Все потоки

Как выглядит веб-приложение с точки зрения злоумышленника?

Чтобы ответить на этот вопрос, сегодня мы возьмем заведомо уязвимое приложение и на его примере разберемся, как искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде.

Вы можете развернуть учебную среду на своей машине, повторять команды и проверять результаты их выполнения на вашем экземпляре приложения. Для демонстрации техник разведки и инструментов я использую общеизвестные уязвимые ресурсы: demo.testfire и testphp.vulnweb. Их URL я положил в workshop/urls.txt в репозитории проекта.

Дисклеймер: статья носит ознакомительный характер, и любые попытки злоупотребления данной информацией незаконны и могут повлечь за собой уголовное преследование в соответствии со статьями 272 и 273 УК РФ.

DJI превратила дрон из игрушки для гиков в технологичный гаджет, и параллельно покорила мировой рынок видео. Но знаете, что самое удивительное? Их главный продукт - вовсе не дроны. Настоящий двигатель успеха DJI скрыт внутри, и именно он сделал компанию глобальным лидером. Разбираемся, что это за технология.

Никак не могу оставить в прошлом, одну историю, произошедшую со мной больше 7 лет назад.

На тот момент я, еще студент последнего курса универа, только получил свою первую работу в IT... Как сейчас помню свои эмоции. Наконец-то, спустя годы подготовок и отказов, вот, наконец получаешь свойпервый «настоящий» проект. Осмотревшись по сторонам, понимаю, что кругом меня не то что других джунов нет, но даже мидлов. Сплошные синьоры и лиды, как тогда казалось — грозные дядьки, с большим опытом... Ну ничего, сейчас я им покажу, что такое «молодая гвардия» 😂.

Получаю компьютер, креды для доступа, мне подробнее рассказывают про проект, присылают ссылки на минимальный набор сервисов, что нужно будет локально поднять для работы и отправляют настраивать окружение. В первый же день я сломал заботливо предустановленную мне убунту 😂 (удалил «не ту» версию питона, которая, как выяснилась, очень нужна), ну да ладно, мелочи, с кем не бывает?

Установил минт, начал настраивать IDE, окружение, забрал себе нужные сервисы, вроде все хорошо, НО в одном из сервисов стабильно падает один и тот же тест. Запускаю отдельно — все хорошо и стабильно. Запускаю через сборщик (mvn test) — падение. Пытаюсь разобраться, что происходит — ничего не понятно. Тест падает из‑за мока, которого вообще нет в этом тестовом сценарии. Больше того, смущает ситуация, что ни на ci, ни у кого из коллег такого не происходит. Тест стабилен, да и в нем не меняли ничего уже довольно давно. Вывод: проблема на моей стороне и разбираться мне с ней самому.

10 новых российских продуктов для доставки вебхуков, мониторинга цен на туры, расчета юнит-экономики для товаров на маркетплейсах и многого другого. Битва за «Продукт недели» началась!

Product Radar — здесь каждую неделю публикуются лучшие онлайн-сервисы и железки от русскоязычных команд.

Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000 репозиториев через npm с кражей учетных данных на этапе preinstall. Вредоносные (троянизированные) пакеты npm загрузили в реестр между 21 и 23 ноября 2025 года.

Подобно атаке Shai-Hulud, выявленной в сентябре 2025 года, нынешняя версия также публикует украденные секреты в GitHub, но теперь с описанием репозитория «Sha1-Hulud: The Second Coming» — «Sha1-Hulud: Второе пришествие».

Такая вот незатейливая формула. Спрут 1 – это Test Access Point и Data Diode в одном флаконе. КДПВ перед Вами.

Не все знают, что среди айтишных лидеров мнений есть довольно популярная точка зрения, что пулл-реквесты в корпоративной разработке - это далеко не оптимальная практика.

Короче, давайте с источниками и мемчиками пройдемся по теме ревью и пулл-реквестов.

Если вы пользуетесь Гугл календарём, то стандартное напоминание выглядит как «ДР у Петра» и очень хорошо что Гугл теперь отображает и саму дату рождения — ещё несколько лет назад этого не было. Приходилось гадать — сколько лет‑то человеку?

Хотя задача упрощается и дата рождения уже перед глазами, а контакт можно открыть одним кликом, но всё равно приходится считать в уме — это круглая дата или нет?

