Обновить

Все потоки

Сначала показывать
Порог рейтинга
Уровень сложности

Год с Claude Code: как собрать рабочую конфигурацию с первого запуска

Уровень сложностиСредний
Время на прочтение28 мин
Охват и читатели7.8K

Год с Claude Code: как собрать рабочую конфигурацию с первого запуска

Жемал Хамидун, Head of AI Alpina Digital, CPO AlpinaGPT, автор тг-канала "Готовим ИИшницу"

Читать далее

Голосуй, или проиграешь! разбор фишинга, который пытается угнать Telegram

Уровень сложностиСредний
Время на прочтение13 мин
Охват и читатели11K

Будит уведомление — 5:03. Сообщение в Telegram от хорошего знакомого: «Привет UserName, могу я тебя попросить?»

Разве я могу отказать хорошему человеку?

Просьба по-человечески тёплая: проголосовать за ребёнка в благотворительном конкурсе. Только знакомый перестал отвечать, домен турецкий, ссылка по HTTP, а под безобидной голосовалкой лежат: PHP-клоакер на свежей /24-подсети с гонконгской шелл-компанией в whois, форк Telegram Web, который проксирует MTProto, и сервис-воркер, ворующий вашу сессию.

Разбираем атаку по слоям — от curl 403 до угнанного аккаунта.

Читать далее

OneOCR — скрытая OCR внутри Windows 11

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели9.1K

OneOCR — это набор из двух динамических библиотек и одной модели ONNX для распознавания текста в приложениях Snipping Tool и Photos в Windows 11.

Читать далее

«Алгоритмы на языке Go». Книга, которую ждали

Время на прочтение4 мин
Охват и читатели9.2K

Привет, Хабр.

Сегодня познакомим вас с самой долгожданной новинкой апреля — книгой «Алгоритмы на языке Go», которую мы успели выпустить в продажу 30 числа.

Читать далее

Как Runtime Radar помогает обнаруживать атаки на цепочку поставок: кейс LiteLLM

Уровень сложностиСредний
Время на прочтение8 мин
Охват и читатели7.7K

Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней компрометации. Помимо этого, мы, конечно же, рассмотрим и боковое перемещение внутри Kubernetes-инфрастуктуры, которое происходит, если скрипт инфостилера запускается в поде с достаточными привилегиями.

Мы не смогли удержаться и проверили, что Runtime Radar может обнаружить при реализации подобной атаки.

Но обо всем по порядку.

Читать далее

Топ новостей инфобеза за апрель 2026 года

Время на прочтение9 мин
Охват и читатели6K

Всем привет! Собрали самые интересные ИБ-события апреля в наш дайджест. В прошлом месяце в заголовках гремела Mythos от Anthropic, в очередной раз заявившей о революции в кибербезе, за которой пока не видно ничего кроме пиара. Не меньше шуму наделал и взлом суперкомпьютера Китая, которого не было.

Апрель также стал месяцем многочисленных атак на цепочку поставок — о них сообщали чуть ли не каждый день. Кроме того, был обнаружен неизвестный предшественник Stuxnet, в ядре Linux нашли худшую LPE за долгое время, а северокорейские хакеры стянули больше полумиллиарда долларов в крипте. Об этом и других ключевых новостях прошлого месяца читайте под катом!

Читать далее

Cursor удалил прод за 9 секунд, а Zig и JVM запретили AI-коммиты

Уровень сложностиПростой
Время на прочтение4 мин
Охват и читатели8.9K

Двенадцатый выпуск еженедельных IT-новостей от OpenIDE!

На этой неделе прошёл JPoint 2026, вышел Amplicode 2026.1 со Spring Agent Toolkit, а Anthropic впервые обогнала OpenAI по оценке на вторичном рынке. Плюс история о том, как AI-агент удалил продакшн-базу данных за 9 секунд.

Читать далее

Ваш ИИ ошибался, ошибается и будет ошибаться

Уровень сложностиСредний
Время на прочтение12 мин
Охват и читатели9.2K

Ваш ИИ-агент только что выдал строчку. И она выглядит… подозрительно? Указатель без проверки на NULL, сериализация через pickle без валидации и логика базы данных, никак не защищённая от SQL-инъекций. Заметить одну-две таких подстав легко, но если строк больше 5 тысяч? А сколько коллег нажали Approved без должной внимательности?

Проблема даже не в том, что ИИ может ошибаться, а в том, что он делает это уверенно и в промышленных масштабах. И вот здесь начинается настоящая гонка. С одной стороны — LLM, которые штампуют уязвимости. С другой — LLM, которые эти уязвимости ищут, подсвечивают и помогают закрывать.

