Социальные сети Рунета
Пятница, 29 марта 2024

Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...

Разработчиков Microsoft не тревожит публикация PoC-эксплоитов для уязвимостей в IE и Edge Представители Microsoft не считают опасными уязвимости в браузерах IE и Edge, для которых на прошлой неделе были опубликованы эксплоиты.

[Из песочницы] Headless CMS. Почему я пишу свою Всем привет! Написать эту публикацию меня побудила вот эта недавняя статья (вчера увидел). Пересказывать основные признаки Headless/content-first/api-first и т.п. CMS я не буду, материала полно и наверняка уже многие знакомы с этим трендом. А хочу я рассказать почему и ка...

Proof-of-Stake: взгляд изнутри В интернете ходит много обывательских статей и рассуждений, но достаточно мало информации по существу. В определённый момент автору стало понятно, что механика и множество связанных нюансов безопасности до конца не понятны даже многим разработчикам криптовалют. Это вскрылос...

[Перевод] Мой первый взлом: сайт, позволяющий задавать любой пользовательский пароль Недавно я нашёл интересную уязвимость, позволяющую установить любому пользователю конкретного сайта любой пароль. Круто, да? Это было забавно, и я подумал, что можно написать интересную статью. На неё вы и наткнулись. Примечание: автор переведённой статьи не специалист ...

Важное сообщение об инвайтах в профиле Привет, Хабр! С начала года на сайте произошли три важных обновления, о которых мы писали в нашем блоге. Но некоторые узнают о них только сейчас, продолжая задавать вопросы в комментариях или и в службу поддержки. Поэтому давайте ещё раз: Появился англоязычный Хабр — тепер...

[Перевод] Ищем свободное парковочное место с Python Я живу в хорошем городе. Но, как и во многих других, поиск парковочного места всегда превращается в испытание. Свободные места быстро занимают, и даже если у вас есть своё собственное, друзьям будет сложно к вам заехать, ведь им будет негде припарковаться. Поэтому я решил...

Security Week 37: уязвимость в Android, Microsoft против deepfakes, популярность Windows 7 Уязвимости в iOS мы обсудили на прошлой неделе, пришла очередь уязвимостей в Android. Четвертого сентября информацию о проблеме в Android опубликовали исследователи из Zero Day Initiative (новость, бюллетень), причем на момент публикации она так и не была закрыта. В выпущенн...

Как мы закрываем уязвимости в ОС Astra Linux Special Edition Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их ус...

Об одной уязвимости, которой нет В конце марта 2019 года американская компания Trustwave, занимающаяся кибербезопасностью и сервисами по защите от угроз, опубликовала сообщение об уязвимости в СУБД PostgreSQL, которая присутствует во всех версиях, начиная с версии PostgreSQL 9.3 по версию 11.2. Эта уязвимо...

Первые три дня жизни поста на Хабре Каждый автор переживает за жизнь своей публикации, после опубликования смотрит статистику, ждет и беспокоится за комментарии, желает, чтобы публикация набрала хотя бы среднее число просмотров. У Хабра, эти инструменты кумулятивные и поэтому достаточно сложно представить, как...

Steam Windows Client Local Privilege Escalation 0day Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятн...

Подготовка к собеседованию в компании большой пятерки По моим впечатлениям очень многих людей интересует тема подготовки к собеседованиям в топ технические компании, поэтому решил вместо личных ответов написать одну статью на которую в дальнейшем буду ссылаться. Всем кому интересен процесс самого собеседования, вещи на которые ...

Опыт публикации приложения по видеоредактированию в Microsoft Store В конце прошлого года мы делились опытом продвижения бесплатного видеоредактора VSDC на западный рынок. Серьезной вехой в этом году для нас стала публикация продукта в Microsoft Store. О том как это получилось, как проходил процесс публикации и сертификации, и какие перс...

Комбо для Drupal. Как захватить сайт с Drupal, используя новые уязвимости Для подписчиковВ этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на не...

На официальном сайте WordPress закрыли две XSS-уязвимости Эксперты RIPS Technologies рассказали о двух XSS-уязвимостях на сайте WordPress.org. Один из багов обладал потенциалом червя.

Security Week 34: неординарные уязвимости в Windows 13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязви...

[Перевод] Записки фрилансера: разработка первого React Native-приложения Автор материала, перевод которого мы публикуем, недавно выпустил своё первое мобильное приложение, написанное на React Native. Так случилось, что это приложение стало и его первым проектом, который он создал как программист-фрилансер. Здесь он расскажет о том, с чем ему приш...

[Из песочницы] Опыт переезда iOS Developer в Германию по визе на поиск работы Добрый день, дорогой читатель! В этом посте я бы хотел рассказать о том, как я переехал в Германию, в Берлин, как нашел работу и получил Голубую Карту, и какие подводные могут ожидать людей, решивших повторить мой путь. Я надеюсь, что моя статья будет полезна тебе, если ты ...

Компания Coinbase выплатила баунти на $30 000 за обнаруженную критическую уязвимость Ведущая криптовалютная компания США Coinbase выплатила крупнейшее за все время своей работы вознаграждение за обнаруженную в ее системах критическую уязвимость, пишет The Next Web. Запись об уязвимости было опубликована 12 февраля на HackerOne, и как подтвердил представитель...

Поднимаем сервер 1с с публикацией базы и веб сервисов на Linux Сегодня я бы хотел рассказать, как поднять сервер 1с на linux debian 9 с публикацией web-сервисов. Что такое web-сервисы 1с? Web-сервисы — это один из механизмов платформы, используемых для интеграции с другими информационными системами. Он является средством поддержки...

Пишем XGBoost с нуля — часть 1: деревья решений Привет, Хабр! После многочисленных поисков качественных руководств о решающих деревьях и ансамблевых алгоритмах (бустинг, решающий лес и пр.) с их непосредственной реализацией на языках программирования, и так ничего не найдя (кто найдёт — напишите в комментах, может, что...

В Exim устранили еще один RCE-баг Разработчики популярных почтовых агентов Exim в экстренном порядке выпустили обновление 4.92.3. Оно закрывает критическую уязвимость, позволяющую удаленно вызвать отказ в обслуживании или даже выполнить произвольный код на сервере. Проблема, получившая идентификатор CVE-2019...

[Из песочницы] Один из сотни способов публикации нескольких production проектов на одном сервере Когда сайтов становится чуть больше чем один, а ресурсов одного сервера хватает с лихвой, встает вопрос как не переплачивать и упаковать все в одну виртуальную машину самого привлекательного сервиса, с учетом того, что когда-нибудь наши приложения разрастутся в масштабную р...

Редакция 3DNews ищет авторов новостей Редакция 3DNews ищет авторов новостей Hardware и Software. Если вы разбираетесь в мире информационных технологий, умеете грамотно, быстро и интересно писать, у вас есть не менее трёх часов свободного времени в день и вам нравится готовить публикации на тему IT — напишите нам...

Как я стал уязвимым: сканируем ИТ-инфраструктуру с помощью Qualys Всем привет! Сегодня хочу рассказать про облачное решение по поиску и анализу уязвимостей Qualys Vulnerability Management, на котором построен один из наших сервисов. Ниже покажу, как организовано само сканирование и какую информацию по уязвимостям можно узнать по итогам....

Создатели GTA будут платить деньги за нахождение уязвимостей в своей новой игре Еще в апреле 2016 года студия Rockstar запустила программу “Bug bounty”, суть которой заключалась в поиске ошибок и уязвимостей в системе безопасности GTA Online. Тогда пользователи, сумевшие найти дефекты в игре, могли получить от разработчиков от 150 до 10 тыс долларов. Се...

[Из песочницы] Как быть опубликованным в Google Play в 2019 Вступление Опубликовать приложение, не нарушив ни чьих прав, стало непростой задачей. За последние пару лет в Google Play добавилось множество новых правил и ограничений, причем некоторые из них действуют только в определенных регионах и бремя отслеживания какие ограничения ...

[Перевод] Основы движков JavaScript: общие формы и Inline кэширование. Часть 2 Всем привет! Курс «Безопасность информационных систем» стартует уже через 2 недели, поэтому сегодня мы хотим опубликовать вторую часть статьи, публикация которой приурочена к его запуску. Прочитать первую часть можно тут. Итак, начнем. Inline Caches (ICs) Основной идеей, к...

[Перевод] Google раскрыла zero-day уязвимость в Windows 7, которая используется вместе с эксплойтом Chrome Project Zero от Google хорошо известен тем, что обнаруживает уязвимости и эксплойты в операционной системе Microsoft, а также своими противоречивыми политиками раскрытия информации. На этой неделе исследовательский отдел компании в области кибербезопасности вновь обнаружил э...

Кто хочет стать миллионером? Mail.ru обещает миллион рублей за уязвимости в новом браузере Atom Mail.ru Group представила новый браузер Atom с акцентом на безопасность и приватность пользователей. Для проверки компания запустила публичную программу поиска уязвимостей.  Пользователям, которые найдут серьёзную уязвимость в Atom обещана награда в размере одного...

HTTPS не всегда такой безопасный, как кажется. Уязвимости найдены у 5,5% сайтов HTTPS Один из топовых сайтов Alexa (центральный кружок), защищённый HTTPS, с поддоменами (серым) и зависимостями (белым), среди которых есть уязвимые (штриховая заливка) В наше время значок защищённого соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьёзн...

В актуальной версии vBulletin обнаружена критическая 0-day Анонимный ИБ-исследователь выложил в открытый доступ PoC для уязвимости нулевого дня в CMS vBulletin, позволяющей взламывать интернет-форумы и похищать данные участников. Эксперты опасаются грядущей волны кибератак, от которых могут пострадать сотни миллионов пользователей. ...

noexcept-ctcheck или несколько простых макросов, чтобы компилятор помогал при написании noexcept кода При разработке на C++ время от времени приходится писать код, в котором исключения не должны возникать. Например, когда нам нужно написать не бросающий исключений swap для собственных типов или определить noexcept move-оператор для своего класса, или вручную реализовать нетр...

Max Patrol 8. Обзор инструмента для управления уязвимостями Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, ка...

История одной НЕ уязвимости Некоторое время назад мне предоставилась возможность поэксперементировать с настройками одного заурядного роутера. Дело в том, что первое апреля обязывало меня разыграть своих товарищей с университета. В университеть была Wi-Fi сеть. Мною было решено поднять на своем роутере...

[Из песочницы] Как я нашел свою первую уязвимость? Предисловие Всем привет. Мне 20 лет. Еще недавно я учился в лицее и готовился поступать в медицинский ВУЗ, а сейчас я — фулстэк разработчик в одной американской компании. На самом деле я очень рад, что с медициной у меня не вышло — программирование было моим хобби, а сейчас ...

Уязвимость блокировщика экрана в Astra Linux Special Edition (Смоленск) В данной статье мы рассмотрим очень одну интересную уязвимость в «отечественной» операционной системе Astra Linux, и так, начнем… Читать дальше →

Будущего нет Не так давно я закончил и опубликовал в интернете роман «#Даша_на_Луне» — и если вы еще его не читали, то я предлагаю, перед чтением этого текста скачать его и прочитать. Твёрдая научная фантастика, ближнее будущее, космос, геополитика и всё такое — как вы любите! (Роман...

Мошенники эксплуатируют 0-day в популярном WordPress-плагине ИБ-исследователи из компании Wordfence обнаружили уязвимость нулевого дня в WordPress-плагине Social Warfare. Преступники используют брешь для внедрения вредоносного кода на сайты жертв посредством XSS-атак. Под угрозой оказались более 70 тыс. веб-ресурсов, на которых устано...

Найдены уязвимости в распространенных прошивках для Wi-Fi SoC Опубликованы детали уязвимостей в ThreadX, которые могут коснуться множества устройств, включая смартфоны, ноутбуки, игровые приставки, роутеры и так далее.

«Ростелеком» рассказал об уязвимостях в ИТ на производстве 72% таких уязвимостей могут парализовать работу предприятия, однако многие организации делятся информацией в лучшем случае только на собственных ресурсах и с национальными CERT.

Внедрение LoRaWAN на сельскохозяйственном предприятии. Часть 2. Учет топлива Здравствуйте уважаемые читатели! Со времени публикации первой статьи, мы подросли, наши любимые поставщики-разработчики LoThings, проделали не мало кропотливой работы, и наступил день, когда есть что рассказать и показать! Запустив нашу первую LoRaWaN, мы сразу определили, ...

Бойтесь уязвимостей, воркэраунды приносящих. Часть 1: FragmentSmack/SegmentSmack Всем привет! Меня зовут Дмитрий Самсонов, я работаю ведущим системным администратором в «Одноклассниках». У нас более 7 тыс. физических серверов, 11 тыс. контейнеров в нашем облаке и 200 приложений, которые в различной конфигурации формируют 700 различных кластеров. Подавл...

[Перевод] Почему для открытия меню Windows читает один файл сто тысяч раз? «Проводник тратит 700 мс на то, чтобы открыть контекстное меню панели задач. 75% этого времени он выполняет 114 801 операцию считывания из одного файла, средний объём считываемых данных 68 байт. Мне стоит написать пост об этом, или достаточно саркастичного твита?» За комп...

SandboxEscaper нашла еще три 0-day в продуктах Microsoft Киберпреступник может получить административные привилегии в операционных системах Windows 10, Windows Server 2016 и 2019, используя уязвимость в планировщике задач. Об этом сообщила независимый ИБ-специалист под псевдонимом SandboxEscaper, опубликовавшая код эксплойта и вид...

Дайджест новостей из мира PostgreSQL. Выпуск №15 Мы продолжаем знакомить вас с самыми интересными новостями по PostgreSQL. Новости Главное событие месяца — это, конечно, Feature Freeze. Мартовский коммитфест закрыт. Основной облик версии PostgreSQL 12 определился. Дальше будут доработки и исправления, но не изменения в ...

Методы наименьших квадратов: текст, написанный программистом для программистов Продложаю публикацию своих лекций, изначально предназначенных для студентов, учащихся по специальности «цифровая геология». На хабре это уже третья публикация из цикла, первая статья была вводной, она необязательна к прочтению. Однако же для понимания этой статьи необходимо ...

Треугольник Паскаля vs цепочек типа «000…/111…» в бинарных рядах и нейронных сетях Серия «Белый шум рисует черный квадрат» История цикла этих публикаций начинается с того, что в книге Г.Секей «Парадоксы в теории вероятностей и математической статистике» (стр.43), было обнаружено следующее утверждение: Рис. 1. По анализу комментарий к первым публикациям...

В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное в...

Security Week 41: больше уязвимостей в SIM-картах, дешифрование PDF На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Brow...

Что делать, чтобы получать нормальные деньги и работать в комфортных условиях будучи программистом Этот пост вырос из комментария к одной статье здесь, на Хабре. Вполне обычного комментария, разве что сразу несколько человек сказали, что было бы очень хорошо оформить его в виде отдельного поста, а МойКруг даже не дожидаясь этого опубликовали этот самый комментарий отдельн...

Публикация приложения в Microsoft Store: некоторые изменения за год Вот уже год прошел с момента выхода статьи об особенностях публикации в MS Store. За прошедший год произошло много событий – GDPR, выход VS 2019 и прочие изменения. В сегодняшней небольшой статье мне бы хотелось немного рассказать о том, какие изменения произошли в особенно...

[Перевод] Новости из мира OpenStreetMap № 480 (24.09.2019-30.09.2019) CyclOSM is a brand new bike-oriented map 1 | Leaflet | CyclOSM v0.2 | Map data OpenStreetMap contributors О нас Уточнение: пользователь AndiTabinas не является участником программы стипендии SotM-2019 (об этом мы ошибочно написали в прошлом выпуске № 479). Информация (пос...

Что нужно знать о последнем патче Cisco для маршрутизаторов Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать». Фото — ulleo — PD Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратур...

Security Week 40: уязвимость в BootROM мобильных устройств Apple В зависимости от ваших предпочтений к этой новости можно подобрать один из двух заголовков. Либо «серьезная уязвимость обнаружена в мобильных устройствах Apple вплоть до iPhone X», либо «наконец-то придумали новый способ для джейлбрейка iДевайсов (но это не точно)». Насчет д...

Третья уязвимость Steam Windows Client, но не 0day В предыдущих сериях Не так давно я рассказал о двух уязвимостях Стима: CVE-2019-14743 и CVE-2019-15316. Там была целая история о том, как я пытался зарепортить их, у меня не получалось, меня забанили, и только после публичного раскрытия и помощи сообщества удалось достичь ре...

Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence Изображение: Knownsec 404 Team Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить во...

Серия опасных уязвимостей найдена в программе Carousel Независимый ИБ-эксперт Дрю Грин (Drew Green) обнаружил серию уязвимостей в системе управления мультимедиа Carousel. Бреши позволяют неавторизованному пользователю загружать на сервер файлы и выполнять сторонний код. Решение Carousel от Tightrope Media Systems позволяет центр...

И ещё один Steam Windows Client Local Privilege Escalation 0day В предыдущей серии Не так давно я опубликовал описание уязвимости для Steam. Я получил много отзывов от читателей. Valve не проронили ни слова, а HackerOne прислал огромное слезливое письмо и, в основном, молчал. В итоге меня забанили Valve на H1 — я не могу участвовать в и...

Google готова платить до $1,5 млн за особые уязвимости на Android Когда в 2015 году Google впервые запустила программу поиска уязвимостей в Android, самое большое вознаграждение, которое можно было получить, составляло $38 тыс. Вместе с ростом популярности Android росла и сумма награды, поэтому всё больше исследователей в области безопасно...

Intel пыталась купить молчание исследователей, обнаруживших новые уязвимости в ее процессорах Одна из самых резонансных новостей прошлых суток — новый класс уязвимостей процессоров Intel с собирательным названием MDS (microarchitectural data sampling). Примечательно, что и в этот раз владельцы устройств на конкурирующих процессорах AMD, оказались вне зоны риска; прои...

Python v3.x: обработчик исключений для корутин и синхронных функций. Вобщем, для всего В свободное время я работаю над своим небольшим проектом. Написан на Python v3.x + SQLAlchemy. Возможно, я когда-нибудь напишу и о нем, но сегодня хочу рассказать о своем декораторе для обработки исключений. Его можно применять как для функций, так и для методов. Синхронных ...

Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса После нахождения уязвимостей в мобайл-банкинге украинского банка (пост) я захотел немного сменить направление и перейти от финансовых сервисов к другим. На глаза попалась рекламная статья про обновлённое мобильное приложение такси, его я и выбрал своим подопытным. Здесь и...

Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на веб-страницах При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev. Вот как описывается проблем...

TheOutloud — озвучивай и делись любимыми статьями и историями Привет всему сообществу, Habr! Уже некоторое время я являюсь вашим читателем и сегодня решил, что пришло время для моего первого поста здесь. Я давно хотел научиться программировать и последние пару месяцев проводил все свободное время, просматривая обучающие ролики на yout...

Эксплуатация cookie-based XSS | $2300 Bug Bounty story ⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уяз...

[Перевод] Обзор инструментов для безопасности GitHub репозиториев Введение Когда вы начинаете создавать репозиторий на GitHub, одной из первых вещей, о которых вы должны подумать, является безопасность. В случае, если вы создаете свой собственный репозиторий GitHub или часто контрибьютите в репозиторий, вам необходимо знать, содержит ли...

[Перевод] Чему я научился у ведущего программиста Год назад я начал работать на полную ставку в Bloomberg. И тогда же задумал написать эту статью. Я думал, что буду полон идей, которые смогу выплеснуть на бумагу, когда придёт время. Но уже через месяц понял, что всё будет не так просто: я уже начал забывать то, чему научил...

