Завершен аудит кода TrueCrypt
Сайт Open Crypto Audit Project сообщает о завершении второй стадии аудита кода популярного открытого средства шифрования TrueCrypt, разработчики которого 28 мая 2014 года очень странно покинули сцену, посоветовав переходить на BitLocker — решение для шифрования данных от Microsoft. По сути, аудит...
Как Уитфилд Диффи помог Бобу и Алисе обмануть Еву
Многие специалисты полагают, что концепция Диффи до сих пор является самым большим шагом вперед за всю историю криптографии. В 1976 году Уитфилд Диффи и его соавтор, стэнфордский профессор Мартин Хеллман, опубликовали научную работу «New Directions in Cryptography». В исследовании был представлен...
SaltStack: Предварительная генерация паролей для использования в сервисах
О чем статья? Короткая статейка о том, как сгенерировать пароли необходимые для разнообразных сервисов автоматически устанавливаемых с помощью SaltStack. Читать дальше →...
О бане, троллях и бесплатных продуктах «Лаборатории»
В «Космической одиссее 2001 года» Фрэнк Боумэн отключает, один за другим, модули памяти компьютера HAL 9000, а HAL 9000 поет песню про Дейзи. Чуть раньше HAL пытался убить самого Боумэна, а заодно и всех остальных людей на борту «Дискавери-1», и у него почти получилось. Зачем он это сделал?...
[Из песочницы] Пять очевидных ошибок, которые почему-то продолжают совершать
В этой статье я расскажу, как из одного сообщения об ошибке на сайте я случайно получил доступ к внутренней информации компании (и даже немного больше). Отмечу, что это можно проделать, используя один лишь браузер. Пролог Сайты иногда падают. Такое случается. Но вот то, что описано в статье,...
[Из песочницы] Пять очевидных ошибок, которые почему-то продолжают совершать
В этой статье я расскажу, как из одного сообщения об ошибке на сайте я случайно получил доступ к внутренней информации компании (и даже немного больше). Отмечу, что это можно проделать, используя один лишь браузер. Пролог Сайты иногда падают. Такое случается. Но вот то, что описано в статье,...
[Из песочницы] Очередной XSS на SoundCloud
Вечерний багхантинг на Facebook привел к сервису Soundcloud. Исследовалась возможность XSS уязвимостей при шейринге треков в ленту Facebook. После нескольких неудачных попыток захотелось проверить и сам Soundcloud. В течение первых 5 минут был обнаружен бесполезный, так называемый self-xss — при...
[Из песочницы] Очередной XSS на SoundCloud
Вечерний багхантинг на Facebook привел к сервису Soundcloud. Исследовалась возможность XSS уязвимостей при шейринге треков в ленту Facebook. После нескольких неудачных попыток захотелось проверить и сам Soundcloud. В течение первых 5 минут был обнаружен бесполезный, так называемый self-xss — при...
Топ-5 самых дурацких антивирусов. Записки хулигана
Дисклеймер: всему сказанному ниже «верить нельзя не верить»… Запятую поставьте сами. На носу 1 апреля, а многие из вас все еще пользуются скучными и устаревшими антивирусами. А ведь если побродить по разным софт-каталогам и поискать чего-нибудь на слово антивирус, можно найти ну очень интересные...
Single Sign-On (SSO): OpenAM + mod_auth_mellon
Пост расcчитан на новичков, которые только знакомятся с SSO. В интернете не очень много документации по связке OpenAM и mod_auth_mellon, тем более на русском языке. Для быстрого старта буду использовать образы Docker. Для аутентификации пользователя рассмотрю модуль mod_auth_mellon, но можно...
IO Ninja – программируемый эмулятор терминала/сниффер
Приветствую вас, уважаемые хабровчане! Сегодня я хотел начать рассказ об одном интересном продукте представляемой мной на хабре компании Tibbo. Продукт этот может оказаться полезен широкому кругу IT-профессионалов, включая системных администраторов, специалистов по информационной безопасности, и,...
[Из песочницы] Как мы нашли способ добавления в сообщество любого пользователя VK и получили за это $10 тыс
Как-то раз мы с другом написали расширение для браузера, которое отслеживало все клиентские запросы к серверу на сайте vk.com. Наше расширение не просто отслеживало, а искало те запросы, где присутствовал ID пользователя. Сначала запросов было очень много. Чтобы уменьшить, мы решили отправлять...
Почему Касперский определяет на сайте троян HEUR:Trojan.Script.Generic? (и возможный способ устранения)
Доброго времени суток. У меня созрела еще одна статья, касающаяся безопасности, а точнее доступа к Вашим сайтам, уважаемые вебмастера… и позвольте мне Вам рассказать. Угроза «HEUR:Trojan.Script.Generic» Возможно у Вас есть сайт и Вы не использовали библиотеки типа jQuery, а решили просто на...
Как создавать и зарабатывать на SaaS | Часть 17 | Персональные данные и врачебная тайна в облаке
Сегодня сухой пост, написанный в ходе плотных консультаций с юристами компании Зарцин и партнеры и стартапа Dental Cloud. Добавить мне нечего, по-этому читаем и обращаемся к Людмиле Харитоновой за разъяснениями и консультациями. И внимание(!) в нем ссылки на 16 нормативно-правовых актов и предлагаю...
Как поймать то, чего нет. Часть третья: а судьи кто?
В прошлой статье было показано, что основной проблемой безопасности является то, что средства защиты (на примере антивирусов) пропускают наиболее опасные вредоносные файлы. И такое поведение является нормальным и ожидаемым. С другой стороны, имеются результаты многочисленных тестов, которые...
Как поймать то, чего нет. Часть третья: а судьи кто?
В прошлой статье было показано, что основной проблемой безопасности является то, что средства защиты (на примере антивирусов) пропускают наиболее опасные вредоносные файлы. И такое поведение является нормальным и ожидаемым. С другой стороны, имеются результаты многочисленных тестов, которые...
Даниил Дубровкин: «Оpen source не значит, что это бесплатно и что это никому не принадлежит»
Представляем шестой выпуск подкаста о технологиях, процессах, инфраструктуре и людях в IT-компаниях. Сегодня в гостях у “CTOcast” — Даниил Дубровкин (Daniel Doubrovkine), технический директор компании Artsy и open source энтузиаст. Читать дальше →...
Даниил Дубровкин: «Оpen source не значит, что это бесплатно и что это никому не принадлежит»
Представляем шестой выпуск подкаста о технологиях, процессах, инфраструктуре и людях в IT-компаниях. Сегодня в гостях у “CTOcast” — Даниил Дубровкин (Daniel Doubrovkine), технический директор компании Artsy и open source энтузиаст. Читать дальше →...