Уязвимость в проверке подписей сертификатов в библиотеке NSS

Автор: admin от 25-09-2014, 23:43, посмотрело: 1264

Иногда так бывает, что уязвимости льются одна за другой. Пока все обсуждают ShellShock, Mozilla и Google обновляют свои браузеры Firefox и Chrome, чтобы закрыть достаточно серьезную уязвимость, которая может, при определенных обстоятельствах, привести к подделке подписи SSL-сертификата.

Библиотека Network Security Services (NSS), которая используется для криптографии в браузерах Firefox и Chrome, неправильно обрабатывала padding в подписях по стандарту PKCS#1 v1.5 из-за уязвимости в ASN.1-кодировании DigestInfo.
Уязвимость реализации заключается в том, что DigestInfo обрабатывался, будто он закодирован в BER, из-за чего было возможно закодировать один и тот же ASN.1-объект разными способами. Парсер не учитывал некоторые байты в процедуре проверки сертификатов, что позволяло подделывать сертификаты, если при его создании была использована маленькая публичная экспонента (например, 3).

Категория: Информационная безопасность

 

Не так сидим: Apple ответила на сообщения о погнувшихся iPhone 6 и 6 Plus

Автор: admin от 25-09-2014, 23:10, посмотрело: 942

Только что опубликованный ответ компании ресурсу TechCrunch (почему не Хабрахабру?) по поводу разгоревшегося скандала вокруг гнущихся в карманах владельцев айфонов заключается в том, что интернет опять раздул пожар из ничего: случаи погнутых смартфонов «исключительно редки» — если быть точным, только девять владельцев новых айфонов пока пожаловались на это. 9 из 10 миллионов, купивших их за первые три дня.

Не так сидим: Apple ответила на сообщения о погнувшихся iPhone 6 и 6 Plus
«Айфона нет» гласит подпись к картинке

Apple сообщила TechCrunch, что «если будете пользоваться телефонами нормально — то ничего у вас не погнётся»

Категория: Гаджеты, Apple

 

Google Play Книги теперь доступны в Украине, Эстонии, Латвии и Литве

Автор: admin от 25-09-2014, 21:03, посмотрело: 437

19 мая 2013 года пользователь iwi оставил комментарий к статье «Сервис Google Play Books теперь позволяет пользователю загружать собственные книги»:
Для Украины пока не актуально. По крайней мере мне сказали:
Sorry! Books on Google Play is not available in your country yet.
We're working to bring the content you love to more countries as quickly as possible.
Please check back again soon.


И вот, свершилось!
Сегодня зашёл в Google Play и увидел новую иконку — Книги.
Вслед за Музыкой, Google без лишней шумихи открыл доступ к Google Книгам для жителей Украины, Эстонии, Латвии и Литвы.
Подробнее — под катом.

Категория: Компании » Google

 

Почти полное руководство по написанию Ruby гемов

Автор: admin от 25-09-2014, 18:36, посмотрело: 485

Почти полное руководство по написанию Ruby гемов

Доброго времени суток, user.

Не так давно у меня возникла задача сделать прототип для одного проекта. В него входила работа с Facebook Graph API. Поковыряв некоторые гемы, я понял, что они для меня не совсем удобные или же реализуют нужный функционал уж слишком сложно. И тут в моей голове всплыла старая идея о написании своего гема. Загуглив массу запросов по этой теме, не нашел полной информации, тем более на русскоязычных ресурсах. Вот так и возникла идея этой статьи. Руководство названо «почти полным», так как тут освещены не все аспекты, а лишь те, которые минимально необходимы и желательны для начала существования продукта вашего воображения. Прошу под кат!

Категория: Программирование » Веб-разработка

 

Видео докладов с конференции DevConf 2014

Автор: admin от 25-09-2014, 18:18, посмотрело: 620

Этим летом в Москве проходила конференция профессиональных веб-разработчиков DevConf 2014. Мы в Badoo поддерживали конференцию, выступали с докладами и сделали видео докладов, которые были интересны нашим разработчикам. Так как спикеры были «за», то мы делимся видео с нашими подписчиками.

1. «StatsCollector, или «Мама! Он и меня посчитал!»».
Старынин Валерий, PHP разработчик отдела BI, Badoo.
Доклад о том, как мы собираем статистику для каждого пользователя, обсчитываем каждое открытие страницы (и не только!), обрабатываем 120000 событий в секунду и планируем расширяться.


Категория: Программирование, Веб-разработка

 

TicketEasy — два билета в первый ряд

Автор: admin от 25-09-2014, 17:49, посмотрело: 380

TicketEasy — два билета в первый ряд

Привет, меня зовут Андрей Яновский, я работаю дизайнером в DataArt. Хочу поговорить о новых гайдлайнах Google Material Design и об их применении в разработке приложения для покупки билетов в кинотеатр.

Все, конечно же, сейчас обсуждают часы от Apple и свежие айфоны, но я остановлюсь на недавно представленных Google обновленном дизайне для Android — Material Design. Сразу хочу сказать, что я — большой поклонник Apple, с 2008 года использую их технику как основной инструмент для работы, но Gmail, например, начал пользоваться еще в 2005. Поэтому постоянно слежу за Google, интересуюсь их разработками в области дизайна и UX, и до последнего Google I/O они меня особо не радовали. Ну, не испытывал я после 10 минут наедине с телефоном на Android того щенячьего восторга, который ощутил, когда в 2009 пересел с Windows Mobile на еле работающем HTC на iPhone 2G.

