MyTOTP — полностью своя* двухфакторная авторизация по rfc6238
Итак, вы решили внедрить двухфакторную авторизацию для своего проекта, и решили не следовать примеру Яндекса и изобретать свой новый стандарт, а воспользоваться существующим, а именно TOTP по rfc6238 Алгоритмы генерации и валидации одноразовых кодов достаточно подробно описаны как в самом RFC, так...
Бесплатно и безопасно: главные мифы свободного ПО
Минкомсвязи в конце декабря опубликовало свои взгляды в отношении внедрения свободного программного обеспечения (СПО) в госорганах. В документе перечислены преимущества свободных продуктов, главными из которых названы бесплатность и безопасность. Но так ли это на самом деле? Читать дальше →...
XSS уязвимость на Mobli
Совсем недавно мне нужно было загрузить ролик на Mobli. Mobli — это социальная сеть для обмена фотографиями и видео. Примерное кол-во пользователей 22 миллиона. После прошлого случая, у меня появилась привычка проверять сайты на XSS. Читать дальше →...
XSS уязвимость на Mobli
Совсем недавно мне нужно было загрузить ролик на Mobli. Mobli — это социальная сеть для обмена фотографиями и видео. Примерное кол-во пользователей 22 миллиона. После прошлого случая, у меня появилась привычка проверять сайты на XSS. Читать дальше →...
Adobe исправила очередную опасную уязвимость Flash Player
Компания Adobe выпустила очередное внеплановое обновление для Flash Player (APSB15-04). На этот раз речь идет о 0day уязвимости CVE-2015-0313, которая использовалась атакующими для осуществления атак drive-by download (скрытная установка вредоносного ПО). Это третье обновление Flash Player за...
Microsoft выплатила рекордные $125k за эксплойт
Microsoft выплатила $100k security-ресерчерам из группы Zero Day Initiative (ZDI) за демонстрацию метода успешного обхода новейших механизмов защиты Internet Explorer 11 от уязвимостей. Речь идет о механизмах браузера под общим названием Anti-Use-After-Free (Anti-UAF). Еще $25k были выплачены за...
XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
Сегодня стало известно о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте....
Как и зачем мы делаем TLS в Яндексе
Я занимаюсь в Яндексе продуктовой безопасностью и, кажется, сейчас самое время подробнее, чем уже было на YaC, рассказать на Хабре о том, как мы внедряем TLS в Яндексе. Использование HTTPS-соединений является важной частью безопасного веб-сервиса, так как именно HTTPS обеспечивает...
Как я боролся с adware в Google Play и проиграл
За последние сутки сотни новостных сайтов (клац и тыц) перепечатывают одну интересную новость, рассказывающую про обнаружение очередных зловредных приложений в Google Play. На этот раз adware показывало назойливую рекламу каждый раз при разблокировке устройства и было установлено на миллиарды...
Сбербанк Онлайн: узнаем персональные данные по телефону
Спойлер: не все данные. Но всё же. Читать дальше →...
Сбербанк Онлайн: узнаем персональные данные по телефону
Спойлер: не все данные. Но всё же. Читать дальше →...
Как взломать двухфакторную аутентификацию Яндекса
Наконец-то Яндекс запилил двухфакторную аутентификацию. Я не ждал подвоха, но, похоже, зря. Как работает двухфакторная аутентификация Яндекса? В браузере отображается QR-код, юзер сканирует его специальным приложением, браузер сразу это чувствует и авторизует пользователя. QR-код расшифровывается в...
Яндекс.Метро следит за тобой
С периодичностью раз в несколько минут Яндекс.Метро для Android отправляет на сервера Яндекса вот такие запросы. Читать дальше →...
Яндекс.Метро следит за тобой
С периодичностью раз в несколько минут Яндекс.Метро для Android отправляет на сервера Яндекса вот такие запросы. Читать дальше →...
Простое решение для использования ЭЦП — развитие
В своей предыдущей статье «Простое решение для использования ЭЦП» я описал идею для реализации приложения для использования ЭЦП. С того времени довольно многое изменилось. Самое главное — мы решили перейти к модели без использования промежуточных прокси-серверов и более активно использовать...
Как мы реализовали HTTPS на главной странице портала Mail.Ru
Парадоксально: HTTPS существует уже много лет, но за все эти годы не стал стандартом по умолчанию для всех интернет-ресурсов, работающих с критичными с точки зрения безопасности данными. В прошлом году мы первыми среди крупных российских порталов включили HTTPS на главной странице. Читать дальше...
Банальная XSS уязвимость на странице p2p переводов Фидобанка, позволяющая украсть cvv2 код пользователя
Если вы новый, перспективный, современный банк, который хочет идти в ногу с быстро меняющимся миром технологий, тогда вы должны уделять должное внимание безопасности своих сервисов. И внимание это заключается также в следовании требованиям международных платежных систем. К сожалению, не все банки...
Защита игр и мобильных приложений от взлома для чайников (Unity, C#, Mono)
Всем снова здравствуйте! Дошли руки написать крутую статью на весьма важную тему для разработчиков игр. Итак, поговорим о защите ваших драгоценных игр и приложений, которые вы пилите на Unity в надежде заработать на буханку хлеба, от взлома злобными школьниками. Почему школьниками? Потому что...