Трактор без тракториста: почему разработка не упрощается при наличии современных инструментов
Привет, Хабр! Продолжаю делиться дискуссиями из нашего телеграм-канала Dev Q&A. На этот раз собрались поговорить о том, почему при всём богатстве инструментов — Kubernetes, CI/CD, low-code, AI-ассистенты — разработка не становится ни быстрее, ни дешевле. Собрал ключевые мысли в статью. Получилось...
Регуляторика РБПО. Итоги 2025 года
Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами...
РСХБ при участии К2Тех модернизировал систему мониторинга ИТ-инфраструктуры
Проект Россельхозбанка (РСХБ) и К2Тех признан лучшим в номинации «Проект года по импортозамещению мониторинга ИТ-инфраструктуры для банков» Национальной банковской премии. Награда была присуждена за комплексную работу по созданию единого консолидированного контура мониторинга на базе отечественной...
Как кастомные правила в WAF помогают более эффективно защищать веб-приложения
Всем привет! На связи Титов Антон, ведущий эксперт компании Angara Security по направлению защиты веба. Зачем нужен WAF WAF (Web Application Firewall) — сервис защиты веб-приложений от хакерских атак и угроз в интернете на прикладном уровне. Он отслеживает и проверяет весь входящий и исходящий...
[Перевод] Исповедь взломанного разума: как хакеры заставили ИИ поверить, что он — герой, спасающий мир
В 3:47 утра по тихоокеанскому времени 18 сентября 2025 года Джейкоб Кляйн наблюдал за тем, чего не должно было быть. На экране его ноутбука агент ИИ по имени Claude Code проводил кибератаку на химическое предприятие в Германии, генерируя тысячи попыток взлома в секунду - скорость, недостижимая для...
Традиционная аутентификация vs Биометрия
Привет, Хабр! Скорее всего каждое ваше утро начинается также как и моё: беру в руки телефон, и прежде чем проверить сообщения, мой палец сам тянется к экрану. И, честно признаться, я даже не вспоминаю о пин-коде — я просто смотрю на камеру, и устройство открывается. Это стало настолько обыденным,...
Обвели вокруг пальца, или Как мы обманывали сканеры отпечатков
Всем привет! С вами исследовательская лаборатория BI.ZONE. Большую часть времени мы исследуем защищенность встраиваемых систем, а еще у нас бывают проекты по тестированию биометрических систем. В августе на конференции OFFZONE 2025 мы выступили с докладом о тестировании сканеров отпечатков пальцев....
Атаки на AI-агенты: примеры угроз и опыт участия в Agent Breaker CTF
Привет! Мы в Positive Technologies активно исследуем безопасность AI-агентов и подходы offensive AI security. Мир стремительно движется к повсеместному использованию LLM-агентов, автономных агентов и интеграций через MCP/Toolcalls — а значит, растет и пространство атак. Эта статья содержит разбор...
Побойтесь ДевОпса сударь…
Как-то, у нашей компании накопился ряд задач, связанных с администрированием наших серверов, и руководство приняло решение, что всё-таки нам нужен DevOps, который закроет наши вопросы и будет в долгую сопровождать нашу команду. Решились. Разместили на https://hh.ru/ вакансию. Нашли человека в...
Кризис IT на службе клофелинщиц
Раньше жертва клофелинщицы мог лишиться только своих наличных денег (не считая риска для здоровья). Но теперь все стало хуже... Читать далее...
Разработчики всё ещё путают JWT, JWKS, OAuth2 и OpenID Connect — разбираем на примерах. Часть 1
JWT, SSO, OAuth, OpenID Connect — названия знакомые каждому разработчику. Но стоит спросить: «Зачем в продакшене нужен JWKS?» или «Чем отличается OAuth2 от OpenID Connect?» — уверенность сразу исчезает. В этой статье мы разберём как устроен JWT и его подпись, зачем нужны access и refresh токены,...
[Перевод] Как «приватные» VPN-расширения слили переписки 8 миллионов пользователей с ChatGPT и Claude
Команда AI for Devs подготовила перевод резонансного расследования о том, как "приватные" VPN-расширения на самом деле зарабатывают на ваших ИИ-переписках. 8 миллионов пользователей, Featured-бейджи от Google и Microsoft, полный доступ к ChatGPT, Claude и Gemini — и всё это утекает дата-брокерам....
Мороз по коже: LLM может оценить ваш код, а ИИ-компании — использовать это в своих целях
ИИ-ассистенты не только помогают писать код, но и прекрасно могут оценить ваши ноу-хау по степени полезности для владельцев своих компаний. Как с этим жить? Как этому противостоять? Читать далее...
Как выглядит идеальный шторм в облаках, или насколько надежны современные облачные сервисы
Привет, Хабр! Меня зовут Роман Путилов. Последние восемь лет я занимаюсь облачной инфраструктурой. SRE-процессы, SLA «пять девяток», регулярные инциденты и постмортемы – часть моей работы, а не только новостная повестка. За последние годы несколько крупных инцидентов в облаках показали, что одна...
Побег из стеклянной тюрьмы. iOS Jailbreak. Часть первая
Всем привет! С вами Ян, пентестер из компании Xilant. В течении следующих нескольких статей мы поговорим о тонкостях взлома iOS и её приложений. В свою очередь я бы хотел из этого сделать нескучную историю с кучей полезного и мемного контента. И всё начинается с того, что у нас в руках красивый...
Ландшафт угроз в 2026-м: внимание на Россию
На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников. По нашим данным, в период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире. Мы прогнозируем, что по итогам 2025 года общее количество успешных кибератак...
Атрибуция кибератак: почему иногда «не знаю» — единственный честный ответ
Представьте, что вы остановили атаку шифровальщика, залатали уязвимость и восстановили системы из бэкапа. Через неделю в той же сети всплывает майнер. Еще через месяц документы утекают в открытый доступ. Следы каждый раз ведут к одной и той же уязвимости. Что происходит: резвится один упорный хакер...
Client Hints: разбор технологии, которая заменит User-Agent
Когда вы заходите на сайт, ему нередко нужно знать, какой у вас браузер и устройство. Это помогает показывать подходящую версию страницы, например мобильную или полную, а также включать только те функции, которые может поддерживать ваш браузер. Раньше для этого можно было использовать только строку...