• Развитие маркетинга в малом бизнесе

    • Tutorial


    Спустя 11 лет на Хабре, 12 лет в маркетинге, сотни часов лекций и выступлений, я решил отдать всё, что знаю о маркетинге, бесплатно, без регистрации, рекламы, СМС и email-подписок. В результате на YouTube появился онлайн-курс для владельцев и маркетологов микро-, малого и среднего бизнеса, который называется «Сумма маркетинга».


    77 занятий, 10 модулей, 18,5 часов видео без рекламы и десятки практических домашних заданий доступны на YouTube. А вот тут — основной сайт курса. А ещё — такие же видео-плейлисты ВКонтакте.

    И, конечно, полное содержание со ссылками на уроки
  • Эффективный сайт стартапа: как понравиться клиентам, партнерам и инвесторам одним сайтом



    Вот уже три года я консультирую резидентов Технопарка «Сколково» по вопросам маркетинга, видел и анализировал сотни сайтов молодых компаний, а теперь пришло время делиться. Делиться опытом и знаниями о том, как сделать эффективный сайт стартапа — тот, который приведет клиентом, партнеров и инвесторов.
    Читать дальше →
  • В каких странах выгодно регистрировать IT-компании в 2019 году

    IT-бизнес остаётся направлением с высокой маржинальностью, далёко опережая производство и некоторые другие виды услуг. Создав приложение, игру или сервис, можно работать не только на локальных, но и на международных рынках, предлагая услуги миллионам потенциальных клиентов.

    image

    Однако, когда речь заходит о ведении международного бизнеса, любой айтишник понимает: компания в России и СНГ проигрывает по многим параметрам своим иностранным коллегам. Даже крупные холдинги, которые работают в первую очередь на внутренний рынок, зачастую выносят часть мощностей за пределы страны.

    То же касается и компаний поменьше, но вдвойне актуальным решение о переносе компании за границу становится тогда, когда клиенты расположены по всему миру.

    Я составила список стран, где в 2019 году интересно и выгодно регистрировать компании для ведения IT-бизнеса. Единственная оговорка – не проговаривались особенности регистрации Fintech-стартапов, которым нужно получать лицензию на выпуск электронных денег или на ведение банковской деятельности.

    Что нужно учитывать при выборе страны для регистрации IT-компании?


    Выбирая страну для регистрации компании, работающей на международном рынке, нужно учитывать несколько факторов.

    Читать дальше →
  • Криптографические атаки: объяснение для смятённых умов

    • Translation
    При слове «криптография» некоторые вспоминают свой пароль WiFi, зелёный замочек рядом с адресом любимого сайта и то, как трудно залезть в чужую почту. Другие вспоминают череду уязвимостей последних лет с говорящими аббревиатурами (DROWN, FREAK, POODLE...), стильными логотипами и предупреждением срочно обновить браузер.

    Криптография охватывает всё это, но суть в ином. Суть в тонкой грани между простым и сложным. Некоторые вещи просто сделать, но сложно вернуть обратно: например, разбить яйцо. Другие вещи легко сделать, но трудно вернуть обратно, когда отсутствует маленькая важная решающая часть: например, открыть запертую дверь, когда «решающая часть» является ключом. Криптография изучает эти ситуации и способы их практического использования.

    За последние годы коллекция криптографических атак превратилась в зоопарк кричащих логотипов, набитых формулами научных статей и породила общее мрачное ощущение, что всё сломано. Но на самом деле многие из атак основаны на нескольких общих принципах, а бесконечные страницы формул часто сводятся к простым для понимания идеям.
    Читать дальше →
  • Ещё лучшая ZIP-бомба

    • Translation
    В статье показано, как создать нерекурсивную zip-бомбу, которая обеспечивает высокую степень сжатия путём перекрытия файлов внутри zip-контейнера. «Нерекурсивная» означает, что она не зависит от рекурсивной распаковки декомпрессорами файлов, вложенных в zip-архивы: здесь всего один раунд. Выходной размер увеличивается квадратично от входного, достигая степени сжатия более 28 миллионов (10 МБ → 281 ТБ) в пределах формата zip. Ещё большее расширение возможно с помощью 64-разрядных расширений. Конструкция использует только наиболее распространённый алгоритм сжатия DEFLATE и совместима с большинством парсеров zip.

