125716
НЛО с вами! Хабр Новости → https://t.me/habr_com_news Хабр Карьера → https://t.me/habr_career Реклама (продвигаем только статьи с Хабра) → adv@habr.team Вопросы → @shelsneg Админ → @vololoshin
«Продам всё, что на фото»: как банальное объявление доставляет троян Mamont
Схема распространения малвари через мессенджеры мимикрирует под бытовые ситуации. Объявления в Telegram с заголовком «Продам всё, что на фото» всё чаще содержат не архив с изображениями, а исполняемые APK-файлы. Расчёт на невнимательность и любопытство пользователя открывает злоумышленникам доступ к устройству.
Технический анализ сэмплов выявил принадлежность к известному семейству Mamont. Зловред не просто спамит, он перехватывает SMS, инициирует USSD-запросы и контролирует push-уведомления, что фактически компрометирует банковские приложения и сервисы с 2FA.
Разберём структуру вредоносного кода и механику заражения.
«Мёртвого льва» может пнуть каждый: защита legacy-технологий
Критиковать инструменты, чей пик славы давно прошёл, безопасно: у них больше нет огромного комьюнити, готового отстаивать каждую строчку кода. Однако часто репутация технологии страдает не от реальных архитектурных изъянов, а от многолетнего наслоения мифов и фейков, возникших ещё при «жизни» проекта.
Вместо слепого принятия устоявшихся стереотипов, полезно обратиться к сухим фактам и ретроспективе. История IT полна примеров, когда инженерные решения уходили в небытие не из-за технической слабости, а под давлением необоснованного информационного шума.
Восстановим хронологию событий и отделим объективные недостатки от вымысла.
История дирижаблей: не только Цеппелин и не только Германия
При упоминании дирижаблей воображение обычно рисует исполинов графа Цеппелина или бомбардировки Лондона. Стереотип силён, но историческая правда лежит в иной плоскости. Термин dirigeable («управляемый») подарила миру Франция, где эксперименты с воздушными винтами начались ещё в 1784 году, сразу после успехов братьев Монгольфье.
Технология могла изменить и ход Отечественной войны 1812 года: инженерная мысль работала над созданием воздушного судна для атаки на армию Наполеона задолго до появления немецких гигантов.
Проследим эволюцию воздухоплавания от ранних концептов до забытых военных проектов прошлого.
Windows позволяет создать диск «€:» или «+:». Почему это работает и что ломает?
Привычные пути C:\ — лишь абстракция Win32. На уровне ядра и ntdll менеджеру объектов всё равно, какой символ использовать для маппинга тома. Команда subst позволяет назначить псевдонимом хоть +:\, хоть €:\.
В cmd такие пути валидны, но Explorer и PowerShell их игнорируют. Проблема уходит глубже: стандартные библиотеки Rust и Zig по-разному определяют абсолютность пути, если «буква» выходит за пределы ASCII. А системный вызов SetVolumeMountPointW и вовсе может превратить символ евро в логическое «не» из-за ошибки битового усечения.
Проанализируем работу RtlDosPathNameToNtPathName_U и нюансы пространства имён NT.
Дефицит DDR5 и уход Crucial: как ИИ-бум бьёт по стоимости железа
Сборка домашнего ПК в 2025 году превращается в сложную экономическую задачу. Цены на SSD и оперативную память растут, а культовый бренд Crucial сворачивает розницу. Micron меняет приоритеты, оставляя массовый сегмент ради сверхприбылей в корпоративном секторе.
Корень проблемы — во взрывном спросе на HBM для обучения нейросетей. Производственные линии, ранее занятые под DDR5 и NAND, переоборудуются под серверные нужды, создавая искусственный дефицит потребительских компонентов. Samsung и SK Hynix следуют той же стратегии, фактически игнорируя запросы обычных пользователей.
Оценим масштаб полупроводникового кризиса и рыночные перспективы.
