Предлагаю вашему вниманию перевод второй части цикла статей «Becoming PHP professional».
Первая часть. «Недостающее звено»

А сейчас мы сфокусируемся на системе наставников. По сути, это мое личное мнение, которое формировалось годами, которые я провел в этой сфере, но тем не менее, я бы посоветовал каждому прочитать статью и узнать, как много людей согласятся и не согласятся со мной.

Предлагаю вашему вниманию перевод статьи «Becoming PHP professional. Missing link».

Введение

Когда я читаю различные блоги, связанные с PHP, вопросы на Quora (англоязычный сервис вопрос-ответ, прим. переводчика), сообщества в Google+, газеты и журналы, я часто замечаю крайнюю поляризацию навыков программирования. Вопросы бывают или уровня «А как же мне подключиться к базе данных MySQL», или что-то из области «Как мне лучше распределить ресурсы моей почтовой системы для того, чтобы отправлять более одного миллиона писем в час без использования нового сервера?»

Лично я выделяю 4 четких уровня «славы» в PHP (применимо так же и для любого другого языка или профессии): новичок, среднячок, профессионал и элита.

Наверняка многие из вас неоднократно сталкивались с мифами о /dev/urandom и /dev/random. Может быть, в некоторые из них вы даже верите. В этом посте мы сорвём покровы со всех этих мифов и разберём настоящие сильные и слабые стороны этих генераторов случайных чисел.

Привет, Хабр! Эта публикация — попытка развеять некоторые популярные мифы и легенды о MySQL. Я не ошибся с хабом, так как поводом для написания послужила публикация varanio Возможности PostgreSQL, которых нет в MySQL, и наоборот отсюда же. Сама публикация в части критики MySQL хоть и неидеальна, но вполне корректна, а вот комментарии к ней наводят на грустные размышления.

Вообще говоря, я собирался написать публикацию о возможностях MySQL, которые не реализованы или реализованы в PostgreSQL хуже. Но для того, чтобы не мешать много тем в одну публикацию, и учитывая довольно нелёгкую работу по сравнению того, что я знаю очень хорошо (MySQL) с тем, что я знаю очень плохо (PostgreSQL), такую публикацию я решил отложить на потом и для начала ответить сразу на многие комментарии из публикации varanio.

В процессе изучения языка мы обычно пользуемся ПК для работы с соответствующими приложениями, средами, программами, читаем книги, используем массовые онлайн курсы. Сейчас, когда смартфоны с нами всегда и везде, грех не воспользоваться их возможностями для усвоения знаний по программированию или их усовершенствования.В процессе изучения языка программирования, в частности Python, я считаю, что нужна погружаться в него полностью. Лозунг: «Ни дня без кода!» я дополняю, ну если ни кодить, то хотя бы почитать об этом. Для того чтобы не выходить из ритма в условиях, когда нужно в жизни сделать многое, но некогда, а хотелось бы учить Python, мобильный приложения помогут не тратить зря время в транспорте, во время ожиданий и т.д.Предлагаю список приложений из Google Play для изучения Python на Android-устройствах, которые помогут не только получить знания, но и проверить свой уровень по Python.Три из ниже перечисленных приложений я обязательно советую студентам при изучении Python: Learn Python, Quiz&Learn Python и Python Challenge. Ну теперь подробнее.

Обнаружена очередная уязвимость CVE-2015-3860 в Android 5.0 и старше, позволяющая при должном усердии получить полный доступ к устройству, несмотря на установленный пароль на экран блокировки.

Для этого необходимо:
— создать достаточно длинную строку и скопировать её в буфер обмена
— вызвать с экрана блокировки приложение «Камера»
— перейти на настройки
— вставить скопированную строку в появившееся окно ввода пароля
— немного подождать

После того, как у меня появился новый монитор на рабочем месте, я начал новую итерацию улучшения своего «безмышечного» (mouse-less, прим. пер.) опыта. Вы же знаете, что это значит, не так ли? Это значит, что каждый раз, когда вы беретесь за мышку, убирая руку с клавиатуры, вы тратите немного времени и энергии. Если вам нужно набирать много текста (а я много пишу кода), это становится существенным.

Так же существует следующий уровень «безмышечного» опыта, когда вы стараетесь избежать труднодоступных клавиш, например Delete, Backspace, Escape или даже Enter.

Если вы держите руки в стандартной позиции для 10-пальцевой слепой печати, более удобно нажать Ctrl-m вместо того, чтобы тянуться мизинцем к энтеру.

В статье речь пойдёт о том, как эффективно и быстро можно настроить и управлять политиками веб-фильтрации, используя Sophos UTM — комплексное решение по обеспечению информационной безопасности предприятия. В конце статьи Вас ожидает Бонус при миграции с TMG или аналогичного решения.

