Как стать автором
Обновить

Приложение Uber запросило доступ к истории браузера, закладкам и запущенным приложениям

Информационная безопасность *
Примерно неделю назад произошло обновление мобильного приложения Uber для Android до версии 3.98.2. Пользователи программы сразу обратили внимание, что после обновления Uber запрашивает доступ к истории посещённых страниц в браузере, закладкам и запущенным приложениям (см. скриншот).

Такое любопытство Uber выглядит подозрительно, особенно с учётом недавней статистики, согласно которой компания предоставила властям и регуляторам США по их запросам информацию о 12 млн пассажиров и водителей такси Uber.

«Ума не приложу, какие могут быть рациональные причины, зачем приложению такси рыться в истории моего браузера, а тем более смотреть список приложений, которые я использую», — возмущается один из пользователей, который часто ездит на такси Uber.
Читать дальше →
Всего голосов 27: ↑24 и ↓3 +21
Просмотры 20K
Комментарии 58

Facebook и Snapchat отслеживают действия даже тех пользователей iOS, которые запрещали отслеживание

Социальные сети и сообщества Финансы в IT IT-компании

Журналисты издания Financial Times заметили, что Facebook и Snapchat отслеживают активность iOS-пользователей даже в том случае, когда они запрещают приложениям это делать. Суть в двояком трактовании правил безопасности Apple.

Читать далее
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 2.8K
Комментарии 4

В Нью-Йорке хотят запретить полиции запрашивать у Google геоданные и историю браузера

Информационная безопасность *Законодательство в IT

Группа законодателей от Демократической партии США внесла на рассмотрение парламента штата Нью-Йорк законопроект, который ограничит возможность правоохранителей использовать при сборе доказательств данные истории браузера и сведения о геолокации. Полиция потеряет возможность запрашивать у технологических компаний перечень информации, если закон будет принят.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.3K
Комментарии 1

phpinfo.php: невероятно, но факт

Информационная безопасность *
Дело было вечером, делать было нечего. Написал скрипт для поиска файлов phpinfo.php. Было исследовано 36,804 сайтов Рунета, на 1,725 нашёлся файл phpinfo.php с функцией phpinfo (~4.69%).

Как видно, не все вебмастера знают простую истину – взлом сайта начинается со сбора информации о сервере.

Аналогичная проверка зарубежных сайтов показала, что наши иностранные коллеги более благоразумны: исследовано 166,652 сайтов, phpinfo.php обнаружен на 3,923 (~2,35%).

%username%, а ты удалил файл phpinfo.php (temp.php, test.php) со своего сайта?

Побочный результат исследования, статистика версий PHP
Читать дальше →
Всего голосов 128: ↑102 и ↓26 +76
Просмотры 27K
Комментарии 105

Поиск файлов phpinfo.php, часть 2

Информационная безопасность *
Полгода назад я провел эксперимент по поиску файлов phpinfo.php. Решил сделать повторную проверку тех же сайтов. Было исследовано 36,979 сайтов Рунета, из них на 2,039 нашёлся файл phpinfo.php с функцией phpinfo (~5,51%).

Аналогичная проверка зарубежных сайтов: исследовано 165,661 сайтов, phpinfo.php обнаружен на 5,002 (~3,02%).

Полгода назад результат был ~4.69% и ~2,35% соответственно.

Побочный результат исследования, статистика версий PHP
Читать дальше →
Всего голосов 74: ↑62 и ↓12 +50
Просмотры 2.9K
Комментарии 90

Поиск файлов phpinfo.php, часть 3

Информационная безопасность *
Повторил эксперимент по поиску файлов phpinfo.php, добавив в проверку файлы info.php и php.php.
Было исследовано 37,056 сайтов Рунета, из них на 3,787 нашлись файлы phpinfo.php, info.php или php.php с функцией phpinfo (~10,22%).

Аналогичная проверка зарубежных сайтов: исследовано 164,288 сайтов, phpinfo.php, info.php или php.php обнаружены на 7,944 (~4,84%).

Побочный результат исследования, статистика версий PHP
Читать дальше →
Всего голосов 68: ↑51 и ↓17 +34
Просмотры 2.9K
Комментарии 49

Поздравляю! Мы все под колпаком

Браузеры

Несколько слов для вступления...


Для начала хочу поздороваться со всеми. Здравствуйте, уважаемы читатели Хабрахабр! Всем привет из Белорусии. Данный пост уже публиковался ранее, в моём блоге, но из-за нелюбви ПС яндекса да и других к говносайтам ucoz он был полностью выкинус из поиска, все 200 страниц, но не об этом сейчас. Я решил опубликовать его сдесь, уже в полюбившимся мне хабре.

