Google десятилетиями душила конкурентов, контролируя все этапы цифровой рекламы — от инструментов издателей до бирж. Теперь компанию ждёт либо гигантский штраф, либо разделение.
Google также не смогла предоставить суду внутренние коммуникации компании, что суд счёл как косвенное признание вины.
Суд постановил: Google десятилетиями душила конкурентов, контролируя все этапы цифровой рекламы — от инструментов издателей до бирж. Теперь компанию ждёт либо гигантский штраф, либо разделение.
Google также не смогла предоставить суду внутренние коммуникации компании, что суд счёл как косвенное признание вины.
44% дыр в безопасности остаются открытыми: компании играют в «русскую рулетку» с хакерами
По данным «Информзащиты», даже после пентестов только 56% уязвимостей латают вовремя, а остальные 44% месяцами висят как мины замедленного действия. Лидеры бездействия — образование и медицина (70% дыр!).
⚠️ Критические цифры:
— 28% критических уязвимостей не фиксят за 24 часа (требование ФСТЭК);
— 35 дней вместо 14 — средний срок латания дыр «средней тяжести»;
— 115 атак через 0-day в 2024 (+18%) — хакеры не дремлют.
«Многие компании часто откладывают решение выявленных в ходе пентеста проблем, полагая, что команда ИБ предотвратит атаку, зная возможные векторы. Но проведение тестирования – это лишь половина пути, нельзя избежать инцидента, просто зная, как и почему он может произойти», — говорят специалисты.
По данным «Информзащиты», даже после пентестов только 56% уязвимостей латают вовремя, а остальные 44% месяцами висят как мины замедленного действия. Лидеры бездействия — образование и медицина (70% дыр!).
⚠️ Критические цифры:
— 28% критических уязвимостей не фиксят за 24 часа (требование ФСТЭК);
— 35 дней вместо 14 — средний срок латания дыр «средней тяжести»;
— 115 атак через 0-day в 2024 (+18%) — хакеры не дремлют.
«Многие компании часто откладывают решение выявленных в ходе пентеста проблем, полагая, что команда ИБ предотвратит атаку, зная возможные векторы. Но проведение тестирования – это лишь половина пути, нельзя избежать инцидента, просто зная, как и почему он может произойти», — говорят специалисты.
Тайная жизнь браузеров: какие из них шпионят за вами при первом запуске?
Протестированы свежие версии 19 браузеров — от Chrome до Thorium:
— 4 браузера оказались «молчунами»: Kagi Orion, Tor Browser, Pale Moon и Ungoogled Chromium — ноль запросов при первом запуске.
— Хуже всех Zen Browser: подключился к 82 хостам до первого клика пользователя.
— Microsoft Edge (48) и Floorp (42) завершают анти-топ.
🚩 Количество хостов, к которым обращаются разные браузеры:
Zen — 82;
Edge — 48;
Floorp — 42;
Opera — 31;
Firefox — 29;
Chrome — 25;
Librewolf — 24;
Yandex Browser — 24;
Waterfox — 21;
Brave — 17;
Arc — 16;
Mulvad — 15;
Vivaldi — 11;
Thorium — 10;
Safari — 6;
Ungoogled Chromium, Kagi Orion, Tor Browser, Pale Moon — 0.
Хорошая новость: если вы читаете это через Tor — вас уже не найти. Плохая: скорее всего, вы всё ещё в Chrome 🌝
Протестированы свежие версии 19 браузеров — от Chrome до Thorium:
— 4 браузера оказались «молчунами»: Kagi Orion, Tor Browser, Pale Moon и Ungoogled Chromium — ноль запросов при первом запуске.
— Хуже всех Zen Browser: подключился к 82 хостам до первого клика пользователя.
— Microsoft Edge (48) и Floorp (42) завершают анти-топ.
🚩 Количество хостов, к которым обращаются разные браузеры:
Zen — 82;
Edge — 48;
Floorp — 42;
Opera — 31;
Firefox — 29;
Chrome — 25;
Librewolf — 24;
Yandex Browser — 24;
Waterfox — 21;
Brave — 17;
Arc — 16;
Mulvad — 15;
Vivaldi — 11;
Thorium — 10;
Safari — 6;
Ungoogled Chromium, Kagi Orion, Tor Browser, Pale Moon — 0.
Хорошая новость: если вы читаете это через Tor — вас уже не найти. Плохая: скорее всего, вы всё ещё в Chrome 🌝
Microsoft по ошибке забанила десятки тысяч аккаунтов из-за сбоя ИИ
Новая система MACE Credential Revocation в Microsoft Entra ID (бывший Azure AD) массово заблокировала аккаунты:
— Ложные срабатывания: уникальные пароли с MFA помечены как «утекшие», хотя взлома не было.
— Под удар попали MSP-провайдеры — у некоторых заблокировано 30% учеток.
— Ошибка связана с кодом 53003 в политиках условного доступа.
— Microsoft молчит, но инженеры советуют вручную менять статус инцидентов с «взлом» на «блокировка».
MACE внедрили без должной проверки — результат: 20 тыс. ложных уведомлений за ночь. Клиенты MSP остались без доступа к критичным системам.
Новая система MACE Credential Revocation в Microsoft Entra ID (бывший Azure AD) массово заблокировала аккаунты:
— Ложные срабатывания: уникальные пароли с MFA помечены как «утекшие», хотя взлома не было.
— Под удар попали MSP-провайдеры — у некоторых заблокировано 30% учеток.
— Ошибка связана с кодом 53003 в политиках условного доступа.
— Microsoft молчит, но инженеры советуют вручную менять статус инцидентов с «взлом» на «блокировка».
MACE внедрили без должной проверки — результат: 20 тыс. ложных уведомлений за ночь. Клиенты MSP остались без доступа к критичным системам.