В последнее время появилась масса биткоин сервисов. И то что раньше было проектом «for fun» неожиданно стало хранить десятки и даже сотни тысяч долларов. Цена биткоина выросла, но уровень безопасности биткоин сервисов остался таким же низким.

Ради портфолио мы провели бесплатный аудит биткоин биржи с открытым кодом Peatio использующей Ruby on Rails. Репорт в pdf можно скачать тут. Самое интересное что в результате нашлись не очередные унылые рейс кондишены или SQLi, а довольно таки любопытная цепочка багов ведущая к угону аккаунта и краже существенной части горячего кошелька.

В первую очередь поясню что эта технология находится на ранней стадии разработки, и я бы хотел подискутировать в этом топике о её рентабельности и полезности. Поэтому прототипа еще нет.

Большинство уязвимостей в веб сайтах являются результатом изменения HTTP запроса, подмены URL или заголовков, и прочие неожиданные для сервера действия. Обычный пользователь не должен иметь возможности так делать, но так как современное приложение состоит из клиента и сервера, то в реальности сервер не имеет контроля над тем как пользователь использует клиентскую часть.

Из-за этого «двойная валидация» встречается повсеместно — на экране нужно показывать только объекты доступные пользователю, плюс нужно на сервере проверять имеет ли пользователь доступ к данному объекту.

Так возникла идея SecureCanvas — превратить сайт в подобие АТМ/терминала, где пользователь может только печатать и двигать мышку. Вместо попытки перехватить вредоносные запросы мы просто переводим игру в другую плоскость и снижаем поверхность атаки до нуля, разрешая пользователю делать лишь то что он и должен делать — взаимодействовать с сайтом.

Ни для кого не секрет, что VK API возвращает за один запрос к методу groups.getMembers не более 1 000 участников. В одну секунду вы можете получить максимум 3 000 участников, так как установлено ограничение на количество запросов в секунду до 3. Эту проблему решает метод execute, с помощью которого вы можете получить более 100 000 участников за одну секунду и до 25 000 участников за один запрос. В этой статье я расскажу Вам, как я это реализовал.

Ни для кого не секрет, что сейчас можно легко скачать эмулятор почти любой игровой консоли 80х-90х и поиграть в классические игры на компьютере, телефоне и многих других платформах. В сети легко можно найти и ROM'ы этих самых игр. Зачастую люди качают их и даже не задумываются, каким же образом кто-то однажды прочитал их из картриджа. В этой статье я и постараюсь рассказать, как же это делалось в случае с NES/Famicom, которая у нас была больше известна как «Денди», и покажу, как можно сделать это самостоятельно.

Боевой робот-аватар с удаленным управлением сделал круг на квадроцикле и поразил мишень из пистолета пятью выстрелами. За действия робота отвечал оператор с помощью закрепленных на конечностях датчиков. Президент заявил, что именно на такие перспективные, мощные проекты и сравнительно недорогие проекты Россия делает ставку.

Операционная система Ubuntu, являясь дружественным пользователю дистрибутивом Linux, за относительно короткое время смогла стать очень популярной. Были у Ubuntu удачи, были и падения. Сейчас эта операционная система собирается расширять сферу влияния, переходя на новые платформы.

В число таких платформ могут войти умные устройства, бытовая техника, носимые девайсы, роботы. Компания Canonical выпустила релиз для подключенных устройств. Новый дистрибутив может работать даже с очень малопроизводительными системами (600 МГц процессор подойдет) и регулярно обновляться.

После выделения «Geektimes» из «Хабрахабра» мы активно наблюдали за происходящим как на каждом из ресурсов в отдельности, так и во всей экосистеме наших сообществ. Смотрели, как изменилась активность, что стало с посещаемостью, рейтингами и другими показателями. И хотя не всё пошло так, как было запланировано, в целом мы довольны результатом. «Хабрахабр» стал более цельным и понятным для IT-специалистов, мы убрали с ресурса темы, которые мешали позиционировать проект как исключительно профессиональный ресурс, а «Geektimes» довольно быстро привлёк внимание аудитории и активно развивается усилиями редакции и пользователей.


Динамика посещаемости Geektimes с момента запуска (уникальные пользователи за сутки)

Привет Хабр.
Люблю стрелковое оружие и стрельбу. Однако в домашних условий это плохое хобби. Нет, ну можно конечно купить травмат и изрешетить квартиру, но, думаю, домашние этого не оценят. Не желая мирится с этим, решил реализовать свой, в меру безопасный домашний тир. Если заинтересовал — добро пожаловать под кат.

Американский стартап popSLATE предлагает чехол для iPhone с дополнительным экраном. Чехол напичкан электроникой (свой процессор и память) и имеет свой собственный экран на электронных чернилах. Поскольку e-ink не требует энергии для поддержания изображения на экране, такой чехол можно использовать для экономии батареи прожорливого смартфона – например, вывести на экран карту, QR-code с информацией о билете, список дел, список встреч и т.д. Чехол можно приобрести уже сейчас за $129 в двух вариантах, чёрном и белом.

В связи с санкциями, направленными США против жителей Крыма, все иностранные компании должны прекратить свою деятельность на полуострове. Буквально вчера Steam перестал продавать игры жителям Республики, а сегодня все крымские разработчики, которые пользовались developer.apple.com, заблокированы на этом сайте.

Письмо, которое я получил сегодня ночью:

Сегодня корпорация Google в лице Пола Еременко представила целый ряд обновлений по модульному смартфону Project Ara. В частности, сейчас прояснилась ситуация с тем, что собой будет представлять коммерческая версия устройства, и где можно ждать появления девайса в продаже.

