Pull to refresh
0
0
Станислав Серебренников @Goodsmileduck

User

Send message

Значимость SPF

Reading time4 min
Views197K
Хочу обратить ваше внимание на важную, на мой взгляд, проблему, которой пренебрегают даже самые крупные и инновационные компании мира. Проблема заключается в отсутствии у большинства доменов SPF-записи, которая защищает домен от его несанкционированного использования в электронной почте.
SPF (Sender Policy Framework) представляет из себя текстовую запись в TXT-записи DNS домена. Запись содержит информацию о списке серверов, которые имеют право отправлять письма от имени этого домена и механизм обработки писем, отправленных от других серверов.
Например, SPF-запись «example.com. TXT «v=spf1 +a +mx -all»» говорит о том, что отправлять письма от имени домена «example.com» могут сервера, указанные в A и MX-записях этого домена, а письма, отправленные от других серверов должны быть удалены (Fail).

Читать дальше →
Total votes 35: ↑32 and ↓3+29
Comments34

Как Cisco Security Ninja научили 20 тысяч сотрудников безопасному программированию?

Reading time8 min
Views17K
Когда вы слышите словосочетание “повышение осведомленности в области информационной безопасности”, то что вам первым приходит на ум? Обучение пользователей не открывать письма от посторонних и не кликать на фишинговые ссылки? Обучение способам распознавания социального инжиниринга? Отслеживание, чтобы никто посторонний не зашел в офис, как будто бы он с вами? У нас в Cisco такая программа тоже есть и мы тоже регулярно проходим соответствующее обучение. Но сегодня мне бы хотелось рассказать о другой нашей добровольной программе повышения осведомленности, которая была создана менее чем за полгода командой из всего четырех человек с бюджетом менее 50 тысяч долларов. Обратите внимание еще раз. Добровальная программа! Создана четырьмя людьми! Меньше чем за полгода! Всего за 50 тысяч долларов! А прошло обучение и успешно сдало экзамен по этой программе свыше 20 тысяч сотрудников Cisco — инженеров и разработчиков.
Читать дальше →
Total votes 12: ↑10 and ↓2+8
Comments9

Регулярные выражения, пособие для новичков. Часть 1

Reading time14 min
Views915K
Регулярные выражения (РВ) это, по существу, крошечный язык программирования, встроенный в Python и доступный при помощи модуля re. Используя его, вы указывается правила для множества возможных строк, которые вы хотите проверить; это множество может содержать английские фразы, или адреса электронной почты, или TeX команды, или все что угодно. С помощью РВ вы можете задавать вопросы, такие как «Соответствует ли эта строка шаблону?», или «Совпадает ли шаблон где-нибудь с этой строкой?». Вы можете также использовать регулярные выражения, чтобы изменить строку или разбить ее на части различными способами.
Читать дальше →
Total votes 105: ↑99 and ↓6+93
Comments32

Асинхронное программирование: концепция Deferred

Reading time7 min
Views54K
Асинхронная концепция программирования заключается в том, что результат выполнения функции доступен не сразу же, а через некоторое время в виде некоторого асинхронного (нарушающего обычный порядок выполнения) вызова. Зачем такое может быть полезно? Рассмотрим несколько примеров.

Первый пример — сетевой сервер, веб-приложение. Чаще всего как таковых вычислений на процессоре такие приложения не выполняют. Большая часть времени (реального, не процессорного) тратится на ввод-вывод: чтение запроса от клиента, обращение к диску за данными, сетевые обращение к другим подсистемам (БД, кэширующие сервера, RPC и т.п.), запись ответа клиенту. Во время этих операций ввода-вывода процессор простаивает, его можно загрузить обработкой запросов других клиентов. Возможны различные способы решить эту задачу: отдельный процесс на каждое соединение (Apache mpm_prefork, PostgreSQL, PHP FastCGI), отдельный поток (нить) на каждое соединение или комбинированный вариант процесс/нить (Apache mpm_worker, MySQL). Подход с использованием процессов или нитей перекладывает мультиплексирование процессора между обрабатываемыми соединениями на ОС, при этом расходуется относительно много ресурсов (память, переключения контекста и т.п.), такой вариант не подходит для обработки большого количества одновременных соединений, но идеален для ситуации, когда объем вычислений достаточно высок (например, в СУБД). К плюсам модели нитей и процессов можно добавить потенциальное использование всех доступных процессоров в многопроцессорной архитектуре.
Читать дальше →
Total votes 54: ↑44 and ↓10+34
Comments24

