Разработка

Заблокировали карту или счет по 161-ФЗ? Инструкция по снятию блокировки.

Продолжаем тему ограничения банковских операций.

В этом посте я рассказала об основаниях таких ограничений и блокировки.

Теперь разберем первый и один из самых частых сценариев: блокировка из-за подозрений банка в мошенничестве.

Как банк определяет «подозрительную» операцию?

Банк обязан проверять все переводы клиентов на специальные признаки, утвержденные Банком России.

Если операция попадает под хотя бы один из них, банк обязан на 2 дня приостановить перевод денег или отказать клиенту в совершении операции.

Вот ключевые признаки:

⦁ Реквизиты получателя есть в «чёрном списке» ЦБ (базе данных о мошеннических переводах).
⦁ Нетипичная для вас операция: необычно крупная сумма, странное время или место совершения.
⦁ Использование устройства (телефона, компьютера), с которого ранее пытались совершить мошеннический перевод.
⦁ Получатель фигурирует в внутренней базе подозрительных контрагентов вашего банка.
⦁ В отношении получателя возбуждено уголовное дело за мошенничество.
⦁ Поступила информация от сторонних сервисов (например, о всплеске подозрительных звонков или СМС на ваш номер).

Как подтвердить операцию?

У вас есть два варианта:

1. Дать согласие на приостановленный перевод (в течение следующего дня).

2. Совершить ту же операцию повторно.

Если вы это сделаете, банк обязан выполнить платёж.

Исключение: если получатель числится в «чёрном списке» ЦБ.

В этом случае банк может приостановить перевод на 2 дня (период охлаждения), либо приостановить использование банковской карты, онлайн-банкинга.

Это происходит, если ваши собственные реквизиты или данные попали в базу ЦБ.

В этом случае необходимо:

• Подать заявление об исключении из базы данных ЦБ.

Это можно сделать двумя способами:

⦁ Через любой ваш банк. Банк обязан перенаправить ваше заявление в Банк России не позднее следующего рабочего дня.
⦁ Напрямую в Банк России через интернет-приемную на его сайте, выбрав тему «Информационная безопасность».

Ждать ответа. Банк России обязан рассмотреть ваше заявление и дать ответ в течение 15 рабочих дней с момента получения.

Важно! Если ЦБ откажет в исключении, в ответе будут указаны банки, направившие информацию в ЦБ.

Вам нужно обратиться к ним, чтобы выяснить конкретные причины и способы устранения проблемы.

Отказ Банка России можно обжаловать в суде.

Сервисы, которые позволяют проверить приватность в браузере и выявить утечки личных данных:

• Browserleaks: подскажет, какие данные ваш браузер раскрывает другим сайтам;

• CreepJS: оценивает, сколько технической информации ваш девайс отдаёт в фоне;

• FingerprintJS: демонстрирует, насколько уникален ваш цифровой отпечаток;

• Cover Your Tracks: быстрый тест, который показывает, насколько легко вас идентифицировать;

• WebBrowserTools: набор простых тестов для оценки приватности и безопасности в браузере.

Привет всем!

Продолжаю выкладывать про свою ОС.

Что я сегодня добавил? Мало чего, но...

...Я решил выпустить небольшой тест многозадачности.

Он щас на wokwi, но не заходить.

Два счетчика: первый до 5 а другой до 3.

Потом идет окно с текстом "Bye!".

Конечно это не полное то, как должно выглядеть, но это можно сказать пре-альфа 1.0 (в программе альфа так как pre-alpha не влезло).

Да, решил сделать пока не на TFT, сделал на OLED.

Удачи!

SpaceWeb в Нидерландах: виртуальные серверы и IP-адреса для международных проектов

SpaceWeb открывает первую локацию для размещения виртуальной инфраструктуры в международной зоне — в Нидерландах. В панели управления клиентам стали доступны VPS/VDS-серверы с выделенными IPv4-адресами из локального пула. Локация предназначена для проектов, ориентированных на зарубежных пользователей и работающих в глобальной сети.

Новые серверы имеют низкие задержки для европейской аудитории и корректную работу геозависимых сервисов. Развертывание Debian, Ubuntu и CentOS выполняется автоматически через панель SpaceWeb.

