От переводчика: Брюс Шнайер — американский криптограф и специалист по информационной безопасности. Среди прочих его статей, которые уже переведены на хабре почему-то отсутствует статья с конкретными рекомендациями о том, как сбежать из под колпака. В связи с этим представляю ее на ваш суд. Надеюсь, она будет кому-то полезна.

Сейчас, когда у нас есть достаточно деталей о том, как АНБ прослушивает интернет, включая сегодняшний слив о том, что АНБ целенаправленно ослабляет криптографические системы, мы можем начать думать, как защитить себя.

UPD: Владельцы лаборатории — Инвитро — теперь есть на Хабре. Занёс в их корпоративный блог. С вопросами можно обращаться к ним напрямую.


Это из новой лаборатории 3D-печати органов. Спереди внушительный микроскоп, дальше видно двух медицинских инженеров за AutoCAD – делают макет площадки для формирования тканевых сфероидов.

Тут недавно открылась лаборатория 3D-биопринтинга органов (проект Инвитро). Вокруг неё творится какая-то лютая феерия непонимания того, что именно делается. В общем, хоть я и не микробиолог, но мне стало интересно. Я пробился до разработчика — В.А. Миронова. Именно он изобрёл технологию печати органов и запатентовал это в США, участвовал в разработке уже трех модификаций биопринтеров, и именно он «главный по науке» в новой лаборатории в Москве:


В.А. Миронов (M.D., Ph.D., профессор с 20-летним опытом в микробиологии, в частности, на границе с IT) — в процессе полуторачасового объяснения мне сути технологии изрисовал кучу бумаги.

В двух словах о печати он рассказать не смог, потому что сначала надо понять некоторую историю вопроса. Например, почему пришлось отбросить светлую идею растить эмбриона без головы в суррогатной матери, а затем вынимать из него почку и помещать её в биораставор для ускоренного созревания.

А пока главное. Не торопитесь пить всё что горит: до новой печени ещё очень далеко. Поехали.

В статье собраны всем известные методы и предельно извращенные. Эту статью я решил написать после недавнего прочтения поста в блоге Badass JavaScript и решил её дополнить своими находками.

Первый способ

Он всем известен — обфускация минимизаторами такими как JS Packer, JSmin, YUI Compressor, Closure compiler или можно просто пугуглить «JavaScript Obfuscator» и найдется ещё сто штук разных обфускаторов.
Они превращают существующий код

function MyClass(){
    this.foo = function(argument1, argument2){
        var addedArgs = parseInt(argument1)+parseInt(argument2);
        return addedArgs;
    }
    var anonymousInnerFunction = function(){
        // do stuff here!
    }
}

В какой-то такой вид:

function MyClass(){this.foo=function(c,b){var d=parseInt(c)+parseInt(b);return d};var a=function(){}};

Или такой:

var _0xd799=["\x66\x6F\x6F"];function MyClass(){this[_0xd799[0]]=function (_0xefcax2,_0xefcax3){var _0xefcax4=parseInt(_0xefcax2)+parseInt(_0xefcax3);return _0xefcax4;} ;var _0xefcax5=function (){} ;} ;

Или вот такой:

eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('4 0="3 5!";9 2(1){6(1+"\\7"+0)}2("8");',10,10,'a|msg|MsgBox|Hello|var|World|alert|n|OK|function'.split('|'),0,{}))

Но ничего не стоит его восстановить с помощью jsbeautifier.org либо просто убрать eval и получить исходный код, многое потеряем, но смысл кода восстановим. Ну и с первого взгляда мы видим, что перед нами JavaScript.

Все это были цветочки под катом жесткие методы обфускации.

Не так давно попалась мне на глаза великолепная юмористическая статья про файловую систему, хранящую данные в числе Пи. Бурное обсуждение, развернувшееся в комментариях (кажется, не все его участники поняли шутку), натолкнуло меня на мысль, что тему нормальных чисел неплохо бы обсудить более серьёзно, тем более что тема эта благодатна, полна красивых результатов, нерешённых проблем и прочих кошерных вещей. Если желаете с этими вещами ознакомиться — пожалуйте под кат.

Некоторое время назад я проходил собеседование на позицию QA инженера в одной известной российской IT-компании. Мне была предложена задача, свое решение которой с позволения компании я опубликовал в своем блоге. Пост оказался очень популярным, за короткое время набрав несколько тысяч просмотров, и мне показалась светлой мысль продублировать его на Хабре. По правилам Хабра текст публикуется без смайликов.

