Как Сбербанк собирает согласие на обработку биометрии
TL;DR: Сбербанк собирает согласие на сбор и обработку биометрических данных без нормального информирования своих клиентов об этом. Вступление Если говорить о биометрических данных, то пока самым интересным сектором для их применения в частном бизнесе является банкинг. Суть простая — биометрия может...
[Из песочницы] Семь угроз от ботов вашему сайту
DDoS-атаки остаются одной из наиболее обсуждаемых тем в сфере информационной безопасности. При этом далеко не все знают, что ботовый трафик, который и является инструментом для таких атак, влечет множество других опасностей для онлайн-бизнеса. С помощью ботов злоумышленники могут не только вывести...
Шпаргалки по безопасности: JWT
Многие приложения используют JSON Web Tokens (JWT), чтобы позволить клиенту идентифицировать себя для дальнейшего обмена информацией после аутентификации. JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между...
Чем искать уязвимости веб-приложений: сравниваем восемь популярных сканеров
Сканеры веб-приложений — довольно популярная сегодня категория софта. Есть платные сканеры, есть бесплатные. У каждого из них свой набор параметров и уязвимостей, возможных для обнаружения. Некоторые ограничиваются только теми, что публикуются в OWASP Top Ten (Open Web Application Security...
Безопасные push-уведомления: от теории к практике
Привет, Хабр! Сегодня расскажу о том, чем мы с коллегами заняты уже несколько месяцев: о пуш-уведомлениях для мобильных мессенджеров. Как я уже говорил, в нашем приложении главный упор сделан на безопасность. Поэтому мы выясняли, есть ли у пуш-уведомлений “слабые места” и если да, то как мы можем...
Спорное новшество от Яндекса — вход в аккаунт через письмо
Входя в очередной раз в аккаунт Яндекса через браузер, заметил под кнопкой входа новшество — возможность войти в аккаунт, просто перейдя по ссылке в письме, которая придет в почту этого аккаунта. Читать дальше →...
[Перевод] Успех социального эксперимента с поддельным эксплойтом для nginx
Прим. перев.: Автор оригинальной заметки, опубликованной 1 июня, решил провести эксперимент в среде интересующихся информационной безопасностью. Для этого он подготовил поддельный эксплойт к нераскрытой уязвимости в веб-сервере и разместил его в своём твиттере. Его предположения — быть мгновенно...
Проверка эффективности работы SOC
Сегодня мы поговорим о Security Operations Center (SOC) со стороны людей, которые не создают и настраивают его, а проверяют, как это сделали другие. Под проверку попадает эффективность работы SOC, построенного для вашей компании самостоятельно или кем-то со стороны. Проверка дает ответ на вопрос...
Elasticsearch сделала бесплатными проблемные security-функции, ранее выведенные в open source
На днях в блоге Elastic появилась запись, в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей. В официальной блогозаписи содержатся «правильные» слова о том, что open source...
В 19% популярнейших Docker-образов нет пароля для root
В минувшую субботу, 18 мая, Jerry Gamblin из Kenna Security проверил 1000 самых популярных образов с Docker Hub на используемый в них пароль для пользователя root. В 19% случаев он оказался пустым. Читать дальше →...
[Из песочницы] Базовые знания в безопасности сайтов
Привет, Хабр! Безопасность — дело серьезное. И зачастую проблемы в этой области всплывают неожиданно и несут крайне неприятные последствия. Поэтому знания в этой теме крайне важны для каждого веб разработчика. Оговорюсь сразу — я далеко не профи, но стремлюсь к этому. Поэтому буду рад критике, но...
Окей, Google: как пройти капчу?
Здравствуйте. Меня зовут Ибадов Илькин, я студент Уральского федерального университета. В данной статье я хочу рассказать о своем опыте автоматизированного решения капчи компании «Google» — «reCAPTCHA». Хотелось бы заранее предупредить читателя о том, что на момент написания статьи прототип...
10 способов, как вас могут обмануть при обмене криптовалют
Во время работы по запуску мониторинга обменников криптовалют на Bits.media занялся я составлением списка рисков, с которыми сталкивался, и о которых мне писали пользователи после инцидентов. А чтоб добру не пропадать, решил оформить все в отдельную статью. Немного дополнил ее пунктами при работе с...
Страх и ненависть DevSecOps
У нас было 2 анализатора кода, 4 инструмента для динамического тестирования, свои поделки и 250 скриптов. Не то, чтобы это всё было нужно в текущем процессе, но раз начал внедрять DevSecOps, то надо иди до конца. Источник. Авторы персонажей: Джастин Ройланд и Дэн Хармон. Что такое SecDevOps? А...
[Из песочницы] Как внедрить ISO 27001: инструкция по применению
На сегодняшний день вопрос информационной безопасности (далее – ИБ) компаний является одним из наиболее актуальных в мире. И это неудивительно, ведь во многих странах происходит ужесточение требований к организациям, которые хранят и обрабатывают персональные данные. В настоящее время российское...
Supply Chain Security: «If I were a Nation State...»
Задумывались ли вы, сколько различных организаций, компаний, служб, людей приняли участие в создании и транспортировке вашего компьютера, роутера и любого другого устройства, которое вы используете в повседневной жизни или на работе? И чем это опасно? Если нет, то добро пожаловать под кат за пищей...
Громкая история браузера Opera
В то время, когда просторы Глобальной Сети бороздили только избранные пользователи, простые обыватели не подозревали, что уже через пару лет им скажут: «Добро пожаловать в клуб!». Компании, которые верили в светлое будущее, старались поскорее втянуть их в большую паутину. Одной из таких компаний...
Биржу фрилансеров Fl.ru взломали — движок сайта выложен в открытый доступ
Утром пользователи крупнейшей российской биржи фрилансеров Fl.ru обратили внимание на подозрительную активность в официальном сообществе и на главной странице сайта — взломщики изменили описания официальных аккаунтов и опубликовали исходные файлы движка сервиса....