BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...
В актуальной версии vBulletin обнаружена критическая 0-day Анонимный ИБ-исследователь выложил в открытый доступ PoC для уязвимости нулевого дня в CMS vBulletin, позволяющей взламывать интернет-форумы и похищать данные участников. Эксперты опасаются грядущей волны кибератак, от которых могут пострадать сотни миллионов пользователей. ...
ТОП-10 уязвимостей IoT-устройств К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей. В среднем между временем подключения...
Стали известны детали обнаруженной в Lightning Network уязвимости Разработчик Blockstream Расти Рассел раскрыл более подробную информацию об уязвимости в сети Lightning Network, о которой впервые стало известно в конце августа. ICYMI: Here are all the details of the recent Lightning bug. https://t.co/NVzKmGW5I6 — TheRustyTwit (@rusty_twit)...
Обновленная брешь POODLE угрожает тысячам веб-ресурсов Специалист компании Tripwire Крейг Янг (Craig Young) повысил вредоносный потенциал уязвимости POODLE. По словам исследователя, даже спустя пять лет после обнаружения угроза актуальна для множества организаций по всему миру, а предложенные им методы ускоряют атаку и повышают ...
Часть 4. Карьера программиста. Junior. Заход во фриланс Продолжение рассказа «Карьера программиста». Смеркалось. И прямо, и косвенно. Я с большим усердием искал работу программистом, но не было никаких вариантов. В моем городе было 2-3 объявления на 1С-разработчика плюс, редкий случай, когда требовались преподаватели курсов прог...
[По докам] Flutter. Часть 1. Для Android разработчиков Про Flutter написано уже много статей. С каждым месяцем он становится всё популярнее. Поэтому я решил интерпретировать официальную документацию Flutter в лаконичный формат «вопрос — ответ». Думаю, многие, как и я, не имеют достаточно свободного времени для подробного изучени...
СПДС GraphiCS — фасадная и кровельная система Предлагаем вашему вниманию статью «СПДС GraphiCS — фасадная и кровельная система», написанную руководителем проектной группы ООО «Фронтсайд» Воробьевой Ириной Александровной. «СПДС GraphiCS — фасадная и кровельная система» — специализированное программное обеспечение, авт...
Чем искать уязвимости веб-приложений: сравниваем восемь популярных сканеров Сканеры веб-приложений — довольно популярная сегодня категория софта. Есть платные сканеры, есть бесплатные. У каждого из них свой набор параметров и уязвимостей, возможных для обнаружения. Некоторые ограничиваются только теми, что публикуются в OWASP Top Ten (Open Web Appli...
Flutter: локализация приложений средствами Android Studio Про локализацию (интернационализацию) приложений Flutter написано уже достаточно много. Официальная документация довольно подробно останавливается на этом вопросе, кроме этого ряд энтузиастов описывает самые различные подходы. Эта статья не претендует на полноту охвата вопр...
[Из песочницы] Свой mapper или немного про ExpressionTrees Сегодня мы поговорим про то, как написать свой AutoMapper. Да, мне бы очень хотелось рассказать вам об этом, но я не смогу. Дело в том, что подобные решения очень большие, имеют историю проб и ошибок, а также прошли долгий путь применения. Я лишь могу дать понимание того, ...
Как мы оценивали качество документации Привет, Хабр! Меня зовут Леша, я системный аналитик одной из продуктовых команд Альфа-Банка. Сейчас я занимаюсь развитием нового интернет-банка для юридических лиц и индивидуальных предпринимателей. А когда ты аналитик, тем более в подобном канале, без документации и плотно...
В свободной продаже появился эксплойт BlueKeep ИБ-компания Immunity включила эксплойт для уязвимости BlueKeep в состав своего пентест-набора CANVAS. Программный продукт продается без ограничений, стоит несколько тысяч долларов и его могут купить злоумышленники для использования в кибератаках. ИБ-специалисты отмечают, что...
Security Week 22: статистика угроз, банковские трояны и популярные эксплойты На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплу...
Docker + Laravel = ❤ // Часть 2 Данный пост написан по заявкам трудящихся, которые с завидной периодичностью спрашивают о том "Как запустить Illuminate / Symfony / MyOwnPsr7 приложение в докере". Давать ссылку на ранее написанный пост уже не хочется, так как взгляды относительно того, как следует решать п...
Security Week 08: взлом VFEMail в прямом эфире Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон по...
Аналитики нашли более 100 эксплойтов для уязвимости в WinRAR Аналитики компании McAfee опубликовали отчет, согласно которому злоумышленники активно эксплуатируют брешь в архиваторе WinRAR. Первую вредоносную кампанию специалисты обнаружили уже через несколько дней после появления информации о баге. С тех пор исследователи насчитали бо...
[Перевод] Типы для HTTP-API, написанных на Python: опыт Instagram Сегодня мы публикуем второй материал из цикла, посвящённого использованию Python в Instagram. В прошлый раз речь шла проверке типов серверного кода Instagram. Сервер представляет собой монолит, написанный на Python. Он состоит из нескольких миллионов строк кода и имеет неско...
[Из песочницы] Инициализация и работа интерпретатора байткода в JVM HotSpot под x86 Почти каждый Java разработчик знает, что программы, написанные на языке Java изначально компилируются в JVM-байткод и хранятся в виде class-файлов стандартизованного формата. После попадания таких class-файлов внутрь виртуальной машины и пока до них еще не успел добраться ко...
Уязвимость в Apache Solr позволяет выполнить сторонний код Ошибка в коде поискового движка Apache Solr, открывавшая доступ к порту 8983, оказалась опаснее, чем предполагалось ранее. За последний месяц в Сети появились два PoC-эксплойта, которые позволяют не только прочитать данные мониторинга системы, но и удаленно выполнить вредоно...
Эксплойт-паки все еще актуальны как угроза Исследователи из Zscaler опубликовали результаты наблюдения активности, ассоциируемой с эксплойт-паками, в период с 15 октября 2018 года по 15 января 2019-го. Согласно новым данным, набор эксплойтов RIG стал меньше проявлять себя, хотя все еще удерживает лидирующие позиции. ...
В приложении «Блокнот» обнаружена RCE-уязвимость Исследователь безопасности Тавис Орманди, который является частью команды Google Project Zero, уже находил раньше некоторые серьезные ошибки и угрозы. На этот раз он обнаружил новую уязвимость нулевого дня в приложении «Блокнот», которая затрагивает пользователей операционно...
[Перевод] Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик Автор статьи, перевод которой мы сегодня публикуем, говорит, что React — это её любимая библиотека для создания интерактивных интерфейсов. React одновременно и лёгок в использовании, и достаточно хорошо защищён. Однако это не значит, что React-приложения совершенно неуязвимы...
Распределенное логирование и трассировка для микросервисов Логирование — важная часть любого приложения. Любая система логирования проходит три основных шага эволюции. Первый — вывод на консоль, второй — запись логов в файл и появление фреймворка для структурированного логирования, и третий — распределенное логирование или сбор лого...
Исследователи рассказали об уязвимостях в 26 PoS-криптовалютах Эксперты из Иллинойского университета в Урбане-Шампейне рассказали об атаке Fake Stake, которая представляет угрозу для 26 proof-of-stake криптовалют.
Распознавание объектов в режиме реального времени на iOS с помощью YOLOv3 Всем привет! В данной статье мы напишем небольшую программу для решения задачи детектирования и распознавания объектов (object detection) в режиме реального времени. Программа будет написана на языке программирования Swift под платформу iOS. Для детектирования объектов буд...
Security Week 17: атаки по цепи поставок В начале апреля мы обсуждали атаку ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют довере...
Уникальный калькулятор MyScript Calculator 2 доступен на iOS и Android бесплатно Разработчики приложения MyScript Calculator 2 сделали все для того, чтобы сделать процесс решения примеров и уравнений максимально простым и интуитивным. Вместо того, чтобы выбирать нужные цифры и знаки на виртуальной клавиатуре, вам достаточно просто написать пальцем,...
Принимаем участие в недавнем Telegram Contest, пишем крутое OpenGL ES приложение и выигрываем ничего Забегая вперед, хотелось бы обратить внимание на сумбурную ситуацию с победителем первого этапа конкурса. Победитель забрал 50К американских президентов. НО, был как минимум, еще один разработчик, который написал идентичное приложение и не был никак вознагражден. Он даже по...
Как мы обучили нейронную сеть классифицировать шурупы Нейронная сеть может опознать котика на фотографии, найти диван, улучшить видеозапись, нарисовать картинку из щенят или простого наброска. К этому мы уже привыкли. Новости о нейросетях появляются почти каждый день и стали обыденными. Компании Grid Dynamics поставили задачу н...
Эксперты обнаружили уязвимости в трех VR-платформах ИБ-исследователи Алекс Радоча (Alex Radocea) и Филип Петтерссон (Philip Pettersson) на конференции REcon рассказали об уязвимостях удаленного исполнения кода в платформах виртуальной реальности Steam VR, High Fidelity и VRChat. По их словам, обнаруженные дыры открывали возмо...
Анализ кода ROOT — фреймворка для анализа данных научных исследований Пока в Стокгольме проходила 118-я Нобелевская неделя, в офисе разработки статического анализатора кода PVS-Studio готовился обзор кода проекта ROOT, используемого в научных исследованиях для обработки больших данных. Премию за такой код, конечно, не дашь, а вот подробный обз...
Application Security Manager. Разработчик или безопасник? Большинство успешных атак организации реализуется через уязвимости и закладки в софте. К счастью, сканер уязвимостей ПО уже рассматривается компаниями не как что-то экзотическое, а как необходимый элемент инфраструктуры защиты. Если при небольших объемах разработки можно исп...
Can I haz? Ударим программированием на типах по дженерикам Привет, Хабр. В прошлый раз мы описали Has-паттерн, обрисовали проблемы, которые он решает, и написали несколько конкретных инстансов: instance HasDbConfig AppConfig where getDbConfig = dbConfig instance HasWebServerConfig AppConfig where getWebServerConfig = webServerCo...
[Перевод] Google раскрыла zero-day уязвимость в Windows 7, которая используется вместе с эксплойтом Chrome Project Zero от Google хорошо известен тем, что обнаруживает уязвимости и эксплойты в операционной системе Microsoft, а также своими противоречивыми политиками раскрытия информации. На этой неделе исследовательский отдел компании в области кибербезопасности вновь обнаружил э...
Хакеры взломали почти тысячу онлайн-магазинов за сутки Как рассказал исследователь компании Виллем де Гроот, хакеры, очевидно, использовали автоматические инструменты атаки, поскольку достичь такой "производительности" вручную невозможно. Предполагается, что киберпреступники сканировали сайты в поисках незакрытых уязви...
[Перевод] В Android и Google Photos обнаружены новые уязвимости, позволяющие украсть данные о пользователях Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учет...
Security Week 36: срок жизни уязвимостей в смартфонах Главная новость прошлой недели — масштабное исследование реальной атаки на устройства на базе iOS, опубликованное экспертом Яном Бером из команды Google Project Zero (новость, блогпост Яна со ссылками на семь дополнительных публикаций). Это редкий пример исследования, в кото...
[Перевод] Записки фрилансера: разработка первого React Native-приложения Автор материала, перевод которого мы публикуем, недавно выпустил своё первое мобильное приложение, написанное на React Native. Так случилось, что это приложение стало и его первым проектом, который он создал как программист-фрилансер. Здесь он расскажет о том, с чем ему приш...
3D игра на three.js, nw.js Я решил выпустить новую версию своей старой браузерной игры, которая на протяжении пары лет пользовалась успехом в качестве приложения в социальных сетях. На этот раз я задался целью оформить ее также и в виде приложения под Windows (7-8-10) и разместить в различных магазина...
[Перевод] Большая часть текстов в интернете написана безумцами Я обнаружил пост, написанный несколько лет назад, где перечислено, какой процент пользователей reddit оставляет записи на этом сайте: В Askreddit около 15 уникальных посетителей и 500 000 комментаторов. В /r/pics и /r/funny 10 млн посетителей и 200 К комментаторов. В /r/...
Интервью с багхантером Артёмом Московским. Он взломал Steam и получил самую крупную награду в истории Valve Артем Московский — багхантер, пентестер и безопасник которому сразу хочется задать стыдный вопрос «сколько ты зарабатываешь?» В прошлом году он получил самое большое вознаграждение в истории Valve — $20 и 25 тысяч за две крупные уязвимости в Steam и еще 10 за баги поменьше...
Вредоносные расширения для Chrome Аудитория Одноклассников — 71 миллион в месяц. Так же, как и аудитория интернета в целом, наши пользователи подвержены распространенным угрозам безопасности: фишингу, вирусам, переиспользованию паролей. Экономическим двигателем атак на пользователей соцсети, как правило, я...
Kubernetes Operator на Python без фреймворков и SDK Go на данный момент является монополистом среди языков программирования, которые люди выбирают для написания операторов для Kubernetes. Тому есть такие объективные причины, как: Существует мощнейший фреймворк для разработки операторов на Go — Operator SDK. На Go написа...
[Из песочницы] Восстание машин началось. Google Play Небоскребы, небоскребы, стены, лифты, этажи, расскажу я вам, ребята, про восстание машин… Сцена из КВН Я — самый настоящий инди-разработчик и это моя страсть. Начал свой путь 4.5 года назад, опубликовав свое первое приложение в Google Play. Мной была сделана вся работа по ...
Samsung исправила уязвимость с работой сканера ... После того как был обнаружен серьезный баг в Samsung Galaxy S10, позволяющий любому разблокировать смартфон из-за некорректной работы сканера отпечатков пальцев, компания выпустила обновление операционной системы с исправлением ошибки. На выпуск апдейта у разработчиков ушло ...
Свежая RCE-брешь Drupal получила применение в кибератаках Взломщики сайтов взяли на вооружение RCE-уязвимость в Drupal, которую разработчики CMS-системы закрыли неделю назад. После публикации PoC-эксплойта к бреши злоумышленники стали активно сканировать Интернет в поисках незащищенных ресурсов и даже нашли дополнительный вектор ат...
Эксперты: эксплойт-паки рано сбрасывать со счетов Исследователи из Malwarebytes опубликовали результаты мониторинга активности эксплойт-паков в весенние месяцы. Согласно заключению, перемен к лучшему на этом фронте пока не наблюдается; более того, в распоряжении злоумышленников появился новый пакет для проведения атак. Осно...
Как распилить монолит на сервисы и сохранить производительность In-memory кэшей без потери консистентности Всем привет. Меня зовут Александр, я Java-разработчик в группе компаний Tinkoff. В данной статье хочу поделиться опытом решения проблем, связанных с синхронизацией состояния кэшей в распределенных системах. Мы столкнулись с ними, разбивая наше монолитное приложение на микр...
Злоумышленники опробуют новый эксплойт для Exim Зафиксированы первые попытки массовой эксплуатации недавно обнародованной уязвимости в почтовом агенте Exim. Пользователям продукта настоятельно рекомендуется обновить его до версии 4.92. В настоящее время Exim используют более половины почтовых серверов в Интернете. Для зло...
[Перевод] Возможности Python 3, достойные того, чтобы ими пользовались Многие программисты начали переходить со второй версии Python на третью из-за того, что уже довольно скоро поддержка Python 2 будет прекращена. Автор статьи, перевод которой мы публикуем, отмечает, что основной объём Python 3-кода, который ему доводилось видеть, выглядит как...
60 миллионов полей и 27 культур. Как мы делали карту всех полей Европы и США Несколько месяцев назад мы запустили первую в мире бесплатную интерактивную карту, с помощью которой можно посмотреть информацию о любом поле в США и Европе. Про карту написали десятки изданий, а на Product Hunt она собрала беспрецедентные для продукта из агросектора полторы...
Главный секрет Google I/O 2019, о котором не узнать из интернета Титульная конференция крупнейшего гиганта рекламного бизнеса отгремела уже как неделю, а некоторые до сих пор пишут статьи. Так как всё, что можно было написать про программу и главные новинки, уже написано (привет phillennium), то что остаётся скромному посетителю? Только р...
Киберпреступники заинтересовались анализами ДНК Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года. По словам эксперта, первые инцидент...
[Из песочницы] Использование SQLite в Unity (Unity + SQLite) Всем привет, данная публикация будет посвящена работе с встраиваемой реляционной базой данных SQLite в Unity. Данная статья написана новичком для новичков с целью показания работы с SQLite, предполагается, что вы знаете основы SQL. Так как в интернете нет ясного тутора для н...
Между креслом и монитором сидит главная уязвимость в системе: VAP-персона Источник: Proofpoint Наборы эксплоитов и известные уязвимости ПО применяются для кибератак очень редко. На самом деле, более 99% успешных атак производится с участием жертвы. Цель должна собственноручно открыть файл, запустить макрос, нажать на ссылку или выполнить какое-т...
Вредоносная активность, связанная с ThinkPHP, растет Исследователи из Akamai Networks фиксируют рост сканов, нацеленных на выявление незакрытой RCE-уязвимости в фреймворке ThinkPHP. Обнаружив пригодное для эксплойта устройство, злоумышленники пытаются внедрить на него Linux-бот или использовать для майнинга криптовалюты. Уязви...
Русскоговорящие кибергруппировки затаились Такие выводы сделала "Лаборатория Касперского" на основании мониторинга данных об APT-атаках в первые три месяца 2019 года. Эксперты предполагают, что, возможно, затишье связано с изменениями в этих структурах. Самой "громкой" кампанией прошедшего периода...
Безопасная передача данных между двумя приложениями Всем привет, сегодня я хотел бы вам рассказать о некоторых вариантах передачи данных между двумя андроид приложениями и рассмотреть их с точки зрения безопасности. Я решил написать эту статью по двум причинам. Первая — я начал часто сталкиваться с непониманием разработчиков ...
Баг в mIRC позволяет выполнить в Windows сторонний код Специалисты в области информационной безопасности Батист Девинь (Baptiste Devigne) и Бенджамин Четиуи (Benjamin Chetioui) опубликовали описание и PoC-эксплойт уязвимости в mIRC — распространенном IRC-клиенте для Windows. Как выяснили исследователи, приложение допускает внедр...
Как удалить негативные отзывы и отбить атаку на репутацию: личный опыт Честный рассказ о том, как один персонаж написал про нас около тысячи анонимных отзывов, как мы их удаляли и как сделать это самим за несколько часов. Читать дальше →
Security Week 41: больше уязвимостей в SIM-картах, дешифрование PDF На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Brow...
Как мы нашли критичную уязвимость AspNetCore.Mvc и перешли на собственную сериализацию Привет, Хабр! В этой статье мы хотим поделиться нашим опытом в оптимизации производительности и исследовании особенностей AspNetCore.Mvc. Предыстория Несколько лет назад на одном из наших нагруженных сервисов мы заметили существенное потребление ресурсов CPU. Это выгляде...
В приложении Связка ключей для macOS нашли уязвимость Независимый ИБ-исследователь из Германии Линус Хенце (Linus Henze) сообщил о новом способе атаки на Связку ключей macOS. Проблема распространяется на все версии ОС, включая актуальную на момент публикации — 10.14.3 Mojave. Эксперт отказывается делиться с Apple информацией о ...
Два способа сбора наград за рекламу в мобильных играх, или роботы должны работать Во многих мобильных играх есть внутренняя валюта или что-то полезное, что можно получить после просмотра рекламы. Первое время я смотрел такую рекламу и даже находил что-то интересное в ней, но чем дальше — тем больше чувствовал себя мартышкой, выполняющей одни и те же дейст...
Модернизация IDA Pro. Отладчик для Sega Mega Drive (часть 1) Приветствую! Товарищи реверсеры, ромхакеры: в основном эта статья будет посвящена вам. В ней я расскажу вам, как написать свой плагин-отладчик для IDA Pro. Да, уже была первая попытка начать рассказ, но, с тех пор много воды утекло, многие принципы пересмотрены. В общем, по...
