РБПО по ГОСТ: где на самом деле ломается безопасность кода
Привет, Хабр! Меня зовут Александр Сахаров, я директор по работе с партнерами в Диасофт. Мы строим экосистему Digital Q - платформу для enterprise-разработки - и сейчас решаем задачу, которая касается всех: как зашить безопасность внутрь конвейера так, чтобы она работала сама, а не превращалась в...
Атака на axios в npm: как один захваченный аккаунт поставил под угрозу миллионы JavaScript-проектов
В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю)....
Новый слабо централизованный мессенджер с E2E-шифрованием и групповыми чатами, написанный на Go при помощи Fyne
Мысль написать свой мессенджер у меня возникла ещё этак в прошлом году, почти четыре месяца назад. Тогда ещё трава была зеленее и Telegram нормально функционировал, без замедления и финального блокирования. Из-за работы, других проектов и в конце-концов лени я откладывал написание мессенджера до...
Разбираем net/http на практике. Часть 2.3: Динамические маршруты, cookie-аутентификация и управление доступом
В этой статье цикла мы решим главную проблему сервиса DeadDrop: пользователь создаёт секрет, но не может его забрать. Здесь мы: 1) Научим net/http понимать динамические маршруты без фреймворков 2) Научимся подписывать куки через HMAC и узнаем, как оно работает изнутри 3) Настроим безопасное...
Как я писал сервис авторизации на Rust…
Работая над одним своим проектом я задумался о необходимости авторизации для его публичного запуска. В самом проекте я всем этим заниматься не стал, а решил разработать отдельный сервис авторизации на Rust, который в дальнейшем можно будет «прикручивать» к разным проектам с небольшими доработками....
ИИ-агент сказал «сделано». Но сделал ли он на самом деле?
На прошлой неделе Хабр опубликовал материал о том, как компании платят до 300 000 рублей в месяц за «скрытый аутсорс» задач в ChatGPT. История получила резонанс — но обсуждение ушло не туда. Говорили о доверии, об этике, о трудовом договоре. Никто не спросил о главном: а как вы вообще проверяете,...
А если бы весь код был закрыт?
Мы привыкли, что запустить проект можно за вечер, просто собрав его из готовых кирпичиков. Но что, если бы каждый import стоил денег? Бесплатные фреймворки, открытые базы данных и возможность заглянуть в исходники стали для нас абсолютной нормой, которую мы воспринимаем как само собой разумеющееся....
[Перевод] Как заставить старенькую Kindle показывать время прибытия автобусов
Это история о том, как я превратила свою бывалую Kindle Touch в инструмент мониторинга времени прибытия автобусов с ежеминутным обновлением экрана и возможностью выйти из режима дашборда через кнопку меню. По сути, у меня получился TRMNL, только без ценника в $140. Читать далее...
AI без интернета (офлайн) на своем компьютере
Зачем это обывателю? Кейсов на самом деле не мало, как минимум это бесплатно и дает возможность запускать AI без облака, чтобы ничего не отправлялось в интернет (приватность, скорость), ну и на случай если упадет интернет как например у нас было в Испании когда все электричество пропало, хорошо бы...
Как сайты вычисляют мошенников? Детект впна, рейтинг номеров и трекинг курсора
Мошенник заходит на Озон купить товары и воспользоваться для этого данными украденных банковских карт. Ставит прокси, меняет айпи, использует антидетект браузер, закупает пачку номеров. Подготавливает дропов и адреса ПВЗ. Он регистрирует несколько аккаунтов, добавляет товары в корзину и нажимает...
Насколько много компании знают о нас? Как именно они собирают о нас данные
Всем известно, что злые корпорации собирают о нас данные, но как именно они это делают? Трекинг курсора, рейтинг номера который вы используете, Email трекеры, скорость печати и даже... определения дрожит ваша рука или нет. А также как сайты легко вычисляют ВПН-щиков. В этой статье мы разберемся во...
Фишинг в 2025 году: как искусственный интеллект превратил email в оружие
Помните смешные письма от нигерийских принцев? Времена изменились. В 2025 году фишинг превратился из примитивного мошенничества в отдельную индустрию, которая по уровню организации не уступает легальному бизнесу. Читать далее...
Умершие языки программирования (Fortran, Ada, Cobol) И почему на западе они до сих пор живы
Существуют языки, которые все считают мертвыми, но есть ньюанс. В СНГ на Бейсике вакансий больше чем на Руби, а вакансий у Паскальщиков не сильно меньше чем у шарпистов. Все не так просто, поэтому давайте разбираться Читать далее...
Галлюцинации ИИ — это не баг, а фича разработчика. Почему вайб-кодинг не заменит программистов
Недавно провели стрим, где собрались специалисты, у которых ИИ не в презентациях, а в production. Провели разговор про галлюцинации моделей и про будущее разработки с ИИ. Ниже основные мысли — получился материал про три уровня работы с ИИ (вайб-кодинг, ИИ-ассистированная разработка и промышленный...
Разговор о том, как сделать интеграцию умнее: опыт, грабли и рабочие подходы
Привет, Хабр! Знаете, что объединяет разработчика из стартапа, архитектора банковской системы и техлида платежного сервиса? Все они хотя бы раз материлась над интеграцией, которая должна была занять день, а растянулась на месяц. Легаси не подружилось с новой системой, протоколы оказались...
Почему заказная разработка превращается в лотерею — и что с этим делать
Привет, Хабр! Я двадцать лет работал в руководстве ИТ в банках и страховых компаниях. За это время через меня прошли десятки проектов заказной разработки. Некоторые из них я вспоминаю с гордостью. Некоторые — с содроганием. Читать далее...
[Перевод] Shai-Hulud 2.0: 25 000 npm-репозиториев могут потерять свои данные
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000...
Превратили PVS-Studio в город
Вы когда-нибудь хотели взглянуть на свой код под новым углом? Например, увидеть, как бы выглядела ваша кодовая база, будь она городом? Звучит как что-то невероятное. Давайте вместе заглянем в город PVS-Studio и просмотрим, какие тайны он в себе хранит :). Читать далее...
Назад