Как мы управляем секретами в Банки.ру: Vault HashiCorp и мечта об одной безопасной кнопке
Привет! Меня зовут Лев, я руководитель интеграционной разработки в финансовом маркетплейсе Банки.ру. Больше года назад мы начали переход на микросервисную архитектуру. Секретов становилось всё больше: пароли, токены, сертификаты, ключи. А управлять ими было всё сложнее. Количество команд давно...
[Перевод] Аутентификация в SPA приложении через OpenAM используя OAuth2/OIDC
Данная статья будет полезна разработчикам браузерных (SPA) приложений, которые хотят настроить аутентификацию пользователей. Для аутентификации будет использоваться OAuth2/OIDC протокол c PKCE. В качестве сервера аутентификации будет использоваться сервер управления аутентификации с открытым...
Оракул времени для блокчейна Hyperledger Fabric
В прошлой статье я рассказал, как использование серверов времени (NTP и NTS) решает проблему манипуляцией временем транзакции в блокчейне Hyperledger Fabric. Концепт-код был написан на Go. Поэтому он не применим для здесь и далее для упрощения текста используется термин "смарт-контракт" вместо...
Не только VPN. Как это было и куда идет
Немного истории, реализация php, perl и банальная реализация на Golang. Интересно? Добро пожаловать в подкат... Читать далее...
Постквантовый TLS внедряют уже сейчас
Квантовый компьютер, который будет решать криптографические задачи (cryptographically-relevant quantum computer или CRQC в терминологии АНБ), пока далёк от реальности. Но проблема в том, что создатели такого компьютера вряд ли сразу сообщат миру о его существовании, а могут тайно воспользоваться...
Создание правил SIEM с использованием категорийных моделей
В статье рассказываю о возможности применения концепции категорийных моделей для выявления аномалий в действиях пользователей при помощи SIEM. Модели позволяют описать и использовать профиль типичной активности пользователей и других сущностей. У себя используем их для выявления кражи учетных...
Студенческий опыт Standoff — на шаг ближе к вершинам
Привет, Хабр! На связи лаборатория кибербезопасности AP Security и сегодня наши стажёры делятся своим важным профессиональным опытом. Каждый, кто хотя бы немного знаком со сферой ИБ или краем уха слышал про Positive Hack Days, припоминает большие насыщенные киберучения под названием Standoff, на...
Вскрытие криптоконтейнера через дамп оперативной памяти
Как говорится, Добрый день! Сегодня хотелось бы обсудить с вами тему криптоконтейнеров и их вскрытия. С каждым годом всё более острым становится вопрос безопасности данных, а также вопрос их надежного хранения. Именно в данном случае нам на помощь приходит технология хранения данных в...
Как делают смартфоны: смотрим на редкий девкит процессора Qualcomm Snapdragon 410
Друзья! А вы когда нибудь задумывались о том, как делают смартфоны и планшеты? Какие инструменты для этого используются и откуда берутся материнские платы разных размеров и форм-факторов, но с таким похожим расположением элементов? Недавно мне удалось приобрести девкит aka evaluation board...
Перегрев за $1000: что и почему происходит с мощными видеокартами от Nvidia
Покупая видеокарту за $1000, пользователь полагает, что ближайшие несколько лет она проработает без сбоев. Однако бывают и исключения со стороны некоторых производителей. На днях были опубликованы результаты изучения видеокарт серии RTX 40. Как оказалось, многие из них корректно работают только...
Что на неделе: складной iPhone, сервис знакомств для деревьев и самый быстрый автомобиль от Xiaomi
Всем привет! Это свежий дайджест недельных новостей. Много интересного произошло за эти семь дней, еще больше — неинтересного. Поэтому я изучил заголовки СМИ вместо вас; как санитар леса, убрал самые слабые и малозначительные из них, и теперь представляю вам подборку главных событий недели. В эфире...
Умные цифровые гитары: 5 необычных моделей, которые можно купить в России
Привет, Хабр! Меня зовут Анна Назаренко. Я ведущий инженер в МТС Диджитал, а еще у меня куча разных хобби. Например, я занимаюсь музыкой и люблю писать об инструментах. Сегодня решила поделиться с вами подборкой hi-tech-гитар. Некоторые из них подойдут новичкам, другие — профессиональным...
Разбор CrowdStrike Falcon: общая архитектура системы, взаимодействие сенсора с Windows и описание ошибки драйвера
Привет, Хабр! Меня зовут Анастасия Гаранжа, я аналитик SOC в МТС RED и разбираю много разных инцидентов ИБ. 19 июля 2024 года многие из нас проснулись и увидели новости, что Windows сломался, и все очень плохо. Новость тут же подхватили далекие от ИТ паблики. В образовавшемся шуме практически...
Грубый подсчёт. Или как мне стало обидно, когда от вендоров требуют качественных приложений
Недавно был на сходке телеграм-канала, который посвящён безопасности мобильных приложений. Было много уязвимостей и лёгких подколок разработчиков мобильных приложений, которые пропускают сырые приложения в релиз (сырые с точки зрения безопасности). Читать далее...
Самостоятельно добавляем динамическую подсветку Ambilight на свой телевизор или монитор
Фоновая подсветка пространства за телевизором была придумана очень давно, но сделать ее динамической первыми додумались в компании Philips. Подсветка считывала информацию с потока данных и в режиме реального времени подбирала нужные цвета в нужных участках делая небольшую магию. Это дает сразу 2...
Слепок Браузера: альтернативный подход для борьбы с вредоносным трафиком
Я расскажу как по слепку браузера выявлять вредоносный трафик. В статье дам ссылку по которой можно посмотреть слепок своего браузера и любой другой бот программы: желающие могут "поиграть" на досуге. Читать далее...
Как сломать сисадмина
На планете Шелезяка всё было просто: злодей подсыпал алмазную пыль в маслёнки, и вот уже роботы выведены из строя и подают сигналы бедствия. На планете Земля, в душных и кондиционированных офисах, на производствах и в больницах, на удалёнке и в серверной злые и порой недалёкие пользователи делают...
Уязвимость к атакам российских больших языковых моделей с открытым исходным кодом
Маленькая ремарка С появлением больших языковых моделей обществу был брошен вызов. Первые проблемы, с которыми пришлось столкнуться в области LLM, были связаны с тем, что модели могут неправильно трактовать информацию, давать губительные советы в убедительном тоне, говорить, как сделать бомбу, или...