В этом году я хочу чаще благополучно переживать чувство нарциссической уязвленности. Так мне посоветовали карты Таро, я поморщила нос, сжала губы и кивнула: «Ладно, походу это правда».
Подождите, не пролистывайте, я не продаю расклады и гадания, это просто подводка к теме такая (уж какая есть, все грешны).
О нарциссизме можно говорить много и по-разному, я вот сейчас про тот, что присутствует базово в каждом человеке, от мала до велика. Про здравое желание чувствовать себя полноценным, адекватным, хорошим, правильным, успешным, умным, привлекательным, интересным и т.д. и т.п. Быть удовлетворенным собой. Быть достаточным.
Соответственно, нарциссическая уязвленность – это ощущение себя не таким уж и достаточным. Не очень-то знающим, не очень-то привлекательным, не очень-то успешным. «Фигня вопрос чувствовать себя таким образом!», - скажете вы. И я соглашусь, но отмечу, что суть именно в «благополучном» переживании.
Благополучно – значит без необходимости особенно сильно защищаться от этих чувств. А защищаться не приходится там, где ситуация незнания, неумелости, непривлекательности переживается как конкретный эпизод в специфическом контексте, а не становится общим знаменателем для всей жизни и личности целиком.
Проще говоря: если я пробую заниматься чем-то новым, то неизбежно ошибаюсь, испытываю нехватку знаний и опыта, чувствую неуверенность и волнуюсь. Но это – не характеристика моей личности (я не "просто тупой неловкий потеющий олух"). Это конкретный контекст, в котором у меня уязвимости больше, чем в других сферах жизни.
Когда ситуация нарциссической уязвленности проецируется на жизнь в целом, возникает ощущение себя глобально плохого. Внутренний голос становится особенно критичным и жестоким. Это яростная внутренняя буря.
Если ресурсов для благополучного проживания нарциссической уязвленности не хватает, эти ситуации начинают избегаться как ситуации, угрожающие благополучию и целостности Я. Короче говоря, зону комфорта покидать становится очень сложно. Возможности для изучения нового и самореализации игнорируются и обесцениваются: «Да что мне это даст! Это никому не нужно! Пустая трата времени!».
Нарциссическая уязвленность – состояние неизбежное и закономерное, когда ты живой человек, не стоишь на месте и учишься новому. А если что-то новое по совместительству еще и что-то сложное (как получение профессии, изучение навыка игры на музыкальном инструменте, иностранного языка, развитие физической формы и т.д.), то в том или ином виде уязвимым (что-то не знать, в чем-то не иметь опыта, ошибаться) можно оставаться неделями, месяцами и даже годами. И это нормально, с этим живут!
✨🌈 Общем, всем (и себе) желаю ресурсов переживать нарциссическую уязвленность благополучно, отделяя конкретные ситуации от жизни в целом, разделяя свою личность и самоценность от своих навыков и возможности выполнять какую-то задачу на каком-то уровне 🌈 ✨ ________________________________ У меня есть телеграм-канал, где я не только говорю о сложном, но и радуюсь книжкам, рассказываю о впечатлениях от жизни и общаюсь с подписчиками в комментариях. Присоединяйтесь, даже если все «ну в целом нормально» - контакт психолога лучше сохранить!
Интересует мнение грамотных людей. В конторе заюзали онлайн тулзу https://unionaviation.centrik.net/ для заливки всяких персональных данных итд итп. На вопрос а тулза секюрная? Ктото проверял ее? Отвели в уголок и тихонько наказали, мол не задавай групых вопросов, там все мега секюрно на столько что даже двухфакторки не нужно. Но меня терзают смутные сомнение по данной теме. Интересует мнение со стороны.
В этом выпуске: 00:00 Начало 00:25 Как обмануть Windows 02:08 Intel, Samsung, TSMC и гонка за 2 нм 05:05 Почему обленился ChatGPT 07:28 Будущее видеоигр 08:56 Техника для тех, кто ценит качество 12:25 Нейросети и тайна частной жизни
Труд – прилюдная мастурбация, унижение себя на глазах многочисленных свидетелей. Смена одного труда на другой – смена поз, в которых вас имеют во все дыры (во все уязвимости). Собственно, весь труд только в том и заключается, что вы меняете позу, в которой вас имеют. Вы подставляете то одну уязвимость, то другую. Никакого другого труда в любом вашем "труде" нет.
