librats: Выпуск версии 0.7.x (новая библиотека для распределённых P2P-приложений). Так же релиз rats-search 2.0
Всем привет! Я продолжаю развивать свою библиотеку для создания распределённых приложений, которая уже легла в основу новой версии rats-search (распределенного торрент-поисковика). Она позволяет развернуть собственную P2P-сеть и связать пользователей между собой. Главная особенность —...
[Перевод] Уязвимость React2Shell: что произошло и какие уроки можно извлечь
3 декабря 2025 года критическая уязвимость в серверных компонентах React (React Server Components, RSC) потрясла сообщество веб-разработчиков. Была обнаружена уязвимость React2Shell/React4Shell (CVE-2025-55182) с оценкой CVSS 10.0, что является максимальным баллом для уязвимостей. Ошибка позволяет...
Next JS и React опять дал сбой? CVE-2025-55182, или о том как легко ломают сервера
История о том, как одна критическая уязвимость (CVE-2025-55182) в серверных компонентах React привела к полному захвату нашего тестового сервера. Майнер, убитые системные процессы, сломанный GRUB и 10 часов борьбы за контроль. Разбираем хронологию взлома, наши ошибки и жесткие выводы о безопасности...
Как я нашёл уязвимость в JavaScript-движке, или Почему корень из нуля чуть не сломал браузеры
Сколько будет корень из нуля? Даже школьник ответит не задумываясь: ноль. Но если задать этот вопрос JIT‑компилятору Maglev внутри движка V8, то при определённых обстоятельствах он сначала скажет: «ноль», а потом решит сэкономить на проверке безопасности и отдаст злоумышленнику доступ к памяти...
Изучаем транспорт для ShadowSocks/XRAY: от «голубиной почты» до туннеля по WebRTC
В компьютерных сетях (как и, в принципе, при любой передаче информации) есть и всегда будут существовать две задачи: конфиденциальность (confidentiality) - я отправляю письмо Маше, это всем известно, но что в этом письме - можем прочитать только мы с Машей анонимность (anonymity) - все могут...
[Перевод] Shai-Hulud 2.0: 25 000 npm-репозиториев могут потерять свои данные
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000...
Как мошенники крадут криптовалюту под видом вакансий для QA-инженеров
Disclaimer: Эта статья предназначена исключительно для образовательных целей и повышения осведомлённости о киберугрозах. Любое использование описанных техник в злонамеренных целях строго запрещено и преследуется по закону. Читать далее...
[Перевод] setHTML(), Trusted Types и Sanitizer API
Ранняя версия Sanitizer API была реализована в Chrome, но позже была удалена. Поэтому не стоит ориентироваться на старые материалы — спецификация API со временем значительно изменилась. На данный момент Sanitizer API поддерживается в Firefox Nightly в соответствии с актуальной спецификацией. В...
[Перевод] У JavaScript не будет прекрасного будущего
Команда JavaScript for Devs подготовила перевод статьи о том, почему JavaScript-сообщество снова проигнорирует шанс исправить фундаментальные проблемы своей экосистемы после крупнейшей атаки на цепочку поставок. Автор предлагает здравый план — от стандартной библиотеки до новых практик управления...
[Перевод] Один из крупнейших взломов NPM: более 18 пакетов были скомпрометированы
8 сентября в 13:16 UTC система мониторинга Aikido зафиксировала подозрительные действия: в npm начали публиковаться новые версии популярных пакетов, содержащие вредоносный код. Читать далее...
librats: новая библиотека для распределённых P2P-приложений
Всем привет! Я являюсь создателем распределённого поисковика rats-search на базе DHT ( GitHub ). Его принцип работы довольно прост: поисковик собирает торренты у всех участников сети и формирует большую распределённую базу для поиска, включая метаданные (например, описания и прочую информацию). В...
Мошенники на LinkedIn
На LinkedIn мне, как, думаю, и многим из вас, часто пишут. Чаще всего, это бывают либо рекрутеры низшего уровня, которые особо не вдаются в детали моей специализации и спамят просто "на удачу". Либо, это те, кто пытается предложить мне услуги, которые, ха-ха, я и сам предоставляю (всяческое R&D)....
Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
Когда я начинал писать Node.js-сервис, который должен был интегрироваться с LLM-моделью, я уже понимал, что доступ к некоторым зарубежным API из России может быть проблемой. Именно поэтому моим первоначальным выбором была модель от Yandex Cloud — Yandex GPT. Но после того как я и мои товарищи...
Почему запрет на переключение вкладок не спасает онлайн-тесты от списывания
Онлайн-тестирование стало важной частью современного образования и процесса найма сотрудников. Многие платформы и компании пытаются бороться с мошенничеством, внедряя технические ограничения — например, запрет на переключение вкладок в браузере. Но насколько это эффективно на практике? И что...
Игра по своим правилам: хак лидерборда в Telegram MiniApp
Игра по своим правилам. Рассказываю, как с помощью DevTools и нестандартных методов можно выйти на первое место в Telegram MiniApp. Читать далее...
Это под силу даже веб-разработчику! Размышляю, как создать драйверы на JavaScript с API WebUSB
Привет! Я Игорь Кечайкин, руководитель группы разработки во Frontend-команде Flocktory. Недавно, решая задачу, связанную с API WebUSB для Fingerprint-атрибуции пользователя, задался совершенно не связанным теоретическим вопросом: а как создать с этим API драйверы на JavaScript? Чтобы разобраться,...
[Перевод] Прочтите это, если планируете работать с Next.js
Выбор технологического стека для проекта — это важное решение, которое всегда имеет последствия. В больших корпорациях (в особенности) такой выбор зачастую предполагает, что придётся долгие годы придерживаться запланированного, и этот выбор в долгосрочной перспективе скажется на всей дорожной карте...
Как приготовить обфускацию в JavaScript и не сжечь лабораторию: AST, babel, плагины
Вероятно каждый программист или компания, сталкивались с мыслями о своей крутости или хотя бы крутости своих алгоритмов 😎. Разумеется, в этом случае может возникнуть соответствующее нежелание делиться разработками с широкой аудиторией. Данная проблема минимизируется переносом части кода на сервер...
Назад