Коротко о главном:

• Локация — Нидерланды (Амстердам).

• Выделенные IPv4-адреса из нидерландского пула.

• Современная аппаратная платформа: NVMe-накопители, актуальные CPU, полный root-доступ.

• Поддерживаемые ОС: Debian, Ubuntu, CentOS.

• Базовая конфигурация: 2 CPU, 1 ГБ RAM, 15 ГБ NVMe (можно увеличивать).

Локация подходит для проектов, ориентированных на международную аудиторию и работу с европейскими пользователями при низких сетевых задержках. Зарубежный IPv4-адрес предоставляет корректную работу геозависимых сервисов и повышает надежность почтовых рассылок. А локальная IP-привязка позволяет запускать сервисы, которым требуется международное размещение.

Заказать серверы в новой локации можно уже сейчас в панели управления SpaceWeb.

Представлен открытый проект для подготовки презентаций с помощью нейросетей Paper2Slides. Решение извлекает ключевые идеи исследований, делает саммари текстов и размещает их на слайдах, готовит картинки с приятным визуалом, подбирает шрифты и типографику. Проект поддерживает все популярные форматы файлов: PDF, Word, Excel, PowerPoint и другие.

Зовем на огонёк!

Привет, Хабр!

18 декабря в 11:00 вместе с Алексеем Дроздом aka @labyrinth начальником отдела безопасности «СёрчИнформ», мы будем провожать 2025 год. Присоединяйтесь!

В неформальной обстановке поделимся вредными ИБ-советами, забавными случаями из практики и просто побеседуем о жизни нашей в ИБ. В программе никакого официоза, только хорошее настроение, (не)много шампанского и нешуточные истории.

Зарегистрироваться можно по ссылке, а смотреть, нарезая оливье.

Команда Mandragora представила ретро-игру ReStory по починке гаджетов в токийской мастерской по ремонту электроники в середине 2000-х, включая тамагочи, телефоны Nokia, PSP и Walkman. Проект доступен для тестирования перед запланированным релизом в 2026 году.

Как Cursor помог переписать браузерное расширение за 2 часа: опыт миграции на единый стек

Последние пару недель занимаюсь унификацией технологического стека для всех своих pet-проектов и поделок. Цель — собрать единый тех-радар, чтобы не тратить время на переключение контекста между разными фреймворками и библиотеками.

Мой стек

Frontend:
- React (без сюрпризов)
- WXT (лучший фреймворк для браузерных расширений)
- MUI (библиотека UI-компонентов под Material Design)
- Netlify (бесплатный и надёжный хостинг)

Backend:
- Supabase (как Firebase, только лучше)
- Yandex Cloud (serverless-контейнеры + S3-хранилища)

Процесс

На выходных добрался до Speech to Text — браузерного расширения для транскрипции аудио. Оно было написано на vanilla JS ещё в первых версиях, и каждое обновление превращалось в квест по поиску багов и зависимостей.

С помощью Cursor (AI-ассистента для кода) переписал всё расширение за пару часов:

• Перенёс на WXT (фреймворк для Chrome Extensions)

• Заменил самописные компоненты на MUI

• Добавил TypeScript для типобезопасности

• Заодно запилил новую фичу: транскрипцию системного звука через Chrome Tab Capture API

Что получилось - https://chromewebstore.google.com/detail/speech-to-text/jolafoahioipbnbjpcfjfgfiililnoih

Теперь Speech to Text может расшифровывать не только микрофон, но и всё, что играет на компьютере: YouTube-видео, Zoom-созвоны, лекции, подкасты и т.д.

Дополнительно добавил:

• Аудиоплеер для предпросмотра файла перед отправкой

• Анонимную расшифровку по прямой ссылке на аудио

Бонус

Модерация в Chrome Web Store прошла за 2 часа (обычно было 8-12). Предполагаю, что регулярные релизы дают "репутацию" у алгоритмов Google.

Выводы

Унификация стека — это не просто модное слово, а реальная экономия времени. Теперь могу быстро переключаться между проектами и переиспользовать компоненты без головной боли.

Хотите больше деталей?
Про процесс унификации стека, выбор инструментов и другие эксперименты с расширениями пишу в своём Telegram-канале @debug_leg. Там более неформальный формат: короткие посты, скриншоты процесса и честные истории про грабли. Подписывайтесь, если интересна кухня разработки.

