Всё дело в комбинации: история системы безопасности одного сайта

Один из заказчиков, очень крупный интернет-магазин, как-то попросил нас обеспечить защиту веб-приложения от веб-атак. Учитывая масштабы ресурса, мы начали поиск нужного подхода. В результате решили применить комбинацию позитивной и негативной модели безопасности, реализовав её с помощью файрвола...

Все блоги / Про интернет

Развод как он есть (или «подтверждение подтверждению рознь!»)

Давно мне не попадалось такого красивого социального развода на действие (см. под катом). На фоне истории с блокировками и вообще затягивания гаек тем более приятно видеть, что кто-то сумел суровым тоном такое написать — ведь отдельные граждане и поведутся! Мне думается, shared хостингам пора...

Все блоги / Про интернет

Правильные ответы по криптографии: 2018 год

В литературе и самых сложных современных системах есть «лучшие» ответы на многие вопросы. Если вы разрабатываете встроенные приложения, то предлагают использовать STROBE и модный современный криптографический стек для аутентификации полностью из одиночных SHA-3-подобных функций губки. Советуют...

Все блоги / Про интернет

Снижение доверия к Symantec PKI: рекомендации владельцам сайтов

Привет Хабр, ранее, в своем блоге по безопасности, мы объявили о планах по снижению доверия Chrome к сертификатам Symantec (включая принадлежащие Symantec бренды, такие как Thawte, VeriSign, Equifax, GeoTrust и RapidSSL). В этом посте описывается, как владельцы сайтов могут определить, повлияет ли...

Все блоги / Про интернет

Валидация емейл адресов для защиты от спам ботов на сайте

Электронная почта до сих пор остается одним из важнейших и эффективных элементов онлайн бизнеса и маркетинга и является наиболее эффективным каналом получения дохода. Поэтому для любого онлайн бизнеса и владельцев веб сайтов важно быть уверенным, что именно владелец емейла использовал его для...

Все блоги / Про интернет

Защита ASP.NET приложений от взлома

ASP.NET MVC — не самый хайповый, но довольно популярный стек в среде веб-разработчиков. С точки зрения (анти)хакера, его стандартная функциональность дает тебе кое-какой базовый уровень безопасности, но для предохранения от абсолютного большинства хакерских трюков нужна дополнительная защита. В...

Все блоги / Про интернет

Дополнительные факторы оценки спам активности IP/Email адресов в Anti-Spam/Anti-Fraud API

CleanTalk Cloud Anti-Spam в процессе работы, собирает данные о спам активности IP/Email адресов. На основе этих данных формируется база данных спам IP/email. CleanTalk предоставляет несколько API методов для работы с имеющимися у нас данными. Недавно, нами были добавлены новые параметры в методе...

Все блоги / Про интернет

[Перевод] Защита целостности кода с помощью PGP. Часть 1. Базовые концепции и инструменты

Если вы пишете код, который попадает в общедоступные репозитории, вам может пригодиться PGP. В этой серии статей, перевод первой из которых мы публикуем сегодня, будут рассмотрены вопросы использования PGP для обеспечения целостности кода программного обеспечения. Эти материалы, в основном,...

Все блоги / Про интернет

Chrome 68 будет помечать все сайты HTTP как «небезопасные»

Google и Mozilla давно агитируют за повсеместное шифрование веб-трафика и установку сертификатов SSL/TLS. В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets's Encrypt по автоматической выдаче бесплатных сертификатов...

Все блоги / Про интернет

Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018

Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст "Не защищено" ("Not secure") в адресной строке всех страниц, которые открываются не по https. Подробности и опрос под катом. Читать дальше →...

Все блоги / Про интернет

[Перевод] Предсказание случайных чисел в умных контрактах Ethereum

Ethereum приобрёл огромную популярность как платформа для первичного размещения монет (ICO). Однако она используется не только для токенов ERC20. Рулетки, лотереи и карточные игры — всё это можно реализовать на блокчейне Ethereum. Как любая реализация, блокчейн Ethereum не поддаётся подделке, он...

Все блоги / Про интернет

[Перевод] Какой длины достаточно? Минимальные пароли на самых популярных сайтах

В последнее время я часто делюсь своими мыслями о паролях. Здесь у нас абсолютный краеугольный камень безопасности — парадигма, которую понимает каждый человек с онлайновым аккаунтом — и в то же время мы видим фундаментально разные подходы к этому вопросу со стороны разных сервисов. У некоторых...

Все блоги / Про интернет

[Перевод] Рассказ о том, как не дать мне украсть номера кредиток и пароли у посетителей ваших сайтов

Недавно мы опубликовали перевод истории программиста, придумавшего способ распространения вредоносного кода, который собирает данные банковских карт и пароли с тысяч сайтов, оставаясь при этом незамеченным. Тот пост вызвал живой и эмоциональный отклик аудитории. Кто-то говорил о том, что всё...

Все блоги / Про интернет

Зачем солить HTTP-коллбэки

Некоторые облачные сервисы хотят двустороннего общения для нотификаций: рассказать вашему backend о завершении долгой операции, показать случившиеся ошибки, предупредить о низком балансе платных услуг — вся вот эта история. И если для общения с сервисами мы привыкли использовать HTTP-запросы, то в...

Все блоги / Про интернет

[Перевод] Рассказ о том, как я майню эфир через meltdown на ваших телефонах при помощи npm

Предисловие от переводчика Пока вы не добрались до содержимого статьи, советую отложить её, отвести взгляд от монитора, и подумать на тему того, как же это происходит. Как всегда, всё гениальное просто. Ответ на поверхности. Подумали? Тогда читайте дальше. Читать дальше →...

Все блоги / Про интернет

[Перевод] Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов

Представляем вам перевод статьи человека, который несколько лет воровал имена пользователей, пароли и номера кредитных карт с различных сайтов. То, о чём я хочу рассказать, было на самом деле. Или, может быть, моя история лишь основана на реальных событиях. А возможно всё это — выдумка. Выдалась...

Все блоги / Про интернет

Как я попросил студентов написать фишинговые письма

– Учитель, я подобрал хороший пароль, которого не может быть в словарях. Инь Фу Во кивнул. – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет. – Теперь есть. Я аспирант и преподаю вирусологию в университете. Полгода назад, перед началом осеннего семестра, мне...

Все блоги / Про интернет

[Перевод] Руководство по написанию защищённых PHP-приложений в 2018-м

Приближается 2018 год, и технари — в частности веб-разработчики — должны отбросить многие старые методики и верования в сфере разработки защищённых PHP-приложений. Особенно это относится ко всем, кто не верит, что такие приложения вообще возможны. Это руководство — дополнение к электронной книге...

Все блоги / Про интернет