Разработка

«Безлимитная пропускная способность включена!»

Четыре слова, которые красуются практически на каждом сайте хостинг‑провайдера. Четыре слова, продавшие миллионы хостинг‑планов. Четыре слова, которые большинство хостинг‑компаний не могут выполнить.

И всё же они там, красуются на главных страницах как почётный знак. Безлимитная пропускная способность. Безлимитная передача данных. Безлимит во всём. Хостинговый эквивалент абонемента в спортзал «безлимитные занятия», где вас не пускают, если вы приходите слишком часто.

А что происходит на самом деле, когда вы пытаетесь использовать эту «безлимитную» пропускную способность у большинства провайдеров? Ваш аккаунт блокируется за «нарушение» или «превышение лимитов». Хостинг‑компания тыкает пальцем в зарытый глубоко в пользовательском соглашение пункт, который определяет «безлимит» как «всё, что мы сочтём разумным». Ваш сайт ложится, бизнес страдает, а вы понимаете, что их безлимит на самом деле означает «лимитировано тем, что мы решим в любой момент».

Это история самого живучего обмана хостинг‑индустрии. Лжи настолько распространённой, что даже клиенты, уже обжёгшиеся на ней, продолжают искать «безлимитный» хостинг. Лжи, которая генерирует миллиарды доходов, не давая ничего кроме разочарований и произвольных блокировок аккаунтов.

Но вот поворот: безлимитная пропускная способность (передача данных) на самом деле не невозможна. Некоторые провайдеры действительно предоставляют именно то, что обещают. Проблема не в физике, а в нечестности.

Добро пожаловать в скам с безлимитной пропускной способностью, где настоящие лимиты не технические, а зарыты в мелком шрифте.

На хабре было много статей как создать такой движок, но их проблема была в том что они давали только отрывки кода, не объясняя полностью весь процесс, который мог бы быть по-настоящему полезен новичкам или полным нулям.

Поэтому я решил подделится своим опытом в этом направлении

В прошлой статье «Головоломка на 1000 BTC» рассказывалось об удивительных кошельках с дармовыми биткоинами, владелец которых буквально хочет, чтобы вы их себе забрали. И люди так это и делали до тех пор, пока не возникли криптопаразиты — хакеры, которые уводили добытые призы прямо из под носа счастливчиков.

О том, как это делается и как это избежать — сегодняшняя статья.

Каждый из нас хотя бы раз задумывался, почему после рабочего дня спина ноет, глаза красные, а мысли путаются. Я решил покопаться глубже в тему эргономики рабочего места разработчика — от кресла и монитора до света, клавиатуры и даже крошечных скриптов, которые помогают отслеживать «здоровье» сидячего образа жизни. Это не будет сухой теорией: я покажу исследования, реальные советы и даже куски кода, которые можно прикрутить к своему workflow.

Представьте, что вы закрываете крышку ноутбука, чтобы он ушёл в сон, однако вместо этого он перезагружается. Не каждый раз, но достаточно часто для того, чтобы выводить из себя. Вы пытаетесь сохранить свою работу, но машина решает, что нужно начинать заново.

В течение восьми лет такой была реальность моего взаимодействия с Dell Inspiron 5567. Этот необъяснимый баг возникал в каждой установленной ОС. В статье я расскажу историю о том, как погрузился в исходный код прошивки и обнаружил единственную команду-виновницу.

Привет, Хабр! Сегодня мы поговорим о боли. О той самой боли, которая возникает в 3 часа ночи, когда звонит дежурный инженер и говорит, что «всё лежит». Веб-приложение не отвечает, а единственный способ что-то сделать — это дать ему RDP-доступ на сервер с правами локального, а то и доменного администратора. И всё это ради одной единственной задачи: перезапустить пул приложений в IIS.

Знакомая ситуация? Мы даем избыточные права, потому что это быстро и просто. Мы даем «ключ от всего города», чтобы человек мог открыть одну дверь. В этот момент мы открываем ящик Пандоры: случайная ошибка, запущенный по незнанию скрипт, а в худшем случае — скомпрометированная учетная запись, которая становится для злоумышленника плацдармом для захвата всей инфраструктуры.

Проблема в том, что традиционный подход к администрированию Windows-систем часто ставит нас перед ложным выбором: либо безопасность, либо операционная эффективность. Либо мы закручиваем гайки так, что никто не может работать, либо раздаем админские права направо и налево, надеясь на лучшее.

Но что, если я скажу вам, что этот выбор — ложный? Что существует технология, встроенная в Windows Server, которая позволяет нам совместить гранулярную безопасность, полный аудит и удобство автоматизации? Технология, которая превращает администрирование из «искусства» в точную инженерную дисциплину.

Имя ей — Just Enough Administration (JEA), и в связке с PowerShell Remoting она способна кардинально изменить ваш подход к управлению серверами.

Эта статья — не просто теоретический обзор. Это пошаговое, выстраданное на практике руководство по внедрению JEA в реальной продакшен-среде на Windows Server 2019/2022. Мы пройдем весь путь: от понимания фундаментальных принципов до создания, развертывания и использования защищенных конечных точек (endpoints), решая по пути реальные проблемы.

