Kurgan-Telecom Ru | Информационные технологии

Когда говорят «нужно добавить поддержку ГОСТ» — чаще всего имеют в виду задачу на пару дней. На практике это оказывается несколько недель, разбросанных по нескольким командам, с неожиданными открытиями на каждом слое стека.

Попробую собрать в одном месте то, что обычно приходится выяснять по частям: какие алгоритмы актуальны, как выглядит их реальное применение в коде, где ломается интеграция и что со всем этим делает российское законодательство.

Вы отдали одной компании 7, 10, а то и 12 лет. Выросли из задач и из стен. Доказали всё и всем - себе, команде, акционерам. И вот в какой-то момент поймали себя на мысли, которую раньше отгоняли: «Мир бежит вперёд, кажется, и мне пора».

Мой знакомый Николай держит на Ozon магазин постельного белья. Со стороны всё нормально: оборот есть, товар продаётся, кабинет не пустует. А денег в конце месяца — нет. Не «мало», а непонятно куда они делись.

Я стал разбираться — и понял, что это не его частная беда. Полный P&L по каждому товару никто не считает: на каталоге в 500–2000 позиций это часы в неделю. Товар крутится в топе по обороту — но оборот ничего не говорит о марже: после возвратов и рекламы он годами уходит в минус, в полной слепой зоне. Инструментов на рынке хватает, но почти все просто показывают ещё одну P&L-таблицу — много цифр, красиво, и ровно ноль ответа на вопрос «и что мне теперь с этим делать».

Так появился SKUmind — сервис, который сводит прибыль по каждому SKU и говорит, что с ней делать. Под катом — почему я выкинул привычную для BI логику на правилах, как собрал консилиум из трёх AI-моделей разных вендоров с арбитратором, как реверс-инжинирил Ozon API двумя параллельными сессиями Claude и почему ревью кода теперь съедает 60–70% времени.

Когда прод падает, первый управленческий рефлекс — найти человека, после которого всё сломалось. Проблема в том, что такой разбор почти ничего не говорит о реальной надёжности системы: инженеры начинают молчать о слабых местах, постмортемы превращаются в формальность, а одни и те же сбои возвращаются под новыми именами.

В статье разбираемся, почему культура поиска виновных делает инфраструктуру хрупче, как работает blameless‑подход, зачем командам error budget и какие управленческие механизмы помогают превращать инциденты в системные улучшения.

Как мы уже убедились, Eurostile Bold Extended замечательно подходит для определения временного периода действия фильма. Но если Eurostile недостаточно, то этой цели можно достичь и другими способами. Представляю вашему вниманию шесть простых правил, которые чётко дадут понять, что текст используется именно в будущем.

Начнём с простого текста без засечек, например, произвольно выбранного слова, написанного Eurostile Bold. Пока он выглядит, как будто действие происходит в 2016 году.

Итак, погрузимся в прошлое, помянем конец октября 2023 года.

При обновлении Flutter до версии 3.13.8 после запуска flutter doctor я получил неожиданное предупреждение:

Вы дизлайкаете ссылки на TG-каналы в статьях — и этим делаете рекламу агрессивнее. Объясняю механизм и почему это баг, а не фича нашего менталитета.

Кто сказал, что контент должен быть бесплатным и без рекламы? С чего вообще автор обязан отдавать вам годами накопленную экспертизу просто так? И прочие неудобные вопросы.

Реклама бывает белой и тёмной. Нетерпимость без разбора убивает первую и кормит вторую. Разбираю на примерах Хабра, социологии и бизнеса.

BBR принято считать современным стандартом TCP congestion control. Google разработал его в 2016 году, он работает в production крупнейших CDN, его хвалят в каждой второй статье о сетевой оптимизации. И всё это заслуженно — но с существенной оговоркой, о которой обычно не пишут.

25 апреля 2026, пятница вечером. Jer Crane, основатель PocketOS, смотрит, как AI-агент Cursor удаляет его production-базу. Со всеми бэкапами. За 9 секунд.

Потом Jer спрашивает у агента — почему? И получает дословное признание: «I guessed instead of verifying. I violated every principle I was given».

Модель помнит правила. Цитирует их. И всё равно нарушает.

Это разбор трёх таких случаев — и трёх защит, которые я внедрил у себя после.

