Сезон отпусков начнётся в ближайшие недели. Продажи всевозможных гаджетов, полезных в путешествиях, неуклонно растут. Фотоаппараты, планшеты, смартфоны, ридеры, плееры закупаются в предвкушении моря, пляжей, исторических достопримечательностей, джунглей, гор и множества других прекрасных мест на нашей планете. Но при этом многие счастливые обладатели планшетов и смартфонов упускают такой немаловажный момент, как полезные и удобные приложения, способные существенно облегчить, или украсить, или дополнить новыми впечатлениями ваш отпуск. Поэтому мы решили предложить вашему вниманию подборку ряда приложения для путешественников.

Мы в Яндекс.Почте совместно с командой Nginx провели исследование, чтобы на живом примере с подробностями расставить точки над «ё» в вопросе о том, насколько и за счет чего SPDY ускоряет интернет.

Про сам SPDY вы, конечно, знаете. В 2011 году несколько разработчиков компании Google опубликовали черновик нового протокола, призванного стать заменой привычному HTTP. Его основные отличия заключались в мультиплексировании ответов, сжатии заголовков и приоритизации трафика. Первые несколько версий были не вполне удачными, но к 2012 году спецификация устоялась, появились первые альтернативные (не из Google) реализации, доля поддержки в браузерах достигла 80%, вышла стабильная версия nginx с поддержкий SPDY.



Мы поняли, что, судя по всему, протокол из многообещающей перспективы превращается в хорошее отлаженное решение и начали полноценный цикл работ по внедрению. Начали, естественно, с тестирования. Очень хотелось без него поверить в дифирамбы, опубликованные в блогосфере, но этого в проектах с миллионами пользователей делать нельзя. Мы должны были получить подтверждение, что SPDY действительно даёт ускоряющий эффект.

Есть много интересных исследований вокруг SPDY, в том числе самого Google. Компания-автор протокола показывала, что в их случае SPDY ускоряет загрузку на 40%. Исследование протокола SPDY проводила и компания Opera. Но ни методик подсчета, ни примеров страниц, на которых были достигнуты столь впечатляющие результаты, в этих исследованиях не было.

Ещё зимой Центральный банк РФ озвучил своё мнение насчёт Bitcoin, назвав криптовалюту «денежным суррогатом». Вслед за ним Генпрокуратура РФ устроила заседание и решила «провести ряд мероприятий». На этой волне закрылись некоторые сервисы, некоторые перестали принимать Bitcoin к оплате, а некоторые Bitcoin-биржи перестали принимать депозиты в рублях.

Прошло время, кто-то уже успел расслабиться. Тем временем, прокуратура и правда начала проводить «мероприятия». Вот какое обращение от прокуратуры вчера получил мой друг, владелец интернет-магазина.

На тему «использование MongoDB вместо memcached» гуглится немало историй успеха. Такое ощущение, что есть широкий класс задач, для которых идея работает неплохо: прежде всего это проекты, где интенсивно используется тэгирование кэша. Но если вы попробуете, то заметите, что в MongoDB не хватает функции удаления из кэша записей, которые читаются реже всего (LRU — Least Recently Used). Как поддерживать размер кэша в разумных рамках? LRU — это, кстати, «конек» memcached; вы можете писать в memcached, не задумываясь о том, что ваш кэш переполнится; но как же быть с MongoDB?

Раздумывая над этим, я написал на Python небольшую утилиту CacheLRUd (выложена на GitHub). Это демон для поддержки LRU-удаления записей в различных СУБД (в первую очередь, конечно, в MongoDB). Ферма таких демонов (по одному на каждой MongoDB-реплике) следит за размером коллекции, периодически удаляя записи, к которым доступ на чтение производится реже всего. Отслеживание фактов чтения той или иной записи кэша происходит децентрализовано (без единой точки отказа) по протоколу, основанному на UDP (почему так? потому что «наивный» вариант — писать из приложения в мастер-базу MongoDB при каждой операции чтения — плохая идея, особенно если мастер-база окажется в другом датацентре). Читайте подробности чуть ниже.

Но зачем?

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

HeartBleed может стать, если уже не стала, самой большой информационной уязвимостью вообще.
По какой-то причине, активность дискуссии в оригинальном топике не очень высока, что вызывает у меня крайне высокую степень удивления.

Что произошло?

1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали HeartBleed.

Насколько она опасна?

Эта уязвимость позволяет читать оперативую память кусками размером до 64КБ. Причем уязвимость двусторонняя, это значит, что не только вы можете читать данные с уязвимого сервера, но и сервер злоумышленника может получить часть вашей оперативной памяти, если вы используете уязвимую версию OpenSSL.