Веб-приложения и API — это полноценные точки входа в бизнес. Через них проходят транзакции, данные, сценарии пользователей и интеграции с партнерами. Чем больше сервисов, тем шире поверхность атаки. И тем выше шанс, что в потоках легитимного трафика окажется что-то лишнее.

В первой половине 2025 года российские компании зафиксировали более 63 000 атак. Это на 27 % больше, чем в прошлом году!

Массовые автоматические штурмы уходят в прошлое, и чаще атака маскируется под легитимный запрос, но с параметрами, подобранными под уязвимость конкретного сервиса или бизнес-логики. Такие сценарии дольше остаются незамеченными и обходятся дороже, потому что бьют не по инфраструктуре в целом, а по конкретным процессам.

На внешнем рубеже работает WAF. Он фильтрует веб-трафик и отсекает известные угрозы. Но, у него есть слепая зона — внутренняя механика API, где решается, что именно сервису можно, а что нельзя. Здесь нужен API Firewall, который проверяет структуру запросов, ограничивает частоту обращений и анализирует поведение клиента. Вместе они формируют защиту, способную закрыть и технические, и логические векторы атак.

Как раз об этом всем и пойдет речь в этой статье. Она для тех, кто хочет понять, зачем нужны WAF и API Firewall вместе.

23 сентября эксперты MWS Cloud расскажут, как самостоятельно создавать ИИ-агентов — с помощью кода или без. Мы поделимся, как доработали Langflow под реальные задачи. Встреча онлайн, регистрация — по ссылке. 

Сегодня же мы собрали несколько полезных материалов для желающих разобраться самостоятельно в устройстве работы ИИ-агентов (или написать собственную интеллектуальную систему).

Коллеги, приветствую, обзорная статья работы с Corgi SoM v1 на базе AMD (Xilinx) Zynq-7000. Статья охватывает работу модуля с Vivado IDE, Vitis IDE, подготовку базового образа, работу с Embedded Linux (u-boot, device tree, linux kernel, rootfs). Подготовку образа для SPI NOR памяти, SPI NAND памяти и сопутствующие моменты необходимые для старта работы с данным модулем. Дополнительно статья будет полезно для linux embedded разработчиков, которые делать будут bring-up плат на базе AMD(Xilinx) zynq платформ.

Привет, Хабр! На связи команда UserGate uFactor. В наших публикациях мы уже не раз разбирали примеры вредоносного ПО и способы его маскировки в системе. В одной из статей мы рассмотрели вредонос, имеющий возможность очищать журналы событий в Windows, столь важные для анализа инцидентов. В новом материале покажем, как можно восстановить удаленные журналы событий из дампа оперативной памяти и разберем типичные проблемы, возникающие при работе с поврежденными структурами.

Для анализа мы использовали тестовую среду, состоящую из двух виртуальных машин. Осуществили вход при помощи удаленного рабочего стола с одной машины на другую, оставили на ней закладку для очистки журналов, которая активировалась через планировщик заданий, и завершили RDP-сеанс. По истечении времени мы осуществили интерактивный вход в потенциально скомпрометированную систему, убедились, что журналы очищены, некоторое время имитировали пользовательскую активность, далее сняли дамп оперативной памяти.

Журналы событий хранятся в файлах с расширением .evtx и имеют одноименный формат. Извлечь их мы попробуем двумя способами. На наш взгляд, наиболее продуктивным будет извлечь EVTX-файлы при помощи фреймворка Volatility — он дает возможность получить имена журналов, в отличие, например, от Bulk Extractor, который при карвинге присваивает имена следующего вида.

Картинка, в том числе: Megasatria Hiciter — Own work, CC BY-SA 4.0

Вы думаете, что сейчас речь пойдёт про рыбалку? Три раза «ха»: есть вещи и поинтереснее рыбалки — например, вы знали, что существует оригинальный способ получения сверхтонких волокон, с задействованием электричества и высокого напряжения, носящий такое, на первый взгляд, рыбацкое название? 

Если нет, то устраивайтесь поудобнее на своих электрических стульях и мы начнём погружение...

Привет, Хабр!

Современные AI-агенты уже умеют планировать отпуск, писать код, и совершать покупки в интернете, но поставьте их перед простым вопросом «где лучше снять квартиру рядом с метро и школой» - и они начинают галлюцинировать. Они не понимают, что «5 минут до метро» и «500 метров по прямой через реку» - совершенно разные вещи. В результате пользователь получает красивые, но бесполезные советы

Этот проект покажет, как добавить агенту «глаза» для карты, чтобы он мог реально находить ближайшие кафе около парков, считать расстояние пеших прогулок и показывать результаты прямо на интерактивной карте

Привет, Хабр! На связи Евгений Мартынов, CIO Рег.облака. Сегодня мы подключили вторую зону доступности облака в Москве на базе дата-центра «Медведково-2» . И вместе с новым запуском провели значительный апгрейд  технологический базы: пересобрали сетевую архитектуру, ушли от большого L2, навели порядок в изоляции трафика и перевели API на BGP-анонсы. В статье расскажу про конкретные решения — как и что мы пробовали, какие процессы отложили и к каким выводам пришли.

