Pull to refresh

Приложение Uber запросило доступ к истории браузера, закладкам и запущенным приложениям

Information Security *
Примерно неделю назад произошло обновление мобильного приложения Uber для Android до версии 3.98.2. Пользователи программы сразу обратили внимание, что после обновления Uber запрашивает доступ к истории посещённых страниц в браузере, закладкам и запущенным приложениям (см. скриншот).

Такое любопытство Uber выглядит подозрительно, особенно с учётом недавней статистики, согласно которой компания предоставила властям и регуляторам США по их запросам информацию о 12 млн пассажиров и водителей такси Uber.

«Ума не приложу, какие могут быть рациональные причины, зачем приложению такси рыться в истории моего браузера, а тем более смотреть список приложений, которые я использую», — возмущается один из пользователей, который часто ездит на такси Uber.
Читать дальше →
Total votes 27: ↑24 and ↓3 +21
Views 20K
Comments 58

Facebook и Snapchat отслеживают действия даже тех пользователей iOS, которые запрещали отслеживание

Social networks and communities Finance in IT IT-companies

Журналисты издания Financial Times заметили, что Facebook и Snapchat отслеживают активность iOS-пользователей даже в том случае, когда они запрещают приложениям это делать. Суть в двояком трактовании правил безопасности Apple.

Читать далее
Total votes 15: ↑15 and ↓0 +15
Views 2.8K
Comments 4

В Нью-Йорке хотят запретить полиции запрашивать у Google геоданные и историю браузера

Information Security *Legislation in IT

Группа законодателей от Демократической партии США внесла на рассмотрение парламента штата Нью-Йорк законопроект, который ограничит возможность правоохранителей использовать при сборе доказательств данные истории браузера и сведения о геолокации. Полиция потеряет возможность запрашивать у технологических компаний перечень информации, если закон будет принят.

Читать далее
Total votes 6: ↑6 and ↓0 +6
Views 1.3K
Comments 1

phpinfo.php: невероятно, но факт

Information Security *
Дело было вечером, делать было нечего. Написал скрипт для поиска файлов phpinfo.php. Было исследовано 36,804 сайтов Рунета, на 1,725 нашёлся файл phpinfo.php с функцией phpinfo (~4.69%).

Как видно, не все вебмастера знают простую истину – взлом сайта начинается со сбора информации о сервере.

Аналогичная проверка зарубежных сайтов показала, что наши иностранные коллеги более благоразумны: исследовано 166,652 сайтов, phpinfo.php обнаружен на 3,923 (~2,35%).

%username%, а ты удалил файл phpinfo.php (temp.php, test.php) со своего сайта?

Побочный результат исследования, статистика версий PHP
Читать дальше →
Total votes 128: ↑102 and ↓26 +76
Views 27K
Comments 105

Поиск файлов phpinfo.php, часть 2

Information Security *
Полгода назад я провел эксперимент по поиску файлов phpinfo.php. Решил сделать повторную проверку тех же сайтов. Было исследовано 36,979 сайтов Рунета, из них на 2,039 нашёлся файл phpinfo.php с функцией phpinfo (~5,51%).

Аналогичная проверка зарубежных сайтов: исследовано 165,661 сайтов, phpinfo.php обнаружен на 5,002 (~3,02%).

Полгода назад результат был ~4.69% и ~2,35% соответственно.

Побочный результат исследования, статистика версий PHP
Читать дальше →
Total votes 74: ↑62 and ↓12 +50
Views 2.9K
Comments 90

Поиск файлов phpinfo.php, часть 3

Information Security *
Повторил эксперимент по поиску файлов phpinfo.php, добавив в проверку файлы info.php и php.php.
Было исследовано 37,056 сайтов Рунета, из них на 3,787 нашлись файлы phpinfo.php, info.php или php.php с функцией phpinfo (~10,22%).

Аналогичная проверка зарубежных сайтов: исследовано 164,288 сайтов, phpinfo.php, info.php или php.php обнаружены на 7,944 (~4,84%).

