🚨 Security Advisory: CVE-2025-68475

A ReDoS (Regular Expression Denial of Service) vulnerability has been discovered in Fedify's HTML parsing code. This vulnerability could allow a malicious federated server to cause denial of service by sending specially crafted HTML responses.

If you're running Fedify in production, please upgrade to one of the patched versions immediately.

For full details, see the security advisory: https://github.com/fedify-dev/fedify/security/advisories/GHSA-rchf-xwx2-hm93

Thank you to Yue (Knox) Liu for responsibly reporting this vulnerability.

#Fedify #ActivityPub #security #fediverse #fedidev

백엔드 개발자 입장에서는 Agent Skills 를 숙지해둘 필요가 있을 것 같다.

프로덕션에서 쓰면 당연히 안되겠지만, 로컬개발환경에서 데이터를 생성할때 데이터를 생성하는 과정 자체를 skills.md 에다가 xxx 목적으로는 이런 스크립트를 실행하면 된다같은 메뉴얼 비슷한 프롬프트를 먹여주면 자기가 알아서 서커스를 해준다.

python 기반의 어플리케이션이라면 아래와 같은 커맨드를 AI 에이전트가 직접 말아서 실행해준다.

$ poetry run python -c "
import json
from todo_app.models  import Todo

# Make incomplete todos as complete
todos = Todo.filter(is_completed=False)
todos.update(is_completed=True)

Ruby, Perl, Node 등등 어떤 런타임에서 돌아가도 상관없다. 몇몇 웹 프레임워크는 콘솔 기능이 내장되어 있어서 개발자 생산성에 유의미한 영향을 주기는 했지만, LLM 에이전트가 그 격차를 또 줄여주고 있는 것 같다.

어떤 데이터를 세팅하기 위해서 손으로 타이핑할 필요도 없고 LLM 에이전트가 그냥 가이드라인대로 자기가 스크립트를 짜고 직접 실행하게 하면 된다...

Docker compose로 띄우고 있다고? 그러면 이것도 LLM 에이전트가 이런식으로 서커스를 해준다.

cat script.rb | docker compose exec -T web rails runner -

리디에서 마크다운 이벤트를 할 때마다 **이 markdown**인 줄 알고 당황하는 사람

증명 가능한 조건을 만족하는지만 검사하면 되고 AST 국소 패턴만 다루는 것만 모델링 하면 되서 오히려 구현 자체는 간단해질 것 같음

I was wondering when browsers started calling the UI "chrome" (it's not a Google thing!)

Amazingly, the Firefox (then Mozilla) commit that introduced the "chrome" tree into the source code dates back to Sep 4, 1998... which is also the same day Google was founded!

https://github.com/mozilla-firefox/firefox/blob/e5e26170e19b2b601ef1fcddd8762c9e3bb11487/xpfc/chrome/Makefile

Edit: Netscape used the term much earlier though! Not as much in filenames, but in the actual source code it's all over the place.

아직 zed에서 작업에 사용 중인 언어를 인식하지 못하고 있기 때문에 익스텐션을 만들어야하나 고민 중

When code is more complex than it needs to be, its under-engineered, not over

Hackers' Pub @ Seoul 송년회에서 뵐게요! 낯을 좀 가리는 편이라 살짝 부끄럽네요 😹

간다! 코드를 생성하는 코드를 생성하는 코드

CLI 툴들 이것저것 써보니까 시간이 금방 지나간듯

이 참에 zed로 완전히 갈아탐. vscode는 너무 무거운 것 같음

왜요??????

역시 개발자도구가 필요하다... 아무리 그냥 클로드에게 일 시키기만 한다지만, width: 100%, height: 100%가 없어서 발생한 버그를 대충 하루동안 잡고 있었네...

[매장 홍보글 및 이벤트 안내]

안녕하세요 튜링의사과 입니다.🍏
2025년 마지막해를 위해 튜링의사과에서 제이웍스코리아와 함께 Mini 팝업을 진행하고있습니다.
BLACK APPLE - W (단 1주일)

간단한 SNS 이벤트 부터 럭키 draw 이벤트를 진행하고있으니 많은분들이 참여해주시면
다양한 상품을 제공해드리고있습니다.

추가로 방문만해도 굿즈 상품을 드리고 있으니 오셔서 경품기회도 놓치지 마시고
ASUS ROG 키보드, 체리 엑스트리파이, Kiiboom, 에포메이커, 글로리어스, 크리에이티브
인기 상품을 할인 판매 하고있습니다. 많은 관심부탁드립니다.

새 장비를 받았고 세팅을 다했다

We’re hiring! Looking for people who can write Windows kernel drivers. https://careers.theori.io/ko/o/191654

오늘 맞으면서 램 8기가 노드도 dnf 돌아가다 수틀리면 죽는다는 걸 배웠고요... 역시 스왑을 키는 방법뿐인거같다...

