b.Z

b.Z b.Z - Записки о гаджетах, людях и музыке. Это онлайновая читалка новостей, созданная для частного использования владельцами ресурса ru Вредоносная атака на Laravel-Lang
В четыре проекта Laravel-Lang был внедрён вредоносный код, предположительно, ворующий креды с устройств, на которых он запускался.

Под удар попали популярные проекты - Lang, Actions, Attributes и HTTP Statuses.

Инцидент касается не только Laravel...

Узнать подробности]]> b.Z Сб, 23 май 2026 22:04:13 +0300 Двигатель, колёса и панель приборов: Из чего на самом деле состоит ваш сайт
Или: Почему сравнивать React и PHP — это как сравнивать панель управления с двигателем

🚗 Пролог: Разберите машину, поймёте сайт

Представьте, что вы пришли в автосалон. Продавец говорит: «Вот эта машина — с бензиновым двигателем, а вот эта — с электрическим. А вон та — с кожаным салоном и огромным экраном на панели». Вы смотрите на ценники и не понимаете: почему электромобиль с большим экраном стоит в два раза дороже обычной «Тойоты»? И можно ли поставить большой экран в обычную…]]> b.Z Сб, 23 май 2026 18:05:31 +0300 Meta 1 мая показала как они хранят ключи от ваших бэкапов WhatsApp. Разбираю архитектуру и сравниваю
Дисклеймер: в статье несколько раз упомянут мой собственный мессенджер ONEMIX. Если такое триггерит — закройте сейчас, не обижусь. Если интересно как решают одну и ту же инженерную задачу в Meta и в команде из одного человека, поехали.

Первого мая на Engineering at Meta вышел пост «How Meta Is Strengthening End-to-End Encrypted Backups». Одиннадцатого мая продолжение про Labyrinth 1.1, реализацию для Android. Я прочитал оба, потом полез в whitepaper, потом сравнил с тем что делаю у себя, и…]]> b.Z Сб, 23 май 2026 17:45:40 +0300 CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при…]]> b.Z Сб, 23 май 2026 12:31:32 +0300 Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS‑запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP.

Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно. И вариант «попросите пользователя сначала включить VPN» нас не устраивал совсем. Ниже разберу, почему мы в итоге встроили обход прямо в приложение,…]]> b.Z Сб, 23 май 2026 11:31:35 +0300 [Перевод] Любой пользователь интернета может позвонить в вашу дверь
Недавно я купил умный дверной звонок на Temu, китайской торговой площадке, которая набирает популярность во всем мире в последние пару лет. Я хотел узнать, насколько безопасно дешёвое подключённое оборудование, продаваемое на этой платформе. Устройство поставляется под названием «Умный дверной звонок X3» и сопрягается через мобильное приложение под названием «X Smart Home». Камера, микрофон, двусторонняя аудиосвязь, внутренний приёмник в диапазоне ниже ГГц. Такое оборудование незаметно…]]> b.Z Сб, 23 май 2026 11:18:32 +0300 QNAME minimisation на практике: RFC 7816, реализация, грабли
Когда вы открываете mail.google.com, ваш рекурсивный резолвер делает три-четыре шага: спрашивает root, потом TLD, потом authoritative для google.com, иногда ещё один уровень. Десятилетиями каждому из этих серверов отправлялся один и тот же вопрос целиком: «дай мне mail.google.com». Root-серверу, который понятия не имеет про google. TLD-серверу, который умеет только делегации com.. Каждый из них видел всю строку, хотя для своей работы нуждался в одной метке.

В 2016 году Стефан Бортцмайер…]]> b.Z Сб, 23 май 2026 10:14:34 +0300 Двигатель внутреннего сгорания и PHP: Почему старые технологии не умирают
Или: Как автопром и веб-разработка доказывают, что надёжность важнее хайпа

🚗 Пролог: Дороги, которые мы выбираем

Представьте, что вы пришли в автосалон. Продавец предлагает вам две машины:

Toyota Camry с проверенным атмосферным двигателем, гидравлическим «автоматом» и подвеской МакФерсон. Она едет. Она надёжна. Её чинят в любом гараже. Запчасти — копейки.

Китайский электромобиль-планшет с кучей сенсорных экранов, подвеской на пневмобаллонах, дверями, открывающимися по…]]> b.Z Пт, 22 май 2026 18:05:37 +0300 «Раньше хотел каждый, сейчас и бесплатно не надо»: гаджеты, про которые мы все забыли
Не так давно я вспомнил один летний день в 2008 году. Электричка в пригород, в ушах «Bullet for my Valentine», что воспроизводится через музыкальный плеер Rover, в руках PSP, а у отца в рюкзаке портативный DVD-проигрыватель, что издалека можно спутать с небольшим ноутбуком. А еще в те годы я мечтал о полноценном КПК на Windows от какого-нибудь HP, чтобы со стилусом был и «Червячков» запускал. В 2026 году практически всё вышеперечисленное нам заменяет смартфон, вон недавно даже игры с ПК…]]> b.Z Пт, 22 май 2026 17:05:38 +0300 Вы платите OpenAI $20 в месяц, а он зарабатывает на вас ещё $100 млн за полтора месяца. И это только начало
Пятого мая OpenAI открыл публичный беты-доступ к Ads Manager — кабинету для покупки рекламы внутри ChatGPT. Любой американский бизнес теперь может зайти на ads.openai.com, привязать карту и купить показы в чате. Не через агентство, не через холдинг, напрямую.

За первые шесть недель пилота, который шёл с февраля закрыто, платформа заработала сто миллионов долларов. Прогноз на 2026-й — два с половиной миллиарда. К 2030-му OpenAI рассчитывает на сто миллиардов в год только с рекламы. Для…]]> b.Z Пт, 22 май 2026 15:30:05 +0300