JSON сейчас встречается буквально везде - от веб-сервисов до IoT, но есть нюанс: почти все популярные JSON-библиотеки писались с расчётом на десктопы и серверы, где оперативку никто не считает по килобайтам. А вот на микроконтроллерах, особенно Cortex-M, каждый байт на счету. Да, конечно, можно гонять сырые структуры и их же писать в конфиг-файл, это как говорится "не запрещено конституцией". Но отладка в таком случае превращается в отдельный квест. В какой-то момент я понял, что мне надоело вручную возиться с JSON на микроконтроллерах: писать километры кода для обхода дерева cJSON, ловить утечки и гадать, где malloc снова подставит. Из всех этих соображений и родился JsonX — лёгкая и минималистичная надстройка над cJSON, которую я делал в первую очередь под микроконтроллеры.

Преимущество JsonX:

Открыть телефон, быстро найти нужный файл, перенести данные между приложениями — для нас привычная рутина, а для ИИ-агентов с их умением «видеть» экран это настоящее испытание. Важно не просто нажать правильные кнопки, а удерживать замысел: дойти до финала, не сбиться на полпути и не потерять контекст. Крупные языковые модели уже умеют работать со скриншотами и даже рассуждать о шагах, но когда задача требует больше двух-трех действий подряд, начинается настоящее веселье. Почему ИИ так легко «теряет нить», и как свежие исследования учат его держать в голове весь сценарий — рассказываем на живых примерах и с неожиданными находками из мира полуонлайн-обучения.

Привет! Я Лев, специалист продуктовой поддержки в Selectel. Ранее мы разобрались, какими бывают технологии при строительстве межцодовых трасс, а также прокачали навыки в резервировании. Теперь перейдем к практике и разберемся, как составлять проект межцодовой трассы. Изучим, как выбрать технологии, рассчитать пропускную способность и обеспечить надежность инфраструктуры.

Привет, Хабр! С вами Никита Зелинский, Chief Data Scientist МТС, директор по машинному обучению и исследованию данных MWS. В прошлый раз рассказывал, куда расти Data Scientist и какие навыки для этого нужны, а сегодня будет адаптация моего доклада с конференции True Tech Day. Полную видеоверсию можно посмотреть в комьюнити True Tech в VK.

Обсудим, как трансформеры меняют индустрию рекомендательных систем и почему это уже не просто хайп, а устойчивый стандарт, с которым работают в реальных продуктах. Покажу путь от базовых подходов к state-of-the-art-архитектурам, а еще объясню, как с помощью open-source-библиотеки RecTools от МТС можно сравнивать, конфигурировать и оптимизировать рекомендательные алгоритмы на практике.

Будет полезно тем, кто хочет разобраться, как устроены трансформерные рекомендательные модели. Приступим!

Привет, Хабр! Я Александр Зырянов, проектный менеджер TestY TMS. В этой статье не будет традиционного среза о фичах из нового релиза, ведь TestY 2.1.1 еще не выложили в open source. Вместо него я принес интересный пользовательский кейс, который упростит поиск и изменение тестов в системе. Расскажу, как устроены фильтры и массовые операции.

Найдется место и небольшому пресс-релизу: в конце статьи анонсирую обновления, которые ждали многие пользователи.

Всю свою карьеру инженеры строят системы, которые бережно хранят данные и защищают их от искажений. А что если мы скажем, что иногда правильнее всё делать наоборот: намеренно портить данные, генерировать их из воздуха и создавать неотличимые от настоящих подделки? Системный аналитик Postgres Professional Максим Грамин расскажет, почему создание фейковых данных — это критически важный навык для тестирования, безопасности и разработки, и как научиться делать это правильно, не превращая базу в свалку из «Иванов Ивановых».

Всем привет! Пару месяцев Альянс в сфере искусственного интеллекта, в который MWS AI тоже входит, запустил MERA CODE — бенчмарк для оценки качества умений написания кода для больших языковых моделей.  Инструмент хороший, но есть одна проблема. Все задачи в MERA CODE, как впрочем и в SWE-bench и других бенчмарках подобного назначения , следуют классической парадигме: есть фиксированный обучающий набор данных и, что более важно, фиксированный проверочный набор, которые имеют свойство устаревать. Например, многие из наборов данных для таких бенчмарков собраны из открытых источников типа GitHub.  Большие языковые модели, которые мы  пытаемся оценивать нашим набором задач, также учатся на GitHub и рано или поздно (и в наше время скорее рано) они во время обучения увидят данные из проверочного множества. Это явление называется контаминацией данных. Из-за этого мы не можем больше быть уверены в том, что оценка способностей моделей является объективной.

Мы думали об этой проблеме, и пришли к выводу, что ее влияние можно минимизировать, если мы будем периодически обновлять проверочное множество. Так родилась идея для нашего нового бенчмарка — SWE-MERA, о котором и пойдет речь в этой статье.