Zed 에디터 써보는 중인데 Git 연동이 좀 부실하다. 보통은 GitKraken이나 lazygit 등의 도구를 병행해서 쓰니까, 꼭 에디터에서 Git을 빵빵하게 지원해야하냐는 의문은 든다. 다만 Git의 특정 기능들은 에디터 연동이 불가피한데(diff 보기, conflict 해결하기 등), 이런거보면 에디터가 Git의 인터페이스가 되어야하는거 같기도하고 그렇다.

@2chanhaeng초무 더이상 앉아서 붐을 기다릴수 없습니다

@bglbgl gwyng 그래서 하스켈을 쓰고 싶은데... 하스켈 붐은 도대체 언제 올까요ㅠㅠ

@2chanhaeng초무 말씀하시는 것을 타입 이론에서는 principal type이라고 하고요, 다른 분들께서 언급하셨듯 Hindley-Milner 타입 시스템이 principal type을 항상 추론할 수 있긴 합니다만 여기에 이것 저것 더 붙이는 과정에서 principal type을 추론할 수 없게 되거나 추론 과정이 종료한다는 보장(decidability)이 사라지는 경우가 많습니다. (그러니까 H-M 기반이라고 항상 principal type이 가능한 것도 아니에요.) 그냥 이론적으로 어려운 문제이기 때문에 현실적인 타입 시스템에서는 이걸 포기하는 경우가 일반적이라고 생각하시면 될 듯 합니다.

It seems the time has come to seriously consider migrating to another platform like Codeberg...

But, GitHub is also another side to it, that's a Social Platform. This is getting in the way migrating to Codeberg.

😕 https://github.blog/changelog/2025-12-16-coming-soon-simpler-pricing-and-a-better-experience-for-github-actions/

오늘은 오랜 숙원이였던 리뷰 중 "invariant" 말하기를 달성했다

구현 중인 린터의 코드 수정 제안 기능에 부분적으로 한번 형식 증명을 적용해볼만 할 것 같기도 하다

incredible, github is going to start charging for self-hosted actions runners (in private repositories)

We are introducing a $0.002 per-minute Actions cloud platform charge for all Actions workflows across GitHub-hosted and self-hosted runners.

https://resources.github.com/actions/2026-pricing-changes-for-github-actions/

As someone who's been mass-mass-publishing to JSR since its early days, this has been really frustrating. I even set up a local JSR server to debug it, only to find that the problem simply doesn't exist locally. At this point I'm out of ideas—hoping the JSR team can take a look at the production environment.

https://hollo.social/@fedify/019b2806-9b0b-7982-bad6-eb17c669af4d

We've been struggling with a JSR publishing issue for nearly two months now—@fedify/cli and @fedify/testing packages hang indefinitely during the server-side processing stage, blocking our releases. Strangely, the problem doesn't reproduce on a local JSR server at all.

We've opened a GitHub issue to track this: https://github.com/jsr-io/jsr/issues/1238.

Fedify has been a Deno-first, JSR-first project from the start, and we really want to keep it that way. If you've experienced similar issues or have any insights, we'd appreciate your input on the issue.

이제 C#, .NET에서도 아무런 외부 종속성 없이 곧바로 HWP 파일을 읽고 쓸 수 있게 되었습니다.

Java 버전의 hwplib을 .NET으로 AI 코드 어시스턴트의 도움을 받아 성공적으로 포팅한 HwpLibSharp 1.7.1-preview.1을 출시합니다.

많이 사용해보시고 피드백 주시면 감사하겠습니다!

https://forum.dotnetdev.kr/t/hwplibsharp-1-1-7-preview1/14149

내 로컬에서는 됐는데. 라는 말을 20년 넘게 사용할 줄, 20년전의 나는 (당연히) 몰랐겠지. #중년의개발자

안드로이드 웹브라우저에 개발자도구 연결 못하던 시절에 js넣어서 원격지에서 디버깅 가능했는데 (이것도 안돌아가는 더 구버전 브라우저는 GG) 그런게 2025년에 다시 쓰고 싶어지다니...

웹브라우저 개발자도구 없이 개발하는 무리수를 계속 던지고 있는데 진짜 아이패드에서 할 수 없나...?

매일마다 찬양과 폄하를 오가는 오라클 클라우드

오늘의 찬양: NLB(L4 로드밸런서)도 무료 배스쳔(퍼블릭 IP가 없는 인스턴스 접속을 위한 SSH 터널링)도 무료

오늘의 폄하: 블록볼륨 최소사이즈가 50GB인게 말이되냐!! 기본 오라클리눅스 dnf를 램 4기가 이하 인스턴스에서 돌리면 메모리만 전부 잡아먹고 스스로 OOMKill은 안시켜서 인스턴스가 죽는게 말이되냐!!!

아무생각 없이 1:1 면담하러 갔다가, 갑작스럽게 연봉이 인상되어서 돌아 옴

오랜만에 인사드립니다. 새 직장에 들어간지 한달 반정도 됐어요. 잘 적응하고 있는 것 같습니다. 생각보다 c++는 공부하는 재미가 있는 언어였어요. 템플릿 활용하고 메모리 잘 관리해주는데서 은근히 뭐랄까 쾌감이 오는군요...

