Смарт-фильтр для воды отказывается наливать воду из-за падения AWS. Как принято говорить в робо-сопротивлении: “Когда мы едины, мы непобедимы!”

Я правда не очень понимаю как можно написать нормальную регуляторику под такое.

Контроль за работой «белых» хакеров предложили передать ФСБ
https://www.rbc.ru/technology_and_media/23/10/2025/68f8d6c09a79473a09f38e93

Как рассказали РБК два источника в госорганах и отрасли информационной безопасности, разработана новая версия законопроекта о легализации «белых» хакеров.

Инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей. Речь идет о специалистах, которых компании привлекают к тестированию своих информсистем на уязвимости самостоятельно или через специализированные платформы bug bounty (программа, в рамках которой компании платят людям за обнаружение уязвимостей и багов).

В новой версии законопроекта вводится понятие «мероприятие по поиску уязвимостей». Как пояснили собеседники РБК, оно «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение». Согласно проекту, под это определение могут попасть:

- коммерческие bug bounty: программы, где компании через специальные площадки платят независимым исследователям за «находки», работая по коммерческим договорам;

- внутренние bug bounty (self-hosted): программы, в которых компания силами собственных сотрудников ищет уязвимости в своей инфраструктуре;

- любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют программное обеспечение на уязвимости;

- пентесты (тестирование на проникновение), которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании-клиента и компании, предоставляющей услуги исследователей.

Речь идет об обязательной идентификации и верификации «белых» хакеров; правилах аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей; правилах, регулирующих обработку и защиту данных о найденных уязвимостях; регламенте, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др.

Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление.

Некоторые из опрошенных РБК участников рынка указали на риски обсуждаемых идей. Наиболее критичной они называют идею реестра «белых» хакеров. По словам проджект-менеджера MD Audit (входит в ГК Softline) Кирилла Левкина, обязательная идентификация исследователей создает угрозу для их безопасности и приватности, особенно если произойдет утечка данных из реестра. «Белые» хакеры нередко становятся мишенью со стороны киберпреступников, особенно в случаях, когда они публично раскрывают опасные уязвимости. Кроме того, деанонимизация может снизить количество участников bug bounty-программ, ведь многие специалисты работают под псевдонимами не из желания скрыться, а для минимизации личных рисков», — пояснил эксперт.

По словам представителя одной из российских bug bounty-платформ, содержимое реестра может «утечь» в Сеть, так как на госресурсах есть много уязвимостей. Деанонимизация «белых» хакеров приведет к тому, что они уйдут в серую зону, так как потеря анонимности может повлечь личные последствия: невозможность въехать во многие страны, преследования, вербовку иностранными спецслужбами, рассекречивание специального почерка исследователя и др., рассуждает этот собеседник.

По словам директора Центра исследования киберугроз Angara Security Сергея Гилева, текущая версия документа «достаточно жесткая». Деанонимизация «белых» хакеров, по его мнению, приведет к риску их задержания в поездках за рубеж (например, в отпуске или при посещении профильных мероприятий), введению ограничений для посещения определенных стран или при получении виз.

Спасибо подписчику за наводку

Помните историю с тем, как uutils (на Rust написанные) в Ubuntu затянули вместо GNU Coreutils?

https://www.group-telegram.com/tech_b0lt_Genona.com/5319
https://www.group-telegram.com/tech_b0lt_Genona.com/5697

Опять беда приключилась 🌝

Замена в дистрибутиве Ubuntu 25.10 инструментария GNU Coreutils на Rust Coreutils (uutils) привела к нарушению работы скрипта для автоматической проверки наличия обновлений пакетов. Среди прочего, оказался неработоспособен механизм автоматической установки обновлений с устранением уязвимостей, применяемый в некоторых установках Ubuntu Desktop и Ubuntu Server, а также в конфигурациях для облачных систем и контейнеров. Сбой не затронул операции ручной установки обновлений с использованием команд, подобных apt.