Сборки Windows One Core были замечены на BuildFeed На выходных ресурс BuildFeed опубликовал ряд новых номеров сборок с интересной информацией. Впервые, насколько нам известно, были включены некоторые сборки, помеченные как OneCore и WCOS (Windows Core Operating System), которые предназначаются для новых устройств, таких как:...

[Из песочницы] Использование SQLite в Unity (Unity + SQLite) Всем привет, данная публикация будет посвящена работе с встраиваемой реляционной базой данных SQLite в Unity. Данная статья написана новичком для новичков с целью показания работы с SQLite, предполагается, что вы знаете основы SQL. Так как в интернете нет ясного тутора для н...

Решение задания с pwnable.kr 08 — leg, и 10 — shellshock. ARM ассемблер. Уязвимость bash В данной статье вспомним синтаксис ARM ассемблера, разберемся с уязвимостью shellshock, а также решим 8-е и 10-е задания с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьют...

[Из песочницы] Путь от хирургии к геймдеву или первый опыт мобильной разработки на Unity Зачем, кому и от кого Всем привет! Меня зовут Анатолий. Я хочу рассказать историю о наших первых шагах в геймдеве, чтобы поделиться пусть и небольшим, но всё же опытом. Зачем? Потому что всего 6 месяцев назад сам искал подобные публикации, перечитывал и выписывал советы. Над...

Вторник обновлений: Microsoft исправила 0-day уязвимость в Internet Explorer В этом месяце Microsoft устранила 74 уязвимости в своих продуктах, 13 из которых были оценены как критические, а одна уже эксплуатировалась хакерами.

«Желательно, чтобы у вас был котик» — как стартапу выстрелить на Product Hunt Публикация на агрегаторе стартапов Product Hunt — хороший способ привлечь к себе внимание международных СМИ и инвестиционных фондов. При этом самого факта публикации недостаточно. О том, как подготовиться к выходу на Product Hunt и чего нельзя делать во время гонки, на приме...

Как я Telegram ломал Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Н...

Финтех-дайджест: бесплатные переводы в системе СБП, уязвимость банков к атакам и другие новости Сегодня в дайджесте: Бесплатные переводы средств между банками, которые входят в систему СБП; Степень уязвимости банков к атакам злоумышленников; Финансовая грамотность населения растет; Криптовалюты остаются непопулярным средством платежа. Переводы без комиссии Почт...

[Перевод] Бесплатные аккаунты на GitHub смогут [почти] без ограничений работать с приватными репозиториями Эта новость опубликована на The Next Web, с пометкой: "Из-за ошибок в планировании, мы опубликовали эту новость на день раньше снятия эмбарго на разглашение. Фича всё ещё не запущена, о ней официально расскажут завтра. Когда это произойдёт, мы обновим пост новым официальным...

Год за рулём электромобиля На самом деле я соврал. Не год, а всего 11 месяцев. Писать статью «11 месяцев за рулём электромобиля»? Дикость, конечно. Подождать и написать через месяц? За месяц могу вообще передумать писать, или поменяются обстоятельства и на статью не будет времени. Итак. Поехали (под ...

Автоматизация End-2-End тестирования комплексной информационной системы. Часть 2. Техническая Этой статьей мы продолжаем серию публикаций о том, как мы автоматизировали в одном из крупных проектов ЛАНИТ автопроцесс ручного тестирования (далее – автотесты) большой информационной системы (далее – Системы) и что у нас из этого вышло. Вторая часть публикации ориентирова...

[Перевод] Опрос по инструментам фронтенда 2019 — результаты TL;DR. В большинстве категорий теперь выделяются явные лидеры — несколько лет назад такого не было. Это помогает накоплению знаний. Поэтому Навыки владения инструментами в среднем становятся глубже у разработчиков всех уровней. В этом году 3005 разработчиков ответили на 27...

«Для сообщества критически важно установить стандарты»: Марсин Москала о Kotlin Пару лет назад было много блог-постов «смотрите, какой интересный язык Kotlin», где объяснялись основы. В 2019-м разжёвывать азы уже не требуется, зато теперь появляется публикация совсем другого формата. Марсин Москала, который уже не первый год учит людей этому языку, се...

[Из песочницы] Как я свой первый ИИ писал Привет, Хабр. История моя берёт начало в январе 2019 года. Мы с моей тимой геймдевелоперов решили взяться за самый большой проект в нашей истории- 2Д платформер. Нет, мы не делали до этого какие-нибудь FlappyBird'ы или змейки, но объём работы в этом проекте просто сносил на...

Причины внедрить в процесс разработки статический анализатор кода PVS-Studio PVS-Studio – это инструмент для поиска ошибок и потенциальных уязвимостей в исходном коде программ, написанных на языках C, C++, C# или Java. PVS-Studio относится к классу инструментов статического тестирования защищённости приложений (Static Application Security Testing, S...

[Перевод] Трудно быть мейнтейнером проекта Open Source Автор — Сальваторе Санфилиппо, разработчик и мейнтейнер свободной СУБД Redis Несколько месяцев назад мне написал мейнтейнер одного системного open source проекта с довольно большим и активным сообществом. Он написал, что много лет изо всех сил пытается поддерживать свой пр...

90 уязвимостей класса Remote Code Execution в майском «вторнике обновлений» «Мир. Труд. Май» — это не только про приятную работу на даче, но и про установку обновлений, тем более что в этом месяце производители офисного программного обеспечения потрудились на славу и закрыли в сумме 162 уязвимости, из которых 90 позволяют выполнить произвольный код ...

[Перевод] Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик Автор статьи, перевод которой мы сегодня публикуем, говорит, что React — это её любимая библиотека для создания интерактивных интерфейсов. React одновременно и лёгок в использовании, и достаточно хорошо защищён. Однако это не значит, что React-приложения совершенно неуязвимы...

Check Point Research и CyberInt обнаружили серьезную уязвимость в Origin Обнаруженная цепочка уязвимостей могла бы привести к взлому аккаунтов и краже личных данных 300 миллионов геймеров EA по всему миру.

Принимаем участие в недавнем Telegram Contest, пишем крутое OpenGL ES приложение и выигрываем ничего Забегая вперед, хотелось бы обратить внимание на сумбурную ситуацию с победителем первого этапа конкурса. Победитель забрал 50К американских президентов. НО, был как минимум, еще один разработчик, который написал идентичное приложение и не был никак вознагражден. Он даже по...

Критическая уязвимость в продуктах компании Zemana и не только Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация подобных уязвимостей в некоторых продуктах даже в 2018 году не является проблемой. Уупс Читать дал...

[Перевод] Миллионы бинарников спустя. Как укреплялся Linux TL;DR. В этой статье мы исследуем защитные схемы (hardening schemes), которые из коробки работают в пяти популярных дистрибутивах Linux. Для каждого мы взяли конфигурацию ядра по умолчанию, загрузили все пакеты и проанализировали схемы защиты во вложенных двоичных файлах. Ра...

Практические задачи по Java — для курсов и прочих занятий Практические задачи по Java — для курсов и прочих занятий Несколько вводных слов Последние несколько лет я читаю курс по программированию на Java. Со временем он менялся — то добавлялись, то выкидывались разные части, менялась последовательность тем, менялся подход к построе...

Несколько сетей для энтузиастов Несмотря на обилие материала в сети, в том числе на русском, в том числе на Хабре, в комментариях к публикациям периодически можно встретить удивление открывшимся фактам в обсуждении. Поэтому я решил написать короткую обзорную статью, перечислив в ней сети, в которых может у...

Хакеры в рамках законов РФ После публикации статьи о моих исследования в качестве Grey hat, в комментариях к статье и в чате Telegram (@router_os) люди стали писать, что я нарушил все законы и меня посадят. И как обещал, спустя несколько месяцев я пишу эту статью и даже не из камеры СИЗО :-) Более т...

[Перевод] Основы движков JavaScript: оптимизация прототипов. Часть 2 Добрый день, друзья! Курс «Безопасность информационных систем» запущен, в связи с этим делимся с вами завершающей частью статьи «Основы движков JavaScript: оптимизация прототипов», первую часть которой можно прочитать тут. Также напоминаем о том, что нынешняя публикация явл...

Разбор уязвимостей EvilParcel Введение В середине апреля мы опубликовали новость о троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей в ОС Android. Одна из них — CVE-2017-13156 (также известна как Janus) — позволяет вредоносной программе заражать APK-файлы, не повреж...

Модель для разработки, на основе «элементов» Вот уже на протяжении нескольких лет я мелкими шажками иду к этой цели. Первую половину времени я просто создавал сайты, сначала используя движки, затем с нуля — проектируя и базу данных и функционал. Каждый новый сайт или проект я пытался разработать так, чтобы он не был уз...

Intel пыталась подкупить исследователей, обнаруживших уязвимость RIDL Специалисты в области кибербезопасности из Амстердамского свободного университета (Vrije Universiteit Amsterdam) утверждают, что Intel пыталась подкупить их, дабы они не спешили с обнародованием процессорной уязвимости RIDL (Rogue In-Flight Data Load), о которой стало...

[Из песочницы] Справочник начинающего подкастера Эта статья — краткое руководство для тех, кто хочет запустить свой собственный подкаст. Когда я вместе с моим нынешним соведущим год назад запускал подкаст “В бесконечность и далее”, я не смог найти ни одной по-настоящему всеобъемлющей статьи. Поэтому я решил попытаться запо...

[Перевод] Как я пишу конспекты по математике на LaTeX в Vim Некоторое время назад на Quora я отвечал на вопрос: как успевать записывать за лектором конспект по математике на LaTeX. Там я объяснил свой рабочий процесс по конспектированию в LaTeX с помощью Vim и Inkscape (для рисунков). Но с тех пор многое изменилось, так что я хочу оп...

GraphQL Voyager как инструмент для поиска уязвимостей В настоящее время все больше компаний начинают использовать GraphQL. Это относительно новая технология (если быть более точным, то это язык запросов), которая призвана решить существующие проблемы REST. Если вы еще не знакомы с GraphQL, то рекомендую начать с ресурсов: ...

[Из песочницы] Stackoverflow Dev Survey 2019 Всем привет! На днях стали доступны результаты Stackoverflow Dev Survey 2019. В опросе приняли участие 90К разработчиков со всего мира, что делает данные не только интересным чтивом для обсуждения с коллегами но и хорошим источником аналитики для профессионального обсуждения...

[Перевод] Поговорим о PAKE А сейчас поговорим о информационной безопасности. Данная публикация приурочена к запуску курса «Криптографическая защита информации», который стартует уже 30 мая. Поехали. Первое правило PAKE: никогда не говорить о PAKE. Второе правило PAKE гласит, что первое правило это н...

Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726 Изображение: Pexels С выходом январских обновлений для Windows новость о критически опасной уязвимости CVE-2019-0547 в DHCP-клиентах всколыхнула общественность. Подогревали интерес высокий рейтинг CVSS и тот факт, что Microsoft не сразу опубликовал оценку эксплуатабельнос...

Атомэкспо 2019, часть 1: мероприятия и внезапный космический двигатель 15-16 апреля в Сочи прошел одиннадцатый международный форум “Атомэкспо-2019”. Я был там в составе приглашенных Росатомом блогеров. За два дня материалов и впечатлений накопилось немало, поэтому я разделил их на три части. Здесь будет рассказ о мероприятиях — открытии форума,...

[Перевод] Приключения с домашним Kubernetes-кластером Прим. перев.: Автор статьи — Marshall Brekka — занимает позицию директора по проектированию систем в компании Fair.com, предлагающей своё приложение для лизинга автомобилей. В свободное же от работы время он любит применять свой обширный опыт для решения «домашних» задач, ко...

Квантовому компьютеру впервые удалось решить задачу, которую невозможно решить на обычных компьютерах Компания Google опубликовала доклад о «квантовом превосходстве», в котором утверждалось, что 53-кубитный компьютер Google Sycamore смог решить задачу, которую невозможно решить на обычных компьютерах. Точнее говоря, теоретически возможно, но современному суп...

Google выявила уязвимость в безопасности iOS, которая позволяла заражённым сайтам массово взламывать iPhone Исследователи в области безопасности, работающие в команде Google Project Zero, заявляют, что они обнаружили несколько взломанных веб-сайтов, которые использовали ранее неизвестные уязвимости безопасности, чтобы без разбора атаковать любой iPhone, посещающий сайт. Эта атака ...

[Перевод] Фаззинг в стиле 1989 года С наступлением 2019 года хорошо вспомнить прошлое и подумать о будущем. Оглянемся на 30 лет назад и поразмышляем над первыми научными статьями по фаззингу: «Эмпирическое исследование надёжности утилит UNIX» и последующей работой 1995 года «Пересмотр фаззинга» того же автора ...

Laravel: объясняем основные понятия. Часть вторая: «Практика» Всем привет! Продолжаем серию авторских публикаций в преддверии старта курса «Framework Laravel». В прошлой статье мы с вами посмотрели на теоретические основы Laravel. Однако теорию любого фреймворка можно изучать достаточно долго и ничего не понять, пока сам не напишешь н...

Microsoft не будет исправлять найденную уязвимость в Windows 10 Mobile Официальная поддержка Windows 10 Mobile закончится лишь в начале декабря этого года, и до этого срока операционная система будет продолжать получать накопительные обновления. Но важно понимать, что разработка Windows 10 Mobile остановлена, так что ошибки и уязвимости, харак...

О том как я подготовился и сдал сертификацию Oracle Database SQL (1Z0-071) Зачем написана статья? Когда я готовился к OCA и OCP по Java 8, то нашел много статей на Хабре, благодаря которым выбрал оптимальный путь и сэкономил много времени. Однако по подготовке именно к OCA Oracle Database SQL (1Z0-071) материалов на Хабре нет и в интернете тоже о...

Google собирает материалы об эксплуатации 0-day уязвимостей Эксперты Google Project Zero, команды специалистов по уязвимостям нулевого дня, опубликовали собственную базу актуальных 0-day и призвали сообщество к совместной работе. Материалы собраны при расследовании атак таких сильных группировок, как APT3 (также известна как Buckeye)...

[Перевод] 5 уроков, которые мы усвоили, написав более 300 000 строк инфраструктурного кода Краткий мастер-класс по разработке инфраструктурного кода В октябре этого года я выступил с докладом на конференции HashiConf 2018, где рассказал о 5 ключевых уроках, которые я и мои коллеги из Gruntwork усвоили в процессе создания и поддержки библиотеки из более чем 300 00...

Экономика радости. Наставничество как частный случай. Закон трёх процентов Знаю, что написав этот пост, не стану Паисием Святогорцем. Однако, я надеюсь, найдётся хотя бы один читатель, который, возможно, поймет какой это кайф – быть педагогом (ментором) в IT. И наша страна станет чуточку лучше. И этот читатель (который поймет) станет чуточку счастл...

FAQ по HeadHunter API (публикация вакансий) Небольшая история про наш рекрутинговый сервис под заказчика и большая история про проблемы, которые появились при интеграции с HeadHunter с точки зрения публикации вакансий. Почему HeadHunter? Потому что на Superjob всё несколько проще (но это не точно). Читать дальше →

[Перевод] Создавайте свой код с нуля, это прокачает ваш уровень Чтобы по-настоящему понять колесо, нужно его самостоятельно переизобрести. На днях я провел собеседование на должность senior javascript разработчика. Мой коллега, который также принимал участие в собеседовании, попросил кандидата написать функцию, которая будет выполнять...

Старшая школа. Живое фото Meizu 16s Plus демонстрирует флагман без вырезов в экране Ресурс Slashleaks, который специализируется на различного рода утечках, опубликовал фотографии смартфона Meizu 16s Plus, из которых лишь одна является новой она представлена первой в данной заметке. Смартфон Meizu 16s Plus должен быть оснащен экраном AMOLED диагональю 6...

Security Week 42: аппаратные бэкдоры, уязвимость в Intel NUC Уязвимости в ПО низкого уровня, которое запускается до загрузки операционной системы, бывают не только в «айфонах». На прошлой неделе были закрыты уязвимости в прошивках двух популярных устройств — в игровой и медиаприставке Nvidia Shield TV и в компьютерах семейства Intel N...

Найдена одна из самых крупных уязвимостей в iOS Исследователь по кибербезопасности под псевдонимом «axi0mX» рассказал об уязвимости для iOS-устройств, работающих на процессорах от A5 (iPhone 4S) до A11 (iPhone 8 и iPhone X). Он назвал эксплоит checkm8 и опубликовал его в открытом доступе на GitHub.

Apple рассказала про враньё Google о проблемах безопасности в iOS Безопасность — ключевая особенность iPhone Apple нечасто выпускает открытые письма для пользователей, но если уж делает это, значит, на то были веские основания. Как правило, поводом для публикации таких посланий становятся события, которые требуют от компании хоть как...

Декларативная схема и что с ней не так в Magento 2 Всем привет. Данная публикация не претендует на звание истины в первой инстанции, а лишь является моим личным мнением, если вы его разделяете отлично, если нет — прошу в комментарии для обсуждения. Так вот, ближе к делу. В версии Magento 2.3 и выше появилась такая «плюшка» ...

В онлайн-оплате картами найдена уязвимость Компания ChronoPay предупредила об уязвимости в протоколе 3D Secure, через который производится оплата с банковских карт на сайтах и в мобильных приложениях.

[Из песочницы] Как не надо писать шаблоны для bootstrap Мало кто сейчас пишет дизайн сайта с нуля — зачем, если есть куча замечательных CSS фреймворков? Наиболее популярен среди них bootstrap. Тем не менее, всем хочется, чтобы сайт выглядел уникально, не так как у других — поэтому поверх часто втыкают(в меру возможностей) бесплат...

Не открывайте порты в мир — вас поломают (риски) Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list'ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps'ы спрашивают: "Зачем?!?" Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба. Ошибка ко...

Посмотрел на картинку — помог хакеру: Google обнаружила в Android новую серьёзную уязвимость Компания Google обнаружила в операционной системе Android серьёзную уязвимость, позволяющую при желании запустить на чужом смартфоне произвольный код. Для этого требуется всего лишь картинка. Конечно, не всё так просто. На самом деле нужен специальным образом сконфигури...

Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...

Пишем ITIL 08.08 (жаль, что не 0808 года) в составе ITIL выходит новая публикация, посвященная обзору практики Service Level Management. Я являюсь одним из авторов данного материала, второй, ясное дело, – Роман Журавлев. Поскольку дата официальной публикации уже близко, позволю себе ...

«Зомби» не страшны. AMD заявила, что её продукты не подвержены и уязвимости ZombieLoad тоже Несколько дней назад AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout. Напомним, это две из трёх уязвимостей, входящих в группу Microarchitectural Data Sampling (MDS). Теперь же AMD обновила своё заявление, добавив в него и третью уязвимость —...

Работа децентрализованной биржи 0x оказалась прервана из-за обнаруженной уязвимости Разработчики протокола 0x были вынуждены на время приостановить работу своей децентрализованной биржи, объяснив это обнаруженной уязвимостью в версии 2.0. По заявлению представителей проекта, средства пользователей находятся в целости и сохранности, однако им необходимо мигр...

Moscow Python Conf++ 2019 — первая конференция, где мы готовим часть спикеров с нуля сами «Если хочешь сделать что-то хорошо — сделай это сам». 5 апреля 2019 года мы проводим 4-ю Moscow Python Conf, и я решил провести странный эксперимент: посмотреть, что будет, если перевернуть подготовку докладов с ног на голову. Как обычно делается — открывается Call for P...

