Как и зачем мы делаем TLS в Яндексе

Не много, на сегодняшний день в production — два внешних. Keynectis используется для обратной совместимости. Выбор CA тоже обусловлен некоторыми факторами, начиная c тех, которые описаны в статье, заканчивая тем, что и Польша и Франция не входят в FVEY.

Как и зачем мы делаем TLS в Яндексе

Так получилось, что в хранилище корневых сертификатов Windows не оказалось ни одного, принадлежащего Российской компании.

Как взломать двухфакторную аутентификацию Яндекса

В сценарии с официантом — нет, ведь пользователь может быть подключен к точке доступа в кафе.

Как взломать двухфакторную аутентификацию Яндекса

Справедливости ради нужно отметить, что сам URL

yandex.ru/promo/2fa?track_id=38e701d0bb5abaf50d381c3f95e0f341a8

не используется в работе приложения, а только track_id из него передается на passport.yandex.ru.

Будущее [отсутствие] интерфейсов браузеров от Яндекса

мы знаем про это, сознательно решили не исправлять в альфе, дальше будет лучше.

Этот пудель кусается: использование дыр в протоколе SSL 3.0

ограничить время сессии… привязать к IP

может стоить намного больше, чем пользователи WinXP < sp3

Этот пудель кусается: использование дыр в протоколе SSL 3.0

Вы сейчас предлагаете решить проблему протокола путем изменения приложения.

Этот пудель кусается: использование дыр в протоколе SSL 3.0

Есть еще одна защитная мера если хочется оставить SSLv3 — на стороне сервера накатить патч, который позволит использовать RC4 только для SSLv3, и включить RC4. Практическая эксплуатация уязвимости в RC4 намного сложнее чем POODLE.

1000000 паролей от почтовых ящиков Яндекса утекли в сеть

мне подсказывают, что этого ограничения уже нет, если вы еще где-то его наблюдаете — дайте знать.

1000000 паролей от почтовых ящиков Яндекса утекли в сеть

надо было спросить у меня на последнем Defcon Russia, если вкратце — скоро этого ограничения не будет.

1000000 паролей от почтовых ящиков Яндекса утекли в сеть

Технических ограничений на длину пароля давно нет, есть только исторические, и мы с ними активно боремся.
Конечно же, пароли хранятся только в виде соленых хешей (и более того).

DEF CON CTF 22 Final

лучше один раз поучаствовать ;) например, в России каждый год на хорошем уровне проходят RuCTF и RuCTFe.
остальное на CTFtime.

DEF CON CTF 22 Final

подозреваю, что это:
www.dubna-oez.ru/board/14.htm

как всегда — свой, самобытный, отдельный от всего мира CTF.

Книги о кибербезопасности: 5+ рекомендаций наших экспертов

Threat Modeling должен прочитать каждый, кто занимается безопасностью.

Выбираем защищенный IM для Android

1. TextSecure
> Технических подробностей на сайте нет

github.com/WhisperSystems/TextSecure/wiki/ProtocolV2
а это что?

Совместный эксперимент команд Яндекс.Почты и Nginx: действительно ли SPDY ускорит интернет?

думаю, что не раньше, чем G-WAN станет opensource.

Совместный эксперимент команд Яндекс.Почты и Nginx: действительно ли SPDY ускорит интернет?

TLS терминировался nginx'ом. Насколько я знаю, использовались различные варианты — с кешированием, TLS тикетами и без.
Именно потому, что различные браузеры поддерживают различный функционал, использовались случайные выборки пользователей.

Mail.Ru Group объявляет о старте программы поиска уязвимостей

Не переживай, майские праздники на носу — ребята подтянутся ;)

Mail.Ru Group объявляет о старте программы поиска уязвимостей

Сначала будет очень тяжело — в первое время были десятки «мусорных» репортов в день. Сейчас довольно мало репортов вообще.

Mail.Ru Group объявляет о старте программы поиска уязвимостей

С почином!