Тестирование веб-сервисов *

Состоялся релиз системы для создания отказоустойчивых рабочих процессов Restate 0.8. Код проекта опубликован на GitHub под лицензией Put Restate under Business Source License от Restate Software.

Согласно пояснению разработчиков проекта, Restate отлично подходит для создания:

• рабочих процессов типа Lambda как код (Lambda Workflows as Code);

• транзакционных обработчиков RPC;

• обработки событий с помощью Kafka.

В версии Restate 0.8 разработчики уделили большое внимание доработке API, учтя отзывы пользователей, чтобы уменьшить трудности при создании сервисов Restate. Также там добавлены комбинаторы промисов (Promise combinators), которые позволяют детерминированно комбинировать промисы. Например, если вы хотите дождаться вызова службы A или вызова службы B, то Restate позаботится о записи того, какой из промисов был выполнен первым, и в конечном итоге воспроизведёт этот выбор, когда это необходимо. В новой версии проекта доступны все комбинаторы стандартной библиотеки JavaScript.

Как передать 'enableVNC': True для selenoid при вызове webdriver.Remote на Python Selenium 4 и выше

На Selenium до 4 версии у webdriver.Remote был параметр desired_capabilities, который принимал словарь с настройками браузера для удалённого вызова.

Но начиная с версии 4 этот параметр устарел и перестал поддерживаться, вместо него теперь - options. И в них можно встроенными методами класса передать название браузера или его версию, но вот 'enableVNC': True потерялся.

Selenoid стал хитро поддерживать его на своей стороне через передачу разных параметров в словарике с ключом 'selenoid:options'. В нём можно передать и разрешение браузера по необходимости.

А теперь, собственно, сабж

from selenium import webdriver

webdriver.DesiredCapabilities.CHROME['selenoid:options'] = {'enableVNC': True}
options = webdriver.ChromeOptions()
driver = webdriver.Remote(command_executor=remote_server, options=options)

Разработчики анонимной сети Tor опубликовали результаты второго аудита со стороны Radically Open Security с апреля по август 2023 года (до этого с ноября 2022 года по апрель 2023 года компанией Cure53 проводился первый аудит). Проверка затронула код для обеспечения работы выходных узлов, браузер Tor Browser, компоненты инфраструктуры (сбор метрик, SWBS, API Onionoo) и утилиты для тестирования.

Основной задачей повторной проверки была оценка изменений, внесённых для повышения скорости и надёжности сети Tor, таких как добавленный в выпуске Tor 0.4.8 протокол разделения трафика Conflux и методы защиты Onion‑сервисов от DoS‑атак на основе доказательства выполнения работы.

В ходе аудита были выявлены 17 уязвимостей. Одна из них отнесена к категории опасных. Четырём уязвимостям присвоен средний уровень опасности, а 12 отнесены к проблемам с незначительным уровнем опасности. Наиболее опасная уязвимость выявлена в приложении onbasca (Onion Bandwidth Scanner), применяемом для сканирования пропускной способности узлов сети.

Уязвимость вызвана возможностью отправки запросов через HTTP-метод GET, позволяющих выполнить подстановку межсайтовых запросов от лица другого пользователя (CSRF, Cross-Site Request Forgery), что даёт атакующему возможность добавить свои мостовые узлы в БД через манипуляцией с параметром bridge_lines.

Источник: OpenNET.

Angara Security проанализировала более 200 реализованных проектов и конкурсных процедур в сфере анализа защищенности данных за 2022-2023 годы и выяснила:

• около 60% проектов по анализу защищенности реализуется в рамках
  двух ценовых сегментов: от 500 тыс. рублей до 1 млн рублей (23,7%) и от
  1 млн до 2 млн рублей (37%);

• по сравнению с 2022 годом доля проектов в отмеченных ценовых сегментах выросла в среднем на 65%;

• услуги анализа защищенности наиболее востребованы среди финансовых организаций и страховых компаний (около 40% проектов и конкурсных процедур), телеком- и IT-компаний (28,8%).

ИБ-эксперты отметили спрос на решения для мониторинга эффективности средств защиты информации на внешнем периметре, поэтому на рынке также востребованы услуги комплексной симуляции кибератак (red team) с проверкой реакции сотрудников внутренних SOC-центров и ИБ-подразделений в филиалах крупных компаний. Также растет спрос на анализ защищенности в режиме «белого ящика». Такие пентесты выявляют практически все уязвимости приложений и имеют наибольшую эффективность.

Среди перспективных направлений в сфере анализа защищенности аналитики Angara Security также отмечают автоматизацию проверок, которые могут проводиться без привлечения экспертов, а также объединение в комплексные услуги пентестов инструментов OSINT и анализа фишинговых атак, управление поверхностью атаки внешнего периметра, сопоставление актуальных для отрасли техник и атак.

Опубликованы результаты исследования поддержки кириллических адресов электронной почты наиболее популярными в РФ информационными ресурсами в рамках изучения готовности популярных сайтов к корректной работе с различными видами кириллических e-mail-адресов: содержащих символы кириллицы юникода в локальной части адреса (до знака @) и/или кириллические доменные имена российской национальной доменной зоны (после знака @).

