How to become an author
Search
Write a publication
Pull to refresh
7
Karma
0
Rating
@xcilessMore

Пользователь

Send message
Profile Publications 5Comments 297Bookmarks 230

Почему двухфакторная авторизация в Telegram не работает

Reading time3 min
Views72K
Information Security*
После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».

Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.

Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.

Происходит это следующим образом:
Читать дальше →
Total votes 34: ↑32 and ↓2+30
Comments92

Двухфакторная авторизация в Telegram всё ещё/снова не работает

Reading time1 min
Views15K
Information Security*
В конце мая этого года я писал Почему двухфакторная авторизация в Telegram не работает (с картинками).

Позже, где-то через месяц после публикации, это случилось с Сергеем Пархоменко — у него описанным образом угнали аккаунт.

После этого вроде как Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS.

Около двух недель назад я повторил свой майский эксперимент с угоном Telegram-аккаунта у самого себя — и всё снова получилось, точно так же, как и в прошлый раз.
Читать дальше →
Total votes 31: ↑25 and ↓6+19
Comments17

Высокотемпературная витая пара

Reading time4 min
Views21K
Interfaces*Prototyping*Manufacture and development of electronics*
Technotext 2021

Возникла задача – считывать данные по RS-422/485 с устройства в 30-50 метрах. Устройство очень сильно нагревается в процессе работы (по расчетам ~150 градусов). А также на месте работы устройства очень имеются непредсказуемые сильные электромагнитные помехи, поэтому оставлять сигнальные линии без скрутки было опасно потерей данных.

Температура не удивительная – подумаешь, небольшой нагрев. Но, подобные температуры – это даже не индустриальная электроника, это – космос, авиация, добыча нефти. Ладно, электроника, с ней понятно – слишком усложняется производство -> растет цена -> меньше заказов -> растут расходы. Но с кабелем-то не должно быть таких проблем? Это ведь просто медь в определенной оболочке/изоляции, так? Тем более, темная изоляция – под солнцем без ветра – должна очень сильно нагреваться. Я был полон уверенности, что вот, первая же страница поисковика даст мне ответ. Оказалось, что нет.

Одним из открытий для меня было, что “Огнестойкие кабели не работают при большой температуре.

Читать далее
Total votes 49: ↑49 and ↓0+49
Comments53

12 причин не идти в стартап

Reading time23 min
Views50K
Start-up developmentPersonnel Management*IT careerIT-companies
From sandbox
За последние 10 лет в мире IT довольно прочно укоренился ряд возвеличенных стереотипных представлений о стартапах. Этому во многом способствовали миллионные тиражи книг-биографий известных CEO, которые тогда, много лет назад основали свой стартап, а потом он вырос в гигантскую корпорацию вроде Google, Amazon, Facebook. Этому способствует и несколько однобокая и фрагментированная подача материалов в it-сообществах, в том числе и на habr.com. И вряд ли в этом можно кого-то винить, но попробовать разобраться и приоткрыть ту сторону медали, которая не так масштабно освещена, всё же можно.

Я адресую эту статью начинающим программистам, которые либо не имеют опыта работы вообще, либо имеют небольшой опыт (до 5 лет). Как показывает практика, именно эта категория людей имеет максимально искаженные представления о стартапах в сфере IT. Искаженные – в том смысле, что на вопрос «что можешь сказать положительного о стартапах?», они могут долго пересказывать чужие и в немалой степени устаревшие мысли, а на вопрос «что не так со стартапами?» — в ответ могут лишь неуверенно вопросить: «они могут не выстрелить?»

Эта статья предназначена тем, кто просто никогда не задумывался над вопросом, почему не стоит идти работать в стартап в качестве сотрудника. Поехали!
Читать дальше →
Total votes 120: ↑87 and ↓33+85
Comments220

BetterImage: новый инструмент для оптимизации изображений

Reading time3 min
Views4.9K
Website development*Open source*Image processing*Skillfactory corporate blogReactJS*
Translation
Если вы хотите написать приятный глазу сайт, достаточно ли немного фантазии с CSS и HTML? Большинство из нас ответили бы на этот вопрос ← нет. Мы хотим картинок, много картинок! Когда мы смотрим на большой сайт интернет-магазина или просто пост блога, наши взгляды естественным образом притягивают изображения между строками текста. Изображения помогают проиллюстрировать идеи, юмор или показывают детали товара, который мы покупаем.