Проблема возникла из-за поставки утилиты "date" из набора uutils, в которой не была реализована опция "-r" ("--reference=file"), выводящая время изменения указанного файла. Указание данной опции в утилите "date" из набора uutils принималось парсером, но логика обработки данной опции отсутствовала в коде, поэтому вместо времени последнего изменения файла всегда возвращалось текущее время.

Команда "date" c опцией "-r" использовалась в ежедневно вызываемом скрипте "apt.systemd.daily" для определения изменения файла "/var/lib/apt/periodic/upgrade-stamp" с момента прошлого запуска. Так как вызов "date" с опцией "-r" не приводил к выводу ошибки и возвращает текущее время, скрипт всегда считал, что в системе установлены самые свежие обновления.

Примечательно, что в git-репозитории uutils изменение с полной поддержкой опции "-r" было добавлено за месяц до релиза Ubuntu 25.10, но оно не было включено в пакет rust-coreutils0.2.2-0ubuntu2, вошедший в состав Ubuntu 25.10. Отсутствие вывода ошибки при вызове неработающей опции не позволило выявить проблему при автоматизированном тестировании. Проблема устранена в обновлении пакета rust-coreutils 0.2.2-0ubuntu2.1, для установки которого можно использовать команду "sudo apt install --update rust-coreutils".

Из-за ошибки в uutils в Ubuntu 25.10 перестала работать автоматическая проверка наличия обновлений
https://www.opennet.ru/opennews/art.shtml?num=64108

Оригиналы
https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-October/009890.html
https://bugs.launchpad.net/ubuntu/+source/unattended-upgrades/+bug/2129660

> Отсутствие вывода ошибки при вызове неработающей опции не позволило выявить проблему при автоматизированном тестировании.

Вот это, конечно, круто. Чувствуется уровень.

В чатике @ru_talos увидел, что пилится "Talos" но на базе Альтовых пакетов

Вот выложен уже Discovery Service
https://altlinux.space/alt-orchestra/discovery-service-rs

Это альтернатива оригинальному Talos Discovery Service
https://github.com/siderolabs/discovery-service

В общем дело хорошее, альтернативы это хорошо. Ждём, что получится.

Что такое Talos и чем он прекрасен можно почитать тут

https://www.group-telegram.com/tech_b0lt_Genona.com/3860

https://www.group-telegram.com/tech_b0lt_Genona.com/4281

https://www.group-telegram.com/tech_b0lt_Genona.com/4499

ОС Talos Linux — путь к «тому самому» харденингу инфраструктуры для k8s
https://vk.com/video-224467080_456239042
https://www.youtube.com/watch?v=ZKIe-IGKfP0

UPD

https://www.group-telegram.com/ru_talos/35128

- сделали сборку talos на основе альт rpm-пакетов. Т.е. мы не компилируем ничего, т.к. уже есть все нужное в скомпилированном виде rpm-пакетов. И утилиты talos тоже. И ядро.
https://packages.altlinux.org/ru/sisyphus/srpms/talos
https://packages.altlinux.org/ru/sisyphus/srpms/kernel-image-talos

- при разворачивании кластера образы k8s берутся тоже наши из https://registry.altlinux.org. Они тоже приготовлены из rpm-пакетов :)
(например https://registry.altlinux.org/image/sisyphus%2Fkube-apiserver)

- поэтому переделали процесс изготовления образов iso и других артефактов в CI (по времени получается меньше 10 минут, т.к. ничего не надо компилировать)
https://altlinux.space/alt-orchestra/talos-build

- сами артефакты выкладываются тоже на altlinux.space
https://altlinux.space/alt-orchestra/talos-build/packages

- подняли factory-image:  https://factory.altlinux.space

- написали свой discovery-service: https://altlinux.space/writers/alt-orchestra-service
Изапустили сервис


Делали еще что-то, что уже не вспомню :)

Kill List: как два хакера взломали маркетплейс убийств в даркнете и спасли кучу людей

https://youtu.be/cYZmRp90hss

Еще в 2019 году хакер и журналист случайно наткнулись на сайт Besa Mafia в даркнете - сайт, на котором можно заказать убийство или похищение человека почти в любой стране у албанской мафии (лол).

