Pull to refresh
  • by relevance
  • by date
  • by rating

Microsoft и Google отложили удаление базовой аутентификации из-за пандемии

Information Security *IT-companies
imageФото: wiseit.com

Microsoft объявила, что удаление Basic Authentication из Exchange Online откладывается до второй половины 2021 года из-за текущей ситуации, вызванной пандемией COVID-19.
Total votes 12: ↑8 and ↓4 +4
Views 4.7K
Comments 1

Ликбез о SEO. Часть первая, разновидности сайтов.

Lumber room
Доброго времени суток, хабрачеловеки. К огромному сожалению упоминание SEO вызывает такую же кучу троллинга, как и плохие слова об яблоке или хорошие про главное злодейское ПО мелкософта. Как выяснилось выше, многие просто не понимают, что это такое, для чего нужно, почему продвижение бывает плохим и для чего оно делается. На самом деле все просто, это я Вам и попробую растолковать.
внутри сколько-то букв
Total votes 23: ↑13 and ↓10 +3
Views 792
Comments 22

Аутентификация в мобильных приложениях

Инфопульс Украина corporate blog Information Security *Network technologies *Mobile applications design *

История с предысторией


Идеальный телефон, как верный пёс, должен узнавать хозяина по запаху и охранять имущество от посторонних.

Собаки свой нюхательный аппарат развили за миллионы лет эволюции, а нашим технологиям всего ничего, поэтому телефоны пока неидеальны.

У людей с нюхом намного хуже, поэтому в их естественной среде обитания пришлось разрабатывать искусственные системы опознания, такие как подорожная грамота, условные жесты и конспиративные пароль и отзыв.

Когда же люди стали перекладывать часть своих задач на цифровые плечи, поначалу никакой программной аутентификации не существовало – запускать программный код мог любой желающий, получивший доступ в машинный зал. Но уже тогда этот самый доступ регулировался определёнными правилами, описанными, например, в уставе караульной службы и прочих регламентах с допусками.

Скоро этого стало не хватать. У первобытных программистов появились идентификаторы, затем логин с паролем – и вот перед нами классическая Basic Authentication протокола HTTP.
Читать дальше →
Total votes 18: ↑12 and ↓6 +6
Views 20K
Comments 9

Летающая доска от Hendo — шаг в будущее

Madrobots corporate blog Gadgets Crowdsourcing Transport
Да, эта доска похожа на ту, что была у Марти из второй части «Назад в будущее». Не так круто, зато уже не кино. Но забудьте на ближайшую пару десятков лет о возможности добраться на такой до офиса. Парящая доска от Hendo — это в первую очередь привлекающая внимание демонстрация технологии, которая призвана изменить мир.



Показав наглядное использование системы для парения над землей, Hover, похоже, влюбили в себя всех фанатов трилогии Роберта Земекиса и успешно запустили кампанию на Kickstarter, в результате которой планируется получить минимум $250 000. При нынешнем темпе сбора средств они достигнут этой планки за считанные дни.
Читать дальше →
Total votes 48: ↑46 and ↓2 +44
Views 56K
Comments 53

Курс MIT «Безопасность компьютерных систем». Лекция 17: «Аутентификация пользователя», часть 3

ua-hosting.company corporate blog Information Security *Programming *System Analysis and Design *IT Infrastructure *
Translation
Tutorial

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год


Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3
Total votes 18: ↑16 and ↓2 +14
Views 4.8K
Comments 1

Google informs users about a vulnerability with their Titan Security keys

Token2.com corporate blog Information Security *

Titan Security Keys are marketed as phishing-resistant two-factor authentication (2FA) devices that help protect high-value users such as IT admins. They have been around for quite some time and have been largely promoted as the most secure second-factor device ever, both by Google itself and media.
Read more →
Total votes 11: ↑9 and ↓2 +7
Views 1.5K
Comments 4

Настройки аутентификации в Veeam Backup for Microsoft Office 365 v3

Veeam Software corporate blog System administration *Backup *Cloud services
Translation
Tutorial
В недавно выпущенной версии 3.0 решения Veeam Backup for Microsoft Office 365, помимо прочих новинок, поддерживается современный способ аутентификации при работе с облачными данными. В нем задействованы аутентификация с использованием приложения Azure и сервисной учетной записи, для которой настроена многофакторная аутентификация (MFA).



В этой статье мы вкратце рассмотрим, как создать необходимые для такой аутентификации сущности и настроить их параметры в Microsoft Office 365.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 1.7K
Comments 0

Никто (почти) не знает, что такое авторизация

Avanpost corporate blog Information Security *Programming *System Analysis and Design *

За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views 45K
Comments 110

Подтверждение входа с помощью Telegram на Spring Boot

Information Security *Java *
Recovery mode
🔥 Technotext 2020
Tutorial

Недавно столкнулся с проблемой: все приложения используют Telegram-бота в качестве подтверждения входа в аккаунт, а мое — нет. Я был настроен серьезно и провёл уйму времени в интернете в поиске туториала, но меня ждало разочарование. Задача сложная и имеет много подводных камней, а туториалов — ноль.


