В конце лета PayOnline совместно с Microsoft анонсировали выход нового продукта — PayOnline Payment SDK, позволяющего разработчикам мобильных приложений интегрировать прием безналичных платежей в приложения Windows Store и Windows Phone. 12 сентября мы выступили на Windows Camp с презентацией Payment SDK, встретились с разработчиками приложений лицом к лицу и рассказали о самых интересных аспектах реализации приема платежей в приложениях. О том, что такое интернет-эквайринг, написано много и в Интернете, и, в частности, на Хабре (1,2), поэтому повторяться не хочется, перейдем сразу к делу.

Как-то мне стало интересно, сколько же стоят корпоративные блоги на Хабрахабре. Я зашел на эту страницу и перешел по ссылке заказать. Автоматом, вместо ожидаемых данных, ввел вектор для тестирования XSS и получил выполнение JS у себя в браузере. Но это не всё так интересно, как методы защиты на Хабре от последствий XSS.

К нам недавно пришел заказчик и сказал: нужно перевести работу всей компании в «облако». Желательно вчера. В общем, как и все авральные проекты — задача мечты, потому что работы много, а времени нет.

По сути, нужно было с нуля спроектировать архитектуру IT и перенести туда данные сотрудников. Со стороны заказчика — исполнительный-директор и его напарник, около 100 человек пользователей на 4 площадках, с нашей стороны — четыре небольшие рабочие группы. Одна занималась терминальным доступом, вторая — отвечала за почту. Третья занималась инфраструктурой (VPN, сетевое взаимодействие), и четвертая настройкой бэкапа.

Справились за пять календарных дней — за среду провели полный аудит ИТ-инфраструктуры компании Таврос, разработали основные архитектурные решения и выбрали технические средства для их реализации. Следующие 2 дня специалисты КРОК активно работали над развертыванием соответствующей требованиям заказчика инфраструктуры. В субботу и воскресенье допиливали мелочи и тестировали. В понедельник пользователи компании вышли на работу и ничего не заметили, но большинство ИТ-объектов уже были в нашем «облаке».

В этой статье мы дадим рекомендации как за короткий срок освоить cms и написать для неё расширение, модуль или плагин, а также расскажем о результатах и нашем опыте интеграции сервиса Cackle в эти системы. Cтатья может стать руководством для тех, кто собирается делать интеграции сервисов с cms системами или просто создать модуль.

Перед тем как решить с какой cms делать интеграцию стоит собрать статистику по запросам на интеграцию своих пользователей, а также посмотреть на общую статистику по cms на сайтах зоны .RU (http://statonline.ru/metrics/webapp_cms?tld=ru) из которой видно, какие cms имеют самую большую популярность.


Исходя из этой статистики можно полагать, что эффект от встраивания своего модуля в эти cms статистически будет пропорционален их популярности. Так ли это для каждой cms мы узнаем дальше.

Интеграция позволяет удобным образом встраивать сервисы в cms и максимизировать выгоду от его использования. Идеальным решением является установка плагина в несколько кликов. Приемлемым решением может быть мод — инструкция по допиливанию cms, при котором изменяются скрипты cms. Для нашего проекта любая интеграция комментариев Cackle для cms обычно включает следующие пункты:

— Cинхронизация комментариев с сервиса Cackle в локальную БД каждые 5 минут
— Отображение html для SEO
— Экспорт существующих на сайте комментариев в Cackle
— Возможность ресинхронизации(повторное копирование комментариев в локальную БД)
— SSO (авторизация своих пользователей)
— Счётчик комментариев на главной странице
— Виджет последних комментариев

Все эти требования к модулю включают реализацию таймера, получение комментариев запросом через API, сохранение в БД, отображение js виджета в шаблонах cms на определенных страницах и админку для ввода ключей API, и других настроек.

Мы сделали интеграции нашего сервиса комментариев Cackle в следующие cms системы:
Wordpress, Drupal, DLE, InstantCms, Joomla, Bitrix.

Теперь хронологическом порядке опишем наш опыт по интеграции для каждой cms.

