Вчера я наконец-то выпустил первую публичную версию Lamer News, это одновременно и реальный пример использования Redis в виде сайта напободие Hacker News, и проект совершенно независимого сайта про новости из мира программирования.

Проект был хорошо принят сообществом, и был в топе HN в течение некоторого времени. Спасибо за обратную связь.

После релиза я получил несколько просьб об изменении хэш-функции, которую я использовал для того, чтобы хэшировать пароли в БД:

# Turn the password into an hashed one, using
# SHA1(salt|password).
def hash_password(password)
    Digest::SHA1.hexdigest(PasswordSalt+password)
end

Этот код использует SHA1 с солью. Как отметили читатели, это не самый безопасный выбор, поскольку есть способы вычислить SHA1 очень быстро. Через некоторое время люди хором начали твитить и писать в комментах одно и то же предложение: «используй BCrypt». Я предложил использовать вложенные SHA1 в цикле, чтобы избежать добавления новых зависимостей в коде (если вы проверите README, одной из целей является сделать код простым и с как можно меньшим количеством зависимостей). И тут это случилось: догма шифрования. Никаких рассуждений о криптопримитивах и их возможных применениях и комбинациях, просто тупо «используй BCrypt». В глазах этих товарищей программисты — просто тупые дроны, исполняющие гайдлайны, которые не могут ни в коем случае рассуждать о криптографии. Но об этом позже…

Давайте пока сделаем шаг назад и рассмотрим исходную проблему со всем этим, и насколько небезопасен этот код.

Похоже на то, что у Groupon все идет не так хорошо, как хотелось бы этой компании. Про выход на IPO представители «скидочного» сервиса говорят все реже, а дата выхода на биржу отодвигается с завидным постоянством. Неоднократно эксперты критиковали компанию за слишком быструю растрату получаемых от инвесторов средств. Большая часть получаемых денег идет на маркетинг, который поставлен у Groupon на широкую ногу.

Добрый день, уважаемые хабровчане!

Предлагаю вашему вниманию статью, на которую меня натолкнул недавний пост Matlab кластер своими руками. В свое время я столкнулся с теми же проблемами что и автор топика, однако для увеличения производительности я не стал уходить в дебри распределенных вычислений, а просто решил максимально оптимизировать свой код. Как это сделать в Matlab, прошу под кат за подробностями.

Статья является описанием жизненного опыта и вольным переводом англоязычной публикации.

Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на различных ресурсах.
Пароль [parole] — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.

Sony Pictures database

Исследование Троя Ханта, который взял за предмет своих изысканий, базу пользователей Sony Pictures, стоит отметить, что все пароли хранилась в открытом виде. А дальше он проанализировал пользовательские пароли. Вот такие результаты у него получились.

Длина пароля

Как мы видим, основное количество паролей с диной от 6 до 10 символов. При этом у половины он менее 8 символов.

Используемые символы

1% - только буквы верхнего регистра
4% - только цифры
45% - только буквы нижнего регистра
50% - другие варианты

Криптографическая стойкость пароля определяется вариацией букв различных регистров + цифры + спец. символы ^ длина пароля. На данном примере мы можем наблюдать, что используются пассы одного типа.

Сразу хочу сказать, что в данной статье речь пойдет не о веб-дизайне, но о дизайне интерфейса компьютерных программ.
Для пользователя конечным продуктом является не программа, а интерфейс. Он никогда не задумывается над тем, как устроена программа, пока она успешно справляется со своими задачами. Поэтому очень важно, чтобы интерфейс привлекал конечного пользователя, а не отпугивал в первые же секунды знакомства с ним.

Кто ответит за дизайн?

