Kotlin Adept Notes

Продолжим тему безопасности. Сейчас всё чаще мобильные разработчики начинают писать свои бэкенды, разумеется, с AI-агентами, куда же без них. И в плане безопасности доверять ИИ точно не стоит!Предположим, мы хотим, чтобы для каждого URL, начинающегося с /api/, проверялось, что пользователь предоставил некий ключ доступа, иначе возвращалась ошибка. И для Ktor Server ИИ может написать вам такой интерцептор, который показан на изображении, и это даже как-то будет работать, но, разумеется, есть нюанс. Есть идеи, как это можно обойти?На самом деле всё очень просто: нужно всего лишь заменить букву соответствующим кодом в ASCII. Например, было http://0.0.0.0:4040/api/apps, а стало http://0.0.0.0:4040/%61pi/apps.Таким образом, проверка перестанет работать, а все запросы будут успешно выполняться.Более правильным вариантом было бы использование встроенных механизмов аутентификации, чтобы неявно проверять API-key для каждой ручки.#Security #Ktor #Backend

Pixnapping attackНа днях узнал об одной интересной уязвимости, которая, по сути, без каких-либо разрешений и без root-доступа позволяет украсть изображение с любого приложения на устройстве будь то браузер или нативное приложение, например TOTP-код из Google Authenticator 😱Как это работает?🔘Атакующее приложение через intent открывает приложение-жертву и тут же возвращает свою Activity в foreground, что делает атаку почти незаметной для пользователя.🔘Затем поверх атакуемого приложения накладывается стек полупрозрачных Activity, где всё заливается белым цветом за исключением одного прозрачного пикселя, через который просвечивает UI атакуемого приложения.🔘Используя blur и особенности SurfaceFlinger, можно растянуть этот пиксель и получить либо однородный шаблон, если пиксель белый, либо шумный, если пиксель другого цвета.🔘Далее нужно определить цвет пикселя. Это делается за счёт особенностей графического сжатия в GPU: однородные изображения рендерятся быстрее, а шумные медленнее. Измерить это время можно с помощью VSync callback.🔘Таким образом, повторяя этот процесс для разных пикселей, можно полностью восстановить изображение атакуемого приложения 👍Насколько это опасно?На текущий момент нет гарантированной защиты от этой атаки, хотя Google и предприняла попытку ограничить количество Activity, которые могут использовать blur. Однако, как можно понять, такой сложный pipeline требует времени: полное восстановление изображения может занимать порядка 24 часов 😁 Поэтому для сценариев кражи TOTP-кодов используются более оптимизированные варианты атаки.На мой взгляд, уязвимость очень интересная, но из-за её сложности маловероятно, что она будет массово эксплуатироваться в реальных условиях.А вам в целом откликается тема безопасности? Было бы вам интересно узнать больше про подобного рода уязвимости?#Security #Android

Jetpack Navigation 3Только сейчас дошли руки более пристально взглянуть на новую Jetpack Navigation 3.Помню, многие жаловались, что Decompose весь такой сложный, а навигация от Google простая. Но что мы видим в новой версии:NavBackStack, NavEntry, NavDisplay, NavEntryDecorator, SceneStrategy и так далее 🫠При этом, несмотря на то что вышла стабильная версия, много кода всё равно придётся писать дополнительно:Хочешь навигацию по табам? Пиши код для управления бэкстеком.Нужен BottomSheet? Пиши декоратор.Необходимо привязать ЖЦ ViewModel к экрану? Подключай отдельную библиотеку.Нужна вложенная навигация? Разбирайся с кастомными сценами.В общем, вы поняли. Довольно много бойлерплейта придётся копировать из примеров на GitHub, чтобы всё завести. Если хотите, чтобы я сделал подробное сравнение с Decompose, вы знаете, что надо сделать 👍Ну и напишите, планируете ли вы миграцию с любой другой библиотеки на Navigation 3? Интересно будет узнать ваше мнение.#Compose #Navigation

