Улькунды в Башкирии.
Карст – это образование пустот под землей после вымывания водами подземных рек. Явление красивое на фотографиях и опасное для городской инфраструктуры – территория республики и сама Уфа усеяны воронками, из-за этого случаются провалы.

Фото — Алексей Скалин vk.ru/club39283647

Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак
Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами HTTP/2 наводнить сервер большим количеством запросов в обход установленных ограничений.
Суть проблемы в том, что клиент может создать очень большое число одновременно обрабатываемых потоков, независимо от лимита SETTINGS_MAX_CONCURRENT_STREAMS, сбрасывая каждый поток на начальном этапе. Подобный сброс приводит к тому, что для отправки нового запроса в установленном соединении HTTP/2 клиенту не требуется жать ответа от сервера и можно сразу направить большой непрерывный поток запросов, насколько позволяет пропускная способность канала связи.

Клиент перестаёт зависеть от задержек между отправкой запроса и получением ответа (RTT, round-trip time) и может провести атаку с минимальными накладными расходами, при том что сервер продолжает тратить ресурсы на обработку поступающих запросов. Например, сервер осуществляет выделение структур данных под новые потоки, разбор запроса, распаковку заголовка и сопоставление URL с ресурсом. При атаке на обратные прокси, атака может распространиться на бэкенды, на которые прокси успеет перенаправить запрос до его сброса.

Уязвимость напоминает ранее известную проблему Rapid Reset (CVE-2023-44487) и вызвана расхождением логики сброса потоков, определённой в спецификации протокола HTTP/2 и реализованной в конечных продуктах. В спецификации предусмотрена возможность сброса потока клиентом и сервером в любой момент, но во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться. Ключевым отличием новой атаки является то, что сброс обработки запроса осуществляется по инициативе сервера, а не через отправку клиентом кадра с флагом RST_STREAM.

Сброс по инициативе сервера происходит при поступлении некорректных запросов, но подобные запросы отбрасываются сразу без начала их полноценной обработки и без передачи бэкенду. Для того, чтобы добиться полного цикла обработки запроса атакующий вначале может отправить корректный HTTP-запрос, но следом за ним передать некорректную последовательность управляющих кадров HTTP/2. Подобная активность приведёт к тому, что сервер начнёт полноценно обрабатывать запрос, но потом из-за ошибки при обработке следом идущих кадров сбросит поток (переведёт поток с корректным запросом в состояние RST_STREAM).

Наличие проблемы подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish, lighttpd, Zephyr RTOS. Проблема проявляется также на сайтах и серверных сервисах Mozilla. Apache httpd, Apache Traffic Server, Node.js, LiteSpeed и HAProxy проблеме не подвержены. Статус наличия уязвимости в nginx не определён.

Источник: opennet.ru/opennews/art.shtml?…

После 18 лет молчания, вызванного инсультом ствола мозга, 48-летняя Энн Джонсон из Канады смогла снова говорить благодаря нейроинтерфейсу «мозг–компьютер», разработанному учеными из Калифорнийских университетов в Беркли и Сан-Франциско.
В 2022 году Энн стала третьей участницей экспериментального проекта по восстановлению речи у пациентов с тяжелым параличом. Технология обходит поврежденные нервные пути: электродный массив, установленный над зоной мозга, отвечающей за артикуляцию, считывает нейронную активность при попытках говорить, а искусственный интеллект преобразует эти сигналы в текст, синтезированный голос или анимированного аватара.

Чтобы сделать голос максимально естественным, ученые воссоздали его на основе записи свадебной речи Джонсон 2004 года. В планах команды — беспроводные импланты, фотореалистичные 3D-аватары и удобная система «plug-and-play» для использования в клиниках.

Парализованный человек заговорил впервые за 18 лет с помощью нейрочипа

Команда планирует создать беспроводные импланты, а также довести технологию до формата готового к применению в клиниках.

^{Наука: новости и видео}

Malokarpatan - Vertumnus Caesar
Majestic heavy / black from Slovakia.
malokarpatan.bandcamp.com/albu…

#nowplaying #blackmetal

Сводка новостей на каждый день:

⚡️В России заблокируют.
⚡️Россиянам запретят.
⚡️Россияне больше не смогут.
⚡️Для россиян закроют.
⚡️Подорожает.
⚡️Исчезнет.
⚡️Замедлят.
⚡️Россиянам ограничат.

