Экспромт хорош тогда, когда хорошо подготовлен

Новостной бэкграунд для тех, кто не в теме:
https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://gynvael.coldwind.pl/?lang=en&id=782
https://www.opennet.ru/opennews/art.shtml?num=60877

Мои соображения: типичный код, связанный с m4/autotools выглядит в целом так же, как этот обфусцированный троянец, предоставляя этому и другим подобным троянцам обширный ландшафт для камуфлирования. В том-то вся и проблема. Ребята, юзайте Meson, или CMake, а не это древнее говно мамонта. Эту стюардессу давно пора закопать! Любой код или конфигурация, как-то связанный с утилитами autohell, выглядел как говно мамонта даже в начале двухтысячных годов, на фоне тогдашних SCons и Perforce Jam (не говоря уже о современных инструментах сборки), и я — ни тогда, ни сейчас — просто не мог(у) понять, как вменяемые (на первый взгляд) люди находят в себе силы копошиться в этом навозе. В итоге так и вышло, что мейнтейнеры многих дистрибутивов проморгали троянца при review.

Пару десятилетий назад, с нечитаемостью языка M4 и несопровождаемостью обширных правил, на нём написанных, была та же проблема в Sendmail (разумеется, повлёкшая многочисленные уязвимости), пока ту стюардессу успешно не закопал Postfix.

UPD. Также этот кейз демонстрирует полезность подхода defense-in-depth, в частности оборачивания ssh-трафика в spiped-туннели.

UPD2. Autodafe — утилита для избавления вашего проекта от autotools, авторства Eric S. Raymond.

Каждый раз, когда украинские (или какие-то другие) дроны атакуют объекты вблизи аэропортов в московской области, местные власти анонсируют закрытие воздушного пространства для гражданской аэронавигации на несколько часов и называют это "план Ковёр".

Логично. Когда вводится в действие "план Ковёр", единственный способ для пассажира улететь из "Домодедово" или "Внуково" — это ковёр-самолёт.

Этот тренд можно продолжить. Так, закрытие кафе и ресторанов в связи с пандемией COVID-19 следовало бы назвать "план Самобранка". Ситуация, когда местный ансамбль самодеятельности в какой-то деревне пропил последние гусли — называется "план Самогуды". Когда гопота в подворотне в тёмное время суток сняла с зазевавшегося россиянина шапку — это был "план Невидимка". Ну а когда их страна вновь войдёт в эпоху дефицитов как поздний СССР и в обувных магазинах закончатся сапоги, то это, очевидно, будет "план Скороходы".

В последние дни интернет-тусовка активно обсуждает историю о российском туристе, которого в Египте съела акула. Аркадию Бабченко захотелось организовать разведение подобных акул в Украине, а Алексей Арестович принялся что-то там морализаторствовать про "расчеловечивание".

Лично я не буду спекулировать на эту тему: был ли "хорошим русским" тот орк, которого в Египте съела акула, или нет — знает только акула.

Хотя количество транзисторов и ядер в процессорах продолжает расти, сколь-нибудь заметного прироста производительности в последнее время уже не наблюдается, особенно с учётом поправки на инфляцию: http://databasearchitects.blogspot.com/2023/04/the-great-cpu-stagnation.html

Для чего может быть хорош GPT-3/ChatGPT, помимо написания рекламных и мотивирующих текстов, а также абстрактных эссе в области философии и культурологии?

Пользователи давно заметили, что у этого искусственного болванчика плохо с логикой, что неудивительно, ведь это всего лишь статистическая языковая модель, а не формально-логическое исчисление с кванторами, термами, предикатами, логическими операциями и аксиомами. Эта языковая модель работает лучше, чем бредогенератор на цепях Маркова первого порядка, творчество которого смахивает на бред больного шизофазией, но логику статистическая языковая модель всё равно не ухватывает, даже если эта модель высших порядков (т.е. построенная на частотах не пар соседних слов, а на частотах троек слов, четвёрок слов и т.д.).

"Искусственный эрудит" пишет грамматически связно, но смысла в написанном, разумеется, нет. Как я уже говорил, для некоторых предметных областей это вовсе не проблема, а в остальных случаях GPT-3/ChatGPT идеально подходит для тренировки навыков критического мышления. Например:

[1] Бредогенератор пишет эссе по истории, студенты читают и исправляют ошибки в фактах и датах, по числу найденных и верно исправленных ошибок профессор истории ставит оценку на экзамене.

