Разработка

Один клик по вредоносной ссылке — и контроль над аккаунтом потерян. Без фишинга, без вредоносного ПО.

Я обнаружил уязвимость в механизме OAuth аутентификации популярного десктоп-приложения, позволяющую похитить учетную запись любого пользователя всего в один клик. Основные причины проблемы: отсутствие проверки состояния (state validation), хранение долгоживущих токенов после перенаправления (loopback redirect) и слепое доверие параметру remote_key. В данном посте я подробно расскажу обо всех этапах атаки, почему она сработала настолько эффективно, и каким образом разработчики могут устранить данную проблему.

Несколько месяцев назад я решил заняться поиском уязвимостей в десктоп-приложениях. Для ясности поясню: говоря о поиске ошибок в десктоп-программах, я имею в виду взаимодействие приложений с веб-сервисами (процесс аутентификации, обмен данными или любые точки интеграции). Целью моего исследования стала известная компания, и я не вправе раскрывать ее название, поэтому на протяжении всей статьи буду использовать redacted.com.

Привет, Хабр! Меня зовут Александр Любин, я архитектор 1С в CDEK. В этой статье расскажу про наш опыт интеграции 1С в ERP‑систему и личный кабинет. Расскажу, с какими проблемами мы сталкивались, как их решали, какие инструменты использовали. 

Мой опыт в разработке — 15 лет. Последние три с половиной года — в CDEK.За это время мы с командой смогли в корне изменить позиционирование 1C в компании от «что‑то там для бухгалтерии» до фундамента финансового, регламентированного и оперативного учёта. Смогли доказать, что 1C может быть средой быстрой разработки и инструментом, который позволяет обеспечить потребности как фронт, так и бэк контуров. Я расскажу, как у нас всё проходило.

Недавно команда Цифрового СИБУРа и ЭКОПСИ провела большое исследование. Мы сравнили портреты IT-специалистов из BigTech (таких как Яндекс или VK) с теми, кто работает на заводах и предприятиях. В результате получилось описание двух типов людей: одни ценят стабильность и реальные, осязаемые результаты на производстве, другие предпочитают скорость и свободу в IT. 

Это исследование наглядно показало разницу между ценностями специалиста из Heavy Digital и BigTech, очень рекомендуем его почитать. Но в нём не хватало одного важного элемента — момента выбора. Почему человек, который всегда работал в классической IT-среде, вдруг серьёзно задумывается о переходе на завод? Что он при этом чувствует, чего боится и на что надеется?

Чтобы найти ответы на эти вопросы, мы провели собственный опрос, разделив респондентов на две группы:

1. Те, кто уже работает в IT на производстве (ветка опроса «Я эксперт в Heavy Digital»).

2. Те, кто пока не работает, но думает о карьере в IT-проме (ветка «Я пока не в Heavy Digital»).

Итоги опроса в целом подтверждают выводы ЭКОПСИ, а местами их отлично дополняют. Мы смогли заглянуть в тот самый переломный момент, когда человек стоит на распутье и размышляет: «А не попробовать ли мне свои силы в промышленном IT?»

В искусственный интеллект влито столько денег, что мы, по сути, поставили на его успех всю экономику. И это огромная проблема. Не только потому, что ИИ - это технология с фундаментальным изъяном, которая никогда не станет прибыльной, никогда не оправдает спекуляций и создаёт долговую бомбу невиданных ранее масштабов. Нет, видите ли, даже если я ошибаюсь, а инвесторы в ИИ правы, мы все равно в проигрыше, поскольку ИИ отнимет огромное количество рабочих мест и обрушит экономику снизу вверх. Это идиотская, проигрышная со всех сторон ситуация.

Но так быть не должно было. Чёрт возьми, так никогда не должно было быть. Если бы компании взяли на себя часть ответственности, тикающей экономической бомбы под названием «пузырь ИИ» никогда бы не случилось, и вы жили бы экспоненциально лучше. Позвольте мне объяснить.

Почему существует пузырь ИИ? Не поверхностные спекуляции, а реальные структурные силы, стоящие за ним. Что ж, есть четыре простые, но весомые причины.

Привет, Хабр! С вами снова Сергей Зыбнев, автор теле... а об этом позже. После нашего глубокого погружения в OWASP AI Testing Guide, пришло время заглянуть в будущее, которое наступит менее чем через месяц. Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.

