Pull to refresh

Erlang/OTP R13B03

Erlang/OTP *
Вышел долгожданный релиз Erlang/OTP R13B03

Главное в релизе:
Native Implemented Functions (NIFS) (см. новость, пример использования)
— основная ветка исходников Эрланга будет дублироваться на GitHub'е

А так же:
— Изменился формат документации (исчезли фреймы, содержимое теперь должно нормально индексироваться поисковиками)



via erlang.dmitriid.com

Total votes 13: ↑13 and ↓0 +13
Views 760
Comments 8

Некоторые аспекты разработки платежных систем. Часть II. One time passwords и ECDSA

Payment systems *
Доброго здравия, %username%!

В первой части я рассказал как можно минимальными усилиями защитить БД нашей платежной системы. Но, как заметил один из комментирующих, при компрометации web сервера появляется возможность подсмотреть все логины и пароли пользователей. Тут нам на помощь приходят One time passwords (OTP).
Под катом моя вольная интерпритация данного термина с использованием криптографии эллиптических кривых (ECC). Кстати говоря, платежные системы далеко не единственная сфера применения этой технологии.
Upd:
Ахтунг! При взломе веб сервера все таки есть вероятность подмены платежных реквизитов, так что все таки подписывать лучше не случайную строку (хоть это и защитит от полной компрометации системы, но не защитит от случаев, когда подменяются реквизиты прямо во время платежа), а хэш платежного документа, показывая юзеру при этом все реквизиты платежа в программе.
З.Ы. Генерировать ключ лучше тоже на стороне клиента
Читать дальше →
Total votes 21: ↑17 and ↓4 +13
Views 3.1K
Comments 57

Организация SSH-доступа по одноразовым паролям

Information Security *
В любой серьезной компании иногда возникает необходимость в том, чтобы сотрудник, уехавший в отпуск, срочно выполнил свои должностные обязанности. Рассмотрим ситуацию, когда компании необходим конкретный сотрудник, например, системный администратор, который в данный момент возлежит на пляже в тысяче километров от душного офиса. Допустим даже, что этот сотрудник согласен выполнить неожиданно свалившуюся ему на голову работу и на курорте есть интернет-кафе. Но вот проблема: кафе располагается в темном переулке, на его компьютерах стоят популярная ОС, трояны, кейлоггеры и прочие хактулзы, так что набирать пароль root'а от главного сервера компании на подобных машинах довольно неразумно.

Существует несколько решений этой задачи. Например, можно использовать одноразовые пароли, а именно систему s/key, использующую для генерации паролей алгоритмы md4 и md5. Об этой системе и будет рассказано далее.
Читать дальше →
Total votes 95: ↑93 and ↓2 +91
Views 6.4K
Comments 45

sasl:overload. Или — «не кладите в тарелку больше, чем она может вместить»

Erlang/OTP *
Эрланг отличная платформа для построения серверов, и в его стандартной библиотеке предусмотрены многие средства заметно облегчающие жизнь разработчика.

Одной из типовых задач разработчика серверов промышленного уровня -является контроль загрузки. То есть наш сервер должен вести себя адекватно даже если запросов приходит больше, чем может обработать сервер (на нашем железе).

Это собственно является одним из ключевых отличий «наколенных» решений от «энтерпрайс». Настоящий, хорошо спроектированный сервер «в курсе», что он не может тратить ресурсы безгранично, ведет учет ресурсов и контролирует загрузку.

Как это делается?
Читать дальше →
Total votes 37: ↑36 and ↓1 +35
Views 1.4K
Comments 20

Проблемы в корпоративном использовании SAAS

SaaS / S+S *
Итак, поддавшись новомодным веяниям, малые и большие компании начинают, кто несмело, кто резво и решительно подписываться на разнообразные сервисы.

