В июле сервис «Платформа» представили в качестве аналога американского видеохостинга YouTube, его разработала IT‑компания Rteam.
Сервис был представлен Региональным общественным центром интернет‑технологий (РОЦИТ). На презентации говорили, что на платформе не будет «западной цензуры» и запрещенного контента (например, роликов на тематику ЛГБТ). Через месяц после запуска на главной сайта висели ролики, которые набирали в среднем по 300–500 просмотров. Сейчас хостинг не работает, на главной висит заглушка «Технические работы на сайте».
Интернет-энциклопедия «Википедия» добавила в настольную и мобильную версии тёмную тему. Опцию можно выбрать в настройках цвета. В настоящий момент функция доступна только для англоязычных пользователей «Википедии».
В разделе «Цвет» есть возможность активировать три опции: «Светлый», «Темный» и «Автоматический», который выбирается на основе настроек системы. Новый режим «Википедии» несовместим с браузерными расширениями, которые сами делают «Википедию» темной.
Панель с настройками «Википедии» в мобильной версии можно вызвать, нажав на левое верхнее меню с символом из трех полосок. В настольной версии опция либо доступна в правой панели настроек, либо она открывается при нажатии на кнопку с изображением очков в правом верхнем углу страницы — панель может быть как закрепленной на странице, так и выпадающей при нажатии.
Тёмная тема была одной из самых запрашиваемых функций от пользователей «Википедии». Первый запрос на это был зарегистрирован еще в июне 2010 года, однако разрабатывать функцию начали только в 2022 году.
В кодовую базу Node.js принятоизменение, добавляющее возможность выполнения файлов с кодом на TypeScript.
Поддержка TypeScript включается при помощи опции "--experimental-strip-types" и сводится к очистке специфичных для данного языка определений типов, то есть преобразованию перед выполнением исходного кода в JavaScript.
Не связанные с описанием типов возможности TypeScript пространства имён, декораторы, свойства параметров и перечисляемые типы (enum) пока не поддерживаются. Протестировать новую опцию можно в ночных сборках Node.js 23.
Для трансляции задействован компилятор SWC (Speedy Web Compiler), написанный на языке Rust. Чтобы не добавлять дополнительные зависимости к Node.js, задействовано представление компилятора swc/wasm-typescript в промежуточном коде WebAssembly и уже применяемое для тех же целей в платформе Deno.
Это изменение добавлено в ответ на просьбы пользователей реализовать возможность запуска кода на TypeScript без установки внешних загрузчиков и дополнительных зависимостей. В проектах Deno и Bun поддержка TypeScript реализована изначально.
Ключевым отличием TypeScript от JavaScript является явное определение типов. Статическая типизация позволяет избежать многих ошибок в процессе разработки, даёт возможность задействовать дополнительные техники оптимизации и упрощает отладку.
В добавленной в Node.js реализации данные возможности TypeScript теряются, в процессе трансляции исходных текстов в JavaScript проверка типов не осуществляется.
Эксперты PCWorld сравнили веб-браузеры Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Brave и Vivaldi по производительности и доступу к данным пользователей.
Главным критерием теста было время загрузки содержимого сайтов, особенно тех, которые богаты графическими элементами и JavaScript.
Тестирование проводилось на ПК на базе AMD Ryzen 5 3600 с видеокартой NVIDIA RTX 3060 Ti, 16 ГБ ОЗУ DDR4-3200 и накопителем Samsung 970 Evo. В качестве операционной системы использовалась Windows 10 версии 22H2.
Для измерения скорости работы браузеров эксперты задействовали инструменты Speedometer 3.0, Jetstream2 и Motionmark 1.3. Первый тест проверяет скорость рендеринга веб-страниц, второй – скорость выполнения JavaScript, третий – скорость отображения графических элементов.
По результатам тестов Chrome занял первое место в тесте Speedometer и второе место во всех остальных тестах, что позволило ему стать лидером среди прочих тестируемых браузеров.
Несмотря на высокую производительность, команда экспертов не рекомендовала использовать этот браузер из-за сбора большого количества персональных данных пользователей.
