• Telegram Site Helper 2.0 — чат помощник для сайта на основе Telegram



      Здравствуйте. Меня зовут Андрей.
      Летом прошлого года я опубликовал проект и статью "Чат-помощник на сайт с помощью Telegram за 15 минут". Идея проекта заключалась в том, чтобы реализовать на сайте всплывающий Чат-помощник, бэкэндом для которого (для чата) был бы набирающий популярность мессенджер Telegram.

      На удивление проект довольно быстро стал набирать звезды на GitHub, а я — получать письма благодарности и просьбы о помощи в настройке от людей со всего света. Люди не могли запустить скрипт на своих хостингах: то set_time_limit(0) не поддерживается, то 503 ошибка, то пути не правильно указаны.
      Вторая версия скрипта устанавливается намного проще и работает на основе WebHooks.
      Читать дальше →
    • Полезный обзор. 28 книг, которые повлияли на мое мышление, вдохновили или сделали лучше



      Я не люблю читать книжные рейтинги по двум причинам. Во-первых, чаще всего они представляют собой список книг, отобранных неведомым автором по неведомым критериям. Во-вторых, описания книг больше напоминают рекламные тексты издательств, которым сложно верить.

      Из-за этого большинство подобных материалов мало полезны, несмотря на то, что могут содержать толковые книги. Мне давно хотелось написать полезный обзор, который не станет навязывать определенные материалы, а позволит читателю выбрать наиболее подходящие.
      Читать дальше →
    • Блочное системное шифрование Windows Linux установленных систем. Зашифрованная мультизагрузка. Защита и атака на GRUB2



      Ковбойская стратегия:


      [A] блочное системное шифрование Windows 7 установленной системы;
      [B] блочное системное шифрование GNU/Linux (Debian) установленной системы (включая /boot);
      [C] настройка GRUB2, защита загрузчика цифровой подписью, защита аутентификацией;
      [D] зачистка — уничтожение нешифрованных данных;
      [E] универсальное резервное копирование зашифрованных ОС;
      [F] атака <на п.[C]> на загрузчик GRUB2;
      [G] полезная документация.

      ╭───Схема #комнаты 40# <BIOS/MBR/1HDD без lvm>:
      ├──╼ шифрование не скрытое;
      ├──╼ Windows 7 установленная — шифрование полное системное;
      ├──╼ GNU/Linux установленная (Debian и производные дистрибутивы) — шифрование полное системное (/, включая /boot; swap);
      ├──╼ независимые загрузчики: загрузчик VeraCrypt установлен в MBR, загрузчик GRUB2 установлен в расширенный раздел;
      ├──╼ установка/переустановка ОС не требуется;
      └──╼ используемое криптографическое ПО: VeraCrypt, Cryptsetup, GnuPG, Seahorse, GRUB2 – свободное/бесплатное.
      Читать дальше →
      • +10
      • 8.8k
      • 6
    • Настройка BGP для обхода блокировок, версия 2, «не думать»

      • Tutorial

      Перечитал я трезвым взглядом свой предыдущий пост и понял, что новичкам через все эти нагромождения апдейтов и обсуждений в комментариях (которые местами были даже полезнее, чем сам пост) продираться будет затруднительно.


      Поэтому здесь я приведу сжатую пошаговую инструкцию, как обходить блокировки, если у вас есть:


      • линукс-машина (ubuntu) вне поля блокировок;
      • роутер Mikrotik, на который вы уже подняли VPN-туннель до этой линукс-машины;
      • настроенный NAT на этом туннеле, позволяющий вам работать через него;
      • желание.

      Если у вас нет чего-то из этого или у вас есть что-то другое или вы хотите узнать, почему так, а не иначе — добро пожаловать в предыдущий пост, где это всё описано более-менее подробно. Имейте в виду, что схемы включения и настройки в этом посте немного отличаются для упрощения решения.


      Те, кто уже всё сделал по мотивам предыдущего поста, в этом полезной информации не почерпнут.

      Читать дальше →
    • Настройка BGP для обхода блокировок, или «Как я перестал бояться и полюбил РКН»

      Ну ладно, про «полюбил» — это преувеличение. Скорее «смог сосуществовать с».


      Как вы все знаете, с 16 апреля 2018 года Роскомнадзор крайне широкими мазками блокирует доступ к ресурсам в сети, добавляя в "Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено" (по тексту — просто реестр) по /10 иногда. В результате граждане Российской Федерации и бизнес страдают, потеряв доступ к необходимым им совершенно легальным ресурсам.


