Еще одна «критическая» «уязвимость» «VPN» и почему Port Fail — ерунда

Автор: admin от 20-12-2015, 22:13, посмотрело: 690

Утро 26 ноября началось для меня с интересной новости — ребята из Perfect Privacy опубликовали информацию об уязвимости Port Fail, которая позволяет раскрывать IP-адрес клиентов VPN-сервисов с функцией проброса портов. Я немного понегодовал из-за того, что ее назвали уязвимостью, т.к. это никакая не уязвимость, а особенность маршрутизации: трафик до IP-адреса VPN-сервера всегда идет напрямую, в обход VPN. Вполне очевидная вещь, подумал я, о которой должен знать любой сетевой администратор. Заметка вменяемая и технически грамотная, придраться можно только к слову vulnerability (уязвимость). Но потом за дело взялись СМИ, и пошло-поехало…

Еще одна «критическая» «уязвимость» «VPN» и почему Port Fail — ерунда

Критическая уязвимость во всех протоколах VPN на всех операционных системах. У-у-у, как страшно!

В новости, опубликованной на Geektimes, изначально имевшей желтый заголовок, было сказано о награде в $5000 за найденную «уязвимость» от Private Internet Access — одного из крупнейших VPN-сервисов. «$5000 за типичную, совершенно очевидную любому сетевику вещь?» — подумал я — «Невероятно!», и высказал свое негодование по этому поводу в комментариях, попутно расписав еще одну, не менее очевидную, особенность маршрутизации, с которой сталкивался любой настраивавший работу двух и более интернет-провайдеров на одном компьютере: ответ на входящий запрос не обязательно уйдет через этого же провайдера и с этим же IP, чего запросившая сторона совсем не ожидает. Если мы представим, что вместо второго провайдера у нас VPN-соединение, то отправив запрос на IP-адрес нашего провайдера, при определенных условиях может получиться так, что ответ на наш запрос мы получим с IP VPN-сервера.

Еще одна «критическая» «уязвимость» «VPN» и почему Port Fail — ерунда

Категория: Информационная безопасность / Сетевые технологии

 

День рождения основателя старейшего хакерского клуба Chaos Computer Club

Автор: admin от 20-12-2015, 17:34, посмотрело: 455

День рождения основателя старейшего хакерского клуба Chaos Computer Club

20 декабря 1951 года родился Херварт Холланд-Мориц, известный как Вау Холланд (Wau Holland), со-основатель Chaos Computer Club (ССС) в 1981 году, — это один из старейших в мире хакерских клубов.

День рождения основателя старейшего хакерского клуба Chaos Computer ClubССС получил всемирную известность, когда его члены обнародовали уязвимости в системе безопасности немецкого телетекстового оператора Bildschirmtext (Btx). Хакеры получили 134 000 немецких марок от банка, многократно получая доступ к его странице на Btx. Через несколько дней хакеры вернули деньги.

Вау Холланд был блестящим оратором, человеком с большим чувством юмора, стоящим на позициях открытости и свободы информационного обмена.

Категория: Информационная безопасность

 

Дайджест интересных материалов для мобильного разработчика #134 (14-20 декабря)

Автор: admin от 20-12-2015, 14:56, посмотрело: 437

В новом дайджесте мы сравниваем Swift и Rust, оцениваем гайдлайны Apple, следим Xamarin.Forms, обновляем приложения в Google Play к Новому году, выводим в топ и смотрим за покупками.

Дайджест интересных материалов для мобильного разработчика #134 (14-20 декабря)

Категория: Веб-разработка / Android / Windows / iOS

 

Как мы перешли со Scala на Go

Автор: admin от 20-12-2015, 12:46, посмотрело: 423

Перевод статьи технического директора компании CrowdStrike, о том, как и почему они перешли со Scala на Go по мере роста компании с 5 до 200+ человек.

Scala долгое время была частью стека нашей компании CrowdStrike, по сути даже главным языком. Я помогал внедрять Scala когда мы начали разрабатывать наш софт в 2012-м году. На самом деле, это было даже одной из главных причин моего перехода в CrowdStrike. Несколько основных разработчиков были заинтересованы во внедрении Scala, так что это был хороший вариант для всех.

Я перешёл из компании Gravity, которая достаточно активно использовала Scala. Это был основной язык в компании. Я привык к нему, мне он нравился, я видел его мощь и был уверен, что смогу предотвратить некоторые из сложностей, которые я видел в Scala, по мере того, как CrowdStrike будет расти. Мы делали высоконагруженную аналитику, batch-задачи на Hadoop и наш Chief Architect (привет, Биссел!) использовал лямбда-архитектуру задолго до того, как это стало модно.

Недавняя цитата от одного из наших senior-разработчиков заставила меня таки написать этот пост, описывающий, почему мы перевели большую часть нашего стека на Go, и почему новые сервисы мы по-умолчанию теперь пишем именно на Go.

Категория: Программирование

 

Гайдлайны Apple для iOS-приложений устарели

Автор: admin от 20-12-2015, 09:44, посмотрело: 725

Без Стива Джобса Apple стала часто идти на компромиссы. И вот что случается, когда из компании уходит человек, который способен говорить «Нет» не до конца проработанным решениям:

Гайдлайны Apple для iOS-приложений устарели

Но сегодня я хочу обратить внимание на UI/UX проблему iPhone 6 и 6 Plus, которая существует уже более 2-х лет и которую большинство UI/UX дизайнеров игнорируют.

Категория: Apple / iOS