Karmalogic

Пару лет назад Youtube подкинул роликов Алексея Ситникова, меня они заинтересовали - смотрел с интересом. Потом подвернулась бумажная книга, но она довольно толстая, я её начал, но не дочитал, а теперь дослушал в аудио.

Каких-то открытий из книги не сделал, инсайты тоже не пришли, но для общего развития неплохая книжка. Прям про карму тут почти нет, если кого-то именно этот аспект интересует, концепт тут в другом: выяви

chebotarev.spb.ru/blog/2025/ka…

Домовой и леший на самом деле были бесплотными духами и оборотнями, которые не любили показываться людям, а если показывались, то чем угодно: лягушкой, котенком, красной девицей, орешником, бабой, избушкой.
А черт в традиционной культуре обычно принимал вид знакомого и заводил человека в гибельное место или старался стать любовником вдовы.

Camouflage.

#nature #birds #owl

🤔
#УвиделТут

🗺🔎: 55.330, 38.669

2025.08.13 川端二条あたりからルリマツリ

#photography #flowers #マストドン写真部

Водитель автобуса, который поменялся временем с другим, опаздывает на 10-15 минут от расписания.
А потом жалуется, что у всех по утрам полный салон, а он везёт десяток людей.

Кто ему скажет?

Stille und Reflexion.
Silence and reflection.

#TravelThursday #Schottland #Scotland #isleofskye #Fotografie #photography

This is the most incredible headstone I have ever seen. Sad to have not known him with this kind of memorial!

Note the border inscription.

На 20м на JS8Call как-то сегодня не густо. Видимо, прохождение совсем печальное. Вчера на HB бодро чуть ли не до полуночи были ответы, сегодня же их практически нет. Помониторю, ноут всё равно без дела стоит.

#js8call #hamradio

#Wildfires are an enormous human tragedy. But there's some consolation if we see them from an ecological perspective. Because they don't produce deserts. They trigger swift re-growth of plants and fungi adapted for the post-fire habitat. I've seen it happen after several forest fires near my home.

#environment

И да, не пытайтесь использовать функцию "Прокси для звонков" в Telegram Desktop, потому что её не могут починить как минимум 3,5 года.

github.com/telegramdesktop/tde…

«пока прокси не поддерживается в библиотеке для звонков, используемой приложениями Telegram, так что tdesktop не может поддерживать его самостоятельно»

Use Proxy For Call doesn't seems to work

Hey everyone! I have a Firewall which block every ports except my list. I've wanted to use Telegram on it but it seems that Telegram uses random ports. So I tried to use the proxy method with a SOC...

^{ExPl0siF (GitHub)}

Square, hexagonal and octagonal...

#doorsday
#photography

Откровенно говоря, не понимаю я всей этой ебанистерии с "национальным мессенджером". Оставим за скобками вопрос нужности, полезности и для кого, но зачем все эти приседания по его навязыванию и пиару?

Если это госпроект, то вопрос окупаемости тут не стоит. Начальная аудитория для запуска тоже не нужна абсолютно, в этом смысле такое ничем не отличается от приложений типа Госключ. Шум в таких делах даже вреден. Потихоньку и планомерно интегрировать везде, куда его грозятся приспособить.

Госучреждения типа МФЦ и администрации люди подневольные и будут вести каналы и принимать обращения где скажут, им всё равно. Была бы их воля - они и в Телегу бы не писали. Сдвинуть туда внутреннюю переписку тоже не проблема. В какой-то момент без шума и пыли окажется, что узнать статус документов или получить код от Госуслуг проще там, для работы бюджетников он нужен, люди поставят - вот и аудитория, и "национальный суперапп". Не будет ощущения навязывания - меньше будут коситься и искать подвох - много вы видели исследований кишок приложений Госуслуг или ЕМИАС? Плавный ввод "изнутри" позволит найти и исправить косяки, не портя репутацию.

Уж молчу, что можно сделать хорошо и тогда люди сами наставят, эффект запретного плода тут только на руку будет (как с Телегой). К чему вот это всё бесоёбие? Отвлечь и развлечь заодно?
#стабильность