Технотриллер на минном поле: баланс между реализмом, легальностью и законами физики
Краткий экскурс моего опыта разработки и написания реалистичных боевых сцен в художественном романе и как нейросети этому сопротивляются. Узнать подробнее...
Keycloak как OIDC-провайдер для Kubernetes: наводим порядок с доступами
В какой-то момент почти в каждом Kubernetes-кластере наступает день, когда kubeconfig с правами cluster-admin перестаёт быть временным решением и внезапно становится: так исторически сложилось. Пользователей становится больше, доступы плодятся, а вопрос: кто и зачем может удалить namespace в проде?...
Книга: «Defensive Security: лучшие практики обеспечения безопасности инфраструктур. 2-е изд.»
Привет, Хаброжители! Несмотря на то что рекордные утечки данных, резонансные взломы и атаки вымогателей происходят с пугающей частотой, многие компании не спешат выделить бюджет на информационную безопасность. Если ваша работа состоит в том, чтобы импровизировать, защищая активы работодателя, это...
[Перевод] Миллионы людей оказались в опасности из-за ссылок для входа в систему, отправленных по SMS
Вы получили SMS со ссылкой для входа — и думаете, что это безопаснее пароля? Исследователи разобрали, как мошенники за несколько кликов получают доступ к вашим номерам счетов, другим банковским данным и даже номерам соцстраха. Спойлер: это проще, чем вы думаете. Читать далее...
Реализация
Привет, Хаброжители! Мы открыли предзаказ на книгу «Грокаем проектирование реляционных баз данных» Цян Хао и Михаила Цикердекиса. Предлагаем ознакомиться с отрывком «Реализация». Завершив нормализацию базы данных, перейдем к следующему этапу — реализации. Знаний, полученных еще в главах 1 и 2,...
Администратор может читать переписку сотрудников в Bitrix24. Это нормально?
В коробочной версии Bitrix24 функция «Авторизоваться под пользователем» является штатной и удобной для администрирования. Однако в корпоративной среде с требованиями ИБ и compliance она порождает интересную инженерную задачу: где проходит граница прикладной безопасности? Разбираем архитектуру...
SSD с функцией самоуничтожения: как работает и кому нужен
В ноябре 2025 года компания TeamGroup представила внешний SSD T-Create Expert P35S с физической красной кнопкой самоуничтожения, которая необратимо повреждает электронику NAND диска и делает восстановление данных невозможным. Этот накопитель разработан для экстренных ситуаций, когда требуется...
Near-realtime-защита внутри облака: как мы боролись с лавиной ИБ-событий и превращали их в полезные данные
Меня зовут Владислав Архипов, я архитектор команды разработки security‑сервисов в Yandex Cloud. Мы занимаемся как непосредственной безопасностью облачной платформы и её клиентов, так и созданием сервисов безопасности. Итоги 2025 года в сфере информационной безопасности показали, что нагрузка на...
Как AI убъет вашу базу: безопасность вайбкодинга в 2026
Не прошло и дня, как я писал про "AI-диспетчера" — генерируешь, проверяешь, мержишь. Выглядит замечательно. Но ни слова про секурити. А между тем, произошло достаточно инцидентов, чтобы понять: модель рабочая, но только если ты действительно проверяешь, а не делаешь вид. А если не проверяешь?...
На волне хайпа: Security-аудит AI-агента Clawdbot
2026 год. AI-агенты с доступом к вашему ПК — уже реальность. Но насколько это безопасно? Провёл комплексный аудит Clawdbot (~1300 файлов) по OWASP Agentic Top 10, STRIDE и CWE/SANS. Результаты: eval() включён по умолчанию, нет rate limiting, 50 реальных сценариев атак — от reverse shell до...
Я заставил 14 нейросетей врать: Большой аудит галлюцинаций 2026
Или как я потратил неделю, чтобы доказать: ИИ сегодня — это красноречивые лжецы в костюмах экспертов. В конце 2025 года я устал читать маркетинг в стиле «наша модель умнее ChatGPT на 15%». Умнее по какому бенчмарку? MMLU? Это всё равно что мерить интеллект человека по результатам ЕГЭ. Я решил...
OpenAI Guardrails — безопасность или лишь её иллюзия?
Guardrails — это фреймворк безопасности для LLM-приложений, предназначенный для автоматической проверки входных и выходных данных с помощью настраиваемых правил и проверок. В экосистеме OpenAI guardrails появились в 2025 году. На сегодняшний день они доступны как в Agent Builder, так и в виде...
Введение в DAST, SAST, SCA, IAST и RASP: Гид по инструментам безопасности
Безопасность приложений — это не опция, а необходимость в современной разработке. С ростом числа кибератак и утечек данных разработчики и команды безопасности нуждаются в надежных инструментах для выявления уязвимостей на всех этапах жизненного цикла разработки программного обеспечения (SDLC). В...
Любая IDE от JetBrains бесплатно: что на самом деле происходит, когда вы запускаете “безобидный” активатор
После ухода JetBrains из России и введения экспортных ограничений многие разработчики столкнулись с банальной проблемой: IntelliJ IDEA Ultimate формально недоступна, а работать нужно сейчас. В результате в ходу оказались «активаторы» — shell-скрипты, которые обещают решить вопрос лицензии за пару...
Как в Испании заменили знаки аварии на маячки с доступом в сеть и как по ним стали приезжать грабители, а не копы
Когда чиновники из испанской Генеральной дирекции дорожного движения придумывали обязательные "умные" маячки V16, они явно представляли себе будущее в духе умного города: водитель попал в аварию, нажал кнопку, и вся инфраструктура мгновенно узнала о проблеме. Дорожные табло предупреждают других...
Почему конференции по кибербезопасности превратились в выставки продаж, а не обмен знаниями?
Возьмите программу любой крупной отраслевой конференции. Сосчитайте доклады, которые начинаются со слов «Мы внедриили...» и заканчиваются названием продукта. Теперь посчитайте доклады со словами «Мы нашли уязвимость...» или «Мы сломали...». Первых будет в пять раз больше. Такая пропорция не...
[Перевод] Non-Human Identities и будущее кибербезопасности
Возьмём типичную IT-компанию со штатом в 100 человек. Как думаете, сколько учётных записей существует в их облачной инфраструктуре? 150? 200? В действительности — около 2000. И самое удивительное, что только десятая часть из них принадлежит реальным людям. Остальные — это боты, сервисные аккаунты,...
Безопасная и отказоустойчивая архитектура автономных ИИ-агентов и киберфизических ИИ-систем
Современные автономные ИИ-агенты и киберфизические ИИ-системы (от беспилотного транспорта и умных электросетей до медицинских роботов и промышленных контроллеров) всё чаще принимают решения, напрямую влияющие на жизнь, здоровье, экономику и национальную безопасность. В современных условиях вопросы...