[Перевод] TLS в HTTP/2
Я написал обзор «http2 explained» и сделал несколько выступлений по поводу HTTP/2. После я получил много вопросов по поводу связки TLS и HTTP/2, поэтому я хотел бы ответить на некоторые из них в данной статье. TLS не обязателен В одобренной спецификации HTTP/2, которая скоро станет официальным RFC,...
Reconnect — уязвимость в Facebook Login
Все очень просто — если мы можем перелогинить пользователя в свой фейсбук то мы можем присоединить свой фейсбук к аккаунту жертвы на других вебсайтах. Жертва загружает нашу страничку и мы получаем доступ к аккаунту жертвы на Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable.com, Vimeo...
Reconnect — уязвимость в Facebook Login
Все очень просто — если мы можем перелогинить пользователя в свой фейсбук то мы можем присоединить свой фейсбук к аккаунту жертвы на других вебсайтах. Жертва загружает нашу страничку и мы получаем доступ к аккаунту жертвы на Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable.com, Vimeo...
[Перевод] Супер-куки на основе HSTS отследят вас даже в приватном режиме
Уже несколько лет все браузеры предлагают настройки для приватного браузинга. В приватном режиме они могут не сохранять куки, историю страниц и временные файлы. Люди, ценящие приватность, полагаются на эту возможность. Но недавно был предложен ещё один способ отследить пользователя даже и в этом...
[Перевод] Супер-куки на основе HSTS отследят вас даже в приватном режиме
Уже несколько лет все браузеры предлагают настройки для приватного браузинга. В приватном режиме они могут не сохранять куки, историю страниц и временные файлы. Люди, ценящие приватность, полагаются на эту возможность. Но недавно был предложен ещё один способ отследить пользователя даже и в этом...
Хабраэффект для 130 000 камер Москвы
Привет, Хабр! Спасибо за неожиданно теплый приём. Высокий рейтинг нашей первой публикации и бурное обсуждение в комментариях окончательно убедили нас в том, что вы довольно отзывчивая аудитория и из этой затеи обязательно выйдет что-то полезное. Сегодня расскажем подробнее о том, как вы можете...
Конференция Mobius 2015 по iOS/Android разработке: анонс докладов
Всем привет! В последние две недели я что-то слегка забегался и перестал следить за докладами, опубликованными на сайте Mobius 2015. Сегодня зашел и офигел: пока я мотался по командировкам, наш программный директор Андрей real_ales Дмитриев замутили нереально крутую программу! Лично мне кажется,...
Аудит безопасности сайта — выявление рисков и угроз
Ни для кого не секрет, что экономическая ситуация сейчас диктует новые правила, в том числе и в конкурентной борьбе. Если раньше «война технологий», кибершпионаж и деструктивные действия были, в основном, уделом больших корпораций или целых государств, то теперь эти методы вполне успешно...
Аудит безопасности сайта — выявление рисков и угроз
Ни для кого не секрет, что экономическая ситуация сейчас диктует новые правила, в том числе и в конкурентной борьбе. Если раньше «война технологий», кибершпионаж и деструктивные действия были, в основном, уделом больших корпораций или целых государств, то теперь эти методы вполне успешно...
[Из песочницы] SibSUTIS CTF 2015: Как мы проводили свои студенческие соревнования
Доброго времени суток! 52 участника, 11 команд, 8 часов – таковы основные цифры соревнования по информационной безопасности SibSUTIS CTF 2015, которое 21 февраля впервые состоялось в Сибирском государственном университете телекоммуникаций и информатики (г. Новосибирск). Хотел бы рассказать, как...
[Из песочницы] SibSUTIS CTF 2015: Как мы проводили свои студенческие соревнования
Доброго времени суток! 52 участника, 11 команд, 8 часов – таковы основные цифры соревнования по информационной безопасности SibSUTIS CTF 2015, которое 21 февраля впервые состоялось в Сибирском государственном университете телекоммуникаций и информатики (г. Новосибирск). Хотел бы рассказать, как...
Распределённый Captive Portal в публичных местах и сложности с Apple
Почитав про метро, хотел, было, комментировать, но решил написать отдельно. Мы участвовали в создании публичных сетей с распределёнными captive portal и наступали практически на все грабли, поэтому хочу поделиться опытом. Подробности...
Распределённый Captive Portal в публичных местах и сложности с Apple
Почитав про метро, хотел, было, комментировать, но решил написать отдельно. Мы участвовали в создании публичных сетей с распределёнными captive portal и наступали практически на все грабли, поэтому хочу поделиться опытом. Подробности...
[Из песочницы] Hotpatch. Патчим память ядра Windows
В версии Windows Server 2003 SP1 была представлена технология, называемая «хотпатчингом». То есть обновление системы «на лету», без необходимости ее перезагрузки. Технология позволяет устанавливать патчи на отдельные функции (как пользовательские, так и режима ядра). В версии 8.1 возможность...
Я тебя по блеску в глазах взломаю
Ян Крисслер (Jan Krissler), тот же биометрический хакер, который красноречиво демонстрирует «уязвимость большого пальца» и который хакнул по фотографии министра обороны Германии, по блеску глаз может узнать ваш пароль/PIN. Как показала практика, глаза это не только зеркало души, но и просто...
Я тебя по блеску в глазах взломаю
Ян Крисслер (Jan Krissler), тот же биометрический хакер, который красноречиво демонстрирует «уязвимость большого пальца» и который хакнул по фотографии министра обороны Германии, по блеску глаз может узнать ваш пароль/PIN. Как показала практика, глаза это не только зеркало души, но и просто...
Уязвимость «большого пальца»: я твой палец по фотографии взломаю
Биометрия набирает обороты В России обсуждают вопросы о создании Национального биометрического Центра с объемом базы данных 100 – 150 млн. записей. В Госдуму уже внесен проект закона об обязательной биометрической регистрации. На Хабре пишут про результаты тестирования алгоритмов биометрических...
Уязвимость «большого пальца»: я твой палец по фотографии взломаю
Биометрия набирает обороты В России обсуждают вопросы о создании Национального биометрического Центра с объемом базы данных 100 – 150 млн. записей. В Госдуму уже внесен проект закона об обязательной биометрической регистрации. На Хабре пишут про результаты тестирования алгоритмов биометрических...