На прошедшей неделе мы скупали корпоративные тайны на барахолке по цене бизнес-ланча, ужимали Linux до размеров картинки с котиком, разоблачали великий обман теоремы Пифагора, ванговали крах космонавтики и коллективно осознавали, что так и не научились программировать.
📝 Лучшие публикации недели (24-30 ноября 2025)
#weeklydigest
От 100 тысяч к 20 миллионам: навигация по коду AAA-проектов
Переход из инди в крупную студию — это столкновение с масштабом. Когда IDE виснет на индексации миллионов строк кода, а система сборки требует шаманских ритуалов, академические знания алгоритмов отступают на второй план.
Главный вызов в GameDev — не написание C++, а ориентирование в экосистемах вроде Unreal Engine или Dagor, где документация отстаёт от релизов, а авторы модулей давно уволились.
Проанализируем реальные объёмы кодовых баз (от Godot до проприетарных решений) и выработаем алгоритм поиска в легаси, когда спросить некого, а дедлайн горит.
WebView вместо нативной разработки: экономия или технический долг?
Масштабирование бизнеса часто упирается в дилемму: клиенты требуют приложение (уведомления, иконка на экране), а смета на штат iOS/Android-разработчиков выглядит неподъёмной.
В инженерной среде принято скептически относиться к «обёрткам» для сайтов и no-code-решениям. Однако с точки зрения бизнеса, Time-to-Market порой важнее архитектурного пуризма. Превращение веб-ресурса в APK через конструктор — это способ проверить гипотезу мобильного присутствия без капитальных вложений в нативный код.
Изучим инструменты быстрой миграции в мобайл и протестируем готовые сборки.
«Преждевременная оптимизация — корень всех зол». Эту цитату Дональда Кнута используют как универсальный щит на код-ревью, защищая квадратичную сложность, лишние ререндеры и незнание API браузера.
Но если открыть оригинал статьи 1974 года, выяснится неудобная деталь: Кнут рассуждал об ассемблере и отказе от goto, а не о праве игнорировать сложность алгоритмов. В современном фронтенде, где тормоза «размазаны» по тысяче компонентов, старая догма часто работает во вред.
Разберём, почему spread внутри reduce — это не «читаемость», а халатность, и где проходит грань между инженерной гигиеной и бесполезной тратой времени. Проанализируем исторический контекст и типичные ошибки в React.
Оживление китайской помпы: когда проще выкинуть контроллер
Кажется, что ремонт копеечной помпы для воды — задача тривиальная. Но массовая электроника с маркетплейсов умеет удивлять: устройство с рейтингом 4.9 приехало нерабочим, а заводская схемотехника вызвала вопросы к логике заряда.
Вместо попыток оживить «родной» микроконтроллер выбрана стратегия радикального упрощения. Штатные «мозги» удаляются, а управление N-канальным транзистором переводится на твердотельное реле KAQY212S. Попутно исправляется ошибка в обвязке чипа TP4054, которую проигнорировал производитель.
Разберём процесс реверс-инжиниринга и итоговую схему доработки.
Свой «суверенный» Интернет: архитектура локального DNS, CA и TLS
Современный веб всё больше зависит от экосистем IT-гигантов, но «под капотом» остаются базовые протоколы, доступные для воспроизведения. Понимание архитектуры сети лучше всего достигается через практику: построение уменьшенной, но полностью функциональной копии Интернета.
В этом материале рассматривается инженерная задача по созданию независимого сетевого сегмента. Используя Docker, настраиваем собственный DNS (dnsmasq), разворачиваем локальный Центр сертификации (step-ca) и организуем маршрутизацию через Traefik. Такая схема обеспечивает работу HTTPS и валидацию сертификатов без обращения к внешним провайдерам.
Разберём реализацию инфраструктуры и конфигурационные файлы.
Завтра в эфире: маркетинг клиники как инженерная система
Пациент редко принимает решение мгновенно. Доверие формируется долго, поэтому точечных рекламных кампаний уже недостаточно. Эффективная стратегия требует жёсткой синхронизации трёх слоёв: глубокой аналитики, заметности в городской среде и экспертного контента.
