Сегодня Microsoft объявила о доступности новых сервисов на облачной платформе Windows Azure, которые делают Windows Azure не только PaaS, но и IaaS платформой.

Основными новыми фичами являются:

• виртуальные машины (Virtual Machine) обеспечивающие поддержку persistent -виртуальных машин с Windows Server и Linux;
• виртуальные сети (Virtual Network) позволяющие создавать защищенную виртуальную сеть между локальной и облачной инфраструктурой;
• Windows Azure Web Sites позволяющие размещать ASP.NET, PHP и другие сайты на платформе Windows Azure;
• поддержка разработки в Visual Studio 2012 (Windows Azure SDK for .NET June 2012);
• улучшенная поддержка Open Source – официальная поддержка Python и Windows Azure SDK на Mac и Linux.

А так же объявлено, что Windows Azure в течение этого месяца будет доступен в direct-модели и для Росcии!

Про MiTM на айфонах и андроидах уже были соответствующие посты.
К упомянутым инструментам добавился еще один, так сказать специализированный.

Была создана консольная версия снифера Intercepter-NG и она же портирована под unix-like
операционные системы, включая IOS и Android.

В этой статье я хочу рассказать о тестировании iOS приложений и небольшой автоматизации этого процесса.
Под катом будут рассмотрены инструменты для модульного и функционального тестирования и приведены простые примеры.

На Хабре в свое время было несколько статей «Очень много полезных штук для AS3». Автор попытался собрать ссылки на самые полезные и интересные библиотеки. И т.к. в последнее время я разрабатываю под iOS, решил последовать его примеру и сделать то же самое, но для своей платформы. Описания почти прикладывать не буду, все есть на страничках проектов.

Правило №1. Делайте все авторизационные куки HttpOnly

Куки с флагом HttpOnly не видны браузерному коду, а отправляются только на сервер. На практике у вас почти никогда нет необходимости получать их содержимое со стороны клиента (если такая необходимость почему-то у вас возникла — пересмотрите архитектуру авторизации, скорее всего, там что-то не так). А вот злоумышленнику, нашедшему XSS — а XSS так или иначе когда-нибудь где-нибудь найдется — отсутствие HttpOnly на авторизационных куках доставит много радости.

Уважаемые коллеги, которые сталкивались с классификатором адресов Российской Федерации КЛАДР знают, насколько это странная база (в первую очередь своей структурой), а также большим количеством неточностей в самих данных.

В 2011 году за дело взялась ФНС, которая начала разрабатывать новую единую базу Федеральной информационной адресной системы (ФИАС) для того, что бы покончить с адресным бардаком, царящим среди различных ведомств.

Не так давно большой интерес (1, 2) вызвала программа DroidSheep, перехватывающая аккаунты пользователей он-лайн сервисов, которые пользуются ими через общедоступный Wi-Fi. На исконно русский вопрос: «что делать?» кто-то предложит воспользоваться программами для защиты от подобного рода атак, написанными под Андроид. Вот их я и решил протестировать.

А тестировал я её давно (ещё в 2008 году) написанной мною программкой ARPBuilder, которая создавалась для проверки уязвимости различных МСЭ к ARP-спуфинг атакам (подробнее):



Собственно, мне удалось разыскать всего 2-х кандидатов на тесты: DroidSheepGuard и shARPWatcher (обе программы для полноценной работы требуют наличие root-доступа).

Об удачности атаки я судил по показаниям ARP-таблицы моего подопытного Android-устройства. Показания снимал через программку Net Status:

Hewlett-Packard обновила версию своего кросс-платформенного (от IE8 до iOS5) фреймворка для создания легковесных и привлекательно выглядящих веб-приложений Enyo до версии 2.0b2 — разработчики сосредоточили своё внимание на наборе базовых виджетов и layout-библиотеке, не забыв об улучшениях в ядре фреймворка.

В частности, с нуля была переписана библиотека виджетов Onyx, хотя, первоначально разработчики планировали просто адаптировать виджеты из Enyo 1.0. Пример того, как выглядит UI Onyx можно посмотреть здесь, примеры организации элементов на странице с обновленным примером layout-библиотеки по этой ссылке.