Примечательно, что Firefox занял последние места в тестах, но отлично себя зарекомендовал в плане конфиденциальности, практически не собирая информацию о пользователях.
Хакер под ником emo выложил в свободный доступ (при оплате) базу данных пользователей сервиса управления проектами Trello (trello.com).
Известно, что информация хакером получена с помощью запросов к официальному API сервиса, а не в результате взлома.
ИБ-исследователи выяснили, что хакер использовал открытый API Trello для связывания почтовых адресов с профилями пользователей. В итоге хакер подготовил список из 500 млн адресов электронной почты и направил их через открытый API, чтобы определить, связаны ли они с аккаунтами Trello. Злоумышленник заявил, что закупил прокси для ротации соединений и запросов через API непрерывно. После этой атаки API Trello был усилен и стал требовать аутентификации, хотя он по-прежнему доступен любому, кто создаст бесплатный аккаунт.
«У Trello был открытый API-эндпоинт, который позволял любому неаутентифицированному пользователю связать адрес электронной почты с аккаунтом Trello, — пишет emo. — Изначально я собирался отправлять эндпоинту только письма из баз данных com (OGU, RF, Breached и так далее), но потом решил продолжать [проверять] email'ы, пока не надоест».
В опубликованной хакером базе данных содержится 15 115 945 строк, включая:
адрес эл. почты;
имя/фамилия;
логин;
ссылку на аватар.
ИБ-специалисты считают, что информация из этой базы может использоваться для проведения целевых фишинговых атаках, а сам emo пишет, что данные также могут пригодиться для доксинга, так как позволяют связать email-адреса с конкретными людьми и их никами.
Представлен онлайн-проект Windows 98 Disk Defrag Simulator. На сайте defrag98.com можно посмотреть, как работала система дефрагментации дисковых носителей в Windows 98. На сайте можно выбрать диск для работы утилиты Disk Defragmenter и запустить в режиме симуляции этот увлекательный ретро-процесс.
Группа исследователей из Грацского технического университета разработаламетод атаки по сторонним каналам SnailLoad, позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube.
Код серверной части, используемой для проведения атаки, опубликован на GitHub под лицензией MIT.
SnailLoad не требует совершения MITM-атаки, атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.
Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из‑за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру («последняя миля»), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы.
Точность определения сайта в SnailLoad зависит от типа подключения пользователя к провайдеру и составляет 62.8%.
Команда развиваемого с нуля свободного веб-браузера Ladybirdобъявила о получении пожертвования размером в $1 млн от Криса Ванстрата (Chris Wanstrath), сооснователя GitHub.
Ранее браузер Ladybird являлся компонентом SerenityOS, любительского проекта по разработке с нуля Unix-подобной операционной системы, который был основан Андреасом Клингом (Andreas Kling), ранее работавшим в Nokia и занимавшимся разработкой Safari. В июне 2024 года Клинг решил отделить проект браузера от проекта ОС, и полностью посвятить своё время его разработке.
Согласно сообщению на сайте проекта, Ванстрат и его семья решили пожертвовать $1 млн проекту для дальнейшего финансирования разработки, поскольку они верят в необходимость присутствия на рынке браузеров альтернативного проекта, который так или иначе не финансируется Google и не полагается на технологический стек Google Chrome или любого другого браузера.
Для управления разработкой Ванстрат и Клинг основывают некоммерческий фонд Ladybird Browser Initiative. Браузер создаётся на частные пожертвования, которые, однако, не позволят жертвователям контролировать процесс разработки и управления проектом (unrestricted donations). Отдельно оговаривается, что ни при каких обстоятельствах проект не будет участвовать в спонсорских сделках, условиями которых будет, к примеру, установка поисковой системы по умолчанию.
Проект ориентирован на поддержку операционных систем Linux и macOS, релиз для Windows не планируется.
Скорее подписывайся на специальный Telegram-канал, в котором команда Вебмониторэкс рассказывает все об API Security, Web Security, трендовых уязвимостях и публикует анонсы об изменениях в продуктах.
