Безопасность через ограничение пользователей или как создать уязвимость

Автор: admin от 17-03-2020, 23:50, посмотрело: 151

В 2019 году выявили уязвимость CPDoS Cache Poisoned Denial of Service) на сети CDN, которая позволяет отравить HTTP кэш CDN провайдера и вызвать отказ в обслуживании. Много хайпа уязвимость пока не собрала, так как не была замечена в реальных атаках. Но об одном из способов отравления кэша хочется поговорить отдельно. HTTP Method Override.



Безопасность через ограничение пользователей или как создать уязвимость

Если другие варианты эксплуатации уязвимости так или иначе опираются на баги или особенности модификации запросов посредником, то в основе варианта Method Override лежит одноименная тактика, которая не является частью стандарта HTTP, несет вместе с собой дополнительные проблемы, и которая возникла и распространилась из-за небрежного отношения к безопасности. Вот ее мы и рассмотрим.

Категория: Информационная безопасность

 

OpenID Connect: авторизация внутренних приложений от самописных к стандарту

Автор: admin от 17-03-2020, 22:50, посмотрело: 165

Несколько месяцев назад я занимался реализацией OpenID Connect сервера для управления доступом сотен наших внутренних приложений. От собственных наработок, удобных на меньших масштабах, мы перешли к общепринятому стандарту. Доступ через центральный сервис значительно упрощает монотонные операции, сокращает затраты на реализацию авторизаций, позволяет находить много готовых решений и не ломать голову при разработке новых. В этой статье я расскажу об этом переходе и о шишках, которые мы успели набить.



OpenID Connect: авторизация внутренних приложений от самописных к стандарту

Категория: Программирование

 

Полунаучное руководство по размещению WiFi-роутера

Автор: admin от 17-03-2020, 22:50, посмотрело: 165

WiFi – как недвижимость; три главных фактора, влияющих на его качество – это местоположение, местоположение и местоположение



Полунаучное руководство по размещению WiFi-роутера
С верхним этажом нашего испытательного дома проблем почти нет – хотя, как и многие дома, он страдает от ужасного расположения роутера, далёкого от его центра



Мы в редакции Ars Technica часто описываем схему работы WiFi, пишем о том, какие наборы ведут себя лучше всего, и как будущие стандарты повлияют на вас. Сегодня обратимся к более базовой теме – научим вас, как понять, сколько точек доступа вам нужно и где их расположить.



Эти правила применимы, если речь идёт об одном WiFi-роутере, о меш-наборе типа Eero, Plume или Orbi, или точках доступа с поддержкой Ethernet backhaul вроде UAP-AC от Ubiquiti или EAP от TP-Link. К сожалению, эти правила больше похожи на рекомендации, поскольку с таким количеством переменных невозможно просчитать всё точно, сидя в кресле в тысячах километров от вашего дома. Но если вы ознакомитесь с этими правилами, вы, по меньшей мере, будете чуть лучше разбираться в практических аспектах того, чего можно ожидать – а чего нельзя – от вашего WiFi-оборудования и в том, как выжать из него максимум.

Категория: Программирование

 

Получить выписку из Росреестра через ФГИС ЕГРН и python. Часть 2

Автор: admin от 17-03-2020, 22:50, посмотрело: 171

В этой статье попробуем получить выписки из ФГИС ЕГРН с помощью python (selenium) сразу по нескольким объектам недвижимости, решим капчу с помощью сервиса anticaptcha, используя его api. При встрече с капчей нейросети трогать не будем, так как они могут показаться сложнее в реализации, да и процент «успешных разгадываний» капч с их помощью пока ниже.



Ссылка на 1-ю часть статьи:Получить выписку из Росреестра через ФГИС ЕГРН и python. Часть 1



Получить выписку из Росреестра через ФГИС ЕГРН и python. Часть 2

Категория: Программирование

 

Карточная игра «Дурак» на двух M5Stack

Автор: admin от 17-03-2020, 22:50, посмотрело: 182

Цель урока



Сегодня мы напишем сетевую карточную игру на двух игроков. Какую игру написать? Давайте напишем популярную карточную игру "Дурак", цель которой — избавиться от всех карт. Подробнее о правилах Вы можете узнать здесь.



Карточная игра «Дурак» на двух M5Stack

Рисунок 1.

Категория: Программирование

 

Принцип DRY на примере Laravel

Автор: admin от 17-03-2020, 22:50, посмотрело: 171

Рассмотрим простой модуль, отвечающий за добавление новых пользователей.