[Перевод] Всё, что нужно для начала работы с Vue.js Скорее всего, вы, читая эти строки, уже слышали о JavaScript-фреймворке, который называется Vue. Если вы собирались его опробовать, но не очень хорошо представляли себе то, с чего вам стоит начать, значит — этот материал написан специально для вас. Его автор говорит, что хоч...
BLoC паттерн на простом примере И еще раз про BLoC на классическом примере счетчика Flutter. Читая некоторые статьи про реактивное программирование и используя BLoC паттерн в приложениях я понимал, что чего-то не догоняю. Как обычно на все не хватает времени, но вот, выдался свободный час и силы есть — реш...
[Перевод] Рекомендации по написанию чистого кода на JavaScript Если вы заботитесь о самом коде, и о том, как он написан, а не заняты лишь тем, чтобы создавать работающие программы, это означает что вы стремитесь к тому, чтобы ваш код был чистым. Профессиональный разработчик пишет код не только в расчёте на компьютеры, но и в расчёте на ...
Capesand: новый эксплойт-пак со старым кодом Злоумышленники опробуют пакет эксплойтов Capesand, находящийся в стадии активной разработки. Анализ показал, что новый инструмент заимствует исходные коды схожего проекта, выложенные в открытый доступ на GitHub пять лет назад. Эксплойт-пак Capesand впервые засветился в ходе ...
В Windows обнаружена ранее неизвестная критическая уязвимость Бэкдоры - крайне опасный тип вредоносного ПО, который позволяет атакующим скрытно осуществлять удалённое управление устройством. При этом если бэкдор использует ранее неизвестную уязвимость (так называемую уязвимость нулевого дня), у него значительно больше шансов обойти ста...
AWS Lambda — теория, знакомство Краткий экскурс в AWS Lambda Что это? AWS Lambda: это вычислительный сервис, который позволяет запускать код практически для любого типа приложения или серверной службы — и все это без необходимости администрирования. AWS Lambda выполняет все администрирование за вас, включа...
Спустя два года после патча EternalBlue вновь на подъеме Несмотря на выпущенные производителем патчи, киберпреступники продолжают использовать EternalBlue. Более того, в данный момент число атак достигло максимального значения с момента утечки эксплойта в Сеть. К таким выводам пришли ИБ-специалисты на основании анализа данных скан...
Интерактивная игра на XSLT Когда-то давным-давно придумали люди язык XML и увидели, что это хорошо. И стали использовать его везде, где можно, и даже там, где не следует. Форматы хранения и передачи данных, конфиги, веб-сервисы, базы данных… Казалось, оглянись вокруг — XML, XML повсюду. Время прошло...
[Перевод] Мой компилятор для Lisp Очень рад объявить о завершении моего первого компилятора для языка программирования! Malcc — это инкрементальный AOT-компилятор Lisp, написанный на C. Вкратце расскажу о его многолетней разработке и что я узнал в процессе. Альтернативное название статьи: «Как написать комп...
Яндекс открывает датасеты Толоки для исследователей Толока — крупнейший источник размеченных людьми данных для задач машинного обучения. Каждый день в Толоке десятки тысяч исполнителей производят более 5 миллионов оценок. Для любых исследований и экспериментов, связанных с машинным обучением, необходимы большие объёмы качеств...
Fancade — приложение для создания собственных миниатюрных игр на мобильных Martin Magni – автор популярной головоломки Mekorama – выпустил свой новый проект Fancade. Пока что он доступен только в Google Play в режиме пробного запуска. Если вы хотите получить доступ и на iOS, напишите автору в Discord – ссылку него и другие полезные материалы можно ...
Обеспечение безопасности в беспроводных протоколах на примере LoRaWAN Привет, Хабр. Мне хотелось бы в очередной раз поговорить о том, как обеспечивается базовый (читай: минимально необходимый) уровень безопасности данных в беспроводных сетях, используемых в IoT-устройствах, на примере LoRaWAN. Почему именно LoRaWAN? Во-первых, потому, что эт...
Как сделать из сайта приложение и выложить его в Google Play за несколько часов. Часть 2/2: Trusted Web Activity В первой части мы превратили наш сайт в Progressive Web App. Там же было сказано, что совсем недавно, 6 февраля 2019 года, Google предоставили простую возможность выкладывать PWA в Google Play при помощи Trusted Web Activity. Всё, что нужно сделать, это написать небольшую ...
Новые уязвимости в 4G и 5G позволяют шпионить за абонентами Группа исследователей в области безопасности обнаружила уязвимости в сотовых сетях, которые позволяют злоумышленникам перехватывать звонки и отслеживать местоположение владельцев телефонов. Более того, проблемы затрагивают не только используемый повсеместно стандарт связи 4G...
Как добавить проверки в NoVerify, не написав ни строчки Go-кода В статическом анализаторе NoVerify появилась киллер-фича: декларативный способ описания инспекций, который не требует программирования на Go и компиляции кода. Чтобы вас заинтриговать, покажу описание простой, но полезной инспекции: /** @warning duplicated sub-expressions in...
Facebook пропатчила Fizz — свою реализацию протокола TLS Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалис...
[Перевод] Как написать смарт контракт на WebAssembly в сети Ontology? Часть 2: С++ В этой статье мы разберем на двух примерах, как написать смарт контракт на языке C++, используя WASM на основе блокчейн сети Ontology. Сегодня, после нескольких месяцев стабильной работы в тестовом режиме, Ontology запустила WASM в основной сети, что позволяет безболезненн...
[Перевод] Что необходимо сделать, чтобы вашу учетную запись Google не украли Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования. Прав...
В интернете появился «музей», представляющий собой онлайн-коллекцию прошлых версий популярных сайтов и сервисов Энтузиаст по имени Alex вместе со своим сыном запустил проект «Музей версий» (Version Museum) — сайт, на котором можно посмотреть, как в разные годы выглядели сайты крупных компаний и интерфейсы популярных сервисов. В коллекции есть программы Microsoft (в частности, Microsof...
Исследователь опубликовал код эксплойта для Chrome 73 Компания Exodus Intelligence опубликовала код эксплойта для уязвимости в стабильной версии Google Chrome. Рабочий прототип использует проблему безопасности в движке v8, которую разработчики браузера устранили 18 марта, но пока что не исправили в актуальной версии 73. ИБ-иссл...
Laravel: объясняем основные понятия. Часть вторая: «Практика» Всем привет! Продолжаем серию авторских публикаций в преддверии старта курса «Framework Laravel». В прошлой статье мы с вами посмотрели на теоретические основы Laravel. Однако теорию любого фреймворка можно изучать достаточно долго и ничего не понять, пока сам не напишешь н...
[Перевод] Google Play Store переходит на стандартизацию значков приложений Google объявил, что разработчики приложений, отправляющие свои приложения в Google Play Store, должны будут соответствовать определенным спецификациям, когда дело доходит до дизайна значка их приложения. Спецификация вынудит разработчиков обновлять «магазинный» значок своего...
[Перевод] Как я пишу конспекты по математике на LaTeX в Vim Некоторое время назад на Quora я отвечал на вопрос: как успевать записывать за лектором конспект по математике на LaTeX. Там я объяснил свой рабочий процесс по конспектированию в LaTeX с помощью Vim и Inkscape (для рисунков). Но с тех пор многое изменилось, так что я хочу оп...
Червь BlackSquid несет на борту целый ворох эксплойтов Ранее неизвестный образец вредоносного ПО, получивший название BlackSquid, выявили специалисты по информационной безопасности. Зловред, обладающий свойствами сетевого червя, использует несколько известных эксплойтов, чтобы проникнуть на целевую машину и установить полезную н...
Основы реактивного программирования с использованием RxJS. Часть 2. Операторы и пайпы В предыдущей статье мы рассмотрели, что такое потоки и с чем их едят. В новой части мы познакомимся с тем, какие методы RxJS предоставляет для создания потоков, что такое операторы, пайпы(pipes) и как с ними работать. RxJS обладает богатейшим API. В документации описано б...
В Steam обнаружена очередная уязвимость ИБ-исследователь Василий Кравец опубликовал новую уязвимость нулевого дня в игровом клиенте Steam для Windows. Как и баги, обнаруженные ранее, этот позволяет злоумышленникам повышать привилегии на пользовательском компьютере, чтобы полностью перехватить контроль над машиной....
В каких приложениях ждать неизвестный вредоносный код? Сегодня просматривал статистику Wildfire и стало интересно по каким приложениям ходит неизвестный вредоносный код (zero-day) и как часто. На картинке приведена статистика по приложениям и частоте атак через это приложение. В первом столбце имя приложения. Во втором столбце у...
[Из песочницы] Duality — легкий и быстрый движок для игростроя под Windows (Доп.) Приветствую, читатель. В данной публикации речь пойдет о перспективном и достаточно молодом игровом движке, который незаслуженно остался в тени таких гигантов, как Unity или Unreal Engine. Разработчиками является объединение энтузиастов под руководством Adam's Lair. Как...
В Блокноте Windows найдена уязвимость повреждения памяти Аналитик проекта Google Project Zero Тавис Орманди (Tavis Ormandy) обнаружил уязвимость повреждения памяти в приложении «Блокнот» операционной системы Windows. Как утверждает специалист, баг дает возможность атакующему выполнить сторонний код и запустить в рамках п...
[Из песочницы] Что нужно для разработки игр и кем реально является разработчик игр Большинство людей (нормальных), которые планируют заниматься программированием (как хобби или основной профессией) обычно задаются вопросами: «Что такое программирование?», «Зачем мне нужно программирование?», «Какой язык я буду учить?», «Что я получу в итоге?». Таким был и...
ZENLIX 3.5 — спустя 2 год Начав разработку системы заявок, с 2013 года, история которой описана в предыдущих публикациях: Как мы написали helpdesk Как мы написали helpdesk (часть 2) Как мы написали helpdesk (часть 3) мы остановили выпуск новых версий в 2017 году. Это не значит, что мы переста...
[Из песочницы] Распутывание клубка уязвимостей на сайтах После своей первой статьи, опубликованной на codeby, которая вошла в топ 3 публикаций недели, я был очень мотивирован написать следующую. Но 11 класс накладывает ограничения на свободное время подготовкой к егэ и олимпиадами. Поэтому вторую я пишу лишь спустя несколько меся...
Как запустить java-проект на shell-раннере при пуше в репозиторий GitLab’а Меня зовут Иван Сидоренко, я инженер по тестированию в компании Digital Design. Передо мной стояла задача — внедрить запуск автотестов, написанных на Java Selenium. Я новичок в CI/CD, поэтому столкнулся со множеством проблем. Подробных инструкций в интернете по этой задаче ...
Как включить ночную тему в приложении «ВКонтакте» на Android Востребованность ночной темы, возведенной пользователями в культ, очевидна. Она не только облегчает восприятие интерфейса приложения или операционной системы в условиях недостаточного освещения, но и более экономно относится к ресурсам аккумулятора, тем самым продлевая врем...
IDC: новые области применения стимулируют рост рынка 3D-сканеров По мере снижения цен 3D-сканеры стали находить применение в медицине, в торговле недвижимостью, где с их помощью создают виртуальные экскурсии для покупателей, в развлекательной индустрии и других отраслях.
Как мы закрываем уязвимости в ОС Astra Linux Special Edition Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их ус...
Нам всем нужен хелпдеск Задумать разработку облачной хелпдеск-системы в 2018 году со стороны казалось не самой трезвой идеей — на первый взгляд рынок есть, отечественные и зарубежные решения есть, самописных систем тоже хватает. Задумать разработку новой системы, когда у тебя уже есть большая CRM-р...
Apple исправила десятки ошибок в своих операционных системах Разработчики Apple выпустили серию обновлений для iOS, iPadOS и macOS, устранив в системах десятки уязвимостей. Пользователи получили дополнительную защиту от попыток кражи закрытых данных, атак с исполнением стороннего кода и прочих угроз. Это первый крупный пакет патчей дл...
Телеком-дайджест: о построении сетей операторов, интернет-протоколах и ИБ Это — подборка тематических материалов, написанных нашими экспертами: статьи о борьбе с ботнетами, ошибках провайдеров при развёртке инфраструктуры, а также квантовых сетях и eSIM. Читать дальше →
Банки начали блокировать смартфоны Samsung Galaxy В четверг, 17 октября, в сети начала появляться информация, что сканер отпечатка пальцев в Samsung Galaxy S10 можно легко обмануть. Достаточно приклеить на экран плотную защитную пленку и попробовать разблокировать телефон. Гаджет считает не палец злоумышленника, а оставшиес...
Автор мрачной hack and slash Immortal Rogue ищет бета-тестеров Инди-разработчики любят жанр hack and slash почти так же, как и ретро-платформеры. Это, естественно, накладывает свой отпечаток на общее качество игр в этой категории. Благо, попадаются и жемчужины. Такие как Immortal Rogue, например. Главная ее фишка — удобное сенсорное уп...
Уязвимость StrandHogg представляет угрозу для Android-устройств и уже находится под атаками ИБ-специалисты предупреждают, что как минимум 36 вредоносных приложений эксплуатируют уязвимость StrandHogg, которая опасна даже для полностью обновленных устройств на Android.
[Перевод] Mayhem — машина, способная находить уязвимости в программах и исправлять их Программа заняла первое место в конкурсе Cyber Grand Challenge от DARPA, посвящённом автоматизации этичного взлома В 2011 года, когда инвестор Марк Андриссен сказал, что «программы поедают мир», эта идея была свежей. Сейчас очевидно, что ПО проникает во все аспекты наших ж...
[Из песочницы] MicroPyServer простой HTTP сервер для ESP8266 и ESP32 Всем привет! Хочу рассказать о библиотеке MicroPyServer написанной на Python, которая позволяет взаимодействовать с устройствами ESP8266 и ESP32 посредством простого HTTP сервера. Что такое MicroPyServer? MicroPyServer это простой HTTP сервер предназначенный для проектов на...
iOS 13: Как подключить мышь к iPad или iPhone Apple не афишировала будущую поддержку планшетами iPad мышей и сенсорных панелей. Однако разработчик Стив Троутон-Смит быстро нашел эту функцию в бета-версии новой операционной системы. О своей находке он написал в Twitter. Тут же многие энтузиасты стали тестировать долгожда...
Гайд по автоматическому аудиту смарт-контрактов. Часть 2: Slither Анализатор: Slither Описание: Open-source static analysis framework for Solidity githib: https://github.com/trailofbits/slither Это статический анализатор кода, написанный на python. Он умеет следить за переменными, вызовами, и детектирует вот такой список уязвимостей. У каж...
[Перевод] Успех социального эксперимента с поддельным эксплойтом для nginx Прим. перев.: Автор оригинальной заметки, опубликованной 1 июня, решил провести эксперимент в среде интересующихся информационной безопасностью. Для этого он подготовил поддельный эксплойт к нераскрытой уязвимости в веб-сервере и разместил его в своём твиттере. Его предполож...
Ускоряем PHP-коннекторы для Tarantool с помощью Async, Swoole и Parallel В экосистеме PHP на данный момент существует два коннектора для работы с сервером Tarantool ― это официальное расширение PECL tarantool/tarantool-php, написанное на С, и tarantool-php/client, написанный на PHP. Я являюсь автором последнего. В этой статье я хотел бы подели...
Сканер отпечатка пальцев вместо пароля. Google расширяет возможности дактилоскопов в смартфонах На сегодняшний день почти все актуальные смартфоны оснащаются сканерами отпечатков пальцев. Аппараты без дактилоскопов всё ещё появляются, но это единичные модели. Сканеры в смартфонах в большинстве случаев используются для разблокировки устройства. Иногда их можно испо...
[Из песочницы] Как я библиотеку для сервиса «Яндекс.Музыка» писал Введение Обо мне Всем привет, я обычный учащийся по специальности "техник-программист". С детства увлекаюсь компьютерами, с класса 7-го начал познавать само программирование. Являюсь владельцем подписки на Яндексу Музыку уже больше года и в целом доволен сервисом (...
Технический анализ эксплойта checkm8 С большой вероятностью вы уже слышали про нашумевший эксплойт checkm8, использующий неисправимую уязвимость в BootROM большинства iDevice-ов, включая iPhone X. В этой статье мы приведем технический анализ эксплойта и разберемся в причинах уязвимости. Всем заинтересовавшимся...
Киберпреступники два года следили за пользователями iOS Исследователи Google Project Zero обнаружили масштабную кампанию против iOS-пользователей: с 2017 года неизвестные преступники использовали серию уязвимостей в системах iOS 10 по iOS 12, чтобы заражать посетителей сайтов шпионским ПО. Злоумышленники применяли технику водопоя...
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ? Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разра...
Security Week 15: атака на роутеры с подменой DNS К теме уязвимости в сетевых роутерах мы обращаемся далеко не первый раз, но исследования группы Bad Packets и компании Ixia (новость, отчет Bad Packets, отчет Ixia) интересны тем, что представляют почти полную картину: как ломают роутеры, какие настройки меняют, и что потом ...
Разработка ТамТам-бота на Python Привет, Хабр! Позвольте представиться: меня зовут Сергей Агальцов, и я "программист по жизни". Это значит, что я давно уже IT-менеджер, а вовсе не программист по профессии, но программирование использую постоянно, как в своей основной деятельности, так и как хобби. Как част...
В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...
[Из песочницы] System.Console, Mono и NCurses Всем привет, в своей работе (а ранее и в учебе) я часто использую C# и этот язык стал мне, что называется, привычным. Решив немного потренироваться в программировании, я написал консольный текстовый редактор для Linux. Вкратце опишу полученный опыт. В Mono класс System.C...
[Из песочницы] GridmiAPI — простая и гибкая библиотека Android для работы с REST&RPC Здравствуйте, хабровчане! Когда занимаешься разработкой сетевых приложений под платформу Android, понимаешь, что одно и другое приложение похоже друг на друга. С этой мыслью у большинства разработчиков инициализируется и другая мысль — «Почему бы мне не использовать какие-л...
[Перевод] Как eBay делал сканер штрих-кодов на WebAssembly С момента своего анонса технология WebAssembly сразу привлекла внимание разработчиков фронтенда. Веб-сообщество с энтузиазмом восприняло идею запустить в браузере код, написанный на других языках, кроме JavaScript. Главное, что WebAssembly гарантирует скорость намного выше, ...
26 июля, Deworkacy — DocOps от Ростелекома Привет! Мы тут решили провести митап по DocOps — это почти как DevOps, только про документацию и всё, что с ней связано. Таких мероприятий обычно не так много, оно и понятно — документация не такая хайповая штука, как React, к примеру. Да и не только React, прямо скажем. Зл...
Про одного парня История реальная, я все видел своими глазами. Несколько лет один парень, как и многие из вас, работал программистом. На всякий случай напишу так: «программистом». Потому что он был 1Сником, на фиксе, производственной компании. До этого он пробовал разные специальности – 4 ...
Первые устройства со спецификацией USB 4 могут появиться в конце 2020 года Спецификация добралась уже до версии 0.7.
[Из песочницы] Подписываемся на Kafka по HTTP или как упростить себе Веб-хуки Существует множество способов обработки сообщений из Pub-Sub систем: использование отдельного сервиса, выделение изолированного процесса, оркестрация пулом процессов/потоков, сложные IPC, Poll-over-Http и многие другие. Сегодня я хочу рассказать о том, как использовать Pub-S...
[Перевод] Sketch + Node.js: генерируем иконки для множества платформ и брендов Нет ничего проще, чем добавить иконку в проект: нужно всего лишь написать дизайнеру, он экспортирует её из Sketch и пришлет вам нужный вариант, а вы используете ее у себя в коде. Если же у вас с десяток проектов, несколько платформ и множество А/Б-тестов на дизайн, то дост...
[Из песочницы] Беспроводная зарядка. Как она работает на практике У меня свой магазин разных беспроводных зарядных устройств. За год работы в этой области я успел разобраться в характеристиках работы устройств, различиях, проблемных областях зарядок и прочитать очень много статей, в которых пишут не разобравшись в тематике. В этой и сле...