Тема импортозамещения и цифрового суверенитета в российском IT давно стала обыденностью: мы переходим на отечественные ОС, внедряем локальные ERP‑системы и развиваем свои платформы. Но в сфере геймдева дискуссии обычно сводятся к нехватке кадров и инвестиций. Однако на днях в инфополе прозвучало куда более радикальное предложение.

Видеоблогер Deep_DEP Game выпустил масштабный манифест (охвативший YouTube, формат Reels и лонгрид на Дзене), в котором открыто поддержал действия РКН и призвал пойти дальше — заблокировать флагманские зарубежные релизы вроде GTA 6, The Sims и проекты от Electronic Arts и Take‑Two. По его мнению, только жесткий протекционизм поможет взрастить внутреннюю AAA‑индустрию.

Давайте разберем основные тезисы этого выступления, ведь они затрагивают не только эмоции геймеров, но и вполне реальные вопросы IT‑бизнеса, юрисдикций и локализации.

Опубликован proof-of-concept для уязвимости DirtyDecrypt, также известной как DirtyCBC, позволяющей локальному непривилегированному пользователю получить права root на некоторых системах Linux. Проблема находится в коде rxgk подсистемы RxRPC и связана с записью в page cache из-за отсутствующей проверки copy-on-write в функции rxgk_decrypt_skb(). О публикации PoC 18 мая 2026 года сообщило издание BleepingComputer; сам PoC размещён в репозитории команды V12.

( читать дальше... )

 cve, dirtydecrypt, безопасность, ядро

19 мая тихо и незаметно вышел юбилейный 60-ый выпуск операционной системы OpenBSD.

( читать дальше... )

Для платформы amd64 подготовлено 13044 бинарных пакетов, среди которых Chromium 147, Firefox 150, GCC 15.2.0, LLVM/Clang 19.1.7 и 20.1.8, GNOME 49, KDE Plasma 6.6.4, Wayland-композиторы Niri, Mango, LabWC, Sway, Wayfire.

Впервые после перерыва была выпущена официальная песня, однако русскоязычным сообществом подготовлена и неофициальная песня.

 openbsd

Дорогие друзья и поклонники проекта fheroes2!

После месяца разработки мы рады представить новую версию движка fheroes2 — 1.1.16!

В этом обновлении мы сосредоточились на Редакторе карт. Учитывая обратную связь от наших создателей карт, мы постарались сделать процесс создания карт ещё удобнее и приятнее.

Прежде всего, в Редакторе появилась возможность рисовать дороги и реки, просто задавая нужную траекторию мышью. Это значительно упрощает и ускоряет размещение этих элементов по сравнению с прежним методом, при котором каждый фрагмент приходилось располагать кликая по клеткам карты. Особенно полезным это нововведение будет на устройствах с сенсорным вводом.

Во-вторых, появилась возможность перемещать отдельные объекты на карте. Эта функция была очень востребована и отсутствовала даже в оригинальном Редакторе. Она позволяет быстро корректировать существующие ландшафты без необходимости перестраивать их с нуля. Кроме того, Редактор теперь поддерживает копирование объектов, что упрощает повторное размещение объектов с заданными свойствами и избавляет от необходимости каждый раз заново искать их в списке.

Новая версия редактора fheroes2 позволяет размещать объекты частично за пределами границ карты. Это открывает новые возможности для создания уникальных ландшафтов и создаёт ощущение, что карта является частью гораздо более обширного мира.

Также создатели карт могут выбирать, какой именно Великий Артефакт будет скрыт под заветным перекрестьем на карте.

Помимо улучшений Редактора, команда ускорила запуск приложения, добавила поддержку эсперанто, исправила скорость анимации разворота героев, обновила переводы и закрыла более 20 проблем с момента предыдущего выпуска.

Спасибо за Вашу поддержку и активное участие в жизни проекта! Надеемся, что вам понравится обновлённая версия движка!

 fheroes2, homm, opensource, turn-based, игры

В подсистеме криптографии Linux готовится удаление поддержки zero-copy из интерфейса AF_ALG для типов алгоритмов SKCIPHER и AEAD. Изменение уже находится в дереве cryptodev и ожидается к отправке в окно слияния Linux 7.2, которое должно открыться в июне. Поводом стали растущие опасения вокруг безопасности zero-copy-механизмов в ядре, особенно после недавних уязвимостей в криптографическом коде Linux.