Итак, задача звучала следующим образом: необходимо описать шаги для всестороннего тестирования простого карандаша с резинкой на одном из концов.

Решение — под катом.

Поскольку карандаши — вообще замечательнейшая и любимая тема, я получил несказанное удовольствие от этого задания. В процессе размышления и поиска информации открыто много нового и интересного, о чем раньше я и не подозревал…

Итак, имеем карандаш:

Мечты эволюционируют. В детстве почти все мечтали о том, чтобы мультики никогда не заканчивались, а игрушки умели разговаривать. Сейчас никто не откажется от кнопки «Бабло». А если мечтатель − сеошник, то он еще, пожалуй, намечтает кнопку «ТОП 1».
Мечты мечтами, но суровая реальность показывает, что легально кнопку «Бабло» еще нажать никому не удалось. В отличие от кнопки «ТОП 1». Сегодня, чтобы вывести сайт в ТОП поисковых систем, достаточно привести его в соответствие со всеми канонами поисковой оптимизации и исправно закупать на него ссылки с хороших ресурсов.
Именно этому и будет посвящен наш блог. Здесь мы будем рассказывать о трендах интернет-маркетинга, публиковать полезные советы от матерых сеошников, выкладывать новости, обзоры, интересные факты и много другой информации, которая, надеемся, поможет начинающим оптимизаторам и заинтересует аксакалов отрасли.

Кто мы такие:
ROOKEE – система автоматизированного продвижения сайтов. Сервис был создан в 2010 году, и совсем недавно, в конце августа, у нас зарегистрировался 200-тысячный пользователь.
Продвижение сайта в ROOKEE полностью автоматизировано. Достаточно ввести адрес сайта в специальной строке, и система сама определит его тематику, проанализирует, укажет на ошибки, которые могут тормозить продвижение, подберет эффективные ключевые слова и стратегию для успешного продвижения.
Рекламная кампания создается в три клика, и как завершающий аккорд остается пополнить баланс любым удобным способом и нажать кнопку «Запустить».
Управление продвижением в системе происходит при помощи интерактивных отчетов по текущим результатам запущенных рекламных кампаний — это отчеты о позициях, посещаемости, купленном и др. Система позволяет экспортировать все данные: позиции сайтов, посещаемость, стоимость и эффективность продвижения, параметры и статусы купленных ссылок, новостей, объявлений и многие другие.
Мы сотрудничаем с девятью крупнейшими брокерами. Это дает вам возможность использовать самую большую ссылочную базу Рунета, которая отобрана с помощью white-листов.
Так же вы можете зарабатывать вместе с сервисом ROOKEE, участвуя в партнерской программе или распространяя свои стратегии продвижения.

Итак, ROOKEE − это:

UEFI

UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.

Для начала, хочу поздравить всех хабровчан с днем программиста!
О чем же писать в этот день, как не об игре, которая позволит воспитать из вашего ребенка юного Стива Джобса или Аду Лавлейс.

Robot Turtles — это игра от программиста из Google Дэна Шапиро.
Она предназначена для детей от трех до восьми лет, и в неё очень легко научиться играть. Ваши детки даже не будут подозревать, что в течение игры они будут строить настоящие алгоритмы и изучать основы программирования.

Вчера волею судеб зарегистрировал QIWI-кошелек на сайте, а через пару часов с небольшим интервалом пришли вот такие интересные смс-сообщения:

В наши дни одним из самых популярных и удобных способов оплаты услуг мобильной связи и интернета являются платежные терминалы, которые окружают нас повсюду. Типичная модель использования терминала подразумевает собой нехитрую последовательность действий в виде выбора пункта оплаты услуги и её оператора, введения номера лицевого счёта, внесения денег и подтверждения самого платежа. Современно, разумно и, самое главное, быстро. Именно на этом и играют их владельцы, собирая номера мобильных телефонов для своих легализованных спам-баз.

8 сентября были первые выборы на которых я работал, причём даже не наблюдателем, а целым ПРГ (член избирательной комиссии с правом решающего голоса). Выборы на моём участке проходили с использованием КОИБов — чудесных таких машинок, которые затрудняют вбросы (пачкой бюллетень туда не засунешь, а по одному не дадут наблюдатели) и выдают результат, распечатанный на бумажке по одному нажатию кнопки. Отличная, в теории, вещь. Но, как знают все, кто следил за результатами выборов, подсчёты результатов с участков, оборудованных КОИБами заняли практически всю ночь после выборов — то есть как в старые добрые времена с ручным пересчётом. Вот почему так произошло и что с этим можно сделать я и хочу рассказать.