Энтузиаст собрал GPS-модуль с экраном в виде мини-карты из Need for Speed Most Wanted на базе ESP32-P4 3.4" и открытого ПО (Video Game Mini Maps, GPS Sender, OSM to GeoJSON Convertor и BIN File Convertor).

🗣️🎙️ Новый выпуск подкаста: говорим про парадоксы AI, AGI и будущее программистов

В гостях у Cloud.ru — Сергей Марков, исследователь ML и AI с 20-летним опытом и руководитель команды исследователей в Сбере. А еще Сергей — автор SmarThink, одной из сильнейших шахматных программ начала нулевых, и книги об искусственном интеллекте «Охота на электроовец».

Выпуск идет всего час, а взамен — море полезного и «на подумать» с острия AI-индустрии.

✍️ О чем поговорим:

• AI — смерть программирования? Нет, и Сергей расскажет почему.

• Что такое общий искусственный интеллект (AGI) и возможно ли его создать.

• Как поменялось общественное сознание после появления ChatGPT.

• Три кита ML: GPU, данные и правильная инициализация весов.

• Почему Chain-of-Thought — костыль для решения сложных задач.

• Человеческий труд — а с ним что? Канет в лету или окажется на вес золота?

• Автоматизация с AI разрушает индустрии или все же создает новые?

• Этика и моральный выбор при использовании AI.

Смотрите подкаст на удобной площадке: в VK Видео или на YouTube.

В работе тестировщика важно иметь под рукой инструменты, которые ускоряют проверки, упрощают рутину и позволяют глубже разбираться в поведении системы. Вместе с Ариной и Катей из команды релизного тестирования SMRM собрали подборку таких инструментов.

Pairwise online tool — инструмент для генерации парных комбинаций проверок

Pairwise‑тестирование позволяет проверить все пары параметров и избежать полного перебора вручную. Онлайн‑инструмент автоматически генерирует комбинации и при необходимости учитывает определенные условия.

В чем польза:

• сокращает количество проверок без потери покрытия;

• учитывает логические условия и исключает невозможные сочетания;

• упрощает тестирование форм, статусов и сложных конфигураций;

• ускоряет подготовку кейсов, в том числе для группы автоматизации.

Катя: Использую Pairwise, когда нужно быстро собрать оптимальный набор проверок. Но важно учитывать ограничения: если дефект зависит от 3–4 условий, техника может его пропустить, а найденный баг сложнее локализовать — непонятно, какой параметр повлиял на воспроизведение.

Visual Studio Code — удобный редактор для создания, чтения и редактирования файлов

VS Code помогает работать с файлами разных форматов, подсвечивает параметры, делает структуру данных читаемой и ускоряет поиск нужных параметров. Особенно выручает там, где обычный блокнот превращает файл в нечитаемый набор строк.

В чем польза:

• красиво раскрашивает код до читаемого, удобная навигация;

• позволяет делать поиск по нескольким файлам одновременно;

• подходит для анализа конфигураций и настроек системы;

• поддерживает расширения — все доступно в бесплатном магазине. 

Катя: Использую VS Code как легкий и удобный текстовый редактор — аналог Notepad++. Для разработчиков, мне кажется, он еще полезнее: напоминает полноценную IDE, только в более гибком формате.

Bug Magnet — расширение для Google Chrome с библиотекой тестовых данных

Bug Magnet подставляет в поля формы готовые тестовые значения: длинные строки, разные алфавиты, необычные символы, валидные и невалидные email‑адреса, числа, города и многое другое. 

В чем польза:

• ускоряет проверку форм и валидации;

• предлагает значения, которые сложно придумать вручную;

• поддерживает разные режимы ввода — вставка, симуляция ввода с клавиатуры;

• экономит время, когда нужно быстро пробежать по разным типам данных.

Арина: Bug Magnet выручает, когда нужно быстро заполнить форму разными граничными значениями. В один клик получаешь данные, которые вручную подбирать долго и неудобно.

Flaticon — библиотека бесплатных иконок для интерфейса

Flaticon помогает быстро находить иконки, которые нужны для проверки интерфейса или отдельных элементов. В библиотеке есть бесплатные варианты на любой вкус — разные стили, размеры и темы.