Зачастую разработкой интерфейса ПО занимаются сами программисты, которые это ПО и написали. Причем, как правило, не каждый программист может похвастаться наличием дизайнерских способностей или хотя бы опыта в этом плане.
Правильного ответа на вопрос «как сделать хороший интерфейс» нет и не будет, однако можно вывести некоторые общие рекомендации, которые хоть и не ответят на вопрос «как нужно делать», зато уж точно подскажут «как делать не нужно». Следование таким рекомендациям не даст обязательно сногсшибающий результат, зато поможет не совершать частых ошибок дизайна интерфейса и сделать его как можно более удобным и привлекательным для пользователя.
Написанные ниже рекомендации ориентированы на разработчиков ПО, которые никогда особо не задумывались об интерфейсе разрабатываемых ими программ, делая акцент лишь на внутреннее устройство. Если программа подразумевает в качестве пользователя не только самого разработчика, но и каких-либо других людей, то стоит обратить некоторое внимание и на внешний вид программы.
Некоторые рекомендации уже будут вам знакомы или очевидны, не буду отрицать. Посему просьба отнестись к этому позитивно, повторение — мать учения.

Вся современная асимметричная криптография в настоящее время основывается на двух простых и понятных принципах: вера и надежда. Вера в то, что при выполнении условия P≠NP, криптосистема не взламываема за полиномиальное время. Надежда, что квантовый компьютер так же далек от нас как созведие Кассиопеи. Так вот два эти принципа настолько ненадежны и с математической точки зрения трудно доказуемы, что единственным выходом из сложившейся ситуации можно считать приобретение шапочки подобной той, что изображена на картинке слева. Альтернатива? Она существует. Относительно молодая криптосистема NTRUEncrypt, которая, возможно сможет победить два этих принципа и вполне возможно станет прототипом для всей асимметричной криптографии «постквантовой» эпохи. Подробный анализ этого самого быстрого асимметричного алгоритма стойкого к атакам с применением квантовых компьютеров

В конце июля Президент подписал законопроект о внесении поправок в федеральный закон «О персональных данных». Закон этот был опубликован в "Российской газете" 27 июля, и тогда же вступил в силу. Вдобавок, ему придана еще и «обратная сила»: действие его распроостраняется и на те правоотношения, которые возникли с 1 июля. Принятию предшествовала бурная дискуссия: несколько специалистов в области информационной безопасности обратились к Президенту с открытым письмом, в котором призвали его закон ни в коем случае не подписывать. По мнению подписантов письма, предлагаемые поправки не соответствуют конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», хотя целью проекта было именно выполнение ее требований.

Та схема определения мер по защите персональных данных, которая принята сейчас, в корне противоречит конвенционной. По конвенции лицо, которое обрабатывает информацию, может само определять, с помощью каких средств можно их защищать. А вот отечественный закон сам устанавливает такие требования, предусматривая ответственность за их неисполнение. Причем, по мнению авторов письма, требования эти представляют собой «методы и способы защиты государственной тайны 20-летней давности». Сам текст законопроекта изначально имел компромиссный характер, давая оператору персональных данных большую свободу действий при выборе средств защиты. Но в процессе принятия текст его был изменен. Ну что ж, давайте посмотрим, что за поправки.

Сегодня на русском языке открылся сайт BuildMyPinnedSite, который легко и в онлайн-режиме позволяет за 7 шагов сделать свой сайт закрепленным.

После этого пользователи Windows 7 могут закреплять ваш сайт на панели задач, вызывать у него контекстное меню, окно предпросмотра и при желании дополнительные кнопки. Таким образом, сайт становится по сути полноценным приложением операционной системы.

Эта возможность повышает удобство для пользователей, увеличивает их лояльность – и, как результат, посещаемость может вырасти по текущей статистике до 200%.

Напомню, что данную возможность используют крупнейшие международные и российские сайты, в том числе Facebook, Twitter, Amazon, Hulu, Groupon, Яндекс, Mail.Ru (пост), Одноклассники, IVI и другие.

Свой сайт вы можете опубликовать в галерее IE Gallery, доступной всем пользователям Internet Explorer 9.

Гомоморфное шифрование — криптографическая система, которая позволяет проводить определенные математические действия с открытым текстом путем произведения (в общем случае других) операций с зашифрованным текстом.

Первая полностью гомоморфная криптосистема была создана Крэйгом Джентри в 2009 году. Однако скорость вычислений была настолько низкой, что говорить о каком-либо практическом применении было невозможно.

