Мандатная модель управления доступом не получила столь широкого распространения в пользовательских операционных системах из‑за своей сложности, а также из‑за того, что в ней нет большой необходимости при решении задач, не связанных с высоким уровнем конфиденциальности. В этой статье мы попробуем разобраться с тем, что из себя представляет эта модель и как ей пользоваться. 

Несмотря на то, что уже существует множество различных статей про Kerberos, я всё‑таки решил написать ещё одну. Прежде всего эта статья написана для меня лично: я захотел обобщить знания, полученные в ходе изучения других статей, документации, а также в ходе практического использования Kerberos. Однако я также надеюсь, что статья будет полезна всем её читателям и кто‑то найдёт в ней новую и полезную информацию.

Данную статью я написал после того, как сделал собственную библиотеку, генерирующую сообщения протокола Kerberos, а также после того, как я протестировал «стандартный клиент» Kerberos в Windows — набор функций SSPI. Я научился тестировать произвольные конфигурации сервисов при всех возможных видах делегирования. Я нашёл способ, как выполнять пре‑аутентификацию в Windows как с применением имени пользователя и пароля, так и с помощью PKINIT. Я также сделал библиотеку, которая умещает «стандартный» код для запроса к SSPI в 3–5 строк вместо, скажем, 50-ти.

Хотя в названии статьи фигурирует «простыми словами» однако эта статья предполагает, что читатель уже имеет какое‑то представление о Kerberos.

Мы в Postuf большие поклонники франшизы Watch Dogs - приключенческой видеоигры, в которой главный герой в лице Эйдена Пирса, имея доступ к вымышленной системе ctOS, способен проворачивать со своего смартфона разные хакерские трюки. Однажды нам стало интересно, возможно ли в реальной жизни повторить трюк звонка на телефоны находящихся рядом людей.

• Убраны пальцы ног. Отдельные пальцы только тратили излишние ресурсы, теперь ступня просто заканчивается второй пяткой меньшего размера. Форма второй пятки примерно совпадает с формой пальцев прошлой версии для совместимости с обувью. В некоторых азиатских и греческих локалях, увы, ряд сандалий будет несовместим с новой версией. Пользователи этих локалей могли прочесть уведомления о необходимости обновить обувь за 2 недели до релиза в подразделе 14.22 оферты на нашем официальном сайте.
• Исправлена ошибка в 6-й жаберной дуге, возвратный гортанный нерв больше не возвратный. В новой стабильной версии это прямой гортанный нерв.
• RBP v1.0: добавлена возможность для разработчиков обращаться к нервной системе по API.

Всегда хотел взломать Хабр. Мечта такая, но как-то руки не доходили. И вот, вдохновившись статьей о праведном взломе через iframe src , я, как и автор поста @Maxchagin, решил исследовать функционал Хабра на предмет уязвимостей.

Начать решил с нового редактора, рассуждая следующим образом: раз он новый, то и уязвимости там точно должны быть.

Привет, друзья!

Сначала три абзаца с предысторией:

1. С самого запуска Хабра на нём появились правила, многие пункты которых неизменны до сих пор. Одно из них звучит так: «Хабр не для политики». Кто-то улыбнётся и напишет грубое «так она давно уже не работает у вас, вы где были, алло?!», а кто-то тут же добавит «если игнорировать политику, то она займётся тобой». А ещё через 10 минут пользователи начнут на эмоциях оскорблять друг друга, минусовать и вешать ярлыки, обобщать и искать идеологических врагов между строк комментариев. Увы, некоторые пользователи способны устроить подобную дискуссию в любом посте вне зависимости от его темы.

2. Любые политические и околополитические дискуссии приводят к тому, что пользователи как носители разных взглядов ссорятся между собой. Они забывают про правила сайта, не видят предупреждающего информера перед комментариями, иногда игнорируют личные обращения модераторов. В итоге приходится переводить их в режим ReadOnly, хотя в профильных дискуссиях они могли бы быть по-настоящему полезными. Поэтому давайте уважать друг друга, а также правила и концепцию Хабра.

3. Внутри Хабра своё предназначение мы видим как раз в объединении людей, увлечённых IT и всем, что связано с IT. Мы не хотим, чтобы кто-то использовал Хабр как рупор для провокации наших же пользователей, даже если новости IT-мира уходят на второй план на фоне новостей мирового масштаба. Наоборот — чем больше в мире разобщённости, тем важнее нам сохранять сплочённость внутри сообщества.

Теперь три абзаца о ситуации вокруг и нашем отношении к ней.

Налоговая отдаёт данные ЕГРЮЛ  по организации в виде PDF. Посредники за автоматический доступ по API хотят денег. На многих сайтах часть данных закрыто, часть функций недоступны бесплатно, и полно рекламы. 

Особенно интересно, что на некоторых сайтах предоставляющих данные по API имеется логотип Сколково. Это такой высокотехнологический бизнес, наверное, открытые данные продавать.

Налоговая просит 150 000 рублей в год за доступ к данным ЕГРЮЛ в виде сваленных в архивы XML-файлов. У ФНС классный бизнес. Вы проявляйте должную осмотрительность при выборе поставщиков, но доступ к данным за деньги. Если вы хотите получить доступ и к реестру индивидуальных предпринимателей (ЕГРИП), то платите ещё 150 000 рублей в год. Согласитесь 300 000 рублей в год приличная сумма.

Остальные реестры данных у налоговой доступны бесплатно. Однако, без базы ЕГРЮЛ их вряд ли можно использовать. Самая частая операция в бизнесе подставить реквизиты из ЕГРЮЛ по ИНН.

