Как обеспечить безопасность разработки, сохранив время и нервы

Переход в digital-сегмент банков, ритейла, медицины и других жизненно важных отраслей производства и обслуживания спровоцировал многочисленные угрозы в плане безопасности. Сегодня во всем мире продолжает расти активность злоумышленников, а вопросы защиты пользовательских и корпоративных данных от...

Все блоги / Про интернет

[Перевод] Google заявляет, что «reCAPTCHA» не злоупотребляет данными о пользователях. Стоит ли этому верить?

Использование новаторского способа различения людей и ботов в Интернете сопряжено с рядом серьезных проблем На удивление много сил уходит на то, чтобы веб-сайты могли убедиться, что пользователь — не робот. По этой причине при входе на сайты часто можно увидеть вопросы от системы «CAPTCHA»:...

Все блоги / Про интернет

5 open-source систем управления событиями безопасности

Чем хороший безопасник в ИТ-сфере отличается от обычного? Нет, не тем, что он в любой момент времени по памяти назовёт количество сообщений, которые менеджер Игорь отправил вчера коллеге Марии. Хороший безопасник старается выявить возможные нарушения заранее и отлавливать их в режиме реального...

Все блоги / Про интернет

Дума подчистит рынок ЭЦП и пропишет россиянам «цифровые профили»

Сенаторы Кравченко, Глебова и Пономарев 5 июля внесли в Госдуму законопроекты о цифровой подписи и цифровом профиле человека или организации. Законопроект о цифровой подписи вводит новый тип ключевого игрока: "доверенная третья сторона", иными словами — юрлицо проверяющее подписи. Прогнозируемое...

Все блоги / Про интернет

Британский Firefox не будет обходить блокировки из-за претензий «Бритишкомнадзора»

Разработчики Firefox "удивлены и разочарованы" претензиями британской провайдерской ассоциации ISPA, сообщил со ссылкой на Mozilla The Register. Ранее британцы включили Mozilla в тройку "интернет злодеев" года, так как будущие версии браузера будут использовать протокол DNS-over-HTTPS (DoH) — он...

Все блоги / Про интернет

[Перевод] Предложения относительно уязвимостей и защиты моделей машинного обучения

В последнее время эксперты все чаще затрагивают вопрос безопасности моделей машинного обучения и предлагают различные способы защиты. Самое время детально изучить потенциальные уязвимости и средства защиты в контексте популярных традиционных систем моделирования, таких как линейные и древовидные...

Все блоги / Про интернет

«Стой! Кто идет?». Видеонаблюдение на крыльцо

Вопрос видеонаблюдения в частном секторе всегда стоит остро. И нет вопроса: смотреть или не смотреть? Вопрос стоит: куда и как смотреть! Какими бы ни были прекрасными отношения с соседями, но ничто не заменит беспристрастный взгляд камеры, которая круглосуточно следит за определенной зоной. И одна...

Все блоги / Нетбуки и Планшеты

Как Сбербанк собирает согласие на обработку биометрии

TL;DR: Сбербанк собирает согласие на сбор и обработку биометрических данных без нормального информирования своих клиентов об этом. Вступление Если говорить о биометрических данных, то пока самым интересным сектором для их применения в частном бизнесе является банкинг. Суть простая — биометрия может...

Все блоги / Про интернет

[Из песочницы] Семь угроз от ботов вашему сайту

DDoS-атаки остаются одной из наиболее обсуждаемых тем в сфере информационной безопасности. При этом далеко не все знают, что ботовый трафик, который и является инструментом для таких атак, влечет множество других опасностей для онлайн-бизнеса. С помощью ботов злоумышленники могут не только вывести...

Все блоги / Про интернет

Шпаргалки по безопасности: JWT

Многие приложения используют JSON Web Tokens (JWT), чтобы позволить клиенту идентифицировать себя для дальнейшего обмена информацией после аутентификации. JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между...

Все блоги / Про интернет

Чем искать уязвимости веб-приложений: сравниваем восемь популярных сканеров

Сканеры веб-приложений — довольно популярная сегодня категория софта. Есть платные сканеры, есть бесплатные. У каждого из них свой набор параметров и уязвимостей, возможных для обнаружения. Некоторые ограничиваются только теми, что публикуются в OWASP Top Ten (Open Web Application Security...

Все блоги / Про интернет

Безопасные push-уведомления: от теории к практике

Привет, Хабр! Сегодня расскажу о том, чем мы с коллегами заняты уже несколько месяцев: о пуш-уведомлениях для мобильных мессенджеров. Как я уже говорил, в нашем приложении главный упор сделан на безопасность. Поэтому мы выясняли, есть ли у пуш-уведомлений “слабые места” и если да, то как мы можем...

Все блоги / Про интернет

Спорное новшество от Яндекса — вход в аккаунт через письмо

Входя в очередной раз в аккаунт Яндекса через браузер, заметил под кнопкой входа новшество — возможность войти в аккаунт, просто перейдя по ссылке в письме, которая придет в почту этого аккаунта. Читать дальше →...

Все блоги / Про интернет

[Перевод] Успех социального эксперимента с поддельным эксплойтом для nginx

Прим. перев.: Автор оригинальной заметки, опубликованной 1 июня, решил провести эксперимент в среде интересующихся информационной безопасностью. Для этого он подготовил поддельный эксплойт к нераскрытой уязвимости в веб-сервере и разместил его в своём твиттере. Его предположения — быть мгновенно...

Все блоги / Про интернет

Проверка эффективности работы SOC

Сегодня мы поговорим о Security Operations Center (SOC) со стороны людей, которые не создают и настраивают его, а проверяют, как это сделали другие. Под проверку попадает эффективность работы SOC, построенного для вашей компании самостоятельно или кем-то со стороны. Проверка дает ответ на вопрос...

Все блоги / Про интернет

Elasticsearch сделала бесплатными проблемные security-функции, ранее выведенные в open source

На днях в блоге Elastic появилась запись, в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей. В официальной блогозаписи содержатся «правильные» слова о том, что open source...

Все блоги / Про интернет

В 19% популярнейших Docker-образов нет пароля для root

В минувшую субботу, 18 мая, Jerry Gamblin из Kenna Security проверил 1000 самых популярных образов с Docker Hub на используемый в них пароль для пользователя root. В 19% случаев он оказался пустым. Читать дальше →...

Все блоги / Про интернет

Открытка: сотрудник «Первого» «потерял» квартиру при помощи ЭЦП накануне законопроекта Ростеха?

Вчера из всех утюгов рассказали, как "ЭЦП лишила москвича квартиры" — однажды сотрудник "Первого канала" Роман Салтовский увидел в платежке ЖКХ незнакомое имя и узнал, что на его квартиру в электронном виде с применением электронной подписи (ЦП) оформлена сделка дарения жителю Уфы. И теперь...

Все блоги / Про интернет