Что такое Sophos UTM или Определимся с терминами

Sophos UTM относится к классу решений Unified Thread Management, комплексным решением для обеспечения безопасности и организации сетевой инфраструктуры. Оно объединяет функции маршрутизации, межсетевого экрана, NGFW, IDS/IPS, организации веб-доступа, технологию DPI, организацию VPN-каналов, WAF, email-защиту от спама, безопасность рабочих мест. Каждый из функциональных модулей объединён в одном устройстве в едином веб-интерфейсе и включается в зависимости от изменившихся потребностей. Sophos UTM поддерживает Аппаратное, Программное или Виртуальное развёртывание.

История Sophos UTM насчитывает около 15 лет. В 2000 г. в Карлсруэ была основана компания Astaro. Она предложила рынку визионерский взгляд на проблемы обеспечения сетевой безопасности. Модульная архитектура и простота использования позволили компании через 10 лет получить 56000 инсталляций в 60 странах. В 2011 году произошло слияние Astaro и Sophos, в результате которого появилось решение Sophos UTM, расширившее безопасность на рабочие места. Решение разрабатывают и поддерживают в Германии и по сей день.

В России система работает более чем у 1000 заказчиков, от небольших организаций с одним администратором до больших компаний, имеющих офисы в каждом городе нашей страны.

Сегодня мы остановимся на функции организации веб-доступа.

Браузерные расширения в последнее время, к сожалению, всё чаще используются не для того, чтобы приносить пользу, а как инструмент мошенников. Сегодня мы хотим поделиться с вами нашим опытом борьбы с вредоносными разработками, рассказать о мерах и технологиях, которые защищают пользователей Яндекс.Браузера.



Весной 2014 года поддержка Яндекс.Браузера обратила внимание на стремительно растущее число обращений от пользователей, в которых говорилось о «заражении браузера вирусом» и агрессивной рекламе, всплывающей на посещаемых сайтах. Наиболее распространенным симптомом была подмена или добавление новых рекламных блоков на популярных в Рунете сайтах (ВКонтакте, Яндекс, ...). При этом разработчики вредоносных расширений не утруждали себя заботой о пользователях и не брезговали откровенно мошеннической или шок-рекламой. Встречались и другие проявления. Например, автоматическое открытие вкладки с определенным сайтом, подмена поиска по умолчанию или даже воровство данных.

В определенный момент количество таких обращений стало достигать 30% от всех сообщений в поддержку. Наблюдения поддержки также подтверждались статистикой основных причин удаления нашего браузера (при удалении пользователям предлагается описать причину). Многие люди искренне считали, что это наша команда решила таким вот способом монетизировать браузер. За короткий период времени количество удалений Яндекс.Браузера, связанных с деятельностью сторонних вредоносных разработок, удвоилось. Нужно было срочно вмешаться и начать работать над этой проблемой.

До недавнего времени в Одноклассниках в качестве основного Linux-дистрибутива использовался частично обновлённый OpenSuSE 10.2. Однако, поддерживать его становилось всё труднее, поэтому с прошлого года мы перешли к активной миграции на CentOS 7. На подготовительном этапе перехода для CentOS были отработаны все внутренние процедуры, подготовлены конфиги и политики настройки (мы используем CFEngine). Поэтому сейчас во многих случаях миграция с одного дистрибутива на другой заключается в установке ОС через kickstart и развёртывании приложения с помощью системы деплоя нашей разработки — всё остальное осуществляется без участия человека. Так происходит во многих случаях, хотя и не во всех.

Но с самыми большими проблемами мы столкнулись при миграции серверов раздачи видео. На их решение у нас ушло полгода.

«В соседнем зале сидят люди, которые представляют основную угрозу нашей безопасности»

Во вторник прошла вторая (оффлайновая) часть хакерского турнира Symantec Cyber Readiness Challenge и конференция по безопасности CROC Cyber Conference с участием Кевина Митника. Всё это вместе называлось C^2: Cyber Challenge.

Самое интересное:

• Наши хакеры оказались очень быстрыми.
• Газ в зал с участниками так и не пустили (хотя многие на конференции считали это разумной мерой).
• Митник показывал чудо-флешки с обходом антивирусов и захватом машины под контроль, копировал IVR Ситибанка, показывал как здороваться с людьми, одновременно копируя MIFARE-карту, и рассказывал кучу историй из своей бурной молодости. «Когда начнём тестирование? Уже закончили. Не получили письма? Всё правильно, отчёт у вас на рабочем столе».

Ниже отчёт, немного про подготовку и куча фотографий (трафик).

В статье описывается настройка маршрутизатора «D-Link DIR-320/NRU» и модема «3G+ Ростелеком R41».

На странице поддержки маршрутизатора приведён перечень совместимых моделей модемов, и «3G+ Ростелеком R41», также известный как «Sense R41», в их число не входит. При подключении к маршрутизатору модем не определяется в интерфейсе настройки, в логах он отображается как SCSI устройство, и никаких /dev/ttyUSB* устройств не создаётся. То есть без вариантов — требуется альтернативная прошивка маршрутизатора.

