Pull to refresh
69
Karma
0
Rating
Алексей Капранов @kappa

развиватель

  • Followers 63
  • Following 53

Как не отключать картинки и скрипты в письмах, и при этом быть безопасными. История от Яндекс.Почты

Яндекс corporate blog Information Security *
Сегодня я хочу рассказать про то, как мы сделали так, чтобы в Яндекс.Почте не нужно было включать отображение картинок в каждом письме, как это приходится делать много где, и вообще — как мы обеспечиваем защиту при показе текста письма. Что не такое очевидное дело, как может показаться.

В сутки наши пользователи получают около ста миллионов писем и около тридцати миллионов прочитывают через веб-интерфейс. Это огромное поле деятельности для злоумышленников, поэтому мы выстроили многоуровневую защиту.



Письма проверяются на спам, фишинг, вирусы, вредоносное содержимое и ссылки. Под катом мы расскажем вам, о том, через какие защитные механизмы проходят письма, прежде чем отобразиться в пользовательском веб-интерфейсе.
Из чего состоит защита
Total votes 79: ↑66 and ↓13 +53
Views 30K
Comments 71

Светлое будущее IPv6: когда уже наконец наступит новый мировой порядок

Яндекс corporate blog
Яндекс.Почта теперь умеет обмениваться письмами с другими почтовыми системами по IPv6. Таким образом она становится второй в мире массовой почтовой системой, поддержавшей IPv6.

На первый взгляд это может выглядеть не слишком важным, но на самом деле уже прямо сейчас отсутствие поддержки IPv6 мешает многим людям. В этом посте я хочу рассказать о том, как сейчас вообще идут дела с адаптацией v6 в интернете, а также о том, что именно сейчас сделали мы и зачем.



IPv4-адреса, которых было 4 миллиарда, уже закончились. Переход на IPv6 позволит вывести в онлайн 3.4×1038 устройств. А впереди у нас будущее, когда всё больше устройств у каждого человека будут подключены к интернету и когда в онлайн вслед за Европой и Америкой наконец выйдут все жители Азии и Африки. Поэтому всемирная сеть постепенно переходит на новый протокол связи, поддержка которого необходима любому сервису, который собирается работать в будущем в интернете.

От IPv4 к IPv6: история перехода


Как вы знаете, уже в сентябре 1981 года, когда Агентство передовых оборонных исследовательских проектов министерства обороны США опубликовало спецификацию IPv4, было понятно, что количество адресов конечно и равно 232. На первый взгляд число кажется большим. В 1995 году адресное пространство IP использовалось всего на 25%, но учёные и инженеры уже сформулировали и опубликовали первую спецификацию следующей версии базового протокола интернета, которую назвали IPv6. В новом протоколе заложили возможность использовать примерно 3.4 * 1038 (340 ундециллионов) адресов, что почти в 1029 (100 октиллионов) раз больше, чем в старой версии. В 2008 году адресное пространство IPv4 было заполнено уже на 86%.
Читать дальше →
Total votes 107: ↑99 and ↓8 +91
Views 62K
Comments 81

Яндекс теперь поддерживает шифрование исходящей и входящей почты

Яндекс corporate blog Information Security *Cryptography *
На прошлой неделе мы включили в Яндекс.Почте шифрование для межсерверных SMTP-соединений с использованием STARTTLS — как на приём, так и на отправку писем. Теперь все письма из нашей почтовой системы пользователям других сервисов, которые поддерживают такое шифрование (например, Gmail) передаются в зашифрованном виде, и никто по дороге не сможет их прочитать. По этому поводу я немножко расскажу о протоколах, которые используются при передаче электронной почты в зашифрованном виде.

Несмотря на то, что шифрование соединения между пользователем и интерфейсом почты уже довольно распространено среди массовых сервисов, переписка между почтовыми системами часто шла в незащищённом виде. А безопасность переписки — очень важная штука для нас (хоть она и не очень заметна обычному пользователю).

image

Исследователям ещё предстоит найти причину истинной любви интернет-технологов к аббревиатурам. Со времён ARPANET все сети, протоколы, стандарты и т.д. предпочитают называть буквенными сокращениями. Этот простой и понятный способ словообразования приводит к появлению предложений вида: «IETF published RFC6594 by CZ.NIC on the use of SHA-256 with RSA, DSA and ECDSA in SSHFP». Как видно, особенно много таких сокращений в криптографии.

