Týždeň 2024-13
Niekto oddychuje a niekto vo Veľkonočný pondelok sadá za počítač a píše týždenník.. @vlkodotnet
Udalosť týždňa: xz Utils pod útokom
Nástroj xz Utils (ďalej len XZ, ale bez odkazu, lebo GitHub stránka tohto projektu bola stiahnutá), ktorý sa používa na bezstratovú kompresiu, bol kompromitovaný. To znamená, že bol do neho začlenený kód, ktorý obsahoval cielenú chybu. Je za tým zaujímavý príbeh, ktorý pravdepodobne zmení vo veľa ohľadoch budúcnosť open-source.
Na začiatku je ako vždy tool, na ktorý sedí roky známy xkcd komix.
Na konci sú roky pripravované zadné vrátka, ktoré boli objavené náhodou. Rozmýšľam ako uchopiť celý príbeh, lebo ho treba skrátiť pre účely tohto týždenníka: Na začiatku bol útočník, ktorý na problém nešiel nijak hopom, ale začal budovaním kredibilnej histórie GitHub účtu. Potom v správnej chvíli zatlačil na správcu XZ a stal sa dôveryhodným prispievateľom XZ. Vypracoval sa dokonca na druhého najaktívnejšieho prispievateľa tohto repozitára. Ale tým si iba pripravoval pôdu na svoje zadné vrátka, ktoré po dvoch rokoch umožnili so správnym privátnym kľúčom dostať sa do procesu sshd, ktorý je zodpovedný za SSH spojenia. Našťastie si náhodou divné správanie sshd všimol jeden vývojár PostgreSQL v Microsofte a ostatné už je história. Vysveľujúcí článok pre masy si môžete prečítať tu:
Dan Goodin
A technickú verziu s prelinkami a investigáciou, kto asi bol chlapík za backdoorom JiaT75 tu:
Pre nás všetkých je toto ďalším varovaním, aké krehké môžu byť open-source projekty. Mimochodom už ste na nejaký peňažne vy osobne prispeli?
Security okienko
Ak ste sa smiali Intelákom, že ich procesory sú náchylné na Rowhammer útok na DDR4 pamäte pomocou bitflip, tak ste sa dosmiali. Rovnaký útok je dostupný aj na systémy s AMD ako Zen 2, tak aj Zen 3. Čo sa týka Zen 4 DDR5, tak tam sa to podarilo iba na jednom systéme z desiatich, takže s nimi zatiaľ môžete v kľude spávať.
Skip to content
Niektoré verzie Linuxu majú zraniteľnosť v nf_tables (to je backend pre iptables). Skúšal som aj pochopiť, ako to funguje, ale nakoniec som si iba odniesol informáciu, že stačí iba upgradnúť na správnu verziu Linuxu a problém je vyriešený.
notselwyn
Nové zlo: In-App prehliadače
Mnohí z nás si to ani neuvedomujú. Nainštalujeme si aplikáciu, klikneme na linku, otvorí sa niečo, čo zobrazí stránku. Tú si prečítame a hotovo. A pritom sa nám môže otvoriť prehliadač, ktorý nie je nastavený ako primárny, a okrem toho vám takto vie aplikácia podvrhnúť hŕbu monitorovacieho JavaScriptu. A ani na to nepotrebuje váš súhlas, lebo ten ste udelili už pri inštalácii aplikácie. Toto využíva hlavne Facebook a Instagram a otestovať si to môžete sami kliknutím na inAppBrowser.com. Ale svitá na lepšie časy, a možno toto nepekné správanie bude kontrolované aspoň u nás v EU pomocou DMA.
Nahradí AI vyhľadávanie?
Ako veľké AI modely získavajú na popularite, tak sa stále častejšie vynára otázka, či AI nahradí vyhľadávanie. Máme tu tri scenáre použitia.
