{"id":726,"title":"\u0427\u0435\u043c\u0443 \u043c\u044b \u043c\u043e\u0433\u043b\u0438 \u0431\u044b \u043d\u0430\u0443\u0447\u0438\u0442\u044c\u0441\u044f \u0443 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u0438\u0445 \u043a\u043e\u0441\u043c\u043e\u043d\u0430\u0432\u0442\u043e\u0432","url":"\/redirect?component=advertising&id=726&url=https:\/\/vc.ru\/promo\/254448-like-an-astronaut&hash=a5030a2f62915a7a07a8c868a88a0ed490fc2610974523f02fd63666cb17bc7c","isPaidAndBannersEnabled":false}
Разборы
Ольга Щербинина

«Медуза»: управление делами президента и АП причастны к утечке данных с сайта «Свободу Навальному!». Главное Статьи редакции

По данным издания, со сливом связан программист из Самары.

Фото «Настоящего времени»

Об утечке собранной на сайте «Свободу Навальному!» базе адресов стало известно в ночь на 16 апреля, когда злоумышленники начали рассылать письма с угрозами. Как пишет «Медуза», неизвестные получили доступ к данным ещё 2 апреля.

Данные получили и работодатели, и силовики. Некоторые жертвы слива потеряли работу, к другим пришли с проверками правоохранительные органы.

По данным журналистов издания, следы этой утечки ведут в управление делами президента и администрацию президента, к двум землякам — «талантливому программисту» и молодому руководителю стратегического НИИ.

Часть писем отправили с электронной почты издания «Москва-Баку», в котором работают бывшие сотрудники РИА ФАН

  • Три основных домена (navalnyfail.ru, navalnyfail.online и megadeanon.tech), с которых шла рассылка писем с угрозами, заброшены хозяевами, рассказали «Медузе» в Reg.ru — компании-регистраторе, которой известны владельцы сайтов;
  • Изданию удалось узнать ещё об одном домене — вечером 15 апреля несколько человек, опрошенных «Медузой», получили письма с почты noreply@moscow-baku.ru;
  • Этот домен и размещённый на нём сайт информационного агентства «Москва-Баку» принадлежат Мусе Мурадову, журналисту, который 30 лет назад возглавил независимую газету «Грозненский рабочий»;
  • Мурадов руководит ИА «Москва-Баку». «Концепция нашего сайта — освещать российско-азербайджанские отношения, — объяснил он „Медузе“. — У нас скорее пиар-проект, понимаете? Даже не в формате СМИ»;
  • На ютуб-канале издания работают выходцы с ВГТРК, а на сайте — бывшие сотрудники принадлежащего Евгению Пригожину РИА ФАН. Новости о Навальном на сайте «Москва-Баку» освещают нейтрально или не упоминают вовсе;
  • Представители издания отвергли предположение, что кто-либо из сотрудников мог использовать инфраструктуру сайта для рассылки угроз. Опрошенные «Медузой» технические специалисты не исключают, что похожая на тестовую короткая рассылка могла быть совершена с домена «Москвы-Баку» по ошибке;

  • По словам экспертов, «Москва-Баку» может вовсе не иметь никакого отношения к злоумышленникам. Сайт мог стать очередной их жертвой, так как заголовки писем легко подделать.

Для исполнителей «атаки» на сайт эта операция была не первой

  • Неизвестные, атаковавшие сайт «Свободу Навальному!», проводят спецоперации в интернете не в первый раз, пишет «Медуза». При изучении регистрационных данных доменов, использованных для организации рассылки, становится ясно, что все они при создании были привязаны к одному виртуальному номеру и двум имейлам. Те же адреса обнаружило издание «Настоящее время»;
  • Владелец одного из адресов уже участвовал в провокациях против ФБК, обратил внимание телеграм-канал Reworr. Этот адрес оставлен как контактный в объявлении о «раздаче денег» на акции, инициированной Ильёй Яшиным и поддержанной сотрудниками ФБК;
  • Судя по совпадению данных, эта группа зарегистрировала и домен navalny.ru.com, который пока, насколько известно «Медузе», не использовался рассылке или фишинге. Остальные зарегистрированные группой домены выглядят как сайты-подделки, имитирующие официальные ресурсы госведомств.