AF_ALG — это пользовательский интерфейс к криптографическому API ядра Linux. Через него программы могут обращаться к реализациям шифров, хэшей и AEAD-алгоритмов в ядре как к сокетам. Документация Linux отдельно описывает для AF_ALG zero-copy-режим через splice() и vmsplice(), при котором ядро старается избежать лишнего копирования данных в память ядра.

( читать дальше... )

 безопасность, ядро

Доступен Firefox 151, примечательный улучшенной защитой от сбора цифровых отпечатков, поддержкой Web Serial API, а также возможностью для сайтов захватывать ввод с клавиатуры в полноэкранном режиме.

( читать дальше... )

 firefox, mozilla

В статье «Извлечение и обработка требований из документов с помощью NLP-инструментов» я уже показывал, как переход от LLM к NLP-библиотекам помогает ускорить обработку текста. Это, конечно, не значит, что нужно совсем отказываться от LLM — они незаменимы для генерации текста и сложных рассуждений. Но чтобы определить, что «кошками» — это творительный падеж множественного числа существительного «кошка», действительно не нужен миллиард параметров нейросети. Для задач лемматизации, POS-тегирования и определения падежа существуют специализированные инструменты, которые работают быстрее, обходятся дешевле и зачастую точнее LLM в конкретных доменах. Это подтверждают годы их использования в поисковых системах, email-фильтрах и чат-ботах.

Я поискал готовые обзорные статьи и нашёл несколько интересных материалов, которыми хочу поделиться.

Kufar.by - это примерно как avito.ru, только в Беларуси. После очередного “улучшения” там стало невозможно выбирать авто и недвижимость: цены показываются только в белорусских рублях, хотя рынок всегда будет в долларах (боже, храни Америку). Поэтому я сделал небольшой Chrome Extension, который добавляет рядом ориентировочную цену в долларах. Пока только для авто и недвиги. И да, по ощущениям, ЛПРы, которые это выкатывали, никогда не покупали ни то ни другое на своём сайте.

Деплоите LLM? Значит, обвешиваете её гардами. Сначала safety, потом PII, потом prompt injection, потом toxic BERT - и в один прекрасный день обнаруживаете, что у вас 5 классификаторов на каждой ноде и 20 forward-ов на один пользовательский запрос.

GLiNER Guard (GLiGuard) - возможность схлопнуть этот стек в единый schema-driven энкодер. И да, его можно тоже промптить: через zero-shot + description.

Итак, в предыдущей части мы остановились на поиске решения задачи линейной регрессии. Сформулировали в общем виде задачу машинного обучения, поняли суть параметров, рассмотрели функции ошибок и начали копать в сторону линейной регрессии.
Ещё раз повторю, что этот цикл статей является лишь взглядом на ML с моей колокольни, так что он не обязательно является истиной во всех редакциях в последней инстанции. Так что буду рад всякому, кто исправит меня, коли сверну не туда.

К весне 2026 года картинка стала почти ритуальной. XBOW занял первое место на HackerOne, обогнав тысячи живых багхантеров, и в марте закрыл Series C на сто двадцать миллионов долларов с интеграцией в Microsoft Security Copilot. Anthropic Mythos Preview в системной карте отчитывается о тысячах найденных zero-day в основных операционках и браузерах. Все мерят возможности в атаках: ASR на CVE-Bench, скорость, место в лидерборде, выручка за квартал и то как он помогает защищать большие организации.

Никто почти не задаёт встречный вопрос. Простой. А насколько защищён сам пентестер?

Серьёзно. Вы выкатываете автономного агента, который ходит по чужой инфраструктуре, читает баннеры, парсит HTTP-ответы, исполняет команды по результатам сканеров. Все эти каналы являются приёмниками недоверенных данных, а значит, канал восприятия здесь же оказывается каналом захвата. Пентестер скептически смотрит на подозрительно открытый FTP с anonymous-входом и на файл passwords.txt посреди десктопа. AI-агент идёт по бумажке. И если бумажка перевёрнута, идёт по перевёрнутой бумажке.

Моя статья - попытка собрать в одном месте всё, что в открытом доступе известно про обратную сторону: про то, как этого AI-пентестера ловят и что с ним делают, когда поймают. Спойлер: содержательный фронтир составляют четыре академические работы последнего года и один фреймворк для реального использования. Всё остальное - академическая графомания.