По результатам исследования, уровень принятия ресурсами полностью или частично кириллических e-mail-адресов, демонстрирующий корректность работы форм ввода сайта, составил:

• 44% сайтов успешно принимают e-mail-адреса с латинскими символами в локальной части адреса и кириллическим доменным именем (вида ascii@юникод.юникод);

• 34% сайтов успешно принимают e-mail-адреса с кириллической локальной частью и доменным именем на латинице (вида юникод@ascii.ascii);

• 29% сайтов успешно принимают полностью кириллические e-mail-адреса (вида юникод@юникод.юникод).

Уровень подтверждения полностью или частично кириллических e-mail-адресов, демонстрирующий корректность работы почтовых сервисов, составил:

• 37% сайтов успешно отправляют письма на e-mail-адреса с латинскими символами в локальной части и кириллическим доменным именем;

• 3% сайтов успешно отправляют письма на e-mail-адреса с кириллической локальной частью и доменным именем на латинице;

• 3% сайтов обеспечивают корректную работу со всеми видами кириллических адресов: успешно принимают и отправляют подтверждения на такие адреса.

❓100 Вопросов по Машинному обучению (Machine Learning) - Вопрос_8

?Вопрос_8: Какие алгориммы поиска аномалий в данных существуют и чем они отличаются ?

✔️Ответ:

• DBSCAN (Density-Based Spatial Clustering of Applications with Noise) - алгоритм кластеризации данных, который основывается на плотностной информации о расположении объектов. Он определяет кластеры как плотные области в пространстве признаков, разделенные областями разреженности;

• LOF (Local Outlier Factor): LOF также использует информацию о плотности для обнаружения аномалий. Он вычисляет локальный коэффициент выброса для каждого объекта, основываясь на плотности окрестности данного объекта по сравнению с плотностью окрестности его соседей. Значения LOF выше единицы указывают на аномальные объекты;

• Isolation Forest использует случайные деревья для изоляции аномалий. Он строит ансамбль изолирующих деревьев, разделяя объекты по случайным разделениям до тех пор, пока каждый объект не будет изолирован в отдельном листе. Аномалии обычно требуют меньшего числа разделений для изоляции, и поэтому имеют более короткий путь в дереве;

• One-Class SVM (Support Vector Machines): One-Class SVM - алгоритм, который строит модель только для "нормальных" данных. Он пытается найти гиперплоскость, которая наилучшим образом разделяет нормальные данные от выбросов в пространстве признаков. Объекты, находящиеся далеко от этой гиперплоскости, считаются аномалиями.

  https://t.me/DenoiseLAB

21 сентября Артур Кашбуллин, Исполнительный директор блока качества РСХБ‑Интех, выступит на Testify — новом формате онлайн‑митапов от Test IT об особенностях тестирования ПО в разных сферах бизнеса.

В рамках доклада «Как отчетность нам жить помогает» Артур поделится опытом использования управленческой и оперативной отчетности, расскажет, какие метрики в них используются, затронет вопросы текущих задач подразделения и не только.

Вместе с Артуром в рамках первого Testify выступят:

• Карим Аминов из Test IT с докладом, как «дирижировать оркестром» релизной команды в крупных банках.

• Анастасия Шевченко из «Винвестора» с докладом об основных моментах оптимизации процесса разработки нового модуля для личного кабинета юридических лиц в рамках поддержки действующего проекта.

Для регистрации на бесплатный онлайн‑митап необходимо пройти по ссылке.

VK повышает вознаграждение этичным хакерам до 7,2 млн рублей💸

Такие выплаты будут ждать исследователей безопасности программы «Почта, Облако и Календарь» с 30 июня по 30 июля 2023 года. Вознаграждение удвоится за все уязвимости, найденные на стороне сервера (server side).

🔥Максимальная награда за баг критического уровня опасности составит 7,2 миллиона рублей!

«Информационная безопасность — один из стратегических приоритетов для VK. Если говорить о выплатах в рамках нашей программы багбаунти, важно охватить всех исследователей, которые готовы искать новые уязвимости и получать вознаграждение. Такой инструмент, как повышение выплат, позволяет сосредоточиться на определенных продуктах и повысить их безопасность», — отметили в компании.

Всего на Standoff 365 Bug Bounty зарегистрировано 5700 исследователей, они сдали 2200 отчетов и получили более 32 млн рублей.

Начать искать баги и делать сервисы VK безопаснее можно прямо сейчас!

Досадная невязка округления при онлайн заполнении 3-НДФЛ:

Всё ниже описанное приключилось при использовании firefox 111.0.1 из под ubuntu 22.04 x86_64 и может быть специфично для этой среды или нет.

Известно, что вычет 405 для дохода по коду 2204 составляет 30%, и должен составлять: 47888.0846561 / 100 * 30 = 14366.42539683, как видно из скриншота он верно округляется до 14366.43 - получается налогооблагаемая база уменьшилась почти на пол копейки больше чем следует?

Нет. Перед отправкой декларация будет проходить валидацию на беке с ровно такой точностью сумм как на скриншоте и: 47888.0846561 / 100 * 30 = 14366.42539683 < 14366.43, а это значит что вычет 405 в проверяемой декларации заявлен не 30, а 30.00000961234936%, что конечно же не верно и такую декларацию пропускать нельзя, а нужно показать пользователю маленькое и быстро исчезающее сообщение об ошибке в правом нижнем углу: "Сумма вычета (расхода) превышает лимит 30% от дохода, установленный для вычета 405". (А ещё одна картинка превышает лимит установленный для Хабром постов)

Чтобы он осознал свою ошибку и не пытался заявить вычет больше чем положено. Который рассчитывается автоматически.