Угрозы информационной безопасности конвейера разработки ПО и их моделирование Злоумышленники всё чаще атакуют цепочки поставок ПО, чтобы получить доступ к исходным кодам, процессам сборки или механизмам обновления ПО. Но сложно напрямую атаковать инфраструктуры компаний, которые серьёзно относятся к своей кибербезопасности. В ...
Уязвимости на GitHub: в библиотеке Ruby, которую скачали 250 000 раз, модулях для электронных замков и популярных играх В конце марта в блоге GitHub вышла статья, как защищаться от уязвимостей типа RepoJacking. В первых строчках автор советовал использовать пакетные менеджеры типа NPM и PyPI, чтобы киберугроза этого вида «не угрожала пользователю напрямую». Можно было бы вздохнуть с облегчени...
В Positive Technologies рассказали о критической уязвимости в продуктах «1С-Битрикс» Специалисты Positive Technologies рассказали, как помогли исправить критическую уязвимость в продуктах «1С-Битрикс». Уязвимость получила максимальную оценку 10 баллов по шкале CVSS 3.0, и с ее помощью атакующий мог запустить любое ПО на уязвимом узле и потенциально развить а...
ГК «Солар» проанализировала наиболее популярные схемы вовлечения подростков в противозаконную деятельность Для обеспечения безопасности личных данных детей и их родителей, а также исключения рисков нарушения законов РФ, руководитель сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско делится наиболее популярными схемами вовлечения подростков в проти...
Свежий критический баг в FortiOS SSL VPN уже находится под атаками Разработчики Fortinet предупреждают, что новая критическая RCE-уязвимость в FortiOS SSL VPN уже может использоваться для атак. Уязвимость отслеживается как CVE-2024-21762 и получила 9,6 баллов по шкале CVSS. Баг в FortiOS связан с out-of-bounds записью и позволяет неавториз...
Топ самых интересных CVE за февраль 2024 года Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress...
JetBrains TeamCity CI/CD CVE-2024-27198 В феврале 2024 года группа исследователей уязвимостей Rapid7 выявила уязвимость, затрагивающую сервер JetBrains TeamCity CI/CD и представляющую собой обход аутентификации в веб-компоненте TeamCity.Уязвимость получила идентификатор CVE-2024-27198 и балл CVSS равный 9,8 (крити...
Топ самых интересных CVE за март 2024 года Всем привет! Подводим итоги марта топом самых интересных CVE. Гвоздём программы ушедшего месяца, конечно же, стал бэкдор в XZ Utils, наделавший шуму в Linux-сообществе. Десятку по CVSS также выбила уязвимость в Atlassian Bamboo Data Center и Server на внедрение SQL-кода.Ориг...
Загрязненный — значит опасный: про уязвимость Prototype Pollution Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некоторые популярные решения до сих пор о...
Google патчит восьмую 0-day уязвимость в Chrome в этом году Google выпустила экстренные патчи для устранения очередной 0-day уязвимости в браузере Chrome. Известно, что этот баг уже находился под атаками и стал восьмой уязвимостью нулевого дня в Chrome в этом году.
Кто такие специалисты по безопасной разработке и где на них учиться Привет, Хабр! В этой статье мы разберемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста. Давайте знакомиться! Меня зов...
Google подтверждает критическую уязвимость в libwebp, тысячи приложений под угрозой Google обновила информацию о критической уязвимости в библиотеке libwebp, указав, что проблема затрагивает не только браузер Chrome, но и тысячи других приложений и программных фреймворков
Code smells — обзор на примере PHP Hola, Amigos! Меня зовут Евгений Шмулевский, я PHP-разработчик в агентстве заказной разработки Amiga. В этой статье хотелось бы рассмотреть вопрос качества кода и что из рекомендаций по нему лично для себя использую. Статья адресована начинающим разработчикам. Читать далее
[Перевод] 10 распространённых рисков проекта и шаги по их устранению Анализ рисков проекта помогает управлять проектом от начала до конца, чтобы исключить или сократить потери или неудачи в бизнесе. Причины рисков зависят от типа, сложности и продолжительности проекта. Цель анализа рисков проекта состоит в том, чтобы выявить возможные угрозы ...
Security Week 2411: критическая уязвимость в продуктах VMware 5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идент...
Positive Technologies помогла устранить уязвимость в системе видеоконференций Yealink Специалисты Positive Technologies рассказали об обнаружении критической уязвимости BDU:2024-00482 в системе видеоконференцсвязи Yealink Meeting Server.
Выбираем базовые образы для приложений на .NET: минимум уязвимостей, максимум быстродействия Микросервисы и контейнеры для их развертывания сейчас являются стандартом в крупных компаниях. Для разработчиков и DevOps-инженеров это удобный подход: он дает больше возможностей и ускоряет процессы.Но для специалистов по информационной безопасности микросервисная архитекту...
Неполадки в отладке: как уязвимость в WinDbg позволяет атаковать разработчиков Привет, Хабр! Меня зовут Александр Калинин, я занимаюсь разработкой средств обеспечения безопасности контейнерных сред в МТС RED, дочерней компании МТС в сфере кибербезопасности. Сегодня расскажу о том, как я обнаружил в отладчике WinDbg уязвимость, которая позволяет запуска...
В ArubaOS исправили сразу четыре RCE-уязвимости Компания HPE Aruba Networking (ранее Aruba Networks) выпустила патчи для устранения критических уязвимостей в ArubaOS, которые могут привести к удаленному выполнению кода (RCE) на затронутых системах.
Обзор актуальных инструментов шифрования в Android Привет, Хабр! Меня зовут Артур Илькаев, я работаю в департаменте экосистемных продуктов, мы разрабатываем VK ID SDK и все что связано с авторизацией и сессиями, в частности — мультиаккаунт.Секретные данные требуют особого внимания при хранении и передаче. Инструмен...
Может ли быть уязвимость в дизайне, контенте и CSS и разбор такой уязвимости(?) на Госуслугах Кажется, что уязвимость - штука техническая, но на Госуслугах есть интересная комбинация уязвимостей (ну или, скажем, черт, особенностей) в сфере CSS, дизайна, юзабилити, которые мошенники используют в социальной инженерии.Узнал я про это из вот этого ролика на ютубе - https...
Безопасность в Docker: от правильной настройки хоста до демона Привет, Хабр! Меня зовут Эллада, я специалист по информационной безопасности в Selectel. Помогаю клиентам обеспечивать защиту инфраструктуры и участвую в разработке новых решений компании в сфере ИБ. И сейчас я начала больше погружаться в тему разработки и изучать лучшие пр...
Тестируем приложение как сын маминой подруги или взгляд на Trace Based Testing Привет! Меня зовут Сергей, я бэкенд разработчик команды SEO в Банки.ру.В этой статье хочу описать свое знакомство с техникой Trace Based Testing (TBT): • расскажу о концепциях, которые чаще всего используются сейчас в тестировании• кратко опишу, что такое distributed ...
Microsoft нашла серьезную уязвимость в Android-приложениях Команда Microsoft заявила об обнаружении критической уязвимости в безопасности Android-приложений.
Опубликованы эксплоиты для критической RCE-уязвимости в Jenkins В сети появилось сразу несколько PoC-эксплоитов для критической уязвимости в Jenkins, позволяющей неавторизованным лицам читать произвольные файлы. Хуже того, некоторые ИБ-специалисты сообщают, что хакеры уже используют проблему в атаках.
[Перевод] Механизмы безопасности в Laravel Комплексный обзор множества безопасных функций Laravel, которые могут помочь вам предотвратить болезненные ошибки.Мы рассмотрим следующие механизмы безопасности:• Предотвращение N+1• Защита от частично гидрированных моделей• Опечатки атрибутов и переименованные столбцы• ...
Google «бьет тревогу» из-за критических уязвимостей нулевого дня в устройствах Apple Группа анализа угроз Google обнаружила не одну, а целых три уязвимости нулевого дня высокой степени опасности, которые сеют хаос как в операционных системах Apple, так и в браузере Chrome.
Apple исправила уязвимость в прошивке Bluetooth своей клавиатуры Magic Keyboard Apple сообщила об обновлении различных версий своей клавиатуры Magic Keyboard для устранения уязвимости в прошивке Bluetooth.
Учимся понимать события подсистемы аудита Linux Приветствую всех любителей изучать новое. Меня зовут Рома, и я занимаюсь исследованием безопасности ОС Linux в экспертной лаборатории PT Expert Security Center.В рамках инициативы нашей компании по обмену экспертными знаниями с сообществом я расскажу вам об известной мн...
[Перевод] О странной фаллоцентричности модели GPT-J TL;DR Статья посвящена находкам, описанным в моих постах Mapping the Semantic Void, часть I и II. Создав специальный эмбеддинг в центроиде токенов (векторе средних значений всех 50257 эмбеддингов токенов GPT-J ), при помощи промта приказав модели определить ег...
Clickhouse: прогулки по граблям Добрый день, Хабр! Меня зовут Олег, я являюсь Backend-разработчиком в IT-компании «Философт» последние полтора года. Мы занимаемся разработкой платформы для жителей, подключённых к нашей системе, которая призвана помочь взаимодействовать с различными «умными» устройства...
F5 исправляет RCE-уязвимость в BIG-IP Критическая уязвимость в утилите настройки F5 BIG-IP (CVE-2023-46747), позволяет удаленному злоумышленнику выполнить произвольный код без аутентификации. Проблема связана с UI Traffic Management и получила 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.
В веб-сервере Cisco нашли позволяющую контролировать 10 тыс устройств уязвимость Служба безопасности компании Cisco Talos выпустила предупреждение о критической уязвимости нулевого дня, обозначенной как CVE-2023-20198, которая затрагивает программное обеспечение IOS XE на многих устройствах.
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса.В одной из прошлых статей я составлял шорт-лист мифов о безопасности мобильных приложений. Один из них б...
Вымогатель LockBit использует в атаках уязвимость Citrix Bleed ИБ-эксперты предупреждают, что вымогательская группировка Lockbit использует общедоступные эксплоиты уязвимости Citrix Bleed (CVE-2023-4966) для атак на крупные организаций, кражи данных и шифрования файлов. Разработчики Citrix выпустили патч для CVE-2023-4966 более месяца н...
Грейдирование для менеджеров: как внутреннее тестирование помогает нам рефакторить Wiki Всем привет! Меня зовут Соня Евстигнеева, я руководитель проектов в AGIMA. Расскажу почти детективную историю про нашу внутреннюю систему грейдирования и про то, какие метаморфозы с ней происходят. Сначала она просто помогала нам определять уровень знаний у новичков, а тепер...
Взгляд на ИБ со стороны не ИБ-разработчиков Всем привет! Меня зовут Елена Галата, в ГК "Цифра" я руковожу направлением разработки программного обеспечения. Хочу сегодня немного поговорить об информационной безопасности и о том, как она выглядит со стороны тех, кто имеет отношение к созданию ПО. Не только программисто...
Заметки руководителя проекта: советы начинающим, факапы для бывалых Привет, Хабр!Меня зовут Кристина Спирина, я руководитель проектов в IT.Сегодня мы пройдем по жизненному циклу проекта, на каждом этапе поговорим о важных моментах, о факапах, с которыми мы с командой сталкивались на практике, и о том, как мы их исправляли.В своей работе я оп...
BSCP — разгадываем тайны сертификации от академии PortSwigger Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от академии PortSwigger — BSCP, посвящ...
Обзор инструмента DefectDojo: почему его выбирают? Практика ASOC (Application Security Orchestration and Correlation, оркестрация и корреляция безопасности приложений), интегрирующая инструменты анализа защищенности со стеком разработки ПО, сегодня широко известна в сфере безопасной разработки. О ней много писали мы и другие...
Как мы в РСХБ построили ИБ-платформу с использованием OpenSource-инструментов Привет, Хабр! Меня зовут Михаил Синельников, я DevSecOps TeamLead в РСХБ‑Интех. В сфере ИТ тружусь с 1999 года, в РСХБ попал в 2021 году. Ранее работал в качестве ведущего специалиста и руководителя направлений информационной безопасности в ...
Эффективные вложения в ИТ: Как посчитать ROI при внедрении ПО на примере системы маскирования данных Всем привет! Меня зовут Али Гаджиев, я Директор по продукту в компании Crosstech Solutions Group. Мы с моими коллегами Продакт-менеджером Дмитрием Симаком и Руководителем отдела анализа данных и машинного обучения Владимиром Коршуновым решили поднять ту тему, которую, зачаст...
Kotlin Coroutines. Часть 1: Первое погружение Привет, Хабр!Меня зовут Соловьев Андрей, я Java-разработчик в «Рексофт». Сегодня мы поговорим про Kotlin Coroutines. Это моя первая серьезная публикация, и я буду рад вашему фидбеку.Ну что ж, давайте начинать! Читать далее
API Big Data от PravoTech: топливо для кредитного конвейера Ксения Левина, руководитель по развитию API Big Data PravoTech, — о роли юридических данных в оценке рисков и их месте в создании кредитного конвейера Альфа-Банка.
Путь из бизнес-аналитика в программного роботизатора Привет, Хабр! Меня зовут Леонид Бычков, я руководитель продукта ROBIN CLOUD в команде ROBIN, входящей в SL Soft. Это моя первая статья здесь, и для знакомства расскажу, как пришёл к тому, чем сейчас занимаюсь, — опишу своего рода путь в ИТ без программирования. Уверен, что N...
Старый софт: как мы обошли запрос пароля в Shadow Defender и зачем пользоваться приложением, которое не обновляется Привет, Хабр! Меня зовут Илья Буймистров, я занимаюсь исследованиями в области инфобеза для сервиса централизованного управления уязвимостями CICADA8. Это один из проектов блока инноваций FC компании МТС RED.Чтобы защищать пользователей, надо понимать, где слабые места...
[recovery mode] Где изучать Golang в 2024 2024 году изучение языка программирования Go (Golang) остается одним из наиболее перспективных и востребованных направлений для разработчиков. Одним из главных преимуществ изучения Golang в 2024 году является его широкое применение в различных областях разработки програ...
Google говорит о 97 использованных в 2023 году уязвимостях нулевого дня Уязвимости программного обеспечения чаще всего встречаются в смартфонах, операционных системах и браузерах
Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, ...
В Zoom для Windows исправили критический баг Разработчики Zoom выпустили исправления для семи уязвимостей в своих десктопных и мобильных приложениях, включая критическую ошибку в Windows-клиенте.
Range Loop в Go: подводные камни, как с ними бороться и что нас ждёт в версии 1.22 Привет, Хабр! Меня зовут Рафаэль Мустафин, я ментор на курсе «Go-разработчик» в Яндекс Практикуме. Эта статья посвящена нюансам цикла range в Go. Мы рассмотрим распространённые подводные камни, лучшие практики и интересные изменения, ожидаемые в Go 1.22. Читать далее
Роскомнадзор отражает по 17 DDoS-атак в день Роскомнадзор сообщил о том, что Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) заблокировал 1 664 фишинговых ресурса и отразил 507 DDoS-атак за март 2024 года или по 17 атак в день в среднем. «За март 2024 года специалисты Центра монитори...
pgvector: как хранить и обрабатывать многомерные вектора в PostgreSQL На Хабре было много упоминаний pgvector в обзорах Postgresso. И каждый раз новость была про место которое где-то за границей и далеко. Многие коммерческие решения для хранения и поиска векторов в базе данных нынче не доступны, а pgvector доступен любому, тем более в самой по...
GitHub представила ИИ-инструмент, который будет искать уязвимости в коде Разработчики GitHub представили новую ИИ-функцию, позволяющую ускорить исправление уязвимостей во время написания кода. Пока функция представлена в публичной бета-версии и автоматически включается во всех приватных репозиториях для клиентов GitHub Advanced Security (GHAS).
Трендовые уязвимости апреля: до пяти лет скрытой эксплуатации Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц анализируем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, б...
В CrushFTP срочно патчат 0-day уязвимость и призывают всех обновиться Разработчики CrushFTP уведомили клиентов в письме об активно эксплуатируемой уязвимости нулевого дня, исправленной в новых версиях программы. Они призывают всех срочно установить исправления на свои серверы.
Вымогатели атакуют критическую уязвимость в Apache ActiveMQ Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются оператор...
Открытые инструменты для превентивной защиты и ИБ-аудита Есть два ключевых подхода к защите ИТ-систем: реактивный и превентивный. Реактивный — это реагирование на атаки и реализованные ИБ-риски, в том числе восстановление данных, установка патчей и обновлений, прочие активности. Превентивный подход подразумевает обнаружение и мини...
Microsoft предупредила о критическом баге в Perforce Helix Core Специалисты Microsoft обнаружили четыре уязвимости в популярной системе контроля версий Perforce Helix Core, которая широко используется в правительственном, военном, технологическом и многих других секторах. Один из багов имеет статус критического и позволяет неаутентифицир...
Adobe закрыла 185 уязвимостей в различных приложениях, включая Experience Manager Adobe выпустила серию обновлений для нескольких своих приложений, включая Experience Manager, для устранения уязвимостей, которые могли бы быть использованы злоумышленниками для атак на компьютеры пользователей.
Секрет внутренней связи: откровения Маруси о том, как она научилась слушать себя Привет, Хабр! Меня зовут Коля Кремер, уже 4 года я работаю в команде мобильного приложения Маруси, где мы постоянно стараемся сделать так, чтобы с нашим помощником было удобно и интересно общаться. Я несколько раз начинал писать и откладывал этот ретроспективный пост, н...
Критическая уязвимость в Exchange использовалась как zero-day Компания Microsoft обновила бюллетень безопасности, посвященный уязвимости CVE-2024-21410, исправленной ранее в этом месяце. Как сообщается теперь, критический баг в Exchange Server использовался хакерами в качестве уязвимости нулевого дня еще до выхода патча.
В приложении iSharing для Android обнаружена критическая уязвимость Разработчики приложения информацию об уязвимости проигнорировали.
Основы Rust: синтаксис и структуры данных Привет, Хабр! Rust - это язык, который становится плюс-минус более популярным в последние годы благодаря своей высокой производительности и безопасности. Он был разработан Mozilla и сообществом разработчиков с целью предоставить инструмент для системного программирования, ко...
«Джентльмены удачи» читают 17 приказ ФСТЭК России Неумолимо приближаются новогодние праздники с тазиками оливье, бесконечными бутербродами и марокканскими мандаринами. Люди вокруг спешат за подарками, а пришедшие по рабочим задачам коллеги и фитнес-тренеры, которые весь год из одного большого кубика живота своих подопе...
GitLub патчит критическую ошибку, допускающую запись произвольных файлов Компания GitLab выпустила исправления для устранения критической ошибки в Community Edition (CE) и Enterprise Edition (EE). Уязвимость может использоваться для записи произвольных файлов при создании рабочего пространства.
DataOps Platform: из чего состоит наша платформа для работы с данными и как мы её создавали Привет, Хабр! Меня зовут Наджим Мохаммад, я руководитель продукта МТС. Вместе с моим коллегой, руководителем направления разработки платформы МТС Big Data Максимом Бартеневым сегодня мы поговорим об эволюции платформ данных и нюансах работы платформы МТС для работы с д...
Угроза LogoFAIL: новая атака угрожает компьютерам под управлением Windows и Linux Атака, получившая название «LogoFAIL», наводит страх на пользователей Windows и Linux, используя критическую уязвимость в прошивке UEFI. Эта коварная атака обходит меры безопасности, переписывая загрузочный «логотип» на этапе среды исполнения драйверов (DXE), оставляя П...