Некоммерческий удостоверяющий центр Let's Encrypt объявил о переходе на использование NTP-сервера ntpd-rs на языке Rust. Проект распространяется под лицензиями Apache 2.0 и MIT, полностью поддерживает протоколы NTP и NTS (Network Time Security) на уровне клиента и сервера, и может использоваться в качестве замены NTP-серверам chrony, ntpd и NTPsec.
Пакет ntpd-rs разработан в рамках проекта Prossimo, развивающегося под эгидой организации ISRG (Internet Security Research Group), которая является учредителем Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета. Помимо ntpd-rs проект также ведёт разработку TLS-библиотеки Rustls, DNS-сервера Hickory, обратного прокси River, утилиты sudo-rs и компонентов для ядра Linux на языке Rust.
Использование ntpd-rs повысит защищённость инфраструктуры Let’s Encrypt и снизит вероятность появления уязвимостей, вызванных ошибками при работе с памятью. Кроме того, безопасность и надёжность системы синхронизации точного времени важна, так как манипуляции злоумышленников с установкой неверного времени могут использоваться для нарушения безопасности протоколов, учитывающих время, таких как TLS и интерпретации данных о действии TLS-сертификатов.
Let's Encrypt ежедневно генерирует более четырёх миллионов новых сертификатов. Число активных сертификатов составляет 372 млн (сертификат действует три месяца).
Состоялся релиз Tor Browser 13.5 с улучшенной защитой от Fingerprinting и обновлёнными настройками мостов (Bridge Settings).
Согласно пояснению разработчиков, в новой версии проекта переработаны карты мостов с улучшенными функциями общего доступа, метками источников и новым разделом для поиска дополнительных мостов. Функция «Запросить мост» стала более доступной.
Также проведёт редизайн ошибок на сайте Tor, чтобы они соответствовали другим сетевым ошибкам. Эта опция снижает путаницу среди пользователей.
Tor Browser 13.5 станет последней стабильной версией проекта, поддерживающей ОС Windows 8.1 и старше, а также macOS 10.14 и старше. Пользователям рекомендуется обновить свои системы, чтобы обеспечить постоянную конфиденциальность и безопасность.
Хороший вопрос! На самом деле, материалов много, но найти «те самые» не так уж просто. В основном в тему погружает либо что-то «издалека», например, базовая статистика, либо уже материалы «продвинутого» уровня с массой формул. А вот так, чтобы прочитать что-то одно усредненное и сразу разобраться, увы, не выйдет.
Именно поэтому мы обратились за рекомендациями к Даше, нашему Senior product analyst. Лови ее рекомендации:
Курс «Основы статистики»
от Анатолия Карпова Это база! Курс знакомит с основными понятиями и методами математической статистики, а полученных знаний хватит
для того, чтобы начать пробовать
себя в тестированиях.
Вебинары karpov.courses Мне очень нравится, что у них много бесплатных полезных материалов, где доступно, внятно и с примерами
в коде рассказывают об аналитике
в целом и про A/B-тесты в частности.
Книга «Доверительное
а/b-тестирование»,
Рон Кохави Книга полезная, но прочесть ее целиком получится не у всех, поэтому ориенти-руйся по оглавлению и своему уровню. Главное, не повторяй моих ошибок и не читай ее в русском переводе.
Блог Рона Кохави 90% цитат и новостей из мира
A/B-тестирований в русскоязычном
сегменте — это пересказ его блога ;-)
Telegram-канал EXPF Почему-то довольно мало людей знает про этих ребят, а они очень крутые. Но имей в виду, в канале публикуются статьи продвинутого уровня.
Кстати, именно эту подборку Даша советует для изучения потенциальным кандидатам в свою команду ;-)
«Сбер» обновил стартовую страницу для входа в веб‑версию приложения «СберБанк Онлайн» и добавил ещё один способ входа — по номеру карты. Это упрощает процедуру работы с сервисами «Сбера» для тех пользователей, кто периодически забывает свой логин и пароль.
