Первый час жизни с Яндекс.Модулем
Есть серьезное ощущение, что я — первый человек, официально купивший Яндекс.Модуль. Ребята на стенде во время YaC 2019 бегали за разрешением его продать. И получили. Ибо уже объявлен ))) Что можно сказать, по итогам первого часа его использования… Читать дальше →...
[Перевод] Что необходимо сделать, чтобы вашу учетную запись Google не украли
Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования. Правда самый эффективный...
Нашумевшие утечки данных пользователей за январь — апрель 2019
В 2018 году в мире было зарегистрировано 2263 публичных случая утечки конфиденциальной информации. Персональные данные и платёжная информация были скомпрометированы в 86% инцидентов — это около 7,3 миллиарда записей пользовательских данных. Японская криптобиржа Coincheck в результате компрометации...
[Из песочницы] Самая дорогая ошибка в моей жизни: подробно об атаке на порт SIM-карты
Привет, Хабр! Представляю вашему вниманию перевод статьи «The Most Expensive Lesson Of My Life: Details of SIM port hack» автора Sean Coonce. В прошлую среду я потерял более 100000 долларов. Деньги испарились в течение 24 часов в результате «атаки на порт SIM-карты», которая вычистила мой счёт на...
[Из песочницы] Особенности настройки DPI
В данной статье не рассматривается полная настройка DPI и все вместе связанное, а научная ценность текста минимальна. Но в ней описывается простейший способ обхода DPI, который не учли многие компании. Читать дальше →...
«Норникель» и «Газинформсервис» завершили 1 этап построения защиты корпоративной ERP-системы
ГК «Норникель» с 2014 г. автоматизирует ключевые бизнес-процессы на базе системы SAP ERP во всех своих подразделениях. В январе 2019 г. завершено тиражирование единой системы управления предприятием, что обеспечило охват всей производственной цепочки компании в единой операционной модели на базе...
Криптографические токены PKCS#11. Графическая утилита «с функцией подписания и добавлением метки времени». Часть 1
В комментариях к статье «Использование механизмов криптографических токенов PKCS#11 в скриптовых языках» читатель kovserg написал: «С нетерпением ждём статью с функцией подписания документа и добавлением метки времени». Еще раньше другой участник хабра pas писал о том, что было бы здорово для...
AirBnb халатно относится к своим акаунтам
Привет, читатели Хабра! Хочу описать ситуацию, которая произошла со мной и сервисом AirBnb пару дней назад. Если вкратце: С моего аккаунта совершили одно успешное бронирование и попытались совершить еще 3 без каких либо подтверждений с моей стороны, далее отвязали номер телефона и удалили мой...
Экономим место на жестком диске с помощью стеганографии
Когда мы говорим о стеганографии, люди представляют террористов, педофилов, шпионов, ну в лучшем случае криптоанархистов и прочих ученых. И действительно, кому еще может понадобиться скрывать что-то от внешних взоров? Какая вообще от этого может быть польза простому человеку? Оказывается, какая-то...
Face Anti-Spoofing или технологично узнаём обманщика из тысячи по лицу
Биометрическая идентификация человека – это одна из самых старых идей для распознавания людей, которую вообще попытались технически осуществить. Пароли можно украсть, подсмотреть, забыть, ключи – подделать. А вот уникальные характеристики самого человека подделать и потерять намного труднее. Это...
Как защитить 5G от взлома: изучаем архитектуру безопасности
Медиа и компании бодро рапортуют о том, что «эпоха 5G наступила или вот-вот наступит» и обещают невероятные изменения в нашей с вами жизни в связи с этим. Изменения придут в виде интернета вещей, «умных» городов, Индустрии 4.0, связанной с массовым внедрением киберфизических систем и новых...
Elasticsearch сделала бесплатными проблемные security-функции, ранее выведенные в open source
На днях в блоге Elastic появилась запись, в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей. В официальной блогозаписи содержатся «правильные» слова о том, что open source...
Как убедить всех, что у тебя защищённый ЦОД?
Преамбула. Статья носит исключительно информационный характер. Предназначена для потенциальных клиентов ЦОД, которые слышали про 152-ФЗ, 149-ФЗ, хотят потратить бюджетные средства и не знают, что такие схемы бывают. Для удобства восприятия материала автор будет излагать схемы от первого лица, хотя...
Яндекс не считает Tabnabbing уязвимостью
Что такое Tabnabbing? Про это написано уже множество статей, например, эта и на OWASP. Если вкратце — управление вкладкой браузера через дочернюю вкладку, открытую с target="_blank". Установив ссылку на внешний сайт с target="_blank", сайт будет иметь доступ к window.opener, через который можно...
Исследование влияния различных отражателей и рассеивателей на форму светового пучка
Я — велосипедист. Когда ездишь по дорогам общего пользования — понимаешь, что много света не бывает, и однажды я в очередной раз сел читать форумы и статьи, чтобы еще чего-нибудь хорошего купить себе на руль и на шлем. В числе прочего мне попалась на глаза статья одного известного в велосипедных...
Сравнение 10 галогенных ламп H4 Philips, Osram, PIAA, Koito, Bosch
Многие из автолюбителей хотят улучшить ближний свет своего автомобиля. Большинство используют самый простой способ, это установка более мощных галогеновых ламп. Проведём тестирование 10 моделей, 7 из которых относятся к премиальным и обещают улучшение до 150%. Изначально на премиальных моделях...
[Перевод] Пистолеты из 3D-принтера вернулись, и теперь их уже не остановить
В онлайне мобилизуется децентрализованная сеть сторонников распечатывания оружия. Они анонимно делятся чертежами, советами, и создают своё сообщество. И простого способа остановить их не существует. В США снова растёт сеть сторонников распечатывания оружия на 3D-принтере – но сейчас уже всё...
От обычного пользователя до полноправного администратора сервера (XSS, LFI, Web-Shell)
В начале года мне написал сотрудник одной фирмы. Как я понял, в компании произошел небольшой конфликт. Из-за которого существовал риск компроментации системы каким-то из сотрудников. Решение провести аудит системы определенно было правильное. Ведь результаты проверки приятно удивили меня, и...