Злоумышленник может подключиться к, предположим, уязвимому интернет-банку, получить приватный SSL-ключ из оперативной памяти и выполнить MITM-атаку на вас, а ваш браузер будет вести себя так, будто бы ничего и не произошло, ведь сертификат-то верный. Или просто может получить ваш логин и пароль.

Каков масштаб трагедии?

По моим оценкам, примерно ⅔ вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ⅓ из них были уязвимы до сегодняшнего дня.

Уязвимость была/есть, как минимум, у:

• 10 банков
• 2 платежных систем
• 8 VPN-провайдеров
• mail.yandex.ru
• mail.yahoo.com

Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа-Клик (интернет-банкинг).

Никого из нас не удивить банкоматом (АТМ). Даже люди старшего поколения мало-помалу привыкли к этому устройству и свою пенсию в состоянии как-то снять. Однако кроме всего прочего — банкомат – это крайне занятная штука с технической и организационной точки зрения. Даже сотрудники банковских учреждений (в т.ч. и связанных с платежными картами) не всегда представляют себе тонкости его работы. В прошлой жизни я достаточно много лет был связан с платежными картами и обслуживанием банкоматов. Мне доводилось и отогревать его феном и выковыривать оттуда по кусочкам мышь кровь кишки, застрявшую в обнимку с купюрами. Даже спалил один из подконтрольных банкоматов. Дважды. Поэтому поделюсь некоторыми, на мой взгляд, интересными техническими нюансами в работе АТМ.

Раз предыдущая статья про банкомат вызвала определённый интерес — то продолжаем банковскую тему. «Пластиковая карта» — обывательское название банковской платежной карты (БПК). Вещь в хозяйстве крайне полезная — ведь её можно прекрасно использовать чтобы ровнять дорожку вырезать из неё отличный медиатор для электрогитары. Но — шутки в сторону — любопытная конкретика…

Облачное хранилище Google Drive сильно снижает цены. Об этом сегодня было объявлено в официальном блоге Google. Теперь 100 гигабайт в облаке обойдутся в 2 доллара в месяц вместо 5, терабайт подешевеет в пять раз — с 50 до 10 долларов в месяц, а цена на 10 и больше терабайт будет начинаться от 100 долларов. 15 гигабайт, как и раньше, можно получить бесплатно.

Описание

Из оборудования для приема спутниковых телеканалов и электродвигателя сделан мобильный прибор, сканирующий с горизонта излучение в диапазоне 10 ГГц. Данные визуализированы, статья с видео-картинками.

Представленный на Mobile World Congress 2014 новый флагманский смартфон Sony вызвал массу обсуждений и сопутствующих им вопросов. Чтобы ответить на них, мы подготовили развернутое превью на основе тестового экземпляра Z2, с которым предлагаем вам немедленно ознакомиться!

UPDATE: Деньги вернулись, подробности внизу.

С QIWI-Кошелька благотворительного проекта «Росузник» злоумышленниками было снято почти пол-миллиона рублей, если точнее 483 тысячи.

Пароль аккаунта был изменен через перехват SMS-сообщения с кодом на смену пароля. На работоспособности проекта это сильно отразиться не должно, сумма, по словам сотрудников, составляет около 5% от общего объема поступлений, в основном работа идет с другими платежными системами. QIWI-кошелек был удобен для жителей регионов, работа с ним будет продолжена после разбора этой истории.

Источник.

Содержание оперативной памяти является очень важной информацией при изучении предыдущих действий с машиной. Оперативная память может содержать как части самих исполняемых процессов, так и части удаленных файлов, пользовательских сессий, криптографических ключей. При современном распространении сложных систем защиты информации, основанных на криптовании восстановление их ключей становиться чуть-ли не одной из основных задач для исследования. В защищенных системах зачастую оперативная память это единственное место где могут сохраниться защитные ключи и другая временная, но очень важная информация.

300000 рублей за 1 гигабайт и 254 руб за минуту разговора могут взять с вас мобильные операторы, несмотря на все ваши безлимитные интернеты и включенные опции дешёвого роуминга, если вы случайно окажетесь в некоторых точках России.



В некоторых местах России есть зоны, где связи вашего оператора нет. В этих местах может автоматически предоставляться связь другого оператора. Это называется «Национальный роуминг» (не путать с внутрисетевым роумингом оператора по России).

Не так давно мы публиковали статистику для размышлений на тему куда же идёт рынок электронных денег РФ (часть1, часть 2).