Сформировалась целая отрасль, можно сказать, торговцев воздухом открытыми данными, создающих ВВП из воздуха как бухгалтеры, работающие руками там, где должны работать программы. Сколько компаний платит налоговой по 300 000р. в год?! Сколько программистов занято написанием одинаковых по функциям парсеров, которые переводят данные из XML налоговой в SQL и JSON?! Сколько серверов заняты под одинаковые функции?! Где добавочная стоимость? Все вроде при деле, а за чей счёт банкет?

Ну, ладно, “скандалить, критиковать каждый может”(с) как говорил бессмертный товарищ Райкин. “А что ты предлагаешь?” — резонно вы меня спросите. А я вам отвечу.

Syn ack, Хабр!

Наверное, все мы в детстве ждали Нового Года! Некоторые из нас помнят то самое новогоднее настроение и предчувствие праздника, но с возрастом оно куда-то уходит, и праздники превращаются в выходные. Новогоднего чуда не ждешь - просто планируешь, как провести свободное время с пользой для себя и семьи.

В преддверии 2022 года я сидел и не думал о Новом Годе, тем не менее, новогоднее чудо со мной все же случилось - ко мне на работу пришел настоящий Дед Мороз (с бородой)! Только в мешке у него были не подарки, а проблемы, которые он надеялся мне доставить. Сначала, дойдя до моего руководства, он пытался очернить мою репутацию, а затем встретился и со мной - этот Дед Мороз не хотел слушать от меня стихи, он хотел, чтобы я наконец удалил статью, написанную  почти полгода назад. С тех пор её настойчиво просят удалить неизвестные мне личности.

В этой ситуации может оказаться любой из нас, особенно это касается авторов статей на хабре. Давайте разберемся, что же произошло, а самое главное, что же делать в таких ситуациях.

Я проходил технические собеседования на системного аналитика в самых разных компаниях и каждый раз записывал все вопросы. У меня накопилось 120 вопросов. Список вопросов выкладываю в этой статье. Даю гарантию, что, подготовившись по этим вопросам, вы будете успешно проходить технические собеседования в большинстве, если не во всех, it-компаниях. Почему? Потому что большинство вопросов повторяются от собеседования к собеседованию. Очень высока вероятность того, что вопросы, которые вам будут задавать, будут из этого списка.

CVE-2021-0146, идентификатор уязвимости, возникающей при использовании функции отладки с чрезмерными привилегиями, в результате чего злоумышленники могут читать зашифрованные файлы.

Уязвимость в безопасности чипов Intel открывает возможности для доступа к зашифрованным файлам и шпионажа, а также обхода защиты авторских прав на цифровой контент.

С каждым годом мы всё чаще и чаще сталкиваемся с различными банами в Интернете. С каждым годом, единая общемировая сеть распадается на отдельные части и всё труднее и труднее попасть из одной в другую. В этой ситуации будет полезно понимать то как работают пресловутые "баны по IP", зачем они вообще нужны и как с ними бороться.

СОДЕРЖАНИЕ: Бан города / Бан e-mail / Бан страны / Бан части света / Бан всех кроме себя / Бан хитрых / Бан умелых / Бан как сервис / Бан как новая нормальность

Вы находитесь в благоустроенном коридоре, похожем на тоннель.

На востоке расположена круглая зелёная дверь.

Вы видите:

    Деревянный сундук.

    Гэндальфа. У Гэндальфа странная карта.

    Торина.

Гэндальф отдаёт вам странную карту.

Торин ждёт.

Всем привет. Решил с вами поделиться опытом, чтобы никто из вас не попал в подобную ситуацию и вместе с тем спросить совета специалистов по безопасности. 

С кем не знаком - я предприниматель. Один из моих проектов - компания PRO-EXPERT: производитель беспроводных пылесосов. Бизнес ведем открыто и честно. Но, как оказалось, не все делают также.

Два года назад мы выпустили первую нашу модель - беспроводной пылесос PRO-EXPERT V9. Через год мы выпустили две наших новых модели - PRO-EXPERT V8 и PRO-EXPERT Aqua.

И вот тут мы кому-то перешли дорогу с нашим моющим пылесосом

Буквально через 4 месяца выхода модели нашего моющего пылесоса Aqua V2 мы заметили стремительное падение рейтинга модели

После распада группы «Анонимус» в 2016 году картина угроз стремительно изменялась. Постепенно это движение, делавшее ставку на атаки типа «отказ в обслуживании» (DoS) с использованием простых инструментов с графическим интерфейсом, потеряло лидирующие позиции. Благодаря возможностям новых IoT-ботнетов, таких как Bashlite и Mirai, началась новая эра DDoS-атак, и они стали популярны в качестве услуги.

Несмотря на то, что активисты группы «Анонимус» продолжают свою деятельность, ее цифровой след за последние пять лет значительно уменьшился. Сегодня все еще можно найти учетные записи участников движения в популярных пабликах социальных сетей и на видеоплатформах, распространяющих локальные пропагандистские сообщения, но их значимость несравнима с влиянием прошлых лет. Однако в ходе недавней акции «Анонимуса» эксперты Radware с удивлением выяснили, что члены группы, до сих пор использующие PasteBin и GhostBin (для централизованного размещения оперативной информации), обновили список целей предыдущих лет и рекомендуют выбирать в качестве мишени Memcached и другие объекты, пригодные для атак с лавинообразным умножением данных. При этом они советуют использовать такие устаревшие инструменты DoS-атак, как LOIC, HOIC, ByteDoS и Pyloris, созданные почти 10 лет назад.