Выставка в Лас-Вегасе — для разработчиков электроники, а не ее потребителей. A report from Design Automation Conference Я решил написать эту заметку на Хабре по-русски и по-английски, чтобы раздавать ссылку на нее как в англо- так и в русско-язычные форумы и группы. Русский текст не является переводом английского и наоборот — я просто написал заметку дважды (терпеть не могу переводить). Жел...
Ботнет Hakai атакует южноафриканские роутеры Всплеск атак ботнета Hakai зафиксировали ИБ-специалисты Netscout. Нападающие эксплуатируют уязвимость SDK Realtek, найденную еще в 2014 году. Основной целью киберпреступников являются роутеры, расположенные в Южной Африке — на долю этой страны приходится более 80% попыток вз...
Хакер нашёл способ взломать почти любой iPhone Программный инструмент под названием Checkm8 («чекмэйт» — «шах и мат») использует уязвимость в системе Apple Bootrom (SecureROM). Фактически это первый код из известных, запускающийся во время загрузки iPhone и предоставляющий доступ к смартфону на уровне системы. Таким обра...
В Сети чествуют скромного героя, сделавшего три миллиона правок в англоязычной "Википедии" 35-летний американец по имени Стивен Прюитт занимается редактированием интернет-энциклопедии с 2006 года. С тех пор он сделал не только миллионы правок, но и написал около 35 тысяч статей. Пользователи Reddit решили отдать ему должное.
iOS 13, watchOS 6, iPadOS и новый Mac Pro. Презентация Apple на WWDC 2019 Сегодня в Сан-Хосе на первый день своей конференции Apple провела большую презентацию со всеми апдейтами софта. Пять тысяч журналистов и девелоперов собрались, чтобы узнать, какие апдейты ждут их iOS и macOS. Действо получилось довольно впечатляющим, и длилось два с полови...
[Из песочницы] Подробный разбор симплекс-метода Пролог Недавно появилась необходимость создать с нуля программу, реализующую алгоритм симплекс-метода. Но в ходе решения я столкнулся с проблемой: в интернете не так уж много ресурсов, на которых можно посмотреть подробный теоретический разбор алгоритма (его обоснование: поч...
Security Week 45: уязвимости Chrome и BlueKeep в дикой природе Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019...
В Android обнаружили уязвимость нулевого дня Исследователи Google Project Zero нашли в ядре Android уязвимость, с помощью которой можно получить root-доступ к мобильному устройству. По словам аналитиков, как минимум один эксплойт на ее основе уже применяется в кибератаках. Как работает обнаруженная 0-day в Android Уязв...
«Лаборатория Касперского» о главных угрозах начала 2019 года Эксперты «Лаборатории Касперского» представили панораму информационных угроз в I квартале квартале 2019 года. Исследователи обратили внимание на активное развитие банковских троянов для Android и отметили успехи машинного обучения в отслеживании новых зловредов. Ка...
[Из песочницы] Обзор сервисов SMS-рассылок: популярные сервисы Онлайн-сервисы по отправке sms-рассылок, e-mail-рассылок, а также рассылок по популярным мессенджерам заметно упрощают работу по информированию клиентов и заказчиков о важных событиях компании. Интернет-платформы по отправке смс-рассылок стали незаменимым инструментом рабо...
[Перевод] Самая популярная мобильная игра: как создавалась «Змейка» для телефонов Nokia Танели Арманто не любит рассказывать людям, что изменил мир. На самом деле я уверен, что если вы не являетесь другом его семьи, то ничего о нём не слышали. Обычно он никогда не рассказывает о своём величайшем достижении, но его дети не упускают случая им похвастаться. В кон...
[Из песочницы] Рендеринг 3D графики с помощью OpenGL Введение Рендеринг 3D графики — непростое занятие, но крайне интересное и захватывающее. Эта статья для тех, кто только начинает знакомство с OpenGL или для тех кому интересно, как работают графические конвейеры, и что они из себя представляют. В этой статье не будет точных ...
Читай старьё Всю свою сознательную жизнь я любил историю. Интерес к другим предметам приходил и уходил, а к истории оставался всегда. Я люблю документальные и художественные фильмы про историю, легкие книги «про те времена», очерки об известных людях и событиях, научные труды, историю ин...
Хакеров поймали в ловушку: за два часа были зафиксированы 500 000 атак Исследователи компании Avast провели наглядный эксперимент для пользователей, не верящих в угрозы из Сети. Результат оказался ошеломительным. «Устройства» Интернета вещей были атакованы незамедлительно, и основный вал атак был из США.
Security Week 12: клавиатурные атаки Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX...
О безопасности, номерах, электронных почтах и, совсем немного о рекламе Warning! Дабы заранее предупредить различные вопросы, а также обеспечить удобство чтения, далее — небольшой дисклеймер: всё, что будет написано далее — основано на личном и субъективном опыте, выражает личное мнение автора и ни в коем случае не является призывом к каким либо...
[Из песочницы] Создание своего jsfiddle, часть 1 Привет всем читателем habr. В данной статье мы напишем свой онлайн редактор кода. Зачем я писал свой онлайн редактор кода В один день мне стало интересно насколько сложно создать свой онлайн редактор по типу jsfiddle, из-за чего я решил написать свой редактор. Написание сво...
[Из песочницы] Правильный редизайн сайта — пошаговый алгоритм, основные вопросы и нюансы Дизайн — работа творческая, поэтому не всегда результат работы можно предугадать и не всегда он может нас устроить. Поэтому главное, составить грамотное и понятное ТЗ. Интернет изменяется буквально каждый день, поэтому всегда необходимо следить за актуальностью и удобством ...
[Из песочницы] Как я нашел свою первую уязвимость? Предисловие Всем привет. Мне 20 лет. Еще недавно я учился в лицее и готовился поступать в медицинский ВУЗ, а сейчас я — фулстэк разработчик в одной американской компании. На самом деле я очень рад, что с медициной у меня не вышло — программирование было моим хобби, а сейчас ...
[Из песочницы] Три парадигмы Привет, Хабр! Предлагаю вашему вниманию перевод статьи «Three Paradigms» автора Robert C. Martin (Uncle Bob). За последние 40 лет технологии аппаратного обеспечения увеличили вычислительную мощность наших устройств более чем на двадцать порядков. Теперь мы играем в Angry ...
Взаимодействие сайта в браузере и локально запущенной программы Иногда возникает необходимость передать данные между работающим в браузере приложением и программой, выполняющейся на той же системе, на которой запущен браузер. Это может понадобиться, например, если нам нужно поработать с оборудованием, подключенным локально. Считывателем ...
[Из песочницы] Headless CMS. Почему я пишу свою Всем привет! Написать эту публикацию меня побудила вот эта недавняя статья (вчера увидел). Пересказывать основные признаки Headless/content-first/api-first и т.п. CMS я не буду, материала полно и наверняка уже многие знакомы с этим трендом. А хочу я рассказать почему и ка...
Как мы спасали код-ревью Я ведущий Java-разработчик в Яндекс.Деньгах. Каждое рабочее утро в 2018 году меня встречали около 30 пулл-реквестов, ожидающих ревью, а у меня не хватало времени разобрать их все за день. В конце лета я ушел в отпуск, а когда вернулся, обнаружил очередь из 50 PR, назначенн...
Учёные нашли зависимость между ростом Годзиллы и реальными глобальными угрозами Исследователи из Дартмутского колледжа написали статью, в которой объясняют, почему рост Годзиллы в фильмах с 1954 года увеличился более, чем в два раза. Причиной оказался страх перед ядерной угрозой от Соединённых штатов.
Приложения Facebook, Instagram и WeChat не обновляются в Google Play Store Обновление, которое не обновляетРаспространено мнение, что, если человек регулярно обновляет приложения до последней версии, он защищен от хакерских атак. Но это не так. Исследователи Check Point доказали, что патчи в высококлассных приложениях - Facebook, Instagram, WeChat ...
[Из песочницы] Почему Вы должны попробовать FastAPI? Лого взято из Github репозитория FastAPI FastAPI — относительно новый веб-фреймворк, написанный на языке программирования Python для создания REST (а если сильно постараться то и GraphQL) API, основанный на новых возможностях Python 3.6+, таких как: подсказки типов (type-hi...
Известные уязвимости в системах SAP ставят под угрозу тысячи компаний В опасности 90% установленных в мире систем компании. Соответствующие эксплойты опубликованы в открытом доступе, подчеркивают эксперты, и для их использования не нужны особые знания
Эксперты нашли в Linux уязвимости возрастом в несколько лет Специалисты компании Qualys описали три уязвимости ОС Linux, грозящие утечками данных и нарушением целостности памяти. Проблемы содержатся в большинстве популярных дистрибутивов, где не предусмотрена защита пользовательского пространства (user land). Все уязвимости связаны с...
Несем IoT в массы: результаты первого IoT-хакатона от GeekBrains и Ростелекома Интернет вещей — восходящий тренд, технология используется везде и всюду: в промышленности, бизнесе, быту (привет умным лампочкам и холодильникам, которые сами заказывают еду). Но это только начало — задач, которые можно решать при помощи IoT, великое множество. Для того...
[Из песочницы] Помощь и просьба о ней. Статья про информационную безопасность для рядовых пользователей Я предлагаю вам некоторые шаги по повышению безопасности и приватности в интернет сети (и не только) для рядовых пользователей. Обоснование почему это необходимо – в начале статьи. Для тех кто всё знает и недоумевает почему этот текст находится здесь — просьба прочитать пунк...
Законопроект об устойчивой работе Рунета принят в первом чтении Источник: РИА Новости / Кирилл Каллиников Государственная Дума приняла в первом чтении законопроект об устойчивой работе интернета в России, о чем сообщают «РИА Новости». Инициатива направлена на защиту устойчивой работы Рунета в случае возникновения угрозы его функциониро...
Несколько простых, но полезных советов по работе с геттерами в Vuex Vuex предоставляет удобные инструменты для работы с данными, но некоторые разработчики используют их не всегда по назначению, либо создают избыточные конструкции там, где можно было написать более понятно и ёмко, такое также случается, когда разработчик только знакомится с д...
[Из песочницы] Структуры данных в Java. Полезные методы вспомогательных классов Привет, habr! Я Software Engineer в EPAM. Более 8 лет я работаю с legacy-кодом, написанном на языке Java (предвосхищая комментарии, отмечу, что понимание и терпимость к legacy началась задолго до EPAM, в заключении вы найдёте ответ, почему). Часто в работе я сталкивался с ...
Мой переезд в Норвегию Я решил написать эту статью, потому что в интернете мало информации именно о переезде в Норвегию. Люди в основном описывают жизнь, процесс поиска работы и тому подобное. Ниже я постарался рассказать о подготовке документов, регистрации в стране, открытии банковского счёта,...
Обнаружен преемник Mirai, вооруженный 27 эксплойтами Новый вариант Mirai оперирует множеством эксплойтов для проникновения на подключенные к Интернету устройства. Одиннадцать из них, по словам экспертов, Mirai-подобные зловреды прежде не использовали. Новую итерацию печально известного IoT-бота исследователи из Palo Alto Netwo...
Виртуальная машина на ESP8266 для запуска игр VM, написанная неуверенной рукой гуманитария в среде программирования Arduino с использованием быдлокода и велосипедов. А еще есть компилятор для нее из си-подобного языка, написанный на JavaScript теми же методами. Да. Уже можно спешить в комментарии, бросать камни. Ну а те...
Программирование под БК 0010 в 2019-ом году Зачем? Если Вы — энтузиаст ретро-компьютеров, то мотивационную речь можете смело пропустить и перейти к следующему разделу. Весь август 2018-го года я и мой 13-летний сын Ivanq потратили на написание демки Good Apple. На фестивале Chaos Constructions наша работа заняла втор...
HTTP/2-серверы под угрозой DoS-атак Специалисты компаний Google и Netflix нашли группу DoS-уязвимостей в конфигурациях HTTP/2-серверов крупных вендоров и в аналогичных решениях с открытым кодом. Обнаруженные баги позволяют даже не самому продвинутому злоумышленнику заблокировать сервер — вредоносный клиент обр...
Microsoft нашла две похожие на BlueKeep RCE-уязвимости Специалисты Microsoft призывают пользователей оперативно установить обновления безопасности, устраняющие две уязвимости исполнения стороннего кода в Remote Desktop Services. По словам экспертов, CVE‑2019‑1181 и CVE‑2019‑1182 схожи с багом BlueKeep, ко...
Заражения WannaCry все еще исчисляются десятками тысяч Прошло два года после впечатляющего дебюта WannaCry, однако шифровальщик до сих пор присутствует на многих устройствах, сохраняя способность распространяться по сети и подвергая жертв риску других вредоносных атак. За полгода исследователи из компании Armis насчитали 145 тыс...
[Из песочницы] Теория успешного стартапа День добрый, Хабр! Напишу базис для любого стартапа. Перед запуском стартапа вы должны ответить на следующие вопросы. Что является успехом для вас? Вы планируете: Выйти на IPO Продать свой стартап Создать семейный бизнес и оставить потомкам И т.д. Представьте, что ...
[Из песочницы] Мониторинг доступности хостов на Powershell Всем доброго времени суток, хочу поделиться простой инструкцией «Как можно перестать вручную пинговать десяток хостов. Без регистрации и СМС!». С просторов Интернета Важно: я не программист и не системный администратор, но мне приходиться работать одновременно с большим на...
Как я не занял первое место в конкурсе для JavaScript-разработчиков от Telegram Активные пользователи Телеграма, особенно те, кто подписан на Павла Дурова, наверняка что-то слышали о том, что Телеграм проводил в этих ваших интернетах конкурс для iOS, Android и JavaScript разработчиков, а также для дизайнеров. Несмотря на то, что это было довольно эпично...
WhatsApp для Android получил поддержку входа по отпечатку пальца На сегодняшний день WhatsApp — один из главных инструментов, с помощью которого люди общаются по всему миру. В том числе в приложении протекают и деловые переписки, явно несущие в себе какие-либо корпоративные тайны. В связи с этим разработчик мессенджера решил ввести новую ...
Swift UI — галопом по Европам Swift UI — галопом по Европам 22:35. Восторг Просмотрел WWDC 2019 Key Notes. Ожидаемый декларативный UI действительно стал явью, и это воистину событие вселенского масштаба для мира iOS-разработки. «Надо написать об этом статью», — подумал я и еще тысячи iOS-разработчиков п...
Спецификация Lightning Network прошла первый формальный тест на безопасность Первая формальная проверка спецификации сети Lightning Network (LN) на безопасность дала положительные результаты, пишет CoinDesk. В своей работе под названием A Composable Security Treatment of the Lightning Network, участие в которой также приняла компания IOHK, исследоват...
Обсуждение: почему популярный видеохостинг все чаще удаляет контент с хакерскими руководствами Разработчики YouTube изменили политики работы сервиса и блокируют видео, посвящённые эксплойтам цифровых сервисов. Обсуждаем реакцию ИТ-сообщества и рассказываем, кто пострадал. Читать дальше →
Деградация производительности сети Tor может стоить всего несколько тысяч долларов в месяц Исследователи утверждают, что ощутимо повредить Tor можно простыми атаками на TorFlow, мосты Tor и конкретные узлы. Причем атаки будут стоить далеко не миллионы долларов.
Эксперты предупредили о небезопасных роутерах NETGEAR Исследователи Talos Intelligence обнаружили уязвимости в беспроводных роутерах NETGEAR. Из-за некорректной настройки рукопожатия между клиентом и точкой доступа злоумышленник может перехватить закрытые данные сетевых устройств. Баги содержатся в модуле ядра NetUSB одного из ...
[Из песочницы] Как я свой первый ИИ писал Привет, Хабр. История моя берёт начало в январе 2019 года. Мы с моей тимой геймдевелоперов решили взяться за самый большой проект в нашей истории- 2Д платформер. Нет, мы не делали до этого какие-нибудь FlappyBird'ы или змейки, но объём работы в этом проекте просто сносил на...
Спецификации в PHP Кратко о спецификациях: Спецификация — это шаблон проектирования, с помощью которого можно отразить правила бизнес-логики в виде цепочки объектов, связанных операциями булевой логики. Спецификации позволяют избавится от повторяющихся, однотипных методов в репозитории и от д...
Под угрозой блокировки в РФ оказались девять VPN-сервисов В течение месяца на территории РФ могут быть заблокированы девять VPN-сервисов, до сих пор не подключившихся к реестру запрещенных сайтов. Об этом глава Роскомнадзора Александр Жаров сообщил «Интерфаксу». На данный момент добровольно к реестру подключился только VPN-сервис K...
Майнеры, сливщики и Cobalt: как мы обеспечиваем заказчикам безопасный доступ в Интернет Каждый безопасник в своей жизни сталкивался с тем, что сотрудники ходят в Интернет, минуя прокси, качают фильмы через торрент и пользуются TeamViewer'ом. В этом посте мы немного расскажем о том, как решаем проблемы с организацией безопасного доступа в Интернет по сервисной...
Как стать Android-разработчиком Сегодня разберем с чего начинать изучение Android-разработки и как найти первую работу. Для создания все новых и новых мобильных приложений компаниям нужны талантливые разработчики: профессия востребована, и специалистам готовы платить. По статистике зарплатного сервиса «Мо...
Уязвимость в WinRAR уже используется в атаках Исследователи обнаружили распространяемый через спам RAR-файл с вредоносным загрузчиком, который устанавливается на Windows посредством эксплуатации недавно опубликованной уязвимости в архиваторе WinRAR. Брешь проявляется при работе с ACE-файлами и позволяет распаковать их с...
[Из песочницы] Пишем простой NTP клиент Здравствуйте, хабраюзеры. Сегодня я хочу рассказать о том, как написать свой простенький NTP клиент. В основном, разговор зайдет о структуре пакета и способе обработки ответа с NTP сервера. Код будет написан на питоне, потому что, как мне кажется, лучшего языка для подобных ...
День защиты детей от плохого кода Пост посвящен дню защиты детей. Любые совпадения – не совпадения. В 10 лет у меня появились первый компьютер и диск с Visual Studio 6. С тех пор я придумываю себе задачки — автоматизировать дела, собрать какой-нибудь веб-сервис для трёх человек или написать игру, которую по...
Эксперты взломали пароли WiFI-сетей на основе WPA3 Независимые ИБ-исследователи Мати Ванхойф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) обнаружили серию уязвимостей в стандарте беспроводных подключений WPA3. Ошибки системы рукопожатий между точкой доступа и сетевым устройством позволяют злоумышленнику взламывать пароли WiFi-с...
Шифровальщик NextCry атакует облачные хранилища NextCloud Пользователи облачного хранилища NextCloud столкнулись с атаками нового шифровальщика, который уничтожает сохраненные резервные копии. По мнению ИБ-экспертов, зловред проникает в системы через обнаруженную недавно уязвимость движка PHP-FPM. Об угрозе сообщили посетители фору...
Около миллиона машин уязвимы к атакам BlueKeep Специалисты по информационной безопасности оценили количество доступных онлайн устройств с непропатченной уязвимостью BlueKeep (CVE-2019-0708). По мнению экспертов, под угрозой находится не менее 950 тыс. машин. Эксплойты для удаленного выполнения стороннего кода через этот ...
Фишинг стал главной угрозой 2018 года Такие данные опубликовала компания Trend Micro Incorporated в Ежегодном обзоре кибератак , с которыми компании по всему миру столкнулись в 2018 году. "Каждые пару-тройку лет ландшафт угроз радикально меняется, поэтому даже самые инновационные подходы к защите стремитель...
Еще больше роботов: Walmart внедряет тысячи машин для работы в своих магазинах Робот-сканер полок – слева Walmart нанимает еще больше роботов в качестве трудовой силы. На прошлой неделе компания заявила об увеличении своего штаба «автоматизированных помощников». Они помогут компании справляться со всеми «тривиальными» задачами, вроде чистки полов, вы...
Cisco вне графика пропатчила менеджер сети ЦОД Компания Cisco Systems выпустила экстренные патчи для двух критических уязвимостей в Data Center Network Manager. В обоих случаях эксплойт позволял захватить контроль над атакуемой системой. Продукт Data Center Network Manager (DCNM) предоставляет пользователям платформу для...