В этом смысле достойно уважения только ничего-не-делание. Именно поэтому «бог» никогда и ни при каких обстоятельствах трудом не занимается. «Аллах акбар» - он всевышний, который всех трахает (всех видит), но никто не трахает (не видит) его. Почему? Уважают за ничегонеделание, за безделье, за лень, за отсутствие на этом свете, за неучастие в той чудовищно безобразной, отвратительной оргии, вакханалии, которая творится на Земле.
Трудящий-ся (=унижающий сам себя) никакого отдыха не заслуживает. Именно поэтому, начав трудиться (=начав "половую жизнь"), человек не может остановиться и пере-дохнуть (с-дохнуть). Ему приходится "жить" (=мастурбировать) вечно, ни на миг не останавливаясь. Ведь "промедление (в труде) смерти подобно".
«И вечный бой! Покой нам только снится Сквозь кровь и пыль... Летит, летит степная кобылица И мнет ковыль... * И нет конца! Мелькают версты, кручи... Останови! Идут, идут испуганные тучи, Закат в крови! Закат в крови! Из сердца кровь струится! Плачь, сердце, плачь... Покоя нет! Степная кобылица Несется вскачь!..»
Таким образом, человек трудится только потому, что боится "смерти" - боится ничего не делать. Человек трудится только в той мере, в какой "грешен" перед "богом". Человек трудом (=унижением перед "богом") пытается искупить грехи, но только ещё сильнее погрязает в грехах - в труде. Труд засасывает человека в "погибель", как зыбучие пески.
"5 стадий принятия неизбежного"
Все унижающиеся (=унижающие себя "трудом") перед "богом" (=перед "смертью") достойны только одной награды - мучительного "умирания" в страшных муках (=достойны вечной "жизни" в аду). И эта награда - сам труд и есть. "Око за око", труд за труд. "Терпение и труд всё пере-труД".
«Взгляните на птиц небесных: они ни сеют, ни жнут, ни собирают в житницы; и Отец ваш Небесный питает их. Вы не гораздо ли лучше их?»
Человек "трудится" только назло "богу". Абсолютно никакой нужды ни в каком труде нет. Человек трудится только из гордости, гордыни. Хочет показать "богу", что он тоже "не лыком шит".
Редчайший горал зафиксирован в национальном парке «Земля леопарда» (Приморский край).
На редких кадрах животное из подсемейства козлиных семейства полорогих настороженно крадётся по каменистой возвышенности национального парка, после чего «вприпрыжку» покидает место съёмки.
За одиннадцать лет работы нацпарка это лишь девятая фиксация скрытного копытного на фотоловушку. Более того, запечатлённая автоматической камерой особь ранее не регистрировалась учёными.
Специалисты выяснили это благодаря индивидуальной особенности всех горалов: этих животных можно различить по уникальной форме рогов, неповторимой, как отпечаток пальца у человека. Таким образом, учёные смогут установить численность этого редкого животного.
Амурский горал – чрезвычайно редкое животное как в России, так и во всём мире. Вид внесён в Международную красную книгу как «Уязвимый». Во всем мире, предположительно, всего около 1500 особей. Российская популяция разделена на мелкие группы, одна из которых обитает на «Земле леопарда».
Найти уязвимость в процессоре — это сильно. Но именно это случилось в середине 2017 года — появилась уязвимость Meltdown, теоретически открывающая доступ к системной памяти. Позже появилась и Spectre, более сложная, но теоретически позволяющая забраться в память другой программы. Поскольку теоретически уязвимы все, шума было много, но нет данных о реальном использовании этих уязвимостей.