      После того, как в комментариях к одной из статей на Хабре я сказал, что готов помочь пострадавшим с настройкой схемы обхода, ко мне обратились несколько человек с просьбой о такой помощи. Когда у них всё заработало, один из них порекомендовал описать методику в статье. Поразмыслив, решил нарушить свое молчание на сайте и попробовать в кои-то веки написать что-то промежуточное между проектом и постом в Facebook, т.е. хабрапост. Результат — перед вами.

      Читать дальше →
    • OpenSSL, ssl_ciphers и nginx: прокачиваем на 100%

      • Tutorial


      Много где написано о том, как получить 100% и A+ по тесту от Qualys. При всём при том практически везде директивы ssl_ciphers и подобные даются как эдакие магические строки, которые нужно просто вставить, и надеяться, что автор не подводит вас под монастырь. Эта статья призвана исправить это недоразумение. По прочтению этой статьи директива ssl_ciphers потеряет для вас всякую магию, а ECDHE и AES будут как друзья да братья.


      Читать дальше →
    • Что в имени тебе моем: как качественно «пробить» человека в сети Интернет?

      Мы постоянно встречаемся в своей жизни с новыми людьми, и стоит констатировать, что помимо хороших друзей нам попадаются мутные товарищи, а иногда и отъявленные мошенники. Любовь наших сограждан оставить свой след в интернете и старания наших ИТ-компаний по автоматизации всего и вся позволяют нам довольно оперативно собирать интересующую информацию о конкретных персонах по открытым источникам. Чтобы это делать быстро и качественно, нам нужно владеть простой методологией разведывательной работы и знать, где и какую информацию о человеке можно добыть в интернете.
      Читать дальше →
    • 5 наиболее перспективных JavaScript фреймворков в 2016-м году

      В этой публикации сделаем обзор пяти наиболее интересных и перспективных JavaScript фреймворков первой половины 2016 года. В обзоре собраны вместе различные типы библиотек, которые предоставляют различный функционал — от создания UI компонентов к изоморфному JavaScript. Это не будет глубокий и детальный технический анализ, скорее это краткое введение в ключевые особенности.

      Ниже список наших фреймворков:

      Теперь, пришло время взглянуть на них поближе.
      Читать дальше →
    • Фишинг на новом уровне: Cloudflare + Protonmail + Unvalidated Redirects – набор юного фишера

        «… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
        Вито Корлеоне

        Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.
        Читать дальше →
      • 18 бесплатных фотостоков, которые спасут вашу рекламу


          image

          Зачем спасать?


          Мы размещаем нативную рекламу на крупных сайтах: РИА Новости, AdMe, Лайфхакере, Drive2.ru и других. И делаем так, чтобы реклама была такой-же полезной, так же хорошо выглядела и так же нравилась пользователям, как статьи на сайте.

           

          Реклама становится единым продуктом с медиа


          Бренды получают более вовлеченных клиентов, а медиа — деньги и положительный UX на сайте.

          Читать дальше →
          • –14
          • 10.1k
          • 6
        • Stepic.org в Telegram: как мы разрабатывали бота и что из этого получилось

            Зимой 2016 года у нас в Stepic.org возникла идея сделать для наших учащихся персонального помощника, поэтому мы позвали студента СПбАУ РАН Константина Чаркина на стажировку, результатом которой видели Telegram-бота. Это потом всё вышло из под контроля и появился набор стикеров и каналы по курсам… Но обо всём по порядку!


            Читать дальше →
          • Уходим из банковской системы. Как жить только на биткоины

            • Translation
            • Tutorial


            Bitcoin интересовал меня с самого начала, но до последнего времени я рассматривал BTC как очень красивый криптографический эксперимент с большим потенциалом, но почти без применения в реальной жизни.

            Несколько лет назад покупка или продажа BTC за фиат («настоящую» валюту вроде долларов, евро, рублей и т.д.) была вообще непростым делом, но сейчас времена изменились, всё стало гораздо проще.

            Поэтому я решил жить только на биткоины, и вот как я пытаюсь реализовать этот план.
            Читать дальше →
          • Чек-листы для Google AdWords и Яндекс.Директ и ещё пара секретов

              Вот уж никогда не думали, что будем подробно писать о контекстной рекламе в своём блоге! Однако совершенно недавно в нашей системе для web-студий Ptysh появился тип задач «Контекстная реклама» и мы решили выяснить, насколько она популярна. Ещё как популярна! Но. Многие представители российского бизнеса избегают контекст, а некоторые и вовсе разочаровываются в онлайн-рекламе после пары не слишком удачных заходов. Мы смело заявляем: он эффективная, вы просто не умеете её готовить! Сейчас мы вместе с коллегами из DFAKTOR, попробуем дать несколько простых рецептов.
              Читать дальше →
            • Поймай его, если можешь — шесть способов «захватить» клиента на сайте

                Конкуренция за платежеспособных клиентов обостряется. Уже не достаточно сделать красивый дизайн и продающие тексты. Нужно нечто большее, что остановит поиски других предложений. Мы расскажем об инструментах, которые помогают «захватить» посетителя сайта и убедить клиента, что с этой компанией ему по пути.