Предположительно, эти же неизвестные ранее атаковали сайт самарского издания «Засекин.ру»

  • Судя по пересечению регистрационных данных доменов, та же группа неизвестных создала сайты zasekin.press и zasekin.space. Они появились в феврале, накануне провокации против самарского издания «Засекин.ру»;
  • Хакеры подделали электронный адрес «Засекин.ру» — и начали рассылку от имени редакции. Они напомнили самарским чиновникам и отделениям партий о грядущих выборах в губернскую думу, предлагая «не голосовать за кандидатов от бункерного карлика», а поддержать «Умное голосование» Алексея Навального. Владелец сайта Дмитрий Лобойко заявил, что не является сторонником Навального. По его мнению, за атакой стоят «люди из АП»;
  • 22 февраля страницы сайта стали заполняться краткими описаниями способов самоубийства, ссылками на детскую порнографию и песнями группы «Коловрат». Материалы попадали на страницы сайта через систему комментариев, параллельно началась DDoS-атака;
  • По словам Лобойко, атака шла на страницу с заметкой о ветеране ФСБ Павле Селезнёве, опубликованная изданием накануне хакерской атаки. Со ссылкой на материалы суда «Засекин.ру» пересказал историю попыток бывшего силовика уехать за границу. Покидать страну ветеранам спецслужбы нельзя в течение пяти лет после увольнения, но подполковник раздобыл загранпаспорт на чужое имя и вылетел в Дубай;
  • «Оказалось, что у самого экс-силовика возможностей для организации спецоперации в интернете нет», — сказал Лобойко. Но, как утверждает собеседник «Медузы» в Самаре, помочь Селезнёву мог его близкий товарищ и бизнес-партнёр Михаил Дудин — «талантливый математик и программист».

Один из предполагаемых организаторов атаки на сайт Навального — программист, больше 10 лет сотрудничающий с АП

  • Согласно данным «СПАРК», до 2018 года Дудин был учредителем и гендиректором айти-компании «Алекс-Консалт». По словам собеседника «Медузы», он сотрудничал с органами госбезопасности и десять лет назад пытался продать ФСБ свою разработку по определению точного местоположения абонентов с использованием вышек сотовой связи;
  • Сейчас Дудин перебрался в Москву, где представляется как сотрудник администрации президента, пишет «Медуза». «Он абсолютно непубличное лицо. Работает сейчас на [начальника управления президента по внутренней политике Андрея] Ярина», — рассказал собеседник издания;
  • Трудоустроен ли Дудин в администрации официально, «Медузе» уточнить не удалось. Источники издания говорят, что в АП его знают уже больше десяти лет. Сейчас программист и правда «сотрудничает с Яриным», утверждают близкий к ФСБ и близкий к АП источники «Медузы». В 2017 году Ярин возглавил инициативу Кремля по защите от киберугроз из-за рубежа, а осенью 2020-го попал под санкции ЕС из-за отравления Навального;

  • Источники издания подтвердили «Медузе», что Дудин действительно причастен к атаке на сайт «Свободу Навальному!». Программист оказался связан и с НИИ при Управделами президента, которое собеседники «Медузы» также называют причастным к атаке на сайт сторонников Навального;
  • Чтобы при помощи адресов электронной почты составить базу с актуальными данными о людях, которые им принадлежат, злоумышленники пользовались СУБД «Спрут», которая считается одной их самых полноценных коллекций баз данных. «А у „Спрута“ — прямые контракты и официальная работа с ГлавНИВЦ, то есть, считай, с АП», — рассказал «Медузе» собеседник на российском рынке данных;
  • Главный научно-исследовательский вычислительный центр (ГлавНИВЦ) при Управделами президента — одна из организаций при Кремле, отвечающая за высокотехнологичные операции. В руководстве этого полусекретного НИИ, как ранее писала «Медуза» — выходцы из российских спецслужб, а команда программистов занималась разработкой технологий деанонимизации для нужд силовиков;

  • 14 апреля ГлавНИВЦ возглавил Вадим Гайсин — земляк и давний-бизнес-партнёр Михаила Дудина. С его приходом собеседники «Медузы» связывают грядущие перемены в НИИ и возвращение к «реальной работе» — разработкам для силовиков;
  • О причастности Дудина к сливу в своём расследовании пишет и «Настоящее время». Программист отказался беседовать с обоими изданиями.

