В ходе пентеста веб-приложений специалист по тестированию на проникновение достаточно часто сталкивается с необходимостью тестировать API. Как правило это REST API, про тестирование которого написано уже много. Однако все чаще и чаще встречается API на основе GraphQL.

Информации об этой технологии и вероятных атаках на нее в сети тоже достаточно. Но пентестеру, слабо знакомому с технологией, приходится небольшими частями собирать информацию во множестве разных источниках, чтобы сложилось целостное представление об объекте тестирования, о методологии и методиках тестирования. Я, так же столкнувшись с такой проблемой, скомпилировал полученную информацию в одном месте и решил ей поделиться с читателями Хабра.

Осенний The Standoff с расширенной деловой и технической программой становится доброй традицией. 9 и 10 ноября 2021 года в Москве на ВДНХ мы соберем специалистов по ИБ с мировым именем, чтобы обсудить, как будет развиваться индустрия кибербеза. Открыто, без воды и демагогии разберем новые вызовы и способы защиты. Обнажим самые острые проблемы бизнеса и продолжим важный диалог с государством об импортозамещении в индустрии. В отдельный трек вынесем тему инвестиций: обсудим привлекательность и перспективы вложений в кибербез.

Противостояние не ограничится только офлайном. Выступления, как и сама кибербитва, будут транслироваться в прямом эфире на сайте The Standoff.

Приглашаем спикеров выступить с техническими докладами, раскрывающими темы поиска и эксплуатации уязвимостей, защиты от атак, а также практики разработки безопасного программного обеспечения.

Зарегистрируйтесь и оставьте заявку до 30 сентября, пройдите отбор программного комитета и станьте докладчиком The Standoff!

Статья подготовлена на основе уроков из открытой темы "Установка LEMP стека с помощью Ansible" курса по Ansible от Слёрм. Автор – Всеволод Севостьянов, Lead Engineer в Vene.io (Affiliate marketing solution). Первые две темы курса доступны на Youtube.

Материал этого урока будет интересен тем, кто разобрался с установкой Ansible и готов написать свой первый плейбук. Результатом будет плейбук, устанавливающий nginx на удалённой машине.

Поиск оптимальных значений для ограничения ресурсов Kubernetes — непростая задача, поскольку вам нужно найти золотую середину между слишком жесткими и недостаточными ограничениями.

В этой статье, которая является продолжением серии статей о рациональном использовании ресурсов в Kubernetes, вы узнаете, как выбрать правильные ограничения ресурсов Kubernetes: от обнаружения контейнеров без каких-либо ограничений до определения оптимальных параметров, которые вы должны установить в своем кластере.

Prometheus — одно из самых популярных решений для мониторинга кластеров Kubernetes. Поэтому каждый шаг в этом руководстве содержит примеры запросов PromQL.

Фото: Jukan Tateisi | Unsplash

В этой статье мы подробно рассмотрим, как создать собственный оператор Kubernetes с нуля. Операторы — это такие программные расширения, которые используют кастомные ресурсы (kind), чтобы управлять приложениями. Подробности читайте в официальной документации.

Возьмем самый простой пример — приложение HelloApp. Чтобы задеплоить HelloApp, создадим ресурс Kubernetes.

• Разбираемся, как на самом деле считаются суммы и проценты в клиентском приложении.

• Собираем все данные по портфелю и по всем операциям через Tinkoff API.

• Строим огромную Excel таблицу со всеми данными.

• Узнаём, сколько комиссий и налогов с нас уже содрали и что нам останется при выводе.

• Пытаемся понять, что нам с этим делать.

На начало ноября 2020 г. в мире было зарегистрировано 50 млн случаев COVID-19. Для формирования коллективного иммунитета, который должен был бы препятствовать возникновению повторных вспышек заболевания, этот показатель являлся явно недостаточным [1]. Карантинные мероприятия в нашей стране также порой вводятся с опозданием, что собственно подчеркнул и Премьер-министр Российской Федерации Михаил Мишустин [2]. Из этого следует, то что подобные меры не способны в полной мере ограничить распространение заболевания [1]. Поэтому вопрос о вакцинации части населения от новой коронавирусной инфекции до сих пор остаётся острым.