Побочный результат исследования, статистика версий PHP
Читать дальше →
Total votes 68: ↑51 and ↓17 +34
Views 2.9K
Comments 49

Поздравляю! Мы все под колпаком

Browsers

Несколько слов для вступления...


Для начала хочу поздороваться со всеми. Здравствуйте, уважаемы читатели Хабрахабр! Всем привет из Белорусии. Данный пост уже публиковался ранее, в моём блоге, но из-за нелюбви ПС яндекса да и других к говносайтам ucoz он был полностью выкинус из поиска, все 200 страниц, но не об этом сейчас. Я решил опубликовать его сдесь, уже в полюбившимся мне хабре.

Нет больше молчать, зная, что каждый из нас находиться под пристальным наблюдением. Да что там наблюдением, под тотальным контролем, как в советское время, но тогда-то этого никто не скрывал.
Мой следующий пост будет посвящён контролю в наше спокойной и мирное время, где свобода и независимость — самые главные права. Просьба не топать ногами, всё нижеизложенное мною будет подтверждено и обосновано реальными фактами. «Правда и только правда, и ничего кроме правды!»
Речь сейчас пойдет, конечно же, о сборе информации а где-то и контроле опирающемся на информационные технологии.

Мы не будем говорить устройствах видеонаблюдения в общественных туалетах и других местах большого скопления людей. Все эти устройства, за исключением тех, что предназначены для охраны, снабжены табличками типа «в целях вашей безопасности ведется видеонаблюдение» и человек знает, что он находиться под контролем.
Мне хотелось бы рассказать вам, о скрытых системах наблюдения и о методах их контроля.
И наибольшее внимание уделить всемирной паутине. Да, дорогие мои, интернет.
Читать дальше →
Total votes 116: ↑16 and ↓100 -84
Views 12K
Comments 73

Полное видео-руководство о сборе информации для проектирования

«Кельник» corporate blog
Сегодня в рынке потихоньку-полегоньку приживается идея проектирования для интернет-ресурсов, но идея исследования аудитории в рамках проектирования приживается хуже. На Хабре была опубликована пара статей на эту тему:

Мы любим «затачивать пилу» и улучшать наши навыки, поэтому мы пригласили в гости Александра Туника (altunik), автора этих статей и руководителя проектной студии «Тектоника», провести у нас в компании курс лекций, посвящённых именно исследованию контекста и аудитории, необходимому для проектирования сайтов.

В результате получился очень интересный и объёмный набор обучающих материалов, которыми мы, по договорённости с Александром, открыто делимся. Под катом — тезисы, видеозаписи и слайды с трёх семинаров.
4 часа видео? Да вы с ума сошли!
Total votes 22: ↑20 and ↓2 +18
Views 21K
Comments 5

Анализ методики проектирования: ошибки, ситуации и полезные выводы из них

System Analysis and Design *
Последний раз я писал статью о проектировании в 2011 году. Тогда я собирался написать гораздо больше, но подумал: «Методика есть, но она не проверена временем, клиентами и проектами. Какого беса я буду писать о ней?». И не стал. Прошло два года, за которые мы с командой спроектировали полсотни разных проектов: корпоративные сайты и каталоги товаров, личные кабинеты, системы управления, сервисы, посадочные страницы, мобильные приложения. Многое поменялось: у меня есть статистика, данные по конверсии, отзывы пользователей и клиентов, сделано и исправлено много ошибок в методике и процессе. Теперь можно и написать.

Начну с обзора этих ошибок и выводов за последние два года. Надеюсь, это будет вам полезно. Отдельно надеюсь получить отклики из вашего личного опыта.
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 13K
Comments 11

Методы определения местоположения пользователя

Website development *Geoinformation services *
Sandbox

Предисловие


Всем, кто когда-либо занимался написанием систем авторизации/регистрации пользователей, наверняка приходилось задаваться вопросом: «А как узнать о пользователе больше информации?». Для чего это нужно? В большинстве случаев, для идентификации именно этого пользователя. Иногда — для предоставления каких-либо дополнительных возможностей и информации, в зависимости от различных социальных параметров, или, быть может, местополжения пользователя или региона проживания. Иногда, например, для проведения какого-либо скоринга. В этой статье речь пойдёт об определении географического положения пользователя.

