Можно ли войти в закрытую дверь, или как патчат уязвимости

Автор: admin от 9-04-2018, 18:50, посмотрело: 29

В мире каждый день публикуются десятки CVE (по данным компании riskbasedsecurity.com за 2017 год было опубликовано 20832 CVE). Однако производители стали с большим пониманием и вниманием относиться к security-репортам, благодаря чему скорость закрытия багов существенно увеличилась (по нашим ощущениям).



Нам стало интересно посмотреть на несколько продуктов и понять, из-за чего же возникли уязвимости (учимся на чужих ошибках). А также как производители их исправляют и всегда ли это у них получается (забегая вперед – не всегда).



Можно ли войти в закрытую дверь, или как патчат уязвимости

Категория: Программирование » Веб-разработка

 

Книга «Безопасность в PHP» (часть 3). Межсайтовый скриптинг (XSS)

Автор: admin от 9-04-2018, 15:10, посмотрело: 44

Книга «Безопасность в PHP» (часть 3). Межсайтовый скриптинг (XSS)

Книга «Безопасность в PHP» (часть 1)

Книга «Безопасность в PHP» (часть 2)



Межсайтовый скриптинг (XSS) — пожалуй, самый типичный вид уязвимостей, широко распространённых в веб-приложениях. По статистике, около 65 % сайтов в той или иной форме уязвимы для XSS-атак. Эти данные должны пугать вас так же, как пугают меня.

Категория: Программирование

 

Как сегодня создаются 64k intro: погружение в Immersion

Автор: admin от 9-04-2018, 12:30, посмотрело: 40

Как сегодня создаются 64k intro: погружение в Immersion




В декабре прошлого года мы наконец-то закончили наш проект. В этом видео показана наша последняя работа — четырёхминутная анимация «Immersion». Точнее, это запись того, что обычно называется 64k-интро. Но подробнее об этом чуть позже.





Работа над проектом заняла лучшие свободные часы последних двух лет жизни. Всё это началось во время проведения Revision 2015, большого мероприятия, устраиваемого каждый год в Германии во время пасхальных каникул. Мы вдвоём болтали по дороге из отеля в место проведения мероприятия. Предыдущим вечером уровень конкуренции в области 64kB intro оказался высоким. Очень высоким. Опытная и хорошо известная венгерская группа Conspiracy наконец вернулась с серьёзной, потрясающей работой. Наш лучший враг Approximate идеально успел по времени с завершением цикла выпуска и показал значительные улучшения в сторителлинге. Продуктивная группа Mercury обрела собственный зрелый стиль дизайна в интро, которое не оставляло сомнений в своей победе.

Категория: Программирование

 

ECO Flow в Vivado или работа в режиме редактирования нетлиста

Автор: admin от 9-04-2018, 12:30, посмотрело: 35

Аннотация



В статье рассмотрен режим работы Vivado, позволяющий вносить изменения в проект на уровне редактирования списка соединений (в дальнейшем – нетлиста). Описаны как сам режим ECO, так и некоторые нюансы, которые появляются во время работы в нём. Приведён демонстрационный пример и описана полная последовательность действий для получения результата, в работоспособности которой может убедиться каждый желающий. Статья будет полезна для «общего развития» FPGA-разработчикам, а особенно — тем, кто часто отлаживает проекты в Logic Analyzer. Надеюсь, работа в этом режиме вызовет интерес у разработчиков, работающих с большими кристаллами, время компиляции в которых может достигать часов (а то и десятков часов), поскольку в этом режиме время, затрачиваемое на имплементацию, при внесении изменений в нетлист может сократиться до буквально пары минут.



Оглавление



Категория: Программирование

 

О главнейшей причине существования современных JS-фреймворков

Автор: admin от 9-04-2018, 12:10, посмотрело: 32

О главнейшей причине существования современных JS-фреймворков



Автор материала, перевод которого мы публикуем сегодня, говорит, что ему очень и очень часто приходилось видеть, как веб-разработчики бездумно пользуются современными фреймворками вроде React, Angular или Vue.js. Эти фреймворки предлагают много интересного, но, как правило, программисты, применяя их, не учитывают главнейшей причины их существования. Обычно на вопрос: «Почему вы используете фреймворк X», можно услышать следующие ответы, среди которых, однако, нет самого главного:




  • Этот фреймворк основан на компонентах.

