• Послание будущему программисту

      Итак, вы решили стать программистом.


      Возможно, вам интересно создавать что-то новое.


      Возможно, вас манят большие зарплаты.


      Быть может, вы просто хотите сменить сферу деятельности.


      Не суть.


      Важно — вы решили стать программистом.


      Что же теперь делать?


      КДПВ

      Читать дальше →
    • Network tools, или с чего начать пентестеру?

        Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.


        Читать дальше →
        • +34
        • 16.1k
        • 6
      • Курс MIT «Безопасность компьютерных систем». Лекция 18: «Частный просмотр интернета», часть 2

        • Translation
        • Tutorial

        Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год


        Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

        Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
        Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
        Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
        Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
        Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
        Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
        Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
        Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
        Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
        Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
        Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
        Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
        Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
        Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
        Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
        Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
        Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3
        Лекция 18: «Частный просмотр интернета» Часть 1 / Часть 2 / Часть 3
        Читать дальше →
      • Trekz Air — как на самом деле звучат наушники с костной проводимостью

          Осенний привет хабровчанам!

          По жизни я — меломан, и провожу с музыкой непростительно много времени — по 8-12 часов в день. Большая аудиотека пополняется благодаря стриминговым сервисам. Всё сокровенное храню на плеере, используя наушники с большим количеством излучателей: TBA04, NuForce Primo8, ProPhile8 (редко).


          Читать дальше →
        • Как подготовиться и сдать IELTS: личный опыт

          • Tutorial
          Привет, Хабр! Я преподаватель и методист в школе английского языка EnglishDom. В этой статье хочу поделиться опытом, как я сдавал IELTS. Для тех, кто еще не знаком с этим международным экзаменом, в конце статьи будет спойлер с описанием целей, структуры и типичных ошибок на экзамене.
          Читать дальше →
        • Нужные HTTP-заголовки

          • Translation
          Наши клиенты в Fastly любят манипулировать заголовками HTTP. Подбор правильной комбинации заголовков — одна из лучших вещей, какую вы можете сделать для безопасности своего сайта и значительного вклада в его производительность.

          Большинство разработчиков знают о важных и нужных HTTP-заголовках. Самые известные — Content-Type и Content-Length, это почти универсальные хедеры. Но в последнее время для повышения безопасности начали использоваться заголовки вроде Content-Security-Policy и Strict-Transport-Security, а для повышения производительности — Link rel=preload. Несмотря на широкую поддержку в браузерах, лишь немногие их используют.

          В предыдущей статье мы рассмотрели ненужные заголовки. Сейчас разберёмся, какие заголовки действительно следует настроить для своего сайта.
          Читать дальше →
          • +29
          • 21.9k
          • 5
        • Создание умного домофона с автоответчиком и Интернет-соединением

            Не так давно я чинил домофонную трубку и задумался — а не сделать ли мне небольшую модернизацию? Научить его уведомлять меня через Интернет о том, что кто-то приходил, или даже удалённо открывать дверь с мобильного телефона… А затем я решил — почему бы вообще не сделать автоответчик? На телефонах сейчас автоответчик уже мало кому нужен, а вот знать, кто же ко мне приходил, было бы весьма полезно, особенно при том, что я не привык брать трубку, если никого не жду. Воплотить идею в реальность оказалось не так уж сложно.
            Читать дальше →
          • MitoQ — чудесные таблетки от старости, исследуем стоит ли принимать


              В последнее время идут интенсивные исследования механизмов старения. Одна из текущих теорий, которая находит множество подтверждений, состоит в том, что многие механизмы старения связаны с окислительным стрессом, причина которого в сбоях работы митохондрий.
              Многие авторитеты вокруг этой тематики рекомендуют, начиная с определенного возраста, принимать коэнзим Q10, чтобы уменьшать повреждения тканей вызываемые этими процессами.


              При этом одна из теорий утверждает, что если подобный антиоксидант доставлять напрямую в митохондрии, то дозы нужны будут меньше, а эффект будет лучше (подробнее читайте предыдущую статью).


              И вот, на рынке появился антиоксидант, который доставляется напрямую в митохондрии – MitoQ. В этой статье мы проведем свое мини исследование – стоит ли его покупать и принимать.

              Читать дальше →
            • Телеграм-бот для домашнего видео-наблюдения из подручных материалов

              Disclaimer


              Эта статья содержит некоторое количество программного кода, написанного на языке Python. Ввиду того, что автор статьи по профессии является сисадмином, но не программистом — стиль и качество этого кода, могут вызвать проявление неконтролируемых эмоций у профессионалов. Пожалуйста, немедленно прекратите чтение если вид неаккуратного или неоптимального кода может негативно сказаться на вашем психическом состоянии.