Обзор и сравнение контроллеров Ingress для Kubernetes При запуске кластера Kubernetes для конкретного приложения следует понимать, какие требования представляет к этому ресурсу само приложение, бизнес и разработчики. При наличии этой информации можно приступать к принятию архитектурного решения и, в частности, к выбору конкре...
Троян, написанный на JavaScript и использующий для запуска Node.js, маскируется под читы для игр Исследователи «Доктор Веб» изучили трояна-загрузчика, написанного на JavaScript, который распространяется через сайты с читами для популярных видеоигр.
Как понять, что пора задуматься о фрилансе, если вы работаете по найму Посчитайте, сколько вы зарабатываете на текущем месте работы в день и в час — и сравните это с тем, что вы могли бы зарабатывать, выполняя задачи, которые вам по силам, на удалёнке. Это простая формула, на открытие которой у меня ушло несколько трудных лет. Читать дальше →
Лучшее из опыта создания чистых и быстрых Angular приложений На написание этой статьи сподвигли поиски JavaScript front-end разработчиков в свою компанию в Ставрополе. Т.к. длительное время не удавалось найти толкового программиста и тогда мы решили запустить программу стажировки с большим количеством обучающего материала по Angular &...
Некоторые банки запретили устанавливать свои приложения на Galaxy S10 Ультразвуковой сканер Galaxy S10 настолько небезопасен, что разработчики отказываются от его поддержки Ситуации, когда разработчики приложений добровольно отказываются от поддержки конкретных моделей смартфонов, возникают чрезвычайно редко. Если это и происходит, то обычно п...
Как узнать, кто звонил Многим пользователям часто звонят с незнакомых номеров. Звонки от спамеров, колл-центров, мошенников поступают практически всем. Хорошо, если вы наткнулись на безобидный опрос. Куда хуже, если, перезванивая, вы попадаете на мошенников, и за разговор списываются баснословные ...
[Перевод] В чем разница между исследователем данных и статистиком? Всем привет. Открыт набор на новый курс от Otus — "Прикладная аналитика на R", который стартует уже в конце этого месяца. В связи с этим хочу поделиться переводом публикации о разнице между аналитиком по данным и статистиком, который в свою очередь использует R на практике. ...
Не надо экономить на цифровой безопасности Чуть ли не каждый день мы слышим о новых хакерских атаках и обнаруженных уязвимостях в популярных системах. А уж сколько всего сказано про то, что кибератаки оказали сильнейшее влияние на результаты выборов! Причём не только в России. Кажется очевидной необходимость принят...
Свежий эксплойт Oracle WebLogic набирает популярность Эксперты Unit 42 предупредили о растущем количестве атак на серверы Oracle WebLogic. Преступники эксплуатируют уязвимость CVE-2019-2725 и перехватывают контроль над атакованными системами. Впервые об этой бреши заговорили в конце апреля, когда вирусные аналитики зафиксировал...
Настройка Firefox в Linux Решил написать о настройке Firefox для Linux. В интернете похожие статьи то же есть, но в основном они по старым версиям браузера. Радикальных отличий в настройке Firefox для Linux или для Windows нет, однако есть свои особенности. Читать дальше →
В России запустили сервис бесконтактной оплаты Mir Pay для Android Пользователи смартфонов под управлением Android из России получили дополнительную возможность оплачивать покупки бесконтактным способом. Теперь в дополнение к Google Pay и Samsung Pay в стране заработал новый сервис, основанный на работе модуля ближнего поля (NFC). Им стал ...
[Перевод] Новости из мира OpenStreetMap № 478 (10.09.2019-16.09.2019) Еще незавершенная карта — «Святые Европы» 1 | data openstreetMap contributors Картографирование Мартин Ван Эксель разместил в своем Твиттере ссылку на презентацию о сервисе MapRoulette, которую он сделал во время конференции «State of the Map» в США. Дэн Стоуэлл написал в...
[Из песочницы] Пишем VLC плагин для изучения английского В данной статье я расскажу о том, как написать плагин на языке C для медиаплеера VLC. Я написал свой плагин для упрощения просмотра сериалов и фильмов на английском языке. Идея создания этого плагина описывается в разделах Идея и Поиск решения. Технические детали реализаци...
Самодокументируемый REST сервер (Node.JS, TypeScript, Koa, Joi, Swagger) Про преимущества и недостатки REST написано уже довольно много статей (и еще больше в комментариях к ним) ). И если уж так вышло, что вам предстоит разработать сервис, в котором должна быть применена именно эта архитектура, то вы обязательно столкнетесь с ее документировани...
Security Week 43: тайная жизнь IoT-ханипотов «Лаборатория Касперского» выпустила новое исследование атак на IoT-устройства, в котором достаточно подробно описаны как методы сбора информации о подобных атаках, так и результаты. Статистика собирается с так называемых «ханипотов — устройств, которые с разной степенью дост...
В России дешевле, чем в Китае. Официальное изображение и цены на флагман Meizu 16s утекли в сеть за день до анонса В сети продолжает накапливаться информация о флагманском смартфоне Meizu 16s, чей анонс ожидается уже 23 апреля. Ресурс Rozetked опубликовал официальный пресс-рендер Meizu 16s с написанной на нём российской ценой, также от китайских источников стали известны цены д...
Специалисты нашли способ внедрить вредоносный код в Excel Специалисты компании Mimecast разработали эксплойт, который позволяет внедрять и выполнять сторонний код в электронной таблице Excel. В ряде случаев PoC-эксплойт не предполагает взаимодействия с пользователем и плохо обнаруживается антивирусными сканерами. Разработчики Micro...
43% приложений для Android и 35% для iOS содержат уязвимости Компания Positive Technologies провела исследование приложений Android, представленных в Google Play, и приложений iOS из Apple Store, чтобы выяснить, какую угрозу они представляют для безопасности пользователей. В результатах исследований говорится о том, что 43% прило...
Google собирает материалы об эксплуатации 0-day уязвимостей Эксперты Google Project Zero, команды специалистов по уязвимостям нулевого дня, опубликовали собственную базу актуальных 0-day и призвали сообщество к совместной работе. Материалы собраны при расследовании атак таких сильных группировок, как APT3 (также известна как Buckeye)...
Поднимаем сервер 1с с публикацией базы и веб сервисов на Linux Сегодня я бы хотел рассказать, как поднять сервер 1с на linux debian 9 с публикацией web-сервисов. Что такое web-сервисы 1с? Web-сервисы — это один из механизмов платформы, используемых для интеграции с другими информационными системами. Он является средством поддержки...
[Перевод] Как десяток ведущих компаний пытаются создать мощный и недорогой лидар Лидар совершенно необходим для робомобилей – и вот, как работают некоторые из ведущих датчиков Лидар, или световой радар, это технология, критически важная для создания робомобилей. Датчики предоставляют компьютеру трёхмерное облако точек, обозначающее окружающее автомобил...
Retentioneering: как мы open-source инструменты для продуктовой аналитики на Python и Pandas написали Привет, Хабр. Эта статья посвящена итогам четырехлетней разработки набора методов и инструментов обработки траекторий движения пользователей в приложении или на сайте. Автор разработки — Максим Годзи, который стоит во главе команды создателей продукта, он же — автор статьи. ...
Python v3.x: обработчик исключений для корутин и синхронных функций. Вобщем, для всего В свободное время я работаю над своим небольшим проектом. Написан на Python v3.x + SQLAlchemy. Возможно, я когда-нибудь напишу и о нем, но сегодня хочу рассказать о своем декораторе для обработки исключений. Его можно применять как для функций, так и для методов. Синхронных ...
[Из песочницы] Назад в будущее с WebAssembly Привет, Хабр! Представляю вашему вниманию перевод статьи «Back To The Future With WebAssembly» автора Attila Vágó. Данный пост является переводом статьи, в которой рассказывается о свойствах WebAssemly и Emscripten. Оригинал статьи на английском языке. Автор статьи Аттила ...
Как проходил первый хакатон на The Standoff На PHDays 9 впервые в рамках кибербитвы The Standoff состоялся хакатон для разработчиков. Пока защитники и атакующие в течение двух дней боролись за контроль над городом, разработчики должны были обновлять заранее написанные и развернутые приложения, а также обеспечивать и...
Более 100 ресторанов в США оказались поражены POS-зловредом Сеть ресторанов для автомобилистов Checkers and Rally (Checkers), которая работает в 20 американских штатах, обнаружила на своих платежных терминалах POS-зловреда. Атака коснулась более чем 100 заведений — 15% от всех точек бренда. Представители сети опубликовали перечень по...
Лишь 5,5% уязвимостей применяются в реальных атаках Сводная группа исследователей подсчитала, что практическое применение в руках преступников находит малое количество уязвимостей, зато большинство из них оцениваются в 9-10 баллов по десятибалльной шкале CVSS.
[Перевод] Разработка надёжных Python-скриптов Python — это язык программирования, который отлично подходит для разработки самостоятельных скриптов. Для того чтобы добиться с помощью подобного скрипта желаемого результата, нужно написать несколько десятков или сотен строк кода. А после того, как дело сделано, можно прост...
[Из песочницы] Динамическое изменение схемы JSON в Go с помощью gob Значимо изменить маршализацию структуры в json можно только через метод MarshalJSON(), написав там полную реализацию маршализации. Как именно? На это документация Go ни ответов, ни рекомендаций не даёт, предоставляя, так сказать, полную свободу. А как воспользоваться этой св...
200 тысяч Redmi Note 7 за несколько минут. Xiaomi как обычно Цифры, которыми оперирует Xiaomi, когда речь заходит о распродажах уже мало кого удивляют. Но мы всё же в очередной раз напишем об этом, ведь аппарат Redmi Note 7 вышел не так давно, а до Индии, где прошла на днях очередная распродажа, добрался буквально только что. И выде...
В Windows обнаружена уязвимость нулевого дня, с помощью которой проводились целевые атаки Сведения о бреши, получившей номер CVE-2019-0797, были переданы в Microsoft; соответствующий патч уже выпущен.Данная уязвимость позволяет злоумышленникам получить доступ к сети или устройству жертвы. Для её использования был написан эксплойт, нацеленный на 8-ю и 10-ю версии ...
О том как я подготовился и сдал сертификацию Oracle Database SQL (1Z0-071) Зачем написана статья? Когда я готовился к OCA и OCP по Java 8, то нашел много статей на Хабре, благодаря которым выбрал оптимальный путь и сэкономил много времени. Однако по подготовке именно к OCA Oracle Database SQL (1Z0-071) материалов на Хабре нет и в интернете тоже о...
Мошенники эксплуатируют 0-day в популярном WordPress-плагине ИБ-исследователи из компании Wordfence обнаружили уязвимость нулевого дня в WordPress-плагине Social Warfare. Преступники используют брешь для внедрения вредоносного кода на сайты жертв посредством XSS-атак. Под угрозой оказались более 70 тыс. веб-ресурсов, на которых устано...
Обновляем macOS, iOS, Safari Компания Apple выпустила первые в этом году патчи для своих ОС, веб-браузера и Windows-клиента iCloud. В macOS Mojave, High Sierra и Sierra совокупно закрыто 23 уязвимости. Около половины из них позволяют выполнить произвольный код — таковы, например, брешь CVE-2019-6200 в к...
В Kubernetes закрыли обнаруженные ранее уязвимости HTTP/2 Разработчики opensource-системы Kubernetes защитили свое решение от DoS-атак через HTTP/2. Пропатченные уязвимости CVE-2019-9512 и CVE-2019-9514 получили по 7,5 баллов по шкале CVSS, что соответствует серьезному уровню угрозы. Ранее специалисты Netflix и Google рассказали о ...
Нейросеть по цене Пикассо: новую картину, написанную ИИ, продадут на аукционе 6 марта на аукционе Sotheby’s в Лондоне появится очень необычный лот — инсталляция, главным элементом которой является нейросеть, постоянно генерирующая уникальные портреты. Проект, названный «Воспоминания прохожих 1» (Memories of Passersby 1), станет вторым произведе...
Watchbog атакует Linux-серверы через дыры в Jira и Exim ИБ-исследователь из Intezer Labs обнаружил новую версию трояна Watchbog, загружающего на Linux-серверы майнер Monero (XMR). Доставка зловреда осуществляется через уязвимости в ПО Atlassian Jira и почтовом агенте Exim. По данным поисковиков Shodan и BinaryEdge, угроза актуаль...
Сервис Storiesgain.com – простой и быстрый инструмент для рекламы Все больше известных брендов и крупных рекламодателей начинают использовать сервис Storiesgain.com для покупки у блогеров рекламы в сториз. Только в первый день работы сервиса 1 июня в нем зарегистрировались сотни различных брендов, среди которых такие крупные, как Альфа-бан...
Осторожно: В Google Play появился поддельный Google Play Какая только гадость не попадает в Google Play В Google Play много всякого треша и пока от этого никуда не деться. Несмотря на уверения Google в том, что её магазин приложений является самой безопасной платформой дистрибуции ПО для Android, там то и дело находят трояны с дес...
Инфостилер Raccoon заселился на 100 тысяч ПК В криминальных кругах быстро набирает популярность новая программа для кражи данных — Raccoon. За несколько месяцев этот похититель информации, по оценке Cybereason, успел заразить более 100 тыс. Windows-машин в странах Северной Америки, Западной Европы и Азии. Зловред не ос...
Эксперт нашел способ прочитать письма пользователей macOS Исследователь Боб Джендлер (Bob Gendler) нашел способ прочесть зашифрованные электронные письма пользователей macOS. Как выяснил эксперт, они хранятся в виде простого текста в одном из файлов, который использует Siri. Джендлер наткнулся на уязвимость, когда пытался разобрать...
[Из песочницы] Как я проработала 3 месяца в Я.Маркете и уволилиась Первая попытка Все началось с того, что я люблю ходить по конференциям и частенько хожу на них в Яндекс, Mail.ru и другие крупные компании. Однажды мне написал HR из Яндекса и попросила сделать тестовое на стажера фронтенд разработчика. Я его сделала, вот оно. По условию он...
GitHub купил анализатор кода Semmle GitHub объявил о покупке Semmle — аналитического инструмента, который помогает разработчикам и исследователям безопасности находить уязвимости в коде.
Объектное хранилище в подсобке, или Как стать самому себе сервис-провайдером Первый прототип объектных хранилищ мир увидел в 1996 году. Через 10 лет Amazon Web Services запустит Amazon S3, и мир начнёт планомерно сходить с ума от плоского адресного пространства. Благодаря работе с метаданными и своей возможности масштабироваться, не проседая под нагр...
Декларативная схема и что с ней не так в Magento 2 Всем привет. Данная публикация не претендует на звание истины в первой инстанции, а лишь является моим личным мнением, если вы его разделяете отлично, если нет — прошу в комментарии для обсуждения. Так вот, ближе к делу. В версии Magento 2.3 и выше появилась такая «плюшка» ...
Microsoft и NIST научат бизнес ставить патчи Компания Microsoft и Национальный институт стандартов и технологий США (US National Institute of Standards and Technology, NIST) создадут практическое руководство по установке патчей в корпоративных инфраструктурах. Эксперты намерены повысить грамотность бизнеса в вопросах И...
WIBattack: уязвимость в SIM-картах, аналогичная Simjacker Специалисты по мобильной кибербезопасности сообщили о новом методе взлома сотовых телефонов с использованием функциональности SIM-карты, который они назвали WIBattack. Обнаруженная экспертами уязвимость позволяет с помощью служебного SMS-сообщения выполнять на устройстве SIM...
ЭЛАР создаст технологическую платформу для «Тотального диктанта» Передовые отечественные технологии на службе просвещения: корпорация ЭЛАР предоставит технологическую платформу для крупнейших городов проведения Тотального диктанта - Москвы и Новосибирска, где суммарно текст напишут 30 тысяч участников на пятистах площадках. Теперь участни...
Перевод книги «Using Google Analytics with R» (Michal Brys) Электронная книга «Using Google Analytics with R» (Michal Brys) представляет собой практическое руководство по анализу данных из Google Analytics в R. Написана дата-сайентистом в 2014 году, но ничуть не теряет своей актуальности и сегодня. Читать дальше →
[Перевод] Софт для Boeing-737 Max писался аутсорсерами, зарабатывающими $9 в час В разгар кризиса вокруг Boeing-737 Max, до сих пор остается загадкой: каким образом компания, прославленная своим тщательным подходом к проектированию, допустила, судя по всему, детские ошибки при разработке софта, приведшие к двум катастрофам с человеческими жертвами. Инж...
В Oracle WebLogic обнаружена RCE-уязвимость Разработчики Oracle выпустили экстренный патч для серверов WebLogic, чтобы закрыть обнаруженную уязвимость нулевого дня. Эксперты призывают администраторов срочно установить обновление, поскольку баг уже получил применение в кибератаках. Первыми об угрозе сообщили специалист...
[Из песочницы] Как работают веб-приложения Это статья для начинающих разработчиков и тех, кто хочет немного ориентироваться в терминах и технологиях современных веб-приложений. В статье написано о том, чем веб-приложения отличаются от сайтов, какие бывают веб-приложения, из чего они состоят и как работают. Читать да...
Samsung может заменить ультразвуковой сканер ... С просторов Южной Кореи пришло сообщение, что Samsung может отказаться от использования ультразвукового сканера отпечатков пальцев в своих будущих смартфонах. Есть предпосылки полагать, что предпочтение будет отдано оптическому датчику и это только пойдет на пользу самим моб...
Смартфон LENOVO Z5 PRO GT на MWC 2019 Много людей купили смартфон Lenovo Z5 Pro GT, запущенным около месяца назад. На свой стенд на MWC 2019, китайской компании Lenovo удалось привезти несколько смартфонов, вот наши первые впечатления! Давайте начнем с того, что, вероятно, подтолкнет многих людей к импульсивной ...
В Bluetooth выявлена серьезная уязвимость Группа исследователей обнаружила критическую уязвимость в интерфейсе Bluetooth, из-за которой все совместимые устройства подвергаются риску взлома. Организация Bluetooth SIG уже выпустила уведомление о безопасности, в которой описана уязвимость, связанная с шифрованием...
Модель для разработки, на основе «элементов» Вот уже на протяжении нескольких лет я мелкими шажками иду к этой цели. Первую половину времени я просто создавал сайты, сначала используя движки, затем с нуля — проектируя и базу данных и функционал. Каждый новый сайт или проект я пытался разработать так, чтобы он не был уз...
[Из песочницы] На работу на велосипеде. Еще одно мнение Внимание! Это не автор поста! Вступление Статья не про электротранспорт. Электровелосипеды живут где-то в соседних темах. Коллега RicoScrewdriver опубликовал неплохую статью про поездки на работу на велосипеде. Я же беру на себя смелость написать аналогичный опус, но с точ...
[Из песочницы] Анализ Minor Violations Java кода на платформе Duerank.com (часть 1) Введение Что мы знаем об ошибках в коде приложений, написанных на Java? Ну, мы наверняка знаем, что они там встречаются. А насколько часто встречаются? Как много делает разнообразных ошибок в своём коде разработчик? Под ошибками мы понимаем не только баги, но и наличие раз...
[Из песочницы] Как рушатся стереотипы начинающего разработчика при старте игры Сегодня хотел бы уже начать свою деятельность на этом хабе и написать свою первую статью. Она будет посвящаться тому, как были в миг обрушены мои стереотипы об успешной карьере на Google Play для каждого желающего. И да, я начинающий разработчик на Google Play. Но давайте об...
[Перевод] Клон Mirai добавляет дюжину новых эксплойтов для целевых корпоративных IoT-устройств Исследователями обнаружен новый клон всем известного ботнета Mirai, ориентированного на IoT-устройства. На этот раз, под угрозой оказались встраиваемые устройства, предназначенные для применения в бизнес-средах. Конечной целью злоумышленников является контроль над устройства...