В 2025 году с отображением даты рождения стало гораздо проще, но проблема стара как сам Google Calendar. В 2019 году я уже писал о попытках решить её разными способами: через громоздкие скрипты и старые методы Calendar API в 2022 году. Но многое из того давно сломалось, а Calendar API устарело.

Поэтому сейчас решил сделать через People API аккуратную автоматизацию, которая будет показывать в календаре не только «ДР у Ивана», но и сколько ему исполняется.

Данная статья — это своего рода продолжение Верификация цифровых схем. Обзор.. В ней хотелось показать некоторые типы тестовых окружений для функциональной верификации и особенности работы с ними.

Хотя у каждой компании/проекта есть свой маршрут функциональной верификации, возникший в определённых обстоятельствах — порождение опыта, ошибок и обстоятельств, — не всегда применяемые там решения являются предметом гордости.

И если вам случилась такая удача — разработать новое тестовое окружение или переработать существующее, — данный материал может подтолкнуть в сторону оптимального варианта в некоторых случаях. Может, и не подтолкнуть… или подтолкнуть не туда...

Хочу обратить внимание на слово функциональный: в данной статье я не буду затрагивать формальную верификацию и эмуляцию, т.к. эти темы довольно большие сами по себе.

Есть разные способы понять, что именно происходит в нашем мозге. Можно наблюдать за мозгом через сканы МРТ или посредством вскрытия. Можно выращивать органоиды – небольшие пласты нейронов, которые коммуницируют друг с другом. И даже использовать эти органоиды как процессор на биореакторе. Можно еще имитировать процессы мозга, используя вычислительные мощности и создавая 3D модели… Но можно ли вырастить мозг в лаборатории? Да, можно. Если использовать адекватные строительные леса.

Мы медленно вступаем в 4-ю промышленную революцию, где интернет-пространство существует не отдельно, а влияет на реальность, и наоборот. Вследствие объединения технологий и принципов телефонной связи и компьютерных систем появился тот интернет, какой мы знаем сейчас.

И наш основной способ взаимодействия с глобальной паутиной — смартфоны. Они пришли взамен обычным кнопочным телефонам, чтобы на экране было проще потреблять медиаконтент. А после и создавать. Именно в таком ключе смартфоны развивались и развиваются сейчас, из последнего нововведения можно назвать тесную интеграцию нейросетей для упрощения генерации контента в соц сети или управления ресурсами устройства. Но принципиально способ взаимодействия не менялся.

Технологии улучшались, адаптировался интернет, развивались облачные сервисы, но сам концепт использования интернета в повседневной жизни посредством смартфона не менялся. Планшеты и ноутбуки стали более портативными и удобными, но всё же это не то. Неужели нам и не нужно замены смартфону? Или всё-таки можно проследить тенденцию и увидеть, куда нас в будущем может привести желание комфорта и большей интеграции в интернет-пространство? Интеграция в 4-ю промышленную революцию?

Я вижу двух кандидатов: очки AR и складные смартфоны. И если о «раскладушках» можно дискутировать и спорить, что это не нечто новое, а улучшение смартфона (но про это мы поговорим в другой раз), то очки — принципиально новое устройство для взаимодействия с интернетом и реальностью.

В последние годы вопросы защиты персональных данных в образовании вышли на первый план из-за участившихся инцидентов. Регулятор требует, чтобы детские сады оформляли все документы по новым правилам и не допускали утечек данных воспитанников. К тому же родители стали более осведомлены о своих правах: жалобы в случае разглашения информации о ребенке могут привести к проверке и санкциям. Одной публикации на сайте списка детей или фотографий без согласия достаточно, чтобы создать проблемную ситуацию. Таким образом, владеть базовыми знаниями о 152-ФЗ сегодня необходимо каждому руководителю ДОУ. Поэтому, а еще потому что у большинства детских садов нет собственного специалиста по защите персональных данных, а приглашать внешнего эксперта часто не позволяет бюджет я решил написать эту статью. Надеюсь она поможет разобраться ответственным лицам (заведующим, директорам, юристам дошкольных образовательных учреждений (ДОУ)).

Большинство общих обзоров закона о персональных данных, к сожалению, мало пригодны для решения практических задач в детском саду. Моя цель – изложить требования максимально прикладным языком, с акцентом на реальных ситуациях ДОУ. Предположу, что читателю уже знакомы базовые понятия: кто такой оператор и лицо, действующее по поручению оператора, какие принципы обработки данных установлены законом, что включает в себя политика оператора по ПДн, а также общие меры защиты информации. Не вдаваясь глубоко в теорию, сконцентрируюсь на специфике дошкольных учреждений и дам пошаговые рекомендации. Статья структурирована так, чтобы ее можно было легко прочитать и использовать как справочник – вы сможете цитировать отдельные разделы или пересылать коллегам.