Нет больше молчать, зная, что каждый из нас находиться под пристальным наблюдением. Да что там наблюдением, под тотальным контролем, как в советское время, но тогда-то этого никто не скрывал.
Мой следующий пост будет посвящён контролю в наше спокойной и мирное время, где свобода и независимость — самые главные права. Просьба не топать ногами, всё нижеизложенное мною будет подтверждено и обосновано реальными фактами. «Правда и только правда, и ничего кроме правды!»
Речь сейчас пойдет, конечно же, о сборе информации а где-то и контроле опирающемся на информационные технологии.

Мы не будем говорить устройствах видеонаблюдения в общественных туалетах и других местах большого скопления людей. Все эти устройства, за исключением тех, что предназначены для охраны, снабжены табличками типа «в целях вашей безопасности ведется видеонаблюдение» и человек знает, что он находиться под контролем.
Мне хотелось бы рассказать вам, о скрытых системах наблюдения и о методах их контроля.
И наибольшее внимание уделить всемирной паутине. Да, дорогие мои, интернет.
Читать дальше →
Всего голосов 116: ↑16 и ↓100 -84
Просмотры 13K
Комментарии 73

Полное видео-руководство о сборе информации для проектирования

Блог компании «Кельник»
Сегодня в рынке потихоньку-полегоньку приживается идея проектирования для интернет-ресурсов, но идея исследования аудитории в рамках проектирования приживается хуже. На Хабре была опубликована пара статей на эту тему:

Мы любим «затачивать пилу» и улучшать наши навыки, поэтому мы пригласили в гости Александра Туника (altunik), автора этих статей и руководителя проектной студии «Тектоника», провести у нас в компании курс лекций, посвящённых именно исследованию контекста и аудитории, необходимому для проектирования сайтов.

В результате получился очень интересный и объёмный набор обучающих материалов, которыми мы, по договорённости с Александром, открыто делимся. Под катом — тезисы, видеозаписи и слайды с трёх семинаров.
4 часа видео? Да вы с ума сошли!
Всего голосов 22: ↑20 и ↓2 +18
Просмотры 21K
Комментарии 5

Анализ методики проектирования: ошибки, ситуации и полезные выводы из них

Анализ и проектирование систем *
Последний раз я писал статью о проектировании в 2011 году. Тогда я собирался написать гораздо больше, но подумал: «Методика есть, но она не проверена временем, клиентами и проектами. Какого беса я буду писать о ней?». И не стал. Прошло два года, за которые мы с командой спроектировали полсотни разных проектов: корпоративные сайты и каталоги товаров, личные кабинеты, системы управления, сервисы, посадочные страницы, мобильные приложения. Многое поменялось: у меня есть статистика, данные по конверсии, отзывы пользователей и клиентов, сделано и исправлено много ошибок в методике и процессе. Теперь можно и написать.

Начну с обзора этих ошибок и выводов за последние два года. Надеюсь, это будет вам полезно. Отдельно надеюсь получить отклики из вашего личного опыта.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 13K
Комментарии 11

Методы определения местоположения пользователя

Разработка веб-сайтов *Геоинформационные сервисы *
Из песочницы

Предисловие


Всем, кто когда-либо занимался написанием систем авторизации/регистрации пользователей, наверняка приходилось задаваться вопросом: «А как узнать о пользователе больше информации?». Для чего это нужно? В большинстве случаев, для идентификации именно этого пользователя. Иногда — для предоставления каких-либо дополнительных возможностей и информации, в зависимости от различных социальных параметров, или, быть может, местополжения пользователя или региона проживания. Иногда, например, для проведения какого-либо скоринга. В этой статье речь пойдёт об определении географического положения пользователя.

Эффективные методы определения


Можно придумать массу методов получения георгафического положения пользователя интернета. И все эти методы будут обладать своим набором плюсов и минусов, будут более или менее эффективны, в зависимости от применения. Сейчас я опишу только те методы, которыми на данный момент пользуется проект, в котором я учавствую, т.е. те, которые я непосредственно использую. За время существования проекта по ним уже собралось достаточно статистики, из которой можно сделать некоторые выводы.
Читать дальше →
Всего голосов 32: ↑31 и ↓1 +30
Просмотры 159K
Комментарии 9

Эпилог истории со «шпионящими» умными телевизорами LG

Информационная безопасность *
image19 ноября 2013 года благодаря статье на Хабре мир узнал, что современные телевизоры могут негласно собирать и отправлять «на сторону» определенную информацию, касающуюся их пользователей. Несколько ресурсов тут же перепечатали новость, а в комментариях перепечаток и на хабре, разыгрались совсем нешуточные «бури в стаканах воды».

