Российские театры отстают в цифровизации и жаждут айтишников
В Петербурге «Национальный драматический театр России» инициировал процесс создания ИТ-кластера для разработки ПО в интересах театров. Об этом на прошедшей во Владивостоке Российской креативной неделе рассказал замгендиректора Александрийского театра по развитию и цифровизации Данил Толмачев. В...
Пример интеграции мессенджера с DLP-системой InfoWatch Traffic Monitor через API
В этой статье мы расскажем, как внешние приложения и сервисы могут взаимодействовать с DLP-системой InfoWatch Traffic Monitor (далее ТМ) через API. API-интерфейс в TM разработан уже давно, но в последний год интерес к нему со стороны сторонних разработчиков значительно вырос. Интеграторы и вендоры...
Разработчики ПО нажились на импортозамещении, но заместили пока не всё
Уход с рынка западных поставщиков программного обеспечения позволил отечественным разработчикам поднять цены на 30%-50% за год, рассказали покупатели софта. Его производители либо отрицают рост цен, либо ограничивают его десятком-другим процентов, на которые подорожала некоторая продукция. "На...
Универсальный инструмент для установки бэкдоров: Что не так с системными обновлениями
В нашем блоге на Хабре мы не только рассказываем о развитии своего продукта — биллинга для операторов связи «Гидра», но и публикуем материалы о работе с инфраструктурой и использовании технологий. Немецкий журналист и хакер Ляйф Риге (Leif Ryge) написал для издания Ars Technica интересный материал...
Проблемы разграничения доступа на основе списка доступа в ECM системах (часть 2)
В моей дебютной статье мы по шагам проектировали модель разграничения доступа к предметной области, рассматривая в качестве примера выдуманную ECM систему, которая от простой постепенно становилась не очень простой. Мы столкнулись с проблемами, которые не смогли легко и просто решить в рамках той...
[Из песочницы] Аппаратный менеджер паролей или как перестать вводить пароли и начать жить
Меня зовут %username%, мне n лет и я параноик. И каждый день информационный мир усложняет мне жизнь. Технологий становится больше, порог вхождения в IT снижается, и мы получаем действительность, где грубые ошибки в безопасности это нормально. А еще и мощность вычислительной техники растет с каждым...
Сканеры безопасности: автоматическая классификация уязвимостей
Растущее количество угроз вынуждает разработчиков средств анализа защищенности постоянно усовершенствовать свои решения. Сейчас на рынке ИБ представлен широкий выбор сканеров безопасности от различных производителей, которые разнятся по своей эффективности. Это делает невозможным выпуск новых...
Microsoft добавил возможность отключения слежения в версиях Windows 10 для корпоративных клиентов
Microsoft довольно своеобразно отреагировал на свалившуюся на него со всех сторон критику по поводу слежки за пользователями: как пишет сайт Techrepublic, новый апдейт популярной ОС позволит пользователям блокировать мониторинг, но только в Enterprise (корпоративной) версии. Об этом радостном...
Разработка защищенных банковских приложений: главные проблемы и как их избежать
В прошлом году злоумышленники совершили на 30 % больше атак на российские банки, чем годом ранее. Пытались вывести около 6 млрд рублей. Часто атака становится возможной из-за недостаточной защищенности финансовых приложений. По нашей статистике, более половины систем дистанционного банковского...
Как Cisco Security Ninja научили 20 тысяч сотрудников безопасному программированию?
Когда вы слышите словосочетание “повышение осведомленности в области информационной безопасности”, то что вам первым приходит на ум? Обучение пользователей не открывать письма от посторонних и не кликать на фишинговые ссылки? Обучение способам распознавания социального инжиниринга? Отслеживание,...
USB killer v2.0
Наконец-то удалось организовать монтаж и тестирование опытных образцов устройства новой версии. Устройства, выполняющего лишь одну функцию, – уничтожение компьютеров. Впрочем, не будем ограничиваться только компьютерами, устройство способно вывести из строя практически любую технику оборудованную...
Spring Security 4 + CSRF (добавление в Spring проект защиты от межсайтовой подделки запроса)
Здравствуйте! Современное веб приложение считается уязвимым, если в нем отсутствует защита от Межсайтовой подделки запроса (CSRF). В Spring Security 4.x она включена по умолчанию, поэтому при миграции с Spring Security 3.x на 4.x ее надо либо отключить ... либо, правильнее и зачетнее, добавить в...
Владимир Путин на форуме «Территория смыслов на Клязьме»
Я считаю, что ограничения должны быть минимальными," — В.В. Путин. Мне кажется, сообществу должно быть интересно. Молодежь, перспективы, «гайки» — взгляд первого лица. Очень прошу без троллинга в комментариях и безапелляционного анархизма. Читать дальше →...
[Перевод] Немного о защите идентификаторов веб-сессий
Предлагаем вашему вниманию перевод статьи из блога Eran Hammer — создателя фреймворка hapi.js. На этот раз речь пойдет об обеспечении безопасности идентификаторов сессий. На Github прозвучал вопрос о том, зачем в Node.js-фреймворке Express к идентификационной cookie сессии добавляется хэш-суффикс?...
Анализируем необычные прошивки: разбор конкурса Best Reverser
Когда мы придумывали задание для конкурса по обратной разработке, который состоялся на форуме PHDays V, то хотели отразить реальные проблемы, с которыми сталкиваются специалисты по RE, но при этом старались избежать шаблонных решений. Как обычно выглядят задачки на реверс? Есть исполняемый файл под...
Hackernews 17.06.2015: Шэньчжэнь изнутри, винил, ноутбуки и пряжа
Всем привет. Возникла идея, а что если попробовать запустить обсуждения самых интересных тем за день c HackerNews на Хабре? По-моему, будет круто, если таким краудсорсом (совместными усилиями), можно будет мониторить, постить и обсуждать на русском актуальные новости. Если взлетит идея — буду...
Знакомство с XACML — стандартом для Attribute-Based Access Control
В предыдущей статье мы рассказывали о том, что такое Attribute-Based Access Control и в чем его преимущества по сравнению с наиболее распространенным на сегодняшний день Role-Based Access Control. Пришло время рассмотреть ABAC более детально, через существующий стандарт под названием XACML....
Новые соревнования на PHDays: взлом мобильной связи, электрических подстанций и протоколов маршрутизации
Форум Positive Hack Days славится своей разносторонней и оригинальной конкурсной программой. Соревнования по анализу защищенности систем ДБО, АСУ ТП и банкоматов стали визитной карточкой PHDays. Однако мы не собираемся останавливаться на достигнутом и сегодня представляем вашему вниманию три...
Назад