[Из песочницы] Что спрашивают на собеседовании у джуна, или как я искала свою вторую работу в ИТ Я работаю в сфере IT чуть более 1 года как Test Automation Engineer. Мое базовое образование никак не способствовало этому, поскольку в моем дипломе написано “Логистик-Экономист”. Тернистный путь в IT я начала с бесплатных курсов при одной крупной компании в моем городе, по...
Чтение на лето: книги для технарей Мы собрали книги, которые рекомендуют своим коллегам по цеху резиденты Hacker News. Здесь нет справочников или руководств по программированию, зато есть любопытные издания о криптографии и теоретической информатике, об основателях IT-компаний, есть и научная фантастика, напи...
За два дня «белые» хакеры заработали на Pwn2Own $510 тысяч За два первых дня соревнования Pwn2Own-2019 в Ванкувере этичные хакеры нашли и продемонстрировали 14 уязвимостей в браузерах и платформах виртуализации. Это принесло им в общей сложности $510 тыс. Pwn2Own проводится в рамках конференции по информационной безопасности CanSecW...
В стационарных телефонах Avaya нашли RCE-уязвимость ИБ-исследователи обнаружили критическую уязвимость удаленного выполнения кода (RCE) в стационарных IP-телефонах производства компании Avaya, которыми пользуются 90% компаний из списка Fortune 100. Баг дает злоумышленникам возможность перехватить контроль над устройством, про...
Эксперимент: Как замаскировать использование Tor для обхода блокировок Цензура в интернете становится все более важной проблемой во всем мире. Это приводит к усилению «гонки вооружений» – государственные органы и частные корпорации в разных странах стремятся блокировать различный контент и борются со средствами обхода таких ограничений, а раз...
Слухи: Samsung планирует выпустить сразу три смартфона с наэкранным сканером отпечатков пальцев в этом году Уже практически все крупные компании имеют в своем портфолио смартфоны с наэкранным сканером отпечатков пальцев. Однако Samsung до сих пор не может похвастаться подобным решением. Исходя из многочисленных слухов, в этом году компания все-таки выпустит три устройства с подобн...
[Перевод] Реалистичная каустика отражений Большинство технических художников на каком-то этапе карьеры пытается создать правдоподобные отражения каустики. Если вы разработчик игр, то одна из основных причин чтения Twitter заключается в бесконечном потоке вдохновения, которое из него можно почерпать. Несколько дней ...
Новая критическая уязвимость позволяет взломать смартфон при помощи СИМ-карты Оказывается, что взломать смартфон можно и посредством обычной СИМ-карты На страницах нашего сайта мы уже неоднократно писали о различных рода вирусах, «дырах» в системе безопасности и о том, как с ними справиться. И если раньше все подобные сообщения касались, по ...
[Из песочницы] Обзор и тестирование 3D-сканера HP 3D Structured Light Scanner Pro S3 Приветствую вас. Недавно мне на работе довелось протестировать 3д-сканер от компании Hewlett Packard – HP 3D Structured Light Scanner Pro S3. Поэтому я решил поделиться с вами своим опытом его использования. Данный сканер работает по технологии структурированного света SLS....
Утечка данных (которая могла произойти, но не произошла) из телемедицинской компании Буквально пару дней назад я писал на Хабре про то, как российский медицинский онлайн-сервис DOC+ умудрился оставить в открытом доступе базу данных с детальными логами доступа, из которых можно было получить данные пациентов и сотрудников сервиса. И вот новый инцидент, с уже ...
Троян SpeakUp устанавливает бэкдор на Linux-серверы Исследователи из компании CheckPoint рассказали об атаках нового трояна, получившего название SpeakUp. Зловред эксплуатирует уязвимость во фреймворке ThinkPHP, а также другие бреши, чтобы установить бэкдор на Linux-серверы и внедрить в систему майнер криптовалюты. Программа ...
89% мобильных приложений можно взломать Как сообщают «Известия» со ссылкой на исследование, способы хищения достаточно разнообразны — например, вирусное ПО может отслеживать манипуляции пользователя с клавиатурой или делать снимки экрана во время запуска банковского приложения. Полностью защитить смартфон от зараж...
[Из песочницы] Python + Raspberry Pi + Pixhawk и квадрокоптер. Или как не надо делать роботов Привет, Хабр! Меня зовут Алексей, уже 7 лет я ведущий разработчик Smart TV-решений в крупной компании из Ижевска, занимающейся заказной разработкой. Каждый год у нас проводится конкурс новогодних украшений, и каждый раз мы ничего не украшаем, а пилим всякие технологичные шт...
Xiaomi уже объявила, что будет использовать новейшую технологию размещения дактилоскопа под ЖК-экраном Только лишь мы успели написать о том, что компания Fortsense сделала возможным располагать под ЖК-экранами сканеры отпечатков пальцев, как Xiaomi уже объявила о том, что будет использовать такое решение. Этой информацией поделился директор по продуктам Xiaomi Ван Тенг ...
Пишем свой язык программирования, часть 3: Архитектура транслятора. Разбор языковых структур и математических выражений Введение Приветствую вас, заинтересованные читающие разработчики на не важно каких языках, на которых я ориентирую эти статьи и чьи поддержку и мнения я ценю. Для начала, по устоявшимся традициям, я приведу ссылки на предыдущие статьи: Часть 1: пишем языковую ВМ Часть 2:...
Почему мы выбираем скучные смартфоны? Когда купил Galaxy Note 10 Давно покупали себе новый мобильный телефон? Я вот не меняю свой уже несколько лет. Хотя производители смартфонов постоянно стараются нас чем-то удивить — все эти сканеры лица, пятерные камеры и так далее, в конечном счете новые опции не прив...
В Xiaomi нашли опасную уязвимость Как сообщает «Коммерсант», Guard Provider позволяет устанавливать на смартфоны Xiaomi вредоносный код незаметно для владельца. Ирония в том, что это предустановленное приложение как раз должно защищать пользователя от кибератак. Приложение присутствует на всех новых мобильны...
Эволюция CI в команде мобильной разработки Сегодня большинство программных продуктов разрабатываются в командах. Условия успеха командной разработки можно представить в виде простой схемы. Написав код, вы должны убедиться, что он: Работает. Ничего не ломает, в том числе код, который написали ваши коллеги. Если ...
Главной угрозой устройствам интернета вещей остается безалаберность пользователей К такому выводу пришли аналитики F-Secure. Они указывают, что при этом число типов угроз для устройств интернета вещей (ИВ-устройств) выросло вдвое только в 2018 г. 87% случаев атак, по данным экспертов, связаны с использованием нелицензионного программного обеспечения и сла...
Уязвимость Thunderclap делает компьютеры уязвимыми для атак через порт Thunderbolt, последние версии macOS и Windows 10 уже защищены Группа исследователей обнаружила новую уязвимость безопасности в спецификации передачи данных Thunderbolt, которая получила название Thunderclap. Данная уязвимость может сделать компьютеры открытыми для серьезных атак со стороны другого оборудования с интерфейсами USB-C или ...
Google устроила показную борьбу с вирусами в Google Play Ищете самый безопасный магазин приложений? Google Play — не ваш выбор Нет ничего зазорного в том, чтобы платить тем, кто делает твою работу за тебя. В современном мире это называется аутсорсинг. Этим пользуются многие компании, отдавая выполнение определённых задач, не...
Как снижение ставки эквайринга повлияет на нас (держателей карт) — 2 В связи с тем, что мой предыдущий пост Как снижение ставки эквайринга повлияет на нас (держателей карт) сильно заминусовали, мне бы хотелось пояснить мою мысль чуть более развернуто. Для начала я не работаю в банке, поэтому не защищаю их точку зрения. За моими плечами имее...
Сработало! Илон Маск передал первое сообщение через спутниковую сеть для всемирного Интернета Илон Маск написал и отправил на своей странице в Twitter первое сообщение через спутниковую сеть Starlink. Предполагается, что сеть охватит всю поверхность нашей планеты Интернетом стандарта 5G.
Создаем краудсорсинговые карты помощи на WordPress + shMapper TL;DR мы сделали бесплатный опен-сорсный плагин shMapper, который позволяет создавать карты помощи, а также другие краудсорсинговые карты (с подложкой на Я.К и OSM) на WordPress. Завязка Девять лет назад горела вся центральная Россия. Я написал хабрапост, в котором призвал...
Реализация целого типа в CPython На Хабре уже были статьи о подробностях реализации менеджера памяти CPython, Pandas, я написал статью про реализацию словаря. Казалось бы, что можно написать про обычный целочисленный тип? Однако тут не всё так просто и целочисленный тип не такой уж и очевидный. Если вам и...
[Перевод] Документация по API Xamarin теперь в открытом доступе Мы рады объявить о выпуске всей документации по API Xamarin в формате Open-Source! Документация по API помогает улучшить взаимодействие с IntelliSense и является одним из лучших способов помочь разработчикам достичь своих целей. Документация по API Xamarin Кроме того, мы та...
[Из песочницы] Full-stack TypeScript Apps Привет, Хабр! Представляю вашему вниманию перевод статьи "Full-Stack TypeScript Apps — Part 1: Developing Backend APIs with Nest.js" автора Ana Ribeiro. Часть 1: Разработка серверного API с помощью Nest.JS TL;DR: это серия статей о том, как создать веб-приложение TypeScript ...
Импортозамещение на практике. Часть 3.1. «QP ОС». Первый в своем роде обзор операционной системы До этого момента обзоров данной ОС не было. Авторы и разработчики хранят свои тайны, и не хотят, что бы вся их работа утекла в сеть и стала достоянием общественности. В связи с этим, тестирование QP ОС возможно лишь по договору, и, на данный момент времени, только для юр.ли...
5-6 причин прийти на GolangConf Если вы бывали на HighLoad++, то знаете о традиционном митапе по Go. Активисты, интересующиеся Go, занимали зал на пару часов, представляли небольшие доклады, обсуждали насущные темы, холиварили. Были на HighLoad++ и отдельные доклады по Go. Теперь, нам кажется, что Go-сооб...
[Из песочницы] ClusterJ — работаем с MySQL NDB Cluster из Java Привет, Хабр! В этой статье я хочу рассмотреть такую библиотеку для Java, как ClusterJ, которая позволяет очень просто работать с движком MySQL NDBCLUSTER из Java кода, которая представляет собой высокоуровневое API, схожее по концепции с JPA и Hibernate. В рамках статьи со...
Схемы электрические. Типы схем Привет Хабр! Чаще в статьях приводят вместо электрических схем красочные картинки, из-за этого возникают споры в комментариях. В связи с этим, решил написать небольшую статью-ликбез по типам электрических схем, классифицируемых в Единой системе конструкторской документац...
Рождение платформы Мир изменился. Я чувствую это в воде, вижу в земле, ощущаю в воздухе. Всё, что когда-то существовало, ушло, и не осталось больше тех, кто помнит об этом. Из фильма «Властелин колец: Братство кольца» В интернете существует 100500 статей и докладов на тему «как мы пилили мо...
Российская система электронного голосования взламывается за 20 минут Основная уязвимость системы — возможность вычислить приватный ключ по публичному.
[Из песочницы] Подводные камни разработки Google Play Instant Привет, Хабр! Меня зовут Камо Сперцян, я занимаюсь Android-разработкой в PROFI.RU. Недавно я написал приложение с мгновенным запуском для наших клиентов. Если вы ещё не знакомы с технологией, приглашаю вас сначала посетить Android Developers. С презентации Instant Apps (G...
Первые доклады на PHDays: перехват видеоконференций, новая версия GhostTunnel, атаки на Java Card Для нашего программного комитета наступила горячая пора — вовсю идет прием заявок на участие в Positive Hack Days. У желающих выступить с докладом осталась всего пара недель для подачи заявок: Call for Papers закроется 31 марта. Недавно мы анонсировали ключевого докладчика P...
Microsoft устранила баг 0-day, уже используемый в атаках Февральский набор обновлений для продуктов Microsoft устраняет два десятка критических уязвимостей. Четыре закрываемых бреши, степень опасности которых признана высокой, уже стали достоянием общественности. Пропатчена также уязвимость нулевого дня в Internet Explorer, уже вз...
Пользователям Android угрожает уязвимость StrandHogg Исследователи из норвежской компании Promon обнаружили серьезную уязвимость Android, позволяющую злоумышленникам перехватывать критически важные пользовательские данные и устанавливать скрытый контроль над мобильными устройствами. Эксперты насчитали в Google Play несколько д...
[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...
[Из песочницы] Dagger 2 – это элементарно (Часть 1) Содержание Введение Что такое Dependency Injection, Пример зависимости Dagger 2 – введение Первое использование Dagger 2 Введение Статья написана не продвинутым программистом для таких же, обычными и понятными словами В статье используется пример кода на Kotlin. Версия da...
Баги в USB-приемниках Logitech частично останутся без патчей Независимый ИБ-исследователь Маркус Менгс (Marcus Mengs) опубликовал информацию о серии уязвимостей в оборудовании Logitech. Баги позволяют злоумышленнику перехватывать данные, которые поступают на уязвимое устройство, незаметно для жертвы внедрять нажатия клавиш и захватыва...
Советский центр управления полетами времен «Востоков» и «Восходов» Написать эту статью меня побудила вот эта фраза Филиппа Терехова из его обзора фильма «Время Первых»: «Отдельная интересная история с Центром управления полетами, как он показан в фильме. Увы, но красивая картинка выше представляет собой копию американского ЦУПа…Внутренн...
Какие компании претендуют на развитие технологий «Цифровой экономики» До конца февраля должны пройти конкурсы по выбору компаний, которые напишут «дорожные карты» по каждому из девяти основных направлений программы «Цифровая экономика». За право провести эту работу поборются сразу несколько игроков.
Опубликованы PoC к 0-day в Internet Explorer и Edge Независимый исследователь Джеймс Ли (James Lee) выложил в сеть PoC для уязвимостей в Internet Explorer и Edge. Найденные специалистом бреши позволяют обойти правило ограничения домена (SOP) и выполнить в среде браузера вредоносный скрипт, размещенный на сервере злоумышленник...
Исследователи научились шпионить за пользователями Android Исследователи обнаружили возможность следить за владельцами Android-смартфонов и скрытно управлять их устройствами. Под угрозой владельцы как минимум 10 моделей телефонов, включая Google Pixel 2, Huawei Nexus 6P и Samsung Galaxy S8+. Проблема содержится в системном интерфейс...
GPS трекер BOXY Привет, Хабр! GPS трекером уже никого не удивишь — это факт. Написать этот краткий обзор решил, когда первый раз взял в руки эту «фитюльку». Ну, по порядку: появилась задача – оснастить трекером домашнего питомца. Не то чтобы он убегал постоянно, но для общего спокойствия ч...
[Перевод] 6 небольших советов чтобы подготовить NodeJS к высоким нагрузкам Сервис с распознаванием лиц «Look-A-Like» обслуживал тысячи пользователей одновременно Разработка на NodeJS в качестве хобби — сплошное удовольствие, но когда речь о продакшене для множества пользователей, есть пара вещей, которые стоит знать, чтобы избежать долгого отклика ...
Книга «Kafka Streams в действии. Приложения и микросервисы для работы в реальном времени» Привет, Хаброжители! Эта книга подойдет для любого разработчика, который хочет разобраться в потоковой обработке. Понимание распределенного программирования поможет лучше изучить Kafka и Kafka Streams. Было бы неплохо знать и сам фреймворк Kafka, но это не обязательно: я ра...
Medium Weekly Digest #5 (9 – 16 Aug 2019) Мы постоянно слышим фразу «национальная безопасность», но когда государство начинает следить за нашим общением, фиксируя его без веских подозрений, юридического основания и без какой-либо видимой цели, мы должны задать себе вопрос: они и в самом деле защищают национальную бе...
Эволюция средств поставки, или размышления о Docker, deb, jar и прочем Как-то в один момент я решил написать статью про поставку в виде контейнеров докер и deb-пакетов, но когда начал, меня почему-то понесло в далекие времена первых персональных компьютеров и даже калькуляторов. В общем, вместо сухих сравнений докера и deb получились вот таки...
Сеть компании и MitM. Часть 2 Перехватить конфиденциальную информацию? Получить несанкционированный доступ к различным приложениям и системам? Нарушить нормальный режим работы? Все это и многое другое выполняют атаки типа Man in the Middle. Сегодня мы продолжаем цикл статей, посвященный атакам «челове...
Как нужно и не нужно писать чат ботов на примере моего бота для игры в «Тайный Санта» Предыстория Год назад решил я создать телеграм бот для того, чтобы поиграть в достаточно популярную новогоднюю игру «Тайный Санта». Вдохновился я тем, что пару лет назад мы на работе компанией решили сыграть в эту игру (это показалось очень круто), и плюс я давно следил за...
Разработка мобильного приложения без сервера Очень часто при разработке мобильных приложений (возможно с веб-приложениями та же проблема) разработчики попадают в ситуацию, когда бэкэнд не работает или не предоставляет нужных методов. Такая ситуация может происходить по разным причинам. Однако, чаще всего на старте ра...
Популярные приложения на Google Play содержат уязвимости Эксперты Check Point обнаружили серьезные уязвимости в представленных на Google Play приложениях с сотнями миллионов загрузок, включая продукты Facebook и Yahoo. По словам исследователей, безопасные на первый взгляд Android-программы содержат глубинные баги, грозящие исполне...
В игровом клиенте GOG закрыто шесть опасных уязвимостей Эксперты Cisco Talos обнаружили набор серьезных уязвимостей в клиенте игровой платформы GOG. Бреши, которые уже закрыты в актуальной версии программы, позволяли взломщику повысить привилегии в системе и получить доступ к закрытым данным. Платформа GOG.com — это цифровой мага...
Эксперты насчитали более 100 эксплойтов для уязвимости WinRAR Несмотря на то, что в новом релизе проблему устранили, атаки по-прежнему продолжаются.
[Перевод] Четыре больших ошибки, которые совершал каждый программист Фотограф — Blake Connally, источник — Unsplash Создание программного обеспечения — искусство. Написание кода позволяет нам самовыражаться. И каждый разработчик делает это по-своему. Но индивидуализм не бесплатен — в этой статье я напишу о некоторых самых распространённых оши...
Еще два 0-day бага в Windows обнародованы SandboxEscaper Независимый ИБ-специалист SandboxEscaper продолжает публиковать эксплойты для продуктов Microsoft и заявляет о желании продать свои находки заинтересованным лицам. Вслед за тремя 0-day, выложенными накануне, исследовательница разместила на GitHub информацию об обходе уже про...
Терраформируй это: обзор Terragenesis В App Store/Google Play можно найти самые разные игры, поэтому я не сильно удивился, когда в одном из профильных чатов меня спросили, знаю ли я игру о терраформировании небесных тел. Посмотрев ее, решил написать небольшой обзор, потому что игра, на мой взгляд, хоть и не без ...
Google заплатит за баги в приложениях В программе поиска багов участвуют все популярные приложения Несколько лет назад компания Google запустила программу по поиску уязвимостей Android Security Rewards Program. Корпорация «добра» начала платить хакерам за обнаружение уязвимостей и ошибок в Android, а также среди...
Гайд для разработчиков по созданию ИИ-приложений Создайте вашего первого умного бота с Microsoft AI Искусственный интеллект ускоряет цифровую трансформацию в каждой отрасли, включая производство, розничную торговлю, финансы, здравоохранение и многие другие. При таком уровне каждая отрасль сможет использовать ИИ для улучшен...
Реакция на холодные письма Меня немного расстроила статья «Оцениваем рекрутёров по холодным письмам». Как по мне, вся проблема высосана из пальца, и все очень похоже на то, что уже описал автор: Иди-ка ты на !@# со своей «токсичностью» Я напишу максимально противоположное большинству мнение, чем ско...
Инфраструктура компании как продукт Инфраструктура — это то, от чего зависит работа и прибыль IT-бизнеса. Все процессы, которые происходят с кодом от компьютера разработчика и до продакшена, зависят от бесперебойной работы серверов, ПО, внешних сервисов. Если инфраструктура не работает как надо, бизнес теряет ...