Анализ безопасности Wi-Fi: атаки на WPA2-Personal / Enterprise и методология взлома WPA3 Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации. Читать далее
CVE-2024-1709 и массовая атака на медицинские учреждения США В данной статье рассказывается о 0-day уязвимости CVE-2024-1709, позволяющей обойти аутентификацию и получить неограниченный доступ к серверам и машинам, которые управляются с помощью ПО удаленного рабочего стола ConnectWise ScreenConnect. Данное ПО повсеместно используется ...
[recovery mode] Отчаяние, отказы и академический отпуск: как я за год вернул уверенность и стал Android-разработчиком Привет всем! Меня зовут Фаридун. В своём пути в мир разработки я неоднократно сталкивался с моментами, когда отчаяние казалось единственным компаньоном, а отказы накладывались печатью на каждом шаге.В своей первой статье на Хабре я хочу поделиться своей историей становления ...
Сотням тысяч серверов Exim угрожает критический баг Специалисты Trend Micro Zero Day Initiative предупредили сразу о нескольких уязвимостях агенте пересылки сообщений Exim. Самая серьезная из этих проблем затрагивает все версии Exim и позволяет добиться удаленного выполнения кода без аутентификации.
Построение пайплайна обработки данных в реальном времени с использованием Python Привет, Хабр!Обработка данных в реальном времени стала важной составной частью современного мира. Бизнес, исследователи, разработчики и многие другие специалисты сталкиваются с необходимостью обрабатывать потоки данных в реальном времени, чтобы принимать решения быстрее и б...
Как работать с нейросетью Midjourney, чтобы получать желаемый результат Привет, Хабр! Меня зовут Алина, я дизайнер в Friflex. Отвечаю за красоту мобильных и веб-интерфейсов и делаю иллюстрации для медиаканалов компании. Midjourney — одна из самых известных моделей искусственного интеллекта в области создания изображений. С её помощью можно ...
[Перевод] 10 рекомендаций по VS Code для повышения продуктивности А вы знали, что 73% разработчиков по всему миру используют один редактор кода? Так и есть. Результаты проведённого в 2023 году опроса Stack Overflow показали, что VS Code является самой популярной средой разработки. Visual Studio Code остаётся наиболее предпочтительной IDE...
Критическая уязвимость в Shim представляет угрозу для Linux-дистрибутивов В загрузчике Shim нашли критическую уязвимость, которая позволяла злоумышленникам выполнить код и получить контроль над целевой системой до загрузки ядра, обойдя существующие защитные механизмы.
Дженерики в go Привет, Хабр!Дженерики (или generics) существуют во многих языках, таких как Java, C#, и Rust, но для Go это относительно новая фича, введенная в версии 1.18 в 2022 году.До версии 1.18 Go был известен своим строгим и простым подходом к типизации. Однако, с ростом сообщества ...
Эксперты «Лаборатории Касперского» обнаружили уязвимость процессоров в iPhone Россиянам рассказали о критической уязвимости вех процессоров iPhone
Ландшафт угроз информационной безопасности последних лет. Часть 2 В прошлой статье мы поговорили тренды и эволюцию среди вредоносного ПО и программ-вымогателей. В этот раз хотелось бы рассмотреть оставшийся спектр наиболее распространенных и интересных угроз последних лет. Начнем мы с моей любимой социалочки, которая будет актуальна всегда...
<dl> или <table>? Исследуем подходы к представлению пар ключ-значение в HTML Казалось бы, простая задача - сверстать список пар ключ-значение. Бери <div> и делай. Но что, если захотелось подушнить? Этим и займёмся в статье...Рассмотрим три подхода к решению этой задачи: <div>, <dl>, <dt>, и <dd>, и <table>. Обсудим...
Microsoft исправляет две критические уязвимости в Hyper-V Эксплуатация обеих уязвимостей маловероятна, но исправления важны, заявила компания.
Специалисты Positive Technologies обнаружили уязвимости в контроллерах ABB Компания ABB поблагодарила специалистов Positive Technologies за обнаружение двух уязвимостей в контроллерах Freelance AC 900F и AC 700F. Эти устройства широко применяются в металлургии, химической промышленности и в других сферах.
В России намерены блокировать VPN-сервисы, которые предоставляют угрозу безопасности интернета Определять угрозу будет экспертная комиссия.
Рекомендации по разработке баз данных и клиентских приложений Привет, Хабр! Представляю Вашему вниманию небольшой список рекомендаций по разработке и сопровождению баз данных, надеюсь будет полезным! Читать далее
Хакеры атакуют свежую RCE-уязвимость в Atlassian Confluence ИБ-специалисты сообщают о массовых попытках эксплуатации RCE-уязвимости CVE-2023-22527, которая была раскрыта на прошлой неделе и затрагивает версии Atlassian Confluence, выпущенные до 5 декабря 2023 года, а также некоторые версии, поддержка которых уже прекращена.
Миллиарды Android-смартфонов в опасности. Microsoft нашла серьезную уязвимость Компания Microsoft обнаружила критически важную брешь в системе безопасности, потенциально затрагивающую множество приложений для Android. Эта уязвимость, получившая название «Грязный поток” (Dirty Stream), представляет собой серьезную угрозу, которая может дать кому-т...
[Перевод] Как я сделал переполнение кучи в curl В связи с выпуском curl 8.4.0 мы публикуем рекомендации по безопасности и все подробности о CVE-2023-38545. Эта проблема является самой серьезной проблемой безопасности, обнаруженной в curl за долгое время. Для неё установили ВЫСОКИЙ приоритет.Хотя рекомендации содержат все ...
Большой недостаток в системе безопасности: уязвимость серверов Microsoft подвергла сети атакам Исследователи безопасности из компании Akamai обнаружили критический недостаток в DHCP-серверах Microsoft, который может позволить злоумышленникам проводить спуфинг-атаки, не требуя никаких учетных данных.
Где искать работу Go разработчику в 2024 году В поисках работы и фриланс-проектов для разработчиков Golang в 2024 году могут возникнуть некоторые сложности, особенно для новичков. Часто они сталкиваются с дилеммой: не знают, с чего начать, и чувствуют, что устроиться на работу в этой сфере практически невозможно. О...
[recovery mode] Как вести несколько проектов и не сойти с ума. Очередная статья про тайм-менеджмент Привет! Меня зовут София, я маркетолог проекта Fitil, в блоге которого публикую эту статью. Fitil — это сообщество для знакомств и общения. Мы стартап, а значит, задач очень много.Кроме Fitil я веду ещё два проекта как маркетолог: занимаюсь позиционированием, запусками ...
Шпаргалка по безопасной сборке Docker-образов Каждый контейнер Docker основан на образе, который обеспечивает базу для всего, что вы когда-либо будете развертывать и запускать. Если злоумышленник как-то повлияет на сборку образа и изменит Dockerfile, то сможет совершить навредить вашим системам. Например, добавить вред...
Безопасность на уровне кода: как эту задачу помогает решать облако Ошибки на уровне кода — бомба замедленного действия с точки зрения безопасности. Даже небольшие факапы, дыры и «костыли» могут обернуться большой проблемой и привести к реализации различных киберугроз. В этой статье расскажем о распространённых угрозах для приложений, пр...
Уязвимость XXE в .NET 6 SDK: с чем боролись… Современный .NET даёт разработчикам защиту от XXE из коробки: парсишь себе XML и не забиваешь голову всякими DTD, сущностями и связанной с ними безопасностью. Разве не прекрасно? Однако жизнь — штука с иронией... Под катом — разбор по кусочкам XXE из .NET 6 SDK: код, причин...
Attaque a-la russe: атака с помощью промт-инъекций русскоязычных моделей семейства Saiga2 Насколько хорошо защищены открытые большие языковые модели от генерации вредоносного контента? Рассмотрим механизмы атаки с промт-инъекцией на большие языковые модели, а так же рекомендации по защите от них. Читать далее
Upgradeable smart contracts. 5 способов обновить код смарт-контрактов на все случаи жизни Рассказываем, зачем нужны обновляемые смарт-контракты, какие методы обновления существуют, а также делимся примерами кода реализации. Это может оказаться must have технологией на старте проекта, которая поможет спасти ваш код от уязвимостей и критических ошибок. Читать далее
Криптографические пруфы zkSNARKs для масштабирования и безопасности Привет, Хабр! Меня зовут Сергей Прилуцкий, я руковожу отделом исследований компании MixBytes. Мы занимаемся аудитами безопасности смарт-контрактов и исследованиями в области блокчейн-технологий. В числе прочего занимаемся и направлением zero-knowledge. Эта статья подготовлен...
Интернационализация от i до n: как мы переводим интерфейсы в Фантехе Яндекса Привет! Меня зовут Александр Поляков, я руководитель команды i18n-разработки в Фантехе Яндекса. Мы помогаем сервисам компании выходить на международные рынки, а именно решаем задачи, связанные с интернационализацией и локализацией интерфейсов.В этом посте расскажу:• какие им...
5 стадий принятия необходимости изучения «плана запроса» или почему может долго выполняться запрос Всем привет! Меня зовут Виктор, я работаю в Компании БФТ-Холдинг руководителем группы разработки. В этой статье разберем подходы и рекомендации по выявлению и устранению проблем с производительностью в системе базы данных Greenplum. Материал будет особенно полезен начинающим...
Обзор K8s LAN Party — сборника задач по поиску уязвимостей в кластере Kubernetes прямо в браузере Я продолжаю тестировать инструменты, которые помогают научиться защищать кластеры Kubernetes. На этот раз взглянем на продукт от разработчиков из компании Wiz Research — Kubernetes LAN Party, челлендж по выполнению CTF-сценариев. Выход инструмента был приурочен к прошедшей в...
Байки с завода: как IT-специалисту на производстве живётся У нас в индустрии есть распространённый мем: мол, есть стандартный офисный IT, а есть тяжёлый диджитал. И «тяжёлый» — это не про нагрузку, а про общий сеттинг.Сибирь, дыхание зимы, посреди густой тайги завод, а внутри – металл теплообменников, экструдеров и печей пирол...
Как начать карьеру в инфобезопасности Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест». В этой сфере я уже около шести лет. Сейчас занимаюсь тестированием безопасности приложений, архитектурой и внедр...
В популярном протоколе квантового шифрования Kyber найдены 2 критические уязвимости Похоже, эра безопасного квантового шифрования может никогда не наступить
Security Week 2406: множество уязвимостей в VPN-сервере Ivanti 1 февраля компания Ivanti объявила о закрытии нескольких уязвимостей в продуктах Ivanti Connect Secure и Ivanti Policy Secure. Это была бы рутинная новость, если бы не сложности, с которыми столкнулся разработчик этого решения для удаленного доступа к корпоративным ресурсам....
FineBI под микроскопом: Обзор новых функций и улучшений в Q1 2024 Хабр, привет! Меня зовут Александр Ларин, я являюсь руководителем центра технической поддержки и обучения в GlowByte, а также лидером самого большого в России сообщества FineBI.Сегодня в нашем фокусе – обновления, которые не оставят равнодушными ни одного бизнес-аналити...
Хакеры провели «самую сложную» атаку на iPhone в истории: «Операция Триангуляция» Исследователи безопасности из «Лаборатории Касперского» обнаружили сложную цепочку атак на iPhone, получившую название «Операция Триангуляция», в которой задействованы четыре уязвимости нулевого дня для достижения эксплойта в iMessage. По их словам, это «самая сложная» атака...
Сам себе ментор: что ещё делать, кроме работы, чтобы подрасти Привет, меня зовут Кирилл Павлик. Я ведущий JS-разработчик в Альфа-Банке, «25 лет» в вебе, но 4 года реального опыта. И переходя в этот ваш айти, понял, что проявление некоторых активностей, которые настолько очевидны и всем понятны, что их даже не пишут в должностных инстру...
Как пользоваться Claude: знакомство с главным конкурентом ChatGPT и базовые правила его использования В последние годы мы стали свидетелями стремительного развития и роста популярности чат-ботов на базе искусственного интеллекта. Одним из наиболее известных и широко используемых чат-ботов стал ChatGPT от компании OpenAI, который продемонстрировал впечатляющие возможности в о...
Мегагайд: культура работы с Git Привет всем! Меня зовут Юля, я фронтенд-разработчик, наставник на курсах по JS и React и организатор профессионального сообщества Tbilisi JS. В Практикуме я помогаю студентам на курсе «React-разработчик».За время работы в разных компаниях и над разными проектами я поняла, чт...
[Перевод] 10 самых распространенных проблем при линтинге Dockerfile'ов Весной 2023 года разработчики Depot добавили в свой сервис возможность проверять Dockerfile'ы при каждой сборке.В этой статье они делятся десятью наиболее распространенными проблемами при линтинге Dockerfile'ов, разбирают каждую проблему и объясняют, почему она возникает и к...
Что я понял на первой работе программистом / Мои советы Junior-разработчикам Всем привет! Меня зовут Максим. Я backend-разработчик, который не так давно устроился на свою первую работу. В этой статье хочу поделиться своими наблюдениями/советами/рекомендациями для начинающих программистов. Ведь, как известно, если опыт не превращён в текст, он даже не...
[Перевод] Создание сквозного конвейера MLOps с помощью Open-source инструментов MLOps с открытым исходным кодом: TL;DR Эта статья служит целенаправленным руководством для специалистов по исследованию данных и инженеров ML, которые хотят перейти от экспериментального машинного обучения к готовым к производству конвейерам MLOps. Мы выявим ограничения трад...
Топ некритичных ошибок в инфраструктуре, приводящих к критичным проблемам Допустить незначительную ошибку в конфигурации — очень просто. Однако, череда таких некритических уязвимостей может привести к компрометации системы. Поэтому, даже если других дел тоже очень много, нужно уметь не допускать таких ошибок, то есть изначально настраивать инфраст...
database/sql: плохой, хороший, злой Многие Golang-разработчики пробовали работать с БД в Go, и у каждого — свои боли. В этой статье разберём библиотеку database/sql как безотносительно конкретной СУБД, так и применительно к YDB. Рассмотрим трудности эксплуатации при использовании драйвера database/sql на...
Биткоин-надписи несут угрозу кибербезопасности Национальная база данных уязвимостей США (NVD) признала, что токены стандарта BRC-20 используют уязвимость в коде Bitcoin Core и засоряют блокчейн первой криптовалюты
Какие сервисы VPN заблокируют в РФ. Разъяснение от Минцифры В России будут подвергнуты блокировке конкретные VPN-сервисы, которые экспертная комиссия определит как потенциально угрожающие безопасности функционирования интернета. Эту информацию распространило Министерство цифрового развития, связи и массовых коммуникаций, как ука...
WinRAR CVE-2023-38831 10 июля 2023 года при исследовании распространения троянского ПО под названием DarkMe, специалистами из Group-IB была обнаружена раннее неизвестная уязвимость в WinRAR, которая касалась обработки zip-архивов. Данная уязвимость получила идентификатор CVE-2023-38831. С помощью...
Миллионы умных зубных щёток стали оружием хакеров в масштабной DDoS-атаки Три миллиона умных зубных щёток оказались заражены хакерами и использованы для масштабной DDoS-атаки на веб-сайт швейцарской компании, сообщает газета Aargauer Zeitung, ссылаясь на недавний отчёт. Сайт фирмы рухнул в результате атаки, которая вызвала потери для компании...
Как Wazuh помог наладить круглосуточный мониторинг и реагирование на ИБ-события Представим ситуацию. Вы хотите выстроить процесс реагирования на ИБ‑инциденты в компании. Для этого нужно вовремя фиксировать атаки на вашу инфраструктуру. Вы решаете собирать логи и мониторить все, до чего можете дотянуться: хосты, межсетевые экраны...
В чипах Apple Silicon обнаружена критическая уязвимость Специалисты обнаружили критическую уязвимость во всех процессорах Apple Silicon. Причем быстро исправить ее с помощью программного апдейта не получится. Уязвимость потенциально может использоваться хакерами для доступа к зашифрованной информации.Читать дальше... ProstoMAC.c...
Можно ли взломать любой смартфон и сколько Google платит за найденные ошибки Если вы тщательно следите за тем, чтобы все ваши устройства были максимально защищены, вы можете предположить, что с такими средствами, как двухфакторная аутентификация, вам ничего не страшно. В наши дни существует несколько способов защиты конфиденциальной информации, и эт...
Microsoft готова платить до $15 тыс за поиск уязвимостей в своих ИИ-сервисах Microsoft расширяет свою программу поиска багов, включив в нее поисковые инструменты Bing с искусственным интеллектом, и предлагает вознаграждение до 15 тыс долларов специалистам по безопасности, обнаружившим уязвимости в сервисах.
HTB RegistryTwo. Эксплуатируем уязвимости Java RMI для полного захвата хоста Для подписчиковВ этом райтапе я покажу эксплуатацию нескольких уязвимостей в Java RMI, но сначала проведем атаку на Docker Registry, которая позволит нам получить доступ к файлам сайта.
Для критической уязвимости в WS_FTP Server уже появился эксплоит На прошлой неделе компания Progress Software, разработчик платформы для обмена файлами MOVEit Transfer, которая недавно использовалась в массовых атаках, предупредила клиентов о новой опасной уязвимости в своем продукте WS_FTP Server. Так как для этого бага уже появился PoC-...
DevSecOps: Сканирование образов при отправке в Amazon ECR Все больше компаний стремятся интегрировать безопасность в каждый этап разработки программного обеспечения. В контексте быстро развивающегося мира контейнеризации и облачных технологий, DevSecOps становится неотъемлемой частью создания безопасных и надежных приложений.Одним ...
Как выжить на первом испытательном сроке в IT и не только Всем привет! Меня зовут Артём Харченков, и я руководитель подразделения разработки программных продуктов в компании Crosstech Solutions Group. Сегодня я расскажу, как успешно пройти свой первый испытательный срок, что нужно делать обязательно и чего лучше не делать. Для...
Qnap патчит две критические уязвимости Представители Qnap предупреждают о двух критических уязвимостях, связанных с инъекциями команд, которые затрагивают различные версии операционной системы QTS и приложений на NAS компании.
Критический баг в Atlassian Confluence приводит к потере данных Компания Atlassian предупредила администраторов о критической уязвимости в Confluence. Эксплуатация этой проблемы может привести к потере данных, поэтому разработчики призывают установить патчи как можно быстрее.
Как защитить бизнес при внедрении LLM (часть 1) Новый мир с LLM — прекрасен! Нам, инженерам, он открывает много перспектив. А тем, кто его незаконно использует — предоставляет новые страшные инструменты. Как же защитить свой бизнес от угроз нейросетей?Меня зовут Евгений Кокуйкин и я — руководитель AI продуктов компании Ra...
Google закрыла критическую уязвимость Android с возможностью дистанционного взлома аппаратов Обновление за декабрь закрыло 85 уязвимостей Android
Google закрыла критическую уязвимость Android с возможностью дистанционного взлома аппаратов Обновление за декабрь закрыло 85 уязвимостей Android
В плагине WordPress «MW WP Form» обнаружена критическая уязвимость безопасности Злоумышленники могут выполнить код удаленно.
Выстраиваем процессы команд разработки: кейс и практические рекомендации Работа команды изначально строится вокруг определенных правил и паттернов. Но при увеличении пула задач, их сложности и количества задействованных в проектах команд все нередко начинает скатываться к хаосу, при котором специалисты на местах перестают понимать, что и зачем де...
Выстраиваем процессы команд разработки: кейс и практические рекомендации Работа команды изначально строится вокруг определенных правил и паттернов. Но при увеличении пула задач, их сложности и количества задействованных в проектах команд все нередко начинает скатываться к хаосу, при котором специалисты на местах перестают понимать, что и зачем де...