              Постановка задачи


              Основной причиной реализации проекта, явилась простуда с вытекающими: избытком свободного времени и невозможностью выходить из дома. Порывшись у себя в столе я обнаружил:



              Из всего перечисленного, было решено построить систему домашнего видео-наблюдения с функционалом оповещения о вторжении. В качестве платформы был выбран телеграм-бот. Бот имеет следующие преимущества перед другими возможными реализациями (веб, мобильное приложение):


              • Не требуется установки дополнительного клиентского ПО
              • Серверная часть может работать с приватным IP адресом через NAT, при этом предъявляются минимальные требования к подключению (вплоть до 3G модема)
              • Большая часть инфраструктуры находится на стороне сервис-провайдера, который за меня решил вопросы авторизации, безопасности итп...

              С помощью беглого анализа интернет-публикаций, существующие решения обнаружены не были.

              Читать дальше →
            • WiFi колонка/плеер на базе Orange Pi Zero или история о потерянном времени

              Доброго дня уважаемым хабровчанам!

              Предыстория


              История моя началась с того, что по просьбе одного друга нужно было сделать небольшое программируемое устройство с выводом звука и GPIO. Давно хотел поработать с каким-либо одноплатником *Pi и потому сразу решил делать на чем-то подобном (результат + опыт). Друг почти сразу отказался от предложенного проекта, ну а я оказался с купленной платой OrangePi Zero. Некоторое время провалялась она без дела, пока не отдали мне старый МФУ Canon MX320 без поддержки сети. Мне очень не хотелось иметь лишний провод от ноутбука к принтеру, и в результате апельсинка была извлечена, настроена и работает с тех пор в качестве CUPS сервера по USB (результат, кстати, хороший, но это уже совсем другая история).

              Завязка


              Однажды надоело мне вечно подключать через minijack мой телефон к колонкам. Стоят они хорошо, удобно, и переносить их неохота. А телефон, вечно висящий на линейнике- это уже не мобильный телефон, а что-то похожее на старые проводные аппараты. Ноутбук у меня тоже стоит так, что подключать к нему кабель к колонкам было бы неудобно. Да и сама машинка старая (10 лет уже), лишний аудиоплеер — лишняя нагрузка.

              Можно, конечно же, купить bluetooth-колонки. Или bluetooth-адаптер. Но это значит малый радиус действия и проигрывание музыки только на том устройстве, с которым по bluetooth связан телефон. Надо что-то посерьезнее. «Здорово было бы повесить такой сервер на апельсинку, который мог бы принимать аудиопоток с смартфона по WiFi, — подумал я, — ведь она постоянно подсоединена по ethernet к роутеру, малонагружена (так как стоит на ней Ubuntu Server 16.04), разместить можно удобно, электричества потребляет мало.» Сказано — сделано.
              Читать дальше →
            • Знакомство с kube-spawn — утилитой для создания локальных Kubernetes-кластеров

              • Translation
              Прим. перев.: kube-spawn — достаточно новый (анонсированный в августе) Open Source-проект, созданный в немецкой компании Kinvolk для локального запуска Kubernetes-кластеров. Он написан на Go, работает с Kubernetes версий 1.7.0+, использует возможности kubeadm и systemd-nspawn, ориентирован только на операционную систему GNU/Linux. В отличие от Minikube, он не запускает виртуальную машину для Kubernetes, а значит, что overhead будет минимальным и все процессы, запущенные внутри контейнеров, видны на хост-машине (в т.ч. и через top/htop). Представленная ниже статья — анонс этой утилиты, опубликованный одним из сотрудников компании (Chris Kühl) в корпоративном блоге.

              Читать дальше →
            • Vulnerable Docker VM — виртуалка-головоломка по Docker и pentesting



                Британская компания NotSoSecure, специализирующаяся на penetration testing и ИТ-безопасности в целом, представила головоломку для специалистов по Docker под названием Vulnerable Docker VM.
                Читать дальше →
                • +15
                • 7.8k
                • 2
              • Обеспечение сетевой безопасности в кластере Kubernetes

                • Translation

                Сетевые политики (Network Policies) — это новая функциональность Kubernetes, которая за счет создания брандмауэров позволяет настроить сетевое взаимодействие между группами подов и других узлов сети. В этом руководстве я постараюсь объяснить особенности, не описанные в официальной документации по сетевым политикам Kubernetes.


                Функциональность сетевых политик стабилизировалась в Kubernetes 1.7. В этой статье их работа объясняется в теории и на практике. При желании вы можете сразу перейти к репозиторию с примерами kubernetes-networkpolicy-tutorial или к документации.