Ещё об истории безопасности электронной почты в мире и о том, что мы сделали сейчас
Total votes 146: ↑134 and ↓12 +122
Views 63K
Comments 149

POP3 и IMAP: история почтовых протоколов и сбор писем по IMAP в Яндекс.Почте

Яндекс corporate blog
(посвящается Марку Криспину 19.07.1956 — 28.12.2012)

Некоторое время назад в Яндекс.Почте появились сборщики писем по IMAP. В этом посте мы немного расскажем о двух важных почтовых протоколах — POP3 и IMAP — и о том, как они появились и используются в современных почтовых системах. Не всегда это так просто и очевидно, как ожидаешь от технологий, развивающихся уже почти 30 лет.

Начнём наш экскурс в историю протоколов, через которые вы каждый день получаете свою сотню писем.


Читать дальше →
Total votes 62: ↑57 and ↓5 +52
Views 131K
Comments 68

Прототип клиента Яндекс.Диска для Linux и открытие API

IT-companies
На днях Яндекс открыл документацию API Яндекс.Диска, и я хочу рассказать о примере программы, созданной на базе этого API.

У Яндекс.Диска есть отдельные клиентские программы для ОС Windows и Mac OS X, которые поддерживают локальную копию файлового хранилища. Это невероятно удобно! Надо отдать должное Дропбоксу, который, кажется, первым предложил именно такой способ использования облачного файлового хранилища.

Для Линукса клиента нет, но зато Яндекс.Диск поддерживает доступ к файлам по открытому и отлично себя зарекомендовавшему за многие годы протоколу WebDAV. Поддержка WebDAV в ядре Линукса позволила относительно малой кровью создать прототип синхронизирующего клиента Яндекс.Диска.

Текущая версия доступна на гитхабе — это примерно 130 строк кода на Перле, а здесь я очень кратко расскажу, как она устроена и работает.

Краткий дисклеймер: поскольку пока это в большей степени прототип, использовать программу для синхронизации важных данных не рекомендуется. Клиент имеет пока лишь рудиментарую обработку ошибок, а также расходует куда больше памяти, процессора и трафика, чем можно.

Читать дальше →
Total votes 63: ↑60 and ↓3 +57
Views 9.1K
Comments 22

Perl-воркшоп «Saint Perl — 2» в Санкт-Петербурге, 18 декабря

Perl *
Меньше чем через две недели, 18 декабря, состоится шестой российский Perl-воркшоп «Saint Perl — 2» в Санкт-Петербурге.

Сайт: event.perlrussia.org/saintperl2

Еще не поздно зарегистрироваться или подать заявку на доклад. Upd: появились новые доклады.

На сегодня у нас такие выступления:

  • Martin Berends. ‎Perl 6 Implementations in December 2010‎
  • Martin Berends. ‎Perl 6 Database Interfacing‎
  • Алексей Капранов (‎kappa‎). ‎Как не хранить сессии
  • Александр Котов. ‎Парадигма аспектно-ориентированного программирования и ее реализация в Perl‎
  • Вячеслав Матюхин. ‎Morpheus — новый подход к конфигурации чего угодно‎
  • Максим Баклановский. ‎CODA — новая система компьютерной безопасности
  • Наим Шафиев — Perl IDEs‎

Расписание будет составлено со дня на день, а пока можем сообщить, что ориентировочно регистрация начнется в 10:30, а открытие конференции — в 11:00.

Те, кто приезжают из других городов, могут найти подходящую гостиницу на сайте мероприятия: event.perlrussia.org/saintperl2/booking.html, там же показано расстояние от гостиницы до место проведения.

Билет на поезд — на сайте ticket.rzd.ru, на самолет — awad.ru.

Читать дальше →
Total votes 24: ↑17 and ↓7 +10
Views 636
Comments 4

Свой p2p телеканал за 5 минут

Decentralized networks
Вот один из способов сделать свой peer-2-peer телеканал. Есть Talxy.com, который позволяет вставить на сайт флэшку и транслировать видео с вебкамеры для всех, кто эту флэшку увидит. При этом, чем больше смотрящих, тем меньше будет нагрузка на ваш канал и выше качество трансляции. Talxy устроен так, что смотрящие подсоединяются к peer-2peer сети и используются для ретрансляции видео друг другу.

Теперь берём какую-нибудь прогу для виртуальной видео-камеры, вроде ManyCam.com, задаем в ней воспроизведение всех видео из директории с любимыми фильмами.

Далее кликаем в talxy-флэшке на правую кнопку и выбираем в качестве вебкамеры виртуальную вебкамеру ManyCam.

Вуаля! Получаем свой телеканал для друзей без всякой рекламы с разрешением 640 на 480 (не HD, но тоже неплохо).
Total votes 69: ↑65 and ↓4 +61
Views 3.1K
Comments 34

RSS-фиды для тэгов

Habr
Всем привет!

После вчерашнего четырёхчасового даунтайма на Хабре пропали RSS-фиды для тэгов. Например, раньше был вот такой фид: habrahabr.ru/rss/tag/apple, а теперь его нет. Скажите, это навсегда? У меня были всякие подписки, которых жалко.
Total votes 5: ↑3 and ↓2 +1
Views 539
Comments 8

Блиц-доклады на РИТ-2008

Self Promo
На РИТ-2008 мы запускаем новый формат докладов — так называемые блиц-доклады или lightning talks. Если вкратце, то блиц-доклад читается в течение ровно 5 минут в серии из
10-20 таких же докладов без перерывов между ними.

Сессии блиц-докладов в течение многих лет неизменно пользуются большой популярностью на
международных конференциях TPC, OSCON, YAPC, PyCon, а также многочисленных баркэмпах и
не-конференциях. Подтягиваемся и мы.

Тематика блиц-докладов даже в одной сессии может быть очень разной. Более того, это даже
приветствуется, так как полностью соответствует идее события — упаковать в один-два часа
массу лёгкой для усвоения информации из разных областей знаний. Сессии блиц-докладов
проводятся в конце дня, поэтому докладчики рассчитывают на подуставшую аудиторию и часто
делают блиц-доклады в слегка юмористическом ключе.

Подготовка хорошего блиц-доклада может отнять у вас совсем немного времени, поэтому мы
особенно рекомендуем такой формат занятым специалистам и менеджерам, которым есть, что
сказать, но никогда не хватает времени на подготовку полноформатного выступления. Также,
формат блиц-доклада может быть интересен молодым людям, желающим попробовать свои силы в
публичном выступлении, минимизируя риски. Ну и конечно блиц-доклад будет идеальным
форматом, если избранная тематика просто не требует длинных разглагольствований.

Требования к тезисам блиц-доклада очень простые: желательно, чтобы «тезисы» уложились в
одно-два предложения. Если не получается, то вероятно, тема доклада не очень хорошо
подходит к формату.

Слайды к блиц-докладу вообще не обязательны, но конечно всегда приветствуются. Также,
часто во время блиц-докладов используются альтернативные визуальные форматы, такие как
живая демонстрация, видеоролик или большое количество слайдов, на каждом из которых крупно
написаны одно-два слова.

На основе рекомендаций одного из изобретателей блиц-докладов, Марка Джейсона Доминуса, мы
составили примерный список шаблонов тем, который может дать дополнительное представление о
сути явления и помочь определится с выбором конкретной темы:
Читать дальше →
Total votes 10: ↑8 and ↓2 +6
Views 530
Comments 6

Патенты Microsoft в России

IT-companies
Последние 6 опубликованных патентов Microsoft в России (в скобках стоит дата публикации):

  • № 2005134203 (2007.05.10) СИСТЕМА И СПОСОБ ДЛЯ ОГРАНИЧЕННОГО ДОСТУПА ПОЛЬЗОВАТЕЛЯ К СЕТЕВОМУ ДОКУМЕНТУ
    № 2005134202 (2007.05.10) СИСТЕМА И СПОСОБ ДЛЯ ОБРАБОТКИ НЕОБРАБОТАННЫХ ФАЙЛОВ ИЗОБРАЖЕНИЙ
    № 2005133725 (2007.05.10) АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ ПОСРЕДСТВОМ КОМБИНИРОВАНИЯ УСТАНОВЛЕНИЯ ЛИЧНОСТИ ГОВОРЯЩЕГО И ОБРАТНОГО ТЕСТА ТЬЮРИНГА
    № 2005133403 (2007.05.10) АВТОМАТИЧЕСКОЕ ИЗВЛЕЧЕНИЕ ЛИЦ ДЛЯ ИСПОЛЬЗОВАНИЯ ВО ВРЕМЕННОЙ ШКАЛЕ ЗАПИСАННЫХ КОНФЕРЕНЦИЙ
    № 2005133391 (2007.05.10) СПОСОБ И СИСТЕМА ДЛЯ ЛОКАЛЬНОГО КЭШИРОВАНИЯ УДАЛЕННЫХ ФАЙЛОВ
    № 2005133383 (2007.05.10) СПОСОБ И СИСТЕМА ДЛЯ ПОДДЕРЖАНИЯ СОГЛАСОВАННОСТИ ПРОСТРАНСТВА ИМЕН С ФАЙЛОВОЙ СИСТЕМОЙ


    Всего начиная с конца 2004 года Microsoft в России получила 475 патентов. В последнее время публикуются порядка 5-6 патентов каждые 2 недели.

