» Материалы за Февраль 2017 года » Страница 9

 

CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код произвольных веб-страниц

Автор: admin от 24-02-2017, 12:15, посмотрело: 170

CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код произвольных веб-страницСпециалисты по безопасности из Google обнаружили неприятный баг, чем-то похожий на приснопамятную уязвимость Heartbleed в OpenSSL. Она тоже выдаёт любому желающему криптографические ключи пользователей, а также куки, пароли, содержимое POST-запросов с личными данными, кредитные карты, ключи API и другое содержимое чужих сессий.

Здесь уязвимость ограничена всего одним сервис-провайдером, пусть и таким крупным как Cloudflare. Но в определённом смысле этот баг Cloudbleed хуже, чем Heartbleed, потому что утечка данных происходит спонтанно. Эти страницы рутинно скачиваются краулерами, индексируются поисковыми системами, до сих пор хранятся в архивах веб-страниц и в кэше Google.

Cloudflare является посредником между хостером сайта и посетителями сайта, выполняя роль обратного прокси для веб-сайтов. Из-за ошибки программиста системы Cloudflare на Nginx с сентября 2016 года внедряли случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которое выдавалось всем пользователям.

Категория: Веб-разработка, Информационная безопасность

 

Создание собственной View под Android – может ли что-то пойти не так?

Автор: admin от 24-02-2017, 10:45, посмотрело: 139

Создание собственной View под Android – может ли что-то пойти не так?
«Дело было вечером, делать было нечего» — именно так родилась идея сделать вью с возможностью зума, распределяющую юзеров по рангам в зависимости от кол-ва их очков. Так как до этого я не имел опыта в создании собственных вьюшек такого уровня, задача показалась мне интересной и достаточно простой для начинающего… но, *ох*, как же я ошибался.

В статье я расскажу о том, с какими проблемами мне пришлось столкнутся как со стороны Android SDK, так и со стороны задачи (алгоритма кластеризации). Основная задача статьи – не научить делать так называемыми “custom view”, а показать проблемы, которые могут возникнуть при их создании. Тема будет интересна тем из вас, кто имеет мало (или не имеет вовсе) опыта в создании чего-то подобного, а также тем, кто хочет словить лулзов с автора в сто первый раз уверовать в «гибкость» Android SDK.

Категория: Веб-разработка, Android

 

Upspin: новая глобальная файловая система от Google

Автор: admin от 24-02-2017, 09:55, посмотрело: 1131

Upspin: новая глобальная файловая система от Google

На днях стало известно о новом проекте Upspin, который разрабатывается группой инженеров из корпорации Google. Основная задача участников проекта — создание фреймворка для обеспечения безопасного совместного доступа к файлам. Upspin, если коротко, задает набор протоколов, интерфейсов и прочих программных компонент, что позволяет связать вместе различные данные, включая ФС и сервисы хранения. Написан фреймворк на язык Go. Распространяется он под лицензией BSD. Стоит отметить, что сам проект — не официальная разработка Google, а «хобби» сотрудников.

Вне зависимости от того, где находятся файлы, Upspin унифицирует доступ к ним, так что получить данные можно из практически любой точки глобальной сети. По словам разработчиков, их разработка является попыткой решить проблему с текущей фрагментированностью различных программных элементов для совместного доступа к файлам. В результате пользователю, который работает с разными платформами, необходимо тратить время на выполнение промежуточных загрузок, сохранений и переупакови файлов.

Категория: Компании » Google

 

Детектим виртуальную машину на C#: 1 уровень

Автор: admin от 24-02-2017, 08:45, посмотрело: 200

Одним жуть каким прохладным январским утром от знакомого прилетел вопрос — как на C# определить, не запущена ли программа в ОС (оконное приложение в ОС Windows 7 или новее) на виртуальной машине.


Требования к такому детектору были достаточно жёсткими:


  • Должен быть полностью в исходных кодах,

  • Должен собираться с помощью Visual Studio,

  • Должен работать из-под аккаунта непривилегированного пользователя (нельзя использовать методы, требующие, к примеру, установки драйверов устройств, или иных операций, для которых нужны права администратора),

  • Разрешено использовать .NET Framework 4.5 и никаких лишних зависимостей (типа Visual C++ Redistributable Package).


  • Под катом описание реализованного детектора на C# (в следующей части — с некоторыми элементами C++) и приличным количеством неприличного кода с использованием Visual Studio 2015 Community.


    Структура публикации



    • 1 уровень. Изучение матчасти и простейших существующих решений:


      • немного теории касательно виртуализации,

      • реализация проверки ВМ с помощью данных из Windows Management Instrumentation (WMI).



    • 2 уровень. Поиск статей и публикаций про детектирование запуска в виртуальных машинах:


      • допиливаем реализацию с WMI,

      • работа с инструкцией CPUID.



    • 3 уровень. Поиск материалов с хакерских конференций:


      • допиливаем работу с CPUID,

      • делаем сводную таблицу параметров и результатов тестирования.