На повестке дня: дырявый код, новая парадигма в безопасности, автодетекция уязвимостей и кибер-оружие.

Читать далее

GenAI и кибербезопасность в e-commerce: как защитить бизнес и не создать новые уязвимости

Уровень сложностиПростой
Время на прочтение8 мин
Охват и читатели6.7K

Искусственный интеллект всё активнее встраивается в повседневные бизнес-процессы: компании используют его для автоматизации операций, аналитики, работы с клиентами и оптимизации внутренних процессов. Но вместе с новыми возможностями AI приносит и новые вызовы для кибербезопасности. Чем глубже интеллектуальные системы интегрируются в ИТ-ландшафт компании, тем больше появляется потенциальных точек отказа, уязвимостей и сценариев для атак.

Читать далее

Я три года знал, как продавать на Озоне. В 2026-м перестал понимать

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели8.2K

Статья написана на основе интервью с Андреем Щиголевым, основателем бренда «Одиванчик», Ижевск.

Я делаю компактные диваны в Ижевске и продаю их на маркетплейсе. Почти три года работаю, и вроде всё на месте: производство, команда, сбыт. Но в начале 2026 года маржа сжалась, конкуренция удвоилась — и я впервые не понимаю, что делать.

Читать далее

Аутентификация и авторизация в Python: сессии и JWT токены в Backend-разработке

Уровень сложностиСредний
Время на прочтение7 мин
Охват и читатели7.7K

В современном мире разработки программного обеспечения аутентификация и авторизация являются ключевыми концепциями, необходимыми для обеспечения безопасности и контроля доступа пользователей. В статье рассмотрим основы регистрации, аутентификации и авторизации, а также два популярных механизма аутентификации — сессионный механизм и JWT токены. Разберем их принципы работы, отличия, плюсы и минусы, а также практические аспекты реализации на Python с использованием FastAPI и SQLAlchemy. 

Материал будет полезен как начинающим, так и опытным разработчикам, стремящимся углубить свои знания в backend-разработке и безопасности приложений.

Читать далее

Identity-First Security: почему периметр умер окончательно и что приходит ему на смену

Уровень сложностиСредний
Время на прочтение14 мин
Охват и читатели7.5K

Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов.

Сценарий, с которого начинается типичный взлом в 2026 году

Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent.

Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов.

Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.

Читать далее

Kodacode для бизнеса: SaaS с инфраструктурой в РФ и on-premise

Уровень сложностиПростой
Время на прочтение4 мин
Охват и читатели7K

Kodaсode используют десятки тысяч разработчиков в месяц. Постепенно запросы стали приходить не от отдельных людей, а от компаний: как оформить юридически, куда уходят данные из кодовой базы, есть ли централизованное управление доступами и корпоративный биллинг.

Этой статьёй мы отвечаем на все эти вопросы — и рассказываем о нашем корпоративном предложении.

Читать далее

Ближайшие события

Как я случайно пробежал марафон: дисциплина ИТ-шника на дистанции 42.2

Уровень сложностиПростой
Время на прочтение6 мин
Охват и читатели6.4K

СМС: “Алексей, поздравляем! Ваш результат на 42.2км - 03:54:26”

Анализ крови после финиша показал бы один сплошной дофамин…

А ведь еще полгода назад я и представить себе не мог такой финал. Когда в конце ноября прошлого года я начал регулярно бегать, в мыслях было “ну вот, хорошо бы в конце мая пробежать на ЗаБег.рф половинку…” - это казалось прям какой-то нереальной целью. Но что-то пошло не так - и вот, начало мая, Казань, и я стою на старте своего первого марафона. Как так получилось и при чём тут ИТ?

Читать далее

У-Дэ для менеджера: мой личный кодекс

Уровень сложностиПростой
Время на прочтение3 мин
Охват и читатели5.7K

В боевых искусствах есть понятие боевой добродетели У-Дэ. 

武德 (У-Дэ) — два иероглифа: 武 (у) — боевой, воинский; 德 (дэ) — мораль, добродетель. Буквально: воинская добродетель.

У-Дэ — это мораль человека, занимающегося боевыми искусствами, этический корпус, который передается в каждой школе. 

У-Дэ опирается на конфуцианский фундамент, ядро которого — пять добродетелей:
仁 (жэнь) — человечность,
义 (и) — справедливость,
礼 (ли) — благопристойность,
智 (чжи) — мудрость,
信 (синь) — честность.