РЭБ не помеха для настоящего интеллекта!Когда спутники перестают работать, многие системы превращаются в бесполезное железо. Но только не в случае с Cognitive Agro Pilot.Получили видео от наших аграриев из Курской области. Условия экстремальные: граница, зона действия РЭБ, полное отсутствие спутниковой навигации. Но посмотрите на кадры — техника идет идеально ровно, выполняя все операции в автономном режиме.Почему это круто? Потому что Cognitive Agro Pilot «видит» поле глазами, а не через спутниковые координаты.— Кромка? Видит.— Валок? Видит.— Рядки или технологическая колея? Без проблем.Для агрария это означает колоссальную прибавку к эффективности. Никаких простоев из-за отсутствия сигнала, никакой зависимости от «слепоты» стандартных систем. Это автономность в чистом виде, которая позволяет работать 24/7 в любых условиях.Лучшая оценка технологии — слова людей, которые ежедневно сидят за рулем. Один из наших механизаторов на видео сказал просто: «Навигация охрененная».Спасибо нашим пользователям за доверие и крутые кадры! Мы создаем технологии, которые меняют правила игры. 🚀 Наш канал в MAX

Выписки из ЕГРЮЛ и проверка КЭП Сервис проверки квалифицированной электронной подписи от Головного УЦ снова проверяет действительность КЭП выписок из ЕГРЮЛ.Более года выписки ЕГРЮЛ не проходили проверку, так как были сформированы в устаревшем формате - PKCS#7, сейчас формат стал CAdES-BES (да, пока без метки доверенного времени) и проверки проходят успешно:Электронная подпись верна (CAdES-BES)Возможно драйвером для доработки стало решение Якутского УФАС, которое касалось проверки электронной подписи выписки из ЕГРЮЛ.Сам сервис проверки ГУЦ также был доработан и при проверке мартовских выписок со старым форматом теперь сообщает:Электронная подпись невернаПодписанных атрибутов в CMS нет - считаем это ошибкойРанее сообщение выглядело как:Эта подпись не CAdES (id_aa_signingCertificate или id_aa_signingCertificateV2 - отсутствуют)✍️"Об ЭП и УЦ"

Правительство готовит закон о «медицинских помощниках» – смарт-тонометрах и глюкометрах с передачей данных врачуС 2023 года в России действует эксперимент: пациентам в 16 регионах бесплатно выдают смарт-тонометры и глюкометры, которые сами передают показания врачу. К апрелю 2025 года к программе «Персональные медицинские помощники» подключили 30 тысяч человек в шести регионах (Татарстан, Магаданская, Новосибирская, Рязанская, Самарская и Тюменская области). А с 2026 года через платформу контролируют ещё и здоровье жителей Арктики, а также беременных (с помощью кардиотокографов для наблюдения за сердцебиением плода). Эксперимент признали успешным, и Минэкономразвития предложило сделать его постоянной частью системы ОМС.Техническую основу обеспечила платформа IoMT.Istok, разработанная НПП «Исток» им. А.И. Шокина при участии «Ростеха». На декабрь 2025 года к ней подключили более 382 тыс. устройств – глюкометров, тонометров и кардиотокографов. Данные о давлении, сахаре и других показателях поступают в единую систему, а врач видит динамику и может вовремя скорректировать лечение. Пациенту не нужно вести бумажный дневник, а доктору – ждать, пока тот вспомнит цифры на приёме.Власти теперь готовят закон, который закрепит этот механизм повсеместно. Стратегия цифровой трансформации здравоохранения предполагает, что к 2030 году устройствами дистанционного мониторинга должны быть обеспечены 50% нуждающихся пациентов, а медицинские организации полностью перейдут на отечественные решения для удалённой диагностики. Проще говоря, смарт-тонометр может скоро стать таким же привычным рецептом, как таблетки от давления.👨‍👦 Профессия – педиатр Telegram | MAX

digipad аналог ушедшего ПадлетОчень простой вайтборд, который подойдет для онлайн или гибридной работы, особенно, если участники не сильны в IT и работают со смартфонов.Достоинство сервиса в простоте. Участникам доступно самое необходимое: добавлять карточки, ставить оценки и писать комментарии. Есть возможность настраивать доступ к доске: от только просмотра до редактирования. Можно выбрать фон из имеющихся картинок или загрузить изображение.Спасибо ДА за подсказку!#вайтборд #онлайнсервис @yka_yka