Первоначальная эйфория и «Ухты!»-эффект проходят.
И начинаются серые будни ...
Total votes 25: ↑19 and ↓6 +13
Views 12K
Comments 41

Redmine — авторизация с помощью одноразовых паролей (OTP)

Southbridge corporate blog
Tutorial
Google Authenticator
Если вы являетесь активным пользователем Redmine, содержимое которого наверняка конфиденциально, вы наверняка задумывались над усилением безопасности приложения.

В этой статье описана процедура настройки авторизации в Redmine через одноразовые пароли (OTP) с помощью мобильного приложения Google Authenticator.

Статья описывает установку и настройку Google Authenticator, а так же плагина redmine_pam_auth для Redmine 2.2 под ОС CentOS 6.

Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 11K
Comments 0

Полностью бесплатная двухфакторная аутентификация для Citrix Web Interface 5.x с использованием Mobile-OTP в качестве софт-токена

Token2.com corporate blog Information Security *
Двухфакторная аутентификация — предоставление информации для входа в систему от двух различных типов аутентификации, в большинстве случаев первым источником является имя пользователя и пароль, которые являются неизменными и могут быть скомпрометированы (троянами, кейлоггерами и.т.д.). Для этого и применяется второй тип аутентификации, какое либо устройство, которое генерирует уникальный временный пароль/код, действующий в течении короткого периода (5-30 секунд), что обеспечивает безопасность даже если временный пароль перехвачен.
Кроме того, временный пароль генерируется устройствами, не подверженными рискам перехвата, обычно аппаратными ключами, например такими:
image

Citrix Web Interface «из коробки» поддерживает двухфакторную аутентификацию с использованием аппаратных ключей Aladdin SafeWord и RSA SecurID, стоимость которых колеблется в пределах 25-50USD, а также двухфакторную аутентификацию с использованием RADIUS сервера, с помощью которой можно подключать ключи подешевле (около 5USD)

imageВ целях еще большей экономии для этой же цели можно воспользоваться софт-токенами на мобильных телефонах. Кстати, целью внедрения софт-токенов может быть также удобство для конечного пользователя — аппаратный ключ это дополнительное устройство, которое нужно всегда иметь при себе, а телефон у большинства юзеров и так все время под рукой.

Бесплатных софт-токенов для телефонов на рынке достаточно много, например Google Authenticator, но наш выбор пал на проект Mobile-OTP по следующим причинам:

  • наличие клиентов для всех телефонов (а не только для ios/android/blackberry) — J2ME,WP7,PalmOS,webOS,Maemo,Openmoko
  • дополнительная защита пинкодом (чего нет в Google Authenticator), то есть даже при утере устройства временный пароль без пина не сгенерится
  • Наличие исходников для всех клиентов — можно пересобрать со своим брендингом, если очень надо

Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 11K
Comments 0

Вышел Erlang/OTP 17.0

Erlang/OTP *
9 апреля вышел мажорный релиз платформы Erlang/OTP 17.0.

Erlang — функциональный язык программирования со строгой динамической типизацией, предназначенный для создания распределённых вычислительных систем.

Читать дальше →
Total votes 42: ↑39 and ↓3 +36
Views 8.7K
Comments 5

Выбор поставщика решения двухфакторной аутентификации. Часть 1 из 2

Information Security *Payment systems *
Sandbox
Итак, уже для многих не секрет, что простая парольная аутентификация не защитит ваши данные от рук злоумышленника. Дело тут не в длине пароля и не в том, как часто вы его меняете. Простой фишинг или вирус на вашем компьютере передаст ваш сложный двадцати-символьный пароль тому, кто его ждет. О сколько вы мучились, вводя его каждый раз в окно логина, потому что хранить его в файле или кеше браузера небезопасно.


