L29Ah @L29Ah@qoto.org

Security

#webcomic #krita #miniFantasyTheater

Quick demo at #WHY2025: The Fairphone 5 connected to Nreal AR glasses with Phosh and postmarketOS!

Together with @matthewcroughan at the NixOS tent, he's also trying to get them working with Monado!

#Phosh #postmarketOS #MobileLinux #LinuxMobile #NixOS

it is curious how many people feel they need to ask me why #curl is not moving off #GitHub

The cold and boring answer is money. GitHub sponsors us with a crapload of CI infra that there is no other company even close to doing.

So while they may be an AI-first delusional company, they help our project so much more than all other hosting sites combined.

It would be reckless and irresponsible of us to ignore this.

(stolen aislop and reposted with alt-text)

#zoom #doom #meetings #AnotherMeetingThatCouldHaveBeenAnEmail #MeetingHell #HellIsOtherPeople #aislop

Monero is even more fungible than cash.

[ the picture is both humorous and not. ]

https://blossom.primal.net/93bb1f59c511a67a872a171ad6888af701de23592761306812dd4c7cd4924e50.png

"""
Первое соревнование по олимпиадному программированию в I2P

Мы, ContestI2PTeam, проводим соревнование по олимпиадному программированию в I2P для начинающих. Цель мероприятия: познакомить как можно больше талантливых программистов с сетью I2P.

По результатам соревнования, в соответствии с распределением по Гауссу (даже самые начинающие в обиде не останутся), будет выплачиваться криптовалюта Monero (XMR) из тех средств, что были пожертвованы на развитие ContestI2P.

С 24 по 31 июля будет проходить пробный тур, чтобы попасть на основной тур, нужно решить хотя бы одну задачу пробного тура (вы не робот?)

1 августа будет проходить основной тур, только он будет влиять на итоговые результаты.

Более подробно смотрите http://contest.i2p/ (для перехода по ссылке требуется настроенная сеть i2p).

Желаем всем успехов!

P.S. Не забывайте про «сарафанное радио» :-) Только став популярным, это соревнование обретёт достойный оборот аудитории и пожертвований (а значит и призов!)
"""
#i2p

При чтении новостного заголовка вспомнился старый советский анекдот. Прошу прощения за то, что неприличный.
Беседуют две подружки - бичёвки (быдло).
- Ой, а я вчера со врачом познакомилась. Он такой общительный, даже пенис мне показал!
- А чё это?
- Тоже что и х@й, только маленький! @rf

People dig on Nostr for not being a bigger thing, or being full of Bitcoiners / toxic content / spammers, but it’s literally just cryptographically signed JSON over a relatively simple open protocol. That’s it. Nostr doesn’t care who or what it is — anyone is welcome to build or participate. You can verifiably publish and subscribe to whatever content you want in a manner that fits to your liking despite what one person, organization, or government might say. That’s why I’m here. Onwards.

You could have voted with your attention,
but you don't know how to control it and it's directed externally by corporations and divisive politics, they just take over your attention.

You could have voted with your money, but you were never interested in understanding how it works, how to make it and how to keep it. So they stole it from you, taxed you, evaporated its value through inflation and now you don't have a vote in the market economy.

You could have voted with your time. But you spend most of it on things that grab your attention and on making money in a hamster wheel.

You could have voted with your feet. But the world out there is scary and far and you would have to change your life significantly.

So you at least vote by putting a sheet of paper in a box, and you hope that this act, which is all vote you have left will change things for the better. And then you're disappointed and frustrated, because either your favorite tyrant did not win or they did and the result is the same as always.

Learn to use your attention
Learn about money
Save your time
And vote in ways that matter

государство постоянно хочет залезть к тебе в трусы, но при этом крайне обидится, если ты выйдешь на улицу без них

где то тут должна быть логика, но я не могу её найти

In the last few seconds before doing so becomes illegal, I would like to state that I approve of breaking into RAF bases and spraying paint on planes.

It is a non-violent form of protest and is certainly not terrorism.

After midnight, my official position on this shall be the same as Israel's position on whether they have nuclear weapons - everyone knows they do, but they won't admit it.

#велосипед #инструмент
Умерла сегодня выжимка цепи, тридцати лет не отслужила... Просто распалась, усталость металла. В мелком мультитуле есть маленькая, пользоваться можно, но хочу большую хорошую роскошную. Какую порекомендуете? Была примерно такая:

Когда-то давно в Android была уязвимость, называемая Tapjacking. Суть в том, что пользователь тапал на экран в приложнии А (например это была игра), а тап пробрасывался приложению Б. Таким образом вредоносное приложение могло получить нужные ему права. Выдаёт себя за игру "найди предмет", а предметы находятся ровно там, где нужные пункты меню и кнопок в системе располагаются.

В несколько попыток, но Google таки закрыл эту проблему. Но встречаем #TapTrap: https://taptrap.click/ Суть такая:

Атакующее приложение запускает жертву. Но запускает хитро - с явным указанием анимации для целевой активити
Через эту анимацию указывается в том числе прозрачность, близкая к абсолютной
Жертва запускается долго из-за переопределённой анимации - вплоть до 3х секунд
Пока она запускается, уже отрисованные элементы могут начать принимать тапы. Начнут или нет - зависит от реализации самого приложения. Кто-то слушателей кликов повесит сразу, кто-то - после всех анимаций. Но, как правило, вешают сразу, чтобы приложение мгновенно реагировало на нажатие. Ну вы знаете эту штуку - анимация ещё не закончилась, она медленная (для вашего восприятия), вы жмёте на кнопку, но реакции нет. Вот это раздражает, но в данном случае такие приложения как раз не подвержены уязвимости
Когда анимация уже подходит к концу, вредоносное приложение поднимает себя из фона обратно на передний план. Да, разработчики под Андроид знают про ограничение системы и про исключение "НЕЛЬЗЯ ПОДНИМАТЬСЯ ИЗ ФОНА СУКА", которое бросает ОС. Но после ухода в фон у вас есть несколько секунд на возвращение обратно и исключения не будет.

В демонстрационном видео выглядит так, будто чел тапает на жуков и всё норм. Фишка в том, что те тапы, которые делались в момент анимации, проходили на жертву. А приложение лишь имитировало, будто пользователь правильно тапнул. То есть заверните это в игру на скорость реакции и вам хватит анимации в 200 мс и пользователь не поймёт, что часть его тапов лишь имитируется приложением. Для него будет выглядеть всё нормально.

Пользователям #Android: уявзимость не исправлена в т.ч. в 16, пока что.
Пользователям #Android продвинутым: анимации можно отключить в опциях разработчика. Бонусом получите ускорение интерфейса, на самом деле. Когда (если) вернёте настройки обратно, после выхода исправления, заметите, что телефон начал тупить. По крайней мере у меня такой эффект преследует много лет. Так как тестовые телефоны у меня все с отключенными анимациями, а личные - с анимациями по умолчанию.
Пользователям #GrapheneOS: фикс уже есть.
Разработчикам: либо не вешайте слушателей до конца анимации, либо не учитывайте вдвигаемые настройки анимации. Первое будет бесить быстрых пользователей, а второе будет бесить пользователей, которые привыкли, что приложения подчиняются общесистемным настройкам