В данной статье я постараюсь описать методы продвижения приложения для устройств на базе iOS. Таких методов существует множество, но я хочу рассказать о самых важных их аспектах.

Месяц назад я решил, что буду поступать в магистратуру. Для поступления требуется сдать три экзамена: Логика, Информатика, Английский. Я создал для себя расписание на неделю и распределил подготовку по дням. Но вскоре заметил, что не успеваю заниматься ни по одному из предметов. Тут я и решил отслеживать на что я трачу свое время. Поискав в маркете, я не нашел ничего дельного, что могло бы решить мою проблему. Нужно было мне совсем не много.

Привет всем хаброжителям.
Перечитывал инфу об IT-образовании, ибо в последнее время оно меня сильно беспокоит: всего год остался до того, как я напишу (!!!) диплом, а потом стану бакалавром математики. Вот наткнулся тут на статью, как раз про меня и мне подобных написанную:
Она задела за живое. И я решил по ее мотивам накатать свою, как продолжение размышлений – куда податься IT-бакалаврам. На мой взгляд, обучение в IT-магистратуре – неплохая перспектива. Но только, думается мне, не все магистратуры одинаково полезны, а только те, которые могут дать действительно качественную подготовку, чтобы потом еще и работать хотелось и моглось.
Рассудив, что хорошую практику могут дать только хорошие практики, я отправился в пучины мировой сети, чтобы найти в России (я пока что не очень-то хотел бы сваливать за бугор), магистратуры, поддерживаемые серьёзными IT-конторами.
В течение нескольких часов честно смотрел, что выпадает в поисковиках по запросам: «IT магистратура», «магистратура IT» и подобным ключевым словам.
И вот сделал из всего собранного мной такую табличку:

Правильно люди говорят: «Все новое — это хорошо забытое старое»

Возможность встраивания удалённых ресурсов (например картинок с других сайтов) на страницу своего сайта — очень плохая практика. Которая может в определённый момент привести к довольно серьёзным последствиям для сайта. Еще 10 лет назад, я с удивлением читал о том, что такое возможно. И вот прошло 10 лет, ничего не изменилось, и похоже на то, что это вряд ли когда то изменится.

Детали под катом

Уже через три дня состоится международная мобильная конференция #MBLT12, в рамках которой пройдет Yandex Mobile Camp.

В рамках программы специалисты Яндекса расскажут:

• Как начать разработку под iOS
• Опыт использования Core Data в Яндекс.Почте
• Как начать разработку под WP7
• Автосборки iOS-проектов в Яндексе
• Автоматизация локализации iOS-приложений

Подробнее о докладах на странице расписания.

А теперь о главном. Яндекс дарит билеты на конференцию мобильным разработчикам: «Если вы занимаетесь мобильной разработкой и хотите попасть на MBLT, напишите нам о себе на ya-events@yandex.ru. Возможно, один из 50 билетов достанется именно вам!».

В последнее время в блоге "Информационная безопасность" проскакивало несколько топиков про способы шифрования данных для защиты от маски-шоу. Но все эти способы, исходя из бурных обсуждений в комментариях, не проходят проверку паяльником.

Поэтому я хочу предложить свой способ защиты данных от особо интересующихся лиц в масках — шифрование данных на скрытом диске, который имеет дополнительный уровень в защите от паяльника.

Бразильский банкир Даниель Дантас (Daniel Dantas) был арестован в Рио-де-Жанейро в июле 2008 года по подозрению в финансовых мошенничествах. Полиция немедленно провела обыск в его квартире и изъяла пять жёстких дисков с зашифрованной информацией. Местные специалисты из Национального института криминологии (National Institute of Criminology, INC) использовали брутфорс в течение пяти месяцев, но так и не смогли подобрать пароль. В начале 2009 года они обратились за помощью в ФБР.

И вот сейчас стало известно, что ФБР в апреле 2010 года вернуло диски назад.

Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна. Шифр 256-битный AES. По данным отчёта ФБР, американцы использовали тот же метод, что и INC: подбор пароля по словарю. В ФБР брутфорс продолжался более года, но тоже с нулевым результатом.

Dropbox — действительно отличный сервис. Он дает Вам свободные 2 гигабайта памяти, чтобы хранить Ваши файлы и предоставляет вам доступ и синхронизации их между различными компьютерами, независимо от того запускаете вы его на Windows, Mac, Linux или любой другой мобильной ОС. Однако, есть одна проблема. Все файлы, которые Вы храните в облаке, не зашифрованы. Кто бы ни взламывал Ваш аккаунт, может просмотреть и получить доступ ко всем файлам в Вашем аккаунте, включая те конфиденциальные документы, которые Вы синхронизировали по облаку.