Чуро Чудо избирательных технологий

Картинка для привлечения внимания, но относящаяся к теме.
Привет, хабр!
Хотите немного размять свои мозги? «Жили-были древние греки. Хорошо жили, потому что вместо них трудились рабы. И было древним грекам очень скучно: работать не привыкли, заняться нечем. Смастерили лиру для музицирования, придумали театр, геометрию, математику, философию и прочие науки, а развлечений всё равно не хватало.
И тут на помощь страждущим пришёл Зенон Элейский с его так называемыми апориями — парадоксами, предназначенными для изрядной нагрузки на мозги современников.

Современники возрадовались: теперь можно было не просто бездельничать, а долго и упорно размышлять над предложенными парадоксами, которые, к тому же, отчасти оправдывали лень».

В самом деле, если движения не существует в принципе, то зачем зря стараться, куда-либо идти и что-то делать, достаточно просто лежать на травке под акациями и мудрствовать лукаво над тайнами Вселенной.
Заинтересовало? Добро пожаловать под хабракат (привёл несколько ссылок на учебники квант.физики).

Здравствуйте.
На днях, по работе, мне пришлось коснуться вопроса игрофикации на сайте. И я немного призадумался – а что если попробовать применить её к учебному процессу? Речь идет не о повсеместном замещении и пересмотре учебной программе, совсем нет. Мне подумалось о применении игрофикации в учебном процессе отдельно взятых школьников. Скажем наших детей, племянников, двоюродных или родных братьев и сестер. Цель – привлечь и увлечь ребенка учебным процессом и поспособствовать его интересу к получению знаний.

Денис Крючков (deniskin) рассказал Roem.ru о том, что он смог выкупить акции «Тематических медиа» у Mail.Ru Group и теперь сможет управлять компанией единолично. Мы думаем, что это одно из самых эпохальных событий в истории «Хабрахабра» и по такому случаю у Дениса стоит взять интервью



— Привет, позволь тебя поздравить. Как у тебя получилось выкупить долю Mail.ru в «Хабре»? Никто же не будет продавать курицу, несущую золотые яйца
— Спасибо! Да, конечно, для этого пришлось довольно долго искать деньги.

Я, как владелец АнтиЗапрета (сервиса по обходу сайтов, заблокированных Роскомнадзором, Роспотребнадзором и ФСКН), часто просматриваю, откуда этот сайт посещают пользователи. В последнее время, я стал замечать трафик с торрент-трекеров и варез-сайтов. На многих из них есть информация по обходу блокировок в случае, если сайт попадет в реестр или уже в нем находится. Некоторые из сайтов не просто предлагают пользователям использовать прокси, но и что-то делают на своей стороне, продвигая более совершенные и, зачастую, удобные для пользователей технологии в массы.

nnm-club.ru

Один из крупнейших трекеров страны уже давно был полностью (сайт и сам трекер) доступен по IPv6 (стоит сказать, что никто из уполномоченных добавлять сайты в реестр органов не может зайти на IPv6-only сайт, и в реестр попадают только IPv4-адреса), а теперь сделал зеркало в I2P: nnm-club.i2p. Зеркало работает в тестовом режиме, и, в общем-то, работает все. Сейчас трекер переехал на новый адрес nnm-club.me, а на старом висит инструкция по обходу блокировок и все сообщения с форума в теме по обходу блокировок, которые пишут пользователи.

В погоне за новыми альтернативными способами управления техникой (сенсорные экраны, датчики движений, распознавание эмоций), мы почему-то забыли о таком естественном для человека инструменте как голос. И если мы ещё не дошли до того, чтобы привычно отдавать голосовые команды своим девайсам, сейчас мы легко можем надиктовывать списки задач для собственной работы.

Почему-то у нас нет сил сделать всё хорошо сразу, но мы их находим, чтобы потом всё переделать

Мы, фрилансеры, часто говорим по скайпу, но из-за большой загруженности мозга после разговора в памяти остаётся не более трёх вещей. А мы не хотим тратить время на пустые разговоры и тем более на выполнение ненужной работы. Очень обидно обнаружить, что силы и время потрачены на выполнение задач, результаты которых бесполезны. За это время можно было бы сделать действительно профитабельные вещи! Чтобы решить эту проблему, мы создали Eleven — сервис распознавания речи в реальном времени.