HackerSIM: подделка любого телефонного номера. CTF по социальной инженерии

Reading time5 min
Views173K
«Народ не должен бояться своего правительства, правительство должно бояться своего народа»
«Privacy is ultimately more important than our fear of bad things happening, like terrorism.»


Уверены ли вы, что вам звонит тот, за кого себя выдает? Даже если высвечивается знакомый номер.

Недавно я обзавелся "хакерской симкой всевластия". Которая помимо лютой анонимности имеет фичу — подделка номера. Расскажу как это происходит.

Чак на своем телефоне, куда вставлена HackerSIM, набирает команду *150*НомерАлисы# и через секунду получает подтверждение, что номер успешно «подделан». Затем Чак звонит со своего телефона Бобу. Телефон Боба принимает вызов, и на нем высвечивается, что ему звонит… Алиса. Profit.

Далее события разворачиваются в зависимости от социнженерного (или чревовещательного) таланта Чака.

Я начал разыгрывать своих хороших знакомых.
Читать дальше →
Total votes 92: ↑58 and ↓34+24
Comments103

Несколько интересностей и полезностей для веб-разработчика #24

Reading time5 min
Views59K
Доброго времени суток, уважаемые хабравчане. За последнее время я увидел несколько интересных и полезных инструментов/библиотек/событий, которыми хочу поделиться с Хабром.

Webhook


image

Webhook — это платформа для создания сайтов. Важно не путать со статическими генераторами, потому что это именно «CMS builder». Проект успешно завершил кампанию на Kickstarter 14 мая этого года, где смог собрать сумму в два раза большую, чем было необходимо. А буквально недавно состоялся релиз первой версии продукта. Webhook построен с использованием NodeJS, Grunt и Firebase для реалтайма, работает на Windows, Linux и Mac, внутри целая система виджетов со множеством вариаций на выходе, «Django-like templating» с помощью Swig JS, кроссплатформенная админ панель и еще целый ряд плюсов.
Читать дальше →
Total votes 101: ↑90 and ↓11+79
Comments27

Время — деньги, или Важные вещи, которые должен знать каждый фрилансер

Reading time7 min
Views22K


Пожалуй, начну я с нескольких печальных фактов о фрилансе. К сожалению, большинство из начинающих фрилансеров склонны на первых порах не думать о негативных сторонах этого вида деятельности. В зависимости от рода вашей работы и мастерства в поиске новых клиентов и партнеров список неприятных особенностей может претерпеть изменения. Это может быть банальная неуверенность в завтрашнем дне, отсутствие стабильности, необходимость «отстреливаться» на нескольких фронтах (к списку обязанностей каждого фрилансера добавляются поиск людей, продвижение своего бизнеса, ведение переписки и т. д.), а также нечестные клиенты и партнеры. Кстати, будьте очень осторожны с биржами фриланса – даже крупные игроки на рынке могут оказаться типичными жуликами, ярким примером чему является австралийский сервис поиска заказов freelancer.com (Не верите? Гугл знает всё).

Но для многих самой главной трудностью фриланса является самый банальный его аспект – необходимость планирования собственного времени. Я надеюсь, что эти несколько простых правил, сформированных как на опыте других «бывалых» фрилансеров, так и на моем собственном, смогут помочь вам работать меньше и эффективнее. Итак, представляю вам полезные в работе привычки:
Читать дальше →
Total votes 21: ↑19 and ↓2+17
Comments13

Основы Kubernetes

Reading time13 min
Views880K
В этой публикации я хотел рассказать об интересной, но незаслуженно мало описанной на Хабре, системе управления контейнерами Kubernetes.

image

Что такое Kubernetes?