Сайт «Свободу Навальному!» запустили в марте, чтобы собрать 500 тысяч желающих выйти на митинг в поддержку политика. Ресурс должен был стать площадкой для организации мероприятия, на нём зарегистрировались более 463 тысячи человек.

Позднее команда Навального решила не дожидаться сбора 500 тысяч человек и объявила, что следующая акция пройдёт 21 апреля.

{ "author_name": "Ольга Щербинина", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043d\u0430\u0432\u0430\u043b\u044c\u043d\u044b\u0439","\u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a\u0438"], "comments": 110, "likes": 204, "favorites": 53, "is_advertisement": false, "subsite_label": "analysis", "id": 380215, "is_wide": false, "is_ugc": false, "date": "Tue, 11 May 2021 18:34:36 +0300", "is_special": false }
0
110 комментариев
Популярные
По порядку
Написать комментарий...

Последовательный кот

16

Волков же сказал, что данные слил «завербованный ФСБ» бывший сотрудник ФБК. Значит, либо медуза, либо волков пиздит????

Ответить
11

Ещё в некоторых Telegram-каналах по кибербезопасности мелькали вот эти скриншоты (со ссылками на исходник). Если это не фейк, то детектив от Медузы начинает выглядеть особенно сюрреалистично (хотя описанные персонажи вполне могли каким-нибудь сканнером обнаружить эту уязвимость специально, и тогда картинка выстраивается)

Ответить
7

Можно кратко объяснить, что на фотке происходит?

Ответить
16

Если чуть длиннее — в обфусцированном коде на JavaScript на странице, которая открывается после подтверждения почты, кто-то обнаружил вшитый токен доступа к *чему-то* (к чему именно — определить довольно сложно из-за обфускации кода). Через некоторое время этот токен доступа был заменён на получение BASE_AUTHORIZATION из переменной окружения.

Возможно, это фейк. Пруфов кроме картинок лично я не видел.

Ответить

Давний франт

Директор
4

Комментарий удален по просьбе пользователя

Ответить
2

Непонятно. Это могло быть куском какого-нибудь SSR, по крайней мере API похож на API ноды twilio.com/blog/2017/08/working-with-environment-variables-in-node-js.html Сами картинки в комментариях я вот отсюда выгуглил: https://vk.com/wall-38484857_159973

Ответить

Давний франт

Директор
1

Комментарий удален по просьбе пользователя

Ответить
7

Не поленился проверить в архиве — реально лежат какие-то креды:

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
2

Так я понимаю, что там обращение к API "Geo coder", соответственно и креды могут быть только от этого кодера.

Ответить
4

Это может быть не связано (там же ещё ссылки на YouTube, shop и Django), минификаторы импорты и переменные перемешивают. Это могло вообще к чему-то другому относиться, свалившемуся в другую часть бандла

Ответить
4

ну в таком месиве хрен проссышь где что

Ответить
1

Миллион версий уже наплодилось с этим сливом, от конспирологических до вот таких.

Ответить
1

Кури мануалы по вебпаку например

Ответить
–1

Сотрудники ФСБ, приехавшие на захват

Ответить
1

это base auth к админке, которая помимо этого base auth защищена еще обычным слоем разграничения доступа, сделано это для того, чтобы джанговскую админку не брутили всем интернетом.
если что, я не причастен к фбк, просто это классика защиты от ботья, типа как ссш вешают на другой порт.

Ответить
0

это не фейк, из архива гугла можно взять эту страницу со старым скриптом и найти нам этот пароль

upd ниже уже проверили

Ответить
0

Какой идиот на клиенте будет что-то отправлять в стороннее API?

Ответить
6

Якобы на страницах сайта можно найти в открытом виде пароль от API к бэкенду, т.е. получить доступ к самому серверу.

Ответить
0

Так, чему же верить - тому шо сотрудники Навального рукожопы, или в хитрый кремлевский заговор?

