Почему Signal — не идеальный мессенджер. Нам нужна децентрализация
Федеративная система Matrix поддерживает связь с другими сетями через мосты. Это пример инфраструктуры, к которой нужно стремиться Signal 4 января 2021 года WhatsApp внёс изменения в пользовательское соглашение. Теперь каждый пользователь обязан согласиться на отправку личных данных в материнскую...
[Перевод] Всё, что вы хотели знать о безопасном сбросе паролей. Часть 1
Недавно у меня появилось время снова поразмыслить над тем, как должна работать функция безопасного сброса пароля, сначала когда я встраивал эту функциональность в ASafaWeb, а потом когда помогал сделать нечто подобное другому человеку. Во втором случае я хотел дать ему ссылку на канонический ресурс...
[Перевод] Как происходят атаки при помощи голосового фишинга
Что такое вишинг? Vishing (voice phishing, голосовой фишинг) — это вид атаки, при котором жертву пытаются убедить раскрыть ценную личную информацию по телефону. Хотя по описанию это похоже на старый добрый скам, вишинг-атаки имеют элементы хай-тека: например, в них применяется технология...
Первый квадрокоптер. Годы ожиданий и мечта сбылась
Приветствую, уважаемые хабровчане! Сегодня мы поговорим про игрушки больших мальчиков – квадрокоптеры. Муки выбора, нюансы и целесообразность покупки летательного аппарата. Правда и ещё раз, правда. Личный опыт и мысли вслух. Данный материал будет обобщённым экскурсом. Разбирать внутренности, и...
WhatsApp, Telegram и Signal выдают телефонные номера всех пользователей
Синхронизация мессенджера с контактами из адресной книги (contact discovery) — очень удобная функция. Когда новый человек ставит приложение, то в него автоматически добавляется большой список контактов, а если кто-то впервые установил мессенджер, то уведомление об этом приходит всем его знакомым. К...
[Перевод] Blacklight — инспектор конфиденциальности веб-сайтов
Blacklight — это инспектор конфиденциальности веб-сайтов, выполняющий проверку в реальном времени. Этот инструмент эмулирует способы наблюдения за пользователем, просматривающим веб-страницы. Пользователи вводят в Blacklight нужный URL, инспектор переходит на веб-сайт, сканирует известные типы...
OpenPGP переписывают на Rust: проект Sequoia
Секвойя Стагг в роще Олдер-Крик, Калифорния В 2018 году три бывших разработчика GnuPG начали работу над проектом Sequoia — реализацией OpenPGP на Rust. Как известно, OpenPGP — это открытый стандарт шифрования данных, часто используемый для защищённой электронной почты; а GnuPG — эталонная...
Новый метод биометрии: биоакустическая подпись
Южнокорейские учёные изобрели новый метод биометрической идентификации: по звуковым волнам, проходящим через тело (палец). Оказывается, этот сигнал достаточно уникален у каждого человека. И лишён главной уязвимости оптических методов биометрии, таких как сканирование отпечатков пальца, радужной...
[Перевод] Организация эффективных атак по времени с помощью HTTP/2 и WPA3
Новая методика взлома преодолевает проблему «джиттера сети», которая может влиять на успешность атак по сторонним каналам Новая методика, разработанная исследователями Левенского университета (Бельгия) и Нью-Йоркского университета в Абу-Даби, показала, что злоумышленники могут использовать...
Выбор техники и бездарные продавцы-консультанты
Приветствую вас, хабровчане! После трудовых будней и перед выходными, предлагаю вам развлекательный, но в то же время лайфхаковский, материал. Речь пойдёт про выбор и покупку техники (ТВ, смартфоны) в различных магазинах. Толковать я буду от своего имени и всё ниженаписанное – чистейшая правда....
Google продвигает новый стандарт WebBundles — потенциально опасную для веба технологию «упаковки» веб-сайтов
В общем потоке новостей остался незамеченным совместный призыв продукт-менеджера Chrome Кенджи Бахе и веб-консультанта Google Юсуке Уцуномии об использовании нового стандарта Web Bundles, разработанного Google. На chromium.googlesource появился соответствующий мануал по использованию WebBundles и,...
[Перевод] Как использовать простую утилиту для поиска уязвимостей в программном коде
Graudit поддерживает множество языков программирования и позволяет интегрировать тестирование безопасности кодовой базы непосредственно в процесс разработки. Источник: Unsplash (Markus Spiske) Тестирование — важная часть жизненного цикла разработки программного обеспечения. Существует очень много...
[Перевод] Одна из функций Chromium создаёт огромную нагрузку на корневые DNS-серверы
Браузер Chromium, активно развивающийся open-source-родитель Google Chrome и нового Microsoft Edge, обратил на себя серьёзное негативное внимание из-за функции, которая задумывалась с благими намерениями: она проверяет, не «похищает» ли провайдер пользователя несуществующие результаты запросов...
Оригинальный способ генерации мастер-пароля: используй специальный набор костей
Каждый раз, когда речь заходит о криптостойком мастер-пароле, на ум приходит стандартные генераторы, встроенные в тот же 1password, KeePass или любой другой менеджер паролей по вкусу. Сначала ты его генерируешь, потом учишь как «Отче Наш», а потом уже на самом деле молишься о том, чтобы не забыть...
[Перевод] Как защитить Python-приложения от внедрения вредоносных скриптов
Python-приложения используют множество скриптов. Этим и пользуются злоумышленники, чтобы подложить нам «свинью» — туда, где мы меньше всего ожидаем её увидеть. Одним из достоинств Python считается простота использования: чтобы запустить скрипт, нужно просто сохранить его в .py-файле и выполнить...
PayPal уже 20 лет блокирует аккаунты без объяснения причин
Кто-то помнит, как в начале 2000-х Сергей Голубицкий на страницах «Компьютерры» песочил платёжную систему PayPal за «массовое воровство денег со счетов клиентов». Компанию основал Максимилиан Левчин, американский миллионер, в прошлой жизни — выпускник киевской математической спецшколы, промышлявший...
История одного взлома или учитесь на чужих ошибках
Тут должна быть затёртая цитата из Ницше про силу, но мы не стали её писать. Однажды это может случится с каждым системным администратором – он придёт утром на работу, станет проверять работу инфраструктуры и обнаружит, что на файловом сервере вместо данных пользователей лежит архив и текстовый...
Крупнейшие DDoS-атаки первого полугодия 2020 года
Мы продолжаем знакомить вас с последствиями активности киберпреступников, ведь как говорили еще в древние времена Praemonitus, praemunitus, предупреждён — значит вооружен. Только зная, как выглядит враг можно подготовиться к его встрече. Сегодня хотим рассказать о крупных DDoS (distributed...
Назад