[Перевод] Я нашёл огромную дыру в дейтинг-приложении, а разработчики попытались её скрыть
Стартапам нужно ответственнее относиться к безопасности Слишком немногие люди знают, как создавать безопасные приложения — обычно разработчики торопятся выйти на рынок, подвергая риску своих пользователей. Однажды друзья сказали мне, что увидели рекламу нового приложения для дейтинга под названием...
Соревнование по взлому AI-ассистентов: впечатления от соревнования Hackaprompt
Только закончился очередной конкурс по взлому AI-ассистента — DougDoug’s Buffet. Под катом краткий обзор заданий, и поделюсь техниками которые работали в этом контесте. Читать далее...
Ядро, которое понимает: как я построил обучаемый механизм атак с нейросетью, эволюцией и квантовой логикой
Я больше не мог смотреть на то, как сканеры уязвимостей просто генерируют атаки из словарей и кидают в стену тысячи запросов. Это напоминало мне детский рисунок, где ребёнок мечется кистью по холсту, надеясь случайно изобразить Ван Гога. Я хотел сканер, который понимает. Сканер, который учится....
[Перевод] Разбираемся с MEV и Priority Fee в Solana: влияние на экономику и перспективы на будущее
Solana — одна из самых производительных блокчейн-сетей, но по мере роста её экосистемы экономическая модель сталкивается с новыми вызовами. В статье разбираем, как работают Priority Fee и MEV в Solana, зачем они нужны, как влияют на валидаторов, пользователей и устойчивость сети в целом. Показываем...
Физика безопасности — доверие начинается с чипа
В этой статье кратко расскажу о том, можно ли встроить безопасность в микросхему, почему важно использовать механизмы защиты на аппаратном уровне и как развиваются технологии противодействия современным угрозам безопасности информации. В частности, как с помощью физики обеспечить защиту от широкого...
Выясняем, кто поселился в вашей сети
Привет Хабр! На связи Аеза и сегодня мы хотим поговорить на одну очень злободневную тему – выявление подозрительных активностей в трафике. Мы не будем говорить о каких-то специализированных решениях, типа IDS/IPS, а вместо этого рассмотрим основные принципы выявления подозрительных действий что...
[Перевод] Они использовали инструменты, я использовал логику. Угон аккаунта в один клик на полном расслабоне
Обычно такие статьи начинаются со слов: «Я открыл Burp Suite…». Но не в этот раз. Это история о том, как я получил доступ к реальным аккаунтам пользователей на живой продакшн-системе без единого взаимодействия с пользователем, без каких-либо фиксаций сессии, и мне даже не понадобился Burp Suite....
Конституция против цензуры: история одного иска в суд
Приветствую всех! Поздравляю с прошедшими майскими праздниками. С момента моего последнего поста, прошло уже больше полугода, кто то мог уже забыть про предыдущие посты, кто то разочароваться и я бы подумал так же. Однако, я здесь и не отказывался от подачи заявления в суд. Но, обо всем по порядку....
Инвариантная симметричная криптография: конструкция и модель безопасности
Предлагается симметричная криптографическая схема, основанная на функциональных инвариантах над псевдослучайными осцилляторными функциями с рациональными аргументами и скрытыми параметрами. Секретное значение кодируется через алгебраическое тождество, связывающее четыре точки одной и той же...
Превращаем школьный электронный журнал в файлообменник
Привет, Хабр. В этой статье я продолжу изучение возможностей электронного журнала(прошлая статья). На этот раз поговорим о использовании школьного электронного как файлового хранилища. Загрузим туда образы линукса, аниме и многое другое... Читать далее...
[Перевод] Как одна строка кода могла окирпичить ваш iPhone
Это история о том, как я недавно обнаружил в iOS уязвимость, которая стала одной из моих любимых. Почему любимых? Потому что реализовать для неё эксплойт оказалось очень легко. Кроме того, она использовала публичный легаси API, на который до сих пор опираются многие компоненты ОС Apple, и о котором...
Как настроить баннер cookie-согласия по требованиям GDPR, Google Consent Mode и законодательства разных стран
В современном вебе защита персональных данных – неотъемлемая часть ответственной разработки. Один из ключевых элементов – получение согласия пользователя на использование cookie-файлов. Несоблюдение этих требований может повлечь не только серьёзные штрафы, но и подорвать доверие аудитории. В этой...
Храним пароли в микроволновке. Mini PC, Vaultwarden и KeenDNS
В 2024 году количество утечек данных по всему миру побило все предыдущие рекорды: по оценкам аналитиков, более 9 миллиардов уникальных записей, включая логины и пароли, оказались в открытом доступе из‑за массовых взломов и небрежного отношения пользователей к собственной информационной...
Взлом зашифрованного pdf-файла. Часть 2
Всех приветствую, читатели Хабра! Вторая часть исследования безопаности файлов pdf. После того, как я опубликовал первую часть (https://habr.com/ru/articles/906076/) у одного из моих коллег возник вопрос: а что если зашифровать pdf файл при помощи программы Adobe (естественно на Windows)....
От хаоса к порядку: мой опыт централизованного управления USB over IP
3 года я не писал на Хабр, и вот наконец появился повод вернуться. Давным давно я рассказывал, что компания, в которой я работаю, решила купить USB over IP концентратор. Причина проста — необходимо было обеспечить централизованное подключение всех USB-устройств и удалённый доступ к ним сотрудников...
Как я убил свой сайт: детективный триллер про жадность, nulled-плагин и падение с 9000 до 100
Когда-то у меня был сайт. Не стартап, не интернет-магазин, не проект с инвесторами. Просто блог. Мой личный уголок под названием setiwik.ru — такая цифровая записная книжка, чтобы не забыть важное. Типичный склерозник, где я писал статьи по IT, переводил интересные материалы, собирал мысли в кучу....
Необходимость статического анализа для РБПО на примере 190 багов в TDengine
Одна из важнейших составляющих безопасной разработки программного обеспечения — это статический анализ кода. Он позволяет выявить ошибки и потенциальные уязвимости на ранних этапах разработки ПО, что сокращает стоимость их исправления. Но что ещё важнее, он позволяет выявить те проблемы и дефекты...
Задача трёх тел. Почему B2B-бэклог — это физика, а не математика
В деле управления продуктами приоритизация задач сродни оптимизации сложного алгоритма: нужно учитывать множество переменных, балансировать между краткосрочными и долгосрочными целями, а также постоянно адаптироваться к изменениям и принимать риски. На связи руководитель PT Application Inspector,...