Хабравчане, здравствуйте. На днях по роду своей профессиональной деятельности я столкнулась с проблемой, которая практически не освещена в рунете. Речь идет об изменениях в американском «Законе о защите конфиденциальности детей в Интернете» (Children's Online Privacy Protection Act или COPPA), которые затрагивают в том числе и иностранных операторов веб сайтов, в особенности игровых, если оные посещаются юзерами из США.

What is COPPA

COPPA — вещь не новая. Этот федеральный закон вступил в силу в 2000 году и применяется к сбору персональной информации от детей младше 13 лет. Согласно его основным положениям, операторы веб сайтов и интернет сервисов не имеют права запрашивать и хранить личные данные детей без получения официального согласия их родителей или опекунов. Несмотря на то, что законодательством предусмотрено несколько способов испросить согласия, большинство сайтов (например, Facebook, Twitter и Google+) предпочитают попросту блокировать доступ пользователям, не достигшим 13 лет.

В июле 2013 года закон ужесточили. Что произошло? Было расширено определение термина «персональная информация». Теперь сюда входят:

• ФИО;
• Контактные данные, включая адрес проживания, номер телефона, E-Mail, номер ICQ или Skype и тп.
• Ник пользователя, виртуальное имя
• Номер социального страхования
• Фото и видео ребенка, запись его голоса
• АХТУНГ: номер cookie, IP-адрес, номер процессора или серийный номер устройства, которое осуществляет доступ в сеть
• Информация о геолокации

Should I care?

Действие COPPA распространяется не только на местные компании, но и на операторов иностранных сайтов, если они ведут дела с США и привлекают американских пользователей. Под удар попадают, например, мобильные приложения, игровые платформы, плагины, рекламные сети.

При этом Федеральная торговая комиссия (FTC), отвечающая за надзор за исполнением закона, делает различия между сайтами, направленными на детей, и сайтами с «широкой аудиторией». Последние должны следовать COPPA лишь случае, когда им известно, что определенной доле их посетителей не исполнилось 13 лет.

Ирония заключается в том, что целевая аудитория сайта или мобильного приложения для FTC значения не имеет. Важно лишь то, кто на самом деле этот сайт посещает, и какие данные о посетителях сайтом фиксируются.

Доброго дня.

Я работаю в компании, которая озвучивает компьютерные игры. Хочу продолжить свой рассказ о создании авторской озвучки для игры World of Tanks. Чтобы было понятнее о чем речь, и откуда что берется, сначала рекомендую ознакомиться с моим предыдущим постом на эту тему.



Поборов восковые валики, то есть записав альтернативное озвучание для World of Tanks, которые стало быстро набирать популярность среди игроков, я стал думать, чтобы сделать еще такого этакого.

Да, кстати.

Официальная реакция

Мне постоянно задают примерно один и тот же вопрос.

Интернет уже не тот, что прежде — кругом враги. Тема обнаружения непосредственного заражения сайта и поиска вредоносных/зараженных скриптов на взломанном сайте рассмотрена слабо, попробуем это исправить.
Итак, представляем вашему вниманию Linux Malware Detect.

Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.

После скандала с PRISM вопрос безопасности данных стал еще актуальней чем был, и даже если вы не секретный агент, то ваша личная переписка, должна соответствовать своему названию, и по умолчанию должна быть закрыта от доступа третьих лиц. Взяв это за аксиому это принцип, я занялся разработкой дополнений для браузеров для работы с популярной в странах СНГ социальной сетью вконтакте методом AES.

Для начала поздравляем с Днем Программиста всех жителей Хабры!
Мы долго думали: что бы такого полезного и интересного подарить людям, которые предпочитают слову дело? Думали-думали и придумали: теперь в вашем резюме за вас будет говорить GitHub!

Сложно себе представить, как бы выглядел сегодня мир, если бы передача информации посредством радиосигналов не была изобретена. К счастью для нас, развитие цивилизации пошло иным образом, и на сегодняшний день мы имеем не поддающееся исчислению количество информации, витающей в эфире. Большое разнообразие бытовой и промышленной радиоаппаратуры, реализующей различные протоколы взаимодействия, огромные информационные системы, в основе которых лежит обмен информацией по радиоканалам. Определенный интерес порой представляет из себя, как же организовано это невидимое глазу общение и обмен данными.

