Новый стандарт для онлайн-платежей: SPC
В июне 2023 года консорциум W3C анонсировал новый стандарт для подтверждения финансовых операций Secure Payment Confirmation (SPC), который в случае принятия упростит платежи в интернете. Пока стандарт опубликован в качестве рекомендации-кандидата (Candidate Recommendation). SPC делает стандартом...
Снежный ком уязвимостей в E-com. Где часто заводятся баги и как этого избежать
Привет! Меня зовут Дмитрий Терёшин, я работаю в отделе AppSec в компании СберМаркет. Моя работа — обеспечивать безопасность наших онлайн сервисов для его клиентов и бизнеса в целом. Хочу поделиться подборкой багов безопасности в e-com. Для СберМаркета эти уязвимости уже не актуальны, но, не будем...
Бот-трафик и парсинг цен – взгляд со стороны владельца e-commerce и методы защиты от парсинга
В данной статье я хочу рассказать про то, как технически устроены бот-атаки типа парсинг цен на e-commerce сайтах, какие механизмы используют атакующие, как противостоять бот-атакам самостоятельно и с помощью прикладных решений. Я поделюсь практическим опытом нашей компании в защите e-commerce...
Проблематика формирования процесса автоматизации управления данными менеджмента информационной безопасности
Аннотация В статье представляется исследование политик информационной безопасности (далее — ИБ) в плоскости формирования, критериальных характеристик, категорирования, в части касающейся описания проблематик вопроса автоматизации процессов потокового документооборота, с приведением превентивных и...
Проектирование ПО с учетом требований стандартов безопасности
В данной статье я хотел бы затронуть тему применения требований стандартов безопасности при разработке ПО. Основной материал подготовлен и составлен на основе требований стандарта PCI DSS. Данные требования также могут быть применены к обработке и хранению персональных данных в части выполнения...
Нарушение Terms of Service — еще не преступление
Федеральный судья США постановил, что нарушивших условия пользовательского соглашения нельзя автоматически привлекать к уголовной ответственности. Дело создает прецедент, на который правовая система страны будет опираться в будущем. Разбираемся в ситуации. Читать дальше →...
Первое правило антифрода — никому не рассказывать про антифрод
На самом деле, правило фиговое. Но понятное дело, почему оно работает. В среде безопасников считается, что антифрод должен быть такой суперсекретной штуковиной за семью печатями с парой голодных Церберов поблизости. Чтобы никто-никто не мог заглянуть в щель и узнать, как этот антифрод работает и...
[Из песочницы] Безопасность в AEM – это вопрос платформы или способа внедрения?
Автор: Андрей Пинчук | Certified Senior AEM Developer Представьте ситуацию: вы спокойно спите и видите свой третий сон, как вдруг раздается телефонный звонок — недовольный клиент жалуется, что вся система недоступна. Согласитесь, подобные события — дискомфорт для жизни AEM-разработчика, всей...
Подборка профильных мероприятий на 2018 год: все по теме IaaS, ИТ-инфраструктуры и Big Data
Сегодня мы подготовили для вас дайджест мероприятий, которые пройдут на российских площадках в этом году. Главные темы представленных конференций — ИТ-инфраструктура, ЦОД, облачные вычисления, ИБ и большие данные. Если вы знаете о других интересных событиях, митапах и конференциях, предлагаем вам...
Обновления Magento, Защита от вредных администраторов, утечки данных, исполнения кода
Обновления Magento 2.1.9, 2.0.16, принесли множество заплаток в том числе от XSS, CSRF, неавторизированные утечки данных, защита от администраторов/операторов магазинов. Зацепило даже Magento 1.x, 1.9.3.6 и 1.14.3.6 получили обновления. Для простоты назовем плохого администратора/оператора — Одмин....
«База знаний»: 100 практических материалов по безопасности, экономике и инструментарию IaaS
Сегодня мы подготовили мегаподборку из материалов «Первого блога о корпоративном IaaS». Здесь собраны руководства, практические советы по ИБ, сетям и железу. Плюс мы привели наиболее интересные кейсы в сфере взаимодействия бизнеса и IaaS-провайдера. Читать дальше →...
«Криптография в блокчейнах»: о хеш-функциях, ключах и цифровых подписях
Криптография — это сердце блокчейна, которое обеспечивает работу системы. Архитектура блокчейна предполагает, что доверие между участниками сети базируется на принципах математики и экономики, то есть является формализованным. Криптография также гарантирует безопасность, причем основанную на...
Как установить SSL-сертификат и перейти на https: пошаговая инструкция
После новости о том, что с 1.01.2017 сайты, на которых собираются данные кредитных карт или пароли, будут отмечаться в браузере Google Chrome как потенциально опасные для пользователей, мы начали переводить сайты клиентов на защищенный протокол. Небольшой алгоритм того, как выбрать SSL-сертификат,...
Пропуск в партер – как запускались Apple Pay и Samsung Pay в Яндекс.Деньгах
На волне всеобщего увлечения бесконтактной оплатой хочу поделиться подкапотным опытом Яндекс.Денег по запуску Apple Pay и Samsung Pay. Нашей команде пришлось координировать усилия с MasterCard и производителями смартфонов. Подружить эту компанию и не сойти с ума – задача сама по себе нетривиальная....
«Дайджест 1cloud»: 25 материалов о безопасности, работе программистов и опыте создания IaaS-провайдера
Нам кажется, что пришло время подвести итоги уходящего года и вспомнить, какие интересные темы мы поднимали за последнее время на Хабре (а также в нашем блоге на сайте). В первую очередь мы делимся нашим опытом, стараемся быть ближе к клиентам, чтобы они могли получать информацию о новых услугах из...
Как защитить умный дом: Решение от команды Университета ИТМО
Рынок систем умного дома развивается не так стремительно, как казалось еще несколько лет назад — в России встретить полностью автоматизированные дома можно довольно редко. Помимо сложности внедрения и высокой стоимости, у таких систем наблюдается еще один недостаток — умный дом можно довольно легко...
Миф о незрелости мобильных NFC технологий
Современные NFC-технологии в их нынешнем виде появились в 2002 году. Однако, начало этим технологиям было положено еще в 1980, с появлением RFID. Возможно, причина, по которой люди считают эту технологию недостаточно зрелой, заключается в том, что за годы, прошедшие с момента ее изобретения, она не...
Бесконтактные платежи – на пути к доверию потребителей и разработчиков
Бесконтактные технологии постепенно становятся важной частью современной жизни – как для компаний, так и для рядовых пользователей. За последние несколько лет, например, мы могли наблюдать, как компании, работающие на рынке пассажирских перевозок, прошли путь от внедрения своих собственных систем...
Назад