Топовые подходы к решению алгоритмических задач Привет! Меня зовут Дмитрий Королёв, я бэкенд-разработчик в Авито. В этой статье я расскажу про ключевые аспекты и концепции работы с наиболее популярными алгоритмами и структурами данных. Это поможет и в реальных проектах, и чтобы глубже понять алгоритмические принципы. Стат...
BadUSB: Эксперименты с Arduino и Flipper Zero Часть 1. ArduinoЕсли верить Википедии, BadUSB — класс хакерских атак, основанный на уязвимости USB устройств. Благодаря отсутствию защиты от перепрошивки в некоторых USB‑устройствах, злоумышленник может видоизменить или полностью заменить оригинальну...
Чем занимаются бизнес-аналитики и как их нанимают: рассказывают работодатели и специалисты Бизнес-аналитик работает на стыке бизнеса и IT — помогает крупным компаниям разобраться в процессах и улучшить их, выступая звеном между заказчиком и командой разработки. Более точное определение дать сложно, потому что задачи, навыки и инструменты бизнес-аналитика в разных ...
Это не игрушки. Game vulnerabilities как угроза для работодателя Баги и уязвимости в компьютерных играх встречаются часто, особенно если они вышли давно. И это логично: разработчикам выгоднее вкладываться в новые проекты. В итоге любимые игры постепенно превращаются в плацдарм для хакинга. Под прицел попадают все: сами разработчики, польз...
Как мы ускорили Golang-тесты на CI Привет, Хабр
Как защитить бизнес при внедрении LLM (часть 2) Новый мир с LLM — прекрасен! Нам, инженерам, он открывает много перспектив. А тем, кто его незаконно использует — предоставляет новые страшные инструменты. Как же защитить свой бизнес от угроз нейросетей?Меня зовут Евгений Кокуйкин и я — руководитель AI продуктов компании Ra...
О лени в обучении Меня зовут Вероника, я преподаю английский и часто сталкиваюсь с проблемой лени своих студентов. Сейчас расскажу. Читать далее
Названы самые «интересные» компьютерные уязвимости за февраль 2024 года Февраль 2024 года был богат на уязвимости, затронувшие множество популярных продуктов и систем. Некоторые из наиболее значимых попытался кратко описать и перечислить пользователь Хабра под ником TomHunter.
В «Операции Триангуляция» использовались пять разных уязвимостей На конференции Security Analyst Summit аналитики «Лаборатории Касперского» поделились техническими подробностями и результатами многомесячного анализа, позволившего полностью раскрыть цепочку атаки кампании «Операция Триангуляция» (Operation Triangulation). В атаках использ...
В Москве создано экспертное сообщество для изучения долголетия Столичный департамент труда и социальной защиты населения сообщил о создании экспертного сообщества в рамках проекта "Московское долголетие". Это сообщество объединяет ученых различных областей, включая медицину, экономику, социологию и государственное управление, с целью ра...
Плагины IDE — простой способ войти в безопасную разработку. Без регистрации и СМС Разработчики используют плагины каждый день, и их функциональность призвана упростить разработку, например, автоматически проверять проставление всех специальных символов (таких как «;», «:») или соблюдение синтаксиса. Они буквально были созданы для того, чтобы разработчики ...
Конвейерный апокалипсис отменяется По конвейеру в Цехе горячего проката едут стальные рулоны весом от 10 до 36 тонн. Только так их можно транспортировать из цеха для дальнейшей обработки или отгрузки. Процесс такой: горячекатаный рулон сматывается, затем снимателем убирается с барабана моталки и передается на...
Обзор Simulator — платформы для обучения инженеров безопасности Kubernetes с помощью CTF-сценариев Ранее мы делали обзор инструментов для оценки безопасности кластера Kubernetes. Но что, если нам нужно обучить инженеров основам безопасности Kubernetes на реальных примерах и автоматизировать этот процесс? Недавно компания ControlPlane, специализирующаяся на Cloud Native-ре...
Как введение Security Buddy повысило на 25% киберграмотность пользователей Всем привет! Меня зовут Джамил Меджидов, и я лидирую внутреннее направление Security Awareness в МТС RED. Что бы вы сказали, если бы компании удалось снизить вероятность возникновения киберинцидентов на 70%? Мы постоянно работаем над тем, чтобы минимизировать хакерам векторы...
[Перевод] Повышение эффективности SQL-запросов: советы и рекомендации В статье представлен ряд советов и методов, которые помогут читателям оценить производительность своих SQL-запросов и улучшить ее при необходимости. Здесь будут рассмотрены некоторые ключевые аспекты оптимизации запросов для SQL Server, чтобы помочь пользователям сделать их ...
[recovery mode] 50 вопросов для опроса удовлетворённости клиентов, для вашего вдохновения Обратная связь от клиентов предоставляет ценные данные, которые помогают компаниям улучшать свои продукты и услуги, оптимизировать взаимодействие с клиентами и, в конечном итоге, повышать их лояльность и удовлетворенность.В этой статье мы сосредоточим внимание на том, как эф...
Уязвимость в популярном WordPress-плагине Ultimate Member ведет к утечке данных Исследователи предупредили о критической уязвимости (SQL-инъекция) в популярном плагине для WordPress, который насчитывает более 200 000 установок. Проблема может использоваться для извлечения конфиденциальных данных.
Как в C# быстро извлечь подстроку Извлечение подстроки. Казалось бы, что тут может быть сложного? В любом современном языке программирования это можно сделать через функцию substring или через slicing. За время работы C# разработчиком я повидал разный код, в том числе разные способы извлечения подстроки. В э...
Как автоматизировать заполнение changelog через GitHub Action Привет, Хабр! Меня зовут Юрий Петров, я автор Youtube-канала «Мобильный разработчик» и Flutter Tech Lead в компании Friflex. Мы разрабатываем мобильные приложения для бизнеса и специализируемся на Flutter. Разработчики используют GitHub, чтобы писать и хранить свои прое...
Проведение фишинг-учений с использованием вредоносных ссылок и HTML-приложений. Часть 1 Многим угрозам можно противопоставить технические средства защиты информации (СЗИ): как базовые, так и системные решения. Но сколько бы ни стоило СЗИ, и сколько бы ни знал о устройстве инфраструктуры специалист, главной головной болью все равно остается человеческий фактор. ...
Microsoft предупреждает об атаках на 0-day баг в Confluence Компания Microsoft предупреждает, что недавно обнаруженную критическую уязвимость в Atlassian Confluence Data Center and Server с середины сентября эксплуатируют «правительственные» хакеры из китайской группировки Storm-0062 (она же DarkShadow и Oro0lxy).
К2 Кибербезопасность выходит на рынок коммерческих SOC в партнерстве с «Лабораторией Касперского» К2 Кибербезопасность запускает Центр мониторинга информационной безопасности (Security Operations Center, SOC). Он объединит экспертизу К2 Кибербезопасность в области защиты информации и передовые технологии “Лаборатории Касперского”. Используя платформу Kaspersky Unif...
Apple Vision Pro: обзор платформы и создание первого мобильного приложения Привет! Меня зовут Андрей Груненков, я iOS - разработчик в агентстве InstaDev. Делаем мобильные приложения, которые помогают бизнесу расти. В этой статье я расскажу о том, как разработать первое мобильное приложение для платформы Apple Vision Pro.Для начала надо сказать пару...
Прививка от ошибки выбора: что спросить работодателя «на берегу» Меня зовут Настя, я руководитель службы инструментов репозитория в Yandex Infrastructure. Больше 15 лет я проработала в IT-индустрии: сначала как разработчик, потом тимлид, техлид, менеджер проектов и руководитель службы. За это время несколько сотен человек рассказали мне о...
Как подготовиться к собеседованию по System Design мобильному разработчику В последнее время рынок труда в ИТ-индустрии переходит от рынка соискателя к рынку работодателя и компании все чаще заинтересованы в отборе максимально опытного специалиста, удовлетворяющего всем требованиям. Скорее всего вы слышали о недавних сокращениях в BigTech-компаниях...
Google исправила три опасные уязвимости Chrome Разработчики Google Chrome выпустили патч, устраняющий новую 0-day уязвимость
Security Week 2415: новые уязвимости в продуктах Ivanti 2 апреля компания Ivanti сообщила о закрытии четырех новых уязвимостей в сетевых шлюзах Ivanti Connect Secure и Ivanti Policy Secure. Из них наибольшую опасность представляет проблема, получившая идентификатор CVE-2024-21894. Ошибка в компоненте IPSec при некоторых условиях ...
Безопасность CI/CD. Часть 2. Давайте рассмотрим как защитить ваши пайплайны Приветствую, читатели! Меня зовут Моисеев Андрей, в ИБэшечке я уже в совокупности более 5 лет, а сейчас работаю DevSecOps в компании Bimeister. За время своей рабочей деятельности у меня получилось сформулировать некоторые полезные паттерны безопасности, которыми я хот...
FineBI: Обработка данных для начинающих пользователей Хабр, привет!На связи команда Business Intelligence GlowByte. Да-да, те самые неугомонные, которые создали самое крупное русскоязычное сообщество FineBI, проводят обучения, собирают дайджесты и ежегодно организуют масштабные конференции. Меня зовут Александр, я руководи...
[Перевод] Что ты делаешь для безопасности Active Directory? (часть 1) Привет! Если ты не понимаешь с чего начать защищать Active Directory я привожу краткий перевод публикации "The Complete Active Directory Security Handbook. Exploitation, Detection, and Mitigation Strategies" от Picus Security. На своем опыте могу сказать, что восстановление ...
После прочтения применить, или Чистый код на практике Начинающие разработчики часто встречают на ревью пулл-реквестов очень дотошных ревьюеров, дающих кучу комментариев по теме чистоте кода. Меня зовут Мария Кондаурова, я фронтенд-разработчик в департаменте вычислительной биологии в BIOCAD. И у меня есть свои мысли на тему чист...
Как ZKP и ZK-Rollups помогают в решении проблемы масштабирования: обзор блокчейна zkSync Привет, Хабр! Меня зовут Рома и я Solidity-разработчик. Вместе с коллегами мы создаем базу знаний по тематике блокчейна и web3-разработке. Меня заинтересовал блокчейн zkSync, т.к. он выделяется среди других Layer 2 решений, но сначала хочу немного рассказать, в чем суть проб...
[Перевод] Флаттер 3.18 | бета-релиз | Топ-8 фичей Привет! Меня зовут Саша Ворожищев, я руководитель направления Flutter/iOS в AGIMA. У одного из организаторов митапов Flutter Indore вышла хорошая статья — решили перевести ее для нашей команды и заодно для всех желающих. Дальше его текст с небольшими сокращениями, а после — ...
Голландский хакер Алкемаде нашел критическую уязвимость в macOS Через уязвимость можно обойти меры безопасности операционной системы.
Качественные рекомендации в e-commerce — компоненты основных алгоритмов В первой статье цикла мы рассказали про свойства алгоритмов качественных рекомендаций, которые необходимы для практического использования алгоритма. Во второй статье мы рассмотрели компоненты алгоритма «Сопутствующие товары». Но система рекомендаций для интернет-магазина сос...
Разработчики компании «Фродекс» представили новую систему Vulns.io Enterprise VM Vulns.io Enterprise VM – это новая система управления уязвимостями активов IT-инфраструктуры в автоматическом режиме. Новинка является решением для мониторинга защищенности крупных инфраструктур, превышающих 10 000 активов, использующим оркестратор Kubernetes. Vulns.io Enter...
Мифы о работе тестировщиков, на которые всегда один ответ: «Ага, конечно. Ты полностью прав» Привет! Меня зовут Кирилл, я работаю тестировщиком в R‑Style Softlab. Ни для кого не секрет, что работа тестировщика в области информационных технологий окутана мифами и непониманием со стороны обывателей. Я вспомнил несколько самых распространенных ...
Достивисты и SYN-флуд: как началась эпидемия DDoS С проблемой DDoS так или иначе сталкивался всякий бизнес, имеющий корпоративный сайт или предоставляющий своим клиентам веб-сервисы. Поэтому мы в CloudMTS предлагаем защиту онлайн-сервисов в разных локациях: в нашем облаке или в чужом, на вашей инфраструктуре или в другом да...
Создание шаблонов сайта в Joomla 4+ Последние статьи на Хабре о создании шаблонов для Joomla - 2015-2017 годов. В этой статье опытным разработчикам будет интересно посмотреть на отличия от предыдущих версий Joomla и, возможно, дополнить статью ценным советом. Тем же, кто чаще работал с другими движками статья ...
Hillstone Networks включена в обзорный отчет о решениях в области микросегментации Компания Hillstone Networks, ведущий поставщик систем кибербезопасности, включена в обзорный отчет о решениях по микросегментации Forrester за 2-й квартал 2024 года (Forrester Microsegmentation Solutions Landscape, Q2 2024). Отчет содержит обзор рынка микросегментации и пред...
Samsung Galaxy S23 взломали дважды за день. Xiaomi 13 Pro тоже не устоял В рамках мероприятия Pwn2Own по поиску уязвимостей в коммерческих продуктах, белым хакерам за день дважды удалось взломать Samsung Galaxy S23. А ведь этот смартфон считается одним из самых защищенных с точки зрения ПО. Как сообщает Zero Day Initiative, команда Sta...
Обзор книги «С++ 20 в деталях»: доступно, но не для джунов Привет, Хабр! Меня зовут Дмитрий Луцив, я работаю в СПбГУ на кафедре системного программирования, веду ряд IT-дисциплин на математико-механическом факультете в лабаратории компании YADRO и помогаю вузам актуализировать образовательные программы под задачи индустрии, как сотр...
Компрометация данных и её обнаружение Приветствую, Хабр! Меня зовут Никита Титаренко, я инженер в компании «Газинформсервис», студент СПбГУТ им. проф. М.А. Бонч-Бруевича. Мои профессиональные задачи связаны с созданием уязвимых сред и эксплуатацией данных уязвимостей на киберполигоне в компании. Информация...
JetBrains исправляет уязвимости в TeamCity Критическая уязвимость (CVE-2024-27198) в CI/CD-решении TeamCity позволяет удаленному неаутентифицированному злоумышленнику получить права администратора и контроль над сервером. Так как технические подробности о создании эксплоита уже доступны, администраторам рекомендуется...
Анализ безопасности приложений, использующих GraphQL API Привет! Меня зовут Даниил Савин. Летом я участвовал в программе стажировки для безопасников от Бастион и в процессе глубоко исследовал тему безопасности приложений, использующих GraphQL. Так появилась статья, из которой вы узнаете:— какие встроенные функции есть у GraphQL;—...
Positive Technologies перечислила трендовые уязвимости прошедшего марта Эксперты Positive Technologies отнесли к трендовым уязвимостям марта пять проблем, обнаруженных в продуктах Fortinet, JetBrains и Microsoft. К трендовым относятся уязвимости уже использовавшиеся в атаках и те, эксплуатация которых прогнозируется в ближайшее время.
Account Abstraction: что это такое и зачем нужно криптомиру Привет всем! Меня зовут Паша, я web3 разработчик в команде MetaLamp, мой основной стек – Solidity. Последнее время я часто сталкивался с задачами, требующими применения технологии Account Abstraction, поэтому я решил собрать базовые знания о ней в одну статью. Эта статья пом...
Как мы интегрировались в казахстанский маркетплейс или история о нюансах Привет! Меня зовут Ваня Крючков, я бэкенд-разработчик в Далее. Сегодня поделюсь опытом интеграции интернет-магазина Haier с маркетплейсом Kaspi. Это история о том, как, несмотря на ограничения и не самое удобное API, нам удалось интегрироваться с самым популярным маркетплейс...
Атака Kerberoasting без пароля пользователя — миф, или новая реальность? Всем привет!Меня зовут Алексей, я работаю в компании «Визум», и занимаюсь тестированием на проникновение, направления классические – инфраструктура и веб. Данную статью меня сподвиг написать мой друг и коллега – Михаил Л., совместно с которым мы и провели данный небольшой ре...
В Google Chrome 123 закрыли 12 уязвимостей безопасности Выпущена очередная версия самая популярного браузера в мире
Исследователи нашли критические уязвимости в виртуальных машинах VMware Компания VMware призывает всех клиентов немедленно исправить критические уязвимости в своих продуктах ESXi, Workstation, Fusion и Cloud Foundation. Эти уязвимости могут позволить злоумышленникам обойти меры безопасности и получить несанкционированный доступ к важным системам...
Выбираем подходящий PHP-фреймворк для проекта Привет, Хабр. Меня зовут Денис, я backend-разработчик в Пиробайте. Поговорим о самых распространенных PHP-фреймворках и о том, для каких проектов целесообразнее выбрать тот или иной вариант. Статистику распространения бэкенд-фреймворков на PHP я брал с портала JetBrains...
HTB Format. Проксируем запросы в Redis через мисконфиг Nginx Для подписчиковВ этом райтапе я покажу, как производить запись данных в Redis благодаря ошибке в настройках Nginx. Также мы проанализируем исходники веб‑приложений, чтобы найти ряд векторов для атаки: LFI, повышение роли пользователя и RCE. Для повышения привилегий будем экс...
QA под капотом. Тестируем и настраиваем 1С-Битрикс Привет, Хабр! Меня зовут Анастасия, я QA-специалист SimbirSoft и работаю на проектах с 1С-Битрикс. Не единожды я могла наблюдать, насколько эффективно бывает допустить QA-команду внутрь CMS, чтобы достичь бизнес-целей клиента. И на примере нескольких кейсов из разных проекто...
Опубликован эксплоит для GoAnywhere MFT, позволяющий создавать новых администраторов В сети появился эксплоит для критической уязвимости обхода аутентификации в GoAnywhere MFT (Managed File Transfer) компании Fortra. Уязвимость позволяет создавать новых пользователей-администраторов в неисправленных установках GoAnywhere MFT.
Метод главных компонент (PCA). Принцип работы и реализация с нуля на Python Метод главных компонент (Principal Component Analysis или же PCA) — алгоритм обучения без учителя, используемый для понижения размерности и выявления наиболее информативных признаков в данных. Его суть заключается в предположении о линейности отношений данных и их проекции н...
Разбираем 5 способов ускорить сайт: от простого к сложному Низкая скорость загрузки — это критично. По данным исследования Unbounce, долгое ожидание негативно влияет на пользователей: 45,4% из них с меньшей вероятностью совершат целевое действие, а 11,9% — вообще покинут сайт. Давайте обсудим несколько способов, которые помогут...
8 вопросов про CAE: точность, скорость, железо и импортозамещение Последние лет десять я так или иначе участвую в процессе продажи программного обеспечения для инженерных расчётов. Общаюсь с менеджерами по продажам и непосредственно с клиентами, и у меня накопился список вопросов, которые задают чаще всего и на которые зачастую не так легк...
Yandex Backend Tour: по городам России в поисках backend-разработчиков Программисты уровня middle+ не готовы тратить месяц жизни на длительные интервью. Поэтому Яндекс приглашает backend-специалистов пройти собеседование всего за неделю, без стресса и ожидания. В ходе Yandex Backend Tour с 13 по 17 ноября кандидаты смогут встретиться офлайн с р...
Умная рыбалка: как мы учим ML работать с фишингом Всем привет! Меня зовут Мария Анисимова, я программист-исследователь команды машинного обучения Антиспама Почты Mail.ru В этой статье я хочу рассказать вам о фишинге. И о том, как мы с ним боремся. Фишинговые атаки стали популярны с момента появления электронной п...
Лучшие инструменты с ChatGPT для ИБ-специалиста Любой инструмент можно использовать как во вред, так и во благо. Точно так же с нейросетью. Пока WormGPT помогает хакерам писать убедительные фишинговые письма на разных языках, ChatGPT уже давно и твёрдо стоит на страже кибербеза. Привет! Меня зовут Александр Быков, я ...