Чтобы разобраться, как устроен процесс, один из авторов (Крис) зарегистрировался на сайте и опубликовал свой запрос на убийство.
Для обсуждения деталей сразу же был создан чат, в котором будущий убийца и заказчик могут обсуждать детали и договариваться.

Буквально в первые 5 минут Крис заметил IDOR-уязвимость (ровно как тут): в урле страницы чата прописан айдишник (условно 1234567), и если вписать вместо него другое число, можно попасть в чужой чат и увидеть все, что туда писали.

А дальше хакер получил контроль над вообще всем сайтом - там было полно разных уязвимостей, который позволили это сделать. В полученных данных были биткоин кошельки, все данные с серверов, страниц администраторов и т д.
Естественно, главного администратора сайта звали Юра (ну а как еще?).

Так появился Kill List: архив всех чатов, которые удалось собрать перебором айдишников, насчитывающий тысячи запросов на заказное убийство, данные покупателей и многое другое.

Меня абсолютно поразили цены на убийство, которые выставляли люди: 1000-2000$ за убийство человека в Европе / США - это прям копейки. Естественно, качество реализации за такие деньги тоже было очень низким - но об этом позже.

Естественно, первое что сделали авторы, когда получили доступ ко всему этому - позвонили в полицию (в Англии) и рассказали им обо всем, что нашли. Угадайте, как отреагировали полицейские?

Сначала решили провести ментал чек журналиста, который позвонил - думали, что он псих.
Потом убедились, что он не псих, но сказали, что в списке “недостаточно жертв в UK”, поэтому они ничего расследовать не будут(sic!).
Пообещали передать информацию в Интерпол, но и там люди в целом забили на албанцев.

Авторы решили сами уведомлять всех жертв, кого они смогли определить: буквально звонить им со словами “На вас планируется покушение, будьте осторожны” итд.
Люди, конечно же, не стали верить рандомному звонку, - ну а вы бы как поступили? Это даже хуже, чем “здравствуйте, это служба доставки”.

Поэтому авторам пришлось выстроить сеть из журналистов по всему миру - так как в “заказах” был адрес, журналисты могли прийти домой к жертвам и убедить их поговорить с авторами по зуму.
Некоторые люди вообще не были удивлены, что их заказали - например, женщина в Швейцарии рассказала, что проходит через жесткий развод, и муж, который должен был отдать половину своего имущества, вероятно заказал ее убийство.

После того, как журналисты устанавливали контакт с потенциальной жертвой, они передавали всю информацию по конкретному делу в полицию - вместе с предположениями о личности заказчика, которые высказывали жертвы.

Во многих случаях убийство не получались, - все таки, когда заказываешь хитмена за 1000$, за работу берется не самый профессиональный человек. Авторы расследования постоянно получали обновления по всем чатам, и видели все: хитмен потерялся, забыл или потерял оружие, громко топал и был замечен, и так далее.

Не буду долго пересказывать детали заказов - можете посмотреть оригинальное видео или послушать их подкаст (я не слушал).
Но там полная жесть. Заказы не только на убийства, но, например, на похищение женщины с целью неделю колоть ей героин и подсадить ее, - заказчиком был ее бывший муж, владелец благотворительной организации по помощи женщинам, столкнувшимся с зависимостью.

За 3 года авторы раскрыли 175 оплаченных заказов больше чем в 20 странах, что привело к 32 арестам, 28 признаниям и большим тюремным срокам - как для заказчиков, так и исполнителей.

В конце 2022 года румынские спецслужбы, по наводкам журналистов, провели несколько рейдов в Румынии и (похоже) поймали Юру.
Только спустя 3 года с начала расследования спецслужбы и органы власти наконец-то перехватили инициативу на себя и начали работать по той же схеме без помощи журналистов.

