Как работают над Chromium

Автор: admin от 23-09-2015, 23:45, посмотрело: 461

Как работают над Chromium

Предисловие от автора оригинала:
В марте 2011 я написал черновик статьи про то, как команда, отвечающая за Google Chrome, разрабатывает и выпускает свой продукт — после чего я благополучно о нем забыл. Лишь несколько дней назад я случайно наткнулся на него. Пусть местами он уже устарел (Chrome форкнул WebKit в Blink в 2013 году, да и я сам больше не работаю в Google), я склонен считать, что изложенные в нем идеи все еще в силе.
Сегодня я собираюсь рассказать вам о том, как работает Chromium. Нет, речь пойдет не совсем о браузере Chrome, а скорее о Chromium — группе людей, занимающихся созданием браузера.

Над проектом Chromium работают сотни инженеров. Вместе мы коммитим в кодовую базу примерно 800 изменений каждую неделю. Мы также зависим от многих других больших и активно развивающихся проектов вроде V8, Skia и WebKit.

Мы отправляем новый стабильный релиз сотням миллионов пользователей каждые шесть недель, четко по расписанию. И мы поддерживаем несколько других каналов раннего доступа, которые обновляются еще быстрее — самый быстрый канал, canary, «тихо» авто-обновляется почти каждый будний день.

Каким образом все это продолжает работать? Почему «колеса» у этого «автобуса» еще не «отвалились»? Почему еще не все разработчики сошли с ума?

Категория: Компании » Google

 

Symantec самовольно выпустил сертификат для google.com и www.google.com

Автор: admin от 23-09-2015, 19:42, посмотрело: 691

Незамеченным на Хабре остался инцидент с выпуском сертификата для доменов google.com и www.google.com удостоверяющим центром компании Symantec. Об этом сообщается в блоге «корпорации добра».

Сертификат был выпущен 14 сентября примерно в 19:20 (GMT) удостоверяющим центром Thawte (принадлежит компании Symantec) без разрешения или запроса со стороны Google. Причем не простой сертификат, а Extended Validation (EV). Таким образом, это первый зафиксированный случай нелегального выпуска EV сертификата.

Категория: Системное администрирование, Информационная безопасность, Google, Криптография

 

Новая телефония от «ОнЛайм»

Автор: admin от 23-09-2015, 18:22, посмотрело: 1403

Московский телефонный номер без абонентской платы и даже без телефонного провода? «Домашний Телефон» от «ОнЛайм» – это не только городской номер в коде 499/495, но и все возможности современной цифровой телефонии.

Новая телефония от «ОнЛайм»


Многим уже приходилось сталкиваться с такими понятиями, как IP-телефония, интернет-телефония, VoIP или SIP-телефония – одна из разновидностей IP-телефонии. Глубоко разбираться в сути этих понятий мы не будем. Важно лишь понимать, что IP-телефония – такая же телефонная связь, но вместо телефонной линии – выделенной медной пары – используется сеть передачи данных, например, та, через которую вы выходите в интернет.

Категория: Программирование » Веб-разработка

 

Троянское приложение для Android обходит проверки Google Bouncer

Автор: admin от 23-09-2015, 18:05, посмотрело: 658

Аналитики ESET обнаружили интересный метод скрытной атаки на пользователей Android, который содержит в себе интересную особенность. В магазине приложений Google Play нам удалось обнаружить несколько приложений, которые маскировались под легитимные, но на самом деле содержали в себе другое приложение с вредоносными функциями. Это встроенное приложение называлось systemdata или resourcea.

Троянское приложение для Android обходит проверки Google Bouncer

Это второе приложение скрытно сбрасывается в память устройства из первого, но спрашивает у пользователя разрешение на установку. Оно представляется в качестве инструмента для управления настройками устройства «Manage Settings». После своей установки, приложение работает как служба в фоновом режиме.

Категория: Операционные системы » Android

 

Технический способ защиты от неправомерной выдачи дубликатов сим-карт (и вообще персональных данных), реализуемый на уровне оператора

Автор: admin от 23-09-2015, 16:38, посмотрело: 395

Последние пару недель наблюдаю как рунет шумит на тему мошенничества с дубликатами симок. На хабре вот тоже про это уже писали. При этом проблема эта совершенно не новая, но всплывает постоянно и все более интенсивно.

В связи с этим мне хотелось бы рассказать о том, как справляется Deutsche Telekom (и другие немецкие операторы) с этой ситуацией. Сразу надо заметить, что ситуация с точками продаж в Германии очень похожая: точку может открыть практически любой, т.е. круг лиц, которые могут иметь доступ к данным, заранее достаточно широк. Но применяется очень трезвый технический способ защиты.

Категория: Информационная безопасность

 

Прикручиваем мультимедиа-клавиши в Яндекс.Радио

Автор: admin от 23-09-2015, 16:13, посмотрело: 450

Не так давно открыл я для себя сервис Яндекс.Радио, и вполне успешно им пользуюсь. Но вот чего не хватает: возможности включить следующий трек или поставить на паузу, не переключаясь на вкладку.

Мое решение под катом.

