Инженером с Бауманским дипломом может стать каждый
МГТУ им. Баумана возвращается на Хабр, и мы готовы делиться с вами нашими самыми актуальными новостями, рассказывать о самых современных разработках и даже пригласить вас «прогуляться» с нами по научным центрам и лабораториям Университета. Если вы еще не знакомы с нами, обязательно прочитайте...
[Перевод] C++: Коварство и Любовь, или Да что вообще может пойти не так?
“C позволяет легко выстрелить себе в ногу. На C++ это сделать сложнее, но ногу оторвёт целиком” — Бьёрн Страуструп, создатель C++. В этой статье мы покажем, как писать стабильный, безопасный и надежный код и насколько легко на самом деле его совершенно непреднамеренно поломать. Для этого мы...
Почему обзоры кода — это хорошо, но недостаточно
Обзоры кода однозначно нужны и полезны. Это возможность передать знания, обучение, контроль выполнения задачи, улучшение качества и оформления кода, исправление ошибок. Причем можно замечать высокоуровневые ошибки, связанные с используемой архитектурой и алгоритмами. В общем всё хорошо, но люди...
[Перевод] Блокчейн как структура данных
Привет, Хабр! Сегодня мы хотели бы обозначить новую тему для обсуждения, кратко рассмотрев блокчейн с точки зрения computer science — как одну из структур данных. В последнее время блокчейн все активнее применяется за пределами криптовалютного сегмента, и эта тенденция, безусловно, заслуживает...
Тонкости авторизации: обзор технологии OAuth 2.0
Информационная система Dodo IS состоит из 44 различных сервисов, таких как Трекер, Кассы ресторана или Базы знаний и многих других. 3 года назад мы написали сервис Auth для реализации сквозной аутентификации, а сейчас пишем уже вторую версию. В основе сервиса лежит стандарт авторизации OAuth 2.0....
[Из песочницы] Мамкины хацкеры или мой путь в CTF
Это был далекий 2014 год, когда еще зеленые, недавно поступившие в универ, парни, услышали, что есть какие-то соревнования с завлекающим названием — «Capture the flag» (сокр. CTF, в переводе «Захват флага»). Фото с сайта securitylab.ru к новости про Facebook CTF 2016 На факультете был один...
[Перевод] Безопасность через неясность недооценивается
В информационной безопасности мы выработали ряд аксиом, с которыми не принято спорить: Никогда не внедряйте собственную криптографию. Всегда используйте TLS. Безопасность через неясность (security by obscurity) — это плохо. И тому подобное. Большинство из них в целом верны. Однако мне начинает...
Год за пять: стать востребованным профи, ещё будучи студентом
Привет, Хабр! 7 сентября стартовал новый набор на SafeBoard – программу оплачиваемых стажировок в сфере информационной безопасности от «Лаборатории Касперского». Кандидатов в стажёры ждут несколько этапов отбора, успешное прохождение которых откроет дорогу к обучению и обкатке навыков на боевых...
[Из песочницы] Trusted Execution Environment на примере Intel SGX. Основные принципы простыми словами. «Hello World!»
Данная статья направлена, прежде всего, на начинающего специалиста, который только приступил к исследованию методов и способов обеспечения информационной безопасности исполняемого программного кода. С такой задачей рано или поздно сталкиваются все разработчики ПО и системные инженеры, что и...
Алгоритмы пост-обработки результатов распознавания текстовых полей
(изображение взято отсюда) Сегодня мы бы хотели вам рассказать о задаче пост-обработки результатов распознавания текстовых полей исходя из априорных знаний о поле. Ранее мы уже писали про метод коррекции полей на основе триграмм, который позволяет исправлять некоторые ошибки распознавания слов,...
«Мы все уронили»: тестируем модель города на полигоне
Пока весь мир на карантине, команда Positive Technologies спустилась в бункер и пообщалась с ИБ-комьюнити в рамках онлайн-шоу «ИБшник на удаленке». С конца марта они провели десяток трансляций шоу, где эксперты в сфере инфобеза обсудили темы, актуальные в период изоляции и перестройки всех деловых...
PyDERASN: как я добавил big-data поддержку
Продолжаю прошлую статью о PyDERASN — свободном ASN.1 DER/CER/BER кодеке на Python. За прошедший год, с момента её написания, кроме всяких мелочей, небольших исправлений, ещё более строгой проверки данных (хотя и прежде он был уже самым строгим из известных мне свободных кодеков), в этой библиотеке...
Браузер на страже API-запросов
Команде разработчиков, создающей одностраничное приложение (SPA), рано или поздно придётся столкнуться с ограничениями браузерной безопасности. С одной стороны, нужно сделать так, чтобы фронтенд-сторона могла беспрепятственно общаться с бэкенд API-сервером, а с другой — защитить такое общение от...
[Перевод] Trusted Types — новый способ защиты кода веб-приложений от XSS-атак
Компания Google разработала API, которое позволяет современным веб-приложениям защитить свой фронтенд от XSS-атак, а конкретнее — от JavaScript инъекций в DOM (DOM-Based Cross Site Scripting). Межсайтовый скриптинг (XSS) — наиболее распространённый тип атак, связанных с уязвимостью современных...
[Из песочницы] Сим-сим откройся или реверс инжиниринг умного домофона
После прочтения поста Krupnikas возникла мысль разобраться с mitmproxy и посмотреть как устроен бэкенд ежедневно используемых мобильных приложений. Выбор пал на приложение домофон. После авторизации оно позволяет открывать двери и отвечать на видеозвонки. Что из этого вышло и какие дырки мне...
[Перевод] Конференция DEFCON 27. Buttplug: подлинное тестирование на проникновение. Часть 1
Аналитики полагают, что в настоящее время в мире существует порядка 10 миллиардов устройств из области «интернета вещей» (IoT). Иногда эти устройства завоевывают свое место на рынке, буквально взбираясь вверх по человеческим задницам. Как оказалось, дешевые и маломощные радиочипы не только отлично...
Что блог издательства расскажет о трендах IT-сообщества
Издательство Питер давно и активно ведёт блог на Хабре. Конечно, это важный канал продвижения нашей компьютерной литературы. Однако рекламными целями мы не ограничиваемся и внимательно отслеживаем отечественные технологические тренды. Предлагаю вам посмотреть на хабра-сообщество с точки зрения...
[recovery mode] Базовый вирус за 20 минут или почему стоит пользоваться антивирусом
Приветствую. В наши дни порог вхождения в мир программирования существенно упал — если раньше, на заре цифровой эпохи, программирование было чем-то из ряда вон выдающимся, «уделом избранных», то сегодня написать кейлоггер или червя может каждый школьник, хоть немного умеющий гуглить и уверенно...