Приятного чтения!
Total votes 17: ↑12 and ↓5+10
Comments2

Список задач vs Календарь — сравнение инструментов управления задачами

Reading time7 min
Views21K
Project management*GTD*Personnel Management*Brain

В этой статье я сравню 2 популярных инструмента для управления задачами — список задач и календарь. Сразу отмечу, что ни один инструмент не гарантирует чудесного выполнения ваших задач. Однако и списка и у календаря есть свои сильные стороны, в том числе и в контексте мотивации. В конце статьи я поделюсь своим выбором.



Сравнение внешнего вида Todoist и Google Calendar

Читать дальше →
Total votes 8: ↑6 and ↓2+8
Comments21

Система font fallback: что происходит, когда шрифт не может найти нужный символ

Reading time21 min
Views18K
Typography*BrowsersPopular science
Translation
image

Поднимите руку, если когда-нибудь сталкивались с такой ситуацией: вы получили текст со странными прямоугольниками или вопросительными знаками.


Или эмодзи при отправке выглядело нормально, но у получателя оно отобразилось в странно разобранном виде.


Вы видели, как пользователь Twitter использует крутые шрифты, хотя сайт, казалось бы, не разрешает выбирать шрифт.


Или вы разобрались, как использовать эти шрифты в Twitter, но кто-то попросил вас подумать о читателях или жаловался, что видит только пустые квадраты.
Читать дальше →
Total votes 51: ↑51 and ↓0+51
Comments15

Snoop Project невероятный инструмент интернет разведки, которого пользователи рунета ждали так долго — доступен

Reading time5 min
Views78K
Information Security*Search engines*Open source*Search engine optimization*
Technotext 2020
image

На Github-e выложен OSINT-инструмент, заточенный (в том числе) для поиска %username по СНГ локации


【Статья обновлена】в связи с развитием функционала Snoop Project.
Если вам до боли знаком такой софт, как namechk или spiderfoot, то «Snoop Project» вас явно порадует, он даёт «им» фору вместе взятым и это не желтый заголовок «Статья вечерняя» — это реальная «forensic-работа» по цифровым следам в киберпространстве…
Читать дальше →
Total votes 42: ↑28 and ↓14+23
Comments67

Так ли токсичен синтаксис Rust?

Reading time19 min
Views49K
Programming*System Programming*Industrial Programming*Rust*
fn main() {
  println!("Hello, Rust!");
  println!("... Goodbye!");
}

Синтаксис — это первое, на что обращают внимание разработчики, впервые столкнувшись с кодом на Rust. И сложно найти что-то другое, что вызывало бы больше негодования у новичков, и при этом такое, к чему совершенно спокойно относятся уже "понюхавшие пороха" Rust-программисты. Посмотрите, например, сколько эмоций вызывает синтаксис Rust у комментаторов одной из типичных новостей про Rust на OpenNET:

Читать дальше →
Total votes 118: ↑102 and ↓16+120
Comments737

Автономный способ обхода DPI и эффективный способ обхода блокировок сайтов по IP-адресу

Reading time7 min
Views701K
Network technologies*
Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.

Существует два распространенных типа подключения DPI: пассивный и активный.

Пассивный DPI

Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.
Читать дальше →
Total votes 212: ↑212 and ↓0+212
Comments352

Как легко расшифровать TLS-трафик от браузера в Wireshark

Reading time2 min
Views157K
Information Security*Browsers
Translation
Многим из вас знаком Wireshark — анализатор трафика, который помогает понять работу сети, диагностировать проблемы, и вообще умеет кучу вещей.

image

Одна из проблем с тем, как работает Wireshark, заключается в невозможности легко проанализировать зашифрованный трафик, вроде TLS. Раньше вы могли указать Wireshark приватные ключи, если они у вас были, и расшифровывать трафик на лету, но это работало только в том случае, если использовался исключительно RSA. Эта функциональность сломалась из-за того, что люди начали продвигать совершенную прямую секретность (Perfect Forward Secrecy), и приватного ключа стало недостаточно, чтобы получить сессионный ключ, который используется для расшифровки данных. Вторая проблема заключается в том, что приватный ключ не должен или не может быть выгружен с клиента, сервера или HSM (Hardware Security Module), в котором находится. Из-за этого, мне приходилось прибегать к сомнительным ухищрениям с расшифровкой трафика через man-in-the-middle (например, через sslstrip).