Как менять команды, не увольняясь из компании. Культура горизонтальной мобильности в Контуре Меня зовут Настя Миронова, я менеджер разработки в Контуре и уже около двух лет руковожу командой Рейнджеров – это разработчики без своего продукта, такие мобильные инженеры. Команда появилась в конце 2020 года, и за это время мы постоянно исследуем, чем можем помочь п...
Специалисты МТС RED помогли устранить уязвимость в инструменте разработки Microsoft WinDbg Команда перспективных исследований МТС RED ART компании МТС RED выявила уязвимость в популярном отладчике программного обеспечения Microsoft WinDbg. Эксперт МТС RED ART Александр Калинин обнаружил брешь в безопасности, которая может быть использована в ходе атак на разработч...
Ландшафт угроз информационной безопасности последних лет. Часть 1 Начнем с определения угроз. Кому-то из круга читателей это будет излишним, но пусть здесь полежит – вдруг пригодится. Итак, угроза – это всевозможные действия или события, которые могут вести к нарушениям информационной безопасности, что может привести к нанесению ущерба или...
Сравнение Open Source BI-платформ Привет, Habr!Меня зовут Остапенко Настя, я лидирую направление BI в компании Axenix. Год назад мы выпустили статью с большим обзором Российского рынка BI. На этот раз мы проведем сравнение трех популярных Open-Source BI-платформ: Apache Superset, Metabase и относительно ново...
Google: большинство 0-day уязвимостей связаны с поставщиками коммерческого шпионского ПО В Google заявили, что с поставщиками коммерческого шпионского ПО связано 80% уязвимостей нулевого дня, обнаруженных в 2023 году специалистами Google Threat Analysis Group (TAG). Эти уязвимости использовались для слежения за различными устройствами и их владельцами по всему м...
Критерии качества аналитиков Всем привет! Меня зовут Коля, и я аналитик. Помимо этого, я являюсь руководителем отдела анализа в компании. По роду службы меня занимает вопрос критериев оценки аналитиков – как понять, аналитик «хороший» или «плохой»? Надо повысить зарплату или уволить? Давайте разбираться...
На GitHub больше 1 000 уязвимых репозиториев: в чём суть угрозы и что с этим делать Привет, Хабр! На связи технический директор MTC RED Денис Макрушин и команда Advanced Research Team: Павел Гусь, Иван Бессарабов и Андрей Сомсиков.В январе разработчики GitLab нашли в своей системе две критические уязвимости. Из-за ошибок в верификации злоумышленники могут з...
Microsoft патчит 150 уязвимостей, включая две 0-day В рамках апрельского набора обновлений компания Microsoft выпустила исправления для 150 уязвимостей в своих продуктах: 67 из них позволяют добиться удаленного выполнения кода, но всего три получили статус критических. Также две проблемы представляли собой уязвимости нулевого...
В WordPress исправили уязвимость, угрожающую сайтам удаленным выполнением кода Разработчики WordPress выпустили патч для исправления RCE-уязвимости в своей CMS. Хотя под управлением WordPress работают около 43% всех сайтов в интернете, эта уязвимость вряд ли подвергнется массовым атакам, так как она затрагивает только новейшие версии WordPress, требует...
Найдена новая критическая уязвимость в Linux-системах на процессорах Intel Исследователи безопасности обнаружили критическую уязвимость, получившую название «Spectre v2», которая угрожает Linux-системам, работающим на современных процессорах Intel. Этот новый вариант использует спекулятивное выполнение, технику оптимизации производительности с прис...
Мультимодальный трансформер для content-based рекомендаций На первый взгляд может показаться, что ничего интересного в области RecSys не происходит и там всё давно решено: собираем взаимодействия пользователей и товаров, закидываем в какую-нибудь библиотеку, которая реализует коллаборативную фильтрацию, и рекомендации готовы. В то ж...
«К2 Кибербезопасность», Positive Technologies и Anti-Malware.ru представили совместное исследование о выполнении 187-ФЗ В Музее криптографии в Москве 12 октября 2023 года прошла презентация совместного исследования подразделения «К2 Кибербезопасность», компании Positive Technologies и портала Anti‑Malware.ru, посвящённого реализации 187-ФЗ «О безопасности критической ...
Linux-уязвимость Looney Tunables используется группой Kinsing в облачных атаках Операторы малвари Kinsing атакуют облачные среды с системами, уязвимыми перед свежей проблемой Looney Tunables. Напомним, что эта уязвимость отслеживается как CVE-2023-4911 и позволяет локальному злоумышленнику получить root-привилегии в системе.
Лояльные регуляторы и «всесильное» импортозамещение: ИБ-тенденции и проблемы глазами системного интегратора Информационная безопасность требует открытости — так что мы следуем заветам Керкгоффса и продолжаем приглашать представителей компаний, которые прежде не давали интервью, чтобы обсудить их взгляд на киберугрозы и тенденции в российском кибербезе.Сегодня в Блог Бастион заглян...
Материалы для подготовки к собеседованию на позицию Data Scientist. Часть 2: Классическое машинное обучение Привет! Меня зовут Артем. Я работаю Data Scientist'ом в компании МегаФон (платформа для безопасной монетизации данных OneFactor).В предыдущей статье я поделился материалами для подготовки к одному из самых волнительных (для многих) этапов - Live Coding.В этой ...
История об одном экзамене Всем привет! Меня зовут Полина, я специалист по тестированию в ITFB Group. Хотела бы поднять тему сдачи экзаменов для повышения квалификации, а конкретно — экзамена ISTQB (International Software Testing Qualifications Board). Эта международная организация разрабатывает ...
Начать год по-новому: курсы, которые помогут выстроить ИТ-базу — быстро и без «воды» Рассказываем, как провести длинные выходные с пользой, если вы учитесь на ИТ-специальности, готовитесь к собеседованию на джуниор-позицию или хотите сменить направление работы. Чтобы помочь начинающим специалистам, мы в beeline cloud сделали специальные «базовые» курсы — по ...
Apple устраняет уязвимость Bluetooth, используемую Flipper Zero Apple, возможно, исправила уязвимость в Bluetooth, которая позволяла устройствам Flipper Zero проводить DoS-атаки на iPhone и iPad, внедрив обновления безопасности в iOS 17.2.
Kotlin (не) против Java: особенности компиляции в байткод В 1995 году Sun Microsystems представили Java — объектно-ориентированный язык программирования, основное кредо которого можно сформулировать так: «Написано один раз, работает всегда». В 2011 году как улучшенную альтернативу Java компания JetBrains представила Kotlin — язык с...
VMWare исправляет критические уязвимости побега из песочницы в ESXi, Workstation и Fusion Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы в VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены да...
RCE-уязвимость в Outlook приводит к удаленному выполнению кода Компания Microsoft сообщает, что удаленные неаутентифицированные злоумышленники могут использовать критическую уязвимость в Outlook, которая позволяет обойти Office Protected View и добиться удаленного выполнения произвольного кода.
История одной уязвимости в Google Chrome Эта статья посвящена уязвимости, которую мне удалось обнаружить в браузере Google Chrome в конце прошлого года, а также рассказывает об истории её возникновения. Уязвимость существовала в течение продолжительного периода и была устранена 31 октября 2023 года. Компания Google...
9 советов, которые облегчат путь до мидла Для всех джунов в разработке и тех, кто хочет ими стать.Так бывает в жизни, что периодически каждый оказывается в роли джуна. Это не только про начало карьерного пути, но и про новые навыки: изучить новую технологию, язык программирования. А вдруг кто-нибудь из вас захочет р...
Методы оценки руководителей Руководители не только определяют стратегическое направление компании, но и вдохновляют свои команды на достижение общих целей. Именно поэтому оценка руководителей является важнейшим инструментом в руках современного HR-специалиста и топ-менеджмента. Она позволяет не только ...
Некоторые аспекты позитивной и негативной моделей платформы «Вебмониторэкс» Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших фокусных партнеров, а потом найти конкретную уязвимость, проэксплуатировать ее, п...
Исследование безопасности десктопных приложений на основе Electron Electron — фреймворк с открытым исходном кодом для создания кросс-платформенных десктопных приложений с помощью JavaScript, HTML и CSS. Это крутая технология, но с ней связаны многие ИБ-риски. В статье я разберу основы безопасной работы с этим фреймворком и расскажу: как а...
В чипах AMD и Intel обнаружили уязвимость в безопасности данных Ученые из ETH Zurich провели серию экспериментов, которые позволили выявить уязвимости в системах конфиденциального вычисления, разработанных ведущими производителями компьютерных чипов, такими как AMD и Intel. Оказалось, что хакерам удается получить доступ к данным, изолиро...
40 Полезных инструментов Дата Саентиста В мире науки о данных существует бесчисленное множество библиотек и инструментов, которые помогают ускорить работу и повысить эффективность анализа. Но что если я расскажу вам о некоторых полезных библиотеках, о которых вы скорее всего не слышали? В списке не будет всем изве...
Почему с каждой новой версией Windows от нее усиливается усталость Привет! Меня зовут Васьен и я пользуюсь Windows уже 24 года. Большие боссы из Майкрософт молодцы и соображают, что делают. Тут и удачные инвестиции, развитие самых различных направлений и стремление захватить как можно больше рынка (хотя куда уж больше?). Но мне, простому см...
Внимание хакеров привлекла уязвимость в библиотеке aiohttp Группировка хакеров ShadowSyndicate ведет активный поиск серверов, уязвимых из-за проблемы в библиотеке aiohttp для Python (CVE-2024-23334), что позволяет обходить защиту директорий. Несмотря на выпуск исправленной версии 3.9.2, многие системы остаются незащищенными, что уси...
Регулярные выражения в реальных задачах Привет, Хабр! Меня зовут Татьяна, я разработчик в Росбанке, и в этом посте я расскажу про регулярные выражения. По своему опыту могу сказать, что регулярки — это очень полезный инструмент. Я часто пользуюсь ими, решая задачи по обработке текста в базах данных. Вначале я оста...
На какие AI Coding Assistants стоит обратить внимание в 2024? Не является секретом, что LLM в настоящее время являются неотъемлемой частью нашего рабочего процесса. Особое внимание заслуживает AI Coding Assistant — искусственный интеллект, или просто программный помощник, который поддерживает разработчиков, помогая писать более качеств...
Уязвимостями в устройствах Pixel пользовались киберкриминалисты На этой неделе инженеры Google исправили 28 уязвимостей в Android и 25 ошибок в устройствах Pixel, включая две проблемы, которые уже подвергались эксплуатации. Сообщается, что 0-day уязвимости в Google Pixel использовались киберкриминалистами для разблокировки смартфонов без...
Диплом специалиста ИБ. Часть №3 — Портативное устройство SmartPulse Привет, Хабр!Вам знакомо такое чувство, когда сидишь, пишешь дипломную работу и думаешь "А не сделать ли умный пульсометр на ESP32-C3 с интегрированными механизмами защиты, динамическим пин-кодом и управлением через BLE с помощью собственного мобильного приложения для IoT-ус...
Microsoft патчит две 0-day в своих продуктах Февральские патчи Microsoft исправляют 73 уязвимости, включая две находящиеся под атаками проблемы нулевого дня. В частности, уязвимость CVE-2024-21412 уже используется хак-группой DarkCasino (она же Water Hydra) для атак на финансовых трейдеров.
Защита Android-парольных менеджеров под угрозой, исследователи предупреждают о новом методе взлома На Black Hat Europe 2023 представлена атака "AutoSpill", которая использует уязвимость в Android для тайного перехвата учетных данных из парольных менеджеров на устройствах Android.
Детектирование атак на контейнеры с помощью eBPF Привет, Хабр!Меня зовут Илья Зимин, я аналитик-исследователь угроз в компании R-Vision. Сегодня в статье я расскажу о возможностях обнаружения атак на контейнеризированные приложения с помощью такого инструмента, как eBPF, на примере приемов, связанных с побегом из Docker-ко...
Разбираемся, почему идея «Руководитель продукта как Mini-CEO» может быть вредной В свежем материале я погружаюсь в одно из самых вредных заблуждений в мире продуктового управления. Многие считают руководителя продукта мини-версией CEO, но насколько это соответствует действительности? На основании 15 лет консалтинга я постарался коротко проанализировать ...
В видеокартах Apple, AMD и Nvidia нашли новую уязвимость с быстрой утечкой данных Исследователи информационной безопасности из Университета Карнеги-Меллона в Питтсбурге, штат Пенсильвания, США, сообщили о новой уязвимости в графических процессорах. Уязвимость под названием LeftoverLocals затронула, в том числе таких вендоров, как Qualcomm, AMD, Apple, Nvi...
Подборка: навыки и инструменты начинающего Go-разработчика Привет! Меня зовут Александр Тетеркин, я Go-разработчик в VK. Раньше я писал на Python, потом перешел на Go — пишу на этом языке уже три года, а также являюсь наставником на курсе «Go-разработчик с нуля».Я знаю, что новички в любой сфере задаются вопросами о том, с чего нача...
Инструмент статического анализа Slither Всем привет! Я из команды по анализу уязвимостей распределенных систем Positive Technologies. Мы занимаемся исследованием безопасности в области блокчейн-технологий и хотим поделиться обзором фреймворка для статического анализа кода, написанного на Solidity, — Slither. Он ра...
Визуализируй это: как я обучаю джунов и ставлю задачи через диаграммы и графики Привет, меня зовут Сергей, я ведущий разработчик в DDoS-Guard и человек из мемов xkcd, который любит всё экстраполировать, истовый фанат визуализации данных. Диаграммы и графики решают кучу моих проблем с онбордингом джунов и объяснением задачи исполнителям. В этой стат...
Google выпустила платную версию Chrome – с нейросетями и усиленной защитой Компания Google на прошедшем мероприятии Google Cloud Next представил свою новую разработку – версию браузера Chrome для корпоративного использования. Несмотря на множество особенностей новинки, главное, что привлекло к ней широкое внимание со стороны пользователе...
[recovery mode] Безопасность android-приложений. Реверсим OWASP MASTG Crackme 1 Всем привет! Меня зовут Максим и я занимаюсь исследованиями источников данных. В своей работе периодически приходится сталкиваться с исследованием android-приложений. В этой статье я хочу показать базовые методы реверс-инжиниринга и исследования android-приложений на примере...
Федеральные ведомства США взломаны через уязвимость в Adobe ColdFusion В Агентстве по кибербезопасности и защите инфраструктуры США (CISA) сообщили, что хакеры активно используют критическую уязвимость в Adobe ColdFusion (CVE-2023-26360) для получения первоначального доступа к правительственным серверам.
Краткий обзор развития лямбда-выражений в C++11, C++14, C++17 и C++20 Привет, Хабр!Сегодня рассмотрим лямбда-выражения в C++ и их эволюцию с момента появления в стандарте C++11 и до последних обновлений в C++20.Лямбда-выражения в C++ — это анонимные функции, которые позволяют писать инлайн-выражения прямо там, где они используются. С их помощь...
Технологии групповой разработки в современной 1С-индустрии Привет, Хабр! Меня зовут Стас Ганиев, программист 1С, в этой статье я рассмотрю и сравню три самых популярных подхода к групповой разработке: хранилище конфигураций, конфигуратор + Git, EDT + Git. Читать далее
[recovery mode] Выбор технологического стека для digital-продукта в 2024 году Стек технологий для запуска нового продукта в компании обычно выбирается исходя из того, с чем команда работала до этого и сколько наработок уже имеется.Однако если вы свободны от необходимости использования какого-либо наследия (набираете новую команду или ищете актуальные ...
Исследование: GPT-4 может автономно написать критическую уязвимость нулевого дня Бесплатная версия GPT-3.5 на такое не способна.
Вестник Midjourney: обзор шестой версии модели Привет, Хабр! Меня зовут Владимир Туров, я разработчик в Selectel. В это статье расскажу, что нового в Midjourney v6 и почему она лучше предшественников. Разберем примеры генераций и протестируем новые функции. Читать дальше →
Security Week 2414: последствия взлома xz-utils История со взломом набора утилит xz-utils, несомненно, войдет в категорию легендарных событий в сфере информационной безопасности. Эта тщательно спланированная атака на цепочку поставок была в шаге от полного успеха. Могла быть реализована ситуация, когда десятки и сотни тыс...
«Фродекс» представит на форуме «Территория безопасности 2024» новую систему управления уязвимостями больших инфраструктур На предстоящем форуме «Территория безопасности 2024: все pro ИБ» одним из ведущих отечественных разработчиков новых технологий и продуктов кибербезопасности, компанией «Фродекс», будет презентована новая разработка — Vulns.io Enterprise VM.Посетители нынешней выставоч...
Почему digital-агентства не дают результата и прибыли? Речь пойдет о небольших региональных digital-агентствах и веб-студиях с оборотом 1-1,5 млн в месяц (без учета рекламных бюджетов, разумеется). Читать далее
Китайские хакеры два года эксплуатировали 0-day в VMware vCenter Server Специалисты Mandiant обнаружили, что китайская хак-группа использовала критическую уязвимость в VMware vCenter Server (CVE-2023-34048) в качестве 0-day как минимум с конца 2021 года.
Flutter и ГОСТ TLS Меня зовут Куприёв Андрей, я Flutter‑разработчик в команде Центра развития финансовых технологий (ЦРФТ) Россельхозбанка. В этой статье мы рассмотрим, как реализовать поддержку протокола ГОСТ TLS в приложениях, разработанных на Flutter.Flutter, с ...
На что стоит рассчитывать на первой работе: путь стажера (data engineer) Меня зовут Виктор и на данный момент я заканчиваю стажировку и перехожу на должность младшего инженера по работе с данными в компании Sapiens solutions. В этой статье я хочу поделиться опытом и дать несколько рекомендаций людям, которые только начинают свой путь в области ра...
АНБ поделилось десятью ошибками людей в области кибербезопасности Агентство национальной безопасности (АНБ) и Агентство по кибербезопасности и защите инфраструктуры (CISA) США выпустили совместный гайд по кибербезопасности, в котором названы десять наиболее распространенных ошибок крупных организаций и людей.
Мой первый опыт с VyOS. Часть 1 Привет хабр!Меня зовут Берик, я работаю системным администратором в IT холдинге SAMGAU, где отвечаю за IT инфраструктуру. Хочу написать серию статей где поделюсь своим опытом по использованию VyOS. Читать далее
Критическая уязвимость в Rust приводит к инъекциям команд в Windows Уязвимость, получившая название BatBadBut и идентификатор CVE-2024-24576 (максимальные 10 баллов по шкале CVSS), затрагивает стандартные библиотеки ряда языков программирования, включая Rust. Из-за этого Windows-системы оказываются уязвимы перед атаками на внедрение команд и...
Разработка мобильного клиента СДУ «Приоритет» под ОС «Аврора» на фреймворке Qt Всем привет! Меня зовут Илья, и я разработчик ПО в области автоматизации документооборота в компании «Диджитал Дизайн». Так получилось, что изначально я iOS-разработчик, но по воле случая мне удалось поучаствовать в создании мобильного приложения — клиента СДУ «Приоритет» (д...
Топ самых интересных CVE за октябрь 2023 года В этой подборке представлены самые интересные уязвимости за октябрь 2023 года.Подведем вместе итоги второго месяца осени, поехали! Читать далее
Топ самых интересных CVE за ноябрь 2023 года В этой подборке представлены самые интересные уязвимости за ноябрь 2023 года.Подведем вместе итоги последнего месяца осени, поехали! Читать далее
Пакет context в Go: взгляд профессионала А вы часто читаете реализацию стандартной библиотеки своего любимого языка?..Меня зовут Константин Соколов, и мы с Сергеем Мачульскисом, моим коллегой из бэкенд-разработки в Positive Technologies, хотим с вами поделиться вдохновением. Давайте вместе посмотрим на пакет contex...