Баг в WP Live Chat Support позволяет манипулировать чатами ИБ-исследователи из Alert Logic обнаружили уязвимость в WordPress-плагине WP Live Chat Support. Баг позволяет неавторизованным злоумышленникам получать историю переписки с клиентами и управлять текущими сессиями чатов. Под угрозой оказались более 50 тыс. веб-сайтов, на котор...

Управляем android устройством Это уже третья попытка подружить умный дом с android, напомню, что первая попытка контролировать android устройства посредством HTTP, была с помощью приложения Paw Server. Данное приложение позволяло с помощью языка BeanShell встраивать свой код в xhtml страницу и взаимоде...

Разработка чат-бота (laravel+botman) Welcome! Я, как junior full stack разработчик, при попытке написать бота с использованием laravel и botman’а столкнулся с многими проблемами. Во-первых, я плохо знаю английский, а на русском статей очень мало на эту тему, а те, что есть не помогли мне решить мои проблемы. В ...

[Перевод] 25 лет спустя: интервью с Линусом Торвальдсом В первом номере Linux Journal было опубликовано интервью, взятое Робертом Янгом, первым издателем журнала (и, среди прочего, основавшим Red Hat) у Линуса Торвальдса (автора ядра Linux). Мы решили, что будет интересно свести их снова вместе спустя 25 лет. Первое интервью мо...

Конгресс США просит Тима Кука объяснить ситуацию с найденной в FaceTime уязвимостью Несмотря на то, что Apple уже исправила уязвимость в FaceTime, её проблемы, связанные с этой ситуацией, не закончились. Во-первых, на компанию уже успели подать в суд. Во-вторых, как сообщает источник, Конгресс США призвал Тима Кука объяснить ситуацию с уязвимостью. Ес...

Intel залатала «дыры» в ПО для диагностики процессоров и в прошивке SSD DC S4500/S4600 После публикации в январе 2018 года отчёта об обнаруженных в процессорах Intel уязвимостей Meltdown и Spectre на продукцию микропроцессорного гиганта нацелилось самое пристальное внимание со стороны специалистов по кибербезопасности. Для них это непаханое поле деятельности и...

Совет Федерации принял законы о неуважении к власти и фейковых новостях Сегодня 149 сенаторов Совета Федерации проголосовали за принятие закона о публикации фейковых новостей. Против проголосовало только 3 человека, 4 сенатора воздержались, о чем сообщает «Коммерсант». Согласно новым правилам, за публикацию неправдивой информации физические лица...

[Перевод] Конференция DEFCON 19. Anonymous и мы. Часть 2 Конференция DEFCON 19. Anonymous и мы. Часть 1 Джошуа Корман: вы знаете, я не сторонник самосуда, но я не думаю, что подобный подход должен исчезнуть. Это важный вопрос. Если мы думаем, что наша отрасль дисфункциональна и не уверены, что будем услышаны, тогда давайте примен...

Павел Дуров объяснил, почему категорически нельзя пользоваться WhatsApp Павел Дуров считает, что пользоваться WhatsApp опасно Думаю, вы не раз замечали, что во всякой телевизионной рекламе, какой бы продукт она ни продвигала, используются абстрактные сравнения и никогда не называются конкурирующие бренды. Вместо конкретных названий рекламщики ст...

Mail.ru Group анонсировала запуск браузера Atom В специальной вкладке браузера можно посмотреть, какие права доступа предоставляются каждому сайту. Пользователь может изменить права доступа для конкретного сайта или всего интернета. К примеру, можно заблокировать доступ к камере и микрофону, а также запись cookie третьими...

Закон «О связи» и уязвимость в мессенджерах Интересная произошла ситуация у меня. Купил симку Yota, залогинился с этим номером в WhatsApp и сразу оказался в трёх незнакомых группах. Предыдущей переписки не было видно, потому сначала подумал, что спам и тупо удалился со всех трёх. Спустя некоторое время мне написал ч...

Обнаружены уязвимости в аппаратных кошельках Trezor и Ledger Специалистам удалось найти бреши в устройствах производства Trezor и Ledger. Среди выявленных проблем: атаки по стороннему каналу, атаки на цепочку поставок, уязвимости на уровне прошивки и чипа.

Жизненный цикл статьи на Хабре: пишем хабрапарсер. Часть вторая Привет Хабр! В первой части пятничного анализа была рассмотрена методика сбора некоторой статистики этого замечательного сайта. Изначально не было плана делать продолжение, но в комментариях возникли интересные мысли, которые захотелось проверить. Например, какие статьи име...

Как сделать из сайта приложение и выложить его в Google Play за несколько часов. Часть 2/2: Trusted Web Activity В первой части мы превратили наш сайт в Progressive Web App. Там же было сказано, что совсем недавно, 6 февраля 2019 года, Google предоставили простую возможность выкладывать PWA в Google Play при помощи Trusted Web Activity. Всё, что нужно сделать, это написать небольшую ...

Отдаю 2 сайта в хорошие руки Отдаю 2 сайта в хорошие руки. Причина — нет времени заниматься. Вот сами сайты: http://monastery-russia.ru http://kriptoarb.ru   Про первый сайт я уже писал вот тут — http://blogarbik.ru/?p=9419 Про второй сайт — kriptoarb.ru В день капает около 150 ун...

3DNews-2018. Ключевые IT-события прошедшего года в публикациях нашего сайта Редакция 3DNews от всей души поздравляет любимых читателей с наступившим 2019 годом и традиционно представляет серию новогодних публикаций о ключевых событиях прошедшего года. Начинаем с рассказа о главных событиях в IT-индустрии, нашедших отражение в материалах наш...

Adobe залатала Flash Player и Application Manager В рамках сентябрьского «вторника патчей» компания Adobe устранила три уязвимости в двух продуктах: Flash Player и Application Manager. Согласно бюллетеням, все выявленные проблемы грозят исполнением вредоносного кода; в реальных атаках ни одна из них не замечена. У...

Фильтр Калмана для минимизации энтропийного значения случайной погрешности с не Гауссовым распределением Введение На Habr математическое описание работы фильтра Калмана и особенности его применения рассматривались в следующих публикациях [1÷10]. В публикации [2] в простой и доходчивой форме рассмотрен алгоритм работы фильтра Калмана (ФК) в модели «пространства состояний», Сл...

Ноутбуки Razer продолжают продаваться с давно известной «дырой» в безопасности С 2011 года компания Razer, ранее хорошо известная своей стильной компьютерной периферией, также начала продвигать производительные игровые ноутбуки. И если с мышками и клавиатурами особых хлопот в плане заботы о безопасности нет, то с ноутбуками всё очень непросто. Оказалос...

Популярное приложение для Mac шпионило за пользователями через веб-камеру Принято считать, что Apple не ведет слежку за своими пользователями, как это делает, например, Google. В Купертино гордятся этим и подают как серьезное достижение. Но если сами сотрудники Apple не следят за своими клиентами, это еще не значит, что такой возможности нет у ко...

Срочно обновите Chrome. Google просит пользователей обновить браузер из-за найденной уязвимости Компания Google обратилась к пользователям браузера Chrome с просьбой срочно обновить приложение. Chrome обновляет сам, не требуя при этом перезагрузки, но в данном случае она всё же нужна. Суть в том, что компания обнаружила серьёзную уязвимость, которую уже «акт...

[Из песочницы] Пишем простой NTP клиент Здравствуйте, хабраюзеры. Сегодня я хочу рассказать о том, как написать свой простенький NTP клиент. В основном, разговор зайдет о структуре пакета и способе обработки ответа с NTP сервера. Код будет написан на питоне, потому что, как мне кажется, лучшего языка для подобных ...

В сентябрьский набор обновлений для Android не вошел патч для опасной 0-day уязвимости В этом месяце разработчики Google исправили почти 50 различных уязвимостей в Android, но эксперты Trend Micro сообщили, что одна опасная 0-day проблема так и осталась без патча.

В драйверах видеокарт Nvidia GeForce, Quadro и Tesla обнаружены уязвимости Сообщается, что Nvidia обнаружила пять уязвимостей в своих драйверах Windows для видеокарт серий GeForce, Quadro и Tesla. По словам компании, данные уязвимости отмечены как очень опасные. Подробнее об этом читайте на THG.ru.

Взломщики эксплуатируют уязвимости в WordPress-плагине Злоумышленники используют бреши в плагине YellowPencil, установленном на более чем 30 тыс. сайтов на базе WordPress. Создатель расширения просит владельцев веб-ресурсов срочно установить обновление. По словам исследователей, за атаками стоят те же преступники, которые в тече...

Уязвимость Internet Explorer грозит потерей файлов Специалист по кибербезопасности Джон Пейдж (John Page) опубликовал информацию об уязвимости Internet Explorer 11, позволяющей получить доступ к локальным файлам. Исследователь уведомил Microsoft о найденном баге, но компания отказалась выпускать внеплановый патч. Проблема св...

Опубликован план выпуска объективов Nikon с креплением Z Представляя объектив Nikkor Z 58mm f/0.95 S Noct, компания Nikon рассказала о планах выпуска объективов беззеркальной системы Nikon Z на период до 2021 года. Текущая ситуация и перспектива на ближайшие годы наглядно показаны на иллюстрации. Синим цветом отмечены уже вып...

[Перевод] Искусство аннотирования: пишем Java-friendly код на Kotlin Привет, Хабр! Сегодня мы затронем важнейшую тему: интероперабельность Java и Kotlin. Авторы предлагаемой публикации разумно предполагают, что переписать на Kotlin базу кода, сделанную на Java, маловозможно. Поэтому правильнее обеспечить взаимодействие кода на Java и Kotlin....

Продолжаем развивать платформу приключений для россиян: особенности интерфейсов и летние особенности Несколько месяцев назад мы стартовали платформу поиска приключений — это туры, только очень необычные, есть короткие, есть на пару недель, есть с чем-то таким, что запомнится на всю жизнь. Главная наша проблема: когда приключений стало около 350, мы утонули в сортировках. Си...

Очередная уязвимость чипов Intel позволяет злоумышленникам перехватывать важную информацию Кодовое имя найденной уязвимости — NetCAT.

Google обещает заплатить до 1,5 млн долларов за взлом смартфонов Pixel 3 и 4 Компания Google опубликовала новые условия программы Android Security Rewards, призванной стимулировать поиск уязвимостей в ее смартфонах. Сейчас в программе участвуют устройства Pixel 4, Pixel 3a, Pixel 3a XL, Pixel 3 и Pixel 3 XL. Программа распространяется на ранее ...

[Из песочницы] Свой mapper или немного про ExpressionTrees Сегодня мы поговорим про то, как написать свой AutoMapper. Да, мне бы очень хотелось рассказать вам об этом, но я не смогу. Дело в том, что подобные решения очень большие, имеют историю проб и ошибок, а также прошли долгий путь применения. Я лишь могу дать понимание того, ...

Как мы запускаем новый сайт банка. Часть 2 Прошло полгода с момента публикации первой статьи о работе над сайтом банка. За это время Промсвязьбанк превратился в ПСБ, моя команда пополнилась еще тремя сильными спецами, мы запустили 300+ новых страниц на сайте, увеличив фокусные показатели и получив обратную связь от ...

Какой код нужно показывать на собеседовании Сегодня с утра был очень интересный пост о том, какой код нужно писать на собеседовании и какие навыки при этом демонстрировать. Тестовая задача была такая. Написать на TypeScript функцию, которая для заданного массива чисел выводит текстовую строку диапазонов: getRanges([...

Битрикс для программиста и менеджера: любовь и ненависть Здравствуйте. Я уже давно не пишу на php, но то и дело натыкаюсь на интернет-магазины на системе управления сайтами Битрикс. И я вспоминаю о своих исследованиях. Битрикс не любят примерно так, как Москву начала 2000-х: успешный и денежный проект, объективно ничем не заслужи...

Лучшая худшая работа в мире: ищем хабраавтора Какая работа может быть лучше, чем писать на Хабр о разработке? Пока кто-то готовит свой большой хабрапост урывками по вечерам, тут прямо в рабочее время делишься с сообществом интересными вещами и получаешь от него плюсы. Какая работа может быть хуже, чем писать на Хабр ...

Уязвимости в ПО 4G-роутеров позволяют получить полный контроль над устройством Исследователь под ником "g richter" из Pen Test Partners поделился сведениями об ошибках, обнаруженных в устройствах 4G, во время конференции хакеров DEF CON в августе этого года. Он заявил, что многие существующие модемы и маршрутизаторы 4G небезопасны - при этом ...

Независимая телекоммуникационная среда Medium: как сообщество разрабатывает «Интернет 2.0» Привет, Хабр! Интернет — это всегда хорошо. Но ещё лучше, когда контроль над ним осуществляется сообществом, а не государством и корпорациями. В этой публикации я расскажу о том, как и зачем сообщество энтузиастов разрабатывает Medium — децентрализованную альтернативу суще...

Опубликованы PoC к 0-day в Internet Explorer и Edge Независимый исследователь Джеймс Ли (James Lee) выложил в сеть PoC для уязвимостей в Internet Explorer и Edge. Найденные специалистом бреши позволяют обойти правило ограничения домена (SOP) и выполнить в среде браузера вредоносный скрипт, размещенный на сервере злоумышленник...

Security Week 12: клавиатурные атаки Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX...

[Перевод] Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит / с. Часть 1 Меня зовут Мэттью Принс, я один из соучредителей и генеральный директор сервиса CloudFlare. Не думайте, что я буду настолько же интересен, как директор АНБ, но я хотя бы постараюсь быть менее противоречивым. На самом деле я частный профессор права, так что я читал Конституци...

Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...

Отпечатки пальцев расскажут об употреблении наркотиков Специалисты Университета Суррея в Великобритании предложили использовать методику жидкостной хроматографии совместно с тандемной масс-спектрометрией, чтобы обнаруживать на руках людей следы наркотиков. По итогам исследования способ подтвердил свою эффективность, о чём авторы...

[Перевод] Ищем утечки памяти в приложениях на Python Ola! мы продолжаем серию публикаций приуроченных к запуску курса «Web-разработчик на Python» и прямо сейчас делимся с вами переводом еще одной интересной статьи. В Zendesk мы используем Python для создания продуктов с машинным обучением. В приложениях с использованием машин...

Как мы нашли критичную уязвимость AspNetCore.Mvc и перешли на собственную сериализацию Привет, Хабр! В этой статье мы хотим поделиться нашим опытом в оптимизации производительности и исследовании особенностей AspNetCore.Mvc. Предыстория Несколько лет назад на одном из наших нагруженных сервисов мы заметили существенное потребление ресурсов CPU. Это выгляде...

Замыкание обобщенного типа в Rust В этой короткой статье я расскажу о паттерне в Rust, который позволяет "сохранять" для последующего использования тип, переданный через обобщенный метод. Этот паттерн встречается в исходниках Rust-библиотек и я тоже иногда его использую в своих проектах. Мне не удалось найт...

[Перевод] Создание приложения с использованием Styled-Components в Vue.js Привет, Хабр! На днях наткнулся на одну очень интересную статью на португальском. К счастью, удалось найти её английскую версию. Предлагаю вашему вниманию перевод на русский. Другие мои переводы вы можете найти на мой странице на хабре. Ссылка на оригинал: португальский, ан...

Как подготовить сайт к большим нагрузкам: 5 практических советов и полезные инструменты Пользователи очень не любят, когда нужный им онлайн-ресурс «тормозит». Данные опросов говорят о том, что 57% пользователей покинут веб-страницу, если она грузится дольше трех секунд, при этом 47% готовы ждать лишь две секунды. Задержка в одну секунду может стоить 7% конвер...

Уязвимость NetCAT угрожает серверным процессорам Intel Исследователи опубликовали подробности об уязвимости NetCAT, которая угрожает всем процессорам Intel, поддерживающим Data-Direct I/O Technology (Intel DDIO) и Remote Direct Memory Access (RDMA).

Опубликован эксплоит для уязвимости в Outlook для Android Для RCE-уязвимости в Outlook для Android, о которой стало известно на прошлой неделе, опубликован работающий эксплоит.

От «Цветорасширителя для ZX-Spectrum» до ZX-Poly "Цветорасширитель для ZX-Spectrum" — так называлась статья, опубликованная в эхе fido7.zx.spectrum 3 августа 1997 года. Статья описывала идею решения одной из главных проблем платформы ZX-Spectrum — конфликта атрибутов (attribute clash). Публикация вызвала в то время определ...

Обучающие настольные игры для программистов На рынке труда в Java-разработке наблюдается интересная ситуация. Активных резюме разработчиков больше 100 000 и на одно резюме приходится одна вакансия. В то же время работодатели и кадровые агентства жалуются на недостаток кадров, и, несмотря на тысячи резюме, найти хороше...

В Штатах ГОСТы тоже так себе. Фатальная уязвимость в YubiKey FIPS, которую можно было избежать Привет, %username%! 13 июня 2019 года компания Yubico, производитель устройств для двухфакторной аутентификации, выпустила уведомление о безопасности в котором говорится о критической уязвимости некоторых устройств Yubikey FIPS. Давайте посмотрим что это за уязвимость и к...

XSS-уязвимость в популярном плагине для WordPress используют для взлома сайтов Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerce, установленном на 20 000 сайтов.

В процессорах Intel Cascade Lake обнаружена уязвимость Zombieload v2 Серия обнаруженных аппаратных уязвимостей сыпется на Intel как из рога изобилия. Недавно команда исследователей обнаружила новый вариант уязвимости Zombieload v2, которая может быть использована злоумышленниками на процессорах семейства Intel Cascade Lake. В него...

Intel устранила 19 уязвимостей в графических драйверах для Windows Разработчики Intel опубликовали исправления для 19 багов в графических драйверах для Windows. Уязвимости чреваты эскалацией привилегий, DoS и раскрытием информации.

[Перевод] Действительно ли Python GIL уже мертв? Всем привет! Уже в следующий понедельник начинаются занятия в новой группе курса «Разработчик Python», а это значит, что у нас есть время для публикации еще одного интересного материала, чем мы сейчас и займемся. Приятного прочтения. В далеком 2003 году Intel выпустил нов...

Математическое расследование, как подделывали выборы губернатора в Приморье 16 сентября 2018 года Во втором туре выборов губернатора Приморского края 16 сентября 2018 года встречались действующий и.о. губернатора Андрей Тарасенко и занявший второе место в первом туре коммунист Андрей Ищенко. В ходе подсчета голосов на сайте ЦИК РФ отображалась информационная панель с рас...

Второй раунд. Девять новых атак по обходным каналам на основе уязвимостей кеша Для подписчиковС момента публикации первого обзора подобного рода атак поборники добра сумели разработать эффективные меры защиты. Однако темная сторона силы тоже оттачивала свое мастерство. Какие новые техники они изобрели и почему атакующие разделились на два лагеря — чита...

Электросамокаты Xiaomi оказались небезопасными из-за найденной уязвимости Превращение многих обычных устройств в «умные» приводит не только к расширению возможностей этих продуктов, но и к новым рискам. Обычный телевизор или холодильник нельзя взломать, а вот умный — можно. Теперь вот дошла очередь и до самокатов. Компания ...

Emoji в интерфейсе iOS приложения и требования Apple С удивлением не обнаружил в выдаче поиска по Хабру публикаций по проблеме использования emoji в интерфейсе приложений публикуемых в App Store благословенной Apple. Так что заранее извиняюсь если всё-таки повтор. Суть проблемы в том что Apple запрещает использование emoji ...