Доброго времени суток, хабражители!

Осенью в Санкт-Петербурге пройдет геймерский фестиваль NextCastle Party и сейчас близится к завершению кампания по сбору средств на краудфандинговой платформе Бумстартер. И если сбор денег на разработку игр уже давно стал обыденным явлением, то сбор средств на подобный фестиваль является скорее исключением. Поэтому в данной статье я бы хотел рассказать о том, почему мы решили использовать краудфандинг, какие ошибки мы совершили и какой опыт получили.

Сразу оговорюсь, почему я решил написать эту статью, когда сама кампания еще не закончилась. По нескольким причинам. Во-первых, сама кампания длится 30 дней и после ее окончания, как показывает опыт коллег, количество работы лишь увеличивается, поэтому скорее всего у нас просто не будет времени на анализ. Во-вторых, возможно кому-то из читателей идея нашего фестиваля покажется интересной и он захочет его поддержать. Ну и третья причина самая простая — опыт с пылу с жару гораздо интереснее.

XSS неспроста стоит в верхней части списка опасностей OWASP TOP 10. Любой толковый программист о них знает. Но это не мешает статистике: восемь из десяти веб-приложений имеют XSS-уязвимости. А если вспомнить личный опыт пентестов банков, то более реальной представляется картина «десять из десяти». Кажется, тема изъезжена от и до, однако есть подвид XSS, который по разным причинам потерялся. Это — DOM Based XSS. И как раз о нем я сегодня пишу.

Гонка за объёмом предоставляемого облачного хранилища в Китае явно выходит на новый уровень: китайская компания Tencent предлагает всем зарегистрироваться и получить в итоге в своё распоряжение 10 Тб (терабайт) места на своём сервисе бесплатно. В этом смысле потуги Google или Dropbox действительно выглядят неважно — правда, всегда можно задаться вопросом о надёжности или приватности, хотя в этом смысле у Tencent вроде бы дела идут неплохо: она работает с 1998 года и её акции продаются на Гонконгской бирже…

Не обошлось без некоторых условий, которые, впрочем, действительно не трудно соблюсти — требуется зарегистрироваться с Tencent QQ-аккаунтом (получить его можно здесь) на странице акции и скачать мобильный клиент сервиса — доступны версии для Android и iOS. Сразу после этого в распоряжении пользователя оказывается 1 Тб облачного хранилища, который подходит для любых файлов (такой же объём на Flickr разрешают заполнять только фото и видео).

В дальнейшем по мере исчерпания свободного места сервис будет автоматически его увеличивать, пока верхняя планка не упрётся в заявленные 10 Тб в соответствии с приведённой ниже таблицей:



Насколько можно понять, что web-версии или десктопного клиента для сервиса нет, так что речь идёт именно о мобильном хранилище. Время акции также ограничено.
UPD:
Как подсказывают:

• Есть десктопный клиент под Windows
• API сервиса
• Веб-версия (есть ограничения на закачку одного файла в 300 Мб, оно снимается, если позволить установить Webkit-плагин )

Стабильное питание – залог крепкого здоровья. Если применить это правило к работе электроники и оборудования, то за их «здоровье» отвечают источники бесперебойного питания (ИБП). К сожалению, необходимость ИБП до сих пор не всем очевидна. Вот один из распространенных мифов: от скачков напряжения защитит и обычный сетевой фильтр. Возможно, но тогда параметры такого скачка тогда должны находиться в весьма узком диапазоне. В жизни это далеко не так, а контролировать диапазон с помощью фильтра и вовсе не представляется возможным.

А если мы говорим про перебои в электроснабжении? В таких случаях фильтр вообще беспомощен. ИБП защищает технику от скачков напряжения и вызванных ими отказов оборудования, обеспечивая надежность и стабильность работы электроники. И главное: бережёт карманы – вышедшее вследствие скачков в электросети оборудование, как правило, теряет гарантию. Поэтому хороший источник бесперебойного питания должен предоставлять достойный уровень защиты от сюрпризов российской электрической сети. Важность этого осознаёт всё больше частных пользователей и почти поголовно – бизнес. Но вот вопрос: какой ИБП выбрать?