[2] Бредогенератор порождает программный код, который разумеется работать не будет, т.к. там есть несколько ошибок, а кандидату во время интервью на должность программиста предлагается их найти, обсудить с интервьюером и самостоятельно исправить (сначала критические ошибки, из-за которых код вообще не будет работать; далее ошибки, которые проявляются не всегда или могут повлечь потенциальные проблемы переносимости; и напоследок стилистические изъяны). На таком интервью не спишешь и на такое интервью не натаскаешься путём вызубривания готовых ответов для всех вариантов задачек.

[3] Бредогенератор порождает решение логико-математической задачи (например на включение элемента в множество, чтобы сделать это множество соответствующим условию транзитивности для бинарных отношений), а студенты с преподом ловят лулзы и находят ошибки в "доказательстве". Те студенты, кому "и так зашло", получают на экзамене свой законный "дубль" и с чистой душой отправляются работать на стройку, на панель и т.д.

Точно так же можно экзаменовать будущих юристов, врачей и любых других людей, в профессиональной деятельности которых существует разница между "правильно" и "неправильно".

То есть GPT-3/ChatGPT — это такой эталонно-образцовый дурак для генерации бреда, в котором нет ошибок с точки зрения обывателя, бесконечно далёкого от предметной области, но в котором есть пара серьёзных ошибок и к которому есть ещё уйма второстепенных замечаний с точки зрения квалифицированного специалиста. Это способ выявить квалифицированных специалистов и отсеять всех остальных, и вполне возможно, что это самый лучший способ.

UPD. Пример в тему: https://kondybas.dreamwidth.org/144327.html

UPD2. Новая ржака: ChatGPT играет в шахматы: https://news.ycombinator.com/item?id=35773355

UPD3. ChatGPT составляет юридический документ (представление, поданное адвокатом истца, против ходатайства о прекращении дела): https://reason.com/volokh/2023/05/27/a-lawyers-filing-is-replete-with-citations-to-non-existent-cases-thanks-chatgpt/

Интересные статьи о дизайн-дефекте российских/советских танков T-72, из-за которого у них так часто детонирует боекомплект и характерно отрывается башня:

https://www.washingtonpost.com/world/2022/04/30/russian-tank-turret-blast-jack-in-the-box/

https://edition.cnn.com/2022/04/27/europe/russia-tanks-blown-turrets-intl-hnk-ml/index.html

Вкратце, суть в том, что размещать боекомплект в одной камере вместе с экипажем, под бронёй — это плохая идея, особенно с учётом тонкой брони танка по бокам возле траков.

Ещё весной было видео городского боя в Мариуполе (к сожалению, я уже не могу найти его сейчас) где БТР "Азова", стреляя из пушки 30 мм калибра, точно по уязвимому месту в области траков Т-72, вызывает детонацию боеукладки с характерным отрывом башни этого российского танка.

Больше видео — в YouTube по запросу "jack in the box T-72".

Кажуть, що США передали Україні дрони-камікадзе і гаубиці калібру 155мм.
ЗСУ: які дрони-камікадзе та гаубиці, де ви їх бачили на фронті?

Кажуть, що за сприяння США Україна отримала літаки та запчастини до них.
ЗСУ: та брешуть, де ті літаки, ви взагалі про що?

Кажуть, що США передали Україні ЗРК Patriot та ракети середньої дальності.
ЗСУ: ось чого нема, того вже нема.

Оказывается, есть такие извращенцы фанаты, которые умудряются использовать двухтысячную винду в 2021-м, пропатчивая библиотеку базового API kernel32.dll для совместимости с XP-шным софтом (эта модификация от японских кулибиных называется KernelEx), а также некоторые другие трюки (в основном — извлечение отдельных файлов из хотфиксов к Windows XP и к POSReady 2009). Гайд по установке на 27 пунктов:

https://w2k.phreaknet.org/guide

А я-то думал, что Windows XP устарела (на моём самом старом лэптопе).

Новый иммерсивный шелл в составе Windows 11 (twinui.pcshell.dll) для чего-то при каждом запуске перевычисляет флаги доступности Cortana, в контексте функции CortanaAvailability::WriteCortanaAvailabilityToRegistry(void).

(Иммерсивный шелл, если вы не поняли, — это такое внутреннее Microsoft'овское название нового индусского высера, того самого уёбища из 11-й винды, которое центрирует кнопку Пуск вместе с остальными значками панели задач, а также не позволяет перенести эту самую панель задач в правую часть экрана, как можно было сделать во всех предыдущих версиях Windows, начиная с Windows 95, чтобы выиграть немного больше вертикального пространства на экране и чтобы видеть больше контекстной информации о запущенных задачах.)