Ответить
24

действительно, придумали тоже - администрация президента и силовики проводят спецоперацию против Навального и его сторонников. Что за чепуха

Ответить

Мягкий кофе

Alexei
19

Одно не исключает другого

Ответить
9

Верить скринам из нонеймовских телеграм-каналов или расследованиям Медузы и Настоящего времени, которые проводились независимо...

Ответить
9

расследованиям Медузы и Настоящего времени, которые проводились независимо...

от принципов журналистских расследований и, как обычно, не подкреплены никакими пруфами, кроме "наш источник сообщает".

Ответить
0

 не подкреплены никакими пруфами

Ещё чего расскажешь?

Ответить
5

А есть, что возразить?

Ответить
0

Твоя претензия безосновательна. Там приведён подробный анализ цифрового следа, опрошены свидетели и жертвы событий. Хотя, конечно, ссылочки на RT не наблюдается.

Ответить
6

Если "там приведён подробный анализ цифрового следа", то здесь, получается, буквально несколькими комментариями выше, уже докторскую по этой теме защитили.

Ответить
0

Залезли в веб-архив?

Ответить
0

Никому ¯\_(ツ)_/¯

Ответить
0

Правда где-то посередине, у всех свои цели, лучше в это не лезть.

Именно так. Именно bothsidesism вбивают в голову пропагандисты, чтобы отвадить людей от конструктивного обсуждения.

Ответить
3

Правда ровно одна, кто не с нами — тот против нас, скорей вставай на сторону добра.

Именно так. Именно чёрно-белую картину мира вбивают в голову пропагандисты, чтобы отвадить людей от конструктивного обсуждения.

Тем временем скрины "из нонеймовских телеграм-каналов" внезапно подтвердились, а кто-то из команды Навального рукожоп(или даже злоумышленник с многоходов очным сливом(шутка)). Причём этот вопрос Волкову было бы элементарно закрыть, прояснив, от чего креды — может, это от апи карт?

Ответить
3

 чёрно-белую картину мира

Расскажи, какая она на самом деле. Расскажи, что расследователи коррупции, которых признают экстремистами, и отравители боевыми веществами 20 лет у руля – одна и та же история, но с разных сторон.

 было бы элементарно закрыть

И вот такие вот диванные бы в первых рядах лили желчь на любые попытки оправдаться и прояснить ситуацию.

Слив, по его версии, произошёл через логи через крысу. На сайте никак не могло быть данных для почтового API, так как в любом проекте подобного уровня это независимые системы. Распространением и разширением базы по серым и чёрным источникам же занимались, как выяснили журналисты, какие-то черти на подсосе у того АПшника.

Ответить
3

какая она на самом деле.

Слева белое, здесь добро и боженька. Справа чёрное, здесь ад и сотона. А мы посерёдке, в серой жиже.

одна и та же история, но с разных сторон

Сам придумал, сам споришь?
 
На сайте никак не могло быть данных для почтового API, так как в любом проекте подобного уровня это независимые системы.

Там, вообще говоря, могли быть любые данные — прекрасное айти же. Потому и хотелось бы ясности по этому вопросу. Тем более что скорее всего это что-то неважное.

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
0

А де противоречие? Базу увел крот, а прогоняли её через ГосБД и рассылали эти

Ответить

Последовательный

Alexei
0

Зачем сталин убил крестьян?

Ответить
3

прост

Ответить
0

усы в крови

Ответить
0

Вкусно вкусно вкус металла выебал страну и ладно всех ограбил и убил сталин лучший командир

Ответить
0

Это креды к локальной джанге (судя по строчке выше - запущенной в докере), скорее всего использующейся для разработки/тестирования, ничего они не дают. Поменяли на энв для порядка и спокойствия особо волнительной публики.

Ответить
2

А как Вы определили, что именно к >локальной джанге?
На основании чего сделан вывод о запуске в докере?

Ответить
1

Хуйня какая-то. Кто вообще в здравом смысле пользуется логином «админ» и зачем там вообще всё это

Ответить
0

а какой из скринов верный?

Ответить
0

Это одно и то же в разное время. Источник и обсуждение были тут: https://tjournal.ru/analysis/380215?comment=5515363

Ответить
0

очень натянутая версия про сср. я поверю, что верный первый скрипт с текстом, это вполне похоже на сжатый js код. второй же кусок с окружением, но при этом с сжатым js кодом это странно. ну т.е. если это кусок кода до публикации ок, но почему тогда он уже сжат?