[GitHub]

[Страница проекта]

Приветствую, хаброчитатели.
Предлагаю вашему вниманию небольшой how-to по сборке и установке DebWRT на Ubiquity RouterStation Pro
Немного о DebWRT.
Как пишет сам автор проекта на сайте: «DebWRT это проект по запуску Debian GNU/Linux на embedded устройствах, например беспроводных роутерах. DebWRT объединяет две технологии: Debian и OpenWrt. Debian это тысячи пакетов для различных архитектур и великолепный менеджер пакетов, а OpenWrt это ядро которое отлично поддерживает embedded устройства. Объединение этих двух технологий открывает целый мир новых возможностей.»
Таким образом все железки которые поддерживает OpenWRT будет поддерживать и DebWRT, но после того как мы его «приготовим».
Итак, приступим…

Вступление

В этом докладе будут рассмотрены сервисы AWS, которые использует наша платформа и с которыми я знаком не по наслышке. Я работаю над проектом, который использует почти все возможные сервисы, а так же мы нацелены в ближайшем будущем охватить ещё больше возможностей, которые предоставляет нам Amazon.

Управление AWS осуществляется как с помощью веб интерфейса (AWS console), так и с помощью Command Line Tools. В консоли собраны все сервисы AWS, но функциональность настройки несколько обрезана. В командной строке же можно более гибко настроить тот или иной сервис, так же доступны закрытые в консоли функции.

Amazon Elastic Compute Cloud (EC2)

Описание

EC2 — это облачный сервис, предоставляющий виртуальные сервера (Amazon EC2 Instance), 2 вида хранилищ данных, а так же балансировщик нагрузки (Load Balancer).

За 2 года работы с Magento, я много раз встречал, когда изменяя какой либо модуль для своих нужд, разработчики зачастую меняют сам модуль (блок, модель, хелпер), при этом, не используя возможности предоставляемые самой Magento. Magento это продукт который очень удобен для сторонних разработчиков, в плане дополнения и изменения базовой логики, и дает большие возможности разработчикам которые внедряют эту систему.

Как-то давно я уже писал об этом, но немного скудно и сумбурно. После я решил расширить список инструментов в обзоре, добавить статье структуры, учесть критику (большое спасибо Lefty за советы) и отправил ее на конкурс на СекЛаб (и опубликовал ссылку, но по всем понятным причинам ее никто не увидел). Конкурс закончен, результаты объявили и я с чистой совестью могу ее (статью) опубликовать на Хабре.

Бесплатные инструменты пентестера веб-приложений

В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:

1. Сетевые сканеры
2. Сканеры брешей в веб-скриптах
3. Эксплойтинг
4. Автомазация инъекций
5. Дебаггеры (снифферы, локальные прокси и т.п.)

В этом выпуске вебинаров UXRussia раскрываются 5 феноменов, обнаруженных в экспериментах психологов, показывающих, как люди принимают решение. И даются рекомендации дизайнерам о том, что делать с этим знанием:

• Люди, в основном, принимают решения неосознанно.
• Сознание медленнее познаёт мир.
• Люди хотят больше выбора и информации, чем они могут переработать.
• Людям нужно чувство контроля, когда они делают выбор.
• Люди заботятся о времени больше, чем о деньгах.

Продолжение темы

Чуточку ликбеза. Навеяно предшествующими копипастами разной чепухи на данную тему. Уж простите, носинг персонал.

IP-адрес (v4) состоит из 32-бит. Любой уважающий себя админ, да и вообще айтишник (про сетевых инженеров молчу) должен уметь, будучи разбуженным среди ночи или находясь в состоянии сильного алкогольного опьянения, правильно отвечать на вопрос «из скольки бит состоит IP-адрес». Желательно вообще-то и про IPv6 тоже: 128 бит.

Обстоятельство первое. Всего теоретически IPv4-адресов может быть:
2³² = 2¹⁰*2¹⁰*2¹⁰*2² = 1024*1024*1024*4 ≈ 1000*1000*1000*4 = 4 млрд.
Ниже мы увидим, что довольно много из них «съедается» под всякую фигню.

Записывают IPv4-адрес, думаю, все знают, как. Четыре октета (то же, что байта, но если вы хотите блеснуть, то говорите «октет» — сразу сойдете за своего) в десятичном представлении без начальных нулей, разделенные точками: «192.168.11.10».