    Поиск по базе патентов и их рефераты есть в свободном онлайновом доступе на сайте Федерального Института Промышленной собственности. См. http://www.fips.ru/russite/, пароль=логин=guest.

    Какие будут мнения?
Total votes 8: ↑5 and ↓3 +2
Views 608
Comments 25

Дополнительные поля в RSS

Habr
Предлагаю в хабровские RSS-фиды добавить поля с текущим рейтингом записи и количеством комментариев, как это сделали, например, в Дигге.

У нас появится возможность самостоятельно определять порог «качественности» поста для фильтрации в RSS-ридере.

Спасибо!
Total votes 25: ↑21 and ↓4 +17
Views 632
Comments 13

Фильтр комментариев

Habr
Раз пошла такая пьянка, то публикую свой хабрафильтр, сделанный в виде скрипта для Greasemonkey (это такое расширение для Firefox, позволяет выполнять на страницах сайтов всякие маленькие кусочки кода. Говорят, в Опере такая возможность встроена.)

Установить фильтр, если у вас есть Greasemonkey. Там ещё раз переспросят, если что.

Хабрафильтр скрывает все комментарии с рейтингом меньше единицы. В тулбокс (это такая длинная фигня с серым бордюром под текстом поста) добавляется кнопочка «вернуть всё как было»:



Порог скрытия, а также состояние по умолчанию настраиваются редактированием исходников. Там сверху, увидите.
Total votes 21: ↑16 and ↓5 +11
Views 548
Comments 23

Vista: управление голосом через Интернет

IT-companies
Некто Джордж У нашёл презабавную дырочку в свежевышедшей Висте. Как известно, новая ОС от Microsoft поддерживает голосовое управление. В случае, если к компьютеру подключены и микрофон, и колонки, существует возможность проиграть звук так, что ОС его воспримет как команду, поданную пользователем. Веб-страницы научились играть звуковые файлы около 10 лет назад, так что остальное — дело техники.

Безусловно, алгоритмические способы фильтрации подобной обратной связи существуют, и любой, кто пользовался голосовой связью через компьютер с колонками, знает, что они вполне устойчиво работают. Тем не менее, в данном конкретном случае про эти способы, видимо, забыли, так как Микрософт подтвердила эту уязвимость.

Стоит заметить, что голосовое управление ВЫКЛЮЧЕНО по умолчанию. Но зато не требует тренировки.
Total votes 6: ↑5 and ↓1 +4
Views 544
Comments 1

Русские блоггеры слишком умные для Six Apart (не про СУП!)

Media management *
Добавлять в Vox русский язык Six Apart пока не планирует, так как подобные действия, судя по ее опыту, тормозят развитие проекта. Феликсу Мучнику было указано на то, что он, как и многие в России, слишком серьезно относится к блоггерам, считая что они имеют какое-то влияние.

Почитать про это и другие удивительные заявления неСУПовой части русского Six Apart можно в статейке Дмитрия Родина.
Total votes 10: ↑8 and ↓2 +6
Views 573
Comments 4

Оформление писем с уведомлениями

Habr
В поле From: или хотя бы в теме письма с уведомлением стоит писать, от кого данный комментарий/сообщение и на какую тему.

Когда их за ночь приходит десяток, хочется читать в осознанном порядке.
Total votes 5: ↑5 and ↓0 +5
Views 593
Comments 3

Для чего SUP набирает команду суперменов

IT-companies
Безусловно, тайна SUP-а не раскрыта. Понятно, что ни для «улучшения» локализации ЖЖ, ни для создания местного отделения abuse-team, ни даже для поддержки более-менее рабочего ljplus.ru не нужны все эти прекрасные люди.

Читать дальше →
Total votes 16: ↑13 and ↓3 +10
Views 797
Comments 140
1

Information

Rating
Does not participate
Location
Москва и Московская обл., Россия
Date of birth
Registered
Activity