Специалист по кибербезопасности нашёл в сервисе Zoom уязвимость — она позволяла удалённо включать веб-камеры на macOS Исследователь предупредил компанию несколько месяцев назад, но она пообещала исправить проблему только после того, как он рассказал о ней публично.

Python из C В прошлом году появилась необходимость дополнить старый проект написанный на C функционалом на python3. Не смотря на то, что есть статьи на эту тему я помучился и в том году и сейчас когда писал программы для статьи. Поэтому приведу свои примеры по тому как работать с pytho...

Intel нашла уязвимость в своих процессорах Компания Intel заявляет об уязвимости, которую обнаружили почти во всех фирменных процессорах, выпущенных с 2011 года. Проблему обнаружили ученые из Технологического университета Граца. Это новый класс уязвимостей Microarchitectural Data Sampling (MDS), основанный на техн...

Загрузчик, прошивка, BlTouch на Anet E10 Снова приветствую читателей 3DToday. После публикации статьи про свой Anet E10, мне начали писать в ЛС с вопросом про прошивку сего агрегата. Сегодня разберемся, где же найти заветные файлы, адаптированные под десятку.Подробнее...

Хабрарейтинг 2017: лучшие материалы за 2017 год Привет Хабр. В недавней публикации подборки лучших статей за 2018й год было высказано пожелание увидеть такой же список за год 2017. В принципе, неплохая идея — практически все опубликованное тогда, актуально и сейчас. Обработка данных закончена, да и выходные еще не истекл...

Управление целями в организации: Цели и инженеры (часть 3) Продолжаем цикл публикаций о Pulse Management — Управление проектной организацией (Метод Пульса). Мы уже разобрались с моделью организации, с основными принципами Метода. Теперь время рассказать о Правилах. Правила программируют организацию, а значит они должны быть определ...

Security Week 45: уязвимости Chrome и BlueKeep в дикой природе Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019...

Статический анализатор кода PVS-Studio как защита от уязвимостей нулевого дня Угроза нулевого дня (англ. zero day) – это термин, обозначающий уязвимости, допущенные при разработке, которые еще не были обнаружены. Такие уязвимости могут использоваться злоумышленниками, что в итоге затронет и репутацию компании. Перед разработчиками стоит задача максим...

Проверяем исходный код Roslyn Время от времени мы возвращаемся к проектам, которые уже проверяли ранее с помощью PVS-Studio и писали про это статьи. Делать это интересно по двум причинам. Во-первых, чтобы понять, насколько лучше стал наш анализатор. Во-вторых, чтобы отследить, обратили ли авторы проекта...

Опубликован эксплоит для неисправленной 0-day уязвимости в vBulletin Уязвимость нулевого дня в vBulletin затрагивает десятки тысяч сайтов. Патча для этой проблемы пока нет.

Опубликован эксплоит для RCE-уязвимости в браузере Edge ИБ-специалисты обнародовали proof-of-concept эксплоит для свежей уязвимости в браузере Microsoft Edge, патч для которой вошел в состав декабрьского «вторника обновлений».

Пишем на Java для Nintendo DS Введение Все началось с того, что я случайно нашел список homebrew программ (программы, разработанные усилиями пользователей для устройств, не предназначенных для запуска пользовательского ПО) для Nintendo DS и в нем увидел одну очень интересную строчку, а именно: «Pstros ...

РНР-безопасность: где и как хранить пароли. Часть 1 Каждый год в мире происходит все больше хакерских атак: от краж кредитных карт до взломов сайтов онлайн-магазинов. Уверены, что ваши скрипты по настоящему защищены? В преддверии старта курса «Backend-разработчик на PHP» наш коллега подготовил интересную публикацию на тему бе...

В Интернет попали персональные данные 703 тысяч сотрудников РЖД В РЖД заверяют, что персональные данные пассажиров похищены не были. 27 августа компания DeviceLock, специализирующаяся на предотвращении утечек данных с корпоративных компьютеров, заявила, что неизвестные выложили в свободный доступ персональные данные 703 тыс. работнико...

Десктопный Chrome опять латают В минувшую среду, 18 сентября, компания Google выпустила для Chrome экстренное обновление, устраняющее четыре уязвимости. Одна из них оценена как критическая, остальные — как высокой степени опасности. Пользователям браузера рекомендуется незамедлительно обновить его до сбор...

Как работают поисковые системы Мы разбирали старые письма и наткнулись на статью, которую писал Илья Сегалович iseg для журнала «Мир Internet» в далёком 2002 году. В ней он сравнивает интернет и поисковые системы с чудесами света, размышляет о поисковых технологиях и вспоминает их историю. Несмотря на заг...

ZX Spectrum 128k своими руками. Часть 2 Первая часть здесь Все изображения кликабельны. Прошло больше года c того момента как я написал статью про сборку клона ZX Spectrum «Ленинград». И за это время его возможности существенно расширились. Не думал что я буду писать ее продолжение, но все таки статей по ретрок...

Безопасные сайты для скачивания Android-приложений В магазине приложений от Google довольно много разного рода программ. Но случается так, что программа, которая вам нужна, недоступна в магазине Google Play по той или иной причине. При этом, если вы зайдете в любой поисковик, он выдаст вам кучу веб-ресурсов, на которых можн...

Автоматизация для самых маленьких. Часть нулевая. Планирование СДСМ закончился, а бесконтрольное желание писать — осталось. Долгие годы наш брат страдал от выполнения рутинной работы, скрещивал пальцы перед коммитом и недосыпал из-за ночных ролбэков. Но тёмным временам приходит конец. Этой статьёй я начну серию о том, как мне видит...

[recovery mode] Первая волна пострадавших от уязвимости Exim. Скрипт для лечения Уязвимость с RCE в Exim уже довольно сильно нашумела, и довольно сильно потрепала нервы системным администраторам по всему миру. На волне массовых заражений (очень многие наши клиенты используют Exim в качестве почтового сервера) быстренько накидал скрипт для автоматизации...

Дыру в безопасности для взлома WhatsApp с помощью видео залатали Команда Facebook, которой сейчас принадлежит популярный WhatsApp, опубликовала заявление, в котором говорится об устранении найденной не так давно уязвимости в WhatsApp.  Критическую уязвимость CVE-2019-11931 в приложениях WhatsApp для Android и iOS позволяла злоу...

Есть ли перспектива у «Орлана» или наш «Орлан» против «Ай-Би-Эм» "САИПР — генетический код части" Л.И.Волков, начальник 4 ЦНИИ МО В названии статьи объединены заголовки двух публикаций, появившихся в далеком 1994 году в газетах «Московский воин» и «Красная Звезда». Основой публикаций стало интервью, которое взял у меня военный корреспонде...

[Перевод] Мониторим ресурсы кластеров Kubernetes Я создал Kube Eagle — экспортер Prometheus. Оказалось, крутая штука, которая помогает лучше разбираться в ресурсах маленьких и средних кластеров. В итоге я сэкономил не одну сотню долларов, потому что подбирал правильные типы машин и настраивал ограничения ресурсов приложен...

Какие приложения установлены на моём смартфоне Данная тема довольно популярна в сети Интернет, поэтому написать материал о приложениях, которые установлены на моём смартфоне, был просто обязан. Скажу сразу, в игры не играю, поэтому из установленных только PUBG. Для многих смартфон – это просто средство для совершения зв...

Vue 3 станет быстрее Одним из самых ярких событий в мире Фронтенда в этому году стала публикация репозитория Vue next — части функционала третьей версии VueJS. В этой в этой статье представлен обзор новых killer features VueJS. На момент публикации статьи репозиторий находился в статусе Pre-Alp...

XVI конференция разработчиков свободных программ Недавно в славном городе Калуге проходила XVI конференция разработчиков свободных программ. Конференцию организовывала компания “Базальт-СПО”. Embox, являясь свободным проектом, также выступал на конференции. Я, традиционно, не буду делать обзора всех докладов, а расскажу ...

Как я имплантировала RFID себе в руку, а потом еще NFC. Часть 2 Прошло более четырех лет с момента публикации первой части про EM4100 и я решила все же написать вторую часть — про имплантируемый NFC. Преимущества первой 125 кГц метки были ощутимы сразу — ключ к домофонам и внутренним замкам, но хотелось большего — разблокировать телефо...

В механизме macOS, ответственном за хранение логинов и паролей, найдена уязвимость, позволяющая получить доступ к этим данным Похоже, у Apple наступила чёрная полоса в вопросе безопасности её продуктов. Ещё не успел успокоиться скандал касательно уязвимости в FaceTime, как стало известно, что в операционной системе macOS нашлась дыра, посредством которой можно получить к логинам и паролям поль...

Виза таланта в цифровых технологиях в Великобританию: личный опыт Моя предыдущая статья на хабре про жизнь в Шотландии нашла очень большой отклик у хабрасообщества, поэтому я решил опубликовать тут еще одну статью которую об эмиграции, которую ранее публиковал на другой площадке. Я живу Великобритании больше двух лет. Изначально, я сюда п...

Как работает блогспам В последнее время в зарубежном интернете распространилось такое явление, как блогспам. по сути, это обычный SEO-спам, который использует раскрученные онлайн площадки для продвижения. Чаще всего публикация представляет из себя слабосвязанный и бессмысленный текст, либо сге...

[Из песочницы] Генератор мемов на Ruby для привлечения интереса к языку По моему мнению язык Ruby перестал быть популярным как в 2012 — 2014 году и поэтому у меня возникло желание пока про язык совсем не забыли, попробовать его снова донести в массы, ведь Ruby по моему мнению самый удобный и практичный язык для веб разработки. Я с неделю назад ...

У Microsoft Edge выявили новую уязвимость На сайте GitHub появился эксплойт для уязвимости CVE-2018-8629, который нашли ребята с Phoenhex. Эксплойт был обнаружен в движке Chakra браузера Edge. Эта уязвимость позволяет выполнить удаленно код с правами администратора за счет выхода рамок выделенной памяти. Те, кто уст...

Эксперты составили черный список уязвимых плагинов Magento Независимый исследователь Уиллем де Грут (Willem de Groot) вместе с другими специалистами запустил репозиторий небезопасных расширений CMS Magento. На момент публикации в хранилище собрано более 60 плагинов. Инициатива призвана помочь веб-администраторам устранить уязвимости...

Google умолчала об уязвимости в Android, но рассказала про iOS Джеки в шоке На прошлой неделе Google опубликовала доклад о масштабной хакерской атаке, направленной на пользователей iOS. Исследователи компании рассказали об особых сайтах, посещение которых с iPhone приводило к их заражению. В результате злоумышленники более двух лет имел...

Автоматизация End-2-End тестирования комплексной информационной системы. Часть 1. Организационная Этой статьей мы открываем серию публикаций о том, как автоматизировали в одном из крупных проектов компании ЛАНИТ процесс ручного тестирования большой информационной системы и что у нас из этого вышло. Первая часть – организационно-управленческая – должна быть полезна в пер...

Как проводить Code Review по версии Google Вопросы код-ревью меня интересуют очень давно. Много раз возникали те или иные проблемы то с качеством кода, то с климатом в коллективе. И действительно, code review — это если не единственное, то одно из самых главных мест для возникновения конфликтов в коллективе разработч...

Как изучение критической уязвимости DHCP в Windows 10 привело к обнаружению еще двух ошибок безопасности Изображение: Unsplash Как было описано в предыдущей статье про CVE-2019-0726, иногда поиск деталей об уже известной уязвимости приводит к обнаружению новой уязвимости. А в некоторых случаях таких новых уязвимостей оказывается больше одной. Читать дальше →

Убийца iOS: джейлбрейк с помощью checkra1n в вопросах и ответах Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11. Опасность...

Интересные находки с Aliexpress: игровая консоль в стиле ретро, мини квадрокоптер и многое другое Доброго времени суток дорогие друзья! Стартовала распродажа черной пятницы на Aliexpress и множество интересных товаров стали доступны по низким ценам. В данной публикации постараюсь привести Вам подборку интересных вещей, которые мне удалось найти на страницах сайта Aliexpr...

[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 46. Проверка работы OSPF Сегодня мы продолжим тему предыдущего урока о настройках и проверке работы протокола OSPF, которым посвящен раздел 2.4 тематики ICND2. Проверка работы протокола очень важна, так что вы должны знать, какие команды нужно для этого использовать. Прежде чем начать этот урок, я х...

Роскомнадзор рассказал об опасности публикации фото детей в соцсетях Сегодня, в День защиты детей, Роскомнадзор опубликовал на своей странице во «ВКонтакте» пост с советами по публикации фотографий детей в соцсетях. В целом, совет там один — не публиковать фотографии.

Тест-драйв nanoCAD СПДС Металлоконструкции 1.2. Часть 1 Тест-драйв nanoCAD СПДС Металлоконструкции 1.2 Уважаемые хабровцы, интересующиеся САПР, За несколько месяцев ведения блога на Хабре мы получили много вопросов, об основных инструментах программ СПДС Металлоконструкции и СПДС Стройплощадка. Поэтому решили создать и опубли...

Отправка сообщений об опечатках в публикациях — Как правильно, творог или творог? — Творог — Спасибо! Привет Хабр! Обычно мы не выгружаемся в пятницу, но сегодня особый случий: во-первых, зима уже не так близко, во-вторых — начало весны и день котов, в-третьих — сколько можно тянуть-то с этой долгожданной фичей?! TL...

Как не промахнуться с бюджетом на серийное производство корпусов: 20 примеров из практики бюро по инженерному дизайну Публикация всего двух статей о том, как самостоятельно оценить стоимость производства корпуса для прибора (первая и вторая) подняла просто волну запросов из серии «А вот сколько будет стоить наш корпус при тираже 5-100-1000- ∞ штук?» Как выясняется в ходе общения, большин...

Security Week 38: слежка за мобильными устройствами через SIM-карту Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять л...

Как ужиться с поколением Z Знаете, когда читаешь публикации в СМИ насчёт очередных особенностей очередного поколения молодых людей, начинает казаться, что мир катится в пропасть. Все эти фразы про молодёжь, которая не умеет работать, не признаёт авторитетов и скоро погубит мир, свежестью своей мысли...

[Из песочницы] Composer для самых маленьких Доброго дня. Когда я первый раз разбирался с composer, я набросал для себя маленькую шпаргалку и теперь, спустя некоторое время представляю её на суд общественности в несколько доработанном виде. Данная публикация актуальная для тех, кто в первый раз столкнулся с незаменимы...

Способ организации коллективного изучения теории в ходе семестра Всем привет! Год назад я написал статью про то, как я организовывал университетский курс по обработке сигналов. Судя по отзывам, в статье много интересных идей, но она большая и тяжелочитаемая. И я давно хотел разбить её на более маленькие и написать их понятнее. Но писать о...

[Перевод] Протокол QUIC в деле: как его внедрял Uber, чтобы оптимизировать производительность За протоколом QUIC чрезвычайно интересно наблюдать, поэтому мы любим писать о нем. Но если предыдущие публикации о QUIC носили больше исторический (краеведческий, если хотите) характер и матчасть, то сегодня мы рады опубликовать перевод другого толка – речь пойдет про реальн...

Обновление* Ethereum «Constantinople» откладывается из-за найденной в последний момент потенциальной уязвимости *многие называют это событие «hard fork»-ом, но «Виталик» против. Долгожданный релиз Constantinople должен был состояться 17 января, в 4AM UTC, однако, в очередной раз жестоко обломав несметную армию разработчиков countdown счетчиков этому не суждено будет сбыться. Читать ...

[Перевод] Мой любимый Git-коммит Прим. перев.: Эта публикация британского программиста, ставшая настоящим хитом в англоязычном интернете, ссылается на Git-коммит 6-летней давности. Он был зафиксирован в одном из открытых репозиториев Government Digital Service — службы, занимающейся развитием цифровых услуг...

Баг в расширении Simple Social Buttons позволяет угнать сайт Опасная брешь выявлена в WordPress-плагине Simple Social Buttons ИБ-специалистами компании WebARX. Баг позволяет злоумышленникам повысить свои привилегии и изменять ключевые параметры настройки сайтов, работающих под управлением этой CMS. Исследователи сообщили разработчикам...

Уязвимость в соцсети «ВКонтакте» привела к волне спама Пользователи «ВКонтакте» столкнулись со спамерской атакой, построенной на не известной ранее уязвимости. По имеющимся сведениям, организаторы кампании пытались отомстить администрации соцсети за отказ платить по программе bug bounty. Вечером 14 февраля по «ВКо...

Вышел апрельский набор патчей для Android Компания Google опубликовала перечень уязвимостей, которые должны быть закрыты в Android в соответствии с уровнем безопасности на начало апреля. Как всегда, список разделен на две группы: бреши, актуальные для всех мобильных устройств под управлением этой ОС (вендоры могут и...

Что такое DevOps Определение DevOps очень сложное, поэтому приходится каждый раз запускать дискуссию об этом заново. Только на Хабре тысяча публикаций на эту тему. Но если вы это читаете, то наверняка знаете, что такое DevOps. Потому что я — нет. Привет, меня зовут Александр Титов (@osminog)...

Нам нужен другой 1С-Битрикс, часть 2 После публикации первой статьи в деле борьбы за права причастных к 1С-Битриксу появились соподвижники Dekmabot и Sergik_DS со статьями «Почему Битрикс — Битрикс» и «За что, Битрикс? Или сказочный мир 1С», чему я несказанно рад. Как там пишут в руководствах по зачинанию старт...

Ослабляем гайки в правилах Хабра Всем привет! Несколько дней назад мы запустили англоязычную версию Хабра и нам крайне приятно, что вы тепло встретили это долгожданное нововведение. Приятно и то, что за прошедшее с публикации анонса мультиязычности время на сайте появилось уже более 50 англоязычных публикац...

Шимпанзе, листающий ленту Instagram, возмутил ученых Известный приматолог и антрополог Джейн Гудолл, ведущий исследователь шимпанзе в мире, опубликовала на своем сайте Good For All News заявление, в котором выразила опасения по поводу набирающего популярность ролика. Она заявила, что была «очень разочарована, увидев столь неум...

[Перевод] Монады за 15 минут Вступление На конференции YOW! 2013 один из разработчиков языка Haskell, проф. Филип Вадлер, показал, как монады позволяют чистым функциональным языкам осуществлять императивные по сути операции, такие, как ввод-вывод и обработку исключений. Неудивительно, что интерес аудито...

Официально: процессоры AMD не подвержены уязвимостям RIDL и Fallout AMD официально подтвердила, что недавно обнаруженные уязвимости Fallout и RILD обошли стороной процессоры американской компании. Подробнее об этом читайте на THG.ru.

Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...

Cisco исправила критическую RCE-уязвимость в роутерах RV110W, RV130W и RV215W Инженеры Cisco исправили критическую уязвимость в веб-интерфейсах своих продуктов. Баг набрал 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS V3.

Посты в Instagram теперь можно планировать через Facebook Creator Studio На конференции International Broadcasting Convention компания Facebook объявила о добавлении возможности планировать публикации в ленте Instagram и IGTV через Creator Studio. Пользователи сервиса смогут запланировать публикацию максимум за 6 месяцев до выхода. В ближайшие ме...

[Из песочницы] Свежий плагин интернет-магазина на WordPress Некоторое время назад мне понадобилось сделать интернет-магазин на WordPress. В официальном репозитории есть немало хороших решений. Среди них уже давно выделился лидер — Woocommerce. Думаю он не нуждается в представлении. Многомилионная армия пользователей, сотни платных и ...