Najčastejší je scenár použitia, keď väčšina ľudí používa vyhľadávač ako taký proxy k existujúcim stránkam. Proste zadajú názov stránky a chcú, aby prvá linka bol odkaz na danú stránku. Klik a sú tam. Toto urobiť cez AI, tak si vytrhajú vlasy, lebo budú čakať pár sekund na jeho odpoveď.
Druhý scenár je, keď chceme vedieť nejakú aktuálnu informáciu. Teda, aké bude počasie, ako sa vyvíja skóre nejakého zápasu, alebo chceme zistiť viac informácií o nejakej novinke, čo sme práve videli na sociálnych sieťach. Aj tu AI ťahá za kratší koniec, pretože model je trénovaný na dátach mesiace starých. Aj keď trošku jej v tom môžu pomôcť integrované rozšírenia na služby, ktoré takéto aktuálne informácie poskytujú.
Tretí scenár je presne ten, ktorý vyhovuje AI modelom. Niečo vás zaujíma, chcete vedieť súvislosti a AI model, ktorý parazituje na tých, čo tieto informácie vytvorili, vám to poskytne. A vy dúfate, že pripojí odkaz, lebo vieme, ako sa dá takejto odpovedí dôverovať.
O tomto polemizuje nasledujúci článok:
/cdn.vox-cdn.com/uploads/chorus_asset/file/25353804/IMG_4450.jpg)
A teraz hádajte, čo pripravil Google najnovšie v svojom vyhľadávaní? Google AI chatbota, ktorého nepôjde vypnúť.
Ron Amadeo
AI okienko
Dnes bude AI okienko krátke. Ľudia sa pred plánovanou zbierkou vajíčok všemožného druhu moc minulý týždeň nesnažili. Jediné, čo ma zaujalo je, že OpenAI má technológiu na klonovanie hlasu, a vlastne ani nevie, čo s ňou má robiť.
Martin Hodás
.NET okienko
V Bingu prešli na .NET 8 a vyskúšali aj Dynamic PGO. Prienieslo im to 13 % úsporu serverov a to sa vyplatí.
Ben Watson
Linky na záver
Na strednej škole sme sa učili o Wankelových motoroch, ako o zaujímavých motoroch s najvyšším pomerom výkon/hmotnosť. Bohužiaľ výkon nebol v súlade s trvácnosťou motorov. Odvtedy už prešli desiatky rokov a jediná firma, ktorá ich vyrábala bola Mazda. Aj tá ale prestala. S príchodom hybridov, to ale skúša znova.
Začína tretí ročník CyberGame. Je to jeden z tých projektov, ktoré stojí za to podporiť, a ak sa navyše zapojíte, tak určite neobanujete.
PDF OCR priamo v prehliadači? Prečo nie. Mimochodom je k tomu pripojený aj zaujímavý príbeh, ako autor na vytvorenie projektu využil AI chatboty.
Glossarie je zaujímavý projekt, ktorý vás učí jazyk tým, že vám v ebookoch nahradzuje slová za ich cudzojazyčný ekvivalent. Vy čítate knihy a pri tom sa učíte nový jazyk.
Trošku vtipný a trošku smutný príbeh o tom, ako to vo vývoji software chodí. Autor vytvoril dočasný dialóg pre formátovanie diskov vo Windows, ktorý ale prežil až do dnešných dní. Takto to u nás chodí. Dočasné riešenia sa stanú trvalými.
I wrote this Format dialog back on a rainy Thursday morning at Microsoft in late 1994, I think it was.
— Dave W Plummer (@davepl1968) March 24, 2024
We were porting the bajillion lines of code from the Windows95 user interface over to NT, and Format was just one of those areas where WindowsNT was different enough from… pic.twitter.com/PbrhQe0n3K
Zaujímavá prípadovka toho, ako projekt migroval z MongoDB na PostgreSQL.
Vizuálna bodka na záver
Keď už sme pri SQL, tak nezabúdajte na realitu bežných dní.