Следующую неделю я потратил на написание своей имплементации данной фичи и готов поделиться успехом.


Весь код, который мы сегодня напишем, доступен в репозитории на GitHub. Рекомендую параллельно с чтением статьи проверять этот код в проекте, чтобы не упустить детали.


Total votes 8: ↑8 and ↓0 +8
Views 6.4K
Comments 6

AWS CLI через MFA

Amazon Web Services *DevOps *

image


Далее последует инструкция по настройке AWS MFA, и последющей установке и настройке AWS CLI.


К сожалению, у меня на эту обязательную процедуру ушла половина рабочего дня. Чтобы другим неуверенным пользователям AWS ;) как и я сам, не тратить драгоценное время на банальное, решил составить инструкцию.

Читать дальше →
Total votes 3: ↑2 and ↓1 +1
Views 2.6K
Comments 2

Безопасность npm-проектов, часть 1

Домклик corporate blog Information Security *Website development *JavaScript *Node.JS *

Безопасность npm-проектов, часть 1


Всем привет! В прошлом посте мы начали рассматривать важный вопрос о безопасности в npm и поговорили о том, какие меры использует сама компания для выявления и предотвращения угроз. В этот раз я хочу поговорить об инструментах и подходах, доступных лично вам, и которые я настоятельно рекомендую внедрить в свою практику всем разработчикам.

Читать дальше →
Total votes 25: ↑25 and ↓0 +25
Views 4.3K
Comments 0

Бюджетный второй фактор на Телеграм для Windows

Instant Messaging *Server Administration *Desktop PC's

Многократно сталкиваясь в своей работе с решениями для второго фактора аутентификации, я все больше убеждаясь в их не оптимальности - либо неудобны как Google authenticator, либо дороги как Microsoft authenticator. Соответственно, появлялось желание сделать свой MFA, бесплатный и с пуш уведомлениями.

Читать далее
Total votes 6: ↑5 and ↓1 +4
Views 4.3K
Comments 9

MFA-protected SSH access to Ubuntu servers with LDAP or Azure AD Credentials and hardware or software tokens

Token2.com corporate blog Information Security *

SSH, the secure shell, is often used to access remote Linux systems. Because we often use it to connect with computers containing important data, it’s recommended to add another security layer, such as the second factor.

In this guide, we will show how to leverage the TOKEN2 TOTPRadius appliance to organize SSH access to your Ubuntu server using local LDAP or Azure AD as the primary authentication factor, and TOTP factor from TOTPRadius as the secondary factor. The secondary authentication factors available with TOTPRadius can be a mobile authentication app or a hardware token.

Read more
Total votes 3: ↑3 and ↓0 +3
Views 605
Comments 0

Обход многофакторной аутентификации Box с одноразовым паролем с ограниченным временем действия

Varonis Systems corporate blog Information Security *
Recovery mode
Translation

Обзор исполнительной среды

Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.

Используя описанный ниже метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.

Мы сообщили об этой проблеме Box в ноябре через HackerOne; позже Box выпустил обновление.

Читать далее
Rating 0
Views 1.3K
Comments 1

Разоблачение методов многофакторной аутентификации в Box (Часть 2)

Varonis Systems corporate blog Information Security *
Recovery mode
Translation

Исследовательская лаборатория Varonis обнаружила способ обхода многофакторной аутентификации в учетных записях Box, использующих SMS-коды для подтверждения входа.

Используя этот способ, хакер может применять украденные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальной информации без доступа к телефону жертвы атаки.

Мы сообщали об этой проблеме Box в ноябре 2021 г. через HackerOne; позже специалисты Box выпустили исправление. Это уже второй способ обхода MFA в Box, обнаруженный нами за последнее время. Ознакомьтесь с нашим способом обхода MFA с помощью аутентификатора.

С ростом потребности во внедрении и использовании многофакторной аутентификации многие SaaS-провайдеры начали предлагать несколько вариантов MFA, чтобы обеспечить пользователей дополнительной защитой от атак на учетные записи и пароли. Varonis Threat Labs анализирует разные виды MFA для оценки их безопасности.

По данным Box, 97 000 компаний, включая 68% предприятий из списка Fortune 500 используют решения Box для доступа к информации из любой точки мира и удобной совместной работы.

Подобно многим приложениям, Box дает возможность пользователям без системы единого входа (SSO) использовать приложение-аутентификатор, такое как Okta Verify или Google Authenticator, или SMS с одноразовым паролем для организации второго этапа аутентификации.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 801
Comments 3