В последнее время часто всплывает опенсорс-тул для создания приложений - Spec Kit. Его авторы утверждают, что инструмент «помогает сосредоточиться на сценариях использования и предсказуемых результатах, а не на вайб-кодинге с нуля». 50 тысяч звёзд на GitHub звучит убедительно и ложится в концепцию Context Engineering от Андрея Карпаты. Это еще описывается как Spec-Driven Development (SDD) подход (неужели я где-то это уже слышал?) - создание серьезной документации перед тем как начинать оголтело вайбкодить разработку. Мы (ТГ канал для разработчиков использующих AI) решили разобраться, что это за зверь Spec Kit, и сравнить его с нашим текущим подходом.

Уважаемая администрация ресурса Хабр!

Сделайте пожалуйста возможность банить индивидуальных пользователей в комментариях по тому же принципу, как вы это сделали для публикаций на сайте!

Сейчас при элементарной генерации текста с помощью ИИ (Имитацией Интеллекта), этот самый интеллект пропадает у отдельных пользователей, что доставляет не только моральные страдания остальным читателям Хабра, но и вызывает серьезное раздражение портянки LLM шлака в комментариях к статьям.

А если вы добавите в профилях всех пользователей, кроме значений Кармы и Рейтинга, еще и подсчет количества Банов (у скольких пользователей текущий человек находится в черном списке), то это будет супер полезная информация в самом начале дискуссии.

Заранее спасибо за обратную связь и надеюсь на скорую реализацию подобного функционала!

Илон Маск замахнулся на 200 миллиардов чипов в год. Ян Лекун, главный учёный по искусственному интеллекту Meta, покидает компанию после 12 лет работы. В ChatGPT интегрировали TripAdvisor. Google запустила Gemini 3 с режимом Deep Think. Microsoft призналась в том, что у винды проблемы, а WhatsApp* допустил утечку 3,5 млрд номеров пользователей.

В этой статье разберём, во сколько обходится LLM-сервис при нагрузке в 100 000 диалогов в день и где проходит граница окупаемости разных вариантов. Посмотрим на стоимость облачных API, аренды GPU и собственного железа, а заодно прикинем, какая инфраструктура нужна, чтобы всё это выдержало боевой трафик.

Всем привет!

Многопоточность в Java не стоит на месте, а многие до сих пор используют только synchronized и создают потоки через new Thread(). С этого дня я запускаю серию уроков по современной многопоточности: как её правильно строить, в чём преимущества новых подходов по сравнению со старыми и что из классики всё ещё стоит использовать. Постараюсь объяснять максимально просто и наглядно, чтобы уроки были полезны и стажёрам, которые только начинают разбираться в теме, и опытным разработчикам, которым интересно узнать современный стиль работы с потоками.

Поехали!

От сегментирования до детального портрета ЦА — в этой статье. Разбираю все нюансы анализа целевой аудитории и даю развёрнутые примеры.

В мире корпоративных коммуникаций надёжность — это крайне важное преимущество, особенно в условиях, когда компании активно переходят на отечественное ПО. Если топ-менеджер не может проверить почту перед важным совещанием или выездной инженер теряет доступ к критической документации из-за отказа инфраструктуры, бизнес несёт прямые финансовые потери.

Мы решили эту задачу кардинально, в духе технологического суверенитета: вместо того чтобы бесконечно "латать" устаревающую или импортную инфраструктуру, мы спроектировали и развернули отказоустойчивый кластер специально для отечественной системы мобильных рабочих мест WorksPad.

В этой статье я расскажу, как этот проект вписывается в программу импортозамещения, почему для нас критически важен был принцип High Availability (высокая доступность), какие Open Source технологии мы выбрали для обеспечения независимости и как нам удалось заставить все компоненты работать как единый, бесперебойный механизм.

По официальной документации архитектура представлена в таком варианте...

На закате массового использованияGemini 2.5 Pro хочу поделиться опытом использования этой модели для тестирования продуктовой идеи: от формирования общей продуктовой концепции до работающего прототипа. Уровень проработки прототипа должен был получиться MVP — не меньше. А если исследование получилось бы крайне удачным, то далее его можно было бы уже развить в полноценный тиражируемый и масштабируемый продукт.