Организация Python Software Foundation, курирующая разработку языка программирования Python, отказалась от получения гранта в 1.5 млн долларов, одобренного Национальным научным фондом США в рамках программы "Безопасность, защита и конфиденциальность Open Source экосистем". Заявка на получение гранта была подана в январе и после многомесячного процесса проверки и согласования была одобрена на предоставление финансирования. Грант подразумевал выделение 1.5 млн долларов в течение двух лет, что является ощутимой для Python Software Foundation суммой, так как общий готовой бюджет данной организации составляет около 5 млн долларов в год при 14 трудоустроенных сотрудниках.

Причиной отказа от гранта стали условия, которые необходимо было принять в случае получения денег. В течение срока действия гранта участникам предписывалось не осуществлять инициативы, продвигающие или поддерживающие политику DEI (разнообразие, равенство и инклюзивность) или иную дискриминационную идеологию равенства, нарушающую федеральные антидискриминационные законы США (Дональд Трамп объявил программы DEI незаконными, аморальными и дискриминационными). Ограничение распространяется не только на финансируемые грантом работы, но и на всю деятельность организации, получившей грант.

Данное требование создаёт финансовые риски, так как Национальный научный фонд имеет право отозвать уже перечисленные средства, в случае нарушения условий предоставления гранта, т.е. уже потраченные средства могут быть затребованы назад. Кроме того, отмеченное требование идёт вразрез с миссией проекта Python, в которой разнообразие, равенство и инклюзивность упоминаются среди ключевых ценностей. По заявлению представителей Python Software Foundation, принятие условий и отказ от поддержки DEI стало бы предательством сообщества и объявленной миссии.

Выделяемые средства планировали потратить на разработку новых инструментов для автоматизированного рецензирования пакетов, загружаемых в каталог PyPI (Python Package Index). Вместо ныне применяемой "reactive" схемы, подразумевающей проверку после того как пакет уже доступен в каталоге, намеревались внедрить "proactive" схему, при которой проверка выполняется до того, как пакет станет доступен пользователям. Для выявления вредоносных пакетов планировали использовать анализ функциональности, учитывающий типовые элементы известного вредоносного ПО. Предполагалось, что развиваемый инструментарий не ограничится защитой PyPI и его можно будет адаптировать для каталогов других открытых проектов, таких как NPM и Crates.io.

Проект Python отказался от гранта в 1.5 млн долларов на повышение защищённости PyPI
https://www.opennet.ru/opennews/art.shtml?num=64123

Оригинал
The PSF has withdrawn a $1.5 million proposal to US government grant program
https://pyfound.blogspot.com/2025/10/NSF-funding-statement.html

via @itpgchannel

Технолоджиа!

Running Rust on shared hosting via PHP wrapper (hear me out)
https://www.reddit.com/r/rust/comments/1o9w36k/running_rust_on_shared_hosting_via_php_wrapper/

I wanted actual memory safety and compile-time guarantees, but I'm also practical about infrastructure. Didn't feel like paying for VPS hosting, managing security patches, configuring databases, setting up backups, and generally babysitting servers when shared hosting is under $10/month and handles all that.

Problem: how do you run Rust on shared hosting that only officially supports PHP?

A compromise: use PHP as a thin CGI-style wrapper that spawns your Rust binary as a subprocess:

1. PHP receives HTTP request

2. Serializes request context to JSON (method, URI, headers, body, query params)

3. Spawns Rust binary via proc_open

4. Binary reads JSON from stdin, processes request, writes response to stdout

5. PHP captures output and returns to client

Static linking is critical so you don't depend on the host's glibc. Using musl target:

rustup target add x86_64-unknown-linux-musl cargo build --release --target x86_64-unknown-linux-musl

Verify it's fully static:

ldd target/x86_64-unknown-linux-musl/release/myapp

Then just upload via SFTP and chmod +x.