Kubernetes является проектом с открытым исходным кодом, предназначенным для управления кластером контейнеров Linux как единой системой. Kubernetes управляет и запускает контейнеры Docker на большом количестве хостов, а так же обеспечивает совместное размещение и репликацию большого количества контейнеров. Проект был начат Google и теперь поддерживается многими компаниями, среди которых Microsoft, RedHat, IBM и Docker.
Читать дальше →
Total votes 25: ↑24 and ↓1+23
Comments86

SaltStack: Предварительная генерация паролей для использования в сервисах

Reading time3 min
Views6.2K
О чем статья?

Короткая статейка о том, как сгенерировать пароли необходимые для разнообразных сервисов автоматически устанавливаемых с помощью SaltStack.
Читать дальше →
Total votes 12: ↑11 and ↓1+10
Comments0

SaltStack: использование шаблонов jinja и хранилища pillar для гибкой настройки конфигураций

Reading time3 min
Views11K

Что здесь интересного?


Статья предназначена для тех кто использует или думает использовать SaltStack в качестве инструмента для управления конфигурациями. Постараюсь очень кратенько поделится опытом использования этой системы для гибкого управления конфигурациями сервисов на примере Tinyproxy.
Это вторая статься в серии о SaltStack, первую читайте здесь.
Читать дальше →
Total votes 8: ↑7 and ↓1+6
Comments0

SaltStack: управление произвольным количеством файлов конфигураций

Reading time4 min
Views21K

Что здесь интересного?


Статья поможет разобраться с тем, как управлять произвольным количеством конфигурационных файлов некоего сервиса в SaltStack.

SaltStack (underfloor): что это и как с ним быть?


Многие уже имели опыт работы с системами автоматизированного управления конфигурациями, к которым относится Salt, и рассказывать подробно о том как его готовить и что он может я не стану, тут можно прочесть что это, а тут почитать как его быстро и легко приготовить.

SaltStack (lobby): типичное применение на простом примере


Итак, предположим, у Вас есть задача автоматизировать установку, внедрение конфигурационных файлов и мониторинг их изменений, перезагрузку в случае необходимости такого популярного сервиса как nginx. Для упрощения системы, сделаем предположение что обслуживаемые сервера построены на базе Debian Wheezy. (Для всех остальных, — читаем про grains систему, — она поможет определить на какой системе мы применяем стейт и соответствующим образом поменять его поведение).
Итак:
Читать дальше →
Total votes 7: ↑6 and ↓1+5
Comments8

Нестандартный Top10 событий в сфере IT-безопасности 2014 года

Reading time9 min
Views31K
В нашей рабочей терминологии есть одно устоявшееся английское выражение «threat landscape». На русский язык оно нормально не переводится (ландшафт угроз, ага). Если все предельно упростить, то это такая штука, на основе которой компании делают выбор: закупить еще железа или потратить деньги на защиту существующей инфраструктуры. Зависимость тут прямая: если ваши поезда постоянно сходят с рельс, то решается это вовсе не закупкой новых локомотивов.

Оценивать ландшафт (ну вот, опять) по шкале от приветливого до угрюмого можно по-разному. Вот, например, версия от наших экспертов по безопасности: итоги 2014-го, прогноз на 2015-й и, для любителей цифр, цифры. А что думают сами компании? Мы их регулярно об этом спрашиваем (подробнее тут), но в этом году решили использовать еще один нестандартный метод.