И на его примере увидим, какие возможности открывает применение принципа DRY.



Для меня принцип DRY (Don't Repeat Yourself) всегда воплощался в двух основных определениях:




  • Дублирование знаний — всегда нарушение принципа

  • Дублирование кода — не всегда нарушение принципа



  • Начнем с контроллеров содержащих минимальное количество логики.

    Категория: Программирование

     

    Сравнительный анализ некоторых Java-декомпиляторов

    Автор: admin от 17-03-2020, 13:30, посмотрело: 122

    Сравнительный анализ некоторых Java-декомпиляторов

    В этой статье будут рассмотрены четыре декомпилятора — Fernflower, CFR, Procyon и jadx — и произведено их сравнение по нескольким параметрам.



    Дисклеймер: сравнение неформальное и не претендует на научность. Скорее, это просто обзор всех актуальных (на осень 2019) декомпиляторов Java-байткода.



    Автор — Анна Явейн, разработчица Solar appScreener

    Категория: Программирование

     

    Непрерывная интеграция и развертывание настольных приложений с GitHub Actions

    Автор: admin от 17-03-2020, 13:30, посмотрело: 143

    Из общения с разработчиками настольных приложений мы узнали, что многие хотят узнать, как быстро настраивать рабочие процессы непрерывной интеграции и непрерывного развертывания (CI/CD) для WPF и Windows Forms, чтобы пользоваться многими преимуществами пайплайнов CI/CD, такими как:




    • Обнаружение багов в начале цикла разработки

    • Повышение качества и надежности программного обеспечения

    • Обеспечение стабильного качества сборки

    • Быстрое и безопасное развертывание новых функций

    • Быстрое устранение проблем в продакшене за счет новых развертываний



    Поэтому мы создали пример приложения (GitHub) для демонстрации возможностей DevOps в ваших приложениях, с использованием недавно выпущенного GitHub Actions.



    Непрерывная интеграция и развертывание настольных приложений с GitHub Actions

    Категория: Программирование

     

    Чему нас научило тестирование государственной информационной системы

    Автор: admin от 17-03-2020, 11:45, посмотрело: 135

    Всем привет! 



    Я руковожу сектором тестирования в отделе системного анализа и тестирования департамента корпоративных систем ЛАНИТ. В этой сфере я уже 14 лет. В 2009 году я впервые столкнулась с тестированием государственной информационной системы. И для ЛАНИТ, и для заказчика — это был огромный и значимый проект. Он более девяти лет находится в промышленной эксплуатации.



    Чему нас научило тестирование государственной информационной системыИсточник

    Категория: Программирование

     

    NoVerify: PHP-линтер, который работает быстро

    Автор: admin от 17-03-2020, 11:45, посмотрело: 146

    Для PHP есть хорошие утилиты статического анализа: PHPStan, Psalm, Phan, Exakat. Линтеры хорошо выполняют свою работу, но очень медленно, потому что почти все написаны на PHP (или Java). Для личного использования или небольшого проекта это нормально, но для сайта с миллионами пользователей — критический фактор. Медленный линтер замедляет CI pipeline и не даёт возможности использовать его в качестве решения, интегрируемого в текстовый редактор или IDE.



    NoVerify: PHP-линтер, который работает быстро


    Сайт с миллионами пользователей — это ВКонтакте. Разработка и добавление новых функций, тестирование и починка багов, ревью — все это должно проходить быстро, в условиях жестких дедлайнов. Поэтому хороший и быстрый линтер, который сможет проверять кодовую базу на 5 млн строк за 5–10 секунд, незаменимая вещь. 



    Подходящих линтеров на рынке нет, поэтому Юрий Насретдинов (youROCK) из ВКонтакте написал свой в помощь командам разработки — NoVerify. Это линтер для PHP, который написан на Go. Он работает в 10-30 раз быстрее аналогов, может находить то, о чем не предупредит PhpStorm, легко расширяется и хорошо интегрируется в проекты, в которых раньше не слышали о статическом анализе. 



    Об этом линтере расскажет Искандер Шарипов. Под катом:как выбирали линтер и предпочли написать свой, почему NoVerify такой быстрый и как устроен изнутри, почему написан на Go, что может находить и как расширяется, на какие компромиссы пришлось пойти ради него и что можно построить на его базе.

    Категория: Программирование