Как Skype уязвимости чинил

Автор: admin от 19-12-2016, 23:50, посмотрело: 125

Как Skype уязвимости чинил

Короткий ответ: никак, им пофиг.



В статье описываются мои безуспешные попытки убедить сотрудников Microsoft, что их сервис уязвим, а также унижения, которые приходится выносить пользователям Skype. Под катом невежество, боль и отчаяние.

TL;DR:


  • Любой может заблокировать ваш аккаунт навсегда так, что вы больше не сможете им пользоваться. Для этого достаточно знать только имя аккаунта. В большинстве случаев Skype откажет вам в восстановлении доступа. Microsoft знает об этой проблеме несколько лет.



  • Механизм генерации восьмизначных одноразовых кодов аутентификации (Microsoft Security Code), которые используются для восстановления пароля к аккаунту Microsoft, уязвим. Атакующий может угадать код.



  • Техподдержка Skype уязвима для атак социальной инженерии. Microsoft считает это нормальным.



  • Техподдержка Skype не знает, что на самом деле происходит с вашим аккаунтом, и почему он заблокирован. В любом случае вы получите стандартный ответ, что ваш аккаунт заблокирован за нарушение правил, даже если аккаунт был удален по вашему запросу.



  • Skype по-прежнему раскрывает ваш IP-адрес, в том числе и локальный (тот, что на сетевом интерфейсе). В некоторых случаях возможно раскрытие контактов, подключенных с того же внешнего IP-адреса, что и вы. Например, членов семьи, подключенных к домашнему роутеру.



  • Атакующий может скрыть активную сессию из списка авторизованных клиентов (команда /showplaces) используя старые версии SDK. Таким образом, зная пароль, можно незаметно просматривать переписку жертвы.


Категория: Информационная безопасность

 

Как не писать лишнего

Автор: admin от 19-12-2016, 21:50, посмотрело: 92

Как не писать лишнего Все программисты сталкиваются с boiler-plate кодом. Особенно Android-программисты. Писать шаблонный код — дело неблагодарное и, я уверен, что нет программиста, которому бы это доставляло удовольствие. В один прекрасный день я начал искать решения. Несмотря на то, что идея довольно проста: генерировать шаблонный код в отдельный класс и позже вызывать этот код в рантайме, готовых решений не нашлось, и я принялся за дело. Первая версия была реализована как один из подмодулей одного из рабочих проектов. Более двух лет я был доволен этим решением. Оно действительно работало и работало именно так, как я этого ожидал. Время шло, модуль дополнялся новыми функциями, рефакторился, оптимизировался. В целом PoC можно было назвать успешным, и я решил поделиться проектом с комьюнити.

Категория: Программирование, Веб-разработка, Android

 

Как продавать, если вашей товарной группы нет на Яндекс.Маркете?

Автор: admin от 19-12-2016, 21:15, посмотрело: 179

Предисловие


Больше года назад я написал пост «Иннопром посуточно» и пообещал в нем выкладывать интересные кейсы из нашей практики дальше. Пост получился удачным, его сразу вытащили из песочницы, прислали мне инвайты на все проекты Хабра и в итоге я попал в захабренные. Только вот обещание свое я не мог выполнить больше года. Исправляюсь, публикую описание кейса, который был готов уже полтора года назад, да все руки не доходили.

Почему полтора года собраться не мог, а тут вдруг созрел? Ну кроме того, что появился часик времени на написание поста, есть еще причина. Яндекс.Маркет активно пытается пересадить все магазины на кнопку «Купить» на своей площадке. И получается это у них, прямо говоря, не очень. Зато пиара и промывания мозгов на тему как это здорово для магазинов уже столько, что он него тошнить начинает. Решил добавить им пиара.

Как продавать, если вашей товарной группы нет на Яндекс.Маркете?

Категория: Компании » Яндекс

 

Статьи, лежащие в основе подхода Facebook к компьютерному зрению

Автор: admin от 19-12-2016, 21:10, посмотрело: 81

Знаете такую компанию — Facebook? Да-да, ту самую, у сайта которой 1,6 миллиардов пользователей. И если взять все посты-поздравления с днем рождения, ваши позорные детские фотографии (у меня они такие), того дальнего родственника, лайкающего каждый ваш статус, — и вот вам множество данных для анализа.

С точки зрения анализа изображений Facebook весьма далеко продвинулся со сверточными нейронными сетями (Convolutional Neural Network, CNN). В августе подразделение Facebook по исследованиям в области искусственного интеллекта (Facebook AI Research, сокращенно FAIR) опубликовала блог-пост об алгоритмах компьютерного зрения, которые лежат в основе некоторых их алгоритмов сегментации изображений. В этом посте мы кратко изложим и разъясним три статьи, на которые ссылается этот блог.