Полностью гомоморфная криптографическая система с приемлемой скоростью работы — своего рода “Священный Грааль” криптографии. Она позволила бы осуществлять поиск, статистические вычисления и любые другие операции над зашифрованными данными, что избавило бы от необходимости искать компромисс между конфиденциальностью и удобством. Это дало бы мощный толчок облачным платформам, решило бы вопрос с утечками персональных данных пользователей многих интернет-сервисов, сильно упростило бы жизнь организациям, работающим с чувствительными медицинскими или финансовыми данными.

Кристин Лотер и её коллегам Виноду Вайкунтанатану и Микаэлю Неригу удалось создать прототип такой системы, способный делать 100 операций сложения 128-битных чисел за 20 миллисекунд на обычном ноутбуке. Раньше подобные вычисления занимали минуты и часы.

Эта статья — продолжение цикла статей по информационной безопасности в веб-приложениях (и не только).

Вообще думал написать о «белом ящике», но я решил что нужно сначала ликвидировать возможные пробелы у целевой аудитории (в основном веб-разработчики) в этой области.

Может многие и все знают, о чем я пишу в статье, но я попытаюсь разбавлять ее практическими примерами и занятным опытом.

Планирую, что это статья — предпоследняя. После данный цикл будет повторен, только в более сложном варианте, с бОльшим углублением в данную тему. Надеюсь меня хватит на это, и вообще, что есть смысл об этом писать.

Как обычно — ответственность за все полученные знания только на читателе :)

Множество неоднозначных статей написаных про биткойн побудили написать меня статью о внутреннем устройстве этой системы. Меня удивило, что некоторые авторы писали о цифровых монетах без понимания внутреннего устройства, и смысл длительных рассуждений был безуспешной попыткой узнать лохотрон ли это. Надеюсь после данной статьи вера или доверие bitcoin перейдет в уверенность и осознанность. Я не буду раскрывать в этой статье общественно-экономического влияния цифровых монет, а сосредоточусь исключительно на внутренних алгоритмах.

Вопрос безопасности всегда будет актуальным, особенно в Сети. По этому, чтобы в один прекрасный день не получить на своем ресурсе такую картинку нужно уметь проверять на предмет уязвимостей себя самого.

Под катом — краткий обзор и типовые примеры использования бесплатных утилит, которые помогут (а точнее уже во всю помогают) хакерам, администраторам, разработчикам, тестировщикам проверить свои ресурсы конкурентов в автоматизированном режиме.

У статьи довольно низкий порог вхождения для понимания и использования, по этому, надеюсь, придется по душе многим. Раскрывается лишь базовый функционал программ.

Вчера была опубликована хорошая статья «Веб-дизайн. Каждому устройству свое представление». Несмотря на неплохие размышления, к сожалению, вывод в ней довольно глупый. А именно:

«Нужно определить, какими устройствами могут пользоваться ваши посетители, проработать и создать для этих устройств представление вашего сайта, определить устройство посредством проверки заголовков браузеров, и отправить наиболее подходящее представление.»

Почему это глупо

Во-первых, никто не сможет предугадать, какими устройствами будут пользоваться ваши посетители. Нужно ориентироваться не на устройства, а на разрешения.



Это скриншот из презентации «Beyond the mobile web by yiibu» (очень рекомендую).

Во-вторых, если вы не facebook или yandex, скорее всего, вы не потянете создание и поддержку разных версий сайта для каждого устройства. Да и это не имеет особого смысла. Потому что ситуация становится похожа на реалии пятнадцатилетней давности. Тогда делали сайт «под браузер», а сейчас автор предлагает делать сайт «под устройство».

Как сделать один сайт для всех устройств

Профессор бизнес-школы Нью-Йоркского университета Панос Ипейротис (Panos Ipeirotis) рассказывает увлекательную историю о том, как он безуспешно боролся с плагиатом среди студентов курса компьютерных технологий. Он использовал специальную программу антиплагиата Turnitin. В итоге выяснилось, что студенты:

• очень часто занимаются плагиатом: на потоке каждый пятый признался в этом, но фактически следы плагиата были в большем количестве работ; это исключает возможность применения к студентам дисциплинарных мер, потому что если какой-то «закон» нарушают многие, то проблема именно в «законе», а не в нарушителях;
• со временем обучаются обманывать любую компьютерную систему, делятся опытом друг с другом;
• категорически отрицают свою вину;
• очень изворотливы в поиске «объяснений»;
• крайне негативно относятся к преподавателю, который ищет факты плагиата и борется с ними (в США распространена практика оценок преподавателей студентами, так что низкая оценка выходит боком — профессору могут сделать выговор).

