Как мы поймали drift в Kubernetes и зачем после этого перешли на GitOps
История инцидента в продакшене: после планового релиза новая версия сервиса не поднялась, а откат на предыдущую версию тоже не помог. Причина оказалась не в коде, а в расхождении между тем, что было описано в Git, и тем, что реально жило в Kubernetes. Ручная правка ConfigMap несколько месяцев...
(Не) безопасный дайджест: утечка у Booking.com, McKinsey против ИИ-агента и миллион «не туда»
По традиции рассказываем о самых ярких ИБ-инцидентах за последний месяц. В программе по итогам апреля: кража личных фотографий из крупной соцсети, хакерский налет на конфиденциальные данные путешественников и ИИ-агент, который раскрыл секреты консалтинга. Все подробности — под катом. Читать далее...
Порох для мозга: Как нейросети убивают элиту и открывают эпоху дилетантов
Или: Почему рыцарь с мечом больше не нужен, но артиллерист, который умеет считать, — очень 🏰 Пролог: Как порох убил рыцарство Помните рыцарей? Эти ребята в доспехах тренировались с детства, их экипировка стоила целого состояния, а один удар решал исход битвы. Это была элита, доступная немногим. Они...
[Перевод] Поведение как новый критерий идентификации пользователя. Кибербезопасность в эпоху ИИ
Мы живём в эпоху смены парадигмы взаимодействия человека с сетевыми системами, смены того, как люди подтверждают то, что они те, за кого себя выдают. Главные вопросы, которые всегда задавали пользователям, звучали так: «Что вы знаете?» (пароль, PIN-код, девичья фамилия матери), или «Как вы...
Организация нетворкинга внутри команд для повышения эффективности
В этой статье хотелось бы рассказать о неочевидном лайфхаке для поддержания работоспособности команды вдолгую на примерно одинаковом уровне. В своей работе я столкнулась с тем, что команда, которую мне доверили, как-то незаметно очень сильно выросла в количестве и встал вопрос с тем, как наладить...
Когда пет-проект выходит из-под контроля: пишем свой tun2socks и закрываем дыры в Android VPN
Всё началось чисто по приколу. Недавно в сети поднялась шумиха вокруг уязвимости VLESS-клиентов: оказалось, что даже при использовании сплит-туннелирования (когда VPN включен только для избранных приложений), любое «шпионское» приложение на телефоне может узнать IP-адрес вашего VPN-сервера....
Как сайты собирают цифровой отпечаток пользователя — почему VPN больше не спасает (О Fingerprinting)
Я раньше был уверен, что понимаю, как работает отслеживание в интернете. Очистил cookies - чист. Включил VPN - спрятался. Поставил блокировщик - стал почти невидимым. Звучит логично, правда? Проблема в том, что всё это работает только на уровне, который уже давно не является основным. Современные...
[Перевод] FastCGI исполнилось 30 лет, и он до сих пор лучше HTTP для прокси-к-бэкенду
Знаете, кому 29 апреля стукнуло 30 лет? Спецификации FastCGI. Тридцать лет с 1996 года. Погодите. Эта заметка не про ностальгию по .fcgi-скриптам, которые на каждый запрос форкали отдельный процесс и которыми сегодня никто не пользуется. И не про CGI вообще. Разговор о другом. У нас всех в проде...
Cursor всё сломал, но виноват не Cursor: как сжатие контекста превращает AI-агентов в бюро несчастливых случаев
Николай Гусев · 29 апр в 12:00 · Старший инженер внедрения, Группа Астра «NEVER FUCKING GUESS! - и именно это я и сделал. Я угадал, что удаление staging volume через API будет ограничено staging-окружением. Я не проверил. Я не читал документацию Railway.» - AI-агент Cursor на Claude Opus 4.6,...
Конфигурационный аудит веб-сайта с Termux на android за 15 минут. curl, ssl, dig — без взлома и без root
Анализ публично доступных HTTP-ответов и DNS-записей без аутентификации и активного вмешательства. Проверке подвергается только внешняя конфигурация: HTTP-заголовки, TLS/SSL, DNS, открытые порты. Уязвимости не эксплуатируются, нагрузки на сервер нет. Читать далее...
Как шифровать сообщения в любом мессенджере и соцсети
В нынешних условиях многим пользователям приходится по принуждению использовать незащищённые мессенджеры и социальные сети, то есть скомпрометированные каналы связи. К счастью, есть возможность передавать секретные зашифрованные сообщения по публичным открытым каналам. Это стандартная задача,...
Как за 300 рублей и 6 часов получить прошивку уровня синьора?
Полгода прошло с первой статьи https://habr.com/ru/articles/969230/ , вариометр летает и сигнализирует о наборе высоты и о потере высоты, пилоты довольны. Код сыроват конечно. EMA фильтр стоит, линейная архитектура стоит, записи высот в полете нет и экспорта нет. Как-то работает. Но можно...
Как я написал E2EE-мессенджер на Spring Boot и WebCrypto — и почему сервер не видит сообщения
Привет, Хабр. Я Java-разработчик и в основном работаю с backend: Spring Boot, базы данных, интеграции, авторизация, WebSocket — всё то, что обычно находится за интерфейсом. В какой-то момент я поймал себя на мысли: я каждый день пользуюсь мессенджерами, но плохо понимаю, как они устроены внутри....
Sony CMD-J7: шедевр инженерной мысли из 2001'ого
В прошлой статье мы с вами полностью разобрали схемотехнику и изучили компонентную базу легендарного телефона из 90-х годов - Motorola StarTAC. Девайс 1997 года отличался очень низким уровнем интеграции: даже такие базовые вещи, как модем (бейсбенд), DSP и RF-фронтэнд представляли из себя отдельные...
Почему Big Data стек небезопасен по своей природе
Год назад на рандом-кофе мы с коллегой обсуждали так называемую (мной) цифровую экологию и проблемы работы с большими данными, и он мне посоветовал доклад "The Unbelievable Insecurity of the Big Data Stack" с конференции Black Hat USA 2021 - в целом название полностью описывает содержание доклада....
Инструменты не имеют пола
(почему общество перевернуло ярлыки, а природа распределила роли иначе) Вместо вступления В основном цикле мы разобрали, что «технарь» и «гуманитарий» — это не типы личности, а инструменты. Алгоритмы нужны для повторяемости и точности. Паттерны — для адаптивности и распознавания нового. Гибридный...
Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)
50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе. Читать далее...
Когда pull request выглядит нормальным, но ревью на нём всё равно зависает
В AI-first разработке в продукт прилетает всё больше pull request от людей с разной глубиной контекста. Формально такие PR могут выглядеть нормально, но ревью всё чаще упирается не в синтаксис, а в попытку понять, что именно этот набор изменений делает с системой. В статье - почему обычного ревью...
Назад