    • zbsm.zip 42 kB → 5.5 GB
    • zblg.zip 10 MB → 281 TB
    • zbxl.zip 46 MB → 4.5 PB (Zip64, менее совместима с парсерами)

    Исходный код:
    git clone https://www.bamsoftware.com/git/zipbomb.git
    zipbomb-20190702.zip

    Данные и исходники иллюстраций:
    git clone https://www.bamsoftware.com/git/zipbomb-paper.git
    Читать дальше →
  • Атаки на домен


      При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена. Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена.

      К примеру, по итогам пентеста в одной компании мы пришли к выводу, что все доступные машины в домене были не ниже Windows10/Windows Server2016, и на них стояли все самые свежие патчи. Сеть регулярно сканировалась, машины хардились. Все пользователи сидели через токены и не знали свои «20-символьные пароли». Вроде все хорошо, но протокол IPv6 не был отключен. Схема захвата домена выглядела так:

      mitm6 -> ntlmrelay -> атака через делегирование -> получен хеш пароля локального администратора -> получен хеш пароля администратора домена.

      К сожалению, такие популярные сертификации, как OSCP, GPEN или CEH, не учат проведению тестирования на проникновение Active Directory.

      В этой статье мы рассмотрим несколько видов атак на Active Directory, которые мы проводили в рамках пентестов, а также используемые инструменты. Это ни в коем случае нельзя считать полным пособием по всем видам атак и инструментам, их действительно очень много, и это тяжело уместить в рамках одной статьи.

      Итак, для демонстрации используем ноутбук на Kali Linux 2019 и поднятые на нем виртуальные хосты на VMware. Представим, что главная цель пентеста — получить права администратора домена, а в качестве вводных данных у нас есть доступ в корпоративную сеть компании по ethernet. Чтобы начать тестировать домен, нам понадобится учетная запись.
      Читать дальше →
    • Как использовать запятые в английском: 15 правил и примеры ошибок

      • Translation


      Пунктуация очень важна, если вы хотите донести свою мысль четко, и получить ожидаемую реакцию. Однако в английском языке пунктуация серьезно отличается от того, к чему мы привыкли в русском языке. Более того, она отличается и в различных разновидностях английского.

      В общем, здесь немало трудных моментов, разобраться с которыми самостоятельно может быть нелегко. Я нашла интересный пост с правилами использования запятых в английском языке и примерами ошибок. Представляю вашему вниманию его адаптированный перевод.
      Читать дальше →
    • Как улучшить уровень письменного английского: практические советы и полезные инструменты

      • Translation


      В современном мире значительная часть взаимодействий между людьми происходит в интернете, и очень часто в письменной форме. Так что повышение уровня письменного английского – важная задача в практическом обучении. Я нашел неплохой материал с подборкой полезных советов и инструментов по этой теме и немного его адаптировал.
      Читать дальше →
      • +8
      • 8.2k
      • 5
    • 6 полезных инструментов для запуска стартапа в США



        США привлекает основателей проектов со всего мира, однако сам процесс переезда, основания и развития компании в новой стране далеко не прост. К счастью, технологии не стоят на месте, и уже существуют сервисы, которые автоматизируют и помогают решить многие задачи на всех этапах этого приключения. В сегодняшней подборке – шесть таких полезных инструментов, которые пригодятся любому основателю.
        Читать дальше →
        • +14
        • 3.2k
        • 4
      • Подборка: 5 полезных сервисов для написания статей на английском



          Всем привет! Меня зовут Марго, я профессиональный маркетолог и редактор, в последние пару лет фокусируюсь на продвижении за рубежом и много пишу на английском. Я решила поделиться ссылками на приложения и сайты, которые помогают мне в ежедневной работе при создании контента. Надеюсь, список поможет изучающим английский и тем, кто публикует англоязычные материалы на Хабре.
          Читать дальше →
        • 6 полезных ресурсов и сервисов для потенциальных эмигрантов в США, Германию и Канаду