Статьи, лежащие в основе подхода Facebook к компьютерному зрению

Категория: Программирование

 

Как выжить в условиях корпоративной культуры, если ты — программист-интроверт

Автор: admin от 19-12-2016, 19:30, посмотрело: 94

Современный мир корпораций создает идеальные условия для работы и продвижения по службе, если вы амбициозный, активный, общительный, легко заводите новые знакомства, умеете поддерживать отношения с руководством… Список можно продолжать и дальше, но уже ясно, что идеальным этот мир могут назвать лишь экстраверты.

Как быть тем, кто хорошо разбирается в своем деле, упорно трудится и постоянно самосовершенствуется, но предпочитает не кричать об этом на каждом углу? Сегодня мы будем разбираться с тем, как политика компании может усложнить вам жизнь, и что делать, если вы считаете себя интровертом.

Как выжить в условиях корпоративной культуры, если ты — программист-интроверт

Категория: Программирование, Веб-разработка

 

Особенности разработки мобильной MMO RTS. Часть 1

Автор: admin от 19-12-2016, 18:25, посмотрело: 105

В цикле статей «Особенности разработки мобильной MMO RTS» мы расскажем о работе большой команды над масштабным проектом Stormfall: Rise of Balur. Этот опыт будет полезен независимым разработчиками и студиям, которые еще не определились с выбором технологий, архитектуры и структуры команды для своей RTS.

Особенности разработки мобильной MMO RTS. Часть 1

Категория: Веб-разработка, Game Development, iOS

 

Портабельный RWLock для Windows

Автор: admin от 19-12-2016, 16:40, посмотрело: 328

RWLock — это такой примитив синхронизации, позволяющий одновременное чтение и эксклюзивную запись. Т.е. чтение блокирует запись, но не блокирует чтение других тредов, а запись блокирует все.

Категория: Операционные системы » Windows

 

Как Яндекс научил машину самостоятельно создавать переводы для редких языков

Автор: admin от 19-12-2016, 14:30, посмотрело: 181

В одной только России насчитывается более сотни языков, многие из которых являются родными для десятков и сотен тысяч человек. Причем часть из них ограничена в употреблении или даже находится на грани исчезновения. Машинный перевод мог бы помочь в сохранении этих языков, но для этого надо решить главную проблему всех подобных систем – отсутствие примеров для обучения.

Яндекс работает над технологией машинного перевода с 2011 года, и сегодня я расскажу о нашем новом подходе, благодаря которому становится возможным создать переводчик для тех языков, для которых ранее это было сделать затруднительно.

Как Яндекс научил машину самостоятельно создавать переводы для редких языков

Правила против статистики

Машинный перевод, то есть автоматический перевод с одного человеческого языка на другой, зародился в середине прошлого века. Точкой отсчета принято считать Джорджтаунский эксперимент, проведенный 7 января 1954 года, в рамках которого более 60 фраз на русском языке были переведены компьютером на английский. По сути, это был вовсе и не эксперимент, а хорошо спланированная демонстрация: словарь включал не более 250 записей и работал с учетом лишь 6 правил. Тем не менее результаты впечатлили публику и подстегнули развитие машинного перевода.

Категория: Компании » Яндекс

 

RxJava. Убираем магию

Автор: admin от 19-12-2016, 13:20, посмотрело: 137

Я долго боялся использовать RxJava в production. Её назначение и принцип работы оставались для меня загадкой. Чтение исходного кода не добавляло ясности, а статьи только путали. Под катом попытка ответить на вопросы: «Какие задачи эта технология решает лучше аналогов?» и «Как это работает?» с помощью аналогий с классической Java и простых метафор.

RxJava. Убираем магию

Категория: Веб-разработка, Android

 

Деплой веб-приложений с помощью Ansistrano

Автор: admin от 19-12-2016, 13:05, посмотрело: 123

Деплой веб-приложений с помощью Ansistrano

ansistrano.deploy и ansistrano.rollback — роли Ansible, предназначенные для управления процессом развертывания приложений, созданных на скриптовых языках программирования (например, PHP, Python и Ruby). По сути это реализация Capistrano в Ansible.


Использование Ansistrano дает следующие преимущества:



  • откат за секунды (с ролью ansistrano.rollback);

  • настройка процедуры развертывания с использованием методов-обработчиков событий «до» и «после» критически важных шагов;

  • оптимизация использования дискового пространства за счет хранения ограниченного количества релизов;

  • выбор между SCP, RSYNC, GIT, SVN, HTTP Download или S3 GET-стратегиями развертывания (в дополнение возможно использование unarchive).

Категория: Программирование » Веб-разработка

 
Назад Вперед