Дорогой Хабрахабр,
Сегодня расскажу про два облачных сервиса, которыми давно пользуюсь и с удовольствием поделюсь своим опытом.

• iDrive — облачное хранилище (архивация) ваших данных с высоким, как заявлено, уровнем приватности
• SugarSync — сервис удобной синхронизации всего и вся

Скажу сразу, они ориентированы на пользователей Windows и Mac OS.
Под Linux, у iDrive есть отдельный проект iBackup (только платный), а SugarSync давно что-то пишут, но без результата. Как вариант запускают под Wine.

Как известно, в воскресенье на бирже MtGox произошёл обвал котировок пиринговой криптовалюты Bitcoin. В течение считанных минут стоимость упала с $17 до $0,01 за 1 BTC. Анализ событий показал, что кто-то активно сливал «коины» (возможно, украденные). В то же время были те, кто смог воспользоваться ситуацией и купить валюту по сверхнизкой цене.

Вчера один из них сам объявился на форуме bitcoin.org с подробным покаянием объяснением. «Меня зовут Кевин и я тот парень, который вчера купил 259684 BTC менее чем за $3000. Я действительно никому не хотел говорить, но больше не могу. Вот как события происходили с моей стороны».

Здравствуйте. Не знал куда лучше написать, поэтому решил писать в «Стартапы», поскольку моя идея — по сути стартап нацеленный на немного другую «прибыль», а именно — моральное удовольствие от добрых дел :)

В общем, после прочтения одного интересного дневника бывшего детдомовца, я задумался о том, как можно помочь детям из детдомов, применив современные технологии, а точнее — Интернет.
У меня возникла идея создания проекта, который смог бы помочь таким детям и в развитии, и материально и просто морально — давая им понять, что они не ненужные. Что «там», за забором есть много людей, которым не все равно и которые не смотрят на них косо потому, что они коротко стриженные и страшно одеты.
Но давайте опустим лирику и перейдем к проблеме и её решению.

Использование https при аутентификации уже давно стало правилом хорошего тона. Однако, необходимость покупки сертификата приводит к тому, что многие владельцы web-ресурсов по прежнему используют для аутентификации открытый канал и ваши пароли доступа могут быть перехвачены злоумышленником, имеющим доступ к сети, в которой вы работаете. Следует отметить, что использование https в общем случае не гарантирует защиты от перехвата передаваемого трафика. На сегодняшний день существуют решения, основанные на использовании специальных прокси и доменных политик, позволяющие успешно читать https трафик в корпоративных сетях. Далее о том, как все же защитить пароль от перехвата.

Привет, хабраграждане.
Предмет поста — небольшой стартап с большими амбициями.
Он объединяет неравнодушных людей, готовых придти на помощь ближнему, участвовать в жизни общества.

Он связан с деньгами, но совершенно не коммерческий.
Он зародился на дружественном нам блоге dirty.ru, но перерос в нечто большее.

Грязь, лужи, собачьи испражнения повсюду, мусор кругом — типичная картина московского двора. По колено в г-не идёшь до дома по тёмным переулкам, в которые заходить-то страшно.

Надежды на правительство и чиновников никакой нет и быть не может — им-то как раз обустраивать ничего уже не нужно, они о себе позаботились. А в одиночку можно улучшить только какие-то совсем мелкие детали.

С другой стороны, кругом не так мало людей, которые тоже хотят чтобы среда, в которой они живут, перестала вызывать отвращение и уныние. И некоторые из них даже готовы вложить в это время или деньги.

Вопрос в том, как объединить этих людей, как сделать так, чтобы из тоненьких ниточек сплёлся тугой канат. Объединив силы и перестав думать, что кто-то что-то должен нам кроме нас самих, можно взять инициативу в свои руки.