Поиск в интернете показал, что данный маршрутизатор можно прошить некоторыми версиями прошивок ZyXEL Keenetic и OpenWRT. Выбор пал на OpenWRT. Наряду с пользовательскими сборками OpenWRT, включающими всё необходимое для подключения 3G модема, поддержка маршрутизатора DIR-320/NRU добавлена в основную ветку OpenWRT, начиная с ревизии 38040. Поэтому для прошивки выбрана последняя стабильная версия OpenWRT — Barrier Breaker 14.07.

Совсем недавно мною была выложена статья, касающаяся безопасности сайта и, в частности, проблемы капчи и большого вопроса — можно ли от нее избавиться и как это сделать.

Обсуждение было живое и очень продуктивное. Как это довольно часто со мной бывает, в результате анализа комментариев пользователей я изменил свое мнение по весьма большому спектру вопросов, изложенных в статье.

Здесь я бы хотел подвести итог затронутой ранее столь животрепещущей темы и озвучить следующие шаги, которые я собираюсь предпринять для ее развития. Они касаются создания собственного черного списка IP адресов. Я, как всегда, ничего не утверждаю, а только предлагаю варианты.

Microsoft выпустила экстренное обновление MS15-093 для всех версий своего веб-браузера Internet Explorer 7-11. Обновление закрывает критическую уязвимость CVE-2015-2502 в HTML-движке веб-браузера mshtml.dll на всех ОС от Windows Vista SP2 до Windows 10. Уязвимость относится к типу Remote Code Execution (RCE) и уже используется злоумышленниками для установки вредоносного ПО с использованием 0day эксплойта (drive-by download).



Уязвимость не позволяет атакующим обойти настройку безопасности IE11 под названием «Расширенный защищенный режим» (EPM), который заставляет процесс вкладки работать на низком уровне привилегий. Кроме этого, действия эксплойта также могут быть заблокированы активным EMET.

В статье рассмотрены некоторые особенности работы поиска приложений в магазине Google Play.

Компания Google редко публично обсуждает свои поисковые технологии, но в 2013 году на конференции Google I/O 2013 рассказала, что влияет на ранжирование приложений в магазине Google Play.

Наша команда сделала конспект этого выступления со своими комментариями и примерами из практики. Видео на английском по ссылке, cправочное руководство Управление данными для Google Play.

Статья показывает, как можно обхитрить внимательного пользователя, знакомого с азами социальной инженерии, следящего даже за расширениями файлов и ни в коей мере не призывает к использованию данной информации в незаконных целях. Цель – запустить исполняемый файл, выдав его за текстовый документ в zip-архиве, а если запустить вряд ли получится, то не дать распаковать или скрыть файл.

Основы BASH. Часть 2.
Извиняюсь за такую большую задержку между статьями, но сессия дает о себе знать в самый неподходящий момент :)
Всем спасибо за замечания, критику и дополнения, которые были озвучены в комментариях к прошлой статье.
Эта часть, как и обещал, будет посвящена циклам, математическим операциям и использованию внешних команд.
Начнем.

Безусловно, все те кто общается с ОС Linux хоть раз да имели дело(во всяком случае слышали точно) с командной оболочкой BASH. Но BASH не только командная оболочка, это еще и превосходный скриптовый язык программирования.
Цель этой статьи — познакомить поближе юзеров с bash, рассказать про синтаксис, основные приемы и фишки языка, для того чтобы даже обычный пользователь смог быстренько написать простой скрипт для выполнения ежедневной(-недельной, -месячной) рутинной работы или, скажем, «на коленке» наваять скриптик для бэкапа директории.

За последние десять лет через меня прошло много начинающих разработчиков. Да и чего греха таить, я тоже когда-то был начинающим разработчиком. За это время я получил тысячи вопросов а-ля “как стать разработчиком”, а также просьб взять людей к себе на практику. К сожалению, даже под чутким руководством более опытных специалистов, далеко не каждому хватает сил и мотивации перейти на качественно новый уровень. Статистика — вещь упрямая: количество “пытающихся” и “достигающих успеха” распределяется согласно принципу Парето, т.е. 20/80, где из десяти человек максимум двоим удается пройти первоначальное испытание. Остальные отваливаются по дороге или процесс обучения у них растягивается на долгие годы. И все же, каким должен быть начинающих разработчик, какими навыками и знаниями он должен обладать? Об этом и пойдет речь в статье.

Кандидаты — «Senior PHP», с опытом, до собеседования проходят первичный отбор по резюме\сопроводительному письму, то есть на собеседование попадают лишь те, кто выглядят как приличные программисты. Собеседования проводятся удалённо — Skype/ICQ (без голоса). Т.е. теоретически можно гуглить, хоть я и прошу этого не делать.

Итак, тесты, которые отсетвают «типа программистов»: