• Почему Евросоюз искореняет cookie-стены

      В конце прошлого года Суд Европейского союза запретил сайтам устанавливать cookies по умолчанию и использовать предварительно заполненные чек-боксы на соответствующих баннерах. Регулятор заявил, что эти практики противоречат требованиям Общего регламента по защите данных.

      В начале мая Европейский совет по защите данных (European Data Protection Board, EDPB) поставил точку еще в одном вопросе — cookie-стены нарушают GDPR. Обсуждаем ситуацию.

      Читать дальше →
    • Про SSH Agent

      • Translation

      Введение


      SSH-agent является частью OpenSSH. В этом посте я объясню, что такое агент, как его использовать и как он работает, чтобы сохранить ваши ключи в безопасности. Я также опишу переадресацию агента и то, как она работает. Я помогу вам снизить риск при использовании переадресации агента и поделюсь альтернативой переадресации агента, которую вы можете использовать при доступе к своим внутренним хостам через bastion’ы.

      Что такое SSH-agent


      ssh-agent — это менеджер ключей для SSH. Он хранит ваши ключи и сертификаты в памяти, незашифрованные и готовые к использованию ssh. Это избавляет вас от необходимости вводить пароль каждый раз, когда вы подключаетесь к серверу. Он работает в фоновом режиме в вашей системе, отдельно от ssh, и обычно запускается при первом запуске ssh.

      Агент SSH хранит секретные ключи в безопасности из-за того, что он не делает:

      • Он не записывает никакой информации о ключах на диск.
      • Он не позволяет экспортировать ваши личные ключи.

      Секретные ключи, хранящиеся в Агенте, могут использоваться только для одной цели: подписания сообщения.

      Но если агент может только подписывать сообщения, как SSH шифрует и расшифровывает трафик?

      При первом изучении открытых и закрытых ключей SSH естественно предположить, что SSH использует эти пары ключей для шифрования и дешифрования трафика. Именно так я и думал. Но это не тот случай. Пара ключей SSH используется только для аутентификации во время первоначального соединения.
      Читать дальше →
      • +18
      • 6.7k
      • 3
    • Что можно сделать для победы над коронавирусом, не выходя из дома

        Для борьбы с COVID-19 сплотилось все человечество. Врачи работают на передовой, обычные люди не выходят из дома, а многие оказались временно уволенными (ну или на каникулах, кому как больше нравится). Вы можете помочь не только сидением дома, но и активными действиями. Мы выбрали несколько инициатив, поучаствовав в которых, вы поможете разработчикам препаратов, врачам и ученым.
        Читать дальше →
      • IT-эмиграция в Новую Зеландию

        Это очередная статья про IT-эмиграцию, но про Новую Зеландию пока информации не было.


        Здесь будет рассматриваться в том числе техническая сторона эмиграции, что представляет собой эдакий квест, с вполне определенными правилами. Если кому интересно данное направление, то прошу под кат.


        Почему стоит здесь жить


        Типичная Новая Зеландия

        Читать дальше →
      • Никто (почти) не знает, что такое авторизация


          За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
          Читать дальше →
        • [в закладки] 9 инструментов, повышающих продуктивность веб-разработчика

          • Translation
          Интернет — это не только то место, где можно научиться программировать. Тут имеется множество полезных онлайновых инструментов, способных помочь разработчику на разных этапах работы над проектом и таким образом сэкономить немного времени.



          Автор статьи, перевод которой мы сегодня публикуем, отобрал 9 таких инструментов.
          Читать дальше →
        • Нужно ли регистрировать свой бренд

          При запуске нового продукта, будь-то приложения, сервиса или начала производства товара, обычно сразу возникает вопрос популяризации его бренда.

          Под брендом понимается объект интеллектуальной собственности, способный индивидуализировать товар или услугу и сделать его узнаваемым на рынке. В большинстве случаев речь идет о логотипе и названии, создав которые важно не нарушить чьих-либо авторских прав.

          Читать дальше →
          • +16
          • 5.8k
          • 2
        • Flipper Zero — пацанский мультитул-тамагочи для пентестера

            Flipper Zero — Multi-tool Device for Hackers

            Flipper Zero — проект карманного мультитула на основе Raspberry Pi Zero для пентеста IoT и беспроводных систем контроля доступа, который я разрабатываю с друзьями. А еще это тамагочи, в котором живет кибер-дельфин.

            Он будет уметь:

            • Работать в диапазоне 433 MHz — для исследования радиопультов, датчиков, электронных замков и реле.
            • NFC — читать/записывать и эмулировать карты ISO-14443.
            • 125 kHz RFID — читать/записывать и эмулировать низкочастотные карты.
            • iButton ключи — читать/записывать и эмулировать контактные ключи, работающие по протоколу 1-Wire.
            • Wi-Fi — для проверки защищенности беспроводных сетей. Адаптер поддерживает инъекции пакетов и мониторный режим.
            • Bluetooth — поддерживается пакет bluez для Linux
            • Режим Bad USB — может подключаться как USB-slave и эмулировать клавиатуру, ethernet-адаптер и другие устройства, для инъекции кода или сетевого пентеста.
            • Тамагочи! — микроконтроллер с низким энергопотреблением работает, когда основная система выключена.

            Я с волнением представляю свой самый амбициозный проект, идею которого я вынашивал много лет. Это попытка объединить все часто необходимые инструменты для физического пентеста в одно устройство, при этом добавив ему личность, чтобы он был милым до усрачки.
            В данный момент проект находится на стадии R&D и утверждения функционала, и я приглашаю всех поучаствовать в обсуждении функций или даже принять участие в разработке. Под катом подробное описание проекта.
            Читать дальше →
          • Как и чем обеспечить приватность и безопасность. Обзор инструментов 2019 года

            • Translation
            image

            Согласно Организации Объединенных Наций, неприкосновенность частной жизни является одним из основных прав человека. Тем не менее, большинство людей выбирают удобство и не зацикливаются на конфиденциальности.

            Ну, теперь вы можете получить и то, и другое — вот несколько инструментов, которые делают конфиденциальность более удобной.

            Цифровые инструменты


            Privacy.com


            Это веб-приложение позволяет бесплатно создавать безопасные виртуальные кредитные карты. Вы можете создать его для каждой подписки или покупки через Интернет и установить лимиты и сроки действия. С этой услугой вам никогда не придется выдавать свой реальный номер онлайн-карты. Privacy.com также не продает ваши данные, они зарабатывают деньги непосредственно от карточных транзакций.
            Читать дальше →
          • Tоп-10: лучшие доклады HolyJS 2019 Piter


              Этой весной прошла HolyJS 2019 Piter — большая конференция для JavaScript-разработчиков. Вместе с программным комитетом конференции мы составили для вас список лучших докладов, посвящённых следующим темам:


              • Алгоритмы на графах;
              • Протокол Chrome DevTools и Puppeteer;
              • Статические типизаторы;
              • CI/CD;
              • Миграции: с Backbone на Polymer, с Polymer на Angular.js;
              • Большие данные на Node.js в serverless-архитектуре;
              • SEO с точки зрения разработчиков Google Search;
              • GraphQL;
              • Продвижение опенсорс-проектов.

              Под катом всё это структурировано следующим образом:


              • Видеоролик на YouTube;
              • Страница доклада с полным описанием на сайте конференции;
              • Ссылка на слайды или специальный сайт доклада (если они есть).

              Доклады упорядочены по месту, которое он занял в рейтинге по мнению участников. Список на полный плейлист конференции тоже имеется. Добро пожаловать под кат!

              Читать дальше →
            • История и наследие jQuery

              • Translation

              jQuery — это самая популярная в мире JavaScript-библиотека. Сообщество веб-разработчиков создало её в конце 2000-х, что привело к возникновению богатой экосистемы сайтов, плагинов и фреймворков, использующих под капотом jQuery.

              Но в последние годы её статус главного инструмента для веб-разработки пошатнулся. Давайте посмотрим, почему jQuery стала популярной и почему она вышла из моды, а также в каких случаях её пока ещё целесообразно использовать для создания современных сайтов.
              Читать дальше →
            • Как работать с Google Trends: полное руководство для новичков

              • Tutorial
              image

              Привет, Хабр!

              Многие не знают, как работать с трендами в интернете.
              И тем более, не знают о существовании бесплатного сервиса, решающего эту проблему- Google Trends

              Сервис поможет узнать, что волнует ваших клиентов сегодня, интересен ли ваш товар рынку, какая у него сезонность, в каком регионе наибольший интерес к товару и вашему конкуренту.

              Статья будет полезна специалистам, ранее не работавшим с сервисом.
              Читать дальше →
            • 5 open-source систем управления событиями безопасности



                Чем хороший безопасник в ИТ-сфере отличается от обычного? Нет, не тем, что он в любой момент времени по памяти назовёт количество сообщений, которые менеджер Игорь отправил вчера коллеге Марии. Хороший безопасник старается выявить возможные нарушения заранее и отлавливать их в режиме реального времени, прилагая все силы, чтобы не было продолжения инцидента. Системы управления событиями безопасности (SIEM, от Security information and event management) значительно упрощают задачу быстрой фиксации и блокировки любых попыток нарушений.
                Читать дальше →
                • +17
                • 13.2k
                • 1
              • Особенности Google PageSpeed: улучшение оценки сайта и его рейтинга в поиске

                • Translation
                Материал, перевод которого мы сегодня публикуем, посвящён рейтингу скорости сайтов, который можно вычислить с помощью Google PageSpeed Insights.

                Ни для кого не секрет то, что скорость сайта в наше время стала одной из его важнейших характеристик. Чем быстрее сайт загружается и готовится к работе — тем выше может быть доход, который он приносит своему владельцу. Ускорение сайта означает снижение числа пользователей, которые, едва зайдя на этот сайт, покидают его, устав ждать загрузки его материалов. Особую значимость быстродействию сайта придаёт тот факт, что теперь показатели Google PageSpeed используются как один из факторов ранжирования сайтов в результатах поиска. В результате сегодня многие организации уделяют скорости своих сайтов самое пристальное внимание.


                Читать дальше →
              • Прощай, Google Maps

                • Translation
                Google решил сделать из Google Maps новый миллиардный бизнес, подняв цены в 14 раз и уменьшив лимит бесплатного использования почти в 30 раз, всё с минимальным периодом уведомления. К счастью, это немедленно стимулировало конкуренцию. Apple Maps, MapBox, TomTom — что выбрать?

                Наш стартап GdziePoLek.pl позволяет пациентам находить нужные лекарства в обычных аптеках. И даже по названию («где найти лекарства») понятно, насколько важно отображение на карте. Работу сервиса легко объяснить одной картинкой, на фоне которой всегда были карты Google Maps:


                Типичная страница нашего сервиса показывает наличие лекарства в аптеках
                Читать дальше →
              • [в закладки] Инструменты для тестирования JavaScript-проектов

                • Translation
                Автор материала, перевод которого мы публикуем сегодня, сотрудник Welldone Software, говорит, что если в двух словах рассказать об инструментах для тестирования JavaScript-проектов, то для модульного и интеграционного тестирования рекомендуется использовать Jest, а для тестов пользовательского интерфейса — TestCafe. Однако каждый конкретный проект может нуждаться в чём-то особенном. Лучший способ найти именно то, что нужно — взять несколько инструментов, которые, как кажется, подойдут, и испытать их в действии. Эксперименты подскажут — на чём именно стоит остановиться.



                Представляем вашему вниманию обзор наиболее широко используемых инструментов тестирования для JS-проектов, на которые стоит обратить внимание в 2018-м году.
                Читать дальше →
                • +43
                • 30.5k
                • 8
              • HBO, cпасибо что напомнил… «Чернобыльская аптечка» беларуского фармацевта

                • Tutorial
                Что бы ни сказали — не станем спорить
                Что бы ни дарили — не станем верить

                Егор Летов «Как листовка»

                Думаю не стоит лишний раз говорить о нашумевшем сериале Чернобыль и эффективности такого «сериального» воздействия на массы. Особенно на массы, проживающие на территориях, показанных в фильме. Выход каждой новой серии сопровождается всплеском публикаций в FB. В каждой из которых горечь, страх, боль. Что в такой ситуации я могу сделать ("кто виноват и что делать?")? Могу только описать свой взгляд на терапию лучевых поражений. Спасибо родненькой кафедре химии высоких энергий и проф. Шадыро О.И., которые пестовали в своих лабораториях нас, непутевых фармацевтов-радиохимиков. Надеюсь своей статьей честь этой, легендарной некогда, кафедры я не опорочу.