Разработка алгоритмов обработки данных в реальном времени на Python Привет, Хабр! С появлением больших объемов информации и необходимостью обработки данных в реальном времени, разработчиками все чаще приходится создавать эффективные алгоритмов обработки данных, способных обеспечивать высокую отзывчивость и мгновенное реагирование на измен...
Активность найма на IT-рынке в 1 квартале 2024 Посмотрели, как компании нанимали IT-специалистов в первом квартале 2024 — какие специализации и квалификации искали на Хабр Карьере, у кого было больше всего вакансий, и куда откликались чаще всего. Любопытно, что количество вакансий для стажеров продолжает превышать п...
Опубликован эксплоит для уязвимости в Cisco IOS XE В открытом доступе появился PoC-эксплоит для критической уязвимости в Cisco IOS XE (CVE-2023-20198), которая уже использовалась злоумышленниками для взлома десятков тысяч устройств. Исследователи ожидают, что теперь атак станет еще больше.
Попасть в IT: невозможное возможно В последние годы конкуренция на рынке IT стала велика и самым очевидным способом войти в эту сферу – начать путь с нуля, а именно попасть на стажировку в одну из соответствующих компаний. Так получилось у меня. Привет, Хабр! Меня зовут София, я эксперт в Дивизионе информацио...
Материалы для подготовки к собеседованию на позицию Data Scientist. Часть 3: Специализированное машинное обучение Привет! Меня зовут Артем. Я работаю Data Scientist'ом в компании МегаФон (платформа для безопасной монетизации данных OneFactor). В предыдущей статье я поделился материалами для подготовки к этапу по классическому машинному обучению.В этой статье рассмотрим ма...
Небольшая компания представила процессор с 900 тыс. ядер. Что это за чудо технологий? О компании Cerebras на Хабре писали несколько раз, чаще всего с упоминанием того, что она создала самый большой в мире процессор. И сейчас та же ситуация — она повторила свой рекорд, разработав гигант с 900 тыс. вычислительных ядер. Конечно, это чип не для обычных пользовате...
Google выплатил пользователям $10 млн за поиск уязвимостей в своих продуктах Более 600 энтузиастов из 68 стран заработали $10 млн в прошлом году, найдя уязвимости в продуктах Google.
Импортозамещение сканеров web-уязвимостей: обзор актуальных DAST-решений Привет, Хабр!Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут может быть выбор? Burp Suite PRO на...
Россиянам рассказали о мошенничестве с QR-кодами Эксперты предупреждают о растущей угрозе мошенничества при оплате через QR-коды, особенно в онлайн-покупках. Ваге Закарян, руководитель команды Gem Space, подчеркивает уязвимость этой системы, пишет агентство "Прайм".
Как спланировать разработку без хаоса? Привет, Хабр! Меня зовут Александр, я уже около 15 лет в IT. Долгие годы занимался разработкой, но в последнее время перешел в менеджмент.Сейчас я работаю в крупной компании, которая занимается юридическими услугами. За несколько лет компания выросла, и сейчас IT-отдел ...
Используем MLOps-конвейер: пример работы с Cloud ML Platform для построения сервиса распознавания лиц Есть два подхода к работе с машинным обучением (Machine Learning, ML): быть человеком-оркестром и задействовать «зоопарк технологий» для каждого этапа, или работать с готовым набором инфраструктурных решений, который позволяет выстроить MLOps-конвейер в рамках одной платфо...
Обеспечение безопасности загрузчика GRUB в Linux Безопасность компьютерных систем является одним из ключевых аспектов в современном мире цифровых технологий. С каждым днем возрастает число кибератак, направленных на нарушение конфиденциальности данных, а также вторжение в личную жизнь и нанесение ущерба бизнесу. В этом кон...
Реальность существует и это надо учитывать Я полгода собирался написать эту статью и одной из причин постоянного откладывания её написания было то, что я не знал как её начать. Поэтому, начну банально.Привет, меня зовут Михаил Елисейкин, я более 20 лет в IT, более 20 лет изучаю историю техники, и сейчас хочу сказать,...
Русскоязычная APT28 использует баг в Outlook для атак на Microsoft Exchange Специалисты Microsoft Threat Intelligence предупредили, что русскоязычная хак-группа APT28 (она же Fancybear и Strontium) активно эксплуатирует уязвимость CVE-2023-23397, обнаруженную и исправленную в Outlook в этом году, для взлома учетных записей Microsoft Exchange и кражи...
Большая охота. Практикуемся в Threat Hunting Для подписчиковПервый этап реагирования на ИБ‑инцидент — это обработка событий и поиск в них артефактов. Затем специалист строит таймлайны и определяет вектор и время атаки. В этой статье мы поговорим об инструментах, которые облегчают этот труд и помогают в расследовании, в...
[Перевод] Ладья на XSS: как я хакнул chess.com детским эксплойтом Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему! В...
Потерянный контакт с агрессией, гештальт и IT-шники Меня зовут Антон. Я гештальт-терапевт и руководитель отдела тестирования. В основе моей терапевтической практики лежит работа с IT-специалистами. В данной статье я постараюсь ёмко описать свой опыт работы с клиентами, которые потеряли контакт со своими активными, агрессивным...
Личный опыт: тестовое для поиска на позицию Junior Product Manager Меня зовут Герман, я руководитель продуктового направления лояльности в компании CSI. Недавно мы решили расширить продуктовую команду и мне нужно было разработать тестовое задание для отбора подходящих кандидатов на позицию Junior Product Manager. Я делал это впервые и с нул...
Надёжность граничных прокси в контейнеризированных приложениях на примере Platform V Synapse Service Mesh Привет, Хабр! Меня зовут Данила Трушин, я руководитель направления в СберТехе. Мы с командой развиваем Platform V Synapse Service Mesh — продукт, который обеспечивает надёжную безопасную интеграцию и оркестрацию микросервисов в облаке.При промышленно...
Может ли ChatGPT заменить визит к врачу? Проверяем эффективность ChatGPT в определении диагноза и выборе лечения Сейчас люди многие важные проблемы решают с использованием сил искусственного интеллекта, однако вопросы здоровья всегда стоят остро и требуют большей квалификации.Возможно ли заменить визит к врачу обращением к ChatGPT? Наверняка у многих есть плачевный опыт использования G...
Из чего состоят карьерные сайты: топ-5 фич и 4 месяца разработки Всем привет! Меня зовут Данила Соловьев, я заместитель руководителя направления PHP в AGIMA. Недавно мы разработали собственное коробочное решение — это универсальный бэкенд для карьерных сайтов на Laravel. Мы можем разработать такой за четыре месяца. В этой статье объясняю,...
ИИ-отрасль потребляет всё больше ресурсов. Но ИИ может и помочь оптимизировать это потребление Дата-центры потребляют огромное количество ресурсов, включая воду и электричество. ИИ-направление одно из наиболее «прожорливых». Согласно лишь приблизительным подсчётам, сейчас на обеспечение работы ИИ-сервисов и приложений уходит энергии столько, сколько потребляют Нидерла...
Критические баги SlashAndGrab в ScreenConnect взяли на вооружение вымогатели Эксперты предупредили, что критическая уязвимость в ConnectWise ScreenConnect (CVE-2024-1709), получившая название SlashAndGrab, уже активно используется для распространения вымогательского ПО и другой малвари.
Amazon, Google и Cloudflare отразили мощнейшие DDoS-атаки в истории Специалисты Amazon Web Services, Cloudflare и Google предупредили о 0-day проблеме HTTP/2 Rapid Reset, которую злоумышленники используют для DDoS-атак с августа текущего года. Благодаря уязвимости в протоколе HTTP/2, мощность атак, направленных на облачную инфраструктуру Goo...
Топ-3 причины, почему вы должны использовать Copilot Всем привет! Меня зовут Анатолий Барцев, я frontend-разработчик в команде Модерации Циан. Я решил протестировать Copilot, чтобы оценить, полезен ли он для реальной разработки. В статье расскажу, какие выделил для себя плюсы использования, а также покажу, как GitHub Copilot п...
[Перевод] Не нужно блокировать кнопки Одна из наиболее распространенных проблем доступности, которую я нахожу (и исправляю) в проектах своих клиентов – это динамическое блокирование кнопок в формах после отправки последних. Сегодня я хотел бы рассказать, почему разработчики так делают, почему это не работает и ч...
Как обнаружить галлюцинации в LLM? LLM продолжают свое пребывание в центре технологических дискуссий. Они трансформируют наши взаимодействия с технологиями, поскольку предоставляют возможность усовершенствованной работы в обработке и генерации текстов. Однако и упомянутые модели не идеальны, так как одна из и...
10 небанальных ресурсов для системного аналитика Привет! Меня зовут Филипп Сенцов. Я системный архитектор в «Альфа-Банке», а также преподаватель и автор на курсе «Системный аналитик» в Яндекс Практикуме.За время работы у меня накопился список профессиональных ресурсов: ссылки, книги и инструменты. Теперь хочу поделиться им...
[Перевод] Обманчиво простой и интересный RSA Недавно, читая книгу Real-World Cryptography, я узнала об атаке Блейхенбахера, иначе называемой атакой миллионом сообщений. Этот вид атаки Даниэль Блейхенбахер продемонстрировал в 1998 году, взломав RSA через функцию шифрования PKCS #1. В книге об этой атаке было сказано не...
Айтишникам нельзя не быть креативными, и я сейчас это докажу Всем привет. Меня зовут Антон, я Scrum-мастер IT-отдела компании AppEvent и по-совместительству front-end разработчик. В моей первой статье на Хабр хочу рассказать вам, почему же айтишнику нужно быть креативным и как этот навык вообще можно проявить. Ведь зачастую он являетс...
Что о безопасности приложений расскажут на SafeCode В декабре мы представили Хабру нашу новую онлайн-конференцию SafeCode. А теперь, когда до неё осталось две недели и программа готова, можем подробнее рассказать, о чём именно будут доклады.Если ограничиться одной фразой, то на конференции подойдут к application security с ра...
Для iPhone, iPad и Mac вышло срочное обновление безопасности Пользователи Apple, осторожнее. Технологический гигант выпустил критические обновления для iOS, iPadOS и macOS, чтобы устранить две серьезные уязвимости нулевого дня, которые, как сообщается, активно эксплуатируются.
Цифра дня: сколько россиян сталкивались с мошенниками в соцсетях Массовые атаки мошенников в сети угрожают безопасности пользователей, предупреждают эксперты. Исследование, проведенное сервисом Работа.ру и социальной сетью Одноклассники, показало, что 67% россиян сталкивались с попытками взлома своих аккаунтов в интернете. Чаще всего атак...
[Перевод] Как проанализировать риски: 4 шага Оценка потенциальных рисков и их влияния на бизнес-операции играет ключевую роль в обеспечении успеха проектов и стратегий организации. Риск-менеджеры проводят анализ, используя различные методы и расчеты, чтобы определить вероятность возникновения рисков и разработать планы...
Поддельное ПО проникло в код крупных компаний: новые минусы ИИ Эксперимент исследователя безопасности выявил критическую уязвимость в процессе разработки программного обеспечения — возможность генеративного ИИ внедрять поддельные пакеты в реальный код.
Как решить типичные проблемы Django нестандартным подходом: Fake Injection Давайте признаем, что развитие проектов в мире Django не всегда проходит гладко. Мы часто сталкиваемся с толстыми моделями и сериалайзерами, размытой бизнес-логикой и тестированием, которое больше напоминает головную боль, чем удовольствие. Меня зовут Павел Губарев, я back...
Экзотические баги и их устранение Привет, Хабр! Меня зовут Андрей Ахметов, я ведущий инженер и тестировщик системы ЕСПП в ООО «РСХБ-Интех», технологической дочке Россельхозбанка. Сегодня расскажу вам шесть небольших историй о том, какие экзотические баги бывают и как их устранять. Читать далее
Приглашаем на Ozon Tech Community ML&DS Meetup Всем привет, меня зовут Артём, я руководитель команды «Эффективность рекламы». Мы пока не предлагаем генеративные модели для пользователей, но мы делаем другие крутые вещи, связанные с ML&DS. И хотим о них рассказать.Приглашаю на Ozon Tech Community ML&DS Meetup, где...
Как США, ЕС, Китай и Россия собираются зарегулировать ИИ Вряд ли кто-то сомневается, что современные нейросети — одна из самых больших технореволюций за последние, наверное, лет 50. А может и в истории, кто знает? Но как говорил дядя Питера Паркера из «Человека-паука»: «С большой силой приходит и большая ответственность». Нед...
Диплом специалиста ИБ. Часть №1 — Методика обеспечения безопасности устройств Интернета вещей Привет, Хабр!Так вышло, что я заканчиваю университет в феврале 2024 года (направление 10.05.01 «Компьютерная безопасность» является специалитетом, поэтому студенты выпускаются традиционно зимой после 5,5 лет обучения). Соответственно, уже в прошедшем 2023 году передо мной, к...
В Signal отрицают, что в мессенджере существует уязвимость нулевого дня В последние дни в сети циркулирует слух о 0-day уязвимости в мессенджере Signal, которая якобы связанна с функцией предварительного просмотра ссылок (Generate Link Previews). Разработчики Signal прокомментировали эти сообщения, заявив, что никаких доказательств существования...
«Галя, у нас инцидент!» или зачем мы написали SIEM-чатбота для MaxPatrol Привет, Хабр! Меня зовут Кирилл Орлов, я CISO Oxygen Data Centers & Clouds и в этом посте я поделюсь с вами нашим опытом внедрения MaxPatrol (MP): расскажу, как удобно настроить защиту разных сегментов инфраструктур на базе этого решения, объясню, зачем мы сделали своего...
Книга: «Кибербезопасность: главные принципы» Привет, Хаброжители! С 1970-х годов InfoSec-специалисты постепенно совершенствовали безопасность, даже не задумываясь, в правильном ли направлении со стратегической точки зрения они движутся. Рик Ховард утверждает, что нет. Общее направление само по себе было ошибочным, но...
Solar appScreener усилил контроль безопасности приложений модулем анализа безопасности цепочки поставок ПО По оценке регуляторов и экспертов ИБ, в настоящее время атаки на цепочку поставок являются одним из самых популярных векторов атак. Добавление модуля анализа безопасности цепочки поставок ПО (Supply Chain Security, SCS) в комплексное решение Solar appScreener позволяет обесп...
Критический баг в JetBrains TeamCity можно использовать для удаленного выполнения кода Критическая уязвимость в ПО непрерывной интеграции JetBrains TeamCity может использоваться неаутентифицированными злоумышленниками для удаленного выполнения кода и захвата уязвимых серверов.
Хакеры уже используют критический баг в Atlassian Confluence По словам ИБ-специалистов, критическая уязвимость в Atlassian Confluence, которая позволяет уничтожать данные на уязвимых серверах (CVE-2023-22518), уже активно используется злоумышленниками для установки программ-вымогателей.
Как и где практиковаться начинающему мобильному разработчику Всем привет! Меня зовут Миша Вассер. Я руковожу мобильной разработкой в AGIMA, а ещё я наставник и автор на курсе «Android-разработчик» в Яндекс Практикуме. Помню то время, когда я начинал заниматься разработкой, — материалы были в основном на английском, а специализированны...
Три самые частые поломки стиральной машины Bosch Bosch — один из ведущих производителей стиральных машин, известных своим качеством и надежностью. Однако, как и любая другая техника, стиралки этого бренда тоже могут подвергаться поломкам. В этой статье мы рассмотрим три самые частые неисправности, с которыми могут столкнут...
Как дизайнеры помогают заменить GitLab: что из этого получилось Привет! Меня зовут Валерия, я дизайнер внутренних сервисов в Ozon Tech. Наша команда занимается продуктами, которые коллеги используют для доступа к инфраструктуре Ozon, приоритизации задач, проведения регламентных работ, выкатки и управления релизами.Сегодня речь пойдёт про...
Как найти своего IT-ментора — о сервисах Хабр Карьеры В прошлом году мы запустили сервис Хабр Эксперты — платформу для IT-менторов и менти, которая помогает специалистам найти наставника, вместе с ним развиваться и двигаться вверх по карьерной лестнице. Вот уже год платформа даёт возможность гуру IT делиться опытом с начинающим...
Почти треть российских компаний, обладающих критической информационной инфраструктурой, сталкивались с инцидентами безопасности Минимум 35% из них влекут за собой ущерб, который можно оценить в финансовых потерях. Простои — наиболее частое последствие инцидентов, причиной которых называют в основном DDoS-атаки и взломы сайтов. Кроме этого, приводятся следующие негативные последствия: репутационный ущ...
DevOps-инструментарий в помощь с качеством кода: автоматические сценарии для тестов с использованием Helm Привет, Хабр! Меня зовут Анджей, я QA-лид в Сравни. В этой статье давайте попробуем если не победить, то хотя бы побороться вот с какой ситуацией: вроде всё сделали хорошо и проверяли, а сайт всё равно пролежал на выходных с 500-ми ошибками. Помогать с тестированием нам буде...
Отключаем ненужный функционал плагина для Jira с помощью кастомной аннотации Spring Привет, Хабр! Меня зовут Игнат, в Samokat.tech я пишу плагины, автоматизации и интеграции для Jira. Как разработчик-самоучка, который до «вот этого всего» немного писал на Java, но не пользовался ни средствами сборки (привет, Maven!), ни фреймворками (привет, Spring!), ...
Что такое Software Bill of Materials и зачем он нужен разработчикам Последнее время наблюдается рост числа кибератак, нацеленных на разработчиков и вендоров программного обеспечения. Поэтому в ИТ-сообществе все чаще обсуждают спецификацию Software Bill of Materials, или SBOM. Ее внедряют как стартапы, так и корпорации. Обсудим, что это за ин...
Отладка в SQL Developer Привет! Меня зовут Алексей Маряхин, я разработчик на Oracle. В этой статье продолжим знакомиться с темой отладки PL/SQL-кода. В предыдущей статье мы изучили возможности отладки в PL/SQL Developer. В этой предлагаю рассмотреть ещё один инструмент — SQL Developer (версия...
Zyxel сообщает о критических уязвимостях в своих устройствах NAS Сетевые хранилища компании Zyxel в очередной раз оказались небезопасными
Разбираем самый маленький JPEG в мире Недавно на Хабре была опубликована статья Разбираем самый маленький PNG в мире. Интересно, а какой самый маленький файл JPEG? В ответах на StackOverflow и Reddit можно встретить размеры 107, 119, 125, 134, 141, 160 байтов. Все они представляют серый прямоугольник 1 на 1. И к...
Pixel 8 против Samsung Galaxy S23 – битва флагманов с небольшим дисплеем Просматривая обзоры на флагманы «прямо-таки флагманы» (в моем понимании, это бандуры с дисплеями 6,8 дюймов), все чаще сталкиваюсь с явлением, что те самые огромные дисплеи вносят в список минусов. Я же наоборот считаю, что рынок наводнен смартфонами для лилипутов или тех,...
Миллер, Рабин, вектор Проверка небольших чисел на простоту - популярная подзадача в спортивном программировании. И тест Миллера-Рабина, пожалуй, наиболее популярный из простых алгоритмов для этого.У меня давно было желание с ним поиграться, стараясь оптимизировать различными способами. Например, ...