Отслеживанием всех значимых новостей в сфере IT-безопасности у нас занимается редакция сайта Threatpost. Мы решили отобрать 10 событий уходящего года (для версии сайта на английском) по единственному критерию: популярности соответствующих статей. И получили интересный набор новостей, актуальный для айтишников, наших нынешних и потенциальных клиентов и безопасников. В нем абсолютно нет политики (то есть историй про Сноудена и NSA), и довольно мало тем стратегического плана. Зато на первый план вышли проблемы, которые необходимо учитывать при оценке этого самого ландшафта уже сейчас. Подробнее – под катом.
Читать дальше →
Total votes 38: ↑38 and ↓0+38
Comments12

Хакерские проекты на Кикстартере

Reading time12 min
Views34K


Я готовился к курсу по выводу проекта на Кикстартер и мне в качестве «домашки» надо было проанализировать успешные проекты. (Я немного охнул, когда узнал, что в мире 1250 активных краудфандинговых платформ.) Так как у меня хабр-дефект, я нашел все проекты из области информационной безопасности (а пару проектов подсказали ребята из хакерспейса).

10% — доля технологических стартапов на Кикстартере (они в итоге собрали около 118 000 000 долларов).
Да, краудфандинг отлично заточен на всякую бесполезную, но прикольную хрень. На Кикстартере собирают бабло на салат и на резинкомёты (16-ти ствольный деревянный пулемет системы Гатлинга), а на других платформах реализуют «правило 34» для космоса и на радость старине Фрейду печатают сигары органы. Но есть и околохакерские проекты, причем некоторые достаточно серьезные. Как для простых пользователей (флешечки с биометрией), так и для профессиональных пентестеров (анализатор атак по сторонним каналам для железа).

Предлагаю самим оценить идеи проектов (глубину технических описаний) и чувство юмора разработчиков.
Читать дальше →
Total votes 39: ↑25 and ↓14+11
Comments10

Познавательное исследование: Какие специалисты и технологии сейчас востребованы на рынке удаленной работы?

Reading time6 min
Views37K


«Эх, еще бы вокруг шарика махнуть…»

Всем привет! Пожалуй, каждый из нас рано или поздно начинает задумываться об удаленной работе в свете последних тенденций в мире IT. Разумеется, такой образ жизни подойдет далеко не каждому, ведь он требует от нас невероятного уровня самоорганизации и мотивации. Однако перспективы работать без привязки к какому-то конкретному месту заставляют все большее число разработчиков смотреть в сторону удаленной работы.

Как и любая кардинальная смена обстановки, переход на удаленную форму работы сопряжен с большим числом вопросов и подводных камней. Пожалуй, к самым важным вопросам можно отнести следующие:

  • Где найти эту самую удаленную работу?
  • Что необходимо знать и уметь?
  • Сколько получают сотрудники на удаленной работе?

Мы тоже решили заняться поисками ответов на эти вопросы. В итоге наша любознательность переросла в весьма познавательное исследование. Интересно? Тогда добро пожаловать под кат!
Читать дальше →
Total votes 17: ↑17 and ↓0+17
Comments18

Как запустить стартап, не имея денег: личный опыт на примере коворкинга в Таиланде

Reading time8 min
Views101K
Москва-Пхукет - почувствуй разницу

Это не обычная история успеха про то, как я сделал мегауспешный проект и срубил денег. Возможно, эта статья изменит жизнь какого-нибудь хабровчанина, даст волшебного пенделя необходимый импульс или хотя бы развеет миф, что для любого проекта в первую очередь нужно много денег. Хотя ядерный реактор все же без кучи денег, пожалуй, не построить.

В статье я поделюсь опытом открытия довольно необычного заведения хостела-коворкинга-антикафе на Пхукете в Таиланде в формате небольшого рассказа, а в комментариях готов ответить на любые вопросы по теме, Таиланду и Пхукету в частности.
Читать дальше →
Total votes 75: ↑47 and ↓28+19
Comments82

Тюним память и сетевой стек в Linux: история перевода высоконагруженных серверов на свежий дистрибутив

Reading time10 min
Views96K
image

До недавнего времени в Одноклассниках в качестве основного Linux-дистрибутива использовался частично обновлённый OpenSuSE 10.2. Однако, поддерживать его становилось всё труднее, поэтому с прошлого года мы перешли к активной миграции на CentOS 7. На подготовительном этапе перехода для CentOS были отработаны все внутренние процедуры, подготовлены конфиги и политики настройки (мы используем CFEngine). Поэтому сейчас во многих случаях миграция с одного дистрибутива на другой заключается в установке ОС через kickstart и развёртывании приложения с помощью системы деплоя нашей разработки — всё остальное осуществляется без участия человека. Так происходит во многих случаях, хотя и не во всех.