4 декабря мы вместе с экспертами Ingate и HIT Media разберём реальные кейсы. В фокусе — поиск скрытых «дыр» в воронке продаж через BI, работа с офлайн-трафиком и алгоритмы вовлечения врачей в PR без ущерба для лечебного процесса.
Успейте зарегистрироваться на бесплатный вебинар 👈
Искусство бесполезного: зачем играм механики без наград
Современный гейминг приучил нас к дофаминовой гонке: выполнил квест — получил опыт, открыл сундук — забрал лут. Но лучшие виртуальные миры живут по своим законам, зачастую игнорируя игрока. Световые штормы в Journey, сложная миграция планктона в Subnautica или физически корректная реверберация грома в Firewatch — всё это не даёт никаких бонусов.
Это редкие инженерные и художественные решения, на которые уходят месяцы разработки, хотя их пропускают 90% геймеров. Погрузимся в «скрытый слой» геймдизайна, где созерцание важнее заполненного прогресс-бара.
Гайд по базовому окружению для AI без знаний в MLOps
Обучение ML-моделей — это не только про алгоритмы, но и про железо. Ноутбук быстро превратится в обогреватель, а для серьёзных экспериментов нужны GPU, быстрые диски и правильная инфраструктура. В этой статье разбираем два пути: когда лучше брать выделенный сервер с Tesla T4, а когда достаточно гибкого облачного инстанса.
Выясним, как за пару минут поднять окружение с JupyterLab, настроить S3-хранилище для весов и датасетов и не утонуть в технических деталях.
Хроники русской сметы II. Неприличное слово «прибыль»
Согласование бюджета в России часто напоминает сеанс магии. Заказчики верят: если денег не хватает, нужно не удешевлять проект, а просто «поправить» цифры. Прямо как козлёнок из мультика: всех посчитал, и корабль перестал тонуть.
В реальности всё жестче. Вычеркнули из сметы уборку площадки? Убирать всё равно придётся, но уже за счёт исполнителя. При этом само слово «прибыль» стало табу: признаться клиенту, что вы планируете на нём заработать — верный способ потерять контракт.
Узнаем, почему честность в стройке стала опасной.
Тупой боевик или гениальная сатира: парадокс «Звёздного десанта»
Даже спустя двадцать восемь лет «Звёздный десант» Пола Верховена остаётся точкой бифуркации для любителей фантастики. Аудитория до сих пор поляризована: одни видят в картине неудачную экранизацию Хайнлайна с логическими дырами, другие — сложную политическую сатиру, мастерски замаскированную под примитивный экшн.
Этот смысловой дуализм не даёт фильму устареть, превращая любые обсуждения в бесконечный цикл споров. Обвинения в СПГС здесь соседствуют с реальными режиссёрскими закладками, которые часто игнорируются при поверхностном просмотре.
Деконструируем скрытые нарративы и архитектуру фильма.
WebView вместо натива: когда код становится лишним
Для сложных продуктов с тяжёлой графикой альтернативы нативной разработке или Flutter нет. Однако, если задача — быстро превратить существующий сайт в мобильное приложение для теста гипотезы, писать сотни строк на Kotlin или Swift нерационально.
Технически вопрос решается через WebView-обёртку: статический сайт (например, на GitHub Pages) помещается в нативный контейнер. При грамотной настройке пользователь получает привычные атрибуты: навигацию, splash screen и даже push-уведомления. Это компромисс между качеством и скоростью (Time-to-Market).
Изучим алгоритм сборки APK из HTML-страницы и разберём ограничения метода.
«Проходите, покажу»: экскурсия по новому хабу Ozon Tech в Петербурге
Когда инженерная команда вырастает до 7 500 человек, требования к рабочему пространству меняются кардинально. Офис трансформируется из простого оупенспейса в многофункциональный хаб для синхронизации команд. В Санкт-Петербурге подразделение переехало на новую площадку, спроектированную с учётом этой нагрузки.