Взглянем на пару любопытных доступных инструментов для работы с радио.

Доброго дня.

Я работаю в студии, которая занимается озвучанием компьютерных игр. Хочу рассказать о том, как мы работали над озвучанием World of Tanks.



Конечно, многие любят рубать в WoT, я и сам потратил там немало времени и денег покупая новые танки и премиум снаряды. Игра классная, спору нет.

Но гоняя на своих танках, самоходках и САУ я всегда задавался одним вопросом.

И наверняка многие из вас задавали себе такой же вопрос:  "Неужели правда озвучку в World of Tanks записывали вот так?"

От переводчика: Брюс Шнайер — американский криптограф и специалист по информационной безопасности. Среди прочих его статей, которые уже переведены на хабре почему-то отсутствует статья с конкретными рекомендациями о том, как сбежать из под колпака. В связи с этим представляю ее на ваш суд. Надеюсь, она будет кому-то полезна.

Сейчас, когда у нас есть достаточно деталей о том, как АНБ прослушивает интернет, включая сегодняшний слив о том, что АНБ целенаправленно ослабляет криптографические системы, мы можем начать думать, как защитить себя.

Захотелось поделиться с сообществом собственными наблюдениями на тему карьерного роста технаря.

Информация основана на опыте в больших западных конторах, которые делают реальные продукты. Всё изложенное ниже не претендует на абсолютную истину.

Начнем сначала: вы свежий выпускник тех. вуза. Вам 22-23 года, вся жизнь впереди и она прекрасна. В этом прекрасном будущем есть, скорее всего, есть жена-модель, дом – полная чаша, несколько машин, и первый миллион к 30 годам.

Карьера представляется немного смутно, но в целом, понятно: начинаем активно и качественно работать, нас, несомненно, замечают и продвигают. Множество фильмов и книг именно так нам и обещают: много и хорошо работай –> и всё будет хорошо.

Вы устраиваетесь на работу, ваше звание — инженер или разработчик. У вас появляются коллеги. Почти все они старше вас. И тут вы, возможно, заметите, что на таком же уровне, как и вы, есть очень пожилые люди. Прямо 30-40 летние мужики, может даже 50ти летние “стариканы”. И многие из них тоже закончили похожие вузы, и многие совсем не дураки, но как-то не сложилось с карьерным ростом…

Получается хороший вуз, диплом, интеллект, работоспособность, хорошее первое рабочее место – далеко не гарантия того, что вы вырастете в иерархии.

Привет. Мы, наконец, закончили работу над одной интерактивной книгой, и сейчас очень хочется рассказать об одном из самых интересных инструментов, из тех, что мы использовали — о GruntJS.

Немного о проекте

Собственно, делали мы интерактивную книгу одного популярного российского писателя. Книжка написана на JS, шаблонах ECT-JS и LESS. Сборкой, конкатенацией, минификацией и деплоем занимается Grunt, книжка работает на iPad’е под Phonegap.

Технически, мы делали прототип — мы активно изучали и применяли различные технологии. С чем-то получилось круто, с чем-то не очень. Как бы то ни было, книга работает, и ее даже можно скачать в App Store.

Думаю, что этого достаточно. Теперь можно перейти к GruntJS…

Предисловие

Печально видеть, что статьи о предупреждении или предотвращении вторжений на хабре столь непопулярны.
Курс молодого бойца: защищаемся маршрутизатором. Продолжение: IPS — 5 плюсов.
SNORT как сервисная IPS — 25 плюсов.
OSSEC: Большой Брат наблюдает за тобой — 13 плюсов.
Однако, огромной популярностью пользуются статьи по разбору последствий проникновения. Попробую вбросить очередную популяризацию информационной безопасности.