Эффективные методы определения


Можно придумать массу методов получения георгафического положения пользователя интернета. И все эти методы будут обладать своим набором плюсов и минусов, будут более или менее эффективны, в зависимости от применения. Сейчас я опишу только те методы, которыми на данный момент пользуется проект, в котором я учавствую, т.е. те, которые я непосредственно использую. За время существования проекта по ним уже собралось достаточно статистики, из которой можно сделать некоторые выводы.
Читать дальше →
Total votes 32: ↑31 and ↓1 +30
Views 159K
Comments 9

Эпилог истории со «шпионящими» умными телевизорами LG

Information Security *
image19 ноября 2013 года благодаря статье на Хабре мир узнал, что современные телевизоры могут негласно собирать и отправлять «на сторону» определенную информацию, касающуюся их пользователей. Несколько ресурсов тут же перепечатали новость, а в комментариях перепечаток и на хабре, разыгрались совсем нешуточные «бури в стаканах воды».

Мне же в свою очередь стало интересно, какую позицию в данной ситуации займут государственные контролирующие органы и встанут ли они на сторону потребителей. В результате через сайт Ставропольского УФАС мной было подано заявление, кратко излагавшее ситуацию, описанную в вышеназванном топике, и содержавшее ссылку на него. Через пару недель пришел ответ от Антимонопольной службы.
что ответили полномочные органы?
Total votes 102: ↑83 and ↓19 +64
Views 80K
Comments 62

Собираем и используем игровую статистику вместе с Google Player Analytics

Google Developers corporate blog Development for iOS *Development of mobile applications *Development for Android *Game testing *
Привет, Хабр! Правильное использование статистики позволяет легко понять поведение пользователей: как они тратят деньги и в какой момент перестают играть. Сегодня мы хотим предложить вам самим на минутку стать игроками: потестируйте пример игрового приложения в консоли разработчика и освсойте новые возможности бесплатного инструмента «Статистика: Игроки» в консоли разработчика Google Play.



Приложение создано вместе с командой Auxbrain, авторов игры Zombie Highway 2. Внутри вы найдёте обезличенные и произвольно отобранные данные из реально существующей игры. На них вы сможете испытать новые функции, о которых мы вам сегодня расскажем.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 3.8K
Comments 0

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Information Security *Website development *
Разработчик Робин Линус на своей странице на GitHub Pages (визит по следующей ссылке небезопасен и его не рекомендуется выполнять с рабочего места, так как кроме видимой части сервисов страница проверяет, залогинены ли вы на сайтах для взрослых, а это останется в логах файрволла как попытка перехода прим.) продемонстрировал, как сайты могут снимать с вас «медийный отпечаток», то есть вести учет того, в каких популярных сервисах залогинены посетители даже без какой-либо авторизации на посещаемой странице.

Для автора публикации «медийный отпечаток» выглядит следующим образом и является абсолютно верным:



И это весьма неприятно.
Как это работает
Total votes 119: ↑112 and ↓7 +105
Views 67K
Comments 96

Напиши мне денег: переводы через iMessage

ЮMoney corporate blog Development for iOS *Development of mobile applications *Development for e-commerce *Swift *

image alt text


iMessage в свежих версиях iOS научился работать со сторонними расширениями. Например, теперь можно добавлять котиков к сообщениям или даже переводить кому-то деньги без дополнительных реквизитов. Это же мечта лентяя — отправлять деньги не выходя из мессенджера, поэтому разработка Яндекс.Денег засела за реализацию.


При разработке модной магии без квестов не обошлось, ведь iMessage практически ничего не рассказывает о получателе сообщения. Нет ни номера кошелька, ни ФИО, ни хотя бы статичного ID. Но мы придумали способ узнать об адресате все необходимое для отправки денег.