Но с самыми большими проблемами мы столкнулись при миграции серверов раздачи видео. На их решение у нас ушло полгода.
Читать дальше →
Total votes 110: ↑104 and ↓6+98
Comments73

Многопоточное приложение под Tornado

Reading time5 min
Views38K


В документации к неблокирующему вебсерверу Торнадо красиво расписано как здорово он справляется с нагрузкой, и вообще является венцом творения человечества в области неблокирующих серверов. Отчасти это верно. Но при построении сложных приложений за рамками «еще одного чата» выявляется много неочевидных и тонких моментов, о которых желательно знать до вояжа по граблям. Под «катом» разработчики клуба интелектуальных игр Трельяж готовы поделиться своими мыслями о подводных камнях.
Читать дальше →
Total votes 70: ↑66 and ↓4+62
Comments28

Современный Торнадо: распределённый хостинг картинок в 30 строк кода

Reading time3 min
Views35K
Впервые слышите о tornado? Слышали, но боялись асинхронности? Смотрели на него более полугода назад? Тогда я посвящаю эту статью вам.
Там будут: gen.coroutines, обработчики, роутинг, шаблоны, motor, gridfs
Total votes 100: ↑89 and ↓11+78
Comments16

Нагрузочное тестирование CMS «1С-Битрикс»

Reading time8 min
Views23K
Знаете анекдот про самолет, в котором есть и бар, и бассейн, и ресторан, но только при взлете стюардесса говорит: «А теперь со всем этим мы попробуем взлететь»?

Веб-разработка немного похожа на такой самолет. Заказчик хочет от веб-студии и классный дизайн, и кучу интерактива, и все службы доставки и оплаты в интернет-магазины, студия с удовольствием все это программирует… А вот хватит ли мощностей сервера на обеспечение стабильной работы сайта — непонятно.
Чтобы нагрузка была прогнозируемой, чтобы задать некоторые эталонные значения, мы провели нагрузочное тестирование «1С-Битрикс: Управление сайтом» и «1С-Битрикс: Энтерпрайз».

Мы постарались так провести тестирование, чтобы клиент понимал, что можно получить на текущем оборудовании, а разработчик мог понять, каковы перспективы роста проекта. Получится ли отмасштабироваться при росте нагрузки?

В этой статье мы расскажем о том, как организовывали и проводили тестирование, и какие выводы для себя сделали.

Для чего это может быть полезно? Эталонные цифры дадут возможность сравнить текущую площадку с потенциальным новым хостингом, четко оценить, какой эффект оказывает на систему внедрение новой функциональности. Да и просто понять технические пределы системы.

Мы сделали акцент на вопросах организации тестирования, на специфических проблемах, с которыми столкнулись в процессе тестирования и на том, какие выводы можно сделать по результатам тестов. Для самых заинтересованных — вот ссылка на подробный технический отчет.
Читать дальше →
Total votes 37: ↑27 and ↓10+17
Comments30

Чеклист по оптимизации VPS на PHP/Mysql/Nginx

Reading time3 min
Views45K
Как обеспечить более высокую производительность VPS сервера, который работает на Nginx + PHP + Mysql? В этой статье приведен чеклист основных настроек, которые позволят существенно оптимизировать работу сервера. Настройка займет не более 10 минут и не требует ничего, кроме редактирования конфигурационных файлов.
Читать дальше →
Total votes 34: ↑17 and ↓170
Comments21

Information

Rating
Does not participate
Location
Россия
Date of birth
Registered
Activity