Почему это важно? Ошибка, сделанная командой Dropbox несколько дней назад, оставляла личный кабинет Dropbox'a открытым в течение 4 часов. В течении этого времени кто угодно мог войти в любой аккаунт и получить доступ ко всем файлам в этом аккаунте без любого пароля. В то время как это затронуло только 1 % их пользователей (который составляет примерно 250 000, и это не маленькое число), если Вы — один из тех, аккаунты чьи попали под угрозу, либо у Вас есть конфиденциальные файлы в Вашем Dropbox, лучше зашифруйте его чтоб подобные вещи были вам не страшны.

Предисловие

Частью моей работы является ежедневное монтирование контейнеров TrueCrypt на удаленном сервере.
Утренний порядок действий меня напрягал: включить ноутбук, подключиться к серверу, ввести многозначный пароль в TrueCrypt, отключиться от сервера, выключить ноутбук, собраться и ехать на работу.
Пришла мысль об использовании Asterisk, необходимо было это реализовать.

Чем больше мы используем компьютер и чем больше он входит в нашу жизнь, тем чаще мы начинаем задумываться о безопасности хранимой информации на нем. Не говоря уже о предприятиях, когда проблемы в безопасности хранимой информации могут привести к большим потерям.

В данной публикации я расскажу как можно создать в системе виртуальный зашифрованный диск, для доступа к которому необходим ключевой файл, который размещается на рутокене.

OpenVPN — кроссплатформенное, гибкое и удобное решение для организации VPN. Для допуска в виртуальную сеть, построенную на базе OpenVPN, клиент должен авторизоваться. В OpenVPN это можно сделать 3 способами:

• по логину и паролю
• по ключу и сертификату в файлах
• по ключу и сертификату на «борту» криптографического USB-токена или смарт-карты

Последний способ является наиболее безопасным. В топике будет описана авторизация в OpenVPN с помощью криптографического USB-токена Рутокен ЭЦП. Рутокен ЭЦП надежно защищен PIN-кодом от несанкционированного доступа и блокируется при исчерпании попыток ввода PIN-кода, поэтому злоумышленник не попадет в VPN даже в случае кражи токена. Кроме того, в Рутокен ЭЦП аппаратно реализованы алгоритмы ГОСТ и RSA, поэтому аутентификация производится «на борту» токена. Благодаря этому закрытый ключ никогда не покидает токен и его невозможно украсть из оперативной памяти компьютера с помощью троянов.

В топике будет показано, как развернуть тестовый VPN, а также корпоративный УЦ на базе open source приложения XCA. С помощью УЦ будет создан ключ и сертификат сервера OpenVPN и произведена инициализация токена клиента. Затем настроим клиент OpenVPN таким образом, чтобы пользователь мог авторизоваться в OpenVPN с помощью Рутокен ЭЦП.

Представляем вашему вниманию новый сервис проверки передаваемой вашим компьютером информации в сеть Интернет — Whoer.net.

Он идеально подойдет для проверки Proxy и Socks серверов, расскажет о вашем VPN сервере, проверит IP-адрес на нахождение в блэк-листах, укажет, включены ли ActiveX и Java на вашем компьютере, каковы его языковые и системные настройки, какая установлена ОС и браузер, определит DNS и т.д.

Для вашего удобства, мы подготовили легкую и расширенную версию ресурса, в которой отображается большое количество дополнительной информации. Так же присутствует возможность выбрать язык интерфейса и SSL-соединение, по вашему желанию. Легкий дизайн, простой адрес, большой функционал и быстрая скорость работы, вот что такое Whoer.net.

P.S. Делая этот сервис мы постарались учесть все ошибки подобных ресурсов, но предела совершенства нет и мы будем рады услышать любые ваши пожелания и дополнения. Надеемся что сайт окажется полезным для вас инструментом в повседневной жизни.

P.P.S. Создатели сервиса — мои друзья, и, соответственно, повествование велось от их лица.

У многих людей, как-либо связанных с безопасностью, периодически возникает желание заняться pentest'ом, то есть тестом на проникновение. И чаще всего начинают все с pentest'а веб-приложений. Порог вхождения довольно мал (простейшая sqli определяется добавлением кавычки в параметр и эксплуатируется не особо сложнее), но при этом встречаются и довольно сложные задания, которые заставляют потратить пару-тройку дней на ковыряние.
Но возникает вопрос — где применять теоретические знания, без страха внезапного появления маски-шоу? Под катом проведу небольшой обзор полигонов для экспериментов по pentest'у.