Эмблемы уязвимостей Meltdown и Spectre
Извлечением разведывательных данных из открытых каналов шпионы занимались давно. С 2022 очень многие умеют сопоставлять снимки местности с гуглокартами (я не умею). И потому считается, что любое военное фото и видео лучше выкладывать несколько дней спустя, когда извлечённая информация будет неактуальной. И именно это — утечка данных через открытый канал — случилось почти со всеми x86. К Meltdown были уязвимы все Intel начиная с Core, к Spectre — вообще все.
Вкратце о виртуальной памяти. Появилась на процессоре 80386 (1985), даёт каждой программе подобие выделенного процессора с 4 гигабайтами памяти (если процессор 32-битный). Таблицы преобразования из виртуальных адресов памяти (доступных программисту) в физические (какая ячейка ОЗУ) находятся всё в том же медленном ОЗУ.
Приблизительное устройство виртуальной памяти
Программе иногда приходится обращаться к функциям ОС — например, чтобы получить имя текущего пользователя. Эта функция обязана обращаться и к системной памяти (там находится имя), и к пользовательской (чтобы скопировать имя туда). Решено это так: часть системной памяти внесена в виртуальную память программы, но доступ к ней разрешён только из системных функций. Именно эту память, которую «видит око, да зуб неймёт», читает Meltdown. Отсюда название — эта уязвимость «плавит» границы памяти.
Закон дырявых абстракций
Чтобы прочитать эту память, нужны определённые технологии процессора.
Чтобы поменьше обращаться к медленному ОЗУ, у процессора есть быстрая маленькая кэш-память. У современных процессоров есть три уровня кэш-памяти, нас интересует кэш 1-го уровня (ближайший к процессору, несколько килобайт объёмом, работает не с физическими адресами памяти, а с виртуальными).
Процессор умеет выполнять операции наперёд. Но в любой программе есть команды ветвления — скажем, «если D<0, то уравнение решения не имеет, иначе корни такие-то». Все современные x86 ещё до того, как вычислят D, пробуют пройти по одной из веток (а то и по обеим).
При этом процессор не знает наперёд, имеет ли он право выполнять эту операцию: для этого надо заглядывать в таблицы преобразования, а они если не в оперативной памяти, то в особом кэше преобразования адресов, который сидит между 1-м и 2-м уровнями. Так что просто выполняет — а потом уже разбирает, имеет ли он право это делать.
Для высокоточного отсчёта времени (для мультимедиа, игр и прочего) в процессоре есть счётчик тактов.
Джоэль Спольский придумал так называемый «закон дырявых абстракций». Звучит он примерно так:
Если за простым фасадом сложная технология, тонкости этой технологии будут вылезать наружу.
Вот пример из автомобилей: чтобы машина с ДВС умела стоять, а также ездить на разных скоростях в разных режимах мотора, к двигателю приделана коробка передач. Переключать её — дело неблагодарное, и в околовоенные годы придумали автоматическую коробку. Удобно — нажал-поехал — но то, что за всем этим старые добрые мотор и коробка, вылезает сплошь и рядом.
Дисклеймер: я о традиционной коробке типа «гидроавтомат» без электронных помощников. Да простят меня обладатели вариаторов и роботов.
ДВС не умеет стоять: коленвал остановился — двигатель заглох. А поскольку в автомате вместо сцепления две турбины, автоматическая машина всегда ползёт, если недостаточно сильно давить на тормоз.
Чем выше оказалась случайно стрелка тахометра в момент T, тем лучше тянет машина, если резко нажать газ.
А если нужно разогнаться максимально резко — дай коробке время переключиться, чтобы тахометр ушёл в 4000+ об/мин.
Ну и целая куча тонкостей в сложных и экстремальных режимах езды.
Как работает Meltdown
Есть очень длинный массив, больше, чем кэш-память. Скажем, на 1001 позицию — от 0 до 1000. Программа будет такая.
Сбросить кэш-память
Если некое условие (гарантированно не выполняющееся)
……Считать число из запретного адреса
……Извлечь из числа один бит (то есть 0 или 1)
……Загрузить из массива элемент № (бит·1000) — то есть № 0 или № 1000
Иначе
……Загрузить из массива элемент № 0, измерить время доступа
……Загрузить из массива элемент № 1000, измерить время доступа
Условие гарантированно не выполняется, но надо заставить процессор пройти наперёд именно по первой ветке — и он выполняет её наперёд, не зная, что адрес запретный. Заодно перекидывая элемент № 0 или № 1000 в кэш. Массив длинный, оба сразу в кэш не попадут.