            С недавних пор я активно заинтересовался темой переезда за границу, и в связи с этим изучил существующие сейчас сервисы, которые оказывают помощь в переезде ИТ-специалистам. К моему удивлению, далеко не так много проектов помогают потенциальным иммигрантам. Пока что я отобрал шесть сайтов, которые показались мне интересными.
            Читать дальше →
          • Эмулятор ЭВМ из 80-х в браузере

              PCjs Machines — эмулятор вычислительных систем 1970–1990 годов. Он работает в обычном браузере. Рассказываем, чем примечателен проект и какие машины есть в его библиотеке.

              Читать дальше →
            • Несколько способов подделки PDF с цифровой подписью


                Рис. 1. Процедура инкрементального сохранения, на которой основаны цифровые подписи PDF. По результатам тестирования, это самый эффективный способ подделки документов

                Теоретически, цифровые подписи PDF надёжно удостоверяют автора документа. Но на практике обработку PDF обычно осуществляет проприетарный софт, который не совсем корректно выполняет проверку. Специалисты Рурского университета в Бохуме (Германия) описали несколько вариантов подделки PDF-документов с цифровой подписью, которые срабатывают в большинстве программ просмотра PDF и сервисов онлайновой проверки.

                Защита от всех атак обеспечивается только в единственной программе, да и та работает под Linux.
                Читать дальше →
              • Как они это делают? Обзор технологий анонимизации криптовалют

                  Наверняка вы, как пользователь биткоина, эфира или любой другой криптовалюты, были обеспокоены тем, что любой желающий может видеть, сколько монет у вас в кошельке, кому вы их переводили и от кого получали. Вокруг анонимных криптовалют ходит много споров, но кое с чем нельзя не согласиться — как сказал управляющий проектом Monero Рикардо Спаньи (Riccardo Spagni) в своем Twitter-аккаунте: «Что если я просто не хочу, чтобы кассир в супермаркете знал, сколько денег у меня на балансе и на что я их трачу?»

                  image

                  В этой статье мы рассмотрим технологический аспект анонимности — как они это делают, и приведем краткий обзор наиболее популярных методов, их плюсы и минусы.
                  Читать дальше →
                • Рабочее место и 4k@60Hz

                    Доброго времени суток уважаемые читатели, под катом рассказывается о выборе способа подключения 4k монитора к ноутбуку и подводных камнях совсем не новых технологий. Возможно такой пользовательский опыт и выводы будут кому-то полезны при выборе и покупке железа, особенно учитывая тот факт, что его стоимость неуклонно растёт относительно средней покупательной способности населения.

                    Читать дальше →
                  • English notes #1: Заканчивай с этим «very»

                      Прим. ред.: Этой статьёй мы начинаем цикл публикаций, посвящённых английскому языку и подготовленных нашим штатным учителем для инженеров компании (в данном случае — на основе видеоурока engVid, JamesESL English Lessons). С одной стороны — нам нужно изучать язык, с другой — нравится это делать, а с третьей — почему бы не разбавить технические материалы своего блога? Ваши отзывы очень приветствуются!

                      Слово «very» очень популярно в английском языке, да и не только. Однако, употребляя его слишком часто, вы можете прослыть косноязычным или попросту Эллочкой-людоедочкой.



                      Как известно, в великом романе-эпопее «Война и Мир» Лев Николаевич не совершает повторов на протяжении каждых трех страниц(!). Не это ли искусство? Однако, не будем долго мечтать — let's get down to business.
                      Читать дальше →
                    • Google Public DNS тихо включили поддержку DNS over TLS



                        Внезапно, без предварительного анонса, на 8.8.8.8 заработал DNS over TLS. Ранее Google анонсировал только поддержку DNS over HTTPS.

                        Публичный резолвер от компании CloudFlare с IP-адресом 1.1.1.1 поддерживает DNS over TLS с момента запуска проекта.