Если LLM — это мозг, то агентные системы — это полноценный организм с руками и ногами. Это ИИ, которые не просто отвечают на вопросы, а могут самостоятельно ставить цели, планировать и выполнять многошаговые задачи, используя различные инструменты (API, shell, браузер). Они могут управлять вашим календарем, писать код, заказывать товары и многое другое. И, конечно, такая автономия порождает совершенно новый класс угроз.

Этот Top 10 — попытка осмыслить и классифицировать риски, которые несут в себе эти мощные системы. Мы пройдемся по каждому из 10 пунктов, разберем их на реальных примерах и поговорим о том, как от них защищаться.

С 1 марта 2022 года тысячи российских компаний — от промышленных гигантов до сельских школ — в один день перешли на новую систему по обращению с отходами I и II классов опасности, которая стала частью управляемого процесса обращения с отходами в стране.

Простыми словами, это самые вредные отходы: отслужившие ртутные лампы, батарейки, аккумуляторы, промышленные химикаты. Для многих это стало шоком: привычные процессы рушились, вызывая панику и раздражение. Весь этот шквал эмоций и вопросов обрушился на нас — команду техподдержки.

Раньше оборот таких отходов был серой зоной: кто-то пытался соблюдать правила, а кто-то просто сливал их в овраг. Новая система была создана по заказу Минприроды и призвана сделать этот процесс прозрачным и контролируемым.

Создатель и владелец системы — ФГУП «ФЭО» (структура «Росатома»), он же стал единым федеральным оператором обращения с такими отходами. Его задача — управлять процессом. А мы должны были создать и запустить техподдержку.

Задачу мы выполнили.

Дальше расскажу, как мы создали эффективную поддержку, когда и команда, и пользователи не понимали, что делать и куда бежать.

С 1 сентября 2026 года, согласно закону № 248-ФЗ, принятому в июле 2025 года, клиенты крупнейших банков страны могут предоставить своим клиентам возможность открывать счета цифровых рублей.

В нашей истории расскажем, чем цифровой рубль отличается от других форм рубля и зачем он нужен. Совершим с ним путешествие от Банка России до конечных пользователей и узнаем, как цифровой рубль может стать частью нашей повседневной жизни — и, возможно, изменить привычное представление о деньгах.

В мире высоконагруженных баз данных выбор метода пагинации может стать решающим фактором для производительности системы. Эксперимент, проведённый с двумя подходами — классическим ROW_NUMBER и отложенным соединением (Deferred Join) — показал, что даже архитектурно более совершенный метод не гарантирует победы без тонкой настройки СУБД. Исследование раскрывает, как правильная конфигурация памяти PostgreSQL перевесила преимущества Deferred Join и позволила ROW_NUMBER добиться превосходства на параллельной нагрузке .

После создания примерно десятка Telegram-ботов я понял, что архитектура, конфигурации и маршрутизация повторяются из проекта в проект. Готовых актуальных решений для Spring Boot я не нашёл. Поэтому разработал собственный Telegram Bot Spring Boot Starter: с прозрачным пайплайном, набором готовых компонентов и возможностью гибкой кастомизации.

В статье я расскажу, какие проблемы он решает, как устроен внутри, как его использовать и почему он оказался намного удобнее обычных self-made конфигураций.

В мире разработки часто возникает соблазн использовать знакомый инструмент для всех задач. Зачем изучать что-то новое, если есть проверенная реляционная база данных (РСУБД), такая как PostgreSQL или MySQL? Однако, когда дело доходит до реализации мощного, быстрого и релевантного поиска, этот подход терпит неудачу.

Elasticsearch — это не просто база данных, это распределенный поисковый и аналитический движок. В этой статье мы проведем детальное сравнение Elasticsearch и реляционных баз данных, разберемся в их архитектурных различиях и определим, когда каждый из инструментов становится титаном в своей нише.

Чтобы статья была максимально практико-ориентированной, мы рассмотрим, как с помощью Spring Boot быстро поднять приложение с интегрированным Elasticsearch и реализовать поиск, который «летает».

В рамках моего реверс-инжиниринга фундаментальных констант и ядерной физики за этот месяц я

✅ Обнаружил что пространство-время по своей природе - граф малого мира

✅ Вывел уравнение аттрактора, которое описывает эволюцию Вселенной

✅ Свел самые фундаментальные физические константы к трем константам родом из математики

✅ Вывел единую качественную формулу для фундаментальных физических констант

✅ Промоделировал изменение фундаментальных физических констант с первых мгновений Большого взрыва и по настоящий момент

и это еще не все....