В чем польза:

• есть большое количество бесплатных иконок;

• предлагает варианты под светлую и темную тему;

• можно скачать в форматах PNG и SVG;

• упрощает выбор готовых размеров под Android, iOS и веб.

Арина: Иногда для тестирования нужна конкретная иконка, и Flaticon очень выручает. Можно сразу выбрать цвет, стиль и нужный формат, не тратя время на поиск по разным ресурсам.

Burp Suite — инструмент для тестирования безопасности веб‑приложений

Burp Suite помогает перехватывать и анализировать запросы между браузером и приложением, подменять параметры, изучать ответы сервера, автоматизировать переборы значений и сравнивать запросы. Это не один инструмент, а целый набор модулей, каждый из которых решает свою задачу.

В чем польза:

• позволяет перехватывать и подменять запросы и ответы;

• помогает изучать авторизацию и поведение параметров;

• дает возможность автоматизировать переборы значений через Intruder;

• упрощает анализ и сравнение запросов с помощью Decoder и Comparer;

• визуализирует структуру сайта и все перехваченные запросы.

Арина: Burp Suite кажется сложным из-за количества модулей, но на практике все просто: перехват — подмена — отправка — анализ. Это удобный инструмент для проверки авторизации, поведения параметров и работы безопасности в целом.

Краткий курс по выявлению уязвимостей

Как выглядит веб-приложение глазами атакующего, какие дыры в безопасности встречаются чаще всего и что с этим делать на практике? В статье «Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей» наш AppSec BP собрал небольшое обучение по основам безопасности веб-приложений — от базового понимания архитектуры до превентивного выявления уязвимостей.​

Разбираем, где именно в типичном веб-стеке возникают риски, как связаны между собой классы уязвимостей из OWASP Top 10 и что разработчикам, тестировщикам и безопасникам нужно проверять в первую очередь. Материал не ограничивается теорией: показан практический подход к поиску багов, типичные ошибки при настройке доступа, аутентификации, логирования и работы с внешними компонентами.​

Статья будет полезна backend и frontend разработчикам, тимлидам, DevOps-инженерам и начинающим AppSec-специалистам, которые хотят выстроить базовое «мышление безопасностью» и научиться видеть приложение так, как его видит злоумышленник.

Многие используют подход API First в проектировании систем, но зачастую даже не задумываются, что порождают таким образом сервисы с анемичными доменными моделями, проектируя по сути REST-обертки над базой данных с отсутствием какой-либо бизнес-логики.

API First и Богатая доменная модель не являются взаимоисключающими понятиями, если правильно выстроить процесс и архитектуру.

Главная проблема: API First фокусируется на контрактах внешнего мира, что часто приводит к созданию DTO/Model классов, которые являются чистыми структурами данных без поведения (анемичная модель).

API First — это про контракты, а не про реализацию. Не позволяйте инструментам кодогенерации диктовать структуру вашей доменной модели!

Правильный workflow:

1. API Design First: Создайте/обновите OpenAPI спецификацию.

2. Генерация DTO: Сгенерируйте или создайте классы для API‑контрактов.

3. Projection First: Спроектируйте доменную модель независимо от DTO, фокусируясь на поведении и инвариантах.

4. Создание Mapping Layer: Напишите преобразователи между DTO и Domain Objects.

5. Реализация Application Service: Тонкий слой, который координирует работу домена.

Стек технологий, который помогает:

— MapStruct: Для автоматизации маппинга между DTO и Domain
— JUnit 5: Для тестирования доменной логики
— OpenAPI Generator: Для автоматической генерации DTO из спецификации
— ArchUnit: Для проверки архитектурных правил (например, запрет на анемичные модели)

// ArchUnit тест, проверяющий, что в доменных классах есть поведение
@ArchTest
static final ArchRule domain_models_should_have_business_methods = 
    classes()
        .that().resideInPackage("..domain..")
        .and().areAnnotatedWith(Entity.class)
        .should().containAnyMethodsThat(
            DescribedPredicate.describe(
                "have business methods", 
                method -> !method.getName().startsWith("get") && 
                         !method.getName().startsWith("set")
            )
        );

Электроавтомобиль Xiaomi SU7 съехал передом в водоём во время выполнения манёвра автоматической парковки. Бортовая система не заметила перепад высот, повернула и поехала в пруд для разведения рыбы, свесившись передними колёсами над водой. Машину пришлось вытаскивать на дорогу с помощью эвакуатора.

