OWASP Proactive Controls: cписок обязательных требований для разработчиков ПО
Предлагаем вашему вниманию Top 10 Proactive Controls for Software developers – 10 аспектов безопасности, на которых должны сосредоточиться разработчики ПО. Данная статья содержит список техник по обеспечению безопасности, обязательных для реализации при разработке каждого нового проекта. Читать...
[Перевод] Docker и Kubernetes в требовательных к безопасности окружениях
Прим. перев.: Оригинальная статья была написана инженером из Швеции — Christian Abdelmassih, — который увлекается архитектурой уровня enterprise, ИТ-безопасностью и облачными вычислениями. Недавно он получил степень магистра в области Computer Science и спешит поделиться своим трудом — магистерской...
Центробанк опубликовал рекомендации по криптографической защите ЕБС
ЕБС. Справа внизу — сканер отпечатков пальцев Российские банки полным ходом подключаются к Единой биометрической системе (ЕБС) и начинают сбор биометрических данных своих клиентов. Информация хранится в единой централизованной БД, которой управляет «Ростелеком». Например, недавно «Сбербанк»...
Центробанк опубликовал рекомендации по криптографической защите ЕБС
ЕБС. Справа внизу — сканер отпечатков пальцев Российские банки полным ходом подключаются к Единой биометрической системе (ЕБС) и начинают сбор биометрических данных своих клиентов. Информация хранится в единой централизованной БД, которой управляет «Ростелеком». Например, недавно «Сбербанк»...
Повышение привилегий в PostgreSQL — разбор CVE-2018-10915
Не секрет, что стейт-машины среди нас. Они буквально повсюду, от UI до сетевого стека. Иногда сложные, иногда простые. Иногда security-related, иногда не очень. Но, зачастую, довольно увлекательны для изучения :) Сегодня я хочу рассказать об одном забавном случае с PostgreSQL — CVE-2018-10915,...
[recovery mode] А нужны ли чиновники? Идея социального краудфандинга
Привыкла за века наша власть широко черпать русский народ, да плескаться им горстями — а вот будет ли завтра, откуда зачерпнуть? Пелевин В. "Зенитные кодексы Аль-Эфесби" Нужны ли налоги и чиновники? Оправдывает ли себя раздувшийся бюрократический аппарат? Моя попытка ответа на вопрос — под катом....
Массовый взлом ВКонтакте [XSS-червь]
В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя. В данный момент уязвимость устранена. Читать дальше →...
Массовый взлом ВКонтакте [XSS-червь]
В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя. В данный момент уязвимость устранена. Читать дальше →...
[Из песочницы] Про мобильную приватность и Open Source
Привет Хабр. Не так давно у меня появилось желание написать целую серию статей о безопасности, приватности и анонимности в интернете. Я не хочу тратить время читателей, в очередной раз описывая весьма плачевную ситуацию со сбором персональных данных, все это и так уже было сделано до меня, поэтому...
DoS-атака, от которой нельзя закрыться: в закупках своя атмосфера
Закон: площадка для торгов должна обеспечить доступ любому аккредитованному участнику. Практика: один из участников регистрирует какое-нибудь ООО «Ромашка», получает электронную подпись и начинает флудить тяжёлыми запросами площадку. Запросы включают криптографию, причём не самую быструю....
Change your password: тестирование парольных политик веб-сервисов
В далеком 2015 мы уже проводили тестирование парольных политик крупнейших веб-сервисов, результаты которого были представлены здесь. И вот, спустя 4 года, мы решили обновить и расширить это исследование. В исследовании 2019 года мы проверили 157 сервисов, разделенных на 14 категорий в зависимости...
Компаниям придется платить за доступ к цифровому профилю граждан
Сегодня стало известно о том, что компании будут платить за различные запросы по данным о людях из их будущих цифровых профилей. В последнем случае имеется в виду набор юридически значимых электронных документов и актуальных данных из государственных информационных систем. В настоящее время...
Компаниям придется платить за доступ к цифровому профилю граждан
Сегодня стало известно о том, что компании будут платить за различные запросы по данным о людях из их будущих цифровых профилей. В последнем случае имеется в виду набор юридически значимых электронных документов и актуальных данных из государственных информационных систем. В настоящее время...
Законопроект об «устойчивой работе» Рунета — что делать до второго чтения?
Пост с новостью о том, что Госдума в первом чтении приняла законопроект № 608767-7 «О внесении изменений в некоторые законодательные акты Российской Федерации» (в части обеспечения безопасного и устойчивого функционирования сети «Интернет» на территории Российской Федерации) собрал свои ожидаемые...
[Перевод] Семь трендов кибербезопасности на 2019 год
Каждый год пользователи получают одни и те же примитивные советы по информационной безопасности: не используйте один пароль для разных аккаунтов, разлогинивайтесь после того, как заходили в аккаунт с общего компьютера, не вступайте в переписку с бывшим королем, которому нужна помощь с переводом...
DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт
Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако тогда эксперты из области практической информационной безопасности не уделяли ей должного внимания в связи с особенностями...
Не VPN-ом единым. Шпаргалка о том, как обезопасить себя и свои данные
Привет, Хабр. Это мы, VPN-сервис HideMy.name. Сейчас временно работаем на зеркале HideMyna.me. Почему? 20 июля 2018 года Роскомнадзор добавил нас в список запрещенных ресурсов из-за решения Медведевского районного суда в Йошкар-Оле. Суд постановил, что посетители нашего сайта имеют неограниченный...
[Перевод] Мир вирусов MS-DOS
Этот пост является текстовой версией выступления, которое я провел на 35-м Chaos Computer Congress в конце 2018 года. И так я должен признать, что MS-DOS слегка возмущает меня, несмотря на то, что вредоносные программы MS-DOS всегда в некоторой степени очаровывали меня, но сначала мы должны...