  • У него имеется мощное сообщество.

  • Для него разработано множество сторонних библиотек, которые помогают решать различные задачи.

  • Существуют полезные дополнительные компоненты для этого фреймворка.

  • Имеются расширения для браузеров, которые помогают отлаживать приложения, созданные с помощью данного фреймворка.

  • Этот фреймворк хорошо подходит для создания одностраничных приложений.



На самом же деле самая главная, фундаментальная причина использования фреймворков заключается в том, что они помогают решать задачу синхронизации пользовательского интерфейса и внутреннего состояния приложения. Это — чрезвычайно сложная и важная задача, и именно о ней мы сегодня и поговорим.

Категория: Программирование » Веб-разработка

 

Отправка почты из Docker-контейнера (докеризация postfix и sasl)

Автор: admin от 9-04-2018, 09:40, посмотрело: 21

Когда я расположил приложение в Docker-контейнере и попробовал отправить email на почтовый сервер в другом Docker-контейнере, столкнулся с непредвиденной проблемой. Почтовый сервер postfix по умолчанию отправляет почту на произвольный домен получателя только от локального клиента. Все остальные домены нужно прописывать в параметре relay_domains, и если параметр mynetwors настроен правильно, то почта будет отправляться на перечисленные в параметре relay_domains домены с клиента из mynetwors.



В принципе, мне этого было достаточно, т.к. приложение теоретически должно было отправлять почту на ровно один корпоративный почтовый сервер. Но такое решение меня не очень устраивало, потому что задача может поменяться в любой момент. Поэтому, я попытался настроить sasl-авторизацию, которая позволяет отправять почту авторизованным пользователям на произвольный домен.

Категория: Программирование

 

Learn OpenGL. Урок 5.1 — Продвинутое освещение. Модель Блинна-Фонга

Автор: admin от 8-04-2018, 23:25, посмотрело: 36

Learn OpenGL. Урок 5.1 — Продвинутое освещение. Модель Блинна-Фонга

Продвинутое освещение


В уроке посвященном основам освещения мы кратко разобрали модель освещения Фонга, позволяющую придать существенную долю реализма нашим сценам. Модель Фонга выглядит вполне неплохо, но имеет несколько недостатков, на которых мы сосредоточимся в данном уроке.

Категория: Программирование

 

Анализ данных — основы и терминология

Автор: admin от 8-04-2018, 23:25, посмотрело: 29

В этой статье я бы хотел обсудить базовые принципы построения практического проекта по (т. н. «интеллектуальному») анализу данных, а также зафиксировать необходимую терминологию, в том числе русскоязычную.



Согласно википедии,
Анализ данных — это область математики и информатики, занимающаяся построением и исследованием наиболее общих математических методов и вычислительных алгоритмов извлечения знаний из экспериментальных (в широком смысле) данных; процесс исследования, фильтрации, преобразования и моделирования данных с целью извлечения полезной информации и принятия решений.
Говоря чуть более простым языком, я бы предложил понимать под анализом данных совокупность методов и приложений, связанных с алгоритмами обработки данных и не имеющих четко зафиксированного ответа на каждый входящий объект. Это будет отличать их от классических алгоритмов, например реализующих сортировку или словарь.

Категория: Программирование

 

PHP-Дайджест № 128 (25 марта – 8 апреля 2018)

Автор: admin от 8-04-2018, 23:25, посмотрело: 27

PHP-Дайджест № 128 (25 марта – 8 апреля 2018)


Свежая подборка со ссылками на новости и материалы. В выпуске: PhpStorm 2018.1 и другие релизы, критическая уязвимость в Drupal, видеозаписи докладов, порция полезных инструментов, и многое другое.

Приятного чтения!

Категория: Программирование

 

Учебник Thymeleaf: Глава 20. Приложение C: Синтаксис селектора разметки

Автор: admin от 7-04-2018, 21:35, посмотрело: 35

Оглавление



20 Приложение C: Синтаксис селектора разметки



Селекторы разметки Thymeleaf напрямую заимствованы из библиотеки парсера Thymeleaf: AttoParser.



Синтаксис для этих селекторов имеет большое сходство с синтаксисом селекторов в XPath, CSS и jQuery, что делает их удобными для большинства пользователей. Вы можете взглянуть на полную ссылку на синтаксис в документации AttoParser.

Категория: Программирование