Стали известны детали обнаруженной в Lightning Network уязвимости Разработчик Blockstream Расти Рассел раскрыл более подробную информацию об уязвимости в сети Lightning Network, о которой впервые стало известно в конце августа. ICYMI: Here are all the details of the recent Lightning bug. https://t.co/NVzKmGW5I6 — TheRustyTwit (@rusty_twit)...

Главный секрет Google I/O 2019, о котором не узнать из интернета Титульная конференция крупнейшего гиганта рекламного бизнеса отгремела уже как неделю, а некоторые до сих пор пишут статьи. Так как всё, что можно было написать про программу и главные новинки, уже написано (привет phillennium), то что остаётся скромному посетителю? Только р...

Laravel: разбираем основные понятия. Часть третья: «Заключительная» Считанные дни остаются до старта нового курса от OTUS — «Framework Laravel». В преддверии старта курса делимся заключительной частью авторской публикации о основных понятиях в Laravel. Важно: данная серия публикаций не имеет отношения к образовательной программе курса и явля...

В процессорах Intel найдена уязвимость Spoiler В начале прошлого года компьютерное сообщество было потрясено открытием аппаратных уязвимостей Meltdown и Spectre, которые присутствуют в большинстве современных процессоров. Если коротко, то Meltdown позволяла вредоносному коду внедряться в ядро операционной системы, а...

Записки pentester’а: случаи на охоте — Ребята, вы круты! Так нас еще никто не опускал! — Мы старались. Да, жизнь охотников за уязвимостями полна специфических комплиментов от заказчиков и не менее специфических ситуаций. За прошедший год мы выполнили более пятидесяти тестов на проникновение в разные компании ...

Проблемы в системе журналирования событий безопасности ОС Windows В операционных системах семейства Windows реализована довольно неплохая система журналирования событий безопасности. О ней в различных публикациях и обзорах написано много чего хорошего, но эта статья будет про другое. Здесь мы поговорим о проблемах и недоработках в этой с...

Переупаковка пакетов в Gradle В своей статье хочу рассказать об очередной хитрости, которую можно довольно просто реализовать с помощью Gradle — переупаковке пакетов библиотек. Каждый, кто хоть чуть чуть работал с этой системой сборки, знает, что она автоматически умеет решать конфликты разных версий биб...

[Перевод] Конференция DEFCON 25. Гарри Каспаров. «Последняя битва мозга». Часть 1 Для меня большая честь присутствовать здесь, но, пожалуйста, не нужно меня взламывать. Компьютеры и так меня ненавидят, так что мне нужно подружиться с как можно большим числом людей в этом зале. Хочу привести один маленький пустяк из моей биографии, интересный для американс...

postfix+dovecot+mysql в FreeBSD Введение Почтовый сервер хотел изучить уже давно, но руки дошли только сейчас, да и информации корректной не особо много удавалось найти, поэтому решил написать как можно более подробную публикацию. В данной публикации пойдёт речь не только о postfix, dovecot, mysql, postfix...

Microsoft перепишет низкоуровневые компоненты Windows в рамках проекта Verona Project Verona — исследовательский проект Microsoft, призванный сделать Windows 10 более безопасной операционной системой за счёт переписывания низкоуровневых компонентов на новом языке программирования, основанном на Rust. Компания также отчиталась об успешной попытке испо...

В WordPress 5.1.1 закрыли уязвимость, грозящую CSRF-атаками Разработчики WordPress выпустили обновление безопасности 5.1.1, в состав которого вошли 14 исправлений безопасности. Они устраняют CSRF-уязвимость системы и упрощают переход на новые версии PHP. Брешь позволяла потенциальным злоумышленникам использовать систему комментирован...

Незакрытая в течение 19 лет уязвимость WinRar позволяет разместить распакованный файл в произвольном месте Специалисты по кибербезопасности из компании Check Point обнаружили серьезную уязвимость в архиваторе WinRar. Затем они же показали, как при помощи этой уязвимости можно распаковать файл в произвольное место — совсем не то, которое указывает пользователь. Ну а поскольку п...

В стационарных телефонах Avaya нашли RCE-уязвимость ИБ-исследователи обнаружили критическую уязвимость удаленного выполнения кода (RCE) в стационарных IP-телефонах производства компании Avaya, которыми пользуются 90% компаний из списка Fortune 100. Баг дает злоумышленникам возможность перехватить контроль над устройством, про...

Основная причина уязвимостей – ошибки администраторов На сайте проекта «Нетоскоп» опубликованы результаты научно-исследовательских работ, проведенных в 2018 году в рамках научно-технического сотрудничества. В прошлом году были проведены два исследования, охватывающих большой спектр проблем, связанных с перехватом трафика и под...

Исследователь получил 10 000 долларов за обнаружение XSS-уязвимости в Tesla Независимый исследователь обнаружил XSS-уязвимость в своей Tesla Model 3. Баг позволял извлечь и модифицировать информацию об автомобиле.

Аудит безопасности облачной платформы MCS SkyShip Dusk by SeerLight Построение любого сервиса обязательно включает в себя постоянную работу над безопасностью. Безопасность — это непрерывный процесс, который включает в себя постоянный анализ и улучшение защищенности продукта, мониторинг новостей про уязвимости и мн...

Ослабляем гайки, часть 2: срок голосования за публикации и другие изменения В начале недели мы рассказали о важных изменениях для пользователей и, кажется, они всем понравились: рейтинг публикации перевалил за 300, написано более 800 комментариев (и они активно продолжают появляться). Там же мы посеяли зерно интриги и пообещали ещё кое-какие изменен...

[Из песочницы] Рендеринг 3D графики с помощью OpenGL Введение Рендеринг 3D графики — непростое занятие, но крайне интересное и захватывающее. Эта статья для тех, кто только начинает знакомство с OpenGL или для тех кому интересно, как работают графические конвейеры, и что они из себя представляют. В этой статье не будет точных ...

Часть 4. Карьера программиста. Junior. Заход во фриланс Продолжение рассказа «Карьера программиста». Смеркалось. И прямо, и косвенно. Я с большим усердием искал работу программистом, но не было никаких вариантов. В моем городе было 2-3 объявления на 1С-разработчика плюс, редкий случай, когда требовались преподаватели курсов прог...

Новый защитный механизм Google Chrome оказался фикцией Отношение Google к безопасности своих пользователей никогда не было особенно ревностным. В отличие от Apple, поисковый гигант всегда был готов к компромиссу, если речь шла об использовании конфиденциальных данных клиентов без их ведома. В результате компания получала доступ...

Полное интервью с деканом факультета Python в GeekBrains — как и для чего учить язык начинающим Вчера мы опубликовали первый выпуск в цикле «Кем работать в ИТ». Для него я поговорил с двумя бывшими студентами и деканом факультета Python в GeekBrains. Когда я «смонтировал» рассказы в одну историю, стало жалко, что многое осталось лежать в черновиках. Поэтому сегодня ...

Security Week 46: микрофоны, лазеры и безопасность обучаемых машин Про взлом умных колонок на расстоянии с использованием лазера на прошлой неделе написали почти все СМИ (новость, сайт проекта, научное исследование, пост на Хабре). Тема и правда привлекательная: такой хак в стиле фильмов про Джеймса Бонда. Исследователи из университетов США...

Медицинские информационные сайты уже несут на кладбище Да, да уже несут массово:   Объясняю почему. Сейчас уже Яндекс и Гугл сильно затянули гайки на публикацию какого либо медицинского контента. Гугл ещё хз сколько лет назад требовал чтобы вниз каждой статьи по медицине стояла ссылка на лицензию врача который написал эту ...

В Германии обнаружилась Tesla Model S с пробегом в 900 000 км Автомобили Tesla Model S появились на рынке семь лет назад. Это весьма приличный срок, поэтому на дорогах уже немало машин, проехавших и 200 000 км, и 300 000 км. Также в различных сервисах аренды авто имеются машины с вдвое большими пробегами. К примеру, год ...

Владельцы старых Mac оказались под угрозой Не так давно мы публиковали материал, в котором рассказали про новую уязвимость в процессорах Intel. Выяснилось, что проблеме подвержены не только персональные компьютеры на Windows, но и Mac. К счастью, Apple среагировала оперативно и частично устранила уязвимость в macOS ...

Данные тысяч пользователей доступны через Google Календарь Специалист по безопасности Авинаш Джайн (Avinash Jain) обнаружил в свободном доступе тысячи календарей Google. Таким образом, любой пользователь может отслеживать частные и корпоративные мероприятия, читать конфиденциальные материалы из вложений к планируемым событиям. Джайн...

Унифицированная обработка ошибок (C++ вариант для микроконтроллеров) При разработке ПО для микроконтроллеров на С++ очень часто можно столкнуться с тем, что использование стандартной библиотеки может привести к нежелательным дополнительным расходам ресурсов, как ОЗУ, так и ПЗУ. Поэтому зачастую классы и методы из библиотеки std не совсем подх...

Как прошёл Mobius 2019 Piter (и немного о следующем Mobius) С петербургского Mobius прошёл уже месяц, а мы только сейчас подводим итоги. Но если для участника конференция заканчивается на заполнении формы обратной связи, то для организаторов всё иначе: нужно ещё дождаться всех откликов, проанализировать их и сделать выводы на будущ...

Security Week 10: уязвимости в драйверах NVIDIA Вот что мы еще ни разу не обсуждали в формате дайджеста, так это уязвимости в драйверах для видеокарт. Компания NVIDIA опубликовала 28 февраля информацию о восьми уязвимостях: практически все позволяют повышать привилегии или выполнять произвольный код. Одна брешь относится ...

Переписка 10 миллионов пользователей «китайского Tinder» оказались в открытом доступе Об этом сообщает Zecurion со ссылкой на Дэррила Бурка, специалиста по кибербезопасности и автора блога Respect My Securitay. Эксперту без усилий удалось обойти безопасность Sweet Chat и просмотреть личные данные пользователей, в частности, переписку и вложенные фотографии....

[Перевод] Краткое введение в Kustomize Прим. перев.: Статью написал Scott Lowe — инженер с большим стажем в ИТ, являющийся автором/соавтором семи печатных книг (преимущественно по VMware vSphere). Сейчас он работает в её дочерней организации VMware — Heptio (поглощена в 2016 году), специализируясь на облачных выч...

Lazarus — пишем компонент для анимации спрайтов Вместо предисловия В одесской школе ученики 8-го класса на уроках информатики используют бесплатную кроссплатформенную среду разработки Lazarus (официальный сайт: www.lazarus-ide.org), внешне и внутренне очень напоминающую любимый многими Delphi, использующую версию Object P...

Опубликован первый снимок, сделанный пентакамерным флагманом Nokia 9 PureView Завтра HMD Global официально представит несколько смартфонов, в числе которых окажется и флагманская модель Nokia 9 PureView. Ее особенностью является камера с пятью объективами. Кое-какие подробности мы о ней уже знаем, а сейчас в Сети появилось и первое фото, сделанно...

Apple заплатит до $1 млн за найденные уязвимости в её продуктах В 2016 году компания Apple запустила программу по вознаграждению за ошибки, найденные в «яблочных» продуктах. Изначально программа работала в отношении уязвимостей на iOS. В нынешнем году Купертино расширила программу по вознаграждению за обнаруженные баги, и теперь она каса...

Dream team из ничего: найм специалистов в IT Всем привет! Как и обещал, продолжаю публикации о менеджменте в IT. В предыдущей статье я рассказал, что значит быть Team Leader. Но какой же тим лид без команды? Сегодня же о том, как можно набирать классных людей, не имея больших ресурсов, и когда о вас никто не знает. ...

Все самое интересное в сети на Sugata Sugata представляет собой сайт, на котором можно делиться ссылками с сообществом, писать комментарии под новостями, при этом здесь можно опубликовать свою историю, вести блоги или создать тему голосования. Все публикации пользователя доступны для всех участников сообщества. ...

Backlinko: как написать статью, которая получит много ссылок Брайан Дин проанализировал 912 млн публикаций и опубликовал исследование

Security Week 22: статистика угроз, банковские трояны и популярные эксплойты На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплу...

Отправляем команды. Как заставить популярный серверный почтовик выполнять произвольный код Для подписчиковВ этой статье я расскажу об уязвимости в агенте пересылки сообщений Exim. Найденная брешь позволяет атакующему выполнить произвольный код на целевой системе, что само по себе очень опасно, а если Exim был запущен от рута, то успешная эксплуатация позволяет пол...

Компания AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout Компания Intel, как мы сегодня уже сообщали, признала наличие ещё одной уязвимости в своих CPU, которая затрагивает большинство процессоров компании. На самом деле новых уязвимостей несколько, но компания объединила их под общим именем Microarchitectural Data Sampling (...

Omega Red + PS1 эмулятор = Кодзима гений Привет всем читателям! Я продолжаю тему программного эмулятора для PlayStation 2 и PlayStation Portable — Omega Red. Более подробно: PS2/PSP эмулятор + game play streaming (YouTube, Facebook, Twitch) = новая версия Omega Red PS2/PSP эмулятор + Google Drive + YouTube = «...

Приятное и полезное в преподавании Всем привет! Год назад я написал статью про то, как я организовывал университетский курс по обработке сигналов. Судя по отзывам, в статье много интересных идей, но она большая и тяжелочитаемая. И я давно хотел разбить её на более маленькие и написать их понятнее. Но писать о...

Настройка в OsmAnd карты слоя Strava heatmap Для тех, кто использует для навигации на своем телефоне приложение OsmAnd будет полезным добавить к своим картам слой Strava heatmap, визуальный результат, записанных во время путешествий и тренировок треков бегунов, велосипедистов, пловцов и отрисованный в виде тепловой кар...

[recovery mode] Типобезопасная работа с массивами PHP Всем привет, расскажу о собственном велосипеде для удобной работы с массивами в PHP. Type hinting В PHP7 появились подсказки типов (type hinting), что позволило IDE проводить более качественный статический анализ кода, качество нашего кода улучшилось (или правильно говорит ...

Новая Зеландия успешно отвоевала данные своих пользователей Недавно мы сообщали о том, как Domain Name Commission, администратор национального домена Новой Зеландии .NZ добился в суде прекращения публикации персональных данных своих клиентов в сервисе DomainTools.Вскоре под натиском DNC отступил ещё один сервис, предоставляющий данны...

[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...

Web Security Testing Starter Kit Всем привет! Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь,...

[Из песочницы] Как начать программировать в Adobe Illustrator. Скрипт Expand Clipping Mask. Часть первая Сразу хочу предупредить, что эта серия постов не для матёрых программистов и даже не для программистов вообще. Понимаю, что это звучит крайне вызывающе, учитывая IT-тематику ресурса, и все же позвольте объяснить… В качестве аудитории, я вижу обычных дизайнеров, которые хотел...

Злая картинка. Разбираем уязвимость в GhostScript, чтобы эксплуатировать Pillow и ImageMagick Для подписчиковСпециалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript — популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, кото...

Security Week 17: атаки по цепи поставок В начале апреля мы обсуждали атаку ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют довере...

[Из песочницы] Подводные камни Java Здравствуйте. Хочу представить вашему вниманию небольшую статью. Цель данной публикации: Показать наиболее часто встречающиеся ошибки начинающих и некоторые приемы их исправления. Понятно, что некоторые ошибки могут быть сложными и происходить по тем или иным причинам. Цель...

В Drupal залатали баг удаленного выполнения кода Разработчики Drupal сообщили об опасной уязвимости ядра, затрагивающей 7-ю и 8-ю версии CMS. Брешь дает возможность злоумышленнику удаленно выполнить любой PHP-код и перехватить управление сайтом. Создатели CMS оценили баг как в высшей степени критичный и призвали веб-админи...

Терраформируй это: обзор Terragenesis В App Store/Google Play можно найти самые разные игры, поэтому я не сильно удивился, когда в одном из профильных чатов меня спросили, знаю ли я игру о терраформировании небесных тел. Посмотрев ее, решил написать небольшой обзор, потому что игра, на мой взгляд, хоть и не без ...

Фотография куриного яйца набрала рекордное число лайков в Instagram Посмотреть эту публикацию в Instagram Let’s set a world record together and get the most liked post on Instagram. Beating the current world record held by Kylie Jenner (18 million)! We got this #LikeTheEgg #EggSoldiers #EggGang Публикация от E...

[Перевод] PEG парсеры Несколько лет назад меня кто-то спросил имеет ли смысл превести Python на PEG-парсер (или на грамматику PEG; я не помню точно кто и когда это было). Тогда я немного посмотрел на него, но так и не пришёл к какому-либо выводу, а потому и отбросил эту тему. Недавно я узнал боль...

Как сэкономить на психотерапевте используя test-driven development У вас когда-нибудь было такое состояние? Хочу показать вам, как TDD может улучшить качество кода на конкретном примере. Потому что всё то, что я встречал при изучении вопроса, было довольно-таки теоретическим. Так получилось, что мне довелось написать два практически иден...

[Перевод] Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 1 Ведущий: леди и джентльмены, это выступление очень забавное и очень интересное, сегодня мы собираемся поговорить о реальных вещах, которые наблюдаются в интернете. Этот разговор немного отличается от тех, к которым мы привыкли на конференциях Black Hat, потому что мы собирае...

[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 7. F.A.Q Сегодня мы рассмотрим ответы на часто встречающиеся вопросы, которые касаются предыдущих видеоуроков. С момента первой публикации прошло уже около года, и множество людей оставили свои комментарии под моими видеоуроками на канале YouTube. Я внимательно читал все ваши коммент...

[Из песочницы] Уязвимости GeekBrains: Зачем платить деньги за курсы если их можно просто скачать? Небольшой сказ о маленькой погрешности, с помощью которой был получен доступ ко всем платным курсам и домашним заданиям на ресурсах. А так же немного о других найденных уязвимостях. Читать дальше →

Пропатчил Exim — пропатчь еще раз. Свежее Remote Command Execution в Exim 4.92 в один запрос Совсем недавно, в начале лета, появились массовые призывы к обновлению Exim до версии 4.92 из-за уязвимости CVE-2019-10149 (Срочно обновляйте exim до 4.92 — идёт активное заражение / Хабр). А на днях выяснилось, что вредонос Sustes решил воспользоваться этой уязвимостью. Те...

[Перевод] Спустя два года я всё ещё скучаю по разъёму для наушников Два года назад компания Apple убила разъём для наушников. И я её до сих пор за это не простил. Когда Apple объявила, что у iPhone 7 не будет разъёма для наушников, я сразу же испытал раздражение по этому поводу. Я подумал, что, возможно, через несколько месяцев я к этому ...

Уязвимость в Apache Solr позволяет выполнить сторонний код Ошибка в коде поискового движка Apache Solr, открывавшая доступ к порту 8983, оказалась опаснее, чем предполагалось ранее. За последний месяц в Сети появились два PoC-эксплойта, которые позволяют не только прочитать данные мониторинга системы, но и удаленно выполнить вредоно...

Xiaomi обещает, что в этот раз все будет иначе: смартфонов Xiaomi Mi 9 изначально будет много Компания Xiaomi, которая смогла за несколько лет выбиться в пятерку самых успешных поставщиков смартфонов во всем мире и занять первые места в некоторых странах мира, давно пытается решить главную проблему, связанную с доступностью ее смартфонов. Всякий раз, когда Xiaom...

Инструменты Метода управления проектной организацией (часть 2) Продолжаю серию публикаций об управлении проектной организацией в условиях когда много нужно выполнять все обязательства в срок и в полном объеме и есть ограничение по ресурсам. В прошлый раз я рассказал о концепции Pulse Management (Метода Пульса, далее «Метод»), а сейчас з...