Таким образом, сейчас клиент «Сбера» может выбрать любой из трёх способов входа: по логину и паролю, по телефону или по номеру карты.
Кроме того, сам вид стартовой страницы веб‑версии стал более лаконичным, простым и удобным. Вместо кнопок «Изменить пароль» и «Восстановить доступ» появилась одна кнопка «Забыли логин или пароль?», которая ведёт на восстановление доступа по номеру карты или логину.
Ксения Баринова, директор дивизиона «СберБанк Онлайн» Сбербанка:
«Мы развиваем не только мобильное приложение, но и веб-версию "СберБанк Онлайн". Сегодня веб-версией ежемесячно пользуются 5,5 млн человек, поэтому мы продолжим улучшать её, чтобы всем нашим клиентам было удобнее и проще получать доступ к привычным сервисам с телефона, компьютера или планшета».
Самый сытный сбой в мобильном приложении: пользователь заказал два комбо в Burger King, а ему привезли... двести пакетов с заказами. Всё из-за бага в мобильном приложении. В компании клиенту принесли извинения и разрешили оставить всю еду себе. Другие пользователи сообщили, что это не единственный случай такой ошибки в доставке Burger King.
Сервис мониторинга производительности web-сайтов DebugBear опубликовал результаты анализа влияния браузерных дополнений на производительность и комфорт работы пользователей.
В ходе исследования протестировано 5000 наиболее популярных дополнений к Chrome. При тестировании оценивалась нагрузка на ЦП, объём загружаемых данных, скорость загрузки страниц, задержки при взаимодействии пользователя с веб-страницами и расходование дискового пространства.
Выводы по тестам:
использование дополнений с блокировщиками рекламы снижает нагрузку на ЦП, уменьшает объём загружаемых данных и уменьшает потребление памяти;
при оценке экономии трафика при включении блокировщиков, наилучшие показатели продемонстрировал uBlock Origin, который позволил снизить размер загружаемых данных на протестированных сайтах в среднем с 41 МБ до 3 МБ;
в тестах влияния дополнений на потребление памяти наилучшие результаты оказались у дополнения DuckDuckGo Privacy Essentials. При использовании AdBlock Plus расход памяти увеличился;
из 336 дополнений, имеющих более 1 млн пользователей, 11 приводили к увеличению нагрузки при обработке каждой страницы более чем на 0.5 с времени ЦП. Худшие показатели отмечены у дополнения Monica;
86% из протестированных дополнений создавали минимальную (менее 50 мс) нагрузку на ЦП, 5.2% дополнений создавали нагрузку от 50 до 100 мс процессорного времени, 4.4% - от 100 до 250 мс, 2.4% - от 250 до 500 мс, 1.7% - более 500 мс.
17 мая 2024 года журнал «Хакер» в качестве эксперимента и в рамках празднования 25-летия своей продуктивной деятельности запустил на своём сайте хакерский квест, который по задумке должен занять энтузиастов и профильных IT-специалистов на этих выходных.
Это наш первый опыт в организации таких квестов, поэтому сложность и требуемое на решение время мы можем оценить только примерно. Начинать можно имея лишь базовые навыки, а до конца должны дойти лишь самые стойкие.
Первого прошедшего квест ждёт главный приз (какой — пока секрет), первую десятку — призы поменьше.
Сразу предупреждаем, что в плане наступательной безопасности квест предполагает только разведку. Если у тебя вдруг получится что‑то взломать, то просим ничего не трогать и зарепортить своё достижение, написав в Telegram ответственному (@electric_panda).
10 мая 2024 года Cloudflare представила второй публичный релиз открытого проекта Pingora v0.2.0. Это асинхронный многопоточный фреймворк на Rust, который помогает создавать прокси-сервисы HTTP. Проект используется для создания сервисов, обеспечивающих значительную часть трафика в Cloudflare (вместо применения Nginx). Исходный код Pingora опубликован на GitHub под лицензией Apache 2.0.