В беспроводном VPN-оборудовании Cisco обнаружена RCE-брешь Компания Cisco сообщила о проблеме в трех продуктах класса SOHO. Угроза выполнения стороннего кода обнаружилась в интернет-консоли, используемой для настройки VPN-роутеров Cisco RV130W Wireless-N Multifunction и RV215W Wireless-N, а также VPN-брандмауэра RV110W Wireless-N. У...
Статический анализатор кода PVS-Studio как защита от уязвимостей нулевого дня Угроза нулевого дня (англ. zero day) – это термин, обозначающий уязвимости, допущенные при разработке, которые еще не были обнаружены. Такие уязвимости могут использоваться злоумышленниками, что в итоге затронет и репутацию компании. Перед разработчиками стоит задача максим...
E-Dobavki — веб-сервис поиска пищевых добавок на Java и Spring Boot, написанный моими студентами Введение Так получилось, что последние почти два года я преподаю программирование в одной из IT школ Киева. Занялся я этим Just For Fun. Когда-то я вел блог по программированию, потом забросил. Но желание рассказывать полезные вещи заинтересованным людям никуда не делось. Мо...
Лучшие программы для взлома Wi-Fi сетей Android-смартфон способен на многое. В том числе и на то, чтобы взломать беспроводную сеть В одном из наших предыдущих материалов мы уже рассказывали вам о лучших хакерских приложениях. Чтобы не пропускать такие материалы — подпишитесь на наш канал в Телеграм, если эта...
Инструкция: как тестировать ansible-роли и узнавать о проблемах до продакшена Всем привет! Я работаю DevOps-инженером в сервисе бронирования отелей Ostrovok.ru. В этой статье я хочу рассказать о нашем опыте тестирования ansible-ролей. В Ostrovok.ru в качестве менеджера конфигураций мы используем ansible. Недавно мы пришли к необходимости тестирования ...
[Из песочницы] Как мы создали рекомендательный сервис по подбору одежды на нейронных сетях В этой статье я хочу рассказать о том, как мы создали систему поиска похожей одежды (точнее одежды, обуви и сумок) по фотографии. То есть, выражаясь бизнес-терминами, рекомендательный сервис на основе нейронных сетей. Как и большинство современных IT-решений, можно сравни...
Облачные игры: оценка возможностей сервисов для игры на слабых ПК из первых рук Представляю продолжение своей статьи «Облачные сервисы для игры на слабых ПК, актуальные в 2019 году». В прошлый раз мы оценивали их достоинства и недостатки, используя открытые источники. Сейчас же я протестировала каждый из сервисов, о которых говорилось в прошлый раз. ...
[Перевод] Как разработчики процедурно создали кучу «мусорных» мобильных игр и заработали 50 тысяч долларов Два инди-разработчика рассказывают, как использовали автоматизацию, один аккаунт Google Play и единственный шаблон игры про слот-машины для создания и публикации более тысячи приложений. На проводимой в этом году Game Developers Conference выступили два разработчика игр, с...
[Из песочницы] Управление состоянием приложения в Flutter Привет, Хабр! Представляю перевод статьи, Let me help you to understand and choose a state management solution for your app, которая попалась мне и заинтересовала в процессе изучения азов управления состоянием во Flutter. Буду рад услышать любую критику касательно данного пе...
Сканеры документов: сравниваем 5 лучших приложений С помощью приложений-сканеров вы можете сканировать документы через фотокамеру. Мы сравниваем 5 лучших сканеров документов для iOS и Android.
Делаем мессенджер*, который работает даже в лифте *на самом деле мы напишем только прототип протокола. Возможно, вы встречались с подобной ситуацией – сидите в любимом мессенджере, переписываетесь с друзьями, заходите в лифт/тоннель/вагон, и интернет вроде ещё ловит, но отправить ничего не получается? Или иногда ваш прова...
Дефекты лайков Вместо эпиграфа. Больше всего лайков собирают «котики». Можно ли это считать признаком эпидемии токсоплазмоза? В 1636 году, некий француз, Пьер де Ферма, по образованию и профессии юрист, написал трактат «Введение к теории плоских и пространственных мест», где изложил то...
Ботнет Bashlite нацелился на умные устройства Belkin WeMo Создатели IoT-бота Bashlite расширили его возможности: теперь он умеет проводить несколько вариантов DDoS-атак, обладает функциями бэкдора, а также способен удалять клиенты конкурентов. Очередной вариант Bashlite нацелен на линейку оборудования WeMo компании Belkin и доставл...
Пользоваться ES File Explorer теперь опасно. В приложении найдены уязвимости Французский исследователь безопасности, известный под псевдонимом Эллиот Алдерсон (Elliot Alderson) обнаружил уязвимость в популярном файлменеджере ES File Explorer, которая позволяет получить доступ к данным других пользователей, подключенных к той же Wi-Fi сети. Всё, что д...
Huawei объявила, что создает свой аналог Google Play Huawei Mate 30 Сегодня Huawei представила свой первый смартфон без сервисов Google. Причиной стали санкции США, которые внесли компанию в список угроз национальной безопасности страны. Из-за этого Huawei запретили вести совместную деятельность с американскими компаниями, всл...
Утечки из приложений для знакомств В конце 2018 г. в Сеть на продажу были выложены данные 30 млн пользователей Momo - одного из самых популярных приложений для знакомств в Китае. Всю базу учетных записей, включая мобильные телефоны и пароли, можно было купить всего за 200 юаней (около $30). Такая невысокая це...
Дополнительный заработок в интернете Согласитесь, практически каждый хочет научиться зарабатывать деньги в сети интернет, однако не многие знают как именно это можно сделать. Сегодня мы бы хотели поговорить о том, как именно пользователи сети интернет зарабатывают очень даже неплохие деньги в режиме онлайн, и д...
Microsoft, похоже, попрощалась с мечтой об универсальных приложениях UWP, в Microsoft Store появятся полноценные Win32 игры У Microsoft была мечта о своей операционной системе, которая включала бы универсальные приложения Windows. Такие приложения можно было бы распространять на компьютеры, смартфоны, планшеты и даже консоли Xbox. Идея заключалась в том, чтобы разработчики могли написать одно при...
«Любит и не любит»: DNS over HTTPS Разбираем мнения относительно особенностей работы DNS over HTTPS, которые за последнее время стали «яблоком раздора» среди интернет-провайдеров и разработчиков браузеров. Читать дальше →
Nginx VTS Stats, Mockify — mock API, сравнение Wiremock и Mockify В этом посте я хотел сделать демо Nginx VTS + Prometheus + Grafana. Для демо необходимо было чтобы upstream могли выдавать разные http коды. Это могли сделать следующие проекты: Mockify, написанный на Golang, и WireMock, написанный на Java. Небольшое оглавление установка и...
МегаСлёрм для инженеров и архитекторов Kubernetes Через 2 недели стартуют интенсивы по Kubernetes: Слёрм-4 для тех, кто знакомится с k8s и МегаСлёрм для инженеров и архитекторов k8s. На Слёрм-4 остались последние 10 мест в зале. Желающих освоить k8s на базовом уровне хватает. Для Ops, который знакомится с Kubernetes, запу...
В Firefox и Tor устранили две критические уязвимости Разработчики Mozilla и The Tor Project выпустили обновления для браузеров Firefox 66.0.1 и Tor 8.0.8. В этих версиях устранены две критические уязвимости, обнаруженные участниками Pwn2Own-2019. Во второй день соревнования члены команды Fluoroacetate — Ричард Жу (Richard Zhu)...
Как подсидеть тимлида Пятница – самый подходящий день для того, чтобы наконец-то свергнуть власть своего тимлида. Он никогда не решит уволиться по своей воле, потому что это не работа, а сказка. Его нужно сломать и не оставить ему другого выхода. Давайте разберемся, как сделать так, чтобы он пр...
NetGuard 2.218 NetGuard — от разработчика под ником M66B с форума XDA будет очень полезным для многих пользователей, ведь оно позволяет закрыть доступ к интернету установленным приложениям. Особенность NetGuard заключается в том, что приложение работает без root-доступа, что практически не...
Microsoft устранила два бага 0-day, замеченные в атаках Июльский набор патчей для продуктов Microsoft закрывает 77 уязвимостей, в том числе 15 критических и две уже используемые злоумышленниками. Одиннадцать критических уязвимостей выявлены в скриптовых движках и браузерах, остальные затрагивают DHCP-сервер, подсистему GDI+, фрей...
Способ организации коллективного изучения теории в ходе семестра Всем привет! Год назад я написал статью про то, как я организовывал университетский курс по обработке сигналов. Судя по отзывам, в статье много интересных идей, но она большая и тяжелочитаемая. И я давно хотел разбить её на более маленькие и написать их понятнее. Но писать о...
Сервис такси Uber Russia начал работать в 104 новых городах России, праздничные скидки Вчера сервис Uber Russia начал работать ещё в 104 городах России, в связи с чем до конца февраля будет действовать скидка 10% на поездки. Скачать Uber Russia можно в магазинах приложений App Store и Google Play. Если учитывать небольшие города с населением около 50 тыся...
Распределенная компиляция C/C++ проектов с помощью ICECC … Работаете вы, например, над очень большим проектом. Проект реально очень большой, написан на C или C++, и его билд «с нуля» может занять несколько часов, да и сборка после каких-то фиксов или патчей тоже требует немало времени, особенно если изменения коснулись чего-то фу...
[Перевод] 14 советов по написанию чистого React-кода. Часть 1 Написание чистого кода — это навык, который становится обязательным на определённом этапе карьеры программиста. Особенно этот навык важен тогда, когда программист пытается найти свою первую работу. Это, по существу, то, что делает разработчика командным игроком, и то, что сп...
Check Point: количество атак на мобильный банкинг возросло в два раза Исследователи представили отчет, посвященный основным тенденциям в кибератаках в первом полугодии 2019 года. Резко выросла доля атак на мобильный банкинг и облачные хранилища, а одной из самых распространенных угроз стала банковская малварь.
Go Gett Juno Meetup – 12 сентября, Минск Всем привет, меня зовут Антон Тупиков, я – тимлид команды B2B Development в Gett. Gett – не просто сервис такси, а динамический маркетплейс. Это высоконагруженная система: десятки тысяч водителей и миллионы клиентов в 120 городах по всему миру пользуются сервисами Gett каж...
Аккаунт Huawei в Twitter взломали, чтобы публично ... Аккаунты в соцсетях взламываются из тщеславия или наживы. Кто-то руководствуется азартом или желанием развлечься. От взлома не застрахованы ни профили простых пользователей, ни политиков, ни звезд, ни известных компаний. Вчера энтузиасты хакнули профиль компании Hua...
Необычный астероид пролетит мимо Земли на этой неделе: у него есть «луна» Большинство космических «камешков», которые проходят рядом с Землей, представляют собой одиноких путешественников, прокладывающих свой путь вокруг Солнца и мимо нашей планеты. Но астероид 1999 KW4, который пройдет рядом с нашей Землей 25 мая, то есть уже послезавтра, нескол...
[Из песочницы] Бэкэнд в однофайловых компонентах VueJS Однажды, читая документацию по Vue Loader, наткнулся на интересное нововведение в 15 версии. Речь идет о кастомных блоках, которые можно внедрить в однофайловые компоненты Vue. В примере показано, как можно получить доступ к содержанию этого блока непосредственно в компонент...
Esquire в Сингапуре выпустил написанный ИИ-ботом журнал «Робот» написал несколько текстов, включая письмо редактора — и потратил на каждый материал всего несколько минут.
Samsung начинает исправлять работу сканера отпечатков пальцев флагманских смартфонов На прошлой неделе стало известно, что сканер отпечатков пальцев ряда флагманских смартфонов Samsung может работать некорректно. Дело в том, что при использовании некоторых пластиковых и силиконовых защитных плёнок сканер отпечатков пальцев позволял разблокировать устройство ...
Десятки миллионов iPhone под угрозой Фотографии на iPhone уязвимы при использовании посторонних зарядных устройств. Уязвимость требует физического доступа к телефону, превращая USB-кабель в основной вектор угрозы.
Причины внедрить в процесс разработки статический анализатор кода PVS-Studio PVS-Studio – это инструмент для поиска ошибок и потенциальных уязвимостей в исходном коде программ, написанных на языках C, C++, C# или Java. PVS-Studio относится к классу инструментов статического тестирования защищённости приложений (Static Application Security Testing, S...
В сеть утекла документация по Windows 10X — новой версии ОС для устройств с двумя экранами Код операционной системы Windows 10X планируется дописать в начале 2020 года, а коммерческий запуск состоится осенью Microsoft продолжает хранить в секрете подробности о Windows 10X — версии Windows 10, адаптированной для ноутбуков и планшетов с двумя экранами. Но теперь ...
Google Календарь хотят защитить от спамеров Разработчики Google Календаря пообещали избавить пользователей от волны спама, которая накрыла сервис в последние месяцы. В настоящий момент для блокировки нежелательных сообщений специалисты рекомендуют отключить синхронизацию календаря с другими сервисами Google. Техника с...
R2DBC Arabba-RELEASE — новый взгляд на реактивное программирование для SQL Поздравляем Хабр с выходом R2DBC версии Arabba-RELEASE! Это самый первый стабильный релиз проекта. R2DBC (Reactive Relational Database Connectivity) — открытый проект, посвященный реактивному программированию для SQL. Разработчики R2DBC готовили первую версию спецификации ц...
Навигация внутри Android приложения Введение При Андроид разработке мы используем разные архитектурные решения(паттерны). Например Mvp, Mvvm, Mvi и т.д… Каждый из этих паттернов решает несколько важных задач и поскольку они не идеальны они нам оставляют кое-какие нерешенные задачи. К примеру этих задач относят...
Подключение Micrometer для веб-приложения на Java Micrometer используется для сбора метрик приложения JVM и позволяет экспортировать данные в различные системы мониторинга. В этой статье я расскажу, как подключить Micrometer для spring web приложения и экспортировать данные в Prometheus (хороший пост о нем). Так как мое при...
Боевые стрельбы в ночи, или Почему нагружать прод — не страшно «А если ты не выстрелишь, то испорчусь я» Ещё недавно считалось, сервис должен просто работать. Нарисовали, заверстали, написали скрипты — вроде всё ок, можно катить на прод. Но конкуренты не дремлют, поэтому начинается гонка не только за новыми функциями, но и за скоростью...
Чанпэн Чжао: крупная биржа атаковала Binance, когда мы были еще маленькими и никому неизвестными Глава крупнейшей по объемам торгов биткоин-биржи Binance Чанпэн Чжао рассказал, что в самом начале работы, когда площадка только делала свои первые шаги в индустрии, она подверглась атаке со стороны одного крупного игрока. В своей недавней записи на LinkedIn Чжао пишет, что ...
Эксплойт-паки переходят на бесфайловый метод заражения Несмотря на утрату популярности в криминальных кругах, готовые наборы эксплойтов все еще актуальны как интернет-угроза. В осенние месяцы эксперты продолжали наблюдать активность эксплойт-паков по всему миру и к своему удивлению даже зафиксировали появление двух новых игроков...
Обзор обновления Veeam Backup & Replication 9.5 Update 4 В конце января вышло обновление Update 4 для Veeam Availability Suite 9.5, насыщенное фичами как иной полноправный major release. Сегодня я вкратце расскажу об основных новинках, реализованных в Veeam Backup & Replication, а про Veeam ONE обещаю написать в ближайшем буду...
Samsung может отказаться от ультразвукового сканера отпечатков пальцев Qualcomm Samsung стала первым производителем смартфонов, который применил ультразвуковой сканер отпечатков пальцев производства Qualcomm в своих устройствах. В частности, таковым оснащены флагманы Galaxy S10. Но, учитывая недавно возникшую проблему с работой сканера на Galaxy S10 и G...
В Иране выключили интернет после беспорядков из-за повышения цен на бензин Согласно данным сервиса NetBlocks, анализирующего работу интернета, количество подключений к Сети в Иране упало до 7% вечером 16 ноября. Также зафиксировано отключение мобильной связи крупнейших операторов страны, в том числе MCI, Rightel и IranCell.Кто именно стоит за масшт...
Об одной уязвимости, которой нет В конце марта 2019 года американская компания Trustwave, занимающаяся кибербезопасностью и сервисами по защите от угроз, опубликовала сообщение об уязвимости в СУБД PostgreSQL, которая присутствует во всех версиях, начиная с версии PostgreSQL 9.3 по версию 11.2. Эта уязвимо...
Найден новый способ взломать переписку пользователей Android Android-пользователям угрожает опасность взлома. Опять Существует масса способов взломать смартфон конкретного пользователя и получить доступ к его переписке и файлам, которые хранятся в памяти. Обычно этим занимаются троянские приложения, которые выдают себя за доброкачеств...
Touch ID живее всех живых. Apple не собирается отказываться от таких сканеров Apple была первой, кто начал массово использовать датчики отпечатков пальцев в смартфонах. Технология Touch ID, как это нередко бывает с продуктами и разработками Apple, заставила других производителей пойти тем же путём, и сканеры в смартфонах ещё несколько лет назад с...
Security Week 25: уязвимость в Evernote и сотни взломанных интернет-магазинов Специалисты компании Guardio обнаружили (новость, исследование) интересную уязвимость в Evernote. Точнее, не в самом приложении для хранения заметок, а в расширении для браузера Google Chrome. Evernote Web Clipper позволяет сохранять веб-страницы, причем как целиком, так и ч...
Apple раскритиковала заявление Google об уязвимости iPhone Apple прокомментировала в своем блоге заявление исследователей безопасности Google о беспрецедентной массовой атаке хакеров на iPhone, обвинив поисковую компанию в преувеличении угрозы. «Отчет Google, опубликованный спустя полгода после выхода патчей для iOS, создает ложное ...
Security Week 34: неординарные уязвимости в Windows 13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязви...
Напиши свою песню за 10 минут (модуль textgenrnn Python3) Сегодня попробуем обучить свою собственную нейронную сеть, чтобы писала текст для песен. Обучающей выборкой будут тексты группы "Руки Вверх". Ничто не мешает чтобы поменять данные на тексты своих любимых групп. Для извлечения данных с веб-сайтов используем Python3 (модуль B...
[Перевод] Нейросети и глубокое обучение: онлайн-учебник, глава 2 Содержание Глава 1 Глава 2 В прошлой главе мы видели, как нейросети могут самостоятельно обучаться весам и смещениям с использованием алгоритма градиентного спуска. Однако в нашем объяснении имелся пробел: мы не обсуждали подсчёт градиента функции стоимости. А это приличный...
[Перевод] Назад к микросервисам вместе с Istio. Часть 1 Прим. перев.: Service mesh'и определённо стали актуальным решением в современной инфраструктуре для приложений, следующих микросервисной архитектуре. Хотя Istio может быть на слуху у многих DevOps-инженеров, это довольно новый продукт, который, будучи комплексным в смысле ...
[Перевод] Бесстрашная защита. Безопасность памяти в Rust В прошлом году Mozilla выпустила Quantum CSS для Firefox, который стал кульминацией восьми лет разработки Rust — безопасного для памяти языка системного программирования. Потребовалось более года, чтобы переписать основной компонент браузера на Rust. До сих пор все основны...
Основная причина уязвимостей – ошибки администраторов На сайте проекта «Нетоскоп» опубликованы результаты научно-исследовательских работ, проведенных в 2018 году в рамках научно-технического сотрудничества. В прошлом году были проведены два исследования, охватывающих большой спектр проблем, связанных с перехватом трафика и под...
Обзор 3D-сканера Shining 3D FreeScan X7/X7+ Промышленный лазерный 3D-сканер FreeScan X7 от компании Shining 3D — это портативное устройство, которое можно легко держать одной рукой. Вес сканера не превышает килограмма, что позволяет использовать его в ограниченном пространстве и труднодоступных местах без штативов и к...
Свой конвертер JSON или ещё немного про ExpressionTrees Сериализация и десериализация — типичные операции, к которым современный разработчик относится как к тривиальным. Мы общаемся с базами данных, формируем HTTP-запросы, получаем данные через REST API, и часто даже не задумываемся как это работает. Сегодня я предлагаю написат...