В продуктах Ivanti нашли еще две 0-day уязвимости. Одну из них уже атакуют хакеры Не успели разработчики Ivanti исправить уязвимости нулевого дня, обнаруженные в начале января в продуктах Connect Secure VPN и Policy Secure, как стало известно о двух новых 0-day багах, так же затрагивающих Connect Secure, Policy Secure и шлюзы ZTA. Причем одна из уязвимост...
Как обеспечить защиту на нескольких устройствах и платформах? Важные советы и инструкции по обеспечению кибербезопасности на разных устройствах и ОС. В современном цифровом мире вы можете использовать множество устройств и платформ для работы, развлечений, общения и образования. Однако каждое устройство и платформа могут иметь различн...
Выгорание. Ответственность. Well-being Привет, Хабр! Меня зовут Даниэла, я руковожу направлением корпоративных льгот в Росбанке. В этом посте я расскажу, что такое выгорание, как оно проходит, как уберечь себя от выгорания, отслеживать его у сотрудников и, наконец, что мы для этого делаем в компании. Читать далее
Настраиваем кросс-обновления Android-приложений между сторами Привет, Хабр! Меня зовут Тимофей, я Android-разработчик в Сравни. Давайте поговорим о кросс-обновлении Android-приложений без привязки к конкретному стору – так, чтобы пользователи могли устанавливать из одного источника, а обновлять – из другого, без необходимости удалять и...
Трагические микрозаймы, украденные креды: какие Android-зловреды мы обнаружили в официальных маркетах Один из основных принципов защиты мобильного устройства от киберугроз — загружать приложения только из официальных маркетов, таких как Google Play или Apple App Store. Однако несмотря на то, что софт проходит множество проверок перед публикаций, это не гарантирует, что польз...
Как TDD помогает мне делать RTS Привет, Хабр! Меня зовут Игорь, и я Unity Developer. В этой статье я хотел бы поделиться кейсом, как Test Driven Development помогает мне разрабатывать мою RTS игру. Читать далее
Обнаружена уязвимость в безопасности инструмента Bitlocker Bitlocker от Microsoft предназначен для защиты данных на ПК или ноутбуке. Однако, как показывает один из YouTube-блогеров, иногда эту меру безопасности можно довольно легко обойти.
Atlassian патчит критические уязвимости в Confluence, Jira и Bitbucket Компания Atlassian выпустила патчи для четырех критических уязвимостей, затрагивающих Confluence, Jira и Bitbucket, а также приложение-компаньон для macOS. Все баги позволяют добиться удаленного выполнения произвольного кода.
10 ошибок при выборе VPS и советы по их избежанию Выбор VPS (Virtual Private Server) - важный шаг в управлении онлайн-ресурсами. Однако многие пользователи сталкиваются с распространенными ошибками, которые могут привести к проблемам с производительностью, безопасностью и стоимостью. В этой статье мы рассмотрим топ-10 ошибо...
15+ полезных ссылок для начинающего специалиста по Data Science Привет, Хабр! Меня зовут Раф. Сейчас я работаю аналитиком ценообразования в Яндекс Лавке, куда попал после стажировки в команде аналитики Яндекс Браузера. Параллельно учусь в НИУ ВШЭ и уже успел пройти курс «Специалист по Data Science» в Практикуме.В этой статье я собрал пол...
Angara Security составила ТОП-10 уязвимостей внешнего периметра российских компаний На основе анализа проектов по выявлению уязвимостей внешнего периметра компаний в 2022–2023 гг. Angara Security составила рейтинг наиболее часто встречающихся уязвимостей в защите корпоративной инфраструктуры российских компаний.
Как DDoS-атаки стали для нас рутиной и как ML помогает их отражать Несколько лет назад увидеть DDoS-атаку было целым событием. Если такое и случалось, то инцидент тщательно анализировала целая команда специалистов, а каждая извлечённая крупица информации использовалась для обучения моделей, формирования новых факторов и улучшения подходов д...
[Перевод] Обзор катастрофических рисков ИИ Это перевод статьи Дэна Хендрикса, Мантаса Мазейки и Томаса Вудсайда из Center for AI Safety. Статья не требует практически никаких предварительных знаний по безопасности ИИ, хотя предполагает некоторый (небольшой) уровень осведомлённости о прогрессе ИИ в последние годы. Чит...
Как избежать типичных ошибок при проведении оценки персонала Проведение оценки персонала не только помогает определить уровень компетенций и профессиональных навыков сотрудников, но и выявляет потенциал для их дальнейшего развития. Однако, несмотря на её значимость, многие организации сталкиваются с типичными ошибками, которые могут и...
Хабр — стоп кран(восклицательный знак) Кто у нас там насегодня за главного? Денис? Алексей?Давайте поговорим по-честному. Мы все прекрасно понимаем, что СММ и генеративный контент сводят Хабру в могилу. Я не люблю просто блеять о проблемах, и хотел бы предложить решение. Давайте сделаем что-то, чтобы разобраться ...
Рефакторинг кода, и как его не бояться Привет, Хабр!Уже около четырех лет моя профессиональная деятельность тесно связана с энтерпрайз разработкой мобильных приложений на Flutter в компании TAGES. Сегодня мне бы хотелось поделиться некоторыми мыслями и практическими советами на тему, которая является актуальной и...
13-дневная задержка американского провайдера оставила без защиты 36 млн клиентов 13-дневная задержка компании Comcast с исправлением критической уязвимости Citrix оказалась дорогостоящей: хакеры воспользовались уязвимостью, скомпрометировав конфиденциальные данные 36 миллионов клиентов Xfinity.
Что я делал, когда развивал свою карьеру бэкенд разработчика Меня зовут Константин, последние 6 лет я профессионально занимаюсь разработкой. К сожалению (а может быть и к счастью) у меня нет фундаментального образования по computer-science. Я решил сменить профессию после 30, поменяв предметную область с фондового рынка на программиро...
Security Week 2402: атака «Триангуляция» и аппаратная уязвимость в iPhone В конце прошлого года исследователи «Лаборатории Касперского» опубликовали новую статью, в которой разбирают детали атаки «Триангуляция» (см. также новость на Хабре и видео с конференции 37c3). Про эту атаку мы писали в прошлом году дважды. В июне был опубликован общий отчет...
[Перевод] Обзор статьи «StreamDiffusion: конвейер для интерактивной генерации в режиме реального времени» StreamDiffusion — это новый диффузионный конвейер для интерактивной генерации изображений в режиме реального времени, позволяющий добиться более высокой производительности для прямых трансляций и других подобных сценариев. Он заменяет традиционное последовательное шумоподавл...
Свежие 0-day уязвимости в устройствах Apple применялись для атак спайвари Predator Специалисты из Citizen Lab и Google Threat Analysis Group сообщают, что с мая по сентябрь 2023 года три уязвимости нулевого дня, исправленные Apple на прошлой неделе, использовались в составе цепочки эксплоитов для распространения шпионского Predator компании Cytrox.
Глаза боятся, а ИИ делает: как эмоции помогают ИИ лучше управлять автомобилем Современный ИИ достиг впечатляющего прогресса, стимулируя сферу автономного транспорта. Особенно перспективно выглядит обучение с подкреплением (RL), показавшее успехи в сложных задачах принятия решений вроде игры в Го или управления беспилотными автомобилями. Но существующи...
Исследователь безопасности обманул Apple на $2,5 миллионa Роскин-Фрейзи обнаружил уязвимость в серверной системе Apple, известной как Toolbox, а затем начал атаку с целью кражи товаров на сумму около $2,5 миллионов из серверной части компании.
Россиянам рассказали об уязвимостях банковских приложений Директор компании "ИТ-Резерв" Павел Мясоедов в беседе с агентством "Прайм" поделился инсайдами о безопасности мобильных приложений, особенно банковских, и предостерег от возможных атак мошенников.
Устаревшие суперкомпьютеры помешали миссиям NASA Недавний аудит, проведенный Управлением генерального инспектора NASA (OIG), рисует тревожную картину суперкомпьютерных возможностей агентства. В отчете говорится о критических проблемах, которые приводят к задержкам в выполнении миссий, уязвимости системы безопасности и неэф...
[Перевод] Самые крупные DDoS-атаки нулевого дня на HTTP/2 В августе и сентябре злоумышленники развернули крупнейшие распределённые DDoS-атаки в истории интернета, эксплуатирующие известную уязвимость в ключевом техническом протоколе. В отличие от других серьёзных атак нулевого дня последних лет – например, Heartbleed или log4j – к...
Универсальные типы в python Универсальные типы в python являются незаменимым инструментом, который позволяет выявлять множество ошибок на моменте написания кода, а также делает код чище и элегантнее.Меня зовут Саша, и в своей работе часто сталкиваюсь с ситуациями, в которых нужно создавать классы, рабо...
Заметки для новичка: Как провести первую ретроспективу и не облажаться? Ретроспектива, как погружение в прошлое, но без машины времени. Представьте себе, вы смотрите назад, чтобы понять, какие кочки на дороге были, а какие пряники вовсе не были сладкими.Ретроспектива – мероприятие не самое легкое в его организации и тем более введении. Не каждый...
DIY-маркетинг: как проанализировать спрос на рынке с помощью KeyCollector, Python и DataLens Исследовать поисковый спрос — обычная задача для SEO-специалиста: просто собираешь запросы, смотришь сезонность и делаешь выводы. Но что если нужно исследовать целую сферу бизнеса типа авторынка, на котором представлено очень много брендов, а сроки и...
ABR для живых трансляций Все мы смотрим видеоролики в интернете, и каждому наверняка приходилось сталкиваться с проблемами во время просмотра. Как разработчик сервиса вебинаров, попробую разобрать эту проблематику и рассмотреть возможные решения. Давайте представим себе ситуацию, в которой...
По шагам: подход к киберустойчивости на практике Сегодня кажется, что безопасность – это вопрос высоких затрат и непрерывной гонки за новыми средствами защиты. Но многочисленные инструменты и решения не гарантируют безопасности, ведь в мире информационных угроз нет универсальной таблетки или коробки, способной обеспечить п...
Как нейросети помогают изучать снежных барсов: о проекте Сайлюгемского парка и Yandex Cloud Снежный барс (ирбис) — один из самых редких видов больших кошачьих, который обитает в горных районах. С 2000 года снежный барс занесён в Красный список МСОП как «находящийся под угрозой исчезновения», а с 2017 года ирбисам присвоен статус у...
Как мы запускали DIY-медиа для ИТ-специалистов Привет, Хабр! Меня зовут Юлия Гусарова, я директор по маркетингу beeline cloud. В октябре мы запустили проект вАЙТИ. В этой статье я и мои коллеги расскажут о том, как мы придумывали концепцию DIY-медиа и чем оно отличается от других площадок. А еще — поговорим о том, как ус...
«Берегите платье снову, а персональные данные смолоду»: рассуждения и советы по цифровой гигиене Всем привет! Меня зовут Андрей, я специалист по информационной безопасности в Selectel. За время своей работы я понял, что часто люди используют правила цифровой гигиены в профессиональной деятельности, но совсем забывают про них в обычной жизни. По данным компании RTM Grou...
MEGANews. Самые важные события в мире инфосека за октябрь В этом месяце: уязвимость HTTP/2 Rapid Reset стала причиной мощнейших DDoS-атак, в тысячах устройств на Android нашли бэкдор, разработчика вымогателя Ragnar Locker арестовали, устройства Cisco IOS XE подвергаются массовым атакам, ученые разработали атаку side-channel iLeakag...
Смотрим шире. Бесплатные инструменты для комплексной работы с уязвимостями «Чем можно контролировать уязвимости? Подскажи, плиз», — обратился недавно знакомый. Вроде ничего странного. Но к концу обсуждения я вдруг понял, что человек ждет список инструментов, которые только находят и закрывают уязвимости... Читать далее
Почему мы боимся джунов? Несмотря на бурный рост IT-индустрии, я всё чаще сталкиваюсь с ужасным отношением к людям, которые хотят работать в IT. Практически под каждым материалом для новичков можно найти десятки комментариев с негативом. Я долго не мог понять, почему опытные специалисты презирают «с...
Хорошие практики нагрузочного тестирования: гайд для тех, кто успел до «пожара» В каждом проекте рано или поздно наступает момент, когда нужно провести нагрузочное тестирование. Чаще всего это происходит поздно: сайт уже крашится под наплывом пользователей, стартовая страница не загружается, а обработка запросов в базе данных длится больше минуты. В так...
Калькуляторы с обратной польской нотацией На хабре уже многократно проскакивали статьи и переводы о калькуляторах с обратной польской нотацией. Раньше я придавал им большого значения, пока на глаза не попался перевод статьи «Мягкое знакомство с дополнительным кодом», где фигурировал программистский калькулятор HP-1...
6 полезных инструментов на основе ИИ для разработчиков ИИ постепенно проникает в разработку, хотя и не особо быстро. Естественно, разработчика искусственный интеллект никак не заменит. Однако ИИ может помочь человеку работать более эффективно. Так, инструменты кодинга на базе ИИ помогают писать шаблонный код, упрощают рутинные п...
DVC — прекрасный инструмент для DataScience Привет Хабр, меня зовут Дмитрий Несмеянов, я являюсь руководителем направления разработки ML-инфраструктуры "ЛОКО-банка". Сегодня я хочу рассказать про DVC: инструмент, который многие, незаслуженно, обходят стороной. Была хорошая статья от Райффайзен Банк, в этой статье я по...
Разбираемся с работой брокеров, или Что такое гарантия доставки сообщений и как с этим жить… В эпоху мгновенной коммуникации, гарантия доставки сообщений становится не просто плюсом, но и неотъемлемой частью репутации сервиса. Как быть уверенным, что ваше сообщение дойдет до адресата именно тогда, когда это нужно? Привет, Хабр, меня зовут Сергей Коник, я работаю в С...
Почему PASETO лучше для аутентификации, чем JWT В веб-разработке одним из наиболее популярных решений является аутентификация на основе токенов. Чаще всего для создания системы аутентификации используют JWT (порой даже там, где это не нужно). Но несмотря на популярность, JWT имеет ряд недостатков. Поэтому появляются новые...
Удалить нельзя эксплуатировать: как мы нашли уязвимость в установщике Битрикс Методология тестирования на проникновение предполагает разделение поиска уязвимостей на несколько этапов. Один из первых этапов заключается в поиске легаси с известными уязвимостями, популярных мисконфигов и других low hanging fruits на периметре. Их эксплуатация проста и за...
Как организовать информационную безопасность в компании с нуля: два подхода, которые помогут ничего не упустить Андрей Усенок, руководитель команды информационной безопасности в Авито, рассказал, как выстроить ИБ с нуля: с чего начать, и как не упустить ничего важного, и не потратить лишних усилий. Читать далее
Избавляемся от паролей Меня зовут Александр Чикайло, я разрабатываю межсетевой экран уровня веб-приложений PT Application Firewall в Positive Technologies и специализируюсь на защите веба. Сегодня речь пойдет о беспарольной аутентификации и ее безопасном применении в приложениях. В этом материале ...
От упрощённых методов разработки до операций по удалению: как меняются ботнеты и методы борьбы с ними Ранее мы уже рассказывали о том, как эволюционирует поведение злоумышленников, и что им пытаются противопоставить специалисты по информационной безопасности. За прошедшие полгода ситуация с DDoS-угрозами и ботнетами продолжает развитие: угроз стало больше, разработка вредоно...
Мечтают ли компьютеры строить дома? или Как заставить нейросети определять ремонт в квартирах и улучшать объявления Как для большинства выглядит процесс постройки дома? Котлован, песок, цемент, какие-то блоки, снующие люди и техника, шум, пыль на пару лет и вот, дом готов. На самом деле всё давно не так. Точнее, так, но это, как говорится, frontend. Но строительство уже давно процесс не ф...
Как прогнозировать время выполнения задач Привет! Меня зовут Павел Ахметчанов, я руководитель направления улучшения процессов разработки. В статье расскажу про часто используемые методики оценок задач и есть ли в них ошибки. Посмотрим, как правильно ставить вопросы при оценке. Узнаем, что собой представляет время ре...
Смогут ли разработчики конкурировать с нейросетями: оцениваем возможности AI и человека Привет, Хабр! Меня зовут Александр Демидов, я директор по разработке департамента управления технологиями МТС. Сегодня поговорим про использование в программировании нейросетей, включая ChatGPT и конкуренцию нейросетей и программистов.Всё чаще слышны разговоры, что вот-вот к...
7 направлений оптимизации ClickHouse, которые помогают в BI Привет, Хабр! Меня зовут Никита Ильин, я занимаюсь разработкой архитектуры BI-платформы Visiology. Сегодня мы поговорим про оптимизацию ClickHouse — ведущей СУБД, которую все чаще используют для решения задач аналитики на больших объемах данных. В этой статье я расскажу, поч...
Повреждение интернет-кабелей в Красном море показало пользу спутников Недавнее нарушение интернет-трафика между Азией, Европой и Ближним Востоком служит ярким напоминанием об уязвимости подводной кабельной инфраструктуры. Четыре критически важных кабеля в Красном море были перерезаны, что повлияло на 25% потока данных в регионе.
Уязвимые гиганты: что общего между зулусским языком и LLM Сейчас, когда каждый чих в интернете может привести к новому стартапу или технологическому прорыву, большие языковые модели (LLM) занимают своё законное место на передовой научно-технического прогресса. Они умнее, быстрее и эффективнее человека в ряде задач: написание кода, ...
Логирование в Golang Привет, Хабр!Как в Golang логирование поживает? Рассмотрим этот вопрос в статье.Рассмотрим основные библиотеки и подходы. Читать далее
Наводим порядок в конфигах Webpack Всем привет. Меня зовут Евгений Чернышев, и я возглавляю фронтенд-разработку в одном из направлений деятельности Домклик. Хочу поделиться своими мыслями о том, как управлять сложными конфигурациями Webpack. Сразу «проведу черту», чтобы предотвратить возможные холивары: сравн...
Критический баг в Tinyproxy угрожает 50 000 систем Более 52 000 хостов с Tinyproxy, которые можно обнаружить в интернете, уязвимы перед критической RCE-уязвимостью CVE-2023-49606, недавно обнаруженной в опенсорсном прокси-сервере.
Все об Offensive Security: о чем говорили на круглом столе AM Life Лучшая защита – это нападение, причем на себя любимого. Все чаще бизнес выстраивает информационную безопасность именно по такому принципу. Своевременный пентест или Read Teaming, когда привлеченные подрядчики пытаются взломать корпоративную IT-инфраструктуру, помогает команд...
Проблема GoFetch угрожает процессорам Apple серии M, а патчи повлияют на производительность Группа ученых опубликовала информацию о side-channel атаке под названием GoFetch. Проблема связана с серьезной уязвимостью в процессорах Apple M1, M2 и M3, и позволяет похитить криптографическую информацию из кеша процессора: атакующее приложение может воссоздать криптографи...
Cisco патчит уязвимость повышения привилегий в IMC Компания Cisco выпустила патчи для уязвимости в Integrated Management Controller (IMC), для которой уже существует публично доступный эксплоит. Проблема позволяет локальным злоумышленникам повысить свои привилегии до уровня root.
ESET исправила уязвимость повышения привилегий в своих защитных решениях для Windows Компания ESET выпустила исправления для уязвимости CVE-2024-0353 (7,8 балла по шкале CVSS) в своих потребительских, бизнес и серверных защитных продуктах для Windows. Сообщается, что баг мог привести к повышению привилегий.
Пароли в открытом доступе: ищем с помощью машинного обучения Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором. Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикета...