Rust side (simplified):

use serde::{Deserialize, Serialize}; use std::io::{self, Read};

#[derive(Deserialize)]
struct Context { method: String, uri: String, headers: HashMap<String, String>, body: String, }

#[derive(Serialize)]
struct Response { data: serde_json::Value, }

fn main() -> Result<(), Box<dyn std::error::Error>> { let mut input = String::new(); io::stdin().read_to_string(&mut input)?;

let ctx: Context = serde_json::from_str(&input)?;
let result = handle_request(ctx)?;

println!("Content-Type: application/json\n");
println!("{}", serde_json::to_string(&result)?);

Ok(())
}

Database gotcha:

Shared hosting usually blocks TCP connections to MySQL. Use Unix sockets:

// Won't work: let url = "mysql://user:pass@localhost:3306/db";

// Will work: let url = "mysql://user:pass@localhost/db?socket=/var/run/mysqld/mysqld.sock";

Find your socket path via phpinfo().

Trade-offs:

Pros: actual memory safety, minimal memory footprint, no server maintenance, cheap hosting, just upload via SFTP

Cons: process spawn overhead per request, no persistent state between requests, two codebases, requires cross-compilation, binaries run with your account's full permissions (no additional sandboxing)

Security considerations:

Your binary runs with the same permissions as PHP scripts. Not sandboxed. All the usual rules apply: validate input rigorously, don't expose to untrusted users, sanitize file paths. The security model is essentially identical to running PHP.

Why this works:

You get Rust's memory safety guarantees and zero-cost abstractions while leveraging cheap shared hosting infrastructure. Not optimal for high-traffic production systems, but solid for side projects, low-traffic sites, and learning purposes. For serious production workloads you probably still want proper VPS or containerized deployment.

Ultimately though, the borrow checker doesn't care that it's being spawned by PHP.

ФСБ потребовала от банков хранить переписку с клиентами
https://www.banki.ru/news/lenta/?id=11018892

ФСБ потребовала от банков установить системы для хранения переписки c клиентами в приложениях, узнал РБК. Соответствующие письма были направлены крупным кредитным организациям, рассказали источники издания. В самих банках от комментариев отказались.

Кредитные организации попадают под статус организаторов распространения информации (ОРИ), если соответствуют ряду критериев. Например, если они обеспечивают работу интернет-сайтов и мобильных приложений, через которые сотрудники и пользователи могут обмениваться сообщениями.

В соответствии с законом, ОРИ должны устанавливать у себя системы оперативно-разыскных мероприятий (СОРМ), хранить переписки, голосовые сообщения и видеозаписи из приложений и предъявлять их правоохранительным органам по запросу. Сейчас срок хранения данных о пользователях составляет один год, а с 2026 года увеличится до трех лет.

Банки также должны будут разработать программу взаимодействия с ФСБ, назначить ответственного сотрудника и установить оборудование с возможностью удаленного доступа.

По мнению экспертов, нововведение ожидаемо для рынка, поскольку предусмотрено законом. С реализацией проблем возникнуть не должно, уверены производители оборудования СОРМ.

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://www.group-telegram.com/tech_b0lt_Genona.com/4983

Слово автору @ozeranskii

---

Решал конкретно свою задачу и в итоге решил, что это можно выкатить в опенсорс.

Мне нужно было задебажить запросы к удаленному API по перформансу - не просто увидеть "запрос занял 800 мс", а получить реальную картину: какие этапы есть у запроса, сколько времени тратится на каждый шаг (DNS, коннект, TLS, ожидание ответа и т д), что именно тормозит. Так и появился httptap.

🔗 Репозиторий: https://github.com/ozeranskii/httptap

PyPi - https://pypi.org/project/httptap/

Почему не httpstat

Когда искал готовые решения, нашел два инструмента:
- https://github.com/reorx/httpstat (Python)
- https://github.com/davecheney/httpstat (Go)

И вот какие там ограничения.

httpstat (Python):
- это по сути обертка над curl - без curl не работает
- проект давно не развивается
- по набору фичей тоже получается бедней, чем у меня

httpstat (Go):
- нативная реализация без curl. Удобно
- но это скорее удобный curl -v с подсветкой
- нет глубокого TLS аудита
- нет JSON экспорта для автоматизации и регрессионных проверок

Короче, ни одно решение не закрывало мои сценарии полностью, плюс захотел свое ,как мне кажется, более интересное.