Функциональное программирование с точки зрения EcmaScript. Композиция, каррирование, частичное применение Привет, Хабр! Сегодня мы продолжим наши изыскания на тему функционального программирования в разрезе EcmaScript, на спецификации которого основан JavaScript. В предыдущей статье мы разобрали основные понятия: чистые функции, лямбды, концепцию имутабельности. Сегодня поговор...
[Из песочницы] Самая дорогая ошибка в моей жизни: подробно об атаке на порт SIM-карты Привет, Хабр! Представляю вашему вниманию перевод статьи «The Most Expensive Lesson Of My Life: Details of SIM port hack» автора Sean Coonce. В прошлую среду я потерял более 100000 долларов. Деньги испарились в течение 24 часов в результате «атаки на порт SIM-карты», котора...
[Из песочницы] Как зеленый джуниор свой hot-reloader писал Предыстория Пару строк обо мне для общего понимания уровня автора и решаемой проблемы. Меня зовут Евгений и я веб-разработчик зеленый junior frontend developer. Еще какой-то год назад я работал в совершенно другой сфере и только в теории задумывался о смене профессии, но при...
Huawei Nova 5T поступил в продажу в Европе: сервисы и приложения Google есть, но цена выше ожидавшейся Смартфон Huawei Nova 5T наконец-то добрался до Европы, причем с полным набором сервисов и приложений Google (GMS) — и это даже немного удивительно, ведь его премьера случилась уже после введения американских санкций в отношении китайской компании. К примеру, выпущ...
Зачем разработчикам ABBYY Mobile нейросети, музей и Random Coffee Здравствуй, Хабр! В далёком 2005 году в ABBYY появился первый мобильный SDK. А в 2007 в компании образовался отдельный департамент ABBYY Mobile, и начали рождаться технологии, которые стали основой наших приложений — ABBYY Business Card Reader, ABBYY FineScanner и ABBYY Te...
OS1: примитивное ядро на Rust для x86. Часть 3. Карта памяти, Page fault exception, куча и аллокации Первая часть Вторая часть Тема сегодняшнего разговора — работа с памятью. Я расскажу про инициализацию директории страниц, маппинг физической памяти, управление виртуальной и мою организацию кучи для аллокатора. Как я уже говорил в первой статье, я решил использовать страниц...
Изучение английского: a geeky way Доброй глубокой ночи, незаметно для меня перешедшей в утро. Пишу под влиянием того поста, тоже написанного под влиянием. Да, вторично и уже начинает надоедать, но удержаться просто не могу. Хочу описать свой личный, немного нетривиальный, вовсе не претендующий на способ и м...
Определились претенденты на развитие технологий «Цифровой экономики» До конца февраля должны пройти конкурсы по выбору организаций, которые напишут «дорожные карты» по каждому из девяти основных направлений госпрограммы.
«Игра престолов»: разработчики Trezor ответили на заявление Ledger об уязвимостях Разработчики популярных аппаратных кошельков Trezor прокомментировали заявление компании-конкурента Ledger о ряде уязвимостей в своих продуктах. In response to Ledger’s presentation at #MITBitcoinExpo, here is how we mitigated the mentioned vulnerabilities. Read our official...
Backport уязвимость в RouterOS ставит под угрозу сотни тысяч устройств Возможность удаленного даунгрейда устройств на базе RouterOS (Mikrotik) ставит под угрозу сотни тысяч сетевых устройств. Уязвимость связана с отравлением DNS-кеша Winbox протокола и позволяет загрузить устаревшую (со сбросом пароля «по-умолчанию») или модифицированную прош...
Новые смартфоны BQ-5514G Strike Power и BQ-5514L Strike Power 4G получили мощные аккумуляторы Компания BQ представила новые смартфоны BQ-5514G Strike Power и BQ-5514L Strike Power 4G, оснащённые мощными аккумуляторами ёмкостью 5000 мА·ч. Благодаря этому смартфоны отличаются большой продолжительностью работы в автономном режиме, обеспечивая до 3 дней работы без подзар...
[Из песочницы] Несправедливость Google Play, как хороший жизненный опыт С чего бы начать? Шел 2014 год, мы были студентами 2го курса (ПНИПУ и ИТМО), учились на около прогерских специальностях. В прошлом — просто одноклассники, в целом — хорошие друзья. Наверное, каждый испытывал чувство, когда ты только-только познал азы программирования, а уже...
Игровая компания с российскими корнями Nexters вошла в десятку самых зарабатывающих мобильных разработчиков в Европе Летом 2018 года её совладельцами стали основатели Playrix.
Proof-of-Stake: взгляд изнутри В интернете ходит много обывательских статей и рассуждений, но достаточно мало информации по существу. В определённый момент автору стало понятно, что механика и множество связанных нюансов безопасности до конца не понятны даже многим разработчикам криптовалют. Это вскрылос...
Персональные проданные. Гражданам предложат заработать на информации о себе Фонд развития интернет-инициатив (ФРИИ) предлагает внести в законодательство изменения, которые разрешат свободный оборот «деперсонализированных» пользовательских данных на рынке. По оценке авторов инициативы, граждане смогут продавать их, зарабатывая до 60 тыс. руб. в год. ...
Банковские троянцы увеличили активность По данным "Лаборатории Касперского", наибольшую активность по-прежнему проявлял троянец RTM, нацеленный в первую очередь на сотрудников небольших компаний, ответственных за финансовую отчётность: в первые шесть месяцев года с его помощью было проведено 40% атак. В ...
Свой Telegram бот для отслеживания uptime своих серверов на python и docker 1. Делаем телеграм бота Для начала нужно написать бота, который будет пинговать нужные ip и посылать сообщение, когда нужный сервис пропадает из сети, а потом появляется Читать дальше →
Название Redmi K20 для флагмана Redmi подтверждено: K означает Killer Вчера, как вы знаете, генеральный директор Redmi Лу Вейбинг заявил в социальной сети Weibo, что имя будущего флагманского телефона Redmi будет подтверждено сегодня. Кроме того, несколько часов спустя заслуживающий доверия источник сообщил, что готовящиеся к выходу флагмански...
Специалисты Microsoft изучили попытки применения BlueKeep Эксперты Microsoft предупредили пользователей о растущей угрозе кибератак на базе уязвимости BlueKeep. Как выяснили специалисты, преступники создали новый эксплойт, который уже применяется для распространения зловредов-криптомайнеров. Уязвимость BlueKeep (CVE-2019-0708) соде...
Игра «Клевер» сменит формат и не будет разыгрывать денежные призы Пресс-служба «Вконтакте» сообщает, что мобильное приложение «Клевер» больше не будет разыгрывать денежные призы. Основной режим игры изменится, больше не будет прямых эфиров, но добавят спарринг для двух игроков под названием «Клевер бой», в котором будут проходить интеллек...
Источники вдохновения при разработке под UDB Ну что ж, мы уже знаем всё, что нужно для программирования UDB. Но одно дело – знать, и совсем другое – уметь. Поэтому сегодня мы обсудим, где и как можно черпать вдохновение для повышения собственного мастерства, где набираться опыта. Как видно из перевода документации, там...
Среди пользователей WhatsApp началась массовая паника из-за глобальной угрозы Американская корпорация Facebook за последний год очень сильно ухудшила свою репутацию, а случилось это из-за того, что она оказалась замешана в десятки крупных скандалов, связанных с неправомерным использованием данных пользователей, а также утечками личных данных. Сообщен...
Эксплойт-пак GreenFlash Sundown обновлен и снова в строю После почти двухлетнего бездействия группировка ShadowGate обновила эксплойт-пак GreenFlash Sundown и вновь использует вредоносную рекламу для распространения мошеннического ПО. Согласно данным Trend Micro, злоумышленники запустили кампанию в начале июня, и с тех пор она наб...
Как Apple использует App Store для развития iOS App Store — стартовая площадка для новых функций iOS В последние несколько лет функциональность iOS растет буквально в геометрической прогрессии. Если раньше в Купертино относились к нововведениям весьма настороженно, что, по сути, и привело к созданию джейлбрейка, кот...
Бесплатные варианты лицензирования PVS-Studio Существует несколько вариантов бесплатного лицензирования статического анализатора кода PVS-Studio, предназначенного для поиска ошибок и потенциальных уязвимостей. Бесплатной лицензией могут воспользоваться открытые проекты, маленькие закрытые проекты, публичные специалисты...
Вымогатель Mongo Lock обзавелся новым сканером Исследователи из AT&T Alien Labs обнаружили онлайн-сканер, определяющий цели для вымогателя Mongo Lock. Под угрозой корпоративные хранилища, веб-серверы и прочие системы работы с данными. Зловред Mongo Lock атакует корпоративные базы, администраторы которых не установили...
В snap-демоне Ubuntu нашли уязвимость Dirty Sock Ключевой компонент многих Linux-дистрибутивов — в первую очередь Ubuntu — содержит серьезную уязвимость, через которую злоумышленники могут получить root-привилегии. К такому выводу пришел ИБ-специалист Крис Моберли (Chris Moberly), разработавший два эксплойта для взлома опе...
Несколько сетей для энтузиастов Несмотря на обилие материала в сети, в том числе на русском, в том числе на Хабре, в комментариях к публикациям периодически можно встретить удивление открывшимся фактам в обсуждении. Поэтому я решил написать короткую обзорную статью, перечислив в ней сети, в которых может у...
Отчет о спаме и фишинге в первом квартале 2019 года «Лаборатория Касперского» опубликовала свежий отчет по результатам анализа нежелательных рассылок и фишинговых атак. Выяснилось, что в первом квартале 2019 года доля спама в мировом почтовом трафике по сравнению с предшествующим периодом увеличилась на 6‱ и состави...
Методика D.I.Y. проекта. Часть вводная Данная статья написана радиолюбителем, имеющим опыт руководства проектами по разработке и постановке на производство сложной радиоэлектронной аппаратуры. Цель данной статьи: помочь энтузиастам в организации их проектной деятельности, а также обозначить различия в подходах ...
Строительные блоки распределенных приложений. Второе приближение Анонс Коллеги, в середине лета я планирую выпустить еще один цикл статей по проектированию систем массового обслуживания: “Эксперимент VTrade” — попытка написать фреймворк для торговых систем. В цикле будет разобрана теория и практика построения биржи, аукциона и магазина. В...
Специалисты Kaspersky нашли 0-day в Chrome Эксперты «Лаборатории Касперского» обнаружили серьезную ошибку нулевого дня в браузере Chrome. Уязвимость позволяет злоумышленникам выполнить вредоносный код, используя недостаток use-after-free в одном из компонентов интернет-обозревателя. Киберпреступники уже взя...
[Перевод] Python-скрипт на 20 строк, который каждый день желает родителям доброго утра через WhatsApp Автор материала, перевод которого мы сегодня публикуем, говорит, что современные люди, жизнь которых переполнена работой, часто забывают писать сообщения своим родным и близким. Он, глядя на то, как его родители каждое утро шлют ему в WhatsApp вдохновляющие цитаты и полезные...
Осторожно — ГАЗ! или Как мы делали негазированные смарт-контракты Блокчейн и смарт-контракты все еще остаются горячей темой среди разработчиков и технических специалистов, много исследований и рассуждений об их будущем и о том, куда это все движется и приведет нас. У нас в Waves Platform свой взгляд на то, какими должны быть смарт-контрак...
Опыт разработки сервиса Refund Tool с асинхронным API на Kafka Что может заставить такую большую компанию как Lamoda с отлаженным процессом и десятками взаимосвязанных сервисов существенно менять подход? Мотивация может быть совершенно разная: от законодательной до присущего всем программистам желания экспериментировать. Но это вовсе н...
Разработка команды запроса данных из базы В настоящий момент занимаюсь реализацией взаимодействия с поставщиком KYC услуг. Как обычно ничего космического. Нужно просто выбрать из своей базы данных некий достаточно объемный комплект экземпляров различных записей, выгрузить их поставщику услуг и попросить поставщика з...
[Перевод] Вышел ML.NET 1.0 RC. Что нового? ML.NET — это кроссплатформенная среда машинного обучения с открытым исходным кодом (Windows, Linux, macOS) для разработчиков .NET. Работая с ML.NET, разработчики могут использовать существующие инструменты и навыки для разработки и внедрения AI в свои приложения, создавая по...
Уязвимость в Telegram позволяет обойти пароль local code любой длины Из прошлого В предыдущей своей работе Я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram). Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход ...
[Перевод] Как и чем обеспечить приватность и безопасность. Обзор инструментов 2019 года Согласно Организации Объединенных Наций, неприкосновенность частной жизни является одним из основных прав человека. Тем не менее, большинство людей выбирают удобство и не зацикливаются на конфиденциальности. Ну, теперь вы можете получить и то, и другое — вот несколько ин...
Краткий обзор программы HolyJS 2019 Piter и ссылки на онлайн-трансляции Уже завтра начнётся седьмая по счёту конференция HolyJS. С каждым годом работа над её программой всё сложнее не только из-за стремительного развития и взросления JS-экосистемы, но и из-за роста качества и количества заявок. В этот раз программному комитету пришлось разоб...
Instagram устранил угрозу приватности пользователей Независимый ИБ-специалист под ником ZHacker13 обнаружил уязвимость соцсети Instagram, которая позволяла автоматически собирать данные ее пользователей. Представители сервиса несколько недель не могли устранить угрозу и начали активно работать над решением только после обраще...
Эксплойт для BlueKeep применяется в реальных атаках Уязвимость BlueKeep, связанная с недостатками реализации протокола RDP в ОС Windows, эксплуатируется в дикой природе. К такому выводу пришли ИБ-специалисты после анализа журнала ошибок тестовых систем с незащищенным портом 3389. Киберпреступники используют ранее опубликованн...
Майнинг-пулы реализовали «атаку 51%» в сети Bitcoin Cash Крупные майнинг-пулы BTC.com и BTC.top осуществили «атаку 51%» для отмены транзакции другого майнера, который попытался получить доступ к средствам, которые ему не принадлежали, сообщает CoinDesk. Так, в ходе последнего хардфорка, который состоялся 15 мая, неизвест...
[Перевод] Не в момент выполнения, а в момент проектирования Давным-давно мудрый старый разработчик дал мне совет, который до недавнего времени я не очень ценил. Во время код ревью мы рассматривали некоторую функцию, которая требовала, чтобы программа выводила список букв A-Z (например, список контактов с набором кнопок, которые по...
День безопасного Интернета: на какие угрозы обратить внимание в 2019 5 февраля в мире отмечали День безопасного Интернета. Праздник создан для продвижения идей развития более защищённой Сети. Хороший повод вспомнить полезные для работы инструменты, которые помогут не только ИБ-специалистам. В первую очередь нужно позаботиться о самом уязви...
«Одинцовский Водоканал» подвергся атаке программы-шифровальщика С начала года атакам этого шифровальщика подверглось более 4 тысяч пользователей, как корпоративных, так и частных. При этом большая часть атакованных зарегистрирована в России. Шифровальщик попадает в сеть атакуемой организации после того, как злоумышленникам удаётся подобр...
Интернет для всех, даром, и пусть никто не уйдёт обиженный Добрый день, Сообщество! Меня зовут Михаил Подивилов. Я являюсь основателем общественной организации «Medium». Меня неоднократно просили написать краткое, но исчерпывающее руководство о том, каким образом можно подключиться к сети децентрализованного интернет-провайдера «M...
Дайджест интересных материалов для мобильного разработчика #281 (7 — 13 января) Приветствуем вас в новом году! Спасибо, что читаете наши дайджесты и делитесь материалами! На этой неделе у нас прекрасная история о том, как остаться без «Балды», самые зарабатываемые и скачиваемые приложения в разных категориях, быстрые фейлы, маркетинг приложений в 2019 и...
Max Patrol 8. Обзор инструмента для управления уязвимостями Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, ка...
Microsoft пропатчила RDP-клиент для Android Разработчики Microsoft обновили Android-приложение для удаленного доступа к Windows, устранив уязвимость RDP-подключения (CVE-2019-1108). Ошибка ПО позволяла злоумышленникам получить системную информацию, пригодную для дальнейшего развития атаки. Ранее аналогичный баг закрыл...
Новый пакет валидаций для React на Mobx @quantumart/mobx-form-validation-kit Добрый день. Сегодня я хочу рассказать о новом пакете для асинхронных валидаций в проектах использующих в своей основе React, Mobx и написанных на Typescript. Современная Frontend разработка предполагает большое количество логики при заполнении страниц с документами, анкет ...
Более 800 000 человек в России стали жертвами хакерской атаки Необычное открытие было сделано после того, как хакеры решили довериться вредоносной прокси-сети, созданной с использованием вредоносной программы HtBot. Вредоносная программа HtBot предоставляет прокси-сервис, который можно арендовать, чтобы дать возможность пользователям п...
Разбор конкурса IDS Bypass на Positive Hack Days 9 На международном форуме Positive Hack Days 2019 впервые проходил конкурс IDS Bypass. Участникам надо было исследовать сегмент сети из пяти узлов, дальше либо эксплуатировать уязвимость сервиса, либо выполнить заданное условие (например, послать определенный HTTP-ответ) и так...
Уязвимости в Chrome стали дороже: Google удвоила выплаты за их обнаружение В 2010 году Google запустила программу вознаграждения за найденный в браузере Chrome уязвимости. В зависимости от важности находки энтузиасты или профессиональные разработчики получают солидные премии, которые теперь стали еще больше.
[Перевод] Искусственные нейронные сети выращивают навигационные клетки как в мозге Наличие способности находить короткий путь, самый прямой из точки «А» в точку «Б» не выглядит сегодня впечатляющим тестом разумности. Тем не менее, согласно новому отчету, который был опубликован в журнале Nature некоторое время назад, в котором исследователи рассказали о ...
[Перевод] Спросите Итана: как будет выглядеть наша первая прямая фотография землеподобной экзопланеты? Фото земли, полученное камерой DSCOVR-EPIC, и оно же, ухудшенное до разрешения 3х3 пикселя – примерно в таком виде исследователи будущего увидят экзопланеты За последнее десятилетия, в основном благодаря миссии Кеплер, наши знания касательно планет других звёздных систем ...
Что нам стоит дорогу построить. Часть 1 Ежедневный маршрут большинства из нас ограничивается поездкой из дома на работу и обратно. И самое сложное препятствие, которое может замедлить наше передвижение, — это пробки. Но в нашей стране есть огромное количество мест, куда можно добраться только на спецтранспорте. Та...
JMeter — швейцарский нож тестировщика (Часть 2) Сегодня расскажу, как мы с помощью JMeter’а наладили процесс кэширования продуктовых страниц, проверили работу мобильного приложения без самого приложения и создали 2000 юзеров в системе без доступа к базе данных. Кто не в курсе, что здесь происходит, читайте первую часть ...
Essential прекратила производство смартфона PH-1. Компания нацелена на разработку новых продуктов Компания Essential Products была основана Энди Рубином 9 ноября 2015 года. Первым и единственным продуктом компании стал Essential Phone. Устройство было представлено в августе 2017 года и предлагало флагмнанское железо, отличную внешность и материалы корпуса. PH-1 — ...
Почти уволен. Как я построил отдел аналитики Яндекса Меня зовут Алексей Долотов, я 10 лет не писал на Хабр. Отчасти дело в том, что когда мне было 22 года, я начал строить отдел аналитики Яндекса, затем семь лет им руководил, а теперь придумал и строю сервис Яндекс.Таланты. Профессия аналитика даёт массу возможностей. Главное...
Инженеры спасают пропавших в лесу людей, но лес пока не сдается Каждый год спасатели ищут десятки тысяч пропавших в диких условиях людей. Из городов наша технологическая мощь кажется настолько огромной, что ей по плечу любая задача. Вроде, возьми десяток дронов, повесь на каждый по камере и тепловизору, прикрути нейросетку и все — найд...