VMware патчит критическую уязвимость в vCenter даже в устаревших продуктах Компания VMware выпустила обновления, исправляющие критическую уязвимость в vCenter Server и VMware Cloud Foundation, которую можно использовать для удаленного выполнения кода на уязвимых серверах. Из-за критического характера этой проблемы VMware выпустила патчи даже для ст...
Unpacking аналитиков: виды, особенности и отличия Приветствую всех читателей Хабра!Меня зовут Белоусова Александра, я развиваю направление по обучению и стажировкам аналитиков в «Автомакон». У меня довольно разнообразный профессиональный опыт: была и бизнес-аналитиком, и системным, и аналитиком данных, руководила проектами ...
Решаем трудности адаптации мобильных приложений с Responsive_framework Hola, Amigos! Меня зовут Ярослав Цемко, я Flutter-разработчик в компании заказной разработки Amiga. Сейчас я расскажу об очень крутом плагине, который помог нам решить проблемы, связанные с адаптацией контента под разные дисплеи в одном из наших проектов. Читать далее
Технические предпочтения пользователей с нарушениями зрения в 2023 году. Исследование Яндекса Цифровые продукты и сервисы стали обыденным явлением, и сегодня это часть повседневной жизни самых обычных людей, а не только ранних энтузиастов новых технологий. Однако есть пользователи, которые по-прежнему испытывают существенные трудности при взаимодействии с современным...
«Это не рядовая уязвимость», — россияне рассказали о возможности полного взлома iPhone Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» обнаружили в смартфонах Apple уязвимость, которая, как утверждают специалисты, позволяет злоумышленникам обходить аппаратную защиту памяти. Данная уязвимость использовалась зл...
«Яндекс» выплатил 70 млн рублей участникам программы «Охота за ошибками» за 2023 год В компании действует программа по поиску уязвимостей «Охота за ошибками», которая помогает усилить защиту сервисов.
В сентябре 17 000 сайтов на WordPress оказались заражены Balada Injector Специалисты Sucuri обнаружили несколько кампаний, связанных с малварью Balada Injector, в рамках которых хакеры скомпрометировали более 17 000 WordPress-сайтов. Большинство атак связано с использованием уязвимости в tagDiv Composer, популярном инструменте для тем tagDiv News...
Микрофронтенд для самых маленьких Всем привет. Меня зовут Алексей. Сейчас я работаю frontend-разработчиком в компании Ozon. В свободное время мне нравится читать про новые технологии, фреймворки, а учитывая то, с какой скоростью развивается frontend, я никогда не скучаю. В этой статье пойдет речь о микрофрон...
ИТ-специалисты активно выбирают Mac из-за высокого уровня безопасности Исследование IDC показало, что 76% руководителей ИТ-отделов считают компьютеры Mac более безопасными по сравнению с другими устройствами
Камера как сканер штрих-кодов: проблемы, инструменты и эксперименты Всем привет, меня зовут Никита, я старший разработчик в компании Озон и работаю над iOS-приложением «Пункт Озон».«Пункт Озон» — это мобильное приложение для работников и менеджеров пункта выдачи заказов (далее просто ПВЗ). В приложении множество различных разделов для повсед...
В закладки: 50+ полезных ссылок для начинающего QA-инженера Привет, Хабр! Меня зовут Кристина. Я работаю в Яндекс Практикуме ревьюером на курсе «Инженер по тестированию», ментором тестировщиков в Мастерской программирования и руководителем соревновательных видов IT-практики (багатонов, хакатонов и кейс-чемпионатов).В этой статье я по...
ВКонтакте представила итоги 2023 года в VK Знакомствах и «Шагах» Самый крупный прирост интересующейся онлайн-знакомствами аудитории произошёл в Москве, Санкт-Петербурге, Татарстане, Новосибирской области и Краснодарском крае.
Несколько советов как новичкам не забросить изучение IT Я создаю IT-курсы уже 6 лет, являюсь руководителем направления обучения Бэкенд-разработке в онлайн-школе и даже развиваю свои собственные курсы по программированию на Python. Еще веду корпоративные обучения, работаю в универе и провожу консультации о построении пути в I...
Make It Right! Максимум пользы, минимум проблем: рекомендации по написанию API автотестов на Python Привет, Хабр! Меня зовут Катерина, я инженер по автотестированию в команде онлайн-кинотеатра PREMIER и сегодня я хотела бы поделиться с вами своим опытом в написании API автотестов на Python. Я работаю в сфере автотестирования уже довольно давно и на практике встречаю проект...
Метод опорных векторов (SVM). Подходы, принцип работы и реализация с нуля на Python Метод опорных векторов (Support Vector Machine или просто SVM) — мощный и универсальный набор алгоритмов для работы с данными любой формы, применяемый не только для задач классификации и регрессии, но и также для выявления аномалий. В данной статье будут рассмотрены основные...
Как необычные решения приводят к критическим уязвимостям. Или история одного бага, найденного в CloudTips Привет, Хабр! В данной статье хотел бы поделиться историей, как был найден достаточно простой в исполнении баг, но приводящий к опасной уязвимости веб приложения. Данный баг был найден в сервисе CloudTips от Тинькофф и CloudPayments на BugBounty площадке app.bugbounty.bi.zon...
Критическая уязвимость в Mastodon позволяет захватить чужую учетную запись В коде опенсорсной децентрализованной социальной сети Mastodon исправили критическую уязвимость, которая позволяла злоумышленникам выдавать себя за любую учетную запись и захватить ее.
Новый взгляд на старые игры. Часть 4. Duke Nukem 3D (1996) + add-ons + EDuke32 (source-port) В этом кратком руководстве будет разобран вариант запуска "Duke Nukem 3D: Atomic Edition" (1996) с наиболее распространённым и актуальным source-портом, а также перечислен список адд-онов, которые могут представлять интерес. Читать далее
Атака ShellTorch использует уязвимости TorchServe и угрожает инфраструктуре крупных компаний Несколько критических уязвимостей, получивших общее название ShellTorch, были обнаружены в опенсорсном инструменте TorchServe, который используется для обслуживания ИИ-моделей PyTorch. Исследователи заявили, что обнаружили в интернете десятки тысяч уязвимых серверов, некотор...
Как прошел 2023 год на Хабр Карьере Мы привыкли, что итоги года — это всегда про достижения или неудачи. Чаще всего, конечно же, про достижения. Всегда полезно оглянуться назад, чтобы оценить сделанное и напомнить себе, что ты еще ого-го и вообще-то был хорошим специалистом в этом году, точно заслужил премию, ...
Еврокомиссия нарушила правила защиты данных, используя Microsoft 365 Европейский надзор по защите данных (EDPS) выявил нарушения правил защиты данных со стороны Еврокомиссии при использовании облачного программного обеспечения Microsoft 365. EDPS потребовал устранения нарушений до 9 декабря 2024 года, предписав приостановить передачу данных в...
Как я написал свой первый классификатор эмоций Всем привет! Немного о себе. Меня зовут Максим, я работаю специалистом по Machine Learning в компании SimbirSoft. Последние два года я углубленно изучал область машинного обучения и компьютерного зрения и сегодня с удовольствием поделюсь с вами опытом разработки личного пет-...
Год ожиданий — и мы получили Python 3.12. Изменения, новшества и дополнения Новую версию Python многие разработчики ожидали с нетерпением. Кто-то и не ждал, поскольку вполне достаточно было возможностей прежней версии. Но Python 3.12 таки выпустили, сейчас стало известно, что эту ветку будут поддерживать полтора года, а потом для нее станут формир...
Cisco предупредила о критической RCE-уязвимости в своих продуктах Компания Cisco предупреждает, что некоторые из ее продуктов Unified Communications Manager и Contact Center Solutions уязвимы перед критической ошибкой, допускающей удаленное выполнение кода.
Железо, способное чувствовать: как высокие технологии помогают в протезировании В ноябре 2023 года китайские учёные заявили о новом изобретении: исследователи Южного научно-технического университета показали структуру, имитирующую подушечки человеческих пальцев. Миниатюрное устройство с датчиками безошибочно определяет текстуру предметов и в перспективе...
Ozon Tech Community 1C Meetup Как сделать жизнь 1С разработчика проще? У нас есть ответ.Всем привет, меня зовут Евгений, я руководитель группы разработки финансовых систем 1С. Приглашаю вас на Ozon Tech Community 1C Meetup, 10 октября в Санкт-Петербурге.На встрече обсудим целую палитру тем: от подходов п...
Облачная трансформация ИТ инфраструктуры современной компании. Практический опыт Х5 Group Привет, меня зовут Максим Осорин, я руковожу Х5 Облаком в Х5 Group. Хочу рассказать про то, как мы трансформируем ИТ инфраструктуру крупнейшего в стране продуктового ритейлера. Зачем это нужно, как мы это делаем, с какими сложностями сталкиваемся и как их преодолеваем.Данная...
Столетняя война. Развитие DRM: от аналогового телевидения до онлайн-кинотеатров Привет, Хабр! Меня зовут Матвей Мочалов, я — компьютерный инженер по образованию и технический писатель у cdnnow!. А также я люблю историю, особенно — историю технологий. Разные формы потокового видеоконтента присутствуют в нашей жизни уже больше века. От монохромной и ...
Zyxel патчит критические баги в межсетевых экранах, точках доступа и NAS Компания Zyxel устранила многочисленные уязвимости в своих продуктах, включая ряд критических. К примеру, эти баги могут позволить неаутентифицированному злоумышленнику выполнять команды на уязвимых NAS компании.
Лучшие бесплатные ресурсы для изучения этичного хакинга и кибербезопасности Информационная безопасность (ИБ) или кибербезопасность – это одна из самых важных и актуальныхобластей современной науки и технологий. В условиях постоянного развития интернета, киберпреступности и глобальной информатизации, специалисты по инфор...
Оптимизация DevOps: Как персональные стенды и Grafana улучшают разработку и мониторинг Всем привет, меня зовут Зуев Алексей, и я работаю DevOps-инженером в компании Bimeister! Сегодня я расскажу вам о том, как мы облегчаем жизнь нашим разработчикам и как разработчик может отследить состояние своего микросервиса в namespace Kubernetes. Основная цель этой статьи...
Что скрывается под капотом НейроМенделеева Всем привет! Недавно мы запустили бота, в котором воплощён образ Дмитрия Менделеева (очень важная личность для СИБУРа), в том числе внешность. Он может всякое. Например, рассказывать факты из области химии и науки, отвечать на любой рабочий вопрос и подсказывать правильное р...
Инфраструктурный пентест по шагам: инструменты, методологии и разведка В этой статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры. Начнем с теории — того, по каким схемам действуют хакеры и как знание этих шаблонов помогает в работе пентестера. Затем перейдем к выбор...
Декодирование файла, поиск уязвимости и взлом пароля. Решаем задачи по сетям из KnightCTF 2024 Привет, Хабр! В прошлой статье я рассказывал о турнире KnightCTF 2024, который организовала команда из Бангладеша. Но туда вошли не все задачи. Под катом расскажу еще о четырех из категории networking. Читайте далее — узнаете, как получить секретную информацию в bash-histor...
Как лучше проводить one-to-one со своими сотрудниками: 5 лайфхаков из личного опыта Если вы занимаете руководящую должность, очень важно регулярно проводить индивидуальные встречи с сотрудниками из своей команды. “Зачем, если я и так вижу их каждый день, и мы обсуждаем все, что происходит?”. Эти встречи не только помогают понимать, как чувствуют себя коллег...
Каждый айтишник желает знать: корпоративное обучение в МТС Тета Привет, Хабр. Меня зовут Максим Яровой, я руковожу внутренним центром развития и обучения IT-специалистов – МТС Тета.Одна из основных проблем обучения в IT-секторе в том, что учебные программы часто отстают от быстро развивающейся индустрии. МТС Тета была создана два года на...
Мошенники. Вектор атаки на айтишников через LinkedIn Кажется, только что испытал на себя новый вектор атаки на айтишников. Почему думаю, что на айтишников? Потому что через LinkedIn и, очевидно, с айтишников есть, что взять. Читать далее
Обнаружен критический дефект в популярном инструменте сжатия Fedora Linux В последних версиях библиотек сжатия xz, широко используемых в дистрибутивах Linux, обнаружена критическая уязвимость. Об этом сообщают специалисты по безопасности Red Hat, призывая пользователей Fedora принять срочные меры.
Разработка децентрализованных приложений на Spring Boot: инструменты Web3 Tech Привет! Меня зовут Даниил, я разработчик в Web3 Tech. Недавно в JVM-инструментарии для нашей основной платформы «Конфидент» состоялся новый релиз, в который вошли библиотеки клиента для взаимодействия с нодой и Spring Boot стартеры. Далее в посте я расскажу об этих библиотек...
Приключение на 20 минут: как войти (и не выйти) в готовую автоматизацию на проекте Всем привет, меня зовут Никита, и я QA-инженер в компании Bimeister. Мы помогаем промышленным предприятиям с цифровой трансформацией. Грубо говоря, помещаем завод с детализацией до каждой балки в окно браузера. Сейчас я работаю в компании чуть больше полугода, поэтому по све...
Как увеличить продажи, познакомившись со своей ЦА Как компаниям исследовать целевую аудиторию, в каких каналах искать потенциальных покупателей и как увеличить продажи благодаря пониманию, что на самом деле нужно вашим клиентам? Приходите 29 февраля в 15:00 мск на вебинар, чтобы узнать. Ольга Андреева, директор по страте...
Как совмещать работу с учебой. Что-то про тайм-менеджмент Всем привет! Меня зовут Даша и я системный аналитик компании SM Lab. Работаю в команде Brand Planning Tool. Наша команда BPT помогает брендам (таким как Fila, Demix, Northland) запускать новые коллекции. В этом я году закончила бакалавриат и поступила в магистратуру по напр...
JetBrains исправила сразу 26 уязвимостей в TeamCity Пользователям JetBrains TeamCity настоятельно рекомендуется установить последнее обновление, так как разработчики сообщают, что устранили в CI/CD-решении сразу 26 уязвимостей. Стоит отметить, что никакие данные о проблемах не раскрываются, и ранее специалисты Rapid7 уже крит...
Путешествие в глубины сети с Shodan – поисковой системой, открывающей двери в неизведанное ВведениеКак говорится, добрый день! Сегодня я хотел бы поведать вам небольшую тайну. Мало кто знает, но неправильная настройка устройств тоже является уязвимостью и зачастую большинство атака производятся именно за счёт этого. Так как в данной статье мы будем рассматривать п...
HypEx и мэтчинг. Эксперимент без A/B-тестирования? Привет, Хабр! Меня зовут Дмитрий Тихомиров, я работаю в блоке «Финансы» в команде разработки HypEx (Hypotheses and Experiments) — open source-библиотеки для Python. Наша команда хотела придумать ёмкое название для фреймворка, чтобы оно отражало суть происходящего и помогало ...
Начались массовые атаки на уязвимость Citrix Bleed Исследователи предупреждают, что злоумышленники уже используют уязвимость Citrix Bleed (CVE-2023-4966) для атак на правительственные, технические и юридические организации в Северной и Южной Америке, Европе, Африке и странах Азиатско-Тихоокеанского региона.
Маркетологам для счастья нужно 250 тысяч рублей в месяц Представители разных профессий рассказали, сколько денег им денег нужно для счастья: самые высокие требования — у программистов, главных бухгалтеров, врачей и маркетологов. В опросе сервиса по поиску высокооплачиваемой работы SuperJob приняли ...
Выявление проблем в log-файлах с помощью аналитики Привет, Хабр!Log-файлы систематически записывают хронологию событий, происходящих в системе (или приложение). Это может быть что угодно: от записи о запуске программы до детальной информации об ошибках и предупреждениях. Для нас log-файлы — это не просто дневники событий, а ...
Как мы меняли чат-бот ВТБ для мессенджера ВКонтакте до прода и после Привет, Хабр. Меня зовут Мурат Атила, я фронтенд-разработчик в ВТБ. Недавно мы рассказывали на Хабре о запуске банка в мессенджере «ВКонтакте». В комментариях вы спрашивали про изнанку решения — и коллеги призвали меня ответить и рассказать побольше о том, как мы создавали б...
SSRF-уязвимость в Ivanti используется для установки бэкдора DSLog ИБ-эксперты обнаружили, что свежая 0-day уязвимость CVE-2024-21893, затрагивающая решения Ivanti Connect Secure, Policy Secure и шлюзы ZTA, используется для установки нового бэкдора DSLog на уязвимые устройства.
Астрономы исследовали старейшее рассеянное скопление Млечного Пути Используя данные космического аппарата Gaia Европейского космического агентства (ESA), группа астрономов из Турции и Индии исследовала NGC 188 — старое рассеянное звёздное скопление в нашей галактике. Результаты исследования дают важную информацию о пара...
Путь к мечте: как инвалидность не помешала стать разработчиком и продолжить борьбу за здоровье Меня зовут Станислав Герасимов, 31 год, я разработчик. Хочу рассказать свою жизненную историю и о том, как я, преодолевая трудности и преграды, шел и иду к своим мечтам — стать профессиональным разработчиком, поправить здоровье и найти друзей. Читать далее
[Перевод] 15+ Инструментов на базе искусственного интеллекта для разработчиков Перевод статьи https://www.marktechpost.com/2023/12/04/15-ai-tools-for-developers-august-2023.От переводчика: Выбор темы современных инструментов на базе ИИ оказался для меня не только хайповым, но и лично значимым. Мой интерес к этой области возник из желания совместит...
ГОСТ 57580: как финансовым компаниям защищать критические данные Сегодня обсудим нюансы работы с критически важными данными финансовых организаций: — какие стандарты регулируют применение средств защиты информации;— как банки могут хранить и передавать данные, минимизируя риски;— на что обратить внимание, работая с облаком.Поделимся ...
Как исследовать текст в интерфейсе Привет! Меня зовут Анна Мурашова, я UX-исследователь М.Тех (М.Видео-Эльдорадо). Не будет преувеличением, если скажу, что текст в интерфейсе — это самый важный тип контента на наших сайтах и в мобильных приложениях. Благодаря тексту пользователи:• подбирают товары по характер...
Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам Рассказываем, как работать с CI/CD, о шагах при настройке сервера и о полезных командах, которые помогут в работе. Привет! Меня зовут Николай, я Backend-разработчик в РЕЛЭКС.В статье ты найдешь полезный теоретический материал, сравнение инструментов CI/CD и подробный гайд п...
Как IT-специалисты помогли выиграть суд у банка Статья о том, как в суде при помощи разработчиков удалось оспорить кредитный договор, оформленный на человека жуликами. Автор статьи выражает благодарность разработчикам Роману и Александру. Специалисты проделали огромную и кропотливую работу, нашли выход в безнадежной (с то...
Google разрешил подросткам пользоваться своим чат-ботом с ИИ, но с ограничениями Google расширяет доступность Bard для подростков по всему миру. Приоритетным направлением деятельности чат-бота является обеспечение безопасности, поэтому для них он оснащен «защитными ограждениями», обеспечивающими безопасность цифрового пространства.
Как оценить задачи без Planning Poker и лишних слов Привет, Хабр!Меня зовут Александр, я занимаюсь релиз менеджментом в ИТ-компании TAGES. Эта работа требует быстрой поставки бизнес-ценности в условиях меняющегося мира. Однако непрерывность регулярных деплоев невозможна без четкого плана. А правильный план, в свою очередь, тр...
Самый популярный автомобиль УАЗа — «Буханка», а вовсе не «Патриот» УАЗ раскрыл статистику продаж своих автомобилей в прошлом году. Всего за 2023 года с конвейера Ульяновского автозавода сошло 39 453 автомобиля – на 15% больше, чем в 2022 году. Из них продано 37 412 авто. Фото: УАЗ Бестселлер вовсе не «Патриот», а ста...