                Читать дальше →
              • Инструкция по оформлению ООО с одним учредителем

                • Tutorial


                Введение

                Всем привет! Сразу скажу, статья не рекламная. Я просто хочу поделиться опытом!
                Решил я организовать свой бизнес — региональное интернет-агентство. Сразу же встал вопрос об официальном оформлении своей деятельности. После недолгих раздумий и взвешивания всех «за» и «против», было решено регистрировать ООО.
                Но как его регистрировать? Воспользоваться услугами компании по регистрации юридических лиц, или все-таки сделать все самому?
                Услуга регистрации юридического лица «под ключ» в г. Челябинске стоит порядка 8-10 тысяч рублей, плюс расходы на оплату госпошлины. На начальном этапе бизнеса это весомые расходы, поэтому я решил что справлюсь сам.
                Читать дальше →
              • Сервисы для проверки навыков тестирования на проникновение



                  В прошлом топике я опубликовал обзор дистрибутива PentestBox со ссылками и описанием входящих в него утилит. Надеюсь вам хватило времени ознакомиться с ними и изучить функционал. Сегодня я предлагаю вам несколько сервисов для тестирования своих навыков на практике. Это специализированные сервисы, абсолютно легальные и позволяющие всем желающим проверить свои знания и умения.
                  Читать дальше →
                  • +27
                  • 61.1k
                  • 3
                • Конкурс MiTM Mobile: как ломали мобильную связь на PHDays V



                    Хотя мы не раз публиковали исследования о возможностях прослушки мобильной связи, перехвата SMS, подмены абонентов и взлома SIM-карт, для многих читателей эти истории всё равно относятся к области некой сложной магии, которой владеют только спецслужбы. Конкурс MiTM Mobile, впервые проводившийся в этом году на PHDays, позволил любому участнику конференции убедиться, насколько легко можно проделать все вышеописанные атаки, имея в руках лишь телефон на 300 рублей с набором бесплатных хакерских программ.
                    Читать дальше →
                  • Arduino + ESP8266 с нуля на примере Wi-Fi термометра, часть первая

                      Часть 1. Подготовка ESP8266

                      Зачем эта статья? На хабре уже есть ряд статей про использование ESP в разных конфигурациях, но почему-то без подробностей о том, как именно все подключается, прошивается и программируется. Типа «я взял ESP, две пальчиковые батарейки, DHT22, закинул в коробку, потряс часик и термометр готов!». В итоге, получается странно: те, кто уже работают с ESP не видят в сделанном ничего необычного, а те, кто хочет научиться — не понимают с чего начать. Поэтому, я решил написать подробную статью о том, как подключается и прошивается ESP, как его связать с Arduino и внешним миром и какие проблемы мне попадались на этом пути. Ссылки на Aliexpress привожу лишь для представления порядка цен и внешнего вида компонентов.

                      Итак, у меня было два микроконтроллера, семь разных сенсоров, пять источников питания, температурный датчик DHT22 и целое множество проводков всех сортов и расцветок, а так же бессчетное количество сопротивлений, конденсаторов и диодов. Не то, чтобы все это было необходимо для термометра, но если уж начал заниматься микроэлектроникой, то становится трудно остановиться.


                      Читать дальше →
                    • Созданы дрожжи, которые синтезируют морфин из глюкозы


                        Обычную домашнюю пивоварню можно приспособить для варки морфина

                        Каждый год тысячи участников со всего мира принимают участие в конкурсе по синтетической биологии, который проводит организация International Genetically Engineered Machine (iGEM).

                        В ноябре прошлого года на конкурсе всплыла сомнительная история, породившая дискуссию о рисках безопасности. Специальный агент ФБР Эдвард Ю (Edward You) представил доклад об использовании генетически модифицированных дрожжей (Saccharomyces cerevisiae) для производства морфина из глюкозы. Он не сообщил подробностей, как конкретно сделать такой грибок и как его использовать, но к настоящему моменту опубликовано несколько научных работ, где весь процесс объясняется в подробностях. Гипотетический сценарий Эдварда Ю воплотился в жизнь.
                        Читать дальше →