Добродетели определяют не только то, как ученик дерется, но и то, как он живет и взаимодействует с людьми. 

У боевого мастера есть готовый кодекс, который он впитывает. У руководителя такого нет, но есть управленческая традиция — книги, наставники, ошибки. За 7 лет руководства у меня сформировались свои принципы работы. Они зрели годами — через опыт и через ситуации, в которых приходилось принимать сложные решения. Сейчас я в той точке, когда захотелось их зафиксировать, а не держать в голове. Зачем? Чтобы видеть самой и показывать лидам. Передача культуры руководителя так же важна, как и передача мастерства в боевых искусствах. 

Читать далее

Цирк уехал, а управление осталось: как разные менеджеры ломают разработку

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели6.9K

За несколько лет работы я сменил несколько проектов и команд. Стек менялся: где-то был Kotlin, где-то классическая Java, где-то вообще старый монолит на виртуалках.

Но самое сильное различие было не в технологиях.

Всё решали люди, которые руководят разработкой.

За это время я поработал с разными типами руководителей: от токсичного лида, которого боялась вся команда, до менеджера, который жил ради одобрения заказчика, и руководства, способного за пару месяцев развалить нормальный проект.

И самое неожиданное - один из них, при всех своих минусах, оказался для меня полезнее остальных.

В этой статье - три реальных кейса и то, чему они меня научили. И как каждый из руководителей влияет на разработку.

Читать далее

Диплом в IT — бесполезная бумажка или скрытый фильтр? Проверяю экспериментом

Уровень сложностиПростой
Время на прочтение5 мин
Охват и читатели10K

Привет, Хабр!

В IT любят повторять, что «важны навыки, а не корочки». Но тогда почему часть вакансий до сих пор требует высшее образование? Почему одни работодатели спокойно нанимают выпускников курсов, а другие отсеивают их ещё на этапе поиска?

Я решил проверить это не на уровне мнений, а на практике. Для эксперимента мы создали два почти одинаковых резюме junior Java-разработчиков: один — выпускник технического вуза, второй — выпускник онлайн-курсов. Дальше — почти 2000 откликов, одинаковые вакансии, реальные HR и очень неожиданные выводы.

Это не теоретический спор про «нужна ли вышка». Это попытка посмотреть, как рынок ведёт себя на самом деле.

Перейти к эксперименту

Методика ФСТЭК к приказу № 117: Обзор требований к безопасности ИИ

Уровень сложностиПростой
Время на прочтение13 мин
Охват и читатели6.2K

Привет, уважаемые эксперты!

На связи Альбина Аскерова, руководитель направления по взаимодействию с регуляторами Swordfish Security, и сегодня в моём обзоре будет методический документ ФСТЭК России от 12 апреля 2026, определяющий состав и содержание мероприятий и мер по защите информации в информационных системах.

Читать далее

Ценностное предложение: два абзаца текста, которые бьют точно в цель и приносят деньги

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели5.4K

Перечитал две страницы материалов по ценностному предложению на Хабр и понял, что мне есть, что сказать основываясь на реальной практике

Сейчас на дворе 2026 год и на рынке поменялся фильтр с которым клиент смотрит на ваш продукт. Покупают то, что уменьшит потери, ускорит процесс или даст измеримый эффект в деньгах. 

И если нет ответа на вопрос «А какой экономический эффект и за счёт чего?» то дальше вы услышите знакомое: «давайте позже», «сейчас не приоритет», «бюджет уже распределён».

В этой статье — про то, как устроено ценностное предложение, которое выдерживает этот вопрос с живым примером из практики.

Читать далее

Как сделать каталог с поиском, фильтрами, фасетами и семантическим поиском

Время на прочтение7 мин
Охват и читатели5.6K

Сделать поиск по каталогу легко. Гораздо сложнее — сделать каталог, который полезен не только на первом запросе.

Это демо как раз об этом. Здесь мы используем небольшой каталог настольных игр, но сам сценарий знаком многим: пользователь вводит что-то полузабытое, ошибается в написании, сужает выдачу по ограничениям, листает дальше, открывает карточку, а потом хочет увидеть «что-то похожее», не начиная всё заново. Если в вашем продукте есть такой сценарий, основная работа — не в полировке интерфейса. Важнее добиться правильного поведения поиска и не переусложнить весь стек.

В этой статье мы делаем каталог с автодополнением, работой с опечатками, фильтрами, фасетами, глубокой пагинацией, семантическим поиском и рекомендациями похожих документов.

Сначала можно попробовать уже развёрнутую версию:

https://catalog.manticoresearch.com

Читать далее