Радикальная защита селфхостинга. Уровень: хардвар и хардкор Сейчас у многих есть свой личный сервер. Насколько вы задумывались о безопасности? Настроили вход по ssh-ключам, firewall и на этом всё? Давайте поговорим про РЕАЛЬНУЮ безопасность.Эта статья о том, как запариться, распилить свой ноутбук болгаркой, вставить туда микроконтрол...
Backend-разработчик: из стажера в джуны Всем привет! Меня зовут Егор, я стажёр backend-разработчик в зарплатном проекте Росбанка (он же Payroll). В этой статье я расскажу про путь становления от «зеленого» стажера до боевой единицы в команде: через что мне пришлось пройти, с какими трудностями я столкнулся и как п...
«Цифровой археолог» обнаружил копию самой старой версии DOS. Как работала и выглядела 86-DOS 0.1? Далеко не все IT‑специалисты, не говоря уже про обычных пользователей, сталкивались с Windows 3.11, Windows 95 и другими относительно старыми операционными системами. Что уж и говорить про MS‑DOS или его предшественников.Но недавн...
Метаболизм и долголетие. Личный опыт Этот текст - логическое продолжение описания моего инженерного подхода в вопросе долголетия. Если вы не читали предыдущую статью, то рекомендую ознакомиться. Текущая же статья потребует 10 минут вашего внимания, но может добавить 10 лет к вашей жизни (но может и не доба...
Алгоритмы вокруг нас Привет, друзья! Меня зовут Алмаз. Я специалист по НСИ (нормативно-справочной информации) в компании Bimeister. Маленький дисклеймер. Данная статья – материал для размышления. В особенности для людей, которые разрабатывают новые алгоритмы и реализуют их. Читать далее
Ушедшие из Apple сотрудники чаще всего попадают в Google Удивительно, но анализ данных показал, что наиболее вероятное место назначения бывших сотрудников Apple - не кто иной, как Google. Миграция талантов в технологической отрасли обнажилась, показав, что Apple, лишаясь персонала, сама того не ведая, предоставляла их Intel, Micro...
Усилители Wi-Fi сигнала D-Link уязвимы перед удаленным выполнением команд Группа исследователей RedTeam обнаружила проблемы в популярном усилителе Wi-Fi сигнала D-Link DAP-X1860. Найденная специалистами уязвимость позволяет осуществлять DoS-атаки (отказ в обслуживании) и удаленное внедрение команд.
Protestware: найти и обезвредить Protestware: найти и обезвредить Привет, Хабр! Меня зовут Владимир Исабеков, я работаю в Swordfish Security, где занимаюсь динамическим анализом приложений. Сегодня мы поговорим о таком явлении, как Protestware, когда вредоносный код встраивается в открытые программные компо...
Playground. Как сэкономить время на настройке локальной среды Привет, Хабр! Меня зовут Никита, и я Go-разработчик. В свободное от работы время я интересуюсь платформенной разработкой, а в рабочее — практикую в команде PaaS в СберМаркете. Моя специализация — локальное окружение разработчика и тулинг. Главная метрика, на которую работает...
Расчёт вкусов пользователя для ленты рекомендаций с применением item2vec-подхода Ежемесячная аудитория ОК только в России превышает 36 млн человек. Причём это активные пользователи, которые хорошо взаимодействуют с нашим контентом: ставят Классы, комментируют, делают репосты. Залогом активного отклика во многом является формирование новостной ленты с уче...
Готовимся к собеседованию по Rust: 4 самых частых вопросов. Часть 1 Привет, Хабр!Rust — язык программирования с акцентом на безопасность, скорость и параллелизм. Rust решает многие проблемы, с которыми сталкиваются на других ЯП, например, управление памятью без сборщика мусора. Очевидно из-за многих преимуществ Rust выбирают все большей комп...
Security Week 2413: аппаратная уязвимость в процессорах Apple Большой новостью прошлой недели стало объявление о научной работе исследователей из ряда университетов США, демонстрирующей аппаратную уязвимость GoFetch в процессорах Apple M1 и M2 (сайт проекта, сама научная работа, подробное описание в статье издания Ars Technica). Уязвим...
Apple патчит сразу две 0-day в iOS Компания Apple выпустила экстренные патчи для устранения двух уязвимостей нулевого дня в iOS, которые уже использовались злоумышленниками в атаках.
Как разработчику организовать личную базу знаний: систематизация информации из книг, статей, видео и курсов Привет, Хабр!Хочу поделиться своими мыслями и опытом («сыном ошибок трудных») в организации своей базы знаний, регулярно приобретаемых после прочтения разных книг, статей, просмотра видосов, прохождения курсов и прочих самообразовательных активностей.Начнем с краткой предыст...
Canon исправляет семь критических уязвимостей в своих принтерах Компания Canon объявила о выпуске патчей сразу для семи критических уязвимостей, затрагивающих ряд моделей принтеров, ориентированных на малый бизнес.
Инструменты автоматического тестирования безопасности QA На тему автоматизации тестирования написано множество статей, посвященных различным инструментам QA в рамках процессов DevOps. В этой статье мы тоже будем говорить об автоматизации тестирования, но уже в контексте процессов DevSecOps. DevSecOps по своей сути является логичны...
Обнаружена "самая опасная" уязвимость в DNSSEC В протоколе безопасности DNSSEC найдена уязвимость, которая может нарушить работу DNS-серверов (в частности, такого ПО как BIND), а также сервисов Cloudflare и Google Public DNS.
Как автоматизация помогает в поисках уникальных специалистов В 2024 год российский бизнес вошёл в состоянии острой конкуренции за людей: согласно одному из опросов hh.ru, сроки закрытия вакансий выросли в 1,5 раза. Особенно усложнился поиск кандидатов с редким опытом, с уникальными знаниями и ...
Ошибки и подозрительные места в исходниках .NET 8 Каждый год выходит новая версия .NET. Это событие не только предоставляет нам возможность познакомиться с последними улучшениями в самом .NET и нововведениями в языке, но и даёт повод исследовать исходный код .NET. Нужно воспользоваться этим шансом! Читать далее
Построение AppSec в огромном Enterprise и опыт его применения в бирюзовой компании Речь пойдёт о трудностях работы инженеров по безопасности в крупной компании – как команда выстроила AppSec и как выбранный подход помог сделать безопаснее “бирюзовую” команду и огромный Enterprise в целом. Это история о самоорганизации, зрелости и уменьшении количества...
Что быстрее: Animated + useNativeDriver или Reanimated? Привет! Меня зовут Денис, я мобильный разработчик в СберМаркете. Пишу на React Native и люблю анимации, ведь они дают жизнь нашим проектам :)В этой статье попробуем разобраться, что же все таки работает быстрее: React-Native-Reanimated или Animated + useNativeDriver: true.Бу...
Zoom обновляет безопасность Zoom выпустил обновления для своих приложений на Windows, Android и iOS, исправив несколько серьезных уязвимостей безопасности, включая проблемы с привилегиями, шифрованием и контролем доступа.
[Перевод] Безопасность памяти меня не волнует Фото с сайта платформы CHERIoT, проекта Microsoft по решению проблем с доступом к памяти IoT-устройств на аппаратном уровне Такое заявление может показаться странным для тех, кто более десяти лет работает над обеспечением безопасности памяти на аппаратном уровне, так что я...
Как устроен @State в SwiftUI Привет! Меня зовут Илья, я iOS разработчик в компании Банки.руУже больше двух лет наше приложение мы пишем на SwiftUI. В статье расскажу о Property Wrapper'е @State. Читать далее
[Перевод] Кандидатура — старший инженер-программист. В должности отказать… Привет, Хабр!Недавно команде разработки beeline cloud попалась вот такая статья. И оказалась она довольно дискуссионной. Настолько, что мы решили ее перевести и узнать мнение широкой аудитории — а кто же, по вашему мнению, достоин называться синьором?Похвально, когда ради ка...
Инструкция по SCA: генерация SBOM, инструменты, отличия Анализ сторонних компонентов ПО становится всё более актуальным в свете увеличения числа уязвимостей в открытом исходном коде. Популярные репозитории содержат более 20 тысяч потенциально опасных пакетов. Сегодня мы поговорим о спецификации SBOM (Software Bill of Material), о...
5 основных ошибок в опросах сотрудников Проведение опросов сотрудников является одним из самых эффективных способов сбора этой ценной информации. Однако, чтобы опросы были действительно полезны, они должны быть правильно организованы.Цель данной статьи — обратить внимание на пять наиболее ...
Домашний сервер GameDev разработчика. Где найти железо? Всем привет, меня зовут Иван, я программист C++ в области GameDev'а и в момент написания статьи специализируюсь на Unreal Engine.Тема домашних серверов, конечно, не нова, но у всех есть свои требования и подход к решению этой задачи. Вот и я после успешного запуска подобного...
[Перевод] GPU-вычисления в браузере на скорости нативного приложения: марширующие кубы на WebGPU WebGPU — это мощный GPU-API для веба, поддерживает продвинутые рендеринговые конвейеры и вычислительные конвейеры GPU. WebGPU ключевым образом отличается от WebGL своей поддержкой вычислительных шейдеров и буферов хранения данных. В WebGL такие возможности отсутствуют, а Web...
Анализ 10 000 вопросов с технических интервью: частотность и вероятность встречи Привет, Хабр! Я проанализировал 600 публичных мок-интервью с YouTube и собрал из них 10 000 уникальных вопросов. Затем посчитал, как часто они встречаются, и определил вероятность появления каждого вопроса. У меня есть данные по 20 профессиям, включая frontend, python, java-...
Бесплатный сыр в мышеловке, или сказка о потерянном времени Как я выбирал SGRC систему сегмента МСП.Автор: Даниил Камбулов, директор по развитию Smart-TradeНачиная с 2022 года государственный и коммерческий сектора нашей страны находятся под шквалом кибератак. Защита критических айти-процессов превратилась из вчерашней роскоши в сего...
Как мы в TestIt мигрировали Привет, Хабр! Меня зовут Евгений Токарев, я руководитель группы автоматизированного тестирования в Innostage. Хочу поделиться нашим опытом выбора новой TMS и миграции достаточно большого количества тест-кейсов практически одной кнопкой.Поехали! Читать далее
Чат-бот Nvidia ChatRTX имеет большие проблемы с безопасностью. Компания уже выпустила обновление Чат-бот Nvidia ChatRTX оказался проблемным. Как выяснилось, все ранние версии ПО имели серьёзные уязвимости, из-за чего компании пришлось срочно выпускать патч. создано DALL-E ChatRTX, ранее известный как Chat with RTX, в версии вплоть до ChatRTX 0.2 имел серьёзн...
Тайвань показывает зубы: производители чипов сталкиваются с ограничениями Тайвань усиливает защиту ключевых технологий страны. Так, правительство Тайваня обнародовало список из 22 технологий в пяти секторах производства (оборона, космос, сельское хозяйство, полупроводники и информационная безопасность ), которые будут дополнительно защищены от ут...
Уязвимость Apple Mac приведёт к утечке ключей шифрования Большинство вариантов устранения неполадок серьёзно влияют на производительность процессоров M1, M2 и M3.
Почему вам стоит отказаться от использования timestamp в PostgreSQL Не секрет, что работа с часовыми поясами — боль, и многие разработчики объяснимо стараются ее избегать. Тем более что в каждом языке программирования / СУБД работа с часовыми поясами реализована по-разному.Среди тех, кто работает с PostgreSQL, есть очень распространенное заб...
Россияне чаще всего завозят Volkswagen и Toyota по параллельному импорту, согласно данным АО «ГЛОНАСС» В прошлом году в Россию по системе параллельного импорта чаще всего завозили автомобили брендов Volkswagen и Toyota, как сообщили ТАСС в АО «ГЛОНАСС». Всего за 2023 год к системе «ЭРА-ГЛОНАСС» подключили более 60 тыс. транспортных средств европей...
АвтоВАЗ очень скоро возобновит производства Lada Vesta с подушками безопасности: подробности Инсайдерский паблик Avtograd News поделился подробностями о возобновлении производства Lada Vesta с подушками безопасности. Такие автомобили начнут сходить с конвейера ориентировочно 20 февраля. Фото: Lada «Для версий с двигателем 1.8 л 122 л.с. и вариатором пред...
«ПолиАналитика»: интеллектуальная основа «Системы-112» Николай Муравьев, руководитель направления ИАС компании «ПолиАналитика», – о создании аналитической подсистемы «Системы-112» Московской области и ее роли в повышении общего уровня безопасности в регионе.
В США скоро представят первый в мире коммерческий орбитальный самолёт В США с конвейера скоро сойдёт первый в мире коммерческий самолёт для выхода на орбиту. Разработчик самолёта — компания Sierra Space.
Готов ли Swift OpenAPI Generator для продуктивного кода? Привет! Меня зовут Андрей, я iOS-разработчик приложения «Пункт Ozon». С помощью него сотрудники пунктов выдачи Ozon выдают посылки, принимают возвраты, проводят инвентаризации. Мы хотим упростить работу с OpenAPI-спецификациями, внедрив кодогенерацию для автоматического...
Как устроен онбординг в больших компаниях: личный опыт Привет! Меня зовут Маша Сафронова, и я уже почти 3 месяца работаю младшим продуктовым дизайнером в Lamoda Tech. За последний год я успела пройти стажировку и поработать в двух других крупных IT-компаниях, а еще раньше я переучилась и пришла в дизайн из другой профессии. ...
Почему Accelerate — это не страшно Всем привет! Я Игорь Белов, iOS-разработчик в Тинькофф Бизнесе, выпускник Университета Иннополис и энтузиаст в области Computer Science. Занимаюсь iOS-разработкой почти четыре года, мне нравится изучать фундаментальные темы программирования и разбираться, как все работает по...
Суровая правда о разработчиках и разработке. Part 2. Три года спустя Почти три года назад, в эпистолярном порыве, написал я значит дискуссионную статью посвященному текущему состоянию рынка IT. Для нашей отрасли три года — это достаточно большой срок, поэтому самое время подвести промежуточный итог с моей не самой выс...
Первый взгляд на Termit 2.0 — российскую систему терминального доступа Хабр, привет! Меня зовут Алексей Ватутин, я руководитель практики инфраструктуры рабочих мест в компании К2Тех. Мы с командой давно изучаем рынок корпоративного ПО, но с тех пор, как российские разработчики пустились догонять и обгонять зарубежных, мониторить новинки стало в...
Apple выпустила iOS 17.1.2 и рассказала, что будет в версии 17.2 На днях Apple объявила о выходе обновления iOS 17.1.2 и порекомендовала срочно его установить всем пользователям, так как апдейт принёс исправления уязвимости и защиту от мошенников.
Как поддерживать себя в кибербезопасной форме: инструкция по самообразованию в IT на примере ИБ Привет, Хабр! Меня зовут Роман Панин, я начал свой путь в ИТ с фронтенда около 10 лет назад. Затем я перешёл в кибербез и успел построить его в нескольких сферах – от нефтянки и финтеха до телекома. А ещё исследовал массу способов получения новых знаний и укрепления твердых ...
Data сontract: давайте попробуем договориться В последнее время всё чаще и чаще натыкаюсь на термин data contract. И для того чтобы не отставать от трендов на рынке data engineering, решил изучать эту тему и рассмотреть тенденции. Постараемся понять с чем его кушать и стоит ли кушать вовсе. Читать далее
DDoS-атаки: ловушки, тренды, способы защиты. Интервью с аналитиком DDoS-Guard Мы поговорили о DDoS-атаках с аналитиком команды защиты инфраструктуры в компании DDoS-Guard Петром Макаровым. Узнали, почему защита обратным проксированием на уровнях L3-L4 — это лукавство, в чём минусы блокировки трафика по IP, какую защиту от атак выбрать при ограниченном...
[Перевод] Что такое сид-фраза? Самой важной составляющей стратегии защиты ваших биткоинов являются сид-фразы. Ваш сид - все, что нужно, чтобы распоряжаться своими монетами: из этих 12 или 24 слов генерируются ключи, которые позволяют тратить ваши средства. Естественно, эта информация является критической ...
Встроенные системы: с какими сложностями сталкиваются разработчики Проектирование встроенных систем подразумевает создание аппаратного обеспечения (печатной платы) и встроенного ПО. На каждом из этих направлений разработчики сталкиваются с неочевидными трудностями – неочевидными прежде всего для заказчиков. Здесь я хотел бы перечислить самы...
На стороне своих правил в ESlint Всем привет! Меня зовут Владимир Земсков, я работаю в B2C билайна, в команде билайн Про, где пишу бэк-офис для нашей системы. Мы помогаем нашей рознице продавать лучше и больше. Для соблюдения нужного уровня качества кода в билайне мы используем и ESlint, и тесты, и ревью, и...
Тестирование для всех: топ книг для начинающих специалистов и не только Привет, Хабр! У многих IT-специалистов есть свой список настольных пособий, которыми они пользуются или изучают. Сегодня поговорим о тестировании. Мы со своей стороны можем порекомендовать книги, так как они помогают не только изучить базовые положения работы тестировщика, н...
Oxlint — более быстрая альтернатива ESLint Друзья, всем привет! Меня зовут Игорь Карелин, я frontend-разработчик в компании Домклик. Недавно стал общедоступен новый линтер «Oxlint», основанный на языке программирования Rust, и многие эксперты высоко оценили его. Какие преимущества Oxlint предоставляет по сравнению со...
Reflection в iOS: как посмотреть содержимое любой сущности В Swift, как и во многих других языках программирования, есть возможность получать информацию о структуре объекта в Runtime. Для этого в языке есть специальный механизм — Reflection. С его помощью можно просматривать содержимое любых сущностей, не зная о них абсолютно ничего...
[Перевод] Мягкое знакомство с дополнительным кодом Недавно, общаясь по видеосвязи с другом, я рассказывал ему о своих идеях по реализации нового продукта. В разговоре я упомянул добавление больших знаковых чисел в ассемблере с использованием дополнительного кода, на что получил от собеседника вопрос: «Что такое дополнительн...
Теперь еще доходнее. «Сбербанк» ввел приятное новшество для клиентов банка Самым крупным, известным и наиболее распространенным банком на российской территории является «Сбербанк», а делать он стремится все возможное ради своего развития, чтобы тем самым зарабатывать как можно больше денежных средств и предлагать жителям России как Читать полную в...
Уязвимость в брандмауэрах Palo Alto Networks находилась под атаками с марта Неизвестные злоумышленники более двух недель успешно эксплуатировали 0-day уязвимость в брандмауэрах Palo Alto Networks, предупредили специалисты из компании Volexity. Проблема получила идентификатор CVE-2024-3400 (10 баллов по шкале CVSS) и представляет собой уязвимость в...
Обновления LibreOffice 7.6.2 и 7.5.7 устраняют критическую уязвимость WebP Уязвимость была обнаружена в широко используемой библиотеке libwebp.
В Яндексе представили «Яндекс Карты» с персональными рекомендациями Команда Яндекса объявила о запуске полезного обновления фирменного картографического сервиса. Теперь «Яндекс Карты» используют новую технологию персональных рекомендаций. Она умеет подбирать места в городе для пользователей на основе их истории построения ма...
Истории взлома email. Кому это нужно и сколько стоит Взлом email — прежде всего целевая атака. А еще это старая, дешевая и традиционно популярная услуга в даркнете. Мы решили выяснить, за какую сумму можно заказать взлом чужого ящика и как злоумышленники обычно достигают цели. Обзор «рынка» услуг, свежие примеры атак на ...