Как уязвимость платежной системы раскрывала данные кредитных карт

Автор: admin от 27-07-2017, 22:30, посмотрело: 259

Недавно решил проверить на уязвимости сайты платежных систем (ua,ru). Нашёл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили (maxkassa.ru).



Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом. ->

Категория: Веб-разработка, Информационная безопасность

 

JavaScript без this

Автор: admin от 27-07-2017, 16:05, посмотрело: 382

Ключевое слово this в javascript можно назвать одной из наиболее обсуждаемых и неоднозначных особенностей языка. Всё дело в том, что то, на что оно указывает, выглядит по-разному в зависимости от того, где обращаются к this. Дело усугубляется тем, что на this влияет и то, включён или нет строгий режим.



JavaScript без this



Некоторые программисты, не желая мириться со странностями this, стараются вовсе не пользоваться этой конструкцией языка. Не вижу тут ничего плохого. На почве неприятия this было создано много полезного. Например — стрелочные функции и привязка this. Как результат, при разработке можно практически полностью обойтись без this.
->

Категория: Программирование » Веб-разработка

 

Покойся с миром, REST. Долгих лет жизни GraphQL

Автор: admin от 26-07-2017, 23:45, посмотрело: 542

Перевод. Автор оригинала Samer Buna. Оригинал статьи.

Когда я впервые узнал о GraphQL после долгого использования различных REST API, то не мог удержаться от твитов такого содержания:

Rest API превратился в REST-in-Peace API. Долгих лет жизни GraphQL



Примечание переводчика – Rest In Peace, RIP – распространенная эпитафия "Покойся с миром". Первое слово в ней пишется так же, как акроним REST.

Тогда это была попытка рассмешить, но сейчас я убеждаюсь в справедливости шутливого прогноза.



Поймите правильно. Я не собираюсь обвинять GraphQL в убийстве REST или чём-то таком. REST не умрет никогда, также как XML будет жить вечно. Но кто в здравом уме станет использовать XML поверх JSON? На мой взгляд, GraphQL сделает для REST то же самое, что JSON сделал для XML.

->

Категория: Программирование » Веб-разработка

 

Советы для тех, кто планирует заняться локализацией своего проекта

Автор: admin от 26-07-2017, 16:00, посмотрело: 263

Вопрос локализации является краеугольным камнем для множества команд разработчиков по всему миру. Особенно остро этот вопрос стоит, когда рынок продукта однозначно не определен и команда до конца не знает своего потребителя.



Советы для тех, кто планирует заняться локализацией своего проекта



Будем откровенны: если ваш продукт ориентирован на широкую аудиторию, то английского языка явно недостаточно. Конечно, существуют узкоспециализированные проекты и сервисы вроде нашего, когда знание главного международного языка не прихоть – необходимость, однако ниша подобных разработок крайне узка. И вот, тысячи команд по всему миру рано или поздно упираются в потолок одного-двух языков: один английский, а второй – родной для команды (если она не англоговорящая). Дальше начинаются споры, ссоры, попытки локализации и последующие пляски с бубном.



В этой публикации мы собрали ряд популярных советов и рекомендаций как от частных разработчиков, так и от матерых команд уровня Mozilla, в которых более опытные товарищи делятся со своими коллегами опытом локализации проектов.
->

Категория: Программирование » Веб-разработка

 

Синглтоны и общие экземпляры

Автор: admin от 26-07-2017, 14:05, посмотрело: 277

Синглтоны и общие экземпляры

Каждый раз при обсуждении программного обеспечения с другими разработчиками всплывает тема синглтонов, особенно в контексте развития WordPress’а. Я часто пытаюсь объяснить, почему их надо избегать, даже если они считаются стандартным шаблоном.



В данной статье я попытаюсь раскрыть тему того, почему синглтоны никогда не должны использоваться в коде и какие есть альтернативы для решения похожих проблем.