О решении проблемы уже все наслышаны. Конечно, речь идет о применении мультифакторной аутентификации (MFA). Факторами могут выступать знания, предметы или биометрические данные (недостаткам биометрии я планирую посвятить отдельную статью). Чаще всего применяется двухфакторная аутентификация, которая использует привычный пароль, а также еще один одноразовый (OTP). Он может быть доставлен пользователю различными способами и действует только для одного сеанса аутентификации. Также, в современных алгоритмах генерации паролей TOTP (по времени) и OCRA (по запросу) время действия одноразового пароля ограничено 30 или 60 секундами, что значительно усложняет задачу злоумышленнику. Способы доставки или автономной генерации существуют различные: от распечатанных списков паролей на карточках или чеках из банкоматов, SMS-сообщений до использования специальных устройств генерации OTP — токенов.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 22K
Comments 18

Двухфакторная аутентификация. Новые вызовы

Information Security *Website development *Payment systems *
Вместо пролога: в данной статье речь пойдет о краже денег с аккаунтов пользователей платежных систем, различных клиент-банков и т.п.

image

Читать дальше →
Total votes 25: ↑23 and ↓2 +21
Views 28K
Comments 51

Nginx: защищаем урл одноразовым паролем

Python *
Sandbox
Появилась задача обезопасить админскую часть на сайте. Причём это надо было сделать без внесения изменений в код самого сайта. Лучшее, что смог я найти — oauth2_proxy и nginx-google-oauth, но они требовали обработку коллбэков. Эти решения мне не понравились и я их отверг.

Пришлось обратиться к одному из модулей nginx и комплектующим для велосипеда.
Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Views 18K
Comments 14

LinOTP+RADIUS. Аутентификация с помощью одноразовых паролей

Information Security *
Sandbox

1. Основные сведения


В данной инструкции описывается процесс интеграции LinOTP и FreeRadius на машинах под управлением CentOS а также настройка аутентификации пользователей SSH по ОТР, сгенерированному с помощью программного обеспечения Google Authenticator (или любого, использующий аналогичный алгоритм).
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 17K
Comments 0

Двухфакторная аутентификация клиентов AnyConnect. Active Directory и Azure Multi-Factor Authentication Server

Information Security *Microsoft Azure *


Уже практически ни у кого не вызывает вопросов то, зачем нужна двух факторная аутентификация, особенно при доступе к ресурсам удаленных пользователей. Априори пользователь относится достаточно безответственно к хранению паролей защищающих рабочую информацию, что и не удивительно, учитывая сколько личных паролей приходится помнить и приоритеты обычного человека в плане защиты личной или рабочей информации.

Внедрение аутентификации удаленных пользователей по принципу «something I know+ something I have” позволяет сделать атаку, направленную на перехват или подбор паролей, бессмысленной и значительно снизить угрозы ИБ от получения злоумышленником пароля пользователя.

Представляю Вам руководство по настройке Microsoft Azure Multi-Factor Authentication Server (MFAS) в качестве второго фактора аутентификации при подключение доменных пользователей к ресурсам компании посредством Cisco AnyConnect.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 18K
Comments 13

Двухфакторная аутентификация клиентов Cisco AnyConnect. FreeRadius и Google Authenticator

Information Security *


В предыдущей статье я рассматривал настройку двухфакторной аутентификации пользователей для подключения к корпоративным ресурсам через Cisco AnyConnect на базе Active Directory и Microsoft Azure Multi-Factor Authentication Server (MFAS). Сегодня предлагаю Вам рассмотреть вариант с использованием FreeRadius и Google Authenticator.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 19K
Comments 8

Привязка дополнительных одноразовых паролей к окну входа Windows

Information Security *Cryptography *
На хабре уже давно знают об одноразовых паролях и технологиях OTP (One Time Password). Даже Яндекс придумал собственное решение. Я же хочу поведать вам о том как прикрутил интересную реализацию OTP к окну входа в сервер терминалов Windows.

image
Читать дальше →
Total votes 17: ↑15 and ↓2 +13
Views 47K
Comments 21

Elixir: начинаем работу с Plug

Erlang/OTP *Functional Programming *Elixir/Phoenix *
Translation
Tutorial

В мире Elixir, Plug представляет собой спецификацию, позволяющую различным фреймворкам общаться с различными web-серверами, работающими в Erlang VM.
Если вы знакомы с Ruby, то можете провести аналогию с Rack: Plug пытается решать те же проблемы, но только другим способом. Понимание основ работы Plug позволит лучше разобраться как с работой Phoenix, так и других web-фреймворков, созданных на языке Elixir.