Опубликованы детали 0-day уязвимости в phpMyAdmin ИБ-специалист опубликовал PoC-эксплоит и рассказал об уязвимости нулевого дня, затрагивающей все версии phpMyAdmin, вплоть до новейшей 4.9.0.1.

Google снова увеличила вознаграждение за нахождение уязвимостей в Chrome. На этот раз втрое Google втрое увеличила сумму за нахождение уязвимостей в ее браузере

Как стать разработчиком игр, если ты риелтор Добрый день, Хабр. Два года и несколько месяцев назад, я написал здесь своей первый и единственный пост, как, не имея никакого опыта разработки игр, я создал свое первое android-приложение. Пусть и потратил на это весь свой тогдашний отпуск. Хотя игрой это было и сложно наз...

Создание системы формальной верификации с нуля. Часть 1: символьная виртуальная машина на PHP и Python Формальная верификация — это проверка одной программы либо алгоритма с помощью другой. Это один из самых мощных методов, который позволяет найти в программе все уязвимости либо же доказать, что их нет. Более подробное описание формальной верификации можно увидеть на пример...

[recovery mode] Почему не нужно тратить свое время на создание нишевых тематических сайтов К настоящему моменту я владею несколькими тематическими порталами, которые успешно загибаются. И в этой статье я расскажу о том, как я их сделал, сколько получил, и почему им приходит конец, и я не могу ничего с этим сделать. Буду рассказывать на примере сайта по мужской...

Найден почти новый «Запорожец» 1992 года ЗАЗ в свое время выпускал четыре различные модификации «Запорожца» для инвалидов: 968МБ — для людей с ампутированными ногами, но здоровыми руками, 968МР — для людей с повреждением одной руки и одной ноги, 968МД — для людей с повреждением одной ноги, 968 МГ — тоже для людей с...

Как я нашел умный дом во власти ботнета В интернете очень часто встречаются вопросы вида «Как проверить, не находится ли мой роутер, компьютер, ip-камера или какое другое устройства в составе ботнета?». Это мотивировало меня рассказать об одном из немногих случаев столкновения с ботнетами из моей практики. Чита...

[Перевод] Что же такое GitOps? Прим. перев.: После недавней публикации материала о методах pull и push в GitOps мы увидели интерес к этой модели в целом, однако русскоязычных публикаций на эту тему оказалось совсем мало (на хабре их попросту нет). Посему рады предложить вашему вниманию перевод другой стат...

[Из песочницы] Как я не стал программистом в 35 лет С самого начала сентября широким потоком хлынули на Хабр публикации об успешном успехе на тему «Детство программиста», «Как стать программистом после N лет», «Как я ушёл в IT из другой профессии», «Путь в программирование» и так далее. Подобные статьи пишут постоянно, но во...

Самые интересные яды Привет, %username%! Снова вечер, снова мне нечего делать, и я решил потратить немного времени, чтобы написать третью часть своего цикла о ядах. Надеюсь, ты читал первую и вторую часть, и тебе понравилось. В третьей части мы немного отдохнём. Здесь не будет рассказа о тех...

Зубы мудрости: Тянем-потянем После публикации предыдущих статей, а в особенности «Зубы мудрости – удалить нельзя оставить», я получил несколько комментариев с вопросом – «А если 7-ой зуб когда-то был удален, 8-ка встанет на его место?» или «А можно ли 8-ой (горизонтальный) зуб вытянуть и поставить на м...

[Перевод] Руководство для чайников: создание цепочек DevOps с помощью инструментов с открытым исходным кодом Создание первой цепочки DevOps за пять шагов для новичков. DevOps стал панацеей для слишком медленных, разобщенных и прочих проблемных процессов разработки. Но нужны минимальные познания в DevOps. Здесь будет рассмотрены такие понятия, как цепочка DevOps и как создать ее за...

Вариатор vs государство — Скажите, имею ли я право… — Имеете, имеете! — Да Вы не поняли, я хотел узнать, имею ли я право… — Да точно говорю, имеете! — Да Вы объясните, могу ли я… — А-а-а… Нет, не можете! © (Анекдот о юристах) Предыстория Около года назад я опубликовал статью Вариатор...

Личные данные пользователей подвергались опасности из-за серьёзных уязвимостей в браузере Chrome на Android и в сервисе Google Photos В декабре прошлого года специалисты компании Positive Technologies обнаружили критическую уязвимость в браузере Chromium, которая позволяла получить доступ к личным данным пользователей, и сообщили об этом компании Google. Через несколько недель поисковый гигант исправил про...

Видеокарта Radeon VII опережает GeForce RTX 2080 в крупном сравнении в 21 игре Видеокарта Radeon VII поступает в продажу уже послезавтра, а это значит, что осталось лишь два дня до публикации многочисленных обзоров и тестов. Но сегодня неожиданно сайт Game-Debate добавил в свою базу данные о производительности новинки AMD в играх. Никакого обзора...

Google Chrome для Android начал потреблять больше памяти из-за новой функции Chrome для Android начинает все больше и больше походить на настольную версию Google Chrome считается одним из самых ресурсоёмких браузеров для настольных платформ, где он ведёт себя как газ, заполняя всё свободное пространство. Каким бы мощным ни был ваш компьютер и каким б...

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 1 Первоначальный доступ к мобильному устройству (Initial Access) Я начинаю очередной цикл публикаций (см. предыдущие), посвященных изучению тактик и техник осуществления хакерских атак, включенных в базу знаний MITRE ATT&CK. В разделе будут описаны техники, применяемые зло...

[Перевод] Компилируем FFmpeg в WebAssembly (=ffmpeg.js): Часть 1 — Приготовления Из этой части вы узнаете: Зачем это всё нужно Как скомпилировать FFmpeg в Docker Зачем это всё нужно Главные задачи у серии публикаций такие: Создать туториал по использованию Emscripten для компиляции C/C++ библиотек в JavaScript (более детальный и полезный, чем написа...

Serverless-подход для быстрой разработки рабочего видео-сервиса Я работаю в аутсорсе, где главный принцип можно описать фразой «продавай много, делай быстро». Чем быстрее сделаем, тем больше заработаем. И, желательно, чтобы всё работало не на костылях и соплях, а с приемлемым уровнем качества. Я расскажу о своём опыте, когда за коротки...

Adobe закрыла 24 критические уязвимости в своих продуктах Апрельский набор патчей Adobe совокупно устраняет 43 бреши в восьми разных продуктах, в том числе Acrobat Reader, Flash Player и Shockwave. Оценку «критический» получили 24 бага, позволяющие удаленно выполнить любой код в системе. Наибольшее количество уязвимостей ...

За что я люблю Apple и почему Android-производителям стоит задуматься Много лет Android-производители не могут дать потребителям то, что действительно важно. Эта история о том, как из-за одной особенности iPhone я всё еще не готов с ним расставаться, понимая при это всё превосходство и разнообразие Android-решений. «Сам смартфон очень п...

В России навечно заблокирована крупная научная библиотека Иск был призван защитить права на произведения научной литературы "Текущая и будущая антиагрегатная терапия: акцент на сохранении гемостаза" и "Достижения в области терапии по снижению липидов с помощью технологий генов-глушителей". Компания требовала от ...

[Из песочницы] Немного о стандартах космической связи Спутник Метеор М1 Источник: vladtime.ru Введение Эксплуатация космической техники невозможна без радиосвязи, и в этой статье я постараюсь объяснить основные идеи, которые легли в фундамент стандартов, разработанных Международным Консультативным Комитетом по космическим сис...

Хакер нашёл способ взломать почти любой iPhone Программный инструмент под названием Checkm8 («чекмэйт» — «шах и мат») использует уязвимость в системе Apple Bootrom (SecureROM). Фактически это первый код из известных, запускающийся во время загрузки iPhone и предоставляющий доступ к смартфону на уровне системы. Таким обра...

Бег — идеальный спорт для удаленщика. Часть 2: физика и матчасть Первая часть статьи, рассказывающая о моем пути к бегу и призванная мотивировать других удалённых айтишников хотя бы попробовать этот вид спорта, нашла живой отклик у сообщества. В комментариях к ней развернулась активная дискуссия, в которой, помимо прочего, было затронут...

Файлы по рельсам. Как читать любые файлы с сервера через Ruby on Rails Для подписчиковТы наверняка в курсе, что такое Ruby on Rails, если когда-нибудь сталкивался с веб-девом. Этот фреймворк в свое время захватил умы разработчиков и успешно применяется до сих пор. Любая уязвимость в нем означает огромное количество потенциальных целей. В этот р...

Сайты на WordPress атакованы через уязвимость в плагине Yuzo Related Posts Из-за XSS-уязвимости в составе плагина Yuzo Related Posts были атакованы использующие плагин сайты, включая популярный почтовый сервис Mailgun.

Бизнес на свои: мы написали книгу с тактикой прохождения этой игры Привет! Я хотел сказать, что вчера вышла третья наша книга, и тоже очень помогли посты с Хабра (а частично и вошли). История такая: на протяжении примерно 5 лет к нам подходили люди, которые не умели в проектное мышление, не понимали разные вопросы бизнеса и задавали одни ...

Лицемерие google. PageSpeed Insights Google Page Speed Insights — это сервис от гугла, который позволяет определить производительность сайта и дает рекомендации по его оптимизации. Очень важно понимать, что это всего лишь рекомендации! Некоторые воспринимают эти рекомендации настолько серьезно, что готовы реали...

Павел Дуров выступил с манифестом против Facebook В начале недели газета Financial Times (FT) сообщила, что израильская компания NSO Group разработала вредоносное программное обеспечение, которое использует уязвимость WhatsApp для сбора данных о его пользователях. Для его установки хакеры осуществляли голосовые звонки....

Data Science Digest (April 2019) Хабр, привет! В марте я восстановил публикацию на Хабре дайджеста посвященного ML и Data Science. Сегодня я подготовил свежую подборку интересных ссылок, а также анонсирую запуск Telegram-канала дайджеста, в котором ежедневно публикую ссылки на интересные материалы, связ...

[recovery mode] Внутренние и вложенные классы java. Часть 1 Внутренние и вложенные классы java 02.03.2017 — 2019 год Часть 1. Начало Цель статьи: Рассказать о внутренних, вложенных, локальных, анонимных классах. Показать примеры их использования. Написать и протестировать классы в коде на java. Рассказать о свойствах этих клас...

Строительные блоки распределенных приложений. Второе приближение Анонс Коллеги, в середине лета я планирую выпустить еще один цикл статей по проектированию систем массового обслуживания: “Эксперимент VTrade” — попытка написать фреймворк для торговых систем. В цикле будет разобрана теория и практика построения биржи, аукциона и магазина. В...

[Из песочницы] Что делать, если хочется собирать деньги на ремонт «Провала», а под рукой только Wikipedia Мечта любого пиарщика и маркетолога — разместить статью о своей компании на Википедии, ведь это и авторитетность, и высокая поисковая выдача, а значит и больше внимания со стороны потенциальных клиентов. Но написать статью на Википедии – это только половина дела, нужно ещ...

Принцип Брета Виктора: «Творцам нужна мгновенная связь с тем, что они создают» Это одно из лучших выступлений, которое я встречал. Хоть про эту презентацию уже писали на Хабре и переводили 6 лет назад, я решил её красиво оформить и ещё раз обратить на неё внимание. Она того стоит. Брет Виктор: Я просто хочу рассказать вам о том, как прожить свою жиз...

[Перевод] Рассказ о том, как не надо проектировать API Однажды я помогал товарищу, которому нужно было интегрировать с сайтом его клиента данные о свободном и занятом жилье из системы управления имуществом. К моей радости у этой системы было API. Но, к сожалению, устроено оно было из рук вон плохо. Я решил написать эту статью ...

Отличия и первые скриншоты PC-версии Red Dead Redemption 2 Вскоре после старта предзаказов PC-версии Red Dead Redemption 2 и публикации системных требований Rockstar Games более подробно рассказала о том, чем порт будет отличаться от версии для консолей. Разработчики опубликовали полный список нововведений, в том числе технических, ...

[Перевод] Предложения относительно уязвимостей и защиты моделей машинного обучения В последнее время эксперты все чаще затрагивают вопрос безопасности моделей машинного обучения и предлагают различные способы защиты. Самое время детально изучить потенциальные уязвимости и средства защиты в контексте популярных традиционных систем моделирования, таких как...

В systemd нашли три уязвимости — разбираемся, в чем дело В начале месяца специалисты по ИБ из Qualys обнаружили сразу три уязвимости в systemd — подсистеме инициализации Linux — позволяющие злоумышленнику получить права суперпользователя. Рассказываем, в чем их суть и какие дистрибутивы им подвержены. Читать дальше →

В роутерах Cisco ASR 9000 закрыта опасная уязвимость Компания Cisco Systems пропатчила критическую уязвимость в сервисных маршрутизаторах серии ASR 9000. Согласно бюллетеню, атака через эту лазейку позволяет получить доступ к устройству на уровне администратора, а также вызвать на нем состояние отказа в обслуживании. Уязвимост...

[Перевод] Я самый большой скупердяй в инди-разработке игр Скриншот из Queen's Wish. Учтите, что я использую игровой арт, который мне нравится. Это необходимо, потому что потом придётся смотреть на него годами, и я не хочу сойти с ума. Неделю назад я опубликовал в блоге пост «Почему все мои игры выглядят так отстойно» (оригинал). ...

Какие заголовки привлекают внимание чаще всего или анализ HabraHabr Здравствуйте, и снова появилось желание поделиться чем-то полезным! Статья о пользе домохозяйки не зашла на Хабр, по этому я выудил статью 4 летней давности написанную специально для habrhabr.ru для рекламы digital агентства, которое я уже закрыл. Надеюсь этот раз плюсов буд...

[Из песочницы] Беспроводная зарядка. Как она работает на практике У меня свой магазин разных беспроводных зарядных устройств. За год работы в этой области я успел разобраться в характеристиках работы устройств, различиях, проблемных областях зарядок и прочитать очень много статей, в которых пишут не разобравшись в тематике. В этой и сле...

Google заплатит хакерам 1,5 млн долларов за взлом смартфонов Pixel Компания Google обновила конкурс Android Security Rewards, которая предусматривает выплату вознаграждений за найденные в смартфонах уязвимости. Самое большое вознаграждение 1.5 млн. долларов, кто найдёт уязвимость в аппаратной защите на базе чипа Google Titan M. За обнаруже...

Владелец доменного имени OLED.com скоро расскажет о своих успехах Подобно компании Apple, недавно назвавшей дату публикации квартального отчета, компания Universal Display Corporation (UDC), являющаяся ведущим разработчиком технологий и производителем материалов для OLED, тоже сообщила, когда она планирует отчитаться за очередной квар...

Топологическая оптимизация двигателя Стирлинга. №2. Любой мог додуматься, но не суть.Не суть, идея до смешного проста, но имеет отношение к топологической оптимизации====quote====Если говорить сухим академическим языком, топологическая оптимизация – это процесс изменения конструкции, структуры детали и ее варьирующихся параме...

Компилятор Huawei Ark стал временно доступен для свободной загрузки В июне этого года компания Huawei представила свой собственный компилятор Ark, который позволяет ускорить плавность работы системы на 24% и скорость отклика на 44%. Сторонние приложения для Android после перекомпиляции могут работать на 60% быстрее. Как и было обещано р...

Как я начал уметь в маркетинг Всем привет! Я хотел бы рассказать о своем прошлом – замечательном проекте Withme, но «без купюр». В публикациях здесь я уже пытался рассказать о всех событиях в хронологическом порядке, однако многие факты были “немного” спрятаны под смешными «факапами», безудержным весел...

Uber подал документы для проведения IPO Изображение: Unsplash Компания Uber опубликовала документы для проведения IPO на Нью-Йоркской бирже. Акции будут торговаться под тикером UBER, сообщает CNBC. Публикация документов для выхода на биржу произошла две недели спустя выхода на IPO главного конкурента Uber – та...

[Из песочницы] Generic Recycler View или как не писать шаблонный код Все мы пишем приложения и у всех нас есть списки. И самое очевидное решение это RecyclerView. Сама по себе реализация не сложна и писать гайд по RecyclerView уже не актуально. Но есть одно но. Каждый раз когда нам нужен список мы создаем класс, в нем прописываем шаблонный ме...

Как QA организовать автоматизацию тестирования на проекте. Один практически примененный способ Некоторое время назад я написала статью о своем опыте организации работы QA Инженера на проекте. Сейчас хочу продолжить эту тему, но уже в более узком ее направлении — автоматизации тестирования. Речь пойдет о том же самом проекте, он небольшой, но развивающийся под запросы ...

[Перевод] Распаковка: загрузчик Dridex Доброй ночи, друзья! Менее чем через месяц у нас стартует курс «Реверс-инжиниринг», в связи с этим традиционно делимся полезным материалом по теме. У некоторых читателей были проблемы с распаковкой начального загрузчика для Dridex (того, что был сброшен макросом), поэтому с...

[Перевод] Самодокументируемый код – это (как правило) чушь Всем привет! Предваряя сегодняшнюю переводную публикацию, сразу отметим, что этот текст задуман как follow-up недавнему дискуссионному материалу "Прекратите усердствовать с комментариями в коде". Нас настолько впечатлила развернувшаяся там дискуссия и 189 комментариев по со...

Уязвимость Bluetooth позволяет узнать местоположение любого iPhone   Исследователи из Бостонского университета Дэвид Старобински и Йоханнес Беккер узнали о новой уязвимости Bluetooth в Windows 10, iOS и macOS. В опубликованном материале под названием Tracking Anonymized Bluetooth Devices (Отслеживание анонимизированных Bluetooth-...

[Из песочницы] Круг замкнулся. Как митапы помогли мне найти работу мечты 4 года назад я с коллегой поехала на свой первый митап. Начальник не отпустил пораньше, поэтому нам пришлось доработать свои регламентированные часы и мчать на такси до места проведения митапа. Мы, как опоздавшие школьники, тихо пробрались на свободные места в самом конце за...

Советский центр управления полетами времен «Востоков» и «Восходов» Написать эту статью меня побудила вот эта фраза Филиппа Терехова из его обзора фильма «Время Первых»: «Отдельная интересная история с Центром управления полетами, как он показан в фильме. Увы, но красивая картинка выше представляет собой копию американского ЦУПа…Внутренн...

Аналогии с боксом в искусстве продаж или мой ответ Виктору Бритько Очень интересную статью прочитал от Виктора Бритько, где он сравнивает искусство продавать с одним из самых жестоких видов спорта – боксом. Причем интереснее всего читать эту статью с точки зрения человека, у которого имеется не только немалый опыт в сфере продаж, но и разр...

[Перевод] Amazon Prime Day 2019 – Powered by AWS Команда TestMace продолжает публикацию переводов об интересных моментах web-сферы. На очереди описание Amazon Prime Day с точки зрения разработки высоконагруженных сервисов. Приятного чтения! Уже по традиции я бы хотел рассказать вам о некоторых преимуществах AWS, которые...

Биткоин улучшил позиции в новом китайском рейтинге криптовалют, на втором месте – Tron Центр по развитию индустрии информационных технологий Китая (CCID) опубликовал свежий рейтинг криптовалют, в котором оценил в общей сложности 35 проектов. На первом месте по-прежнему EOS, вторая строчка – у дебютанта рейтинга Tron (TRX), биткоин поднялся с 15-го на 13-е мест...

Древности: ThinkPad 380E, эконом-класс 90-х и Windows 95 Коллекционирование старой техники может быть слегка нечестным к реалиям времени, которое пытаешься изучить. Большинство винтажных ноутбуков на старте продаж стоили или дорого (ThinkPad 600, ThinkPad T22) или очень дорого (ThinkPad X301). Если бы в те времена я не был беззабо...