В арсенале — зал на 400 мест для масштабных митапов, «капсульные» переговорки 1×1 и собственный кинозал. А вид на Финский залив с террасы выступает не просто бонусом, а реальным инструментом для снижения когнитивной нагрузки после релизов.
Изучим интерьерные решения и зонирование обновлённой штаб-квартиры.
Анатомия трансформера: детальный маршрут токена
Понимание работы больших языковых моделей часто ограничивается общими схемами, но вся суть кроется в деталях обработки векторов. Превращение входных данных в контекстно-зависимые представления — это строгая последовательность операций: от токенизации и встраивания позиционной информации до прохождения через слои внимания.
Ключевую нагрузку несут механизмы multi-head self-attention и нейросети с прямой связью (FFN), которые формируют связи между элементами перед финальным распределением вероятностей.
Декомпозируем архитектурный путь данных и математику, стоящую за генерацией следующего слова.
Локальный VoIP на участке: поднимаем связь там, где не ловит мобильная сеть
Близость к режимным объектам и толстые стены часто делают сотовую связь бесполезной. Для соединения двух домов на одном участке можно использовать рации, но это требует лицензий и навыков, недоступных пожилым пользователям.
Более изящный инженерный путь — развёртывание собственной VoIP-сети на базе бюджетного «железа». Связка из Docker-контейнера с FreePBX, маршрутизации на MikroTik и списанных аппаратов Snom 320 позволяет получить кристально чистый звук без абонентской платы. Главное — корректно пробросить порты через двойной NAT и оживить старые трубки.
Изучим конфигурацию сервера и нюансы прошивки оборудования.
SOCKS5 через SSH: поднимаем прокси за время закипания чайника
Развёртывание VLESS с XTLS-Reality и маскировкой через CDN — надёжный, но трудозатратный путь. Иногда обстоятельства требуют решения в духе «здесь и сейчас», без долгих конфигов. Обычный SOCKS5 поверх SSH остаётся рабочим инструментом, когда нужно срочно восстановить доступ к документации или внешним репозиториям.
Наличие даже самого бюджетного VPS позволяет обойти ограничения буквально одной командой. Метод не претендует на полную «невидимость» для DPI, но выигрывает в скорости реализации.
Настроим простейший туннель для решения экстренных задач.
Почему отдых не помогает: дебаг когнитивного стека
В 14:30 взгляд застывает на мониторе, а простейшее условие if/else кажется высшей математикой. Это состояние часто путают с усталостью, пытаясь лечить кофе или сменой деятельности. Однако с инженерной точки зрения — это классическая утечка памяти (Memory Leak).
Человеческая Working Memory ограничена, а незавершённые задачи висят фоновыми процессами, вызывая постоянный свопинг контекста. В таком состоянии «отдых» лишь переводит систему в Sleep Mode, не убивая зависшие процессы. Для восстановления производительности требуется не пауза, а полный сброс регистров — аналог kill -9.
Проанализируем архитектуру когнитивного сбоя и применим алгоритм RAM Dump для очистки ментального стека.
Chrome, Xfce и очень страшное кино
Любая вкладка в браузере теперь может запретить ноутбуку уходить в сон. Виной тому Wake Lock API, который Chrome использует без спроса и видимых причин, высаживая батарею в ноль. Отключить это штатно нельзя: баг-репорты висят годами, а разработчики считают, что им виднее.
Но если система работает на Linux, у пользователя остаётся право вето. Правда, для этого придётся достать компилятор. Выясним, как найти точку входа в xfce4-power-manager и с помощью четырёх строк на C жёстко отучить браузер управлять чужим электропитанием.
Последний легальный гайд? Атаки на Windows под угрозой запрета
Грядущие поправки в 149-ФЗ рискуют поставить вне закона распространение информации об эксплоитах и уязвимостях. На этом фоне выход книги «Windows глазами хакера» выглядит как попытка успеть в последний вагон уходящего поезда открытых знаний.