Новые языки программирования незаметно убивают нашу связь с реальностью Однажды настанет день, когда команды в программировании будут выглядеть вроде «эй, компьютер, сделай-ка мне вот эту хреновину». Что там будет под капотом, ни одна живая душа уже не поймет. Команда «хреновина» интерпретируется в абзац с описанием, который интерпретируется...
Cisco залатала SD-WAN, Webex, защитные решения На прошлой неделе компания Cisco выпустила набор обновлений, закрывающих около 30 уязвимостей в различных продуктах. Одна из брешей оценена как критическая, 16 — как высокой степени опасности. Самая серьезная уязвимость (CVE-2019-1651) затрагивает сетевое решение SD-WAN; она...
[Перевод] HTTP-заголовки для ответственного разработчика Сегодня быть онлайн — это привычное состояние для многих людей. Все мы покупаем, общаемся, читаем статьи, ищем информацию на разные темы. Сеть соединяет нас со всем миром, но прежде всего, она соединяет людей. Я сам пользуюсь интернетом уже 20 лет, и мои отношения с ним изм...
Вымогатели потребовали от сети «Лента» полмиллиона долларов в биткоинах, пригрозив отравить товары Российская торговая сеть «Лента» написала заявление в полицию из-за полученного видеообращения, в котором неизвестные требуют заплатить биткоины на сумму $500 тысяч под угрозой отравления продуктов в магазинах. Об этом сообщает «Фонтанка». Видеообращение вымогателя поступило...
Создание системы формальной верификации с нуля. Часть 1: символьная виртуальная машина на PHP и Python Формальная верификация — это проверка одной программы либо алгоритма с помощью другой. Это один из самых мощных методов, который позволяет найти в программе все уязвимости либо же доказать, что их нет. Более подробное описание формальной верификации можно увидеть на пример...
[Из песочницы] Выбор между XML и SQL для накатывания скриптов LiquiBase на примере Java/Spring/H2 В процессе работы над очередным проектом в команде возникли споры по поводу использования формата XML или SQL в Liquibase. Естественно про Liquibase уже написано много статей, но как всегда хочется добавить свои наблюдения. В статье будет представлен маленький туториал по со...
[Из песочницы] Как самостоятельно имплементировать (Proof of Existence) за 2 шага Всем привет! Я работаю в компании, QuantNet, которая проводит конкурсы алгоритмических стратегий. В недавнем времени передо мной встала важная задача — обеспечить гарантии неприкосновенности даты юзеров (это чрезвычайно важно, так как для корректной проверки эффективностей с...
[recovery mode] Первая волна пострадавших от уязвимости Exim. Скрипт для лечения Уязвимость с RCE в Exim уже довольно сильно нашумела, и довольно сильно потрепала нервы системным администраторам по всему миру. На волне массовых заражений (очень многие наши клиенты используют Exim в качестве почтового сервера) быстренько накидал скрипт для автоматизации...
Google заплатит за уязвимости, найденные в Facebook, Instagram и WhatsApp Указанные приложения были подведены под действие баунти-программы Google Play Security Reward Program (GPSRP), представленной на платформе HackerOne. До этого под программу подпадало всего восемь популярных приложений сторонних разработчиков, которые Google выбрала по частны...
Рассекречены характеристики смартфонов Vivo NEX 3 и Vivo NEX 3 5G Представители компании Vivo подтвердили, что в конце сентября в Китае будет представлен производительный смартфон Vivo NEX 3, а также версия с поддержкой работы в сетях связи пятого поколения (5G). Теперь же в сети Интернет появились данные касательно основных технических па...
Чек-лист по ASO: как ничего не упустить Недавно наши сотрудники прослушали серию вебинаров, посвященных поисковой оптимизации мобильных приложений. В ходе обсуждения полученной информации мы пришли к выводу, что, несмотря на большой опыт в сфере разработки и ASO, простые меры по оптимизации выдачи, которые порой к...
Microsoft открывает Azure Security Lab Azure Security Lab - это набор выделенных облачных хостов, изолированных от пользователей Microsoft Azure, позволяющий специалистам по безопасности тестировать сценарии атак на IaaS. В рамках данной программы предлагается не только безопасная тестовая среда, но и прямое взаи...
Финтех-дайджест: бесплатные переводы в системе СБП, уязвимость банков к атакам и другие новости Сегодня в дайджесте: Бесплатные переводы средств между банками, которые входят в систему СБП; Степень уязвимости банков к атакам злоумышленников; Финансовая грамотность населения растет; Криптовалюты остаются непопулярным средством платежа. Переводы без комиссии Почт...
[Перевод] Хранилища в Kubernetes: OpenEBS vs Rook (Ceph) vs Rancher Longhorn vs StorageOS vs Robin vs Portworx vs Linstor Обновление!. В комментах один из читателей предложил попробовать Linstor (возможно, он сам над ним работает), так что я добавил раздел об этом решении. Еще я написал пост о том, как его установить, потому что процесс сильно отличается от остальных. Если честно, я сдался и о...
[Перевод] Втиснуть Бейсик в 768 байт Тем, кому посчастливилось написать свою первую программу на Бейсике в конце восьмидесятых, объём интерпретатора в 16 килобайт кажется вполне естественным. Так было не всегда, известны интерпретаторы объёмом в 8 и 4 килобайта, конечно, с более скромным набором функций. Но в...
Google расширяет программу bug bounty и будет платить за баги в приложениях с 100 млн установок Теперь исследователи смогут заработать, обнаруживая злоупотребление пользовательскими данными, а также находя уязвимости в любых приложениях для Android, насчитывающих более 100 млн установок.
Официально: AMD Radeon Navi RX 5700 XT 50the Anniversary Edition всё-таки доберётся до Европы Не успели мы написать о том, что видеокарта AMD Radeon Navi RX 5700 XT 50the Anniversary Edition не появится на мировом рынке, как компания выпустила официальное опровержение этой информации. Подробнее об этом читайте на THG.ru.
Первое правило антифрода — никому не рассказывать про антифрод На самом деле, правило фиговое. Но понятное дело, почему оно работает. В среде безопасников считается, что антифрод должен быть такой суперсекретной штуковиной за семью печатями с парой голодных Церберов поблизости. Чтобы никто-никто не мог заглянуть в щель и узнать, как это...
Facebook представила полностью новое приложение Messenger, которое станет быстрее и удобнее Приложение Facebook Messenger всегда отличалось повышенным «аппетитом», так что разработчики постоянно пытаются его улучшить и ускорить. Сегодня компания Facebook представила очередное крупное обновление, которое призвано сделать мессенджер более удобным и б...
1,500 игровых автоматов входят в бар: дело в количестве, а не качестве На проводимой в этом году Game Developers Conference выступили два разработчика игр, способные написать новую главу романа-антиутопии о будущем: они рассказали историю о том, как заработали деньги, позволив делать всю работу роботам. В их случае этой работой была процедурная...
[Перевод] Мой первый взлом: сайт, позволяющий задавать любой пользовательский пароль Недавно я нашёл интересную уязвимость, позволяющую установить любому пользователю конкретного сайта любой пароль. Круто, да? Это было забавно, и я подумал, что можно написать интересную статью. На неё вы и наткнулись. Примечание: автор переведённой статьи не специалист ...
Приятное и полезное в преподавании Всем привет! Год назад я написал статью про то, как я организовывал университетский курс по обработке сигналов. Судя по отзывам, в статье много интересных идей, но она большая и тяжелочитаемая. И я давно хотел разбить её на более маленькие и написать их понятнее. Но писать о...
BOE готова начать массовое производство LCD-дисплеев со встроенным сканером отпечатков пальцев С момента появления экранного сканера отпечатков пальцев, производители смартфонов стали оснащать им свои флагманские устройства. Данная технология работает только с OLED-дисплеями, что значительно ограничивает возможности ее использования. Но вскоре ситуация может изменитьс...
Zebra Technologies представляет компактный производительный сканер штрихкодов Сканеры серии DS9300 повышают качество обслуживания клиентов в розничной торговле и гостиничном бизнесе.
OS1: примитивное ядро на Rust для x86. Часть 2. VGA, GDT, IDT Первая часть Первая статья еще не успела остыть, а я решил не держать вас в интриге и написать продолжение. Итак, в предыдущей статье мы поговорили о линковке, загрузке файла ядра и первичной инициализации. Я дал несколько полезных ссылок, рассказал, как размещается загружен...
Сканер портов в личном кабинете Ростелекома Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере. Так как добиться от Ростелекома вменяемой информации практически нереально, решил указать про да...
Запускаем systemd в контейнере Мы давно следим за темой использования systemd в контейнерах. Еще в 2014 году наш инженер по безопасности Дэниел Уолш (Daniel Walsh) написал статью Running systemd within a Docker Container, а еще через пару лет – другую, которая называлась Running systemd in a non-privilege...
[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 24. Протокол IPv6 Сегодня мы будет изучать протокол IPv6. Предыдущая версия курса CCNA не требовала детального ознакомления с этим протоколом, однако в третьей версии 200-125 его углубленное изучение является обязательным для сдачи экзамена. Протокол IPv6 был разработан довольно давно, однако...
В NFC-приложении Android нашли серьезную уязвимость Специалисты компании Checkmarx раскрыли детали опасной уязвимости в ОС Android. Злоумышленники могут эксплуатировать баг, допускающий манипуляцию с NFC-метками, для перенаправления жертв на вредоносный сайт и других целей. Разработчики исправили недостаток в последней версии...
Разработчик мессенджера Kik сообщил о продолжении работы проекта Канадская компания Kik Interactive пересмотрела планы по закрытию одноименного приложения для обмена сообщениями. “Великолепные новости: Kik остается! И есть действительно захватывающие планы сделать приложение еще лучше. Вскоре будет больше подробностей. Оставайтесь на связ...
Лакомый кусочек: компания Walmart тоже может вывести на рынок собственный потоковый игровой сервис Похоже, в ближайшем будущем рынок потокового гейминга начнёт расти внушительными темпами. Google на днях представила сервис Stadia. Такие же платформы уже есть или готовятся у ряда других крупных компаний, включая Microsoft, Sony и Nvidia. Неожиданно стало известно, чт...
[Из песочницы] Подключаем WiFi-адаптер WN727N к Ubuntu/Mint У меня возникла проблема с подключение WiFi-адаптера wn727n к ubuntu/mint. Я долго гуглил, но решения так и не нашел. Решив проблему, решил написать его сам. Все, что написано ниже, рассчитано на новичков. Читать дальше →
Китайцы придумали дисплейный сканер отпечатков ... Первой прототип смартфона с дисплейным сканером отпечатков пальцев показала компания Vivo и произошло это летом 2017 года. Спустя несколько месяцев эта технология стала доступна в коммерческом мобильнике Vivo X20 Plus UD. С тех пор многие крупнейшие OEM‑производители успели ...
PHP-библиотеки для e-commerce: работа с АТОЛ и Payture, парсинг кодов GS1 и другие задачи Привет, меня зовут Павел Савельев, я руководитель отдела автоматизации бизнес-процессов в Lamoda. Мы работаем с очень разными задачами, и стараемся подобрать для каждой наиболее удобный инструментарий. Соответственно, мы используем разные языки — в наших системах можно встре...
Эти приложения из Google Play списывают ваши деньги. Будьте осторожны Подписка — это не только удобно, но иногда и опасно Подписка — это всегда компромисс. С одной стороны, это, конечно, хорошо, потому что регулярный доход позволяет разработчикам активнее заниматься поддержкой своего детища, выпуская обновления чаще, чем когда поль...
Разработчик, помни — трафик твоего приложения смотрят На данный момент существует так много типов уязвимостей, что разработчики совсем забывают об элементарных из них. На днях мне удалось обойти авторизацию в новом приложении WOG (ТОВ «ВОГ РІТЕЙЛ» — вторая по величине сеть АЗС в Украине). В 2017 году, точно такую же уязвимость...
Студия Sumo Digital, ответственная за All-Stars Racing и LittleBitPlanet 3, открывает мобильное подразделение Помните отчет о доходах в игровой индустрии за 2018 год, из которого стало понятно, что мобильные игры зарабатывают в несколько раз больше компьютерных и консольных? Крупным разработчикам эта информация известна давно, и они предпринимают разные действия, чтобы урвать свой к...
Темизация UI kit: как мы подружили SCSS с CSS Variables Всем привет, меня зовут Виталик, я senior фронтенд-разработчик Skyeng. Наша команда делает онлайн-платформу Vimbox для изучения английского языка. Примерно год назад мы с дизайнером доделали небольшой UI kit, искоренивший хаос в интерфейсе и кодовой базе. Оказалось, что в к...
Как мы делали свой движок Workflow Мы в компании DIRECTUM занимаемся разработкой ECM-системы DirectumRX. Основным элементом модуля Workflow для ECM-системы является движок. Он отвечает за изменение состояния экземпляра процесса (инстанса) по ходу жизненного цикла. Перед тем, как начать разрабатывать модуль Wo...
Новый сканер отпечатков в Xiaomi будет срабатывать в любой точке экрана Компания Xiaomi анонсировала свою новую разработку в области смартфонов, которая решит две основные проблемы с интегрированными под дисплей сканерами отпечатков пальцев.
Опубликовано официальное изображение Vivo APEX 2019 – второго в мире смартфона без кнопок и разъемов Вчера компания Meizu анонсировала смартфон Zero, начисто лишенный каких бы то ни было разъемов и механических кнопок. Сегодня схожая модель должна появится у Vivo. Официальный анонс состоится позже, ну а пока в сети появилось официальное изображение смартфона. Картинка...
В macOS обнаружена уязвимость выполнения стороннего кода Непропатченная уязвимость актуальной версии macOS позволяет взломщику скрытно выполнить сторонний код в системе. Проблема связана с работой утилиты Gatekeeper, которая проверяет код запускаемых приложений и блокирует нелегитимные программы. Об угрозе сообщил эксперт компании...
[Из песочницы] Мой компилятор Паскаля и польское современное искусство Истоки Несколько лет назад я написал компилятор Паскаля. Мотивация была простой: в юности я узнал из своих первых книжек по программированию, что компилятор — вещь чрезвычайно сложная. Это утверждение засело занозой в мозгу и в конце концов потребовало проверки на опыте. h...
Энтузиаст создал приложение, превращающее iPhone в классический iPod Разработчик-энтузиаст по имени Элвин Ху опубликовал в своем микроблоге видеоролик, в котором продемонстрировал свой проект — небольшое приложение дл iPhone. Последнее создано с одной целью – превратить яблочный смартфон в iPod Classic.Читать дальше... ProstoMAC.com.| ...
[recovery mode] REST страсти по 200 Давно я хотел написать эту статью. Все думал — с какой стороны зайти правильнее? Но, вдруг, недавно, на Хабре появилась подобная статья, которая вызвала бурю в стакане. Больше всего меня удивил тот простой факт, что статью начали вбивать в минуса, хотя она даже не декларир...
В официальном магазине игр Electronic Arts найдена серьезная уязвимость Electronic Arts - вторая по величине игровая компания в мире, может похвастаться такими играми, как FIFA, Madden NFL, NBA Live, UFC, The Sims, Battlefield, Command and Conquer и Medal of Honor. Игры EA можно купить на платформе Origin, которая также позволяет играть в них на...
Ловушка (тарпит) для входящих SSH-соединений Не секрет, что интернет — очень враждебная среда. Как только вы поднимаете сервер, он мгновенно подвергается массированным атакам и множественным сканированиям. На примере ханипота от безопасников можно оценить масштаб этого мусорного трафика. Фактически, на среднем сервере ...
Вредоносный PHP-скрипт отбирает прибыль у интернет-магазинов ИБ-эксперты обнаружили PHP-скрипт, созданный для атак на интернет-магазины на базе CMS Magento. Зловред, амбициозно названный Magento Killer, копирует платежные данные покупателей, а у продавцов крадет поступающие деньги. Скрипт меняет некоторые значения в таблице базы данны...
PHPUnit. Мокаем Doctrine Entity Manager Во многих современных приложениях для работы с базой данных используется проект Doctrine ORM. Хорошим тоном считается выносить работу с БД в сервисы. А сервисы нужно тестировать. Для тестирования сервисов можно подключить тестовую базу данных, а можно замокать Менеджер сущно...
Создание бэкенд приложения для онлайн чата Apollo, Node.js Некоторое время назад я работал над мобильным приложением, функционал которого включал в себя удобный онлайн-чат. И теперь я решил написать статью с краткой инструкцией, как создать чат, используя apollo server и node.js на бэкенде, а так же react native и apollo client на к...
3 выигрышные стратегии монетизации приложения в 2019 Главная боль разработчика — понять, почему еще вчера его стратегия монетизации работала и приносила доход, и вдруг перестала. Январь — идеальное время, чтобы проснуться от спячки и переосмыслить свою стратегию монетизации. Ниже мы подготовили обзор трех выигрышных стратеги...
Обучающий курс по DataPower Материал подготовлен в соавторстве с пользователем wedmeed В 2017 году, когда начинался наш проект во Вьетнаме, мы столкнулись с новым для нас зверем IBM DataPower. IBM DataPower – продукт, представляющий собой gateway между клиентами и бэкендами, предназначенный для фильтр...
Adobe устранила серьезные баги в Connect и Digital Edition В рамках первого в новом году «вторника патчей» в Adobe Digital Edition и Adobe Connect закрыты две бреши; их степень опасности оценена как существенная. Согласно бюллетеню Adobe, уязвимость CVE-2018-12817 в программе для чтения электронных книг появилась из-за воз...
[Из песочницы] Обнаружение DDoS-атак «на коленке» Приветствую, Хабр! Я работаю в небольшом интернет провайдере масштаба области. У нас транзитная сеть (это значит, что мы покупаем интернет у богатых провайдеров и продаем его бедным). Несмотря на небольшое количество клиентов и такое же небольшое количество трафика протекающ...
AMD подтвердила, что свежие MDS-проблемы не представляют опасности для процессоров компании AMD опубликовала заявление относительно свежих уязвимостей Fallout, RIDL и ZombieLoad, а исследователи подсчитали, как сильно установка патчей сказывается на производительности.
В первом полугодии 2019 года обнаружено более 100 миллионов атак на умные устройства Данные были получены с помощью специальных ловушек, так называемых honeypots, - сетей виртуальных копий различных приложений и подключённых к интернету устройств.Злоумышленники заражают сети умных устройств для проведения DDoS-атак или чтобы использовать их в качестве прокси...
Масштабный проект по очистке океана от пластикового муосора возобновил свою работу Проект Ocean Cleanup в сущности своей крайне перспективен Какое-то время назад мы уже писали вам о довольно масштабном (и в итоге провалившемся) проекте Ocean Cleanup, стартовавшим год назад. Этот проект был призван очистить океан от пластикового мусора. В январе 2019 команд...
Security Week 35: статистика утекших паролей и атаки через Google Drive Прошедшая неделя отметилась как минимум двумя громкими событиями в сфере инфобезопасности. Впервые за долгое время для актуальных моделей Apple iPhone со свежей прошивкой iOS 12.4 доступен джейлбрейк (новость, пост на хабре). Джейлбрейк эксплуатирует уязвимость, которую закр...
Почему вы должны срочно обновить WhatsApp для Android Иногда кажется, что разработчики WhatsApp специально добавляют в мессенджер уязвимости, чтобы было веселее жить WhatsApp — парадоксальный мессенджер. Несмотря на то что в нём регулярно находят какие-то уязвимости, которые подвергают опасности переписку пользователей, с...
ITIL и новые модные штуки В самом начале 2000-х мне, как и многим другим ребятам, было очень важно узнать: как организовать современный (на тот момент) ИТ-департамент коммерческой компании среднего размера. Скажем, на 50-200 «айтишников». То был не праздный интерес, а вполне реальная зад...
Под капотом Screeps — виртуализация в MMO-песочнице для программистов В этой статье я расскажу про одну малоизвестную технологию, которая нашла ключевое применение в нашей онлайн-игре для программистов. Чтобы долго не тянуть резину, сразу спойлер: кажется, что такого шаманства в нативном коде Node.js, к которому мы пришли после нескольких лет ...