а если почтовый рассыльщик даёт этот кусок кода, то получается, такая уязвимость у всех клиентов этого рассыльщика

Ответить
0

Что значит верный или неверный? Выше были ссылки на вебархив, где можно посмотреть, какой js-файлик был на сайте N дней назад. Выше также была приведена ссылка на источник, откуда были взяты оба скриншота. Очевидно, в разное время были развёрнуты разные версии системы

Ответить
0

яж спрашиваю, а не утверждаю, что фейк. проблема в том, что вы не понимаете о чём пишите, поэтому вам трудно оперировать терминами и ответить на вопрос.

я прочитал часть ветки, дальше лень, там бла-бла-бла диванов а основном.

ваше предположение про ноду скорее неверное. учитывая, что мы видим там куски про джанго, бэк скорее всего именно джанго, а переменные окружения доступны и в гальпе и вебпаке, не обязательно в ноде.

опять же, я не говорю, что это фейк, наоборот, это реально было судя по всему. другое дело, что второй скрин с переменными окружения, это странно. не фейк, не бред, а именно странно. часть кода обфусцирован, это факт, но часть нет. если это типа не скомпилировали яваскрипт и залили, дак ничего бы не работало. тогда откуда этот код? вот что не понятно

Ответить
3

я прочитал часть ветки, дальше лень

Выше была ссылка про API ноды, с которым имеет сходство обсуждаемый отрывок обфусцированного кода и на основании которой был сделан вывод о возможном участии SSR. Я продублирую, мне не трудно: http://twilio.com/blog/2017/08/working-with-environment-variables-in-node-js.html

Учитывая, что из содержимого бандла очевидно использование Next.JS, мы нехитрым образом обнаруживаем, что в Next.JS SSR реализован следующим образом: https://nextjs.org/docs/basic-features/pages

У страниц приложения на Next.JS с поддержкой серверного рендеринга должны быть функции getStaticProps, в которых описаны сценарии получения пропсов компонента страницы, которые будут выполняться на сервере (собственно нодой). Таким образом, эти getStaticProps запросто могли залететь в финальный бандл после сборки вебпаком/гульпом/чем угодно и привести к ситуации с торчащими наружу кредами. Это могло бы объяснить наличие process.env в бандле, однако на истинность моё предположение не претендует. Надеюсь, так понятнее.

проблема в том, что вы не понимаете о чём пишите, поэтому вам трудно оперировать терминами и ответить на вопрос.

Вы поменьше ярлыков развешивайте. Давайте всё-таки культуру дискуссии на уровне держать, повыпендриваться можно и где-нибудь в другом месте.

Ответить
0

воу воу ) яж не пытаюсь вас оскорбить, яж просто по фактам. 
с чего вы взяли, что используется нода или тем более next.js? и какая между ними связь? ;))
переменные окружения судя по коду прокидываются через глобальную переменную e, а не process, это скорее указывает на использование вебпака и уж точно не о ноде. наличие доменов с ярлыком джанго более явно указывает, что там на бэке. 

опять же, чтобы в бандл попали незаеваленные переменные окружения, это надо, чтобы он не собрался. а в таком случае браузер просто не сможет открыть страницу. т.е. это возможно лишь в том случае, если разрабы решили обновить сайт, не стали собирать бандл, залили его на хостинг (уже смешно) и не проверили что сделали. сайт не открывался, но кто-то успел открыть исходники, т.к. каким-то чудом сорцы были доступны из корня веб сервера. 

и я повторю, я не утверждаю, что это фейк. я просто не вижу объяснения, как были получены эти исходники, где явно сурсы, а не еваленные переменные. все ваши доводы не имеют ничего общего с реальностью

Ответить
0

 с чего вы взяли, что используется нода или тем более next.js?

В вашей реальности на бэкенде обязательно используется единственная технология? В моих проектах это отнюдь не так, обычно собирается зоопарк из микросервисов, где Django используют для управления контентом, что-то на C# для проводок и платёжных шлюзов, NodeJS как правило на проектах как с Angular, так и с Vue/React используется для SSR (и для сборки фронта. да, её тоже осуществляет NodeJS), потому что вменяемых интеграций SSR с Django/ASP.NET не завезли.