В более ранних версиях современного виндового шелла результат этих вычислений (о доступности Cortana) кэшировался в значении реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Cortana\IsAvailable:REG_DWORD={0|1}, а теперь "почему-то" всё перевычисляется каждый раз при запуске шелла, с последующей перезаписью этого значения в реестре.

Почему так? Есть особенность: новые версии шелла в начале этих вычислений перепроверяют каждый раз, не задано ли значение реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Cortana\DevOverrideOneSettings:REG_DWORD=1, и если задано, то включают более интенсивную, или, как следует из отладочных символов Windows, "проактивную" передачу телеметрии на сервера Microsoft.

Интересный, кстати, метод. Microsoft как бы говорит пользователям: "Вы не хотите пользоваться Egde, предпочитаете Firefox или Chrome? Вам не нравится наш OneDrive, вы выбрали Dropbox? Вас чем-то не устраивает наш Microsoft Office, вам скорее по нраву LibreOffice? Угу, хорошо-хорошо, а теперь попробуйте-ка пользоваться виндой без шелла!"

Типа параметр "для разработчиков", "случайно забытый" в production-коде. Ну-ну. "Случайно" включился — и вся возможная, "проактивная", телеметрия для данного пользователя попёрла в Microsoft на всю пропускную способность подключения к интернету. "А кто, а кто это сделал?" (c)

Интересный способ именования, у них там, кстати, по этой режимно-секретной теме. Не "debug", а "dev[elopment] override #1". Наверное, чтобы младший индусско-кодерский состав случайно с отладкой не перепутал.

Когда-то при СССР на предприятиях военно-промышленного комплекса был так называемый "первый отдел" (где работали сотрудники КГБ). Совершенно не удивлюсь, если сейчас в NSA работают те же самые люди, которые после развала совка вывезли в Америку весь этот казённый идиотизм, включительно с терминологией. По крайней мере, один мой знакомый, который достиг больших успехов в США в начале двухтысячных на поприще "внедрения стандарта ISO 9001", до развала СССР занимался в одном из НИИ "научной организацией труда". Почему-то я на 100% уверен, что без наших людей янки не догадались бы придумать ничего получше, чем очередной NSAKEY.

Как известно, высшие приматы воспринимают цвет своими палочками и колбочками немного не так, как он объективно существует в природе (в виде электромагнитных волн разной длины): синий при той же мощности излучения кажется менее ярким, чем зелёный; восприятие длин волн на краях видимого спектра имеет корреляции; помимо трихроматов, изредка встречаются дихроматы и тетрахроматы и т.д.

Это создаёт спрос на субъективные (перцептивные) модели цвета, в дополнение к объективной RGB.

Björn Ottosson в своём блоге рассматривает новую перцептивную цветовую модель — Oklab (как альтернативу HSV):

https://bottosson.github.io/posts/oklab/

Зачем?

Ну, во-первых, чтобы убрать эти ужасно выглядящие "яркостные занавески" в color picker'ах:

Было:


Стало:



Во-вторых, чтобы в градиентах между белым и синим не было розового цвета, а в градиентах между красным и зелёным не было провала в яркости:



Перцептивная цветовая модель Oklab, помимо color picker'ов, полезна там, где нужен цветовой ряд с меняющимися оттенками, но с постоянной яркостью и насыщенностью (например, для раскраски нескольких кривых на одном графике, чтобы их яркость или сероватость не шли вразнобой).

Преобразование между RGB и Oklab имеет простую алгебраическую структуру: оно делается путём умножения на постоянную матрицу, покомпонентного возведения в куб (или покомпонентного извлечения кубического корня) и затем ещё одного умножения на постоянную матрицу.

Обзор и критика Oklab (в целом, позитивные):
https://raphlinus.github.io/color/2021/01/18/oklab-critique.html

Немного поработав с Oklab в своём софте, я заметил, что полярные координаты (lightness, chroma, hue) удобнее линейных (lightness, a, b).

Также полезна функция вычисления предельной насыщенности для заданной яркости и оттенка (цвета, слишком далеко ушедшие от серого, не представимы в RGB, а предельная насыщенность может быть найдена бинарным поиском по критерию этой самой представимости в RGB).

Этот график построен для постоянной яркости 0.75, по оси X — оттенок, по оси Y — насыщенность:


В целом Oklab очень хорошо соответствует своей цели — позволяет без смещения оттенка легко подбирать цвета с другой яркостью и насыщенностью; или при фиксированной яркости и насыщенности варьировать оттенком; а ещё обеспечивает перцептивно-корректное смешивание цветов (например, в градиентах, а также как альтернатива гамма-коррекции при alpha blending'е и т.д.)