Прочитайте, если у вас есть дети!Уже не первый раз мне попадаются видео и новости о том, что детям и подросткам пишут в соцсетях незнакомые люди: представляются сотрудниками полиции, службой безопасности, втягивают в какие-то игры. Много случаев в Москве, когда ребенок становится объектом вербовки😨Суть в том, что злоумышленники пишут в соцсетях (в том числе ТГ), устанавливают контакт с ребенком, запугивают разными способами, применяют разные психологические приемы и чуть ли не гипноз. Потом говорят уйти из дома, и направляют по адресу, где нужно находиться и ждать. А сами требуют у родителей выкуп…Также детей за деньги вовлекают в «игры», где нужно выполнять задания от взрослых организаторов. Чаще всего схема выглядит так: подростка добавляют в чат/канал, их делят на команды, сначала дают безобидные задания, дальше больше. Идет азарт, конкуренция, обещание денег/статуса. Потом это уже опасная история с манипуляциями, шантажом или втягиванием детей в противоправные действия.Все это страшно, и я естественно тоже очень беспокоюсь за Костю. Определила для себя моменты, как можно обезопасить (или хотя бы снизить риски)Если у ребенка есть телеграм ⬇️⬇️⬇️1️⃣ Скрыть номер телефонаНастройки ➡️ Конфиденциальность ➡️ Номер телефона— «Кто видит номер» ➡️ Никто— «Кто может найти по номеру» ➡️ Контакты2️⃣ Ограничить приглашения в группыНастройки ➡️ Конфиденциальность ➡️ Приглашения— поставить «Контакты»Тогда случайные люди не смогут массово добавлять ребёнка в чаты.3️⃣ Запретить звонки от постороннихНастройки ➡️ Конфиденциальность ➡️ Звонки— поставить «Контакты»4️⃣ Закрыть фото профиля от всехНастройки ➡️ Конфиденциальность ➡️ Фото профиля ➡️ КонтактыИ самое главное— Разговаривать с ребенком и объяснять, что НИКАКИЕ силовые структуры, никакие службы безопасности и т.п. не пишут детям в ТГ и другие соцсети и не просят хранить секреты от родителей.— Договориться о кодовой фразе внутри семьи: любая настоящая экстренная ситуация подтверждается нашей кодовой фразой/словом (ее знаем только мы). Ребенок должен знать: если кодовой фразы нет - ничего не делать и сразу звонить родителям— Проговаривать, что если кто-то пугает, угрожает, запрещает рассказывать взрослым - нужно сразу идти к родителям. Не бояться, мама/папа помогут в любой ситуации.— Ребенок должен знать наизусть хотя бы один телефон родителей.Я не хочу всего этого знать, но приходится😭 Считаю, что должна поделиться с вами

КОММЕРСАНТПо понятиям. Всё живое для организации своего существования в определенных условиях вырабатывает понятия. Это касается всех видов биологических существ. Мои пёс и кот, оказавшись вместе в одном доме, тут же выработали между собой целый набор важных правил и нарушение их жестко карается на месте.Люди - более сложные сообщества. Людям нужны смотрящие. Люди придумали в качестве классического смотрящего - государство. Оно должно фиксировать выработанные сообществом понятия и контролировать их соблюдение. Должно... но государство тоже состоит из людей и если вдруг система дает сбой, то в сообществе начинается хаос и льется кровь.Мы посмотрели сегодня фильм "Коммерсант". Очень сильный. Очень. Он снят по роману Андрея Рубанова "Сажайте и вырастет". Коммерсант-обнальщик работал на промывке средств с крупными чиновниками и главой фармацевтического холдинга.Я эту историю знаю с документальной стороны. Персонажи в 90-ых были мне хорошо знакомы Парень сел в тюрьму. Книга и фильм про то, как пройти тюрьму, и про понятия в любом человеческом сообществе.Петров играет гениально. Роль смотрящего играет рэпер Хаски - тоже на одном дыхании. А режиссура братьев Кравчук - просто фантастика! Дебютная фантастика! Как я ждала такой вот свежей, самостоятельной работы. (Ребята - вы гении! Гай Ричи против вас - старый лабала и штамповщик)Но главное в этом фильме, что он вышел СЕЙЧАС. Меня прямо коротнуло в зале. Сегодня в стране, да и в мире люди и государства массово отходят от самых базовых моральных понятий. Жадность и страх ломают последние оплоты межчеловеческих устоев. Тогда в 90-ых было проще. Коммерсант действительно был виновен. Причем по крупному.Сегодня все намного сложнее.Жизнь подкидывает задачки нового уровня. Сегодня стало привычным то, что в 90-ых было официально невозможно. Только по беспределу.В этой суровой игре с нарушением понятий есть одно незыблемое правило. Беспредельщику все обязательно возвращается. Иначе бы жизнь на Земле закончилась. Во всяком случае для человеческого рода. В общем, всем рекомендую фильм и книгу:"Главный урок, усвоенный мною за эту зиму, заключался в одном слове. В совете, или в моральном правиле, или в приказе тренера.Беги.Если хочешь чего-то добиться – беги. Тренируйся. Превозмогай себя.Лавируй меж унылых, меж вялых и нетрезвых; меж тех, чье дыхание сбито.Беги. Работай. Отрывайся. Побеждай свою слабость.Беги мимо всех – прямо к цели. Не отдыхай. Не мечтай. Не жалей себя. Не смотри по сторонам. Не сомневайся.Так – победишь.Беги, дыши, отталкивайся от земного шара. Преодолев себя, встретишь ли то, что нельзя преодолеть? Никогда." (с)