Разработчик, помни — трафик твоего приложения смотрят На данный момент существует так много типов уязвимостей, что разработчики совсем забывают об элементарных из них. На днях мне удалось обойти авторизацию в новом приложении WOG (ТОВ «ВОГ РІТЕЙЛ» — вторая по величине сеть АЗС в Украине). В 2017 году, точно такую же уязвимость...

Между креслом и монитором сидит главная уязвимость в системе: VAP-персона Источник: Proofpoint Наборы эксплоитов и известные уязвимости ПО применяются для кибератак очень редко. На самом деле, более 99% успешных атак производится с участием жертвы. Цель должна собственноручно открыть файл, запустить макрос, нажать на ссылку или выполнить какое-т...

Охота за ошибками, Blind-XSS и лисьи хитрости Лисы знают толк в охоте :) Многие наверняка уже слышали о BugBounty, поиске уязвимостей с вознаграждениями и сопутствующих историях об этом. Я, как один из «охотников за ошибками», начал свой путь чуть больше года назад на площадке HackerOne. За это время мне удалось много...

Очередные уязвимости нашли в процессорах Intel и контроллерах Thunderbolt 3 Ну что, вот и очередная порция уязвимостей подъехала. Как-то последнее время их слишком много стали […]

[Из песочницы] Что нужно для разработки игр и кем реально является разработчик игр Большинство людей (нормальных), которые планируют заниматься программированием (как хобби или основной профессией) обычно задаются вопросами: «Что такое программирование?», «Зачем мне нужно программирование?», «Какой язык я буду учить?», «Что я получу в итоге?». Таким был и...

Разработчики SAP выпустили 14 патчей для своих систем Разработчики SAP выпустили сентябрьский пакет исправлений, куда вошли 14 патчей. Четыре из них пришлись на критические уязвимости, включая два дополнения к выпущенной ранее заплатке для SAP Diagnostics Agent. Критически важные доработки SAP Diagnostics Agent Об уязвимости CV...

Пример разбора C++ кода с помощью libclang на Python На одном личном проекте на C++ мне потребовалось получать информацию о типах объектов во время выполнения приложения. В C++ есть встроенный механизм Run-Time Type Information (RTTI), и конечно же первая мысль была использовать именно его, но я решил написать свою реализацию,...

А вы все-все за меня мониторить будете? Ага Обычно Хабр используется как информационное решение — кто-то делится наработанной и структурированной информацией, а кто-то эту информацию впитывает (я хотел написать “потребляет”, но это слово маркетологи уже испоганили). Я же, на правах старожила, и учитывая легкую рассл...

[По докам] Flutter. Часть 1. Для Android разработчиков Про Flutter написано уже много статей. С каждым месяцем он становится всё популярнее. Поэтому я решил интерпретировать официальную документацию Flutter в лаконичный формат «вопрос — ответ». Думаю, многие, как и я, не имеют достаточно свободного времени для подробного изучени...

Реальные способы зарабатывать человеку который ушёл из офиса Сегодня я расскажу про то где реально заработать денег обычному человеку который ушёл из офиса. Я расскажу реальность по тому где можно зарабатывать, а где нет. Я имею ввиду обычного человека, а не человека с деньгами. Т.е. вы обычный человек и у вас нет ляма рублей чтобы ку...

Пишем защиту от DDoS-атак на XDP. Ядерная часть Технология eXpress Data Path (XDP) позволяет выполнить произвольную обработку трафика на интерфейсах Linux до того, как пакеты поступят в сетевой стек ядра. Применение XDP — защита от DDoS-атак (CloudFlare), сложные фильтры, сбор статистики (Netflix). Программы XDP исполняют...

[Перевод] ValueTask<TResult> — почему, зачем и как? Предисловие к переводу В отличие от научных статей, статьи данного типа сложно переводить "близко к тексту", приходится проводить довольно сильную адаптацию. По этой причине приношу свои извинения, за некоторую вольность, с моей стороны, в обращении с текстом исходной статьи...

Laragon — WAMP с автоматическими локальными доменами Даже странно, что про Laragon нет ни единой публикации на Хабре. Хочу очень кратко восполнить этот пробел, ибо данный инструмент вполне заслуживает популярности среди целевой аудитории веб-разработчиков, кодящих под Windows. Laragon — это простой и компактный WAMP (Apach...

В Windows, Linux и ChromeOS исправлена новая уязвимость класса Spectre, SWAPGS Attack Специалисты компании Bitdefender рассказали о новой уязвимости, похожей на Spectre (вариант 1). Intel, Microsoft и другие производители уже подготовили патчи.

Apple стала дополнительно проверять приложения после публикации Apple начала дополнительно исследовать уже опубликованные и работающие приложения, спустя некоторое время после прохождения первой проверки.

[Перевод] Как мы разработали девкит Librem 5 полностью на свободном ПО От переводчика: Librem 5 (на рендере) — защищённый смартфон под Linux от компании Purism, который создаётся на максимально открытом железе и софте за счёт краудфандинга. Сегодня расскажем о разработке Librem 5 Developer Kit и о том, как мы использовали в его разработке толь...

Xiaomi отреагировала на публикацию о рейтинге самых вредных для здоровья смартфонов Компания Xiaomi выступила с официальным заявлением в связи с публикацией 3DNews статьи «Statista опубликовала рейтинг самых вредных для здоровья смартфонов». Напомним, что в рейтинге смартфонов с самым высоким излучением, представленном аналитической компанией Statista, указ...

Размышления о солнечном хостинге для пчел Все началось с розыгрыша… розыгрыша улья между пчеловодами в обмен на забавную историю — для чего он им нужен. Тут уж тараканы в моей голове перехватили управление и резво набрали сообщение о том, что мне этот улей нужен не для пчел, а чтобы поставить туда сервер мониторинг...

Security Week 35: статистика утекших паролей и атаки через Google Drive Прошедшая неделя отметилась как минимум двумя громкими событиями в сфере инфобезопасности. Впервые за долгое время для актуальных моделей Apple iPhone со свежей прошивкой iOS 12.4 доступен джейлбрейк (новость, пост на хабре). Джейлбрейк эксплуатирует уязвимость, которую закр...

Про подсчёт битов, беззнаковые типы в Kotlin и про ситуации, когда экономия на спичках оправдана К написанию статьи подтолкнул вот этот комментарий. А точнее, одна фраза из него. … расходовать память или такты процессора на элементы в миллиардных объёмах — это нехорошо… Так сложилось, что в последнее время мне именно этим и пришлось заниматься. И, хотя, случай, которы...

[Перевод] Государственный университет Адамс. Как взламывать веб-сайты. Часть 1 Ведущий: благодарю всех за то, что пришли на нашу первую лекцию из серии «Беседы о науке и математике во время обеденного перерыва». Вы получили электронные письма, кроме того, вокруг этого здания кампуса расклеены расписания семи лекций, которые состоятся в этом семестре. Я...

В Apple News+ нашли первую серьёзную уязвимость В ходе вчерашнего мероприятия, Apple представила обновленный новостной агрегатор Apple News+. Компания сумела договориться с многими популярными новостными изданиями и журналами, и теперь все они будут доступны для чтения на iPhone, iPad и Mac в рамках одного приложения. Пр...

Аппликативные парсеры на Haskell Мотивация Когда я только начинала осваивать Haskell, меня очень раздражало повсеместное использование сложных абстракций вместо каких-то конкретных решений. Мне казалось, что гораздо лучше всегда следовать принципу KISS и писать велосипеды с использованием элементарных конс...

[Из песочницы] Watch Dogs в реальной жизни, или серьезные уязвимости в СКУД Мне кажется, что многие парни, особенно в юном возрасте, хотели быть крутыми хакерами. Взламывать сайты, телефоны, системы доступа. Вот и у меня немного остался этот мальчишеский задор. Поэтому периодически ковырялся в различном ПО и ничего стоящего не находил. Но однажды, м...

[Перевод] Второй пациент с ВИЧ достиг ремиссии У второго пациента с ВИЧ-1 наблюдается стойкая ремиссия после прекращения лечения. Об этом говорится в докладе ученых из Университетского колледжа и Имперского колледжа Лондона. Описанная в научном журнале Nature история болезни увидела свет 10 лет спустя после первого под...

[Перевод] Лямбды: от C++11 до C++20. Часть 1 Добрый день, друзья. Сегодня мы подготовили для вас перевод первой части статьи «Лямбды: от C++11 до C++20». Публикация данного материала приурочена к запуску курса «Разработчик C++», который стартует уже завтра. Лямбда-выражения являются одним из наиболее мощных дополнений...

Древние народы рисовали на Земле рисунки, видные только с большой высоты Изображение птицы на плато Наска Наша планета очень разнообразна, поэтому если вы вдруг считаете, что видели все — не стоит торопиться с выводами. В мире полно удивительных мест и одним из них является возвышенная равнина Наска, расположенная на территории южноамериканской р...

Swift.assert — жизнь после релиза Как часто вы используете Swift.assert() в вашем коде? Я, честно, использую довольно часто (Если это плохая практика, то, пожалуйста, напишите в комментариях — почему это плохо?). В моем коде часто можно встретить, например, такой вызов: Swift.assert(Thread.isMainThread) Не ...

Как мы делали платежную систему для криптовалюты: пять основных проблем Привет, Хабр! На связи компания B2Broker, провайдер ликвидности и технологических решений для брокерской и биржевой индустрии. Один из наших продуктов — трейдинговая платформа B2BX.exchange. Когда летом 2017 года мы запускали платформу, то задумались о том, как принимать кри...

В поисках кнопки «Сделать хорошо». Zyxel в сети малого и среднего бизнеса Роутеры Mikrotik шикарны с точки зрения сетевого инженера. Они позволяют строить невероятно сложные сетевые решения. И стоит оборудование смешные деньги. Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки ...

Раскрыты пять пропатченных уязвимостей в iOS Участники команды Google Project Zero раскрыли подробности о пяти из шести найденных ими уязвимостей в iOS. Все они позволяли проводить удаленные атаки на систему без взаимодействия с пользователем. Компания исправила ошибки в последнем обновлении системы, 12.4, которое вышл...

В стандарте связи LTE обнаружено 36 уязвимостей Южнокорейские эксперты по вопросам информационной безопасности обнаружили 36 уязвимостей в стандарте связи LTE, которые позволяют реализовать широкий спектр атак. Некоторые из них могут быть достаточно пагубными. Выявленные уязвимости могут создавать небольшие временные труд...

Решение задания с pwnable.kr cmd1, cmd2, asm, blukat. Обходим фильтрацию в Linux. Пишем shellcode с помощью pwntools В данной статье посмотрим как обойти легкий фильтр, разберемся как написать shell c помощью pwntools, а также решим несколько заданий с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информацион...

Руководство по заполнению уведомления оператора персональных данных В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и т...

MU-MIMO: один из алгоритмов реализации Предисловие В качестве дополнения к моей недавней статье хотелось бы также поговорить о теме MU (Multi User) MIMO. Есть у мною уже упомянутого профессора Хаардта одна очень известная статья, где он вместе со своими коллегами предлагает алгоритм разделения пользователей по ни...

Tesla Cybertruck заметили на дороге: видео Компания Tesla недавно представила свой первый пикап — Cybertruck. Как сообщалось, машина будет доступна в версии Single Motor RWD, которая будет иметь запас хода 400 километров и максимальную скорость 180 километров в час, в версии Dual Motor AWD — с двумя моторами, запасом...

Google предлагает $1 млн. за уязвимости в Android Google, который уже выплатил исследователям в области безопасности более 15 миллионов долларов с момента запуска своей программы поиска уязвимостей в 2010 году, сегодня расширил программу Android Security Rewards. 

Свежая RCE-брешь Drupal получила применение в кибератаках Взломщики сайтов взяли на вооружение RCE-уязвимость в Drupal, которую разработчики CMS-системы закрыли неделю назад. После публикации PoC-эксплойта к бреши злоумышленники стали активно сканировать Интернет в поисках незащищенных ресурсов и даже нашли дополнительный вектор ат...

Дайджест событий для HR-специалистов в сфере IT на июль 2019 Июль — самое время запланировать путешествие, написать заявление на отпуск и забыть о работе на пару недель. Но как развлечься тем, кто по какой-либо причине не смог в этом месяце уехать в отпуск и проводит его за компьютером в офисе? Ответ прост: сделайте вашу работу макс...

[Перевод] 14 советов по написанию чистого React-кода. Часть 1 Написание чистого кода — это навык, который становится обязательным на определённом этапе карьеры программиста. Особенно этот навык важен тогда, когда программист пытается найти свою первую работу. Это, по существу, то, что делает разработчика командным игроком, и то, что сп...

От XSS до RCE одним движением мыши. Эксплуатируем новую уязвимость в WordPress Для подписчиковНе прошло и месяца с последнего раза, как ребята из RIPS снова обнаружили уязвимость в WordPress. На этот раз уязвимость — в комментариях. Проблему усугубляет отсутствие токенов CSRF, в итоге уязвимость можно эксплуатировать, просто посетив сайт злоумышленника...

Как продать SD-WAN бизнесу Помните, как в первой части фильма-блокбастера «Люди в черном» отличники боевой подготовки резво стреляют во все стороны по картонным чудищам, и только герой Уилла Смита, после непродолжительного обдумывания, «вынес мозги» картонной девочке, у которой в руках была книжка по...

OS1: примитивное ядро на Rust для x86. Часть 3. Карта памяти, Page fault exception, куча и аллокации Первая часть Вторая часть Тема сегодняшнего разговора — работа с памятью. Я расскажу про инициализацию директории страниц, маппинг физической памяти, управление виртуальной и мою организацию кучи для аллокатора. Как я уже говорил в первой статье, я решил использовать страниц...

Сервисы сериального чтения приходят в Россию. Экспериментальные форматы электронных изданий от российских издателей проходят первые тесты Сервисы электронных книг в России начали тестовый запуск нового формата — публикация работ авторов по главам. Агрегатор «ЛитРес», в скором времени, запустит сервис, с самостоятельной возможностью публикации книг авторам, а популярный литературный ресурс LitNet оформил партнё...

Verizon продала Tumblr компании Automattic Хотя стоимость сделки официально не названа, о ней стало известно ряду изданий. Так, Axios пишет, что Automattic заплатит за покупку Tumblr "гораздо меньше $20 млн" или даже менее $10 млн. Automattic выкупит все активы Tumblr и обещает сохранить весь штат сотрудник...

Microsoft закрыла две уязвимости, используемые в атаках Длинный список проблем, устраняемых сентябрьским набором патчей для продуктов Microsoft, содержит две уязвимости нулевого дня, уже взятые на вооружение злоумышленниками. Им присвоены идентификаторы CVE-2019-1214 и CVE-2019-1215; первая найдена в Windows-драйвере Common Log F...

Microsoft и NIST научат бизнес ставить патчи Компания Microsoft и Национальный институт стандартов и технологий США (US National Institute of Standards and Technology, NIST) создадут практическое руководство по установке патчей в корпоративных инфраструктурах. Эксперты намерены повысить грамотность бизнеса в вопросах И...

Новая статья: Итоги 2018 года: процессоры для ПК Прошедший год был наполнен громкими событиями на процессорном рынке, начавшись, ни много ни мало,  со скандала — обнародования данных о фундаментальных уязвимостях современных процессорных архитектур. И это стало лишь началом череды проблем, с которыми поочерёдно ст...

Google выпустила первое обновление Android в этом году Компания Google представила январское обновление безопасности, распространение которого уже началось среди владельцев смартфонов линейки Google Pixel, а значит, в скором времени оно станет доступно для установки на аппараты сторонних производителей. Апдейт, ставший первым в...

Terraformer — Infrastructure To Code Хотел бы рассказать про новый CLI tool который я написал для решения одной старой проблемы. Проблема Terraform уже давно стал стандартом в Devops/Cloud/IT сообществе. Вещь очень удобная и полезная чтоб заниматся infrastructure as code. Есть много прелестей в Terraform а т...

Check Point нашла интересную уязвимость Android для фишинговых атак Одно SMS-сообщение и доступ к вашей электронной почте украден. Владельцы телефонов Samsung, Huawei, LG и Sony фактически беззащитны.

Разворачиваем распределенное хранилище CEPH и подключаем его к Kubernetes Часть 1 Разворачиваем среду для работы с микросервисами. Часть 1 установка Kubernetes HA на bare metal (Debian) Здравствуйте, уважаемые читатели Хабра! В прошлой публикации я рассказал, как развернуть отказоустойчивый кластер Kubernetes. Но дело в том, что в Kubernetes удоб...

Дайджест событий для HR-специалистов в IT на декабрь 2019 Вот и наступил декабрь — время подведения итогов уходящего года, планирования работы в следующем году и подготовки к праздникам. Пока вас не захлестнула волна срочных дел, посмотрите нашу подборку эйчар-мерПоприятий и образовательных курсов, в которых вы успеете поучаствов...

Телега для датасайентиста How to deploy Python Telegram bot using Webhooks on Google Cloud Platform Вместо предисловия — Напиши телеграм-бота. Сейчас даже школьники пишут, — сказала она. — А почему бы и нет, — подумал я тогда ( — Ну, ну, — сказал бы я сейчас). Мы сидели в Бине и за чашкой кофе обсуж...

Раскрыта уязвимость 0-day в Android Участники Google-проекта Zero Day Initiative (ZDI) опубликовали подробности уязвимости нулевого дня, позволяющей локально повысить привилегии в Android. Согласно описанию в блоге ZDI, опасная уязвимость присутствует в драйвере v4l2 (Video4Linux 2), который обеспечивает возмо...

[Перевод] Руководство по Kubernetes, часть 1: приложения, микросервисы и контейнеры По нашей просьбе Хабр создал хаб Kubernetes и нам приятно разместить первую публикацию в нём. Подписывайтесь! Kubernetes — это просто. Почему же банки платят мне за работу в этой сфере большие деньги, в то время как любой может освоить эту технологию буквально за несколько ч...

Памятка начинающему разработчику компьютерных игр Данная статья ориентирована на школьников, студентов, и тех, кто постарше, кто никогда не пробовал, но очень хочет начать писать компьютерные игры. Кто в детстве не играл в компьютерные игры, и не хотел написать свою игру, которая будет лучше, чем GTA или Crysis? И я хотел,...

BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...

[Перевод] Рекомендации по написанию чистого кода на JavaScript Если вы заботитесь о самом коде, и о том, как он написан, а не заняты лишь тем, чтобы создавать работающие программы, это означает что вы стремитесь к тому, чтобы ваш код был чистым. Профессиональный разработчик пишет код не только в расчёте на компьютеры, но и в расчёте на ...

[Перевод] Мой компилятор для Lisp Очень рад объявить о завершении моего первого компилятора для языка программирования! Malcc — это инкрементальный AOT-компилятор Lisp, написанный на C. Вкратце расскажу о его многолетней разработке и что я узнал в процессе. Альтернативное название статьи: «Как написать комп...

SAP опубликовала апрельский набор заплаток Разработчики SAP выпустили очередной пакет обновлений, который устраняет несколько серьезных уязвимостей как собственных продуктов компании, так и их сторонних компонентов. Опубликованные патчи защищают пользователей от утечек информации и прочих вмешательств в работу корпор...

[Из песочницы] Как просто наблюдать за состоянием сайта Чтобы дистанционно следить за работоспособностью серверов, профессионалы используют специальные программные комплексы, вроде Zabbix или Icinga. Но, если вы начинающий владелец или администратор одного-двух веб-сайтов с небольшой нагрузкой, то нет нужды в больших системах мон...