Владелец SU7 потребовал компенсацию у Xiaomi, но ему отказали. В инструкции электромобиля написано: перед использованием автоматической парковки нужно убедиться, что рядом нет опасных перепадов высот и препятствий.

Байесовские А/Б-тесты - курс на Stepik.

Курс https://stepik.org/course/249642/promo .

Показана реализация А/Б-тестов. Рассмотрено использование байесовского моделирования для сравнения конверсий и средних. Дополнительно обсуждаются множественные сравнения и транзакционная выручка на пользователя.

Репозитории
- https://github.com/andrewbrdk/Bayesian-AB-Testing
- https://github.com/andrewbrdk/AB-Testing-Implementation
Видео на ЮТубе. По сравнению с ЮТубом в курсе есть задачи.

Это первая версия курса. Интересны комментарии. Попробуйте!

Ключевые элементы киберустойчивости

Директор дирекции кибербезопасности ОТП Банка Антон Замараев выступил на сессии «Киберустойчивость как новая стратегическая метрика бизнеса» в рамках Киберсъезда 2025, прошедшего в Кибердоме в Москве. Он рассказал о состоянии киберустойчивости сегодня и поделился взглядом на будущее, в котором компании объединяют усилия, чтобы быстрее и эффективнее противостоять угрозам. Делимся основными мыслями.

1. Киберустойчивость — это не попытка избежать атак, которые все равно произойдут. Это способность максимально быстро устранить возникшую угрозу и восстановить работу сервисов. «Мы не можем полностью заблокировать работу сервисов или ограничить текущий процесс, бизнес должен работать всегда. Поэтому наша задача — встроить такие механизмы безопасности, которые позволяют обнаруживать и устранять угрозы без вреда для бизнеса», — сказал Антон.

2. В ОТП Банке процессы выстроены так, чтобы разработчики и devops-команды могли самостоятельно замечать и исправлять уязвимости. Это снижает нагрузку на профильных специалистов и ускоряет работу. При этом важной частью системы становится оперативный мониторинг: контроль нужен не только внутри инфраструктуры, но и на внешних сервисах, в том числе в клиентских зонах.

3. Сейчас ключевым элементом киберустойчивости становится регулярное тестирование негативных сценариев: «Важно понимать, из чего состоят процессы, какие системы за ними стоят и в какой последовательности нужно их восстанавливать. Это позволяет командам уверенно действовать даже в непривычных ситуациях».

4. Технологический горизонт: квантовые вычисления в ближайшие годы могут поставить под угрозу привычные методы шифрования. Подготовка к переходу на криптографию нового поколения — вызов, который весь рынок еще только начинает осознавать.

5. Завершая выступление, Антон сформулировал идею, которую назвал своей профессиональной мечтой: создание добровольной системы коллективной кибербезопасности. По его словам, компании могли бы передавать друг другу не формальные отчеты, а реальный опыт — как победили конкретную угрозу, какие методы сработали, какие нет. Такой обмен, считает он, сделал бы рынок заметно устойчивее.

«Каждая компания проходит один и тот же путь: сталкивается с похожими угрозами, решает похожие задачи. Если бы мы начали добровольно делиться экспертизой, мы бы все стали защищеннее и быстрее реагировали на новые вызовы», — отметил Антон Замараев.

Команда Google Magenta представила экспериментальное приложение Lyria Camera для создания ИИ‑музыки на основе изображения с камеры смартфона. Приложение анализирует видео с камеры и с помощью Gemini описывает сцену текстовыми музыкальными промптами, например, «спокойный городской пейзаж». Эти промпты используются для создания музыки в реальном времени. Приложение подстраивает музыку под кадр и движение в реальном времени. Проект Lyria RealTime создаёт музыку без слов и с частотой 48 Гц. Приложение Lyria RealTime доступно бесплатно в веб‑версии Google AI Studio с иностранных IP‑адресов.