За последний месяц было несколько публикаций на Хабре о безопасности хранения информации на Dropbox. И, судя по всему, информацию там, действительно, хранить не совсем безопасно.
К ней могут получить доступ как минимум сотрудники Dropbox, а как максимум даже не хочу думать кто. Я активно использую хранилище для синхронизации домашнего ноута с рабочим компьютером.

Команда европейских и американских математиков проанализировала свыше 11 000 000 сертификатов, принадлежащих различным сайтам и обнаружила, что в среднем на тысячу из них приходится около 2х со слабыми параметрами, позволяющими восстановить секретный ключ.

Протокол RDP является протоколом прикладного уровня и поэтому для его защиты идеально подходит TLS, который работает над транспортным уровнем.

В данном топике с помощью open source приложений OpenSSL и sTunnel мы защитим RDP-соединения по протоколу TLS c поддержкой российских шифрсьютов (GOST2001-GOST89-GOST89), клиентская аутентификация по ГОСТ-вым сертификатам будет проводиться аппаратно на борту USB-токена Рутокен ЭЦП с выработкой ключа согласования по схеме VKO GOST 34-10.2001. При этом ключ аутентификации является неизвлекаемым и его невозможно украсть. Так же Рутокен ЭЦП будет использоваться в качестве аппаратного ДСЧ.

Для случая аутентификации на терминальном сервере об Active Directory по сертификатам RSA мы обернем TLS по RSA в TLS по ГОСТ. Таким образом, мы получим двухуровневый TLS — RSA с клиентской аутентификацией будет идти внутри канала, защищенного ГОСТами.

На оригинальном ресурсе обсуждается проблема обнаруженная на широко известном в узких кругах сайте youporn.com. Поскольку ссылку подкинул коллега из Швеции, то оригинал на Шведском, я перевел только самую суть.

По адресу «chat.youporn.com/tmp» доступны логи, которые содержат незашифрованные пароли, имена пользователей заходивших на сайт и их адреса электронной почты.

На самом Youporn.com доступность логов проверить не удается, а вот на WayBack machine эти данные сохранены и доступны для просмотра тут.

CPanel, панель управления хостингом, при создании аккаунта выводит примерно такое:

| Domain: masterrr.name
| Ip: 123.456.789.123
| HasCgi: y
| UserName: charlettte
| PassWord: bsd8M1F279G2yTG

Тогда предлагаю попробовать расширение для Google Chrome, которое позволяет исполнить это желание. Называется оно “Глаз народа” и по задумке должно показывать самое интересное из читаемого в данный момент пользователями сети.
Если кратко, то суть его работы в следующем. Расширение отслеживает активность пользователя браузера, протоколирует информацию о том, куда и когда он “ходил” и периодически отсылает данные на сервер. Сервер в режиме реального времени интегрирует полученную информацию, формирует и поддерживает постоянно меняющийся рейтинг популярного контента. Этот рейтинг возвращается всем пользователям расширения в виде короткого списка ссылок. По сути происходит обмен посещенными страницами интернета, позволяющий узнать, что сейчас интересно другим людям.
К достоинствам такого способа делиться посещенными ресурсами можно отнести следующее.

• Оперативность. Все происходит почти в реальном времени. Посещение вами веб-страницы может отразиться на текущем рейтинге уже через 10-15 минут.
• Объективность. Оценку привлекательности контента производит система, исключая субъективные желания пользователя.
• Непринужденность. Пользователю самому не нужно делать ровным счетом никаких специальных действий. Только получать результат.

Есть еще потенциальные достоинства, которые могут появиться в будущем, а также и определенные недостатки, но о них чуть ниже.
А перед тем, как вы попробуете установить расширение или решите, что оно вам не надо, позвольте рассказать немного о том, почему это безопасно, как работает и для чего создавалось на самом деле.

Случился горячо долгожданный релиз iPhone-приложения LinguaLeo. Теперь счастливые обладатели айфонов смогут оценить удобство мобильного совершенствования английского языка, установив приложение на официальной страничке в AppStore. Внимание обладателям Android: приложение LinguaLeo для Android выйдет в ближайшие 2-3 месяца, пожалуйста, не переходите пока на iPhone!

О том, что умеет приложение и как им пользоваться, чтобы приятно и полезно развивать навыки владения английским языком,