Логгирование сессионных ключей спешит на помощь!


Что ж, друзья, сегодня я вам расскажу о способе проще! Оказалось, что Firefox и Development-версия Chrome поддерживают логгирование симметричных сессионных ключей, которые используются для зашифровки трафика, в файл. Вы можете указать этот файл в Wireshark, и (вуаля!) трафик расшифровался. Давайте-ка настроим это дело.
Читать дальше →
Total votes 83: ↑82 and ↓1+81
Comments22

Первые несколько миллисекунд HTTPS соединения

Reading time10 min
Views168K
Information Security*Cryptography*IT Standards*
Translation
После нескольких часов чтения обзоров, Боб с нетерпением нажал на кнопку перехода к оформлению заказа на галлон цельного молока, и…
Воу, что только что произошло?


Интересно? Прошу под кат
Total votes 242: ↑237 and ↓5+232
Comments36

Декодирование ipsec в Linux

Reading time3 min
Views16K
Configuring Linux*System administration*Server Administration*
Tutorial
Иногда возникает необходимость снять дамп трафика внутри ipsec тоннеля. Я расскажу как это сделать в случае ipsec, поднятом на Linux сервере с PSK аутентификацией при помощи wireshark.

Подробности
Total votes 15: ↑14 and ↓1+13
Comments6

Wireshark — приручение акулы

Reading time10 min
Views1.1M
Information Security*System administration*Network technologies*
Tutorial


Wireshark — это достаточно известный инструмент для захвата и анализа сетевого трафика, фактически стандарт как для образования, так и для траблшутинга.
Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+ и мощнейшую систему фильтров.
Кроссплатформенный, работает в таких ОС как Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, и, естественно, Windows. Распространяется под лицензией GNU GPL v2. Доступен бесплатно на сайте wireshark.org.
Установка в системе Windows тривиальна — next, next, next.
Самая свежая на момент написания статьи версия – 1.10.3, она и будет участвовать в обзоре.

Зачем вообще нужны анализаторы пакетов?
Для того чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем.
Вполне очевидно, что для того чтобы максимально эффективно использовать снифферы или анализаторы трафика, необходимы хотя бы общие знания и понимания работы сетей и сетевых протоколов.
Так же напомню, что во многих странах использование сниффера без явного на то разрешения приравнивается к преступлению.

Начинаем плаванье


Для начала захвата достаточно выбрать свой сетевой интерфейс и нажать Start.
Читать дальше →
Total votes 207: ↑202 and ↓5+197
Comments60

Выбираем лучшее приложение для заметок, ускорения производительности и управления задачами

Reading time8 min
Views129K
Skillfactory corporate blogStudying in ITReading roomLifehacks for geeks
Translation
Прошлую неделю я провёл в поиске приложения для заметок, которое было бы идеально для использования каждый день. После некоторого обширного исследования я нашёл на рынке множество хороших вариантов. Задача свелась к анализу различных параметров приложений, чтобы найти подходящее.

Каждое приложение имеет свои недостатки и преимущества. Некоторые параметры, от которых зависит качество приложений, — это синхронизация в реальном времени, возможность совместной работы, поддержка Markdown, возможность писать быстро, поиск по тексту, аннотирование изображений, безопасность и приватность, небольшая стоимость и другие параметры. Присмотримся к 8 лучшим приложениям для заметок, которые помогут найти идеальное для вас решение.

Приятного чтения
Total votes 19: ↑18 and ↓1+22
Comments76

Vivaldi 3.3 — Делаем передышку в работе

Reading time2 min
Views6.4K
BrowsersVivaldi Technologies AS corporate blog


Привет, Хабр!

