The Secret Mission of the MacBook Neo: How Apple Is Silently Turning the iPhone into a Full-Fledg...
In this video, we'll explore the biggest tech intrigue of 2026. Why did Apple release the $599 MacBook Neo with an iPhone 16 processor? Is this simply a waste of excess chips, or is this a strategic Trojan horse? In this episode: The End of the Windows Monopoly: How Google, with its new...
Пост-квантовый гибридный алгоритм шифрования для высоко-нагруженных систем с реализацией на TypeScript
Новый пост-квантовый гибридный алгоритм шифрования для высоко-нагруженных систем с реализацией на TypeScript. Ring-LWE, работа с ключами с использованием MAC и SHAKE-256, защита от основных видов атак и другие мысли в реализации протокола QuarkDash. Читать далее...
Делаю менеджер политик Browser Policy Manager для Firefox. Буду рад обратной связи
Идея этого проекта пришла мне в голову около семи лет назад, но до реализации я добрался только сейчас, т.к. есть некоторое время на это, пока ищу новую работу. Ну, и важно упомянуть, что я уже более 10 лет занимаюсь русской локализацией продуктов и сервисов Mozilla. Мы привыкли говорить о защите...
Секреты Docker Swarm: как сделать их одноразовыми с помощью именованных каналов (FIFO)
Docker Swarm предоставляет встроенный механизм управления секретами: пароли, ключи API и сертификаты передаются в контейнеры через зашифрованный канал и монтируются в /run/secrets/. Звучит безопасно — пока вы не осознаете, что любой пользователь с доступом к docker exec может прочитать эти секреты...
Восточные и западные корпорации. Где больше бессмысленной работы и почему это не зависит от культуры
Вы когда-нибудь слышали истории о японских офисах, где сотрудники остаются до полуночи, даже если работы нет, просто потому что «так принято»? А о китайских фабриках, где рабочие живут в общежитиях при заводе и выполняют команды с военной дисциплиной? А об американских стартапах, где «свобода и...
Топ самых интересных CVE за март 2026 года
Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января. Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко...
Эксперимент: поиск неслучайностей в AES-CBC на 500k сэмплах
Привет, Хабр! Сегодня я расскажу, как пытался анализировать поведение AES-128-CBC на 500 000 выборках шифротекстов. Читать далее...
Деньги, время и ковры: скрытые затраты на переговорные комнаты с BYOD
Привет, Хабр! Я Дмитрий Белозеров из МТС Линк, моя команда отвечает за ПО и оборудование для переговорных комнат и сервис Rooms. Сейчас BYOD-системы для переговорок — это мастхэв. Простота подключения, независимость от вендора и сниженные затраты на обслуживание — это то, что привлекает компании....
Как мы в CodeScoring модель для поиска секретов готовили
Расскажем, как нам удалось повысить качество определения истинных секретов в результатах сканирования кода с 0.70 до 0.90 PR AUC с помощью LLM. Читать далее...
Персональные MTProto-прокси
Пока мы ждём, что в Telegram наконец раскатится обновлённая реализация Fake-TLS, хочу рассказать о своей реализации MTProto-прокси 2018 года, которая снова становится актуальной, и об одной из её уникальных возможностей. MTProto-прокси — решение для обхода блокировок Telegram в странах с...
Эксперимент: ПГСЧ на таймерах с помощью PHP
Добрый день! Сегодня расскажу, как с помощью PHP создать генератор случайных байт ( чисел ) с помощью 12 таймеров. Энтропия данного генератора составляет примерно 7.1 бит на символ ( у меня ), но на более мощном железе может подняться до 7.9–8, что по идее неотличимо от истинной случайности. Вот,...
Почему DevOps становится узким местом — и как это решают платформы
Во многих командах сегодня все выглядит «как положено»: Kubernetes, CI/CD, Terraform, DevOps-команда на месте. Но по мере роста системы появляется другой эффект: разработка тормозит не из-за кода, а из-за инфраструктуры. Любое изменение проходит через одну точку — DevOps. И дело не в том, что...
В фокусе RVD: трендовые уязвимости марта
Хабр, привет! На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в марте, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по...
Как DNS-фильтрация защитила от компрометации axios в реальном кейсе
31 марта 2026 года один из самых популярных npm-пакетов в мире превратился в оружие. Разбираем, как устроена атака на цепочку поставок через axios, почему классические средства защиты могут не выручить на этапе заражения – и как DNS-уровень оказался барьером, который предотвратил крупнейший...
Распределение ответственности по обеспечению информационной безопасности в коммерческом SaaS
Привет! Меня зовут Леонид Плетнев, я бизнес-партнер по информационной безопасности в 1С-Битрикс. Современные онлайн-сервисы по автоматизации бизнеса позволяют быстро создать портал и получить полезную функциональность: мессенджер, видеозвонки, совместная работа с документами, CRM, ИИ-помощник и...
Когда бэкап — последний «выживший»: почему обычные резервные копии не спасают
За последние годы атаки заметно изменились. Если раньше шифровальщики ограничивались отдельными серверами или рабочими станциями, то теперь они целенаправленно идут к системе резервного копирования. Если это удается — атака уже выиграна, даже если остальная инфраструктура формально еще работает. В...
RBACX — что изменилось за полгода: от простого RBAC/ABAC до ReBAC с ИИ-генерацией политик
Полгода назад написал первую статью про RBACX — RBAC/ABAC-движок авторизации для Python. С тех пор вышло 25+ релизов, и библиотека стала заметно мощнее: добавил ReBAC с поддержкой OpenFGA и SpiceDB, пакетную проверку прав, ИИ-генерацию политик из OpenAPI-схемы, Redis-кэш, async Django, шортхэнд для...
Заставляем голосовых ассистентов Марусю и Салют материться без принуждения и спецсредств
Всем привет! В какой-то момент у меня появился простой вопрос: «А можно ли заставить ассистента произнести что-то, что он в норме говорить не должен?» Без API, без навыков программирования, без автоматизации и т.п. Оказалось - можно. Читать далее...