И вот в этом году я решил посмотреть Google I/O, у нас как раз его транслировали на работе, в офисе DataArt. После трансляции было стойкое желание попробовать в деле, но, к сожалению, текущие проекты и середина лета были не совсем со мной согласны. Поэтому я решил отложить эту идею и плюс найти проблему, достойную решения. Через месяц у меня появилось свободное место в рабочем расписании и, договорившись с главой дизайн департамента, я полностью погрузился в проблему.

А проблема состояла в следующем — все мы любим смотреть кино и ходить в кинотеатры, но, к сожалению, в моем городе посмотреть афишу всех фильмов в прокате и купить билет в любой кинотеатр на одном сайте или в приложении нельзя. Сайт либо показывает афишу, но купить билет можно далеко не в любой кинотеатр, либо билет купить можно, но только на сайте определенного кинотеатра. Замкнутый круг. А бегать между сайтом с афишей и сайтом кинотеатра не хотелось, хочется всё сразу и в одном приложении.

Итак, дано: разработать приложение для Android, позволяющее купить электронный билет в любой кинотеатр на любой фильм.

Категория: Game Development, Google, Android

 

Подглядываем за пользователем через In-App на iOS

Автор: admin от 25-09-2014, 17:28, посмотрело: 342

Эта неделя выдалась очень жаркой в Купертино. Сегодня в костер добавили керосина.

Один из разработчиков твиттер клиента для iOS — Крейг Хоккенбери — опубликовал концепт простенького приложения с возможностью открытия in-app браузера и слежением за вводом данных в любые поля.



Пояснение к видео от Крейга:

— Верхняя часть экрана — это не веб страница, а часть приложения. Полученную информацию можно спокойно отсылать на удаленный сервер.
— Это не фишинг, пользователь видит тот сайт, который запрашивал. В нашем случае — это твиттер.
— Владелец сайт ничего не может предпринять никаких действий для защиты. Весь javascript подчинен web view, в котором открыт сайт.
— Кнопки на сайте переименованы с «Sign in» в «SUCK IT UP». Я считаю, это подходит в данной ситуации.
— Проверено на iOS 7 — 8. Возможно и на более ранних версиях. http://habrahabr.ru/post/238155/#habracut

Категория: Информационная безопасность, Android, iOS

 

Можно ли улучшить контекстный поиск в браузере?

Автор: admin от 25-09-2014, 16:58, посмотрело: 500

Вдруг, кто-то не знает. Предлагаю попробовать совместить контекстное меню в браузерах FF/Chrome:

Можно ли улучшить контекстный поиск в браузере? и Можно ли улучшить контекстный поиск в браузере?

С их списками поисковых машин и расширить эти списки:

Можно ли улучшить контекстный поиск в браузере?

В результате должен получиться «кроссайтовый» поиск без copy-paste самым коротким способом. Это не реклама плагина контекстного поиска (я не автор плагинов, упомянутых далее), а скорее реклама новой привычки.
посмотреть

Категория: Веб-разработка, Google

 

Приходите на КРИ 2014

Автор: admin от 25-09-2014, 16:40, посмотрело: 506

Приходите на КРИ 2014


В календаре всех российских разработчиков игр красным маркером обведены дни со 2 по 4 октября 2014 года. В это время в Крокус Экспо будет проходить одно их важнейших ежегодных событий в российской игровой индустрии — конференция КРИ 2014. Свою историю КРИ ведёт аж с 2003 года, а поэтому носит гордое звание старейшего в России ежегодного мероприятия для профессионалов игровой индустрии. Здесь для обмена опытом собираются специалисты всевозможных профессий: программисты, дизайнеры, аниматоры, художники, сценаристы и многие другие.

Кстати, начиная с этого года КРИ проходит одновременно с ещё одним событием-локомотивом, выставкой ИгроМир. Это мероприятие предназначено в первую очередь для самих игроков, здесь можно увидеть практически все компьютерные, консольные и мобильные игровые новинки. Большое и шумное шоу. Так что с точки зрения профессионалов игровой индустрии совместное проведение КРИ и ИгроМира очень удобно, можно и себя показать, и людей посмотреть, и опытом поделиться.

Конечно же, наш игровой департамент примет участие в этой конференции. Мы подготовили целый десант докладчиков, можно сказать, цвет наших игр. Они не прячут свой богатый профессиональный опыт и горят желанием поделиться им с сообществом разработчиков. Чтобы вам было легче ориентироваться, мы подготовили краткие анонсы для каждого выступления.

Категория: Программирование » Game Development

 

Встречаем Intel RealSense SDK Beta, участвуем в конкурсе и получаем 3D камеру

Автор: admin от 25-09-2014, 16:35, посмотрело: 716

Встречаем Intel RealSense SDK Beta, участвуем в конкурсе и получаем 3D камеруТрудно представить себе более динамично развивающуюся отрасль техники, чем электронные устройства. Тем не менее, даже здесь кое-что остается неизменным в течение десятилетий. Например, интерфейсы взаимодействия с человеком – они почти не изменились с младых лет компьютеров. Однако, сейчас принципиально новые способы общения ближе, чем многим кажется. Достаточно просто скачать выпущенный Intel RealSense SDK Beta и начать проектировать интуитивные, ориентированные на человека интерфейсы. Хотя нет, просто скачать SDK недостаточно… ну, обо всем по порядку.

Категория: Программирование

 
Назад Вперед