Читать дальше →
Total votes 29: ↑29 and ↓0 +29
Views 8.6K
Comments 10

Elixir: Регистрируем процессы — практическое руководство

Erlang/OTP *Functional Programming *
Translation
Tutorial

Процессы в Elixir (ну и в Erlang конечно же) идентифицируются с помощью уникального идентификатора процессаpid.
Мы используем их, чтобы взаимодействовать с процессами. Сообщения посылаются как бы в pid, а виртуальная машина сама заботится о доставке этих сообщений в правильный процесс.
Иногда, впрочем, чрезмерное доверие к pid может приводить к значительным проблемам.
К примеру, мы можем хранить pid уже мёртвого процесса, или мы можем использовать Supervisor, который абстрагирует создание процессов от нас, поэтому мы даже не знаем, какой у них pid (пер: а ещё Supervisor можете перезапустить упавший процесс с другим pid, и мы об этом не узнаем никак).
Давайте создадим простое приложение и посмотрим: с какими проблемами мы можем столкнуться и как мы эти проблемы будем решать.

Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 7.7K
Comments 10

Быстрые TCP сокеты на Erlang

Erlang/OTP *
Обработка TCP соединений может запросто оказаться узким местом, когда скорость приближается к 10 тыс запросов в секунду: эффективное чтение и запись становится отдельной проблемой, а большая часть вычислительных ядер простаивает.

В этой статье я предлагаю оптимизации, которые позволяют улучшить три составляющие работы с TCP: приём соединений, получение сообщений и ответ на них.

Статья адресована как Erlang программистам, так и всем, кто просто интересуется Erlang. Глубокие знания языка не требуются.
Читать дальше →
Total votes 30: ↑30 and ↓0 +30
Views 12K
Comments 14

Go to 2FA (Двухфакторная аутентификация для ASA SSL VPN)

System administration *IT Infrastructure *Cisco *Network technologies *
Tutorial
Потребность предоставить удаленный доступ к корпоративной среде возникает все чаще и чаще, не важно, будь то свои пользователи или партнеры, которым необходим доступ к тому или иному серверу в вашей организации.

Для этих целей, большинство компаний, используют технологию VPN, зарекомендовавшую себя, как надежно защищенный способ предоставления доступа к локальным ресурсам организации.

Моя компания не стала исключением, и мы так же, как и многие другие, пользуемся этой технологией. И, как многие другие, используем, в качестве шлюза удаленного доступа — Cisco ASA 55xx.

При возрастании количества удаленных пользователей появляется потребность в облегчении процедуры выдачи учетных данных. Но в то же время сделать это необходимо не в ущерб безопасности.

Для себя мы нашли решение в применении двухфакторной аутентификации для подключения по Cisco SSL VPN, с применением одноразовых паролей. И эта публикация расскажет, как организовать подобное решение с минимальными затратами по времени и с нулевыми затратами на необходимый софт (с условием, что Cisco ASA в вашей инфраструктуре уже имеется).

Рынок изобилует коробочными решениями для генерации одноразовых паролей, при этом предлагая массу вариантов по их получению, будь то отсылка пароля посредством SMS или использование токенов, как «железных», так и программных (к примеру на мобильном телефоне). Но тяга к экономии и желание сберечь денег для своего работодателя, в условиях нынешнего кризиса заставили меня найти бесплатный способ реализовать сервис по генерации одноразовых паролей. Который, при своей бесплатности, мало чем уступает коммерческим решениям (тут следует оговориться, отметив, что данный продукт имеет и коммерческую версию, но мы же договорились, что затраты, в деньгах, у нас будут нулевыми).
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 16K
Comments 0
1