->

Категория: Программирование, Веб-разработка

 

Сайт-визитка студента без затрат

Автор: admin от 25-07-2017, 16:05, посмотрело: 226

В жизни многих студентов it-специальности возникает желание устроиться на работу или стажировку в хорошую it-компанию. А для этого неплохо бы показать все свои скиллы на специально созданном сайте-визитке. Но студент, на то он и студент, обычно "бедный" и не хочет тратить деньги на покупку домена и хостинг, однако хочется всё по-взрослому (а не на Ucoze).


В этой статье я хотел бы поделиться своим опытом и опытом моих друзей, которые столкнулись с такой необходимостью, а также рассказать подробно о побочных эффектах, настройках и технологиях. Здесь не будет технических новинок, наоборот это максимально подробная и понятная статья, в которой я расскажу о лайфхаках и постараюсь объяснить технические сложности.


Что будет в этой статье:



  • про бесплатный пак от github для студентов

  • как получить бесплатный домен на год

  • как получить бесплатный хостинг

  • как связать домен и хостинг (DNS)

  • где взять шаблон

Категория: Программирование » Веб-разработка

 

Команда веб-энтузиастов представила P2P-браузер Beaker

Автор: admin от 24-07-2017, 16:35, посмотрело: 276

На волне обсуждения возможной монополизации рынка «облачных» услуг ИТ-гигантами вроде Google Cloud и AWS все большее число децентрализованных проектов заявляют о себе. Один из свежих примеров — открытый P2P-браузер Beaker.



Он разработан в партнерстве с командой, которая занимается поддержкой проекта Dat. Он, как и новый браузер, основан на P2P-протоколе Dat.



Команда веб-энтузиастов представила P2P-браузер Beaker ->

Категория: Программирование » Веб-разработка

 

Почему мы выбрали TypeScript: история разработчиков из Reddit

Автор: admin от 24-07-2017, 14:35, посмотрело: 215

Почему мы выбрали TypeScript: история разработчиков из Reddit
Примерно полгода назад CEO Reddit Стив сообщил о том, что мы перепроектируем сайт. Главный вопрос тут — как именно мы этим занимаемся. В наше время фронтенд-разработка очень сильно отличается от того, что было во времена, когда Reddit появился на свет. Сейчас имеется огромный выбор вариантов для каждой подсистемы веб-приложения. Как рендерить страницы? Как стилизовать контент? Как хранить и обслуживать картинки и видеофайлы? Как писать код? В современных условиях ни на один из этих вопросов нет готового ответа.



Одним из первых подобных вопросов, на который нам необходимо было найти ответ, звучал так: «Какой язык выбрать?».
->

Категория: Программирование » Веб-разработка

 

Как и зачем скрывать телефонные номера

Автор: admin от 24-07-2017, 14:00, посмотрело: 315

Как и зачем скрывать телефонные номера

Мало известный за пределами телеком-тусовки факт: когда вы звоните куда-нибудь со своего телефона, ваш номер, который отображается для входящего звонка – это просто произвольная текстовая строка, которую подставил ваш оператор сотовой связи. И если между двумя устройствами есть что-нибудь интересное, к примеру, машина с Asterisk или облако с Voximplant, то эту строку можно поменять на любую другую. Ситуация, когда при звонке вместо номера звонящего человека «рисуется» совсем другой номер называется маскировка телеком-данных (Phone Number Masking). И этот прием широко используется для решения ряда интересных задач. Читайте о них под катом.
->

Категория: Программирование, Веб-разработка

 

Поиск по документации InterSystems с помощью технологий iKnow и iFind

Автор: admin от 24-07-2017, 13:30, посмотрело: 321

Поиск по документации InterSystems с помощью технологий iKnow и iFind



В СУБД InterSystems Cache есть встроенная технология работы с неструктурированных данными iKnow, а также технология полнотекстового поиска iFind. Решили разобраться с технологией и заодно сделать что-то полезное. В итоге получился DocSearch — Веб приложение для поиска по документации InterSystems, с использованием технологий iKnow и iFind.
->

Категория: Программирование, Веб-разработка