ну-ка, ну-ка
Total votes 23: ↑22 and ↓1 +21
Views 8.9K
Comments 13

Как представители разных профессий вас пробивают

Postuf corporate blog Information Security *


Чтобы проводить расследования по открытым данным в интернете, совершенно не обязательно обладать сверхтехническими познаниями.

Раньше возможности таких расследований были доступны только крупным корпорациям. Сейчас малый бизнес и вообще любой человек с интернетом может воспользоваться благами открытых данных.

Компании используют открытые данные, чтобы принимать важные решения, получать конкурентные преимущества и обеспечивать безопасность. Открытую информацию дешевле собирать и исследовать, она доступна — нужен только интернет и компьютер, а большинство инструментов можно использовать бесплатно. Такие данные легко распространять: они открытые, у всех к ним сразу будет доступ. Кроме того, OSINT ускоряет поиск и позволяет проводить исследования в режиме реального времени.

В этом материале мы приводим несколько простых примеров, как можно использовать OSINT в работе. Возможно, что-то из описанного ниже вы уже активно применяете, а что-то покажется вам интересной идеей и подтолкнет к новым.
Читать дальше →
Total votes 29: ↑26 and ↓3 +23
Views 25K
Comments 3

OSINT для сбора информации о рекламных идентификаторах на сайтах

T.Hunter corporate blog Information Security *Web analytics *

Давайте поговорим об использовании уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях.

Рекламные идентификаторы прячутся в коде вебсайта. Чтобы их увидеть необходимо открыть код страницы (в Chrome - CTRL+U) и найти в нем их упоминание. Ключевые слова для поиска даны ниже, применительно к популярным рекламным площадкам:

AdSense: Pub- или ca-pub

Analytics: UA-

Amazon: &tag=

AddThis: #pubid / pubid

Metrika: mc.yandex / ym

Альтернативным средством обнаружения рекламных идентификаторов на сайте может стать использование таких сервисов:

https://themarkup.org/blacklight

https://urlscan.io/

https://www.spiderfoot.net/

Обнаружив тот или иной рекламный идентификатор, мы можем попытаться найти его использование на других вебсайтах. Сделать это можно с использованием таких ресурсов:

http://www.spyonweb.com

https://analyzeid.com/

https://dnslytics.com/reverse-analytics 

https://intelx.io/tools?tab=analytics

https://intelx.io/tools?tab=adsense

Проиллюстрируем это на примере изучения сайта https://www.bleepingcomputer.com/, который имеет в коде страницы уникальный рекламный идентификатор Google Analytics UA-91740.

Читать далее
Total votes 12: ↑11 and ↓1 +10
Views 4K
Comments 0

Банкрот или не банкрот? Вот в чем вопрос

Python *Programming *

Сталкиваетесь ли Вы с необходимостью использовать внешние источники данных? Если да, то Вам пригодится алгоритм автоматизированного сбора информации с сайта – парсер. Разберём процесс создания такого алгоритма на примере сайта ЕФРСБ.

Перед Data Science специалистами регулярно встают задачи, для решения которых необходима информация из внешних источников, и часто её объёмы такие, что ручной поиск занимает непозволительно много времени. Автоматизированный сбор данных с сайта (парсинг) позволяет получить необходимые для задачи сведения, экономя время.

Одна из таких задач встала перед нашей командой: понадобились данные о процедуре признания физических лиц банкротами. Для этого был разработан алгоритм парсинга сайта Единого федерального реестра сведений о банкротстве (ЕФРСБ) с использованием библиотек requests и bs4. В настоящей статье предлагаю рассмотреть процесс создания этого парсера и познакомить Вас с решениями некоторых проблем, с которыми мы столкнулись.

Разработку алгоритма мы решили разбить на 2 части:

Читать далее
Total votes 6: ↑5 and ↓1 +4
Views 3.9K
Comments 4