Nushell 반나절동안 썼는데, 지금까지 문제는... 그 리치한 기능을 전혀 안 썼다는것이다. 그래서 단지 zsh와 비교해 익숙하지않음+플러그인부족에서 기인한 불편함만 체험하고 말았다.

https://github.com/sonohoshi/sonomemo 최근에는 바이브코딩을 좀 해봤고, 제가 쓸 메모용 앱을 만들어봤습니다. 만들었다고 하는게 맞나? 바이브코딩이라는거 재밌더라고요. 사실 당연한 것 같습니다. 코딩에서 오는 아이디어 구현과 결과물이 나오는 재미는 취하고, 디버그하고 버그 잡는 힘든 일은 LLM이 해주는데 당연히 재미있겠죠. 어쨌거나 이 행위에 맛들려서 Rust 코드는 어떻게 쓰는지 볼 겸, 터미널 기반의 메모용 앱을 만들었습니다. 제가 쓰려고 만들었는데 생각보다 쓰는 트친들이 많이 생겨서 여기에도 올려봐요. 감사합니다.

最近、社内の（自社）メッセンジャーの利用をやめ、Discord を主な協業ツールとして活用している。 Webhook 用のチャンネルが一つずつ増えるにつれて活用度と満足度も高まり、全体としてかなりうまく使えていると感じている。

Slack も優れたツールではあるが、無料プランでは90日を過ぎたメッセージを確認できない点がやや残念だ。そのため、現時点の会社の状況で、Discord よりも Slack を有料で使うだけの明確なメリットがあるかというと、正直なところ判断が難しい。

一方で悩ましいのは、社外、とくに大企業の顧客との協業において、Discord を公式な協業ツールとして提案しづらい点である。ゲーミング向けメッセンジャーというイメージが依然として強く、積極的に推し出すには少し躊躇してしまう。

とはいえ、オープンソースや開発者向けのコミュニティでは、以前から Discord がかなり活発に使われている印象もある。(これは、ひとまず韓国に限った話かもしれない。)

@2chanhaeng초무 하스켈 있음다..

아이폰 사파리 리액트 웹앱에서 모달창을 띄워 유튜브를 재생하는데 10여분이 지나면 갑자기 닫혀 버립니다.(PC는 정상) 닫히는 순간 사파리 상단에 알림창이 아주 찰나에 떴다 사라집니다. 맥북 개발자 툴에 붙여 확인했는데 별다른 로그도 안남고, 찰나에 사라진 메시지가 뭔지도 알 수가 없네요.

10분동안 재생된 영상 3~4개인데, 캐시가 얼마 되지 않아 메모리 이슈는 아니지 않을까 하는데요. 언젠가 앱개발도 손대야 할지 모르는데, 살짝 겁납니다. 디버깅 방법이 뭐가 좋을까요?

https://photo.perlmint.app/view/a2840d13-81ba-43df-a5a5-c2b1a7dad83e 360 파노라마 이미지 공유용으로 만들어보고 있는데, 이미지 리사이즈, 변환하면 알 수 없는 노이즈가 생긴다... 아이패드 + 원격이라 제대로 된 원인 분석은 나중으로 미루는 중

닷넷으로도 HWP 파일을 처리할 수 있는 라이브러리를 만들 수 있지 않을까 하는 오랜 과업 (?)을 생성형 AI, 그리고 훌륭한 Java 버전의 구현체를 만들어주신 neolord0 님의 컨트리뷰션을 바탕으로 .NET 10용 프로젝트를 착수하게 되었습니다.

현재 테스트 통과율은 40~50% 수준이지만, 일단 모든 코드를 기계적으로 포팅시켜서 시작점을 만들었다는 것만 해도 기쁘게 생각하고 있습니다.

이 일을 가능하게 도움주시고 지금도 꾸준히 커밋을 관리해주고 계신 neolord0님께 다시 한 번 깊은 감사, 경의, 그리고 존경을 표합니다.

https://github.com/rkttu/libhwpsharp

언제까지 (a:number, b:number) => a + b, (a:string, b:string) => a + b, <T>(a: T, b: T) => a + b 를 해줘야 하나고
그냥 대충 눈치껏 (a, b) => a + b 하면 'b 는 a 와 더할 수 있어야 하는 타입이고 a 는 무언가와 더할 수 있는 타입이구나' 하고 추론할 수 있는 분석기가 달린 언어가 필요함

문맥적으로 알아서 어떤 타입이어야 하는지 추론해주는 정적 분석기가 달린 언어는 없나

LogTape 1.3.0 is out!

This release brings official middleware for Express, Fastify, Hono, and Koa with Morgan-compatible formats, plus Drizzle ORM integration for database query logging.

For SDK authors: the new withCategoryPrefix() lets you wrap internal library logs under your own category—so users only need to configure logging for your package, not every dependency you use internally.

Also: OpenTelemetry now supports gRPC and HTTP/Protobuf protocols, and the Sentry sink gained automatic trace correlation and breadcrumbs.

https://github.com/dahlia/logtape/discussions/109

부서에 퇴직 메일을 돌렸다. 마지막 출근일이라니... 싱숭생숭하다.