Материал игнорирует «безопасную» теорию, фокусируясь на реальном инструментарии Red Team. В разборе — неочевидные векторы в Active Directory, низкоуровневые манипуляции с Native API и методы обхода AMSI. Показано, как злоумышленники используют легитимные механизмы ОС (от токенов до COM-объектов) против неё самой.
Изучим архитектуру уязвимостей, пока это ещё разрешено.
1С: почему «код на кириллице» победил SAP и Oracle
Кажется, что писать КонецЕсли в 2025 году — это изощрённая пытка. «Настоящие» программисты презирают платформу за легаси и монолитность, но рынок диктует своё: 30 000 вакансий против 8 000 у Python и зарплаты сеньоров, пробивающие потолок в 400к.
Почему Газпром и Сбер не переписывают бухгалтерию на Go, как уход западных вендоров зацементировал монополию и есть ли хоть один шанс у конкурентов? Анатомия феномена, который будет жить ещё 50 лет, даже если вы его ненавидите.
Локальный ИИ против облаков: персональный ассистент на базе Qwen без API и подписок
Подписки на ChatGPT и необходимость привязывать карты для API убивают идею доступного помощника. А отправка голосовых команд на удалённый сервер ради банального открытия папки выглядит как архитектурное излишество и дыра в приватности.
Vera — это полностью локальный агент на Qwen 1.7B, работающий даже на 4 ГБ RAM. Внутри реализована гибридная маршрутизация: управление системой (громкость, яркость, софт) обрабатывается мгновенно скриптами, а сложные вопросы идут через локальный RAG и кастомный парсер DuckDuckGo.
Расковыряем реализацию бесплатного веб-поиска и STT на слабом железе.
Надоело начальство? Тогда самое время стать тем самым руководителем, которого вы сами бы уважали. Станьте крутым менеджером и сломайте систему изнутри. Курсы с нашей витрины уже вас ждут.
Читать полностью…
Теорема Пифагора: почему именно квадраты?
a^2 + b^2 = c^2. Кажется, это единственное знание, которое переживает выпускной и остаётся с нами навсегда. Но почему формула выглядит именно так? Почему мы складываем площади, а не кубы или просто длины сторон?
Учебники обычно предлагают либо сухую алгебру, либо «штаны» на катетах, уводя от интуитивного понимания в дебри абстракции. Но если копнуть глубже, оказывается, что эта теорема вообще не про треугольники. В её основе — оптика, зеркала и симметрия.
Посмотрим на геометрию под другим углом и найдём доказательство, которое возвращает смысл формулам.
Новая секунда, или Как один атом стронция бросает вызов законам мироздания
Цезиевые эталоны времени, верой и правдой служившие нам с 60-х, похожи на попытку услышать шёпот на шумном стадионе — тепловое движение атомов всё портит. Учёные из Торонто решили проблему радикально: они заморозили один-единственный атом стронция почти до абсолютного нуля.
Результат впечатляет: вместо привычных 9 миллиардов колебаний в секунду этот «ледяной» хронометр выдаёт 430 триллионов. Это не просто апгрейд часов: такая чудовищная точность позволит предсказывать извержения вулканов по гравитации и, возможно, даже засечь тёмную материю.
Узнаем, как услышать идеальную тишину времени.
Тайна самой дешёвой Linux-консоли с Ozon
Кажется, что за 1800 рублей можно купить только корпус от приличной приставки, но R36s ломает стереотипы. Это устройство стало хитом не просто так: качественный IPS-экран и способность тянуть игры вплоть до PlayStation 1 и Nintendo DS делают его ультимативным ретро-комбайном.
Однако китайский рандом никто не отменял. Под одинаковым пластиком может скрываться как проверенный чип Rockchip, так и экзотический MIPS-процессор без полноценного видеоядра, который превратит гейминг в слайд-шоу. Выясним, как не проиграть в кремниевую лотерею.