Тем не менее несмотря на скептическое отношение некоторых людей [10], наши учёные из Национального исследовательского центра эпидемиологии и микробиологии имени Н. Ф. Гамалеи первые в мире зарегистрировали двухкомпонентную вакцину от COVID-19, которая хоть и не безоговорочно [7], но успешно проявила себя в двух этапах и показывает в отличии от сходной оксфордской вакцины [4] объективную безопасность и эффективность в плане иммунного ответа на всех проходимых этапах [5]. Эффективность самой вакцины в целом мы окончательно увидим в конце третьего этапа в мае 2021 года [7].

Большинство критически негативных взглядов по по поводу этой вакцины , которые были ранее высказаны на хабре некоторыми аналитиками о скрытых исходниках [10], не правильных графиках и сомнительной эффективности были устранены в официальном ответе на критику Бучче [8] в международном журнале Lancet [9]. Единственный вопрос, который остался к вакцине это не полное прохождение второго этапа, о котором также высказался известный врач и популяризатор науки Алексей Водовозов [7]. Следует отметить, что он весьма объективно раскритиковал позицию некоторых аналитиков и представителей некоторых СМИ о похоронах российской вакцины, отметив также странным требование предоставить исходники [7].

Сам же Буччи, критикуя исследования о гамалеевской вакцине, отметил, что результаты этого исследования являются потенциально значимыми [8]. Поэтому если ко второму этапу всё таки и остаётся один вопрос по поводу объективной оценки эффективности, то по поводу безопасности вакцины, которая обычно проверяется на первом этапе вопросов нет, вопреки личным мнениям некоторых аналитиков на Хабре [10]. Безопасность этой вакцины также проверил на себе и на своей семье известный биолог Панчин Александр Юрьевич. При этом на себе он проверил действие этой вакцины два раза [3;11].

Предисловие

Как часто вы пользуетесь Карты Google? Верите ли вы в то, что мега корпорации делают все, чтобы делать отличные, безопасные продукты для своих пользователей? Думали ли вы, что они могут просто не замечать критики от простых людей, которые пользуются их продуктами? Так получается, что я замечаю то, что иногда не видят другие или не придают этому значения. В общем этот рассказ о том, как мне слишком много пришлось пользоваться Картами Google и о беспечности корпорации, я бы даже сказал об отношении этих корпораций к своим продуктам и отзыву потребителей.

Опустим, пожалуй, подробное начало этой истории т. к. не обо всех аспектах я могу говорить в связи с моей работой, но это и не важно. Перейдем к сути этой истории…

UPDATE Анализ устарел минимум на полгода. Более свежий анализ на февраль 2021 здесь.

На Московской Бирже торгуется сейчас 44 ETF и БПИФа. Это биржевые фонды, которые держат в себе готовые специализированные портфельчики и запакованные в stand-alone акцию (будто микросервис в докер-контейнере). Эту акцию можно купить, получив долю в общем портфеле.

Для выявления связей между фондами применялись математические методы анализа временных рядов: корреляция по изменениям цен с последующей кластеризацией по расстояниям. Как известно, математика может быть нелогична и находить то, чего не существует на деле. Математика слепа к новостям, коронавирусу и красным шортам Теслы.

Есть интерактивная версия матрицы (осторожно, трафик)

Начнем сразу с результатов анализа биржевых фондов. В матрице выше — корреляции всех ETF и БПИФ, которые появились до января 2020. До 20-го года БПИФов было слишком мало, анализировать там нечего.

Всем привет! Меня зовут Андрей, я профессионально разрабатываю веб-интерфейсы уже больше 11 лет и последний год развиваю проект Numl, который можно назвать языком разметки и стилизации для веб. В этой статье я расскажу, как в попытке перебороть ряд особенностей CSS и упростить вёрстку веб-проектов получился целый язык, который не только удовлетворил все наши потребности в стилизации, но также позволил уменьшить кол-во JS-кода и улучшить доступность.

1. Сумма ежемесячно начисляемых процентов самая большая в начале, потому что в начале самый большой остаток основного долга. По мере его снижения снижаются и проценты.
2. Сумма процентов “скачет” от месяца к месяцу, потому что зависит от количества дней в месяце.
3. Срок кредита в расчёте ежемесячно начисляемых процентов не фигурирует, а это значит, что неважно, на какой срок брать ипотеку — переплата будет одинаковой, если одинаковы ежемесячные платежи.
4. При внесении частичного досрочного погашения с уменьшением ежемесячного платежа переплата будет точно такой же, как в случае сокращения срока, если продолжать платить прежний ежемесячный платёж, а не уменьшенный.