Что делает httptap по другому

🎯 Чистая Python экосистема
- без внешнего curl и системных зависимостей
- минимум зависимостей: httpx, dnspython, rich
- работает на macOS, Linux, Windows
- можно использовать как CLI и можно использовать как библиотеку внутри питоновского кода

📊 Продвинутый трейсинг
- точные замеры через httpcore trace hooks, а не парсинг вывода curl
- полная цепочка редиректов с таймингами на каждом хопе
- честно помечает метрики как is_estimated, если где то пришлось сделать фолбек
- это не просто "запрос занял N мс", это поэтапный waterfall

🔒 Глубокая TLS инспекция
- версия протокола и cipher suite
- common name сертификата
- сколько дней осталось до истечения (cert_days_left)
- отдельный TLS probe чтобы это измерить и показать отдельно

🌐 Работа с сетью
- определяет IPv4/IPv6
- показывает какой IP был на каждом шаге редиректа

💾 Удобные форматы вывода
- rich waterfall - человекочитаемая табличка с этапами
- compact - однострочник для логов
- metrics-only - только цифры, чтобы парсить в скриптах или в CI
- полный JSON экспорт со всеми метаданными по каждому шагу, включая тайминги DNS/TCP/TLS/TTFB/Transfer, хедеры, сертификаты, summary
- максирование чувствительных заголовков при экспорте в JSON

🔧 Расширяемость
- четкие интерфейсы для DNS резолвера, TLS инспектора, визуализации
- можно подменить компонент и встроить httptap в свою отладку
- это не тупо консолька, это реально пригодно как часть пайплайна

Как это устроено внутри

В отличие от httpstat (python), который полагается на curl, httptap делает все сам внутри Python:
- использует httpx/httpcore и низкоуровневые trace hooks, то есть мы реально видим поведение клиента на уровне сокетов
- лезет в TLS руками и вытаскивает параметры шифрования и сертификат
- полностью контролирует измерения, а не просто печатает чужую статистику

Для чего это вообще
- performance troubleshooting - где именно тормозит API
- regression analysis - сравнение базовой метрики и текущей
- tls audit - что там с сертификатом и шифром
- network diagnostics - DNS, IPv4 vs IPv6, латентность соединения
- redirect chain analysis - как реально ходит запрос до финальной точки

Если вы отлаживаете API и вам нужно не просто "оно отвечает медленно", а понять почему - забирайте, пишите фидбек и контрибутьте. 🚀

---

Telegram в России тестирует отправку SMS-кодов через пользователей
https://kod.ru/telegram-p2pl-rus

Telegram начал поэтапно разворачивать в РФ функцию отправки SMS-кодов за счёт пользователей.

Речь о возможности воспользоваться программой Peer-to-Peer Login Program (Программа одноранговой авторизации), которую Telegram впервые запустил лишь в нескольких странах ещё в начале 2024 года.

- Суть функции в следующем: пользователь разрешает Telegram отправлять со своего номера телефона до 100 SMS в месяц — это SMS-сообщения с кодами авторизаций, которые получают другие пользователи.

Важный момент: функция фактически предлагается сейчас только пользователям с Android-смартфонами, так как iOS — закрытая система и позволять пользователю быть «ретранслятором» сообщений труднее.

- Как правило, подписку Telegram Premium отправляют при достижении минимального количества отправленных сообщений с использованием тарифного плана номера телефона пользователя.

- При этом подписка в виде подарочной ссылки, поэтому её можно подарить кому-то другому, например, другу или родственнику.

- Пользователи в любой момент могут отказаться от участия в Программе одноранговой авторизации.

«Код Дурова» убедился, что функция пока доступна только 0,01% пользователей и её массового распространения в России пока нет, при этом принудительно пользоваться ей Telegram заставлять не будет.