Если из запретного адреса считан 0, доступ к элементу № 0 будет быстрым (он в кэше), а к элементу № 1000 — медленный. И наоборот.
И так бит за битом читают запретную память.
Spectre
Сбросить кэш-память
Если некое условие (гарантированно не выполняющееся, с доступом к ОЗУ)
……Считать число из адреса, совпадающего с виртуальным адресом жертвы
……Извлечь из числа один бит (то есть 0 или 1)
……Загрузить из массива элемент № (бит·1000) — то есть № 0 или № 1000
Иначе
……Загрузить из массива элемент № 0, измерить время доступа
……Загрузить из массива элемент № 1000, измерить время доступа
Самый известный вариант Spectre очень похож на Meltdown, и главная разница такова: а) мы хотим получить доступ к памяти другой (атакуемой) программы, и мы знаем желаемый адрес в её виртуальной памяти; б) атакуемая программа постоянно имеет дело с этим адресом — и потому секретный байт в кэше (напоминаю, кэш 1-го уровня имеет дело с виртуальными адресами); в) «некое условие» вычисляется по формулам, требующим доступа к ОЗУ; г) запретный адрес тоже вычисляется по формулам, но более простым и быстрым.
Следите за руками. Не видя способа быстро рассчитать условие, процессор начинает наперёд крутить ветку «то». Вычисляет адрес, считывает из него число, а пока оно ползёт из ОЗУ, пробует прокрутить следующие шаги с тем числом, что завалялось в кэше . Число из ОЗУ не успеет прийти («если некое условие» будет вычислено раньше), но эти шаги, опять-таки, приведут к тому, что либо № 0, либо № 1000 будет закэширован и доступ к одному будет быстрый, а к другому — нет.
Название Spectre («призрак») происходит из-за крайней сложности ошибки (уязвимы почти все x86, программно не закрывается, и ожидалось, что она ещё некоторое время будет преследовать) и технологии «выполнение наперёд» (speculative execution).
К чему это привело
Разработчики ОС экстренно закрыли Meltdown так. Сделали две таблицы преобразования адресов: одну сокращённую для программы, другую полную для системных функций. Это несколько замедлило систему, но закрыло уязвимость. В дальнейшем её закрыли на уровне процессоров и забыли.
Разработчики браузеров внесли свою лепту — дело в том, что в современном браузере JavaScript частично компилируется в машинный код! И они подкорректировали компиляцию так, чтобы шансы на удачную эксплуатацию были минимальны.
Больше всего напряглись провайдеры виртуальных машин и контейнерных служб (Microsoft Azure и прочие) — они-то и напрягли производителей процессоров. И виртуальная машина, и контейнер позволяют запускать любой машинный код в изолированной среде (например, чтобы сделать нестандартный или высоконагруженный сервер), но в виртуальной машине ядро ОС отдельное, а в контейнере — общее на все контейнеры.
Spectre в 2018 начали понемногу прикрывать на уровне процессора. В 2021 году появилась информация о новой версии Spectre, к которой якобы уязвимы даже те процессоры, что закрыли в 2018.
Поскольку среднестатистический «кулхацкер» довольно туп, код из статей про Spectre быстро стал ловиться антивирусами. Но в любом случае ничего не известно о реальной эксплуатации ошибки.
Начать стоит с того что я занимаюсь P2P трейдингом криптовалюты и в один из дней создал сделку на продажу моей криптовалюты скупщику в разделе P2P на бирже бинанс на сумму 74 тысячи 501 рубль, в качестве платежного средства я указал карту и номер телефона райфайзен банка, скрин сделки и чек отправления предоставляю ниже.
Та самая сделка у которой в данный момент идет аппеляция.