Описание Suricata

Система предотвращения вторжений (англ. Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.
wiki

Suricata — open source IPS/IDS система. Основана разработчиками, которые трудились над IPS версией Snort. Основное отличие Suricata от Snort — возможность использования GPU в режиме IDS, более продвинутая система IPS, многозадачность, как следствие высокая производительность, позволяющая обрабатывать трафик до 10Gbit на обычном оборудовании, и многое другое, в том числе полная поддержка формата правил Snort. Лучше почитать обо всём на официальном сайте. Cегодня погорим об IPS.

Привет, Хабр!

В рамках нашего спецпроекта с NetCat для веб-студий и агентств мы подготовили большой материал по финансовой модели студии с кучей KPI, разработали реальный образец — и предлагаем обсудить его. Это эксклюзивный материал, ранее я не публиковал нигде этого шаблона и не выступал по данной теме.

Я не претендую на то, что изложенный ниже подход — единственно верный и является «серебряной пулей». Конечно, есть много других вариантов организации модели, но большинство компаний держат свой формат в строжайшем секрете. Подобную общую организацию бизнес-плана лично я использую и для всех своих проектов в боевых условиях — конечно, с другими KPI и формулами, детализацией и пр.

Вводная

Данный бизнес-план, несмотря на то, что он выглядит довольно сложно, на самом деле, является очень упрощенной моделью. Мы сделали ряд допущений и упрощений, чтобы показать в простом виде, как зависят друг от друга основные значения. «Боевые» финансовые модели реальных агентств, конечно, еще более сложны.

Надеюсь, что вы постараетесь «поиграть» со значениями – изменяя константы и показатели, которые подаются на вход «руками» — и посмотрите, как меняется динамика развития компании.

Хотим «phpMyAdmin» (читай web GUI) для ноды

Отсутствие универсальных веб-интерфейсов для управления распространенными СУБД, несколько усложняет освоение Node.js, а разворачивать рядом другой веб-сервер и другой язык с инфраструктурой, ой как не хочется. Открывать порты и управлять базами, подключаясь с другого сервера или со своего рабочего компьютера — это и неудобно и есть соображения безопасности. Поэтому мы решили включить такой инструмент в платформу для веб-приложений Impress, которую анонсировали, о которой я немного писал и которая доступна в открытом коде для всеобщей пользы. Задумка такая: реализовать простой и удобный унифицированный интерфейс для СУБД, которые чаще всего применяются в связке с Node.js, позаботиться о быстром развертывании (просто скопировать папку) и независимости от среды. В бета-версии уже поддерживаются MySQL, MongoDB и в скором времени очередь дойдет до PostgreSQL и Oracle.

.
#1 linuxgizmos.com/raspberry-pi-fedora-becomes-pidora
#2 arstechnica.com/information-technology/2013/05/fedora-is-back-on-raspberry-pi-with-remix-optimized-for-armv6
#3 lenta.ru/news/2013/05/23/pidora Лента.ру подоспела.

Все официально. Трагикомедия.

Доброго времени суток, хабр!

В этой статье я расскажу о том, как я создавал искусственный интеллект для игры Эрудит. Подробности под катом.

Долгое время я скептически относился к идее размещения серверов где-либо еще, кроме Нидерландов. Так как зачем? В Нидерландах отличная связность, пожалуй, лучшая в мире, лояльное законодательство, ну и наиболее приятные цены на аренду выделенных серверов в одном из наиболее надежных Дата-Центров, что пожалуй — самое важное. Тем не менее некоторые клиенты упорно требовали второй локации, желательно в другой стране, также встречались обладатели редкостной паранойи, а у некоторых аудитория была направлена на американский континент и прямой связности на США им было мало, встречались уникумы, которые просто думали, что в США лучше, почему лучше — они сами не знали…



В июле, окончательно «умирая» от скуки и летней прохлады, мы все же подумали, а не расширить ли нам присутствие в сети Интернет, добавив новую надежную локацию, тем более Jay Devinе, один из главных менеджеров в США, вот уже более полугода агитировал посетить COPT DC-6-EvoSwitch/LeaseWeb (Manassas), не прекращая тщетные попытки в стиле «ну закажите хоть что-то, нам тоже нужны клиенты».