И сразу в эту же тему

390 миллиардов сообщений отправят в 2025 году компании в мессенджеры, продолжая диверсифицировать каналы доставки своих сообщений пользователям. В первую очередь это касается A2P-коммуникации, проще говоря – отправки одноразовых паролей и PIN-кодов для доступа в сервисы и на сайты, а также для подтверждения действий пользователя. Рост к 2027 году составит почти 44%. Главный драйвер – отказ от использования SMS и агрессивная ценовая политика WhatsApp, использование которого дает компаниям экономию от 50% до 90% по сравнению с использованием традиционных операторских SMS.

https://www.group-telegram.com/contentreview/11030

- Не будет пузыря?
- Нет.
- Твёрдо и чётко?
- Твердо и четко.

Powell says that, unlike the dotcom boom, AI spending isn’t a bubble: ‘I won’t go into particular names, but they actually have earnings’
https://fortune.com/2025/10/29/powell-says-ai-is-not-a-bubble-unlike-dot-com-federal-reserve-interest-rates/

Federal Reserve Chair Jerome Powell doesn’t think the AI boom is another dotcom bubble. In fact, he made that distinction explicit on Wednesday, arguing that the current wave of artificial intelligence investment is grounded in profit-making firms and real economic activity rather than speculative exuberance.

“I won’t go into particular names,” Powell told reporters after the Fed’s policy meeting, “but they actually have earnings.

“These companies … actually have business models and profits and that kind of thing. So it’s really a different thing” from the dotcom bubble, he added.

Буквально три часа назад написал про СМС и Telegram
https://www.group-telegram.com/tech_b0lt_Genona.com/5825

и вот уже объяснение этого движа

От российских операторов потребовали прекратить передачу SMS и звонков новым пользователям со стороны подрядчиков Telegram и WhatsApp* при попытке их регистрации, сообщил «Коду Дурова» источник на телеком-рынке. Операторы начали выполнять указание — и это затронет в том числе уже зарегистрированных пользователей
Эксклюзив: в России ограничили регистрацию пользователей в Telegram и WhatsApp*
https://kod.ru/telegram-i-whatsapp-bez-sms

Я уже говорил, что принудительно привязывать что-либо к номерам мобильных телефонов максимально тупорылая идея

https://www.group-telegram.com/tech_b0lt_Genona.com/4953
https://www.group-telegram.com/tech_b0lt_Genona.com/5082

Серия постов про то как наше железо (и не только) привязывают всё больше к облакам, подпискам и прочей шляпе

https://www.group-telegram.com/tech_b0lt_Genona.com/5163
https://www.group-telegram.com/tech_b0lt_Genona.com/5166
https://www.group-telegram.com/tech_b0lt_Genona.com/5195
https://www.group-telegram.com/tech_b0lt_Genona.com/5197
https://www.group-telegram.com/tech_b0lt_Genona.com/5657
https://www.group-telegram.com/tech_b0lt_Genona.com/5810

Умные матрасы Eight Sleep перестали работать из-за сбоя AWS: в них нет офлайн-режима
https://habr.com/ru/news/958652/

> В постах на неофициальном сабреддите Eight Sleep многие пользователи впервые узнали, что их матрасы сильно зависят от стабильного подключения и ошибок на серверах производителя. Один из комментаторов отметил, что его флагманская модель за 5 тыс. долларов должна работать всегда.

Лучше поздно, чем никогда

Для тех, кто в теме, уже давно не секрет, что обновление библиотеки OpenSSL до версии 3.x очень болезненное и проблемное: сломы обратной совместимости без явной на то причины, нередкие просадки производительности.

https://www.haproxy.com/blog/state-of-ssl-stacks

В этом году разработчики HAProxy сравнили производительность различных TLS-бэкендов: OpenSSL 1.1.1, несколько версий OpenSSL 3.x, WolfSSL и Amazon aws-lc (форк Google BoringSSL (форк OpenSSL 1.x)).

Помимо всего прочего, в посте представлен некоторый исторический контекст, который затрагивает вопросы адекватности и компетентности нынешних разработчиков OpenSSL, которые закономерно наносят вред качеству и репутации проекта.

TL;DR: OpenSSL — кринж, aws-lc и BoringSSL — база