    Категория: Программирование

     

    Разработка SELinux-модуля для пользователя

    Автор: admin от 24-02-2017, 01:20, посмотрело: 150

    Это вторая статья из цикла


    Разработка SELinux-модуля для пользователя
    Сегодня мы поговорим о SELinux-пользователях, их создании, привязке, правам и другим вещам.
    Зачем это делать? Есть много причин. Для меня главной причиной было выдать доступ для техподдержки для рутинных операций ( таких как ребут, чистка логов, диагностика итд ), но без доступа к критичным данным и изменению системных функций.

    Предположения


    В тексте будет содержаться много технической информации, поэтому автор предполагает, что читатель:

    • Прочитал прошлую статью

    • Имеет под рукой CentOS 7

    • На котором установлены пакеты setools-console, policycoreutils-devel, selinux-policy-devel, policycoreutils-newrole

    • И включен SELinux в режиме enforcing с политикой targeted или minimum


    Это все про вас? Тогда поехали!

    Категория: Веб-разработка, Информационная безопасность, Linux

     

    Пишем игровую логику на C#. Часть 2/2

    Автор: admin от 23-02-2017, 22:20, посмотрело: 144

    Пишем игровую логику на C#. Часть 2/2Это продолжение предыдущей статьи. Мы шаг за шагом создаем движок, на котором будет работать игровая логика нашей экономической стратегии. Если вы видите это впервые — настоятельно рекомендую начать с Части 1, так как это зависимое продолжение и требует ее контекста.

    Как и раньше — внизу статьи вы можете найти полный код на ГитХаб и ссылку на бесплатное скачивание.

    Категория: Программирование » Веб-разработка

     

    Отрисовка векторной графики — триангуляция, растеризация, сглаживание и новые варианты развития событий

    Автор: admin от 23-02-2017, 22:15, посмотрело: 215

    В далёком 2013м году вышла игра Tiny Thief, которая наделала много шуму в среде мобильной Flash (AIR) разработки из-за отказа от растровой графики в билдах, включая атласы анимации и прочего — всё что было в сборке хранилось в векторном формате прямиком из Flash редактора.
    Это позволило использовать огромное количество уникального контента и сохранить размер установочного файла до ~70 мегабайт (apk файл из Google Play). Совсем недавно снова возник интерес к теме отрисовки векторной графики на мобильных устройствах (и вообще к теме отрисовки вектора с аппаратной поддержкой), и меня удивило отсутствие информации "начального" уровня по этой теме. Это обзорно-справочная статья по возможным способам отрисовки вектора и уже существующим решениям, а так же о том, как подобные вещи можно сделать самостоятельно.


    Отрисовка векторной графики — триангуляция, растеризация, сглаживание и новые варианты развития событий

    Категория: Программирование » Веб-разработка

     

    Первый способ генерации коллизий для SHA-1

    Автор: admin от 23-02-2017, 20:55, посмотрело: 147

    Первый способ генерации коллизий для SHA-1

    Коллизии существуют для большинства хеш-функций, но для самых хороших из них количество коллизий близко к теоретическому минимуму. Например, за десять с момент изобретения SHA-1 не было ни об одном практическом способе генерации коллизий. Теперь такой есть. Сегодня первый алгоритм генерации коллизий для SHA-1 представили сотрудники компании Google и Центра математики и информатики в Амстердаме.

    Вот доказательство: два документа PDF с разным содержимым, но одинаковыми цифровыми подписями SHA-1.


    • https://shattered.it/static/shattered-1.pdf

    • https://shattered.it/static/shattered-2.pdf

    Категория: Информационная безопасность, Криптография

     

    Как в Twitch проводят A/B тестирование

    Автор: admin от 23-02-2017, 17:05, посмотрело: 189

    Как в Twitch проводят A/B тестирование

    Эксперименты — одна из центральных функций научного подразделения сайта потокового видео Twitch. Мы работаем в тесном контакте с менеджерами по продукции, чтобы тестировать новые идеи и функции. В прошлом мы использовали собственные инструменты для проведения А/В-экспериментов в сети и на наших мобильных приложениях. Недавно мы попробовали новый подход для проведения экспериментов на нашем приложении для Android, используя функцию поэтапного развёртывания из Google Play.

    Категория: Веб-разработка, Google, Android

     

    Что такое SAML аутентификация и кому она нужна?

    Автор: admin от 23-02-2017, 16:45, посмотрело: 724

    Управление доступом пользователей к облачным ресурсам представляет собой одну из основных проблем для безопасного использования облачных приложений в корпоративном окружении. С распространением многочисленных сервисных концепций SaaS, PaaS и IaaS управление политиками доступа, в том числе организация строгой аутентификации для каждого приложения создает определенную нагрузку на ИТ-подразделения предприятий. Пользователям приходится держать в памяти многочисленные логины и пароли, что неизбежно приводит к утере паролей, снижению продуктивности и раздражает пользователей. До 20% всех обращений в службу поддержки связано с восстановлением утраченных или забытых паролей.

    Что такое SAML аутентификация и кому она нужна?
    : SAML себе логин

    Категория: Веб-разработка, Информационная безопасность