Ад замерз: язык Форт делает камбек и называется 8th.

Статья в блоге ARM: https://community.arm.com/iot/embedded/b/embedded-blog/posts/8th-a-gentle-introduction-to-a-modern-forth
Сайт языка: https://8th-dev.com/

Интересный скрипт, генерирующий размытый SVG из пары фигур,
чтобы показывать его, пока грузится полная версия картинки

http://amp.gs/lhWH

Это случилось снова. Ищем дизайнера или дизайнерку на Марс: http://amp.gs/lNwy

В блоге Mozilla рассказывают о том, как работает WebRender, важнейшая часть Firefox Quantum/Servo: https://hacks.mozilla.org/2017/10/the-whole-web-at-maximum-fps-how-webrender-gets-rid-of-jank/

Начинаем большой осенний набор марсиан! Ищем дизайнеров, рубистов и админов.

👨‍🎨 http://amp.gs/lsly
🕺 http://amp.gs/lslg
👨‍🚒 http://amp.gs/lslv

Пишите сами, расскажите друзьям.

Оказывается, есть не только замена grep на Rust'е, но и замена find — причем, с более удобным синтаксисом:

https://github.com/sharkdp/fd

Обнаружена замена grep/ack на Rust, которая рвет по скорости всех конкурентов, включая grep, ack и the Silver Searcher.

ripgrep: http://amp.gs/lfU4

Отличная возможность поучиться хорошему коду на Rust, например.

А также напомню, что выходные — отличное время, чтобы собраться с мыслями и решиться написать.

Начинаем большой осенний набор марсиан! Ищем дизайнеров, рубистов и админов.

👨‍🎨 http://amp.gs/lsly
🕺 http://amp.gs/lslg
👨‍🚒 http://amp.gs/lslv

Пишите сами, расскажите друзьям.

Привет. Все, наверное, уже видели новость про уязвимости в WPA2:

https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/

Уязвимость раскроют подробнее сегодня на https://www.krackattacks.com/.

Только что вышел Debian Security Advisory.

Надеюсь, что обновления для ваших прошивок выйдут быстро — хотя кого я обманываю, большинство роутеров, скорее всего, вообще не увидят исправлений.

Судя по описанию уязвимости у Debian'овцев, она затрагивает не только wi-fi роутеры, но и клиентов. То есть, вечно не обновляемые Android телефоны, Windows-компьютеры, которые никто и не думает обновлять. Пока это выглядит хуже, чем Heartbleed.

https://www.krackattacks.com/ ожил

> Note that if your device supports Wi-Fi, it is most likely affected. During our initial research, we discovered ourselves that Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, and others, are all affected by some variant of the attacks.

На сайте подтверждают, что затронуты не только все роутеры, но и клиентские устройства, включая все телефоны и десктопы.

Там же есть Proof of Concept, читайте https://www.krackattacks.com/

Судя по всему, подмена трафика возможна только если не используется AES. EDIT: _подмена_, прослушивание возможно везде.

> If the victim uses either the WPA-TKIP or GCMP encryption protocol, instead of AES-CCMP, the impact is especially catastrophic. Against these encryption protocols, nonce reuse enables an adversary to not only decrypt, but also to forge and inject packets. Moreover, because GCMP uses the same authentication key in both communication directions, and this key can be recovered if nonces are reused, it is especially affected.

Выдержка из FAQ для тех, кому сложно-некогда читать:

— Нужна ли новая версия WPA, обречены ли мы все? Нет, можно запатчить и станции и клиент без проблем.
— Нужно ли менять пароль на Wi-Fi? Нет, бесполезно.
— WPA2 с AES все равно уязвим? Да, все равно.
— Нужно ли откатываться на WEP? Нет.

Ждем исправлений, обещают выпустить утилиту для проверки уязвимости (то есть, бежать покупать новый роутер для которого выпускают обновления пока не нужно).

Пишут, что Microsoft выпустила патч для Windows 8+
https://www.engadget.com/2017/10/16/microsoft-already-has-krack-attack-wifi-fix/
... и что обновить только обновляемые Android займет.. тадам.. несколько недель.

День еще не кончился — подвезли «железные» уязвимости

https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/

https://crocs.fi.muni.cz/public/papers/rsa_ccs17-

Apple же пофиксила уязвимости WPA2 во всех бетах OS, которые вышли сегодня
https://www.macrumors.com/2017/10/16/krack-wifi-vulnerabilities-patched-apple-ios-macos/
Видимо, ждать релиза можно на следующей неделе.

Чтобы закрыть вчерашнюю тему, вот пополняемый список (со ссылками) компаний, которые уже отреагировали на Krack:

https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/