Обратите внимание что инициалы в чеке указаны мои инициалы
Когда я проверил счет райфайзена там было пусто, на мой вопрос отправителю где деньги оказалось что вместо райфайзена он отправил деньги на мой тинькофф по номеру телефона. Так как у меня еще в 2021 году с тинькофф расторгнут договор я сообщил об этом отправителю и открыл аппеляцию, после предоставления всех доказательств служба поддержки бинанс отвечает отправителю о необходимости отмены платежа, что отправитель в последствии и сделал:
Уважаемый покупатель, поскольку у продавца возникли проблемы со своим банком, мы любезно рекомендуем вам запросить возврат платежа в вашем банке. Пожалуйста, свяжитесь с вашим банком и подтвердите возврат через 12 часов.
Мне стало интересно почему же деньги отправителя ушли и не вернулись обратно как должны и я написал в службу поддержки тинькофф у них на сайте, на что консультант сначала не могла найти пополнение, но затем все таки нашла, но сообщила что деньги упали на счет карты тинькофф джуниор.
Вот здесь они пытаются найти платеж, но так как деньги в итоге упали даже не мне естественно найти его не могут
А вот здесь платеж все таки нашли но исходя из скрина видно что деньги упали на карту тинькофф джуниор
Так как в личный кабинет тинькофф банка я не заходил с момента расторжения договора то очень удивился узнав о том что у меня открыта карта тинькофф джуниор, хотя бы потому что мне уже больше 18 лет и детей на которых я мог бы ее оформить тем более, на что в ходе диалога получил ответ что данная карта принадлежит другому лицу, поэтому я ничего с этими деньгами сделать не могу тк карта привязана к другому счету.
Так же прикладываю скриншот pdf документа о том что договор со мной расторгнут в 2021 году и выписку о движении средств за последний месяц в которой видно что никаких пополнений на мой счет не было, по запросу готов предоставить все оригиналы.
Выписка о движении средств в которой видно что никаких пополнений не было на мое имя
Выписка о том что договор со мной расторгнут
Далее по этой ситуации составляется несколько обращений в одном из которых мне приходит ответ о том что существует некоторая схема мошенников в которой мошенник оформляет на номер телефона жертвы карту тинькофф джуниор и когда жертве отправляют деньги они зачисляются не на счет жертвы а на счет мошенника на карту тинькоф джуниор которую мошенник оформил ранее.
Так же я решил проверить совпадают ли инициалы при отправке но уже через сбербанк, так же ввел свой номер но вместо Дмитрий М увидел совсем другие инициалы.
В конечном итоге отправителю сказали что деньги не вернут и чтобы он обращался в полицию/cуд, мне удалили/заблокировали личный кабинет да так что я не могу посмотреть обращения свои и даже историю общения с поддержкой. Получается что любой желающий без каких либо подтверждений может привязать тинькоф джуниор к чужому номеру и таким образом присваивать деньги себе, либо делать что-то еще хуже так как в чеке и прочей документации отображается фамилия и имя жертвы а не мошенника с картой тинькофф джуниор. Дело застопорилось и никто не спешит его решать.
Так же прикладываю видео разговора с поддержкой банка которое мне прислал отправитель средств.
Так же прикладываю ответы банка с другого ресурcа:
Тоесть если вы где либо засветите номер то не спасет уже ничего
Пост пишу не рейтинга ради а предупредить людей об этой ситуации.
Для этого нам потребуется предварительно установить несколько утилит на языке GO (ну и соответсвенно сам GO тоже должен быть установлен).
В роли краулера утилита - gospider, представляющая собой веб-краулер для быстрого сбора URL-адресов, связанных с сайтом.
Вторая - qsreplace. Она принимает на вход URL-адреса и заменяет все значения строки запроса на значение, указанное пользователем.
Третья - dalfox. Это производительный и быстрый инструмент для анализа параметров запроса и выявления различных типов XSS и других базовых уязвимостей.
После установки необходимо заменить строку https://example.com на адрес тестируемого сайта и выполнить команду:
Мы постарались сделать каждый город, с которого начинается еженедельный заед в нашей новой игре, по-настоящему уникальным. Оценить можно на странице совместной игры Torero и Пикабу.