👉 Декабрь в разгаре, и у нас есть вакансии — присоединяйтесь к SSP SOFT 💻

Говорят, что в декабре никто не нанимает, но это не про нас! Приглашаем опытных специалистов присоединиться к команде SSP SOFT 🌐

✨ У нас в SSP SOFT — проекты, которые удивлят своей сложностью, а затем станут точками роста.
✨ С первого дня вы не одни: за вами закрепляется наставник, который помогает входить в работу спокойно и без лишнего напряжения.
✨ Карьерный скачок здесь реален: наш Проектный офис — это не просто управление, а среда, которая ускоряет профессиональное развитие.
✨ Вы сами выбираете формат: работайте удаленно, приходите в офис в Москве (ЦАО) или в Томске — или комбинируйте (по согласованию с тимлидом).
✨ Мы не пропагандируем культ переработок — рабочие процессы настроены, а личное время и забота о здоровье уважаются.

Бонусы тоже есть:
🎁 ДМС (включая стоматологию) для штатных сотрудников
🎁 обучение за счет компании
🎁 бонусные программы
🎁 общие ивенты — от онлайн-квизов до выездных сборов

📢 Вот кого мы ищем в декабре (Подробности о вакансиях читай на ХХ.ру):

• Python developer (LLM)

• С# Разработчик (интеграции с Lekton)

• Администратор второй линии поддержки/Devops специалист

• Аналитик- консультант 1С

• Аналитик 1С (Middle)

• Системный аналитик (Senior)

• Аналитик 1С (Senior)

• Разработчик Directum

👉 Присылайте резюме напрямую в ЛС нашему HR Lead Алине. Не забудьте добавить сопроводительное письмо с ключевой фразой «Нашел(ла) вас на Хабре».

Спасибо за интерес к нашим вакансиям и желаем успеха на собесе )

Запуски 2025: анализ данных

Продолжаем делиться подборками новых курсов этого года. Сегодня — программы направления анализ данных для тех, кто хочет расти в профессии или работать с искусственным интеллектом. 

«Обработка естественного языка — NLP» — 2 месяца
Разберёте актуальные задачи NLP: NER, генерацию, машинный перевод, QA-системы. Погрузитесь в работу с LLM, научитесь адаптировать модели под бизнес-кейсы и оценивать их качество.

«Мидл системный аналитик» — 4 месяца
Изучите на практике востребованные технологии и инструменты: MSA, SOAP API, Apache Kafka, Postman, Swagger и другие, чтобы перейти на следующий уровень в профессии.

«Аналитик SOC» — 4 месяца
Научитесь реагировать на угрозы, предотвращать атаки, анализировать события в SIEM, строить цепочки атак и работать с полным циклом реагирования в IRP/SOAR.

«Инженер по глубокому обучению нейросетей» — 2 месяца
Прокачаете фундаментальные навыки Deep Learning. Научитесь работать в PyTorch, обучать нейросети, проектировать архитектуры и устранять неполадки в моделях.

«Компьютерное зрение — CV» — 2 месяца
Освоите методы сегментации и детекции объектов, обучение и адаптацию генеративных моделей, работу с мультимодальными данными и новыми архитектурами CV.

Поиск брака с помощью обратной подсветки

В бутылке с водой плавает нечто постороннее, в ампуле с лекарством видна трещина, а пузырёк с дорогим парфюмом заполнен наполовину. Однако, это лишь страшный сон, благодаря системам машинного зрения с обратной подсветкой на производственной линии.

В чём суть технологии?

Камера смотрит на объект, фоном которого является идеально белое, равномерно яркое полотно подсветки. Благодаря этому видны любые дефекты, например:

• Посторонние предметы: любая соринка отбрасывает чёткую тень на светлом фоне

• Уровень наполнения: линия жидкости становится идеально чёткой

• Геометрические размеры: четкий контур объекта на контрастном фоне

• Герметичность и дефекты упаковки

• Сортировка объектов, оптическая сепарация

• Контроль целостности стеклянной колбы (например, у геркона)

Технология обратной подсветки (backlight) — это страховой полис от репутационных и финансовых потерь. Она гарантирует, что каждая единица продукции, покидающая конвейер, безупречна. В современном производстве такая проверка светом — must-have для любого, кто ценит своё имя и качество.