По Next.JS — ну посмотрите Вы уже на исходники по ссылке-то. F12 надо нажать в Хромиуме. Не хотите — окей, можно почитать вот этот материал https://navalny.com/t/462/ Они там сами рассказывают, на каком стеке технологий ваяют свои сервисы. Next.JS — упомянут. 

 опять же, чтобы в бандл попали незаеваленные переменные окружения, это надо, чтобы он не собрался. а в таком случае браузер просто не сможет открыть страницу.

Вы когда-нибудь делали SPA/PWA на React/Next/Angular/Vue? Что-то *очень* странное пишете. Вы студент? Всё там прекрасно собирается, сценарий сборки можно настроить абсолютно как угодно. 

 я просто не вижу объяснения, как были получены эти исходники, где явно сурсы

Слушайте, ну это слишком толсто уже. Человек выше привёл ссылку на webarchive, где валяется сохранённая копия сбандленных сорцов сайта. Дублирую ещё раз:
https://web.archive.org/web/20210323111844if_/https://free.navalny.com/ На неё надо нажать, подождать, а потом нажать F12 и посмотреть список исполняемых файлов. Затем — найти нужный файл (из снимков выше файл несложно вычислить по его имени). Минифицированные файлы можно отформатировать девтулами в хроме, чтобы стало читаемо.

Если будут трудности — пишите

Ответить
0

справлюсь, но через недельку, у меня в горах тут и инет не часто и только телефон ;)
собирать зоопарк из микросервисов для лэндинга это сильно. сам сайт фри навальный насколько вижу не требует сср, ибо, опять же, лэндинг. какой смысл в нексте?
минификаторы ок, но я чот не помню, чтоб кто-то минифицировал код до сборщика, это странно.
spa я делаю года эдак с 08, и не у себя для тестов, а бизнес-продукты, и мобильные приложения типа pwa делаю ещё со времён браузеров семейства симбиан, долго делал на кордове, в итоге перешёл на реактнатив. я не помню за это время ни одного проекта, где бы мне потребовалось собирать бандл нодой, а не вебпаком. ну, при условии, конечно, что вебпак это нода ;)
доберусь до ноута, посмотрю веб архив, что вы скинули. если в нём в js часть сорсов с переменными окружения, то они либо заданы должны быть по коду выше, либо обёрнуты в try/catch, либо js на странице тупо бы не работал.

опять же, я плохо представляю реальный кейс, когда часть бандла сборщик собрал, а часть, переменные окружения, забил. понятно, что сборщик можно как угодно сконфигурить, но это странно, разрабы редко пишут вебпак, чаще используя кли реакта/вью и прочие автосборщики, не вникая в то, что делает вэбпак и как.

Ответить
0

 я не помню за это время ни одного проекта, где бы мне потребовалось собирать бандл нодой, а не вебпаком

NodeJS — это среда выполнения JavaScript (интерпретатор), который выполняет код сценариев сборки вебпака, его плагинов, SSR и тому подобного. Если Вы собираете бандл вебпаком, значит Вы собираете его нодой.

 разрабы редко пишут вебпак

Зависит от команды. На некоторых проектах приходится настраивать эту дрянь вручную, на некоторых допустимо взять Angular CLI или CRA. Ещё зависит от требований принимающей стороны.

опять же, я плохо представляю реальный кейс, когда часть бандла сборщик собрал, а часть, переменные окружения, забил.

Да, я тоже, однако исходя из документации NextJS по SSR появились некоторые подозрения: https://nextjs.org/docs/basic-features/pages

 доберусь до ноута, посмотрю веб архив, что вы скинули. если в нём в js часть сорсов с переменными окружения, то они либо заданы должны быть по коду выше, либо обёрнуты в try/catch, либо js на странице тупо бы не работал.

Если подозрения насчёт SSR верны, то этот блок с кодом просто никогда не вызывается на клиенте. Поскольку JS — интерпретируемый язык, интерпретатор просто не заметит недостижимый код и всё будет работать штатно. Но мои подозрения насчёт SSR могут быть и ошибочными — да, уже не впервые это отмечаю.