В заголовке IP-пакета есть поля source IP и destination IP: адреса источника (кто посылает) и назначения (кому). Как на почтовом конверте. Внутри пакетов у IP-адресов нет никаких масок. Разделителей между октетами тоже нет. Просто 32-бита на адрес назначения и еще 32 на адрес источника.

  

На официальном сайте Microsoft ASP.NET опубликован новый видео-курс по разработке веб-приложений с помощью бесплатной среды WebMatrix. Курс подготовлен компанией Pluralsight профессионально занимающейся созданием видео-курсов по разработке программного обеспечения. Язык видео-курса – английский.

Всего в видео-курсе представлено шесть видео:

Если вы видели Windows Phone 7, вы уже видели Metro. Metro — это язык дизайна для приложений, взрощенный в недрах Microsoft, элементы которого уже проникают в разные продукты и, безусловно, это душа платформы WP7. Metro — это старт с нуля, ресет дизайна, переход от трудно поддерживаемого языка Windows Mobile к языку с четкими принципами и задачами.



Когда несколько лет назад команда дизайна решила попробовать начать с чистого листа, вместо того, чтобы смотреть на то, что уже есть на различных, в общем-то, однообразных платформах, она сконцентрировалась на том, что действительно вдохновляет — лучших образцах дизайна: от Josef Müller-Brockmann (швейцарский дизайнер, известный своим простым дизайном с ярким использованием типографики, формы и цвета, вдохновивший своими работами многих современных графических дизайнеров) и других пионеров International Style, дизайнерской системы Massimo Vignelli карты нью-йоркского метро и известных брендов вроде American Airlines до концептуальных работ Experimental Jetset.

Иногда нужно протестировать работу клиентского приложения в сетевых условиях, приближенных к боевым. Что при разработке, что при выборе софта. Как правило, сервер рядом, а нужно оттестировать и на таком канале, и на таком. Как ни странно, удобного средства управления трафиком (traffic shaping) под Windows мне долго не удавалось найти. Из поисков запомнилось: кто-то советовал для тестовых целей купить модем. Можно поставить роутером машину на Linux и на ней рулить трафиком, но мне такой подход кажется слегка чрезмерным.
Оказывается, не меньше года в проекте Dummynet есть бинарники для Windows, которые позволяют легко и непринужденно управлять, как минимум, полосой канала (bandwidth) и задержкой (latency).

Привет, хабр!

О StartSSL я узнал от небезызвестного lissyara, в связи с чем ему очень благодарен.

Для начала расскажу, что же за зверь это. Как известно, SSL сертификаты выдаются центрами сертификации, чьи корневые сертификаты хранятся в хранилище сертификатов браузера\ОС (либо другого ПО, использующего SSL). Цена на большинство сертификатов зашкаливает, и платить приходится за каждый сертификат. Но у StartSSL весьма интересный подход — сами сертификаты у них бесплатные, вы платите только за проверку вашей личности.

Так же не может не радовать наличие русскоязычной поддержки.

Однажды, от скуки, мне захотелось создать красивую полноцветную анимацию с 8-битной прозрачностью. Понятно, что GIF для этой цели никак не подходил и я стал искать альтернативы. Flash в этом качестве даже не рассматривался – слишком нагружает процессор, плохо встраивается в страницу поверх других элементов, да и стоит не у всех.

Новые условия, которые предложил своим пользователям QIWI Кошелек, могут быть интересны не только простым пользователям, но и представителям небольшого интернет-бизнеса и фрилансерам, принимающим оплату на электронные кошельки. С минимальными потерями для покупателя и продавца:

1. Комиссии за совершение покупок в QIWI Кошельке и его пополнение банковскими картами в очередной раз снижены. Для держателей карт, эмитированных Альфа-Банком, она составила 0,5%, остальных банков постсоветских стран – 0,75%. А для клиентов Райффайзенбанка комиссия 0%.
2. Переводы между пользователями QIWI Кошелька теперь совершаются без комиссии.

А это значит, что любой, даже самый небольшой бизнес, подключенный к QIWI Кошельку или фрилансер, работающий с системой, может принимать платежи банковскими картами, выпущенными банками стран бывшего СССР. Для совершения платежа клиенту того же фрилансера достаточно зарегистрировать в QIWI Кошельке свою банковскую карту и сделать перевод на Кошелек исполнителя или магазина.

Спасибо.