[Перевод] Liveness probes в Kubernetes могут быть опасны Прим. перев.: Ведущий инженер из компании Zalando — Henning Jacobs — не раз замечал у пользователей Kubernetes проблемы в понимании предназначения liveness (и readiness) probes и их корректного применения. Посему он собрал свои мысли в эту ёмкую заметку, которая со временем ...

Описание архитектур процессоров в LLVM с помощью TableGen На данный момент LLVM стала уже очень популярной системой, которую многие активно используют для создания различных компиляторов, анализаторов и т.п. Уже написано большое количество полезных материалов по данной тематике, в том числе и на русском языке, что не может не радов...

От Норильска до Эр-Рияда: реальный кейс применения карт памяти Kingston Industrial Temperature microSD UHS-I Когда три года назад мы сделали обзор карт памяти для промышленного применения, в комментариях были пожелания не рассказывать про дроны и фотоаппараты, — мол, это не типичная область применения для таких карт памяти. ОК, сказали мы себе и записали в контент-план — сделать пу...

Какой язык программирования выбрать После того, как я написал статью «Почему не нужно учить Python первым языком», я на регулярной основе получаю много вопросов в личку, что лучше выбрать, как быть и так далее. Поэтому в этой статье я расскажу вам свои мысли на этот счет. И самое главное отвечу на «Священный Г...

Пишем свой язык программирования, часть 3: Архитектура транслятора. Разбор языковых структур и математических выражений Введение Приветствую вас, заинтересованные читающие разработчики на не важно каких языках, на которых я ориентирую эти статьи и чьи поддержку и мнения я ценю. Для начала, по устоявшимся традициям, я приведу ссылки на предыдущие статьи: Часть 1: пишем языковую ВМ Часть 2:...

Angular: создание и публикация библиотеки Начнем с начала Если мне не изменяет память, то с версии 6 в angular появилась возможность создавать в одном workspace проекты разных типов: application и library. До этого момента люди, которые хотели создать библиотеку компонент, скорее всего, пользовались отличным и поле...

Новый рекорд художника Banksy Работа Banksy под названием Devolved Parliament ушла с молотка за 9 879 500 фунтов стерлингов (около 12,2 миллионов долларов) на аукционе Sotheby’s в Лондоне. Работа, написанная в 2009 году, получила оценку между 1,5 и 2 миллионами фунтов, а в итоге ушла за в шесть раз...

По следам калькуляторов: Qalculate Ранее мы делали обзоры кода крупных математических пакетов, например, Scilab и Octave, а калькуляторы оставались в стороне как небольшие утилиты, в которых сложно допустить ошибки из-за их малого объёма кода. Мы ошиблись, не уделив им внимания. Случай с публикацией исходног...

[Из песочницы] Критическая уязвимость в admin-ajax.php На прошлой неделе столкнулся с крайне неприятным фактом. Зайдя на свой сайт, обнаружил, что он переадресовывает меня на неведомый мне ресурс, на который крайне сильно ругается антивирус Dr. Web Сайт работает на WordPress актуальной версии 5.1 Все выходящие обновления для д...

Intel обнаружила 77 новых уязвимостей в процессорах: одна из них значительно влияет на производительность Каждый месяц Intel выпускает рекомендации по безопасности, чтобы информировать своих партнеров о безопасности своих продуктов. В этом месяце компании удалось обнаружить 77 новых уязвимостей, которые варьируются от процессоров до графики и даже контроллеров Ethernet. Подробне...

Первый тизер Asus ROG Phone 2 Инсайдер Мукул Шарма (Mukul Sharma) опубликовал на своей странице в Twitter первый тизер нового игрового смартфона компании Asus. На данной картинке нет каких-либо подробностей о новом устройстве или его изображений. Источники лишь уточняют, что официальный анонс новинк...

Уязвимость софта для телеконфенций Zoom позволяет любым сайтам шпионить за пользователями через веб-камеру Изображение: Medium.com Исследователь безопасности обнаружил уязвимость в софте для проведения телеконференций Zoom. При использовании программы на компьютерах Mac, любой открытый пользователем сайт может активировать камеру на устройстве без запроса разрешения на данное ...

Роботизация может вести к диктатуре Предыдущая статья на тему замены человека роботом получила большое количество комментариев. Получается, тема живая не только в наших головах. Поскольку мы сами вносим вклад в роботизацию как в контексте обучения в нашей Школе, так и в контексте проектов, которые мы делае...

Security Week 18: атака ShadowHammer в деталях В конце марта издание Motherboard опубликовало статью о потенциальном взломе инфраструктуры компании Asus. Получив частичный доступ к ресурсам компании, злоумышленники смогли распространить среди клиентов, установивших утилиту Asus Live Update для своевременной загрузки новы...

Близкие контакты ADL-ной степени Как навсегда вписать своё имя в историю? Первыми слетать на Луну? Первым встретиться с инопланетным разумом? У нас есть способ проще — можно вписать себя в стандарт языка C++. Хороший пример показывает Эрик Ниблер — автор C++ Ranges. «Запомните это. 19 февраля 2019 года — д...

Мифы о работе PFE Часто, когда рассказываешь о своей работе знакомым и друзьям (как в этой статье), они восторгаются и по-честному завидуют тому, какая интересная у меня работа. Я, в целом, с ними согласен, но хотелось бы снять розовые очки и рассказать о другой стороне работы полевого инжене...

Intel исправила опасные ошибки в двух продуктах Разработчики Intel устранили серьезные уязвимости в двух продуктах компании — утилите для диагностики процессора и ПО, управляющем SSD-накопителями корпоративного класса. Баги позволяли взломщикам повышать привилегии в атакуемой системе, читать закрытые данные и вызывать кри...

В Drupal закрыты серьезные бреши Для CMS-системы Drupal версий 7 и 8 вышли обновления, устраняющие два бага удаленного исполнения кода, которые разработчики оценили как критические. Оба они привнесены с появлением в репертуаре Drupal файлов в формате .phar — исполняемых PHP-архивов, поддержка которых была в...

[Из песочницы] Пишем VLC плагин для изучения английского В данной статье я расскажу о том, как написать плагин на языке C для медиаплеера VLC. Я написал свой плагин для упрощения просмотра сериалов и фильмов на английском языке. Идея создания этого плагина описывается в разделах Идея и Поиск решения. Технические детали реализаци...

BLoC паттерн на простом примере И еще раз про BLoC на классическом примере счетчика Flutter. Читая некоторые статьи про реактивное программирование и используя BLoC паттерн в приложениях я понимал, что чего-то не догоняю. Как обычно на все не хватает времени, но вот, выдался свободный час и силы есть — реш...

Как мы разрабатываем персональные товарные рекомендации Наши клиенты-магазины хотят делать крутой маркетинг. Чтобы люди больше покупали, они регулярно шлют им email-рассылки. И каждый раз думают: “Что же написать в письме?”. Можно писать просто: “Покупайте у нас почаще!”, но это не очень-то работает. Идея получше — вставлять в п...

Расширяем возможности UObject в Unreal Engine 4 Всем привет! Меня зовут Александр, я уже более 5 лет работаю с Unreal Engine, и почти все это время — с сетевыми проектами. Поскольку сетевые проекты отличаются своими требованиями к разработке и производительности, нередко необходимо работать с более простыми объектами, та...

Разрабатываем теорию информации как проект с открытым исходным кодом Есть проблема: найден очень полезный способ описания процессов формирования и преобразования информации, сформирован теоретический базис этого способа публикация в чисто-теоретическом виде (без сопровождения объяснениями и примерами) будет доступна только труженикам науки, ...

[Из песочницы] Как я писал свой мониторинг Решил поделиться своей историей. Может даже кому пригодится подобное бюджетное решение всем известной проблемы. Когда я был молод и горяч и не знал, куда девать свою энергию, я решил немного пофрилансить. Мне удалось быстро набить рейтинг и я нашёл пару постоянных клиентов,...

Найден способ смотреть фото и видео в закрытых аккаунтах Instagram BuzzFeed рассказал об уязвимости Instagram, позволяющей просматривать истории, фотографии и видео в закрытых аккаунтах.

[Перевод] Наследование в JavaScript с точки зрения занудного ботаника: Фабрика Конструкторов Это история об одной очень специальной части JavaScript, самого используемого искусственного языка в мире в настоящее время (2019). В статье представлен своего рода философский взгляд на Наследование в JavaScript, и я смею лишь надеяться, что он основан на самом впечатляюще...

Сайт ICANN Wiki был заражён вирусом-майнером На прошлой неделе ICANN пришлось на несколько часов приостановить работу ICANN Wiki - информационного ресурса, посвящённого компании ICANN и системе доменных имён. Причиной этого стало заражение ПО сайта вирусом-майнером.В вики-системе Confluence, на которой работала ICANN W...

После установки обновления Windows 10 на некоторых ноутбуках Lenovo придётся отключить Secure Boot Lenovo X260 ThinkPad с Windows 10 19 декабря 2018 года Microsoft выпустила экстренный патч KB4483229 для устранения 0day-уязвимости в Internet Explorer 9−11. Критическая уязвимость CVE-2018-8653 действительно требовала немедленных действий, ведь она позволяет злоумышленник...

Получение статистики по всем клиентам из API Яндекс Директ в разрезе дней с помощью Python В работе часто использую короткую статистику в разрезе дней чтобы отслеживать отклонения трафика. Более подробно о написании запросов написал в статье « Получение рекламных кампаний Яндекс Директ с помощью API в DataFrame (Python)». В данной статье я в большей степени рас...

Xiaomi показала новые телевизоры Mi TV Pro на тизерной картинке, их представят 24 сентября Недавно один из инсайдеров в Twitter писал о том, что Xiaomi собирается выпустить шесть новых моделей телевизоров, и вот тому официальное подтверждение: компания опубликовала официальный тизер, демонстрирующий модели с экранами диагональю 55 и 65 дюймов. Помимо двух ва...

Восьмиядерный мобильный процессор Intel Core i9-9980HK будет работать на частоте до 5 ГГц Некоторое время назад мы писали о процессоре Intel Core i9-9980HK, который должен стать первым мобильным восьмиядерным CPU компании. Вчера без всякого анонса Intel добавила в свой официальный прайс-лист не только эту модель, но и ещё ряд процессоров Coffee Lake Refresh....

Правила подготовки макетов в Figma Боль с одним проектом привела нас к решению написать правила работы Необходимость составить список правил появилась, когда мы прочувствовали, как больно бывает исправлять ошибки. Макет сайта из одной программы кочевал в другую, разработчиков это не устраивало, дизайнеров ...

[Из песочницы] Duality — легкий и быстрый движок для игростроя под Windows (Доп.) Приветствую, читатель. В данной публикации речь пойдет о перспективном и достаточно молодом игровом движке, который незаслуженно остался в тени таких гигантов, как Unity или Unreal Engine. Разработчиками является объединение энтузиастов под руководством Adam's Lair. Как...

Как я наводил порядок в проекте, где лес прямых рук (настройки tslint, prettier, etc) И снова здравствуйте. На связи Омельницкий Сергей. Сегодня я поделюсь с Вами одной из своих головных болей, а именно — что делать, когда проект пишут много разноуровневых программистов на примере angular приложения. Так повелось, что я долгое время работал только со своей к...

[Из песочницы] Рецензия на перевод «Если софт создаётся на общественные деньги, код должен быть открыт» Прочитал статью-перевод «Если софт создаётся на общественные деньги, код должен быть открыт» которая вызвала двоякое чувство. С одной стороны идея кажется правильной, но в статье описано несколько принципиальных проблем, которые вольно или невольно оказывают читателям медвеж...

Уязвимость в vBulletin использовали для взлома форумов Comodo. Пострадали 245 000 пользователей Хотя разработчики vBulletin уже выпустили патч для свежей 0-day проблемы, обновление пока установили далеко не все, а злоумышленники не дремлют. Первой крупной жертвой взлома из-за этой уязвимости стала компания Comodo.

[Перевод] Интервью Playboy: Стив Джобс, часть 3 Это третья (заключительная) часть интервью, вошедшее в антологию The Playboy Interview: Moguls, в которой также есть беседы с Джеффом Безосом, Сергеем Брином, Ларри Пейджем, Дэвидом Геффеном и многими другими. Первая часть. Вторая часть. Playboy: Чем вы занялись по возвра...

Google сообщила о серьёзной уязвимости в Android Google объявила об обнаруженной уязвимости в собственной ОС Android, которая затрагивает смартфоны различных брендов. Уязвимость находится в коде ядра операционной системы и может использоваться злоумышленниками для root-доступа к устройству. По иронии, баг был исправлен ​​в...

Летаем по модулям: Навигация в многомодульном приложении с Jetpack Почти каждый растущий проект рано или поздно начинает смотреть в сторону многомодульной архитектуры. Разработчики не хотят ждать пока пересобирается полностью весь проект, когда была изменена только одна фича. Многомодульность помогает изолировать фичи приложения друг от др...

iТоги 2019/2: смартфоны, смартфоны и снова смартфоны. Вспоминаем основные темы и самые интересные новости февраля 2019 года На конец последнего месяца зимы пришлось мероприятие Mobile World Congress, предсказуемо выдвигая на передний план новости о мобильных устройствах. Впрочем, смартфоны и без того продолжали доминировать в самых читаемых и обсуждаемых новостях, лишь изредка уступая место публи...

Stablecoin Report: рынок год спустя ForkLog Consulting опубликовал английский перевод доклада «Stablecoins: от электронных денег на блокчейне к корзине криптовалют». Автор доклада Дмитрий Бондарь рассказал ForkLog о том, что произошло на рынке стейблкоинов с момента публикации русскоязычной версии этого текста...

Патриот Зимбабве потратил $5000, чтобы оцифровать родную страну на Google Street View Подготовка к работе панорамной камеры Insta360 Pro 2. Фото: Таванда Канхема Зимбабве — крайне бедная африканская страна. Хотя до обретения независимости в 1980 году она считалась одной из самых экономических развитых на континенте, несмотря на добычу золота и алмазов, сей...

В банкоматах Diebold Nixdorf обнаружена RCE-уязвимость Один из крупнейших в мире производителей банкоматов предупреждает своих клиентов об уязвимости в банкоматах марки Opteva. Баг позволяет удаленно выполнить произвольный код.

Модернизация IDA Pro. Отладчик для Sega Mega Drive (часть 1) Приветствую! Товарищи реверсеры, ромхакеры: в основном эта статья будет посвящена вам. В ней я расскажу вам, как написать свой плагин-отладчик для IDA Pro. Да, уже была первая попытка начать рассказ, но, с тех пор много воды утекло, многие принципы пересмотрены. В общем, по...

Microsoft Edge для macOS В прошлом месяце мы анонсировали первые предварительные сборки следующей версии Microsoft Edge для Windows 10. Сейчас мы рады сообщить, что канал Microsoft Edge Canary стал доступен и для macOS. Теперь на сайте Microsoft Edge Insider можно найти сборки для компьютеров с macO...

Macotakara: iPad mini 5 будет очень похож на предшественника Авторитетный японский ресурс Macotakara опубликовал новую информацию, касающуюся пока неанонсированных яблочных устройств. В частности, авторы сайта рассказали о том, что компания Apple не планирует как-то кардинально менять внешний вид iPad mini 5.Читать дальше... ProstoMA...

Кейс: Как получать продажи в области бухгалтерских и юридических услуг с нуля Этот кейс посвящён тем кто только начинает получать продажи в области бухгалтерских и юридических услуг. Представьте, что вы студент который закончил юридический или экономический факультет. А работы нет. Вы хотите создать свою контору, а клиентов нет. Что делать дальше и ка...

[Перевод] Приближающиеся изменения SameSite Cookie в ASP.NET и ASP.NET Core SameSite — это расширение файлов cookie HTTP 2016 года, предназначенное для предотвращения подделки межсайтовых запросов (CSRF). Первоначально его дизайн представлял из себя дополнительную функцию, которую можно использовать, добавив новое свойство SameSite в файлы cookie. У...

Троян SpeakUp устанавливает бэкдор на Linux-серверы Исследователи из компании CheckPoint рассказали об атаках нового трояна, получившего название SpeakUp. Зловред эксплуатирует уязвимость во фреймворке ThinkPHP, а также другие бреши, чтобы установить бэкдор на Linux-серверы и внедрить в систему майнер криптовалюты. Программа ...

Security Week 49: взлом гостиничной инфраструктуры 28 ноября эксперты «Лаборатории Касперского» опубликовали интересное исследование о систематических атаках на компьютеры в гостиницах. Подтвержденных жертв кампании больше 20, потенциальных — больше тысячи. Исследованные атаки, скорее всего, ведут две разные группировки с не...

Julia. Генераторы отчётов и документации Одной из актуальных проблем во все времена, является проблема подготовки отчётов. Поскольку Julia — язык, пользователи которого непосредственно связаны с задачами анализа данных, подготовки статей и красивых презентаций с результатами расчётов и отчётов, то эту тему просто ...

Решение задания с pwnable.kr 16 — uaf. Уязвимость использование после освобождения (use after free) В данной статье рассмотрим, что такое UAF, а также решим 16-е задание с сайта pwnable.kr. Организационная информацияСпециально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о ...

«И невозможное возможно»: превращаем черный ящик в белый с помощью бинарного анализа На данный момент существует два основных подхода к поиску уязвимостей в приложениях — статический и динамический анализ. У обоих подходов есть свои плюсы и минусы. Рынок приходит к тому, что использовать надо оба подхода — они решают немного разные задачи с разным результа...

[Перевод] Как сделать SFINAE изящным и надежным И снова здравствуйте. Делимся с вами интересной статьёй, перевод которой подготовлен специально для студентов курса «Разработчик C++». Сегодня у нас гостевой пост Адама Балаша (Ádám Balázs). Адам является инженером-программистом в Verizon Smart Communities Hungary и зани...

[Перевод] Ценны ли данные вашей компании в эпоху ИИ? И снова здравствуйте! Сегодня мы продолжаем серию публикаций приуроченных к запуску курса «Big Data для менеджеров». Итак, начнем. “ИИ близко”. Это то, что мы слышим с 2017 года и, скорее всего, продолжим слышать и дальше. Для устоявшихся компаний, которые не являются Googl...

Ох уж этот метод Ньютона О методах численной оптимизации написано много. Это и понятно, особенно на фоне тех успехов, которые в последнее время демонстрируют глубокие нейронные сети. И очень отрадно, что хотя бы часть энтузиастов интересуется не только тем, как забомбить свою нейросеточку на набравш...

Android можно было захватить с помощью PNG-картинки Компания Google пропатчила в Android критическую уязвимость, позволявшую исполнить любой код на мобильном устройстве, послав на него вредоносный файл изображений в формате .PNG (Portable Network Graphics). Согласно бюллетеню Google, эта брешь, как и два других RCE-бага, прив...

[Перевод] Mayhem — машина, способная находить уязвимости в программах и исправлять их Программа заняла первое место в конкурсе Cyber Grand Challenge от DARPA, посвящённом автоматизации этичного взлома В 2011 года, когда инвестор Марк Андриссен сказал, что «программы поедают мир», эта идея была свежей. Сейчас очевидно, что ПО проникает во все аспекты наших ж...

Все материалы на данном сайте взяты из открытых источников или присланы посетителями сайта и предоставляются исключительно в ознакомительных целях. Права на материалы принадлежат их владельцам. Администрация сайта ответственности за содержание материала не несет. (Правообладателям)