Ответить
1

обычно для реакта хватает кли, а вот для вью я чаще собирал свой вебпак, особенно для третьего, ибо там поделка ещё та. ну и для всяких iot девайсов весело собирать вебпак. небольшой вебсервер на сях, который умеет отдавать gz файл и preact приложение с вебпаком, который в итоге собирает весь проект в один html, в который инклудит все js/стили, картинки/иконки кладёт в base64, гзипит его и на выходе у тебя один gz файл, который должен уместиться в память какойнить esp32.

доберусь до ноута, гляну что там с сурсом. правда интересно почему так и как такое могло быть.
и я извиняюсь, если оскорбил вас или сделал неверные выводы, относительно вас. просто всегда весело, когда в технических темах кто-то начинает оперировать «да это точно так, т.к. кто-то где-то в соседней теме это вроде доказал» ) обычно это говорит о том, что человек просто не понимает, о чём говорит ) а так, конечно, приятно видеть технарей в тренде )

Ответить
0

Тех, кто делает IoT на JS нужно пожизненно сажать
Только сишечка, только нэйтив!

Ответить
0

читаем внимательно, js там для веб сервера, который написан на си

Ответить
0

ну и ещё раз, о ваших познаниях я сделал вывод исключительно из-за странных выводов. то что очевидно вам, не очевидно мне. и если у вас есть аргументы в пользу того, что там ssr, просто приведите их )
ну и раз мы общаемся на одно языке, расскажите вы мне, как незаеваленные переменные могли оказаться в исходнике и как этот сайт продолжал работать?

скрин со стеком ну ведь смешной, не? ну конечно оечь про ноду там только в контексте npm/webpack, а не как бэк. и nextjs есть смысл юзать только там, где нужен ssr. про css/postcss забавно, они бы ещё xmlhttprequest/ajax указали ;) и это не к тому, мол какие лохи, а к тому, что доверя этому описанию нет, просто в куче технологии

Ответить
0

и nextjs есть смысл юзать только там, где нужен ssr.

Нет. В NextJS полно всякого хлама, который пригодится как в гибридных приложениях, где нужно делать SSR, так и в клиентских SPA, где никакой SSR и оптимизация для индексируемости поисковиками не нужна. NextJS можно взять вместо CRA, или если нужен готовый роутинг, или инкрементальный билд (при условии, что Вы не хотите сами убиваться о настройку вебпаков), ещё есть code-splitting, который жизненно необходим на любых SPA средней сложности. Почитайте: https://nextjs.org/

скрин со стеком ну ведь смешной, не?

Типичный модный-молодёжный стек, что не так? 

ну и раз мы общаемся на одно языке, расскажите вы мне, как незаеваленные переменные могли оказаться в исходнике и как этот сайт продолжал работать?

Вот выше ссылочка была про getStaticProps в контексте SSR, посмотрите там примеры с серверным fetch.

и если у вас есть аргументы в пользу того, что там ssr, просто приведите их )

Все свои домыслы я уже озвучил выше, ничего нового добавить не могу. Медуза озвучивает свои домыслы — и я тоже озвучиваю свои. С — свобода слова

Ответить

Литературный инструмент

Последовательный
3
Ответить
3

Сотрудник, завербованный ФСБ, совершил диверсию и пушнул в прод логин/пароль!!!!!!

Ответить
0

Евр*й как всегда п**ит

Ответить
1

Чему это противоречит?

Ответить
1

Медуза уже сама себе новости придумывает 

Ответить
1

Почему одно другому должно противоречить?
Зачем строить какие-то клишированные кибератаки из голливудских фильмов, когда есть тип на месте, который предоставит удаленный доступ, а затем так же сотрёт эти следы?
Мне кажется, что наши спецслужбы очень ленивы в этом деле и думают: зачем напрягаться и придумывать злодейский план, когда можно получить данные от поставщика услуг по запросу, либо за небольшую мзду найти крота.

Ответить
1

Может и сотрудник был. Одно другого не исключает.

Ответить
1

Медуза рассказывает то к кому приводят следы рассылки, не обязательно, что они же и атакой на сайт занимались, не вижу противоречий.