И 2013-2014 гг. доказали, что всё сказанное, к сожалению, свершилось: банки теряют лицензии и происходит постепенное укрупнение и без того не малых кредитных организаций (чего только стоит продажа Банка Москвы и ТрансКредитБанка, а также закрытие одного из крупнейших процессинговых центров в лице Мастер Банка); ЦБ РФ встал «в стойку» и объявил охоту на криптовалюты, которую подхватила Генпрокуратура РФ; а «классические» электронные деньги постепенно начинают обрастать ненужными «субинститутами» и процедурами, которые навряд ли (с)делают жизнь лучше, а потому – игроки стараются избавиться от собственных же творений (из самых важных, можно упомянуть: Яндекс.Денеги, РБК-money, падение акций Qiwi после одного лишь упоминания об «антитеррористическом пакете», закрытие metabank.ru, но примеров за последние 2-3 года накопилось слишком, чересчур даже, много).

Каждый из приведённых случаев нуждается в тщательном и взвешенном анализе, но сейчас речь пойдёт не об этом: оборот Биткоин незаконен на территории РФ. Так нам сказали. Но на каком основании? Если уйти от логичной полемики «на основании вышеизложенного и прямо поставленного», то запрет на одной политической воле – это давно пройденный и далеко не самый эффективный этап и для публичной власти, и для норм, ею же созданных.

Поэтому всё под хаброкатом – это лишь попытка начать обсуждение важного и по-настоящему ценного вопроса о будущем IT в РФ.

У Яндекс.Денег появились два новых платёжных инструмента:

1. Единое платёжное решение — сервис, позволяющий подключенным к системе магазинам принимать не только Яндекс.Деньги, но и платежи с банковских карт (в том числе Maestro) и наличными.
2. Новые кнопки сбора — с их помощью краудфандеры и благотворители могут собирать деньги на свои проекты не только с наших пользователей, но и с владельцев любых банковских карт (выпущенных в любой стране мира).



Чтобы помочь пользователям разобраться с этими сервисами, 12 и 13 февраля Яндекс.Деньги проводят бесплатные семинары в московском офисе.

Если вы — владелец малого или среднего интернет-бизнеса, или хотите в какой-то момент им заняться, приходите 12 февраля.
Если вы — краудфандер, благотворитель или IT-волонтёр в благотворительном фонде или детском доме, приходите 13 февраля.

Традиционно в нашей стране, да и в остальном мире, когда речь заходит о сохранении заработанных средств, люди в первую очередь думают о том, чтобы обратиться для этого в банк. Во времена стабильности – это вполне разумное решение, но теперь, когда российская банковская система переживает не лучшие времена, имеет смысл подумать о том, как не потерять, и в идеале, приумножить, сбережения альтернативными способами. Например, обратившись к финансовым рынкам.

Добрый день, Хабр!

Сегодня, в рамках серии постов по итогам международной выставки потребительской электроники CES 2014, мы подробнее расскажем о новых цифровых камерах, представленных компанией Samsung, коих насчитывается аж семь штук.



И начнем мы с флагмана этого года — цифровой камеры последнего поколения Samsung NX30. Улучшенная матрица 20,3 Мп APS-C CMOS, функция NX AF System II для более быстрой и точной работы автофокуса, выдержка 1/8000 и функция непрерывной съемки Continuous Shooting (до 9 кадров в секунду) — вот те характеристики, которыми выделяется новая камера.

Сегодня вечером Банк России выпустил пресс-релиз, в котором предостерег всех нас от использования Биткоин и других виртуальных валют:

«Банк России отмечает, что в последнее время в мире получили определенное распространение так называемые „виртуальные валюты“, в частности, Биткойн. По „виртуальным валютам“ отсутствует обеспечение и юридически обязанные по ним субъекты. Операции по ним носят спекулятивный характер, осуществляются на так называемых „виртуальных биржах“ и несут высокий риск потери стоимости.
Банк России предостерегает граждан и юридических лиц, прежде всего кредитные организации и некредитные финансовые организации, от использования «виртуальных валют» для их обмена на товары (работы, услуги) или на денежные средства в рублях и в иностранной валюте. „

Также Банк России пригрозил и законом:

“Согласно статье 27 Федерального закона «О Центральном банке Российской Федерации (Банке России)» выпуск на территории Российской Федерации денежных суррогатов запрещается.

На этой неделе мы писали про нашумевшую историю, связанную с компрометацией крупной американской ритейлерной сети Target. Данные кредитных карт более 50 млн. покупателей и клиентов Target оказались скомпрометированы. Злоумышленники использовали хорошо подготовленную атаку на один из серверов компании и смогли получить доступ во внутреннюю сеть для централизованной установки вредоносного кода на компьютеры, которые обслуживают POS-терминалы. Вредоносный код, который известен как Trojan.POSRAM (iSight) или новая модификация BlackPOS использовался атакующими для получения доступа к данным кредитных карт в момент проведения платежной операции. В СМИ этот вредоносный код упоминался как KAPTOXA, название взято из отчета iSight и информации IntelCrawler. Последняя указала на одного из наших соотечественников как на автора вредоносного ПО.



После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.