Прочитав заголовок, вы можете подумать, что разработчики браузера Vivaldi устали и решили взять небольшую паузу в работе. Но не пугайтесь — разработчики Vivaldi не только не собираются отдыхать, они даже наращивают темпы разработки всеми нами любимого браузера, и сегодняшний релиз — тому подтверждение. В новой версии Vivaldi для десктопов появилось несколько очень интересных и полезных новинок, и главная из них как раз связана с паузой в работе. Но не нашей, а вашей — ведь новая функция предназначена для пользователей и реализована по их запросу. Итак, давайте обо всём по порядку.
Читать дальше →
Total votes 14: ↑12 and ↓2+11
Comments85

Восемь золотых правил Шнейдермана помогут вам создать лучший интерфейс

Reading time8 min
Views15K
Web design*Typography*Interfaces*DesignBrain
Translation


Восемь золотых правил Шнейдермана помогут вам создать лучший интерфейс


Следуйте «Восьми золотым правилам дизайна интерфейса» Бена Шнейдермана, если вы хотите создавать великолепные, производительные и не вызывающие разочарований пользовательские интерфейсы. Apple, Google и Microsoft являются одними из самых успешных компаний, чьи хорошо продуманные продукты отражают правила Шнейдермана. Характеристики, полученные из золотых правил Шнейдермана, могут быть признаны в различных руководствах по пользовательскому интерфейсу, разработанных корпоративными гигантами, такими как упомянутые выше компании. Визуальное воплощение этих правил становится еще более очевидным в создаваемых ими популярных интерфейсах. Эта статья научит вас улучшать свою работу, интегрируя 8 золотых правил.
Читать дальше →
Total votes 18: ↑14 and ↓4+10
Comments16

Этот восхитительный Юникод

Reading time27 min
Views94K
Typography*IT Standards*
Translation


Перед вами обновляемый список самых замечательных «вкусностей» Юникода, а также пакетов и ресурсов

Юникод — это потрясающе! До его появления международная коммуникация была изнурительной: каждый определял свой отдельный расширенный набор символов в верхней половине ASCII (так называемые кодовые страницы). Это порождало конфликты. Просто подумайте, что немцам приходилось договариваться с корейцами, где чья кодовая страница. К счастью, появился Юникод и ввёл общий стандарт. Юникод 8.0 охватывает более 120 000 символов из более 129 письменностей. И современные, и древние, и до сих пор не расшифрованные. Юникод поддерживает текст слева направо и справа налево, наложение символов и включает самые разные культурные, политические, религиозные символы и эмодзи. Юникод потрясающе человечен, а его возможности сильно недооцениваются.
Читать дальше →
Total votes 64: ↑64 and ↓0+64
Comments56

AMA с Хабром, #14: минус-реформа и закрытие TMFeed

Reading time3 min
Views12K
HabrHabr corporate blog
Ну что, друзья, уже поедаете мандарины и немного раздражаетесь на новогодний антураж повсюду? Мы тоже. А значит, наступил самый конец ноября — время очередной виртуальной встречи пользователей и сотрудников Хабра. В этот раз у нас, как и за окном, всё дело в минусе.


Читать дальше →
Total votes 141: ↑120 and ↓21+178
Comments303

В криптософте TrueCrypt обнаружены критические уязвимости

Reading time2 min
Views47K
Information Security*Cryptography*Positive Technologies corporate blog


Член команды Google Project Zero Джеймс Форшоу (James Forshaw) обнаружил две критические уязвимости в драйвере TrueCrypt, который программа устанавливает в Windows-системах. Ошибки безопасности CVE-2015-7358, CVE-2015-7359 позволяют злоумышленникам осуществить эскалацию привилегий, получив полные права администратора и доступ ко всем данным пользователя даже в том случае, если они зашифрованы.
Читать дальше →
Total votes 48: ↑46 and ↓2+44
Comments32
12 ...
67
8
9

Information

Rating
Does not participate
Location
Воронеж, Воронежская обл., Россия
Registered
Activity

Your account

Sections

Information

Services

Support
© 2006–2024, Habr