Pingora предоставляет библиотеки и API для создания сервисов поверх HTTP/1 и HTTP/2, TLS или просто TCP/UDP. В качестве прокси-сервера он поддерживает сквозное проксирование HTTP/1 и HTTP/2, gRPC и WebSocket. (Поддержка HTTP/3 — в планах). Pingora также включает в себя настраиваемые стратегии балансировки нагрузки и аварийного переключения. Чтобы соответствовать требованиям и безопасности он поддерживает как широко используемые библиотеки OpenSSL, так и BoringSSL, которые соответствуют требованиям FIPS (федеральных стандартов обработки информации США) и пост-квантового шифрования.
Изменения в новой версии:
добавлена поддержка установки фильтров для дополнительных заголовков HTTP/2;
добавлена возможность изменения размера буфера входящих пакетов для TCP;
добавлена функция body_bytes_read();
добавлен фильтр cache_not_modified_filter;
добавлена возможность ведения лога TLS-ключей;
добавлена callback-функция purge_response.
В рабочем режиме Pingora обеспечивает плавный перезапуск без простоев для самостоятельного обновления, не теряя ни одного входящего запроса.
«Тинькофф» приглашает в апреле на Tinkoff CTF (Capture the Flag) — ежегодные международные соревнования по спортивному хакингу для IT-специалистов.
Принять участие в онлайн- и офлайн-формате (в центрах разработки «Тинькофф») могут как эксперты в теме ИБ, так и разработчики, SRE, QA-инженеры, аналитики и другие специалисты.
Мероприятие в этом году пройдёт 20 и 21 апреля в 16 городах России, Беларуси и Казахстана.
В основе Tinkoff CTF лежит механика соревнований по спортивному хакингу с заданиями, построенными на современных мемах и отсылках к массовой культуре. В прошлом году Tinkoff CTF собрал более 6800 участников в разных городах России и Беларуси.
Маскот текущих соревнований — капибара (одно из самых популярных животных в массовой культуре за последние годы). Также в этом году новым символом соревнований стал Гиперкуб, тайну которого предстоит разгадать участникам. На каждой его грани — загадки из других миров, которые необходимо разгадать командам.
Например, командам предстоит:
— найти вирус на сайте любителей окрошки и восстановить исходную рецептуру;
— усмирить сверхразумного Кота Да Винчи;
— помочь Шерлоку восстановить взломанную базу и найти всех преступников и многое другое.
В основе всех сценариев — задания на веб-безопасность, безопасность мобильных приложений, инфраструктуры, криптографию и общие задания на хакерский кругозор и смекалку. За правильные решения участники будут получать достижения и очки. Победят команды, которые наберут максимум очков.
Фразу «Сомнительно, но окэй» от Олега Тинькова (признан в РФ иностранным агентом) в английском варианте предложили увековечить в HTTP-статусе: HTTP 267 Doubtful But Okay.
Такой статус ответа веб-сервера или приложения означает, что параметры (URL или данные) запроса имеют сомнительную семантику (возможно, клиентом переданы противоречивые данные), но, тем не менее, запрос принят и обработан.
Состоялся релиз системы для создания отказоустойчивых рабочих процессов Restate 0.8. Код проекта опубликован на GitHub под лицензией Put Restate under Business Source License от Restate Software.
Согласно пояснению разработчиков проекта, Restate отлично подходит для создания:
рабочих процессов типа Lambda как код (Lambda Workflows as Code);
транзакционных обработчиков RPC;
обработки событий с помощью Kafka.
В версии Restate 0.8 разработчики уделили большое внимание доработке API, учтя отзывы пользователей, чтобы уменьшить трудности при создании сервисов Restate. Также там добавлены комбинаторы промисов (Promise combinators), которые позволяют детерминированно комбинировать промисы. Например, если вы хотите дождаться вызова службы A или вызова службы B, то Restate позаботится о записи того, какой из промисов был выполнен первым, и в конечном итоге воспроизведёт этот выбор, когда это необходимо. В новой версии проекта доступны все комбинаторы стандартной библиотеки JavaScript.