                Ну и пишу, пишу, потому что стали забывать… Пугающе быстро стали забывать. Сначала в аптеках исчез йодид калия (я уж не говорю про описываемые в статье антидоты), потом так же неотвратимо исчезли льготы у ликвидаторов, знания у людей и т.д. и т.п.

                В общем, спасибо, сценаристы HBO, за то, что всколыхнули Память. Мой посильный вклад — под катом. Рейтинг доступных (и не очень) антидотов, способных сработать при радиационном выбросе. В закладки — класть строго ВСЕМ! И прочитал сам — перекинь другу.

                Читать дальше →
              • Марвин Мински «The Emotion Machine» (хабраперевод, раунд второй)

                  image


                  Привет, Хабр!

                  Год назад мы проделали отличную работу. Корявенько, наполовину, но всё же отличную. Ноосфера послала мне сигнал, что пришла пора доделать её до конца. Я думал, что эта работа оказалось никому не нужна, но неделю назад известный писатель-фантаст-киберпанкер спросил меня, когда же продолжение переводов? Я ответил, что основного бойца забрали в армию год назад и пока перевод не предвидится. А через 10 часов после моего ответа — получаю письмо: «Я вернулся из армии, готов возобновить переводы.»

                  Тезисы:

                  1. Мы рождаемся с множеством ментальных ресурсов.
                  2. Мы учимся взаимодействовать с другими.
                  3. Эмоции — это разные Образы Мышления.
                  4. Мы учимся думать о недавних мыслях.
                  5. Мы учимся думать на различных уровнях.
                  6. Мы накапливаем колоссальный опыт.
                  7. Мы переключаемся между различными Образами Мышления.
                  8. Мы находим различные пути представления вещей.
                  9. Мы строим различные модели себя.

                  Спасибо всем кто помогал: Станиславу Суханицкому, Savva Sumin, Victor Ivanov, urticazoku

                  Поэтому ждите новых глав, присоединяйтесь и помогайте с переводами (пишите в личку или на почту alexey.stacenko@gmail.com) Вот что есть готового на данный момент:
                  Читать дальше →
                • Не ешь аспирин

                    Жил на свете такой человек – Стивен Кови. Однажды он решил написать книгу о личной эффективности. Теперь эту книгу знают все, она называется «Семь навыков высокоэффективных людей». Она считается классикой, постоянно переиздается во всех мыслимых странах мира, за годы существования продано несколько десятков миллионов экземпляров. Сам Стивен Кови настолько разобрался в личной эффективности, что его личными консультациями не преминули воспользоваться несколько президентов, в т.ч. США.

                    Книжка хорошая, объемная и вдохновляющая. Уроки и принципы, изложенные в ней, часто встречаются у более поздних авторов книг и курсов. Ссылки, правда, забывают сделать, ну да ладно.

                    Но я не про книгу хочу поговорить, а про неожиданное открытие, которое сделал Стивен Кови, когда ее писал. Он это явление назвал «социальный аспирин».
                    Читать дальше →
                  • Чек-лист: что нужно было делать до того, как запускать микросервисы в prod

                      Эта статья содержит краткую выжимку из моего собственного опыта и опыта моих коллег, с которыми мне днями и ночами доводилось разгребать инциденты. И многих инцидентов не возникло бы никогда, если бы всеми любимые микросервисы были написаны хотя бы немного аккуратнее.


                      К сожалению, некоторые невысокие программисты всерьёз полагают, что Dockerfile с какой-нибудь вообще любой командой внутри — это уже сам по себе микросервис и его можно деплоить хоть сейчас. Докеры крутятся, лавешка мутится. Такой подход оборачивается проблемами начиная с падения производительности, невозможностью отладки и отказами обслуживания и заканчивая кошмарным сном под названием Data Inconsistency.


                      Если вы ощущаете, что пришло время запустить ещё одну аппку в Kubernetes/ECS/whatever, то мне есть чем вам возразить.


                      English version is also available.

                      Читать дальше →