Кроме того, компания представила «дорожную карту» по дальнейшему развитию проекта. Насколько можно понять, Project Ara уже перестал быть просто концептом, игрушкой, и постепенно превращается во вполне реальное устройство, которое некоторым журналистам даже удалось подержать в руках.

Архитектор Артуро Виттори и его агентство Architecture and Vision разработали способ снабжения засушливых африканских стран водой. Башня WakaWater (по названию дерева семейства фикусов waka) добывает воду, конденсируя её из воздуха. В марте 2014 агентство представило прототип башни в натуральную величину, а сейчас они, улучшив и дополнив его, вышли на Kickstarter в поисках финансирования строительства этих башен в Эфиопии. За один день проект уже набрал $20000 из запрашиваемых $100000.

Mr. Money Mustache

В 2005 году блогер и популяризатор дауншифтинга Mr. Money Mustache (он предпочитает не раскрывать настоящего имени) вышел на пенсию в 30 с чем-то лет (точный возраст он тоже не говорит), накопив сумму $600 000. Процентов с этой суммы вполне хватает, чтобы прожить оставшуюся жизнь в путешествиях, воспитании детей, любимых занятиях и редких подработках «для души».

Концепцию финансового благополучия Mr. Money Mustache сформулировал в своём блоге, который за последние годы привлёк многих адептов. Главная задача — ежемесячно откладывать в личный «пенсионный фонд» 50-90% зарплаты.

Mr. Money Mustache с 2011 года ведёт блог и учит, как контролировать расходы и завести полезные привычки.

Модульная структура электронных устройств, является довольно перспективной идеей, которая уже нашла воплощение в различных проектах. Один из проектов, находящихся максимально близко к стадии реализации — это модульный смартфон Project Ara.

Вторым, возможно, станут модульные часы Blocks. В прошлом году компания, которая называется Blocks Wearebles заявила о намерении создать такие часы. Сейчас разработчики показали первые прототипы готового устройства, которые помогают понять, как будут выглядеть Blocks, и на что они будут похожи.

Поговорим о виджете для авторизации.

Нам говорят, что:

С помощью виджета для авторизации Вы можете максимально просто предоставить пользователям возможность авторизовываться на Вашем ресурсе.

Также, нам говорят, что:

В результате авторизации виджет возвращает следующие поля: uid, first_name, last_name, photo, photo_rec, hash.

О конструкторе Makeblock я узнал уже после того, как завершилась его кампания на кикстартере. А жаль, поскольку был шанс приобрести наборы конструктора по достаточно низкой цене. После удачной кампании авторы продолжили развивать свои идеи и создали набор для плоттера — XY-Plotter Robot Kit v2.0. Мне он обошелся в $300 с бесплатной доставкой через EMS в рамках акции «накупи на $500».

Плоттер заинтересовал меня по двум причинам: возможность рисовать ручкой Circuit Scribe с токопроводящими чернилами и возможность проапгрейдить плоттер лазерным резаком. В этой статье я расскажу о своих впечатлениях от плоттера в его оригинальной конфигурации.

История, как известно, имеет свойство повторяться. В августе мы уже писали на Хабре про волгоградского школьника Михаила Козенко, который собрал свой 3D-принтер. За прошедшие с той поры пять месяцев юный изобретатель поднаторел в своём деле и приготовил для нас очередной фото- и текстовый отчет.

Во время работы над одним из проектов обнаружился довольно интересный баг, который, как потом выяснилось, проявляется не только в «самописных» календарях, но и в популярных open-source библиотеках. Проблема заключается в невозможности выбрать 7 января. В некоторых календарях эта дата просто отсутствует:

Если выбирать 6-е число (которое стоит на месте 7-го), то выбирается… 6-е число.

Баг наблюдается (по предварительным оценкам) под Windows 8.

UPD: Природа проблемы раскрыта здесь. Все дело в RTZ2 после Microsoft Update KB2998527.

UPD2: 0xy: проблема наблюдается не только в Firefox, но и в мобильных версиях различных браузеров. Подробнее (плюс баг-фикс).

Некоторые подробности под катом.

Bitcoin очень удобен и надёжен для хранения денег, но как проводить в нём сделки? Традиционные способы включают привлечение доверенной третьей стороны. Оказывается, bitcoin так могуч, что это вовсе не обязательно. Ниже я расскажу, как двум людям, не доверяющим друг другу, провернуть сделку в bitcoin без привлечения третьих сторон.

Вот уже некоторое время я обдумываю идею написать книгу о теории категорий для программистов. Не компьютерных теоретиков, программистов — скорее инженеров, чем ученых. Я знаю, что это звучит безумно, и я сам достаточно напуган. Я знаю, что есть огромная разница между наукой и техникой, потому, что я работал по обе стороны баррикад. Но у меня всегда был очень сильный порыв объяснить вещи. Я восхищаюсь Ричардрм Фейнманом, который был мастером простых объяснений. Я знаю, я не Фейнман, но я буду стараться изо всех сил. Я начинаю с публикации этого предисловия, которое должно мотивировать читателя изучить теорию категорий, и надеюсь на начало дискуссии и обратную связь.

Я постараюсь в нескольких параграфах убедить вас, что эта книга написана для вас, и развеять все ваши сомнения в необходимости изучения этой, одной из самых абстрактных областей математики, в свое драгоценное свободное время.