👍 «Старый хрыч совсем выжил из ума со своими нейросетями»Дал сегодня повод думать о себе именно так. Очень хочу верить, что эта мысль, наверняка еще не раз будучи высказанной в куда более грубой форме, даст необходимый терапевтический эффект.Я уже не раз вспоминал вслух фразу Тины Канделаки: «В будущее возьмут не всех». На дворе стоял 2018-й год — благословенные времена! Услышав их впервые, я и представить себе не мог, что относительно скоро буду задаваться вопросом: «А меня? Меня возьмут?!»Будущее — штука злая. Оно наступает и сразу отступает на шаг вперед. Ты вроде бы здесь, но где будешь завтра, когда оно наступит и отойдет снова?Позвать с собой других оказывается намного сложнее. Цепочка постоянных повторений, уговоров и разъяснений норовит разрядить батарейки.Тина позволила себе неточность: «В будущее вообще никого не возьмут». Хочешь — топай сам. Лови ритм или лидируй этот процесс.Впрочем, можно и не загоняться. Так, посмотреть куда-то вперед, увидеть сверкающие пятки ног, взбивающих дорожную пыль, и сплюнуть себе под ноги или в едва еще видимую спину:«Старый хрыч совсем выжил из ума со своими нейросетями».

Я привыкла читать и отвечать очень быстро. Но тут есть проблема. Я печатаю и печатаю правильно, потом не перечитываю и нажимаю 'отправить' — а жуткая автозамена автозаменяет некоторые слова на слова с ошибками. Вопрос. Это какой-то баг клавиатуры или тг? На ком обучалась вообще такая автозамена? Ведь идея автозамена исправлять ошибки, а не наоборот! Я филолог с красным дипломом и мне стыдно, когда потом перечитываю и вижу ошибки 😭

🤷‍♂️ Так зло или не зло? Как Илон Маск переобулся после сделки с Anthropic Сегодня в новостях было про то, что Anthropic договорился со SpaceXAI Илона Маска о мощностях их суперкомпьютера Colossus 1. Ну, договорился и договорился. Но чуваки из Wired заметили интересную деталь про то, как поменялось отношение Маска к Anthropic.Февраль 2026. Маск пишет твит про то, что AI от Anthropic ненавидит белых и азиатов (особенно китайцев), гетеросексуалов и мужчин. Мол, это мизантропично и зло. «Честно говоря, я не думаю, что вы можете что-то сделать, чтобы избежать неизбежной иронии судьбы, когда «Anthropic» в итоге окажется «Misanthropic». Вы были обречены на эту судьбу, когда выбрали себе такое название», — вот такой дисс от Маска.Май 2026. Прошло два месяца. Маск договорился с Anthropic о Colossus 1. А те еще высказали интерес в космических дата-центрах. И знаете что?«На прошлой неделе я провел много времени с руководителями команды Anthropic, чтобы понять, что они делают для того, чтобы Claude приносил пользу человечеству, и остался под впечатлением. Все, с кем я встречался, были высококомпетентны и очень заботились о том, чтобы поступать правильно. Мой детектор зла ни на кого не сработал. Пока они занимаются критическим самоанализом, Claude, вероятно, будет полезен», — говорится в новом твите Маска.Мастер дипломатии, конечно! Интересно, а что должно случиться, чтобы Маск похвалил Сэма Альтмана? Такое вообще возможно? @TheEdinorogBlog — тот самый канал про стартапы🦄

Чтобы запостить предыдущий пост, я был вынужден маскироваться в сети через приложение для обхода блокировок как пользователь из Литвы.Это что-то с чем-то.Я русский. Нахуя структура моего государства в лице РКН загоняет меня в ситуацию, где я притворяюсь литовцем?