                        Зачем это нужно


                        При использовании классической схемы DNS, провайдеры могут лезть своими грязными лапами в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.

                        C DNS over TLS/HTTPS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.

                        А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.

                        Как это работает


                        На порт TCP:853 выполняется TLS-подключение, при этом проверка сертификата резолвера происходит с использованием системных корневых сертификатов, точно так же, как HTTPS в браузере. Это избавляет от необходимости добавлять какие-либо ключи вручную. Внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу.

                        К сожалению, на текущий момент только в Android 9 (Pie) поддержка DNS over TLS встроена в системный резолвер. Инструкция по настройке для Android 9.

                        Для остальных систем предлагается использовать сторонний демон, а системный резолвер направлять на localhost (127.0.0.1).

                        Настройка на macOS


                        Разберем настройку DNS over TLS на последней версии macOS, на примере резолвера knot
                        Читать дальше →
                      • Как украсть деньги с бесконтактной карты и Apple Pay

                          Как украсть деньги с бесконтактной карты из кармана? Насколько безопасен PayPass и Apple Pay?

                          В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

                          Рассматриваемые темы:

                          • Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
                          • В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
                          • Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
                          • Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
                          • Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

                          Внимание!

                          В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

                          Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.
                          Читать дальше →
                        • Прямое сравнение методов лазерной коррекции миопии или за что вы платите при выборе ReLEx SMILE

                            Сравнение методов лазерной коррекции зрения

                            Мы тут «починили» лазером Boomburum, и в посте, где он рассказывал про свои новые глаза, разгорелась дискуссия на тему сравнения ФРК-методов, LASIK-методов и SMILE-методов. Мы (имею в виду немецкий холдинг SMILE EYES, куда входит наша российская клиника) делаем все три вида операций, но абсолютные сторонники того метода, который даст больше при потере меньшего. Таким образом, любой вид LASIK или ФРК рекомендуется только тогда, когда SMILE невозможен: во-первых, при дальнозоркости (это совсем другая история), во-вторых — в случаях больной или поврежденной роговицы (например, с рубцами). Но и, конечно, учитывается экономическая сторона.

                            Казалось бы, я в первых постах объяснила, почему так. Но в комментариях к посту видно, что этого было недостаточно. Поэтому давайте сделаем всё по правилам научной дискуссии. Разберём тезисы и приведём соответствующие исследования к ним.

                            Именно так поступают в научном и медицинском мире. Если есть мнение – его нужно обосновать. Желательно, на выборке от 20 и более пациентов с одинаковым распределением в двойном исследовании. Желательно – чтобы исследования подтверждались разными клиниками в разных странах, где проводятся такие виды операций.

                            Давайте начнём.
                            Читать дальше →
                          • Гид по владению аккаунтами и контрактами в Ethereum

                            • Tutorial


                            Материал, который мы решили сегодня опубликовать, родился уже около 6 месяцев назад и до сих пор не потерял своей актуальности (может быть, пришлось его чуть-чуть освежить). Тогда мы еще были способны удивляться, глядя на бизнесменов и стартаперов, намеревающихся проводить ICO, но при этом не способных сделать транзакцию с переводом одной эфирки. Сегодня мы уже перестали удивляться, но таких персонажей не стало сильно меньше.


                            Вообще, понимание важности безопасного хранения своих секретных ключей и умение это делать — основа децентрализованной экономики, которая, как мы надеемся, скоро существенно потеснит классическую централизованную модель. Нужно чётко понимать, что как только вы передаете управление своим секретным ключом кому-либо — например банку, бирже, государству — так сразу магия децентрализации пропадает, и можно спокойно менять блокчейн на Postgres без особой потери смысла. Короче говоря, в этой статье мы и расскажем об азах безопасного хранения приватных ключей на примере блокчейна Ethereum.


                            Если для вас эта статья не несет ничего нового — супер, мы очень рады, что вы в нашем «клубе». И, кстати, теперь у вас есть куда отправлять всех криптонеофитов, чтобы они случайно не потеряли по глупости все свои эфирки.

                            Читать дальше →
                            • +28
                            • 17.8k
                            • 7