Категория: Компании » Яндекс

 

3 Атаки на TACACS+ от Cisco

Автор: admin от 23-09-2015, 15:16, посмотрело: 588

Мне хотелось бы поведать сегодня итоги своего небольшого исследования, связанного с протоколом TACACS+, причём именно с пентестерской точки зрения. Использовать протокол по прямому мне не приходилось, так что каких-то тонкостей могу не упомянуть.

Что такое TACACS+


Terminal Access Controller Access-Control System Plus (TACACS+) — специальный протокол от Cisco для AAA (authentication, authorization, and accounting). То есть это протокол для централизованного управления доступом – чаще всего доступом именно к Cisco, но можно прикрутить что-то еще.

Итак, обычно поднимается один-два сервера с TACACS+ сервисом на 49 порту протокола TCP, а на всех устройствах настраивают его использование. Таким образом, когда пользователь хочет аутентифицироваться на свитче, роутере или другом устройстве, устройство пересылает его аутентификационные данные на TACACS+ сервер, где их проверяют, и принимается решение о разрешении доступа, о чём и сообщается в ответных пакетах

3 Атаки на TACACS+ от Cisco

Удобно, централизовано. Можно настроить различные привилегии для различных пользователей на различных устройствах. Есть логирование доступа и действий на серверной стороне. Можно прикрутить поверх другую централизацию доступа, типа AD или LDAP'а. Есть open source реализации сервера (Cisco когда-то официально выложила код).

Категория: Информационная безопасность, Сетевые технологии

 

Компания D-Link по ошибке опубликовала секретные ключи для подписи прошивок

Автор: admin от 23-09-2015, 14:32, посмотрело: 955

Компания D-Link по ошибке опубликовала секретные ключи для подписи прошивок


Производитель маршрутизаторов и другого оборудования D-Link случайно опубликовал секретные ключи шифрования сертификатов для подписи программного обеспечения, в том числе прошивок устройств.

Пользователь под ником bartvbl приобрел камеру видеонаблюдения D-Link DCS-5020L и скачал обновление прошивки. Данный софт выпускается под свободной лицензией GPL, что дает возможность изучения исходного кода. Пользователь изучил код прошивки для своего устройства и обнаружил в нем четыре «зашитых» ключа шифрования для создания подписи. Некоторые файлы прошивки содержали сами ключи для подписи кода, а в некоторых даже были скрипты с необходимыми командами и паролями.

Категория: Информационная безопасность

 

Moscow Python Meetup в Rambler&Co

Автор: admin от 23-09-2015, 13:49, посмотрело: 607

Moscow Python Meetup в Rambler&Co

8-го октября (четверг) в Rambler&Co мы ждем в гости Moscow Python Meetup. 1-я встреча нового сезона начнется в 19.00. На встрече нас ждут 3 доклада.

Категория: Программирование, Веб-разработка

 

Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 7. «Max Vision»

Автор: admin от 23-09-2015, 13:43, посмотрело: 568

Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 7. «Max Vision»Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».

В книге показывается путь от подростка-гика (но при этом качка) до матерого киберпахана, а также некоторые методы работы спецслужб по поимке хакеров и кардеров.

Начало и план перевода тут: «Шкворень: школьники переводят книгу про хакеров».

Логика выбора книги для работы со школьниками у меня следующая:

  • книг про хакеров на русском языке мало (полторы)

  • книг про кардинг на русском нет вообще (UPD нашлась одна)

  • Кевин Поулсен — редактор WIRED, не глупый товарищ, авторитетный

  • приобщить молодежь к переводу и творчеству на Хабре и получить обратную связь от старших

  • работать в спайке школьники-студенты-специалисты очень эффективно для обучения и показывает значимость работы

  • текст не сильно хардкорный и доступен широкому кругу, но затрагивает вопросы информационной безопасности, уязвимости платежных систем, структуру кардингового подполья, базовые понятия инфраструктуры интернет

  • книга иллюстрирует, что «кормиться» на подпольных форумах — плохо заканчивается


Перевод книги окончен. Это последний «хвост». Теперь главы будут идти по порядку.

Кто хочет помочь с переводами крутых эссе Пола Грэма — пишите в личку magisterludi.

Глава 7. «Max Vision»

(за помощь с переводом спасибо Валентину Аникееву)

Когда сотрудничество с правительством прекратилось, Макс, несмотря на гнёт федерального расследования, принялся нарабатывать себе репутацию «белого» хакера.

Раскрытие уязвимости в BIND и последовавший за этим успех сайта whitehats.com стали хорошим подспорьем для Макса. Теперь он позиционировал себя в качестве консультанта по компьютерной безопасности и создал сайт, где рекламировал свои услуги. Нанять Макса можно было за сто долларов в час, а некоммерческим организациям он помогал бесплатно. Самым весомым его аргументом было стопроцентное проникновение в исследуемую сеть – осечек не было ни разу.

Это было замечательное время для «белых» хакеров: бунтарский дух, который двигал open-source сообщество, проник в сферу информационной безопасности. Выпускники колледжа и отчисленные студенты, бывшие и нынешние «чёрные» хакеры разрушали устои компьютерной безопасности, которые за десятки лет стали привычным делом.

Категория: Информационная безопасность

 
Назад Вперед