                Читать дальше →
                • +17
                • 4.9k
                • 1
              • Делимся опытом. Интеграция сервисов FirePOWER на Cisco ASA



                  Привет habr! В данной статье хотел поделиться опытом внедрения сервисов FirePOWER на межсетевом экране Cisco ASA. О том, что такое FirePOWER, SourceFIRE и т.д. уже достаточно много написано на хабре в блоге компании cisco тут и тут. В данной статье попробую в первую очередь описать процесс начальной инициализации решения с практической точки зрения, рассказать про нюансы и проблемы, с которыми приходилось столкнуться.
                  Читать дальше →
                  • +6
                  • 39.7k
                  • 2
                • Матрица прокрастинации (откладывания дел «на потом»)

                  • Translation
                  Для лучшего понимания этого поста, прочитайте сначала предыдущий пост про прокрастинацию.

                  Если бы, когда я учился в школе, вы спросили меня прокрастинатор ли я, я бы конечно ответил “да”. Учеников школы учат “держать темп” с крупными проектами. И я гордо держал темп больше чем кто-либо кого я знаю. Я никогда не пропускал дедлайн, но делал все ночью перед сроком сдачи работы. Я был прокрастинатором.

                  На самом деле я не был. Учебная программа в школе полна дедлайнов и коротких заданий. И даже долгие проекты состоят из промежуточных дедлайнов, которые не позволяют сильно расслабиться. Было всего несколько ужасных моментов, но в большинстве случаев, я все равно делал все в последнюю минуту, потому что знал, что все со мной будет хорошо, так почему бы нет.

                  Без всякого сомнения в моей голове была Обезьянка Немедленного Удовольствия, но она была милее всех на свете. С постоянно маячащими дедлайнами, Панический Монстр никогда не спал и Обезьянка знала об этом. Она конечно постоянно отвлекала, но не была за главного.

                  Мой мозг в школе:
                  image

                  Читать дальше →
                • Анализ комуникации из Tor сети в инфраструктуру с помощью ELK стека

                    ElasticSeach достаточно гибкая платформа, и полученные в него данные можно обрабатывать многими способами, даже за пределами стека ELK. Для этого предоставлено более десятка различных API. Но для многих задач будет достаточно и возможностей Kibana.

                    Одной из таких я хотел бы поделиться с сообществом. Для меня, как и любого безопасника, важно видеть и понимать коммуникацию своей инфраструктуры с внешним миром. Одной из самых интересных является коммуникация с луковой сетью (Tor).


                    Читать дальше →
                  • Корпоративные лаборатории Pentestit: разбор кейсов при проведении тестирования на проникновение

                      image

                      Корпоративные лаборатории Pentestit — уникальные по своему формату и содержанию курсы практической ИБ-подготовки, разработанные на основе лучших практик тестирования на проникновение и анализа защищенности, по уровню содержания сравнимые с материалами хакерских конференций. Вне зависимости от программ обучения, их ключевыми особенностями являются актуальный материал и практическая подготовка в пентест-лабораториях, составляющая 80% от общей программы курса. В данной статье мы продолжим разбирать базис команд и полезных трюков при проведении тестирования на проникновение.

                      Читать дальше →
                    • Скачиваем историю переписки со всеми пользователями ВКонтакте с помощью Python

                      Для лингвистического исследования мне понадобился корпус прямой речи, порожденной одним человеком. Я решил, что для начала удобнее всего использовать собственную переписку в ВК. Это статья о том, как скачать все сообщения, которые Вы когда-либо отправляли своим друзьям, используя программу на Python и API ВКонтакте. Для работы с API будем использовать библиотеку vk.
                      Читать дальше →
                    • Микроскопом по гвоздям: стоит ли ставить серверное железо в домашний ПК?

                        Привет, Гиктаймс! Народное поверье гласит, что трава у соседа всегда зеленее, а компьютеры, которые для своих нужд закупают дотошные предприниматели, надёжнее и производительнее, чем сдобренные маркетингом модели в рознице. Целая каста энтузиастов охотится на серверные комплектующие и боготворит производительность железа корпоративного класса. Разбираемся, действительно ли крупные организации плещутся в «IT-раю», или же гики сотворили себе идола из ничего?

                        Читать дальше →
                      • OVH: заказываем микро-сервер у крупнейшего хостера в мире

                          OVH — на данный момент является крупнейшим хостинг-провайдером в мире, 120 тысяч серверов в Европе и еще 360 тысяч — в Канаде. Дичайшая конкуренция на французском рынке держит цены на низком уровне (особенно на трафик).

                          Интерес эта компания у многих вызывала давно, до 2011-года они вообще работали только с резидентами ЕС, после — регистрироваться приходилось в разных отделениях в разное время, оставалось много неясных (для меня) вопросов. Их я и решил прояснить.

                          Под катом — краткий рассказ о том, в какой валюте придется платить, как избавиться от НДС, какие документы требуют и краткий тест выделенного сервера на Atom-е за 10 евро в месяц.
                          Читать дальше →