Ответить

Последовательный кот

Последовательный
0

Как правильно ставить запятые???? Я не учил русский

Ответить

Тайный хичхакер

Последовательный
2

Сообщение удалено

Ответить

Последовательный

Тайный
1

Согласен

Ответить
1

начни с количества вопросительных знаков в конце предложения

Ответить
0

Эта безграмотность меня оскорбляет, прошу администрацию принять меры

Ответить

Последовательный

Русский
0

@Максоний @кто это

Ответить
1

Не узнал?

Ответить
0

Я не знаю других имен «Русский»

Ответить
0

Никогда такого не было и вот опять.

Ответить
19

Достижение "Вас признали Иностранным агентом": ✔ Получено
Достижение "Вас признали Экстримистской организацией": В процессе выполнения

Ответить
10

Важное и своевременное расследование. Полагаю, после этого будет взрывная реакция общественности - возможны даже новые митинги. Власти уже подошли к краю - и похоже, вышли на финишную прямую. Скоро люди покажут. И это расследование будет началом.

Ответить

Дурацкий блик

12

Комментарий удален по просьбе пользователя

Ответить

Тайный хичхакер

Дурацкий
1

привет, депрессия

Ответить
1

Почему ливнул? 

Ответить
2

где информирование об иностранном агенте?

Ответить

Тайный хичхакер

ouxen
24

открывай двери тиже ебаный

Ответить
0

потом выходят с аймаками такие - "нормально обыскали"

Ответить
1

В пизду пусть идут со своим информированием.

Ответить
3

мы должны научиться действовать в рамках закона

Ответить
0

А они пока придумают, как эти рамки сузить ещë больше.

Ответить
0

в щелках законов

Ответить
3

Обожаю эти «Источники» они всегда у всех достоверные)))

Ответить
2

Некоторые жертвы слива потеряли работу, к другим пришли с проверками правоохранительные органы.

А кто-то писал подробности? Особенно про потерю работы было бы интересно почитать. 

Ответить
2

Да какой этот ГНИВЦ полусекретный? Довольно публичная контора, выполняющая ИТ разработки для ФНС - сайты госуслуги, налогру. Вообще в этом гнивц бардак полный, безопаности никакой, точнее есть её видимость, доступ ко всем базам может получить любой рядовой разработчик

Ответить

Тайный хичхакер

1

Дудин, забери меня с собой

Ответить
1

Там по быдловато-уебанскому стилю писем было понятно кто, ничего нового.

Ответить
0

На ТЖ теперь филиал медузы?

Ответить
2

Здрасте приехали
Ололвэйс хэз бин

Ответить
0

Тогда отписка

Ответить
0

Побыстрее, пожалуйста 

Ответить
0

Напишите дудину что он предатель

Ответить
0

Класс, поднимите руки кто буквально 4 месяца назад ссал кипятком от фильма Солодникова с медузой и Колпаком.
Остыли ваши струи, нда

Ответить
0

лучше бы данные психов сливали, которые в школы идут убивать

Ответить
0

Самара-городок, либеральная я
Слей меня

Ответить
Обсуждаемое
Новости
В Ирландии подготовили законопроект, по которому полиция сможет требовать пароли электронных устройств во время обыска
Отказ предоставить пароль будет считаться уголовным преступлением и наказываться сроком до пяти лет лишения свободы или штрафом до 30 тысяч евро.
Спорт
Российские болельщики радуются голу Украины. Видео из фан-зоны в Петербурге
Украина забила два гола, сравняв счёт с Нидерландами, но в итоге проиграла.
Новости
В Новосибирске взорвалась автозаправка. Ранены более 20 человек
Среди них — маленький ребёнок и двое сотрудников МЧС.
Популярное за три дня
Животные
Жители Горного Алтая случайно встретили котят краснокнижного манула — одной из самых скрытных кошек России
Животных не побеспокоили — люди сняли видео и ушли.
Спорт
В соцсетях восхищаются капитаном сборной Дании Симоном Кьёром — он первый помог потерявшему сознание на поле Эриксену
Кьёр сделал искусственное дыхание футболисту, выставил партнёров по команде в цепь и утешал жену игрока. Теперь его называют героем.
Спорт
Российские болельщики радуются голу Украины. Видео из фан-зоны в Петербурге
Украина забила два гола, сравняв счёт с Нидерландами, но в итоге проиграла.
Комментарии
null