Меня часто поражает, как технически грамотные люди спорят, есть ли у LLM интеллект или это всего лишь математические вычисления по определенному алгоритму без зачатков разума. И что самое интересное, иногда оппонентами в споре за наличие интеллекта у генеративных нейросетей выступают люди, которые таким образом рекламируют свое IT-решение, не понимая, что тем самым они только создают себе проблемы.

Ведь создавая рассуждающую иллюзию интеллекта, разработчики фактически ставят крест на возможности какого-либо реального применения подобных решений в серьезных задачах, так как имитация разума превращает потенциально полезный рабочий инструмент в игру на бубне без каких-либо гарантий качества и воспроизводимости полученных результатов.

Компании инвестируют в ИИ миллиарды долларов. На обучение нейросети могут уйти месяцы, много денег и труда. При этом сами по себе нейросети не так уж хорошо защищены от кражи и копирования. У патентных ведомств разные мнения насчет того, к чему их относить, а у экспертов по кибербезопасности есть несколько способов защиты, но все они имеют свои недостатки. Рассказываем, как обстоят дела с копированием нейросетей и как их от этого защищают. 

Привет, Хабр!

Сейчас мы переживаем бум ИИ-сервисов, которые за небольшую плату могут реализовать любые ваши творческие фантазии без необходимости глубокого понимания технических принципов их работы. Но я из тех, кто любит «ковыряться под капотом», поэтому в качестве проекта «выходного дня» я решил реализовать сервис машинного закадрового перевода видео с помощью общедоступных моделей с локальным запуском. А что из этого вышло – читайте далее.

Выбор стандарта для security token — это архитектурное решение, которое определит compliance-модель, gas costs, интеграционные возможности и upgradeability на годы вперёд. В этой статье я разберу два основных стандарта — ERC-1400 и ERC-3643 — с точки зрения разработчика, который имплементировал оба.

Работа с очередями сообщений — важная часть современных систем обработки данных. В нашей команде мы используем брокер сообщений RabbitMQ, но нам пришлось столкнуться с проблемами при обработке большого объема данных. В поисках решений я начал изучать различные способы оптимизации, и таким образом познакомился с RabbitMQ Streams – плагином, добавляющим log-based потоки, работающие по аналогии с Kafka

Я потратил некоторые время, вникая в принципы работы RabbitMQ Streams с .NET и хочу представить вам краткий обзор, который призван упростить погружение в эту систему

В этой статье я расскажу об основных концепциях квантования, сделаю небольшой обзор популярных методов квантования, а также для каждого метода приведу практический пример на Python для его применения к LLM.

В реальных задачах машинного обучения куда чаще приходится иметь дело не с «миллионами картинок», а с небольшими табличными датасетами вроде Abalone из UCI. В статье разбирается путь от честного EDA и линейной регрессии до нейросетевой модели на PyTorch: что дают трансформации признаков, какие проблемы создают гетероскедастичность и мультиколлинеарность, когда глубокая модель действительно улучшает метрики, а когда остаётся всего лишь дорогим способом получить те же самые 4–5 % выигрыша. По сути, это разбор того, где проходит граница здравого смысла между «добавим ещё один слой» и «нам хватит простой модели».

Появление электрического света фундаментально изменило сам ритм человеческой жизни, который тысячелетиями был привязан к солнечному циклу. Поэтому неудивительно, что электрическое освещение стало не просто изобретением, а «локомотивом», который проложил путь для повсеместного внедрения электричества.

А еще производство электрических лампочек породило один из хорошо задокументированных картельных сговоров, направленных в первую очередь на ограничение срока службы ламп накаливания, что сформировало концепцию «запланированного устаревания».

А работает ли концепция запланированного устаревания в отношении современных LED-лампочек?

Что, если ваш валидатор стал бы в 3 раза быстрее и потреблял бы вдвое меньше памяти — без единой правки бизнес-логики? Именно это случилось с Hibernate Validator 9.1: ушли тяжёлые коллекции, пришёл умный стек. Каскадная валидация теперь летает, даже при циклах в графе объектов.

Плюс бонус: меньше мусора в памяти, меньше аллокаций, быстрее интерполяция сообщений. В бенчмарках — просто космос. Все это – в новом переводе от команды Spring АйО.

Комментарий Поливаха Михаила: Несмотря на то, что с валидацией мы напрямую работаем не часто, имейте в виду, что Spring Boot и ваши @RestController-ы под капотом всё равно используют hibernate-validator. Поэтому почитайте, не поленитесь.