Сбербанк Онлайн: узнаем персональные данные по телефону
Спойлер: не все данные. Но всё же. Читать дальше →...
Как взломать двухфакторную аутентификацию Яндекса
Наконец-то Яндекс запилил двухфакторную аутентификацию. Я не ждал подвоха, но, похоже, зря. Как работает двухфакторная аутентификация Яндекса? В браузере отображается QR-код, юзер сканирует его специальным приложением, браузер сразу это чувствует и авторизует пользователя. QR-код расшифровывается в...
Яндекс.Метро следит за тобой
С периодичностью раз в несколько минут Яндекс.Метро для Android отправляет на сервера Яндекса вот такие запросы. Читать дальше →...
Яндекс.Метро следит за тобой
С периодичностью раз в несколько минут Яндекс.Метро для Android отправляет на сервера Яндекса вот такие запросы. Читать дальше →...
Простое решение для использования ЭЦП — развитие
В своей предыдущей статье «Простое решение для использования ЭЦП» я описал идею для реализации приложения для использования ЭЦП. С того времени довольно многое изменилось. Самое главное — мы решили перейти к модели без использования промежуточных прокси-серверов и более активно использовать...
Как мы реализовали HTTPS на главной странице портала Mail.Ru
Парадоксально: HTTPS существует уже много лет, но за все эти годы не стал стандартом по умолчанию для всех интернет-ресурсов, работающих с критичными с точки зрения безопасности данными. В прошлом году мы первыми среди крупных российских порталов включили HTTPS на главной странице. Читать дальше...
Банальная XSS уязвимость на странице p2p переводов Фидобанка, позволяющая украсть cvv2 код пользователя
Если вы новый, перспективный, современный банк, который хочет идти в ногу с быстро меняющимся миром технологий, тогда вы должны уделять должное внимание безопасности своих сервисов. И внимание это заключается также в следовании требованиям международных платежных систем. К сожалению, не все банки...
Защита игр и мобильных приложений от взлома для чайников (Unity, C#, Mono)
Всем снова здравствуйте! Дошли руки написать крутую статью на весьма важную тему для разработчиков игр. Итак, поговорим о защите ваших драгоценных игр и приложений, которые вы пилите на Unity в надежде заработать на буханку хлеба, от взлома злобными школьниками. Почему школьниками? Потому что...
[Перевод] Использование графов для раскрытия планов инсайдеров
Изображение: NPR.org Когда на кон поставлены власть и деньги, люди пойдут на любые уловки ради победы в соревновании. В профессиональном спорте это – допинг, а на финансовом рынке – инсайдерская торговля. Чтобы понять, какую роль анализ данных играет при расследовании случаев мошенничества,...
[Перевод] Трудности монетизации украденных данных
Прошлый год побил все рекорды по количеству утечек всевозможных баз данных паролей и прочей пользовательской информации. Мы уже начинаем привыкать к внутреннему ощущению, что кто-то в любой момент может залезть в наш компьютер/смартфон и похозяйничать там. Не говоря уже о том, что доверять кому-то...
Профессиональное развитие в информационной безопасности
В связи со стремительным развитием информационных технологий в общем и информационной безопасности (ИБ), как науки, в частности, специалисту по ИБ необходимо решать проблему поддержания своей квалификации. Это утверждение верно уже не один десяток лет, но в наше время следующие из него выводы о...
Двухфакторная аутентификация, которой удобно пользоваться
Редкий пост в блоге Яндекса, а особенно касающийся безопасности, обходился без упоминания двухфакторной аутентификации. Мы долго думали, как правильно усилить защиту пользовательских аккаунтов, да еще так, чтобы этим мог пользоваться без всех тех неудобств, которые включают в себя самые...
[Из песочницы] XSS на сайтах, использующих Instagram API
Разрабатывая приложение, использующее Instagram API, я заметил, что мне приходят не преобразованные теги. Безусловно, такая проблема решается за пару строчек кода. Но я подумал, а что если не все разработчики преобразовывают теги в сущности перед выводом на страницу, полностью доверяя API. Кто...
[Из песочницы] XSS на сайтах, использующих Instagram API
Разрабатывая приложение, использующее Instagram API, я заметил, что мне приходят не преобразованные теги. Безусловно, такая проблема решается за пару строчек кода. Но я подумал, а что если не все разработчики преобразовывают теги в сущности перед выводом на страницу, полностью доверяя API. Кто...
[Перевод] Heartbleed на Rust
В комментариях к одной из ссылок на Hacker News некто утверждал, что использование Rust предотвратило бы Heartlbeed, что код бы даже не скомпилировался. Это прозвучало как вызов! Тред начинается вот здесь. Я не собирался ни к кому придираться, но утверждение о предотвращении Heartbleed оказалось...
[Перевод] Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов
Интернет на волне всеобщей прослушки и связанной с этим паранойи постепенно переходит на тотальный SSL. К сожалению, пока это сделать не очень просто и обычно не бесплатно. Из бесплатных сервисов годные сертификаты, поддерживаемые всеми браузерами, предоставляет сервис StartSSL. В середине 2015...
[Из песочницы] Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов
Должен признаться, сам был удивлен подобной ситуацией. Я вообще ни разу не сисадмин, не пишу код и даже работаю в сфере, очень далекой от IT. Короче, я менеджер. По продажам промышленного оборудования. Однако люблю поковыряться в Linux (не могу не признаться в любви к calculate-linux) и поиграть в...
[Из песочницы] Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов
Должен признаться, сам был удивлен подобной ситуацией. Я вообще ни разу не сисадмин, не пишу код и даже работаю в сфере, очень далекой от IT. Короче, я менеджер. По продажам промышленного оборудования. Однако люблю поковыряться в Linux (не могу не признаться в любви к calculate-linux) и поиграть в...