Мне же в свою очередь стало интересно, какую позицию в данной ситуации займут государственные контролирующие органы и встанут ли они на сторону потребителей. В результате через сайт Ставропольского УФАС мной было подано заявление, кратко излагавшее ситуацию, описанную в вышеназванном топике, и содержавшее ссылку на него. Через пару недель пришел ответ от Антимонопольной службы.
что ответили полномочные органы?
Всего голосов 102: ↑83 и ↓19 +64
Просмотры 80K
Комментарии 62

Собираем и используем игровую статистику вместе с Google Player Analytics

Блог компании Google Developers Разработка под iOS *Разработка мобильных приложений *Разработка под Android *Тестирование игр *
Привет, Хабр! Правильное использование статистики позволяет легко понять поведение пользователей: как они тратят деньги и в какой момент перестают играть. Сегодня мы хотим предложить вам самим на минутку стать игроками: потестируйте пример игрового приложения в консоли разработчика и освсойте новые возможности бесплатного инструмента «Статистика: Игроки» в консоли разработчика Google Play.



Приложение создано вместе с командой Auxbrain, авторов игры Zombie Highway 2. Внутри вы найдёте обезличенные и произвольно отобранные данные из реально существующей игры. На них вы сможете испытать новые функции, о которых мы вам сегодня расскажем.
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 3.8K
Комментарии 0

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Информационная безопасность *Разработка веб-сайтов *
Разработчик Робин Линус на своей странице на GitHub Pages (визит по следующей ссылке небезопасен и его не рекомендуется выполнять с рабочего места, так как кроме видимой части сервисов страница проверяет, залогинены ли вы на сайтах для взрослых, а это останется в логах файрволла как попытка перехода прим.) продемонстрировал, как сайты могут снимать с вас «медийный отпечаток», то есть вести учет того, в каких популярных сервисах залогинены посетители даже без какой-либо авторизации на посещаемой странице.

Для автора публикации «медийный отпечаток» выглядит следующим образом и является абсолютно верным:



И это весьма неприятно.
Как это работает
Всего голосов 119: ↑112 и ↓7 +105
Просмотры 67K
Комментарии 96

Напиши мне денег: переводы через iMessage

Блог компании ЮMoney Разработка под iOS *Разработка мобильных приложений *Разработка под e-commerce *Swift *

image alt text


iMessage в свежих версиях iOS научился работать со сторонними расширениями. Например, теперь можно добавлять котиков к сообщениям или даже переводить кому-то деньги без дополнительных реквизитов. Это же мечта лентяя — отправлять деньги не выходя из мессенджера, поэтому разработка Яндекс.Денег засела за реализацию.


При разработке модной магии без квестов не обошлось, ведь iMessage практически ничего не рассказывает о получателе сообщения. Нет ни номера кошелька, ни ФИО, ни хотя бы статичного ID. Но мы придумали способ узнать об адресате все необходимое для отправки денег.

ну-ка, ну-ка
Всего голосов 23: ↑22 и ↓1 +21
Просмотры 8.9K
Комментарии 13

Как представители разных профессий вас пробивают

Блог компании Postuf Информационная безопасность *


Чтобы проводить расследования по открытым данным в интернете, совершенно не обязательно обладать сверхтехническими познаниями.

Раньше возможности таких расследований были доступны только крупным корпорациям. Сейчас малый бизнес и вообще любой человек с интернетом может воспользоваться благами открытых данных.

Компании используют открытые данные, чтобы принимать важные решения, получать конкурентные преимущества и обеспечивать безопасность. Открытую информацию дешевле собирать и исследовать, она доступна — нужен только интернет и компьютер, а большинство инструментов можно использовать бесплатно. Такие данные легко распространять: они открытые, у всех к ним сразу будет доступ. Кроме того, OSINT ускоряет поиск и позволяет проводить исследования в режиме реального времени.

В этом материале мы приводим несколько простых примеров, как можно использовать OSINT в работе. Возможно, что-то из описанного ниже вы уже активно применяете, а что-то покажется вам интересной идеей и подтолкнет к новым.
Читать дальше →
Всего голосов 29: ↑26 и ↓3 +23
Просмотры 26K
Комментарии 3

OSINT для сбора информации о рекламных идентификаторах на сайтах

Блог компании T.Hunter Информационная безопасность *Веб-аналитика *

Давайте поговорим об использовании уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях.

Рекламные идентификаторы прячутся в коде вебсайта. Чтобы их увидеть необходимо открыть код страницы (в Chrome - CTRL+U) и найти в нем их упоминание. Ключевые слова для поиска даны ниже, применительно к популярным рекламным площадкам:

AdSense: Pub- или ca-pub

Analytics: UA-

Amazon: &tag=

AddThis: #pubid / pubid

Metrika: mc.yandex / ym

Альтернативным средством обнаружения рекламных идентификаторов на сайте может стать использование таких сервисов:

https://themarkup.org/blacklight

https://urlscan.io/

https://www.spiderfoot.net/

Обнаружив тот или иной рекламный идентификатор, мы можем попытаться найти его использование на других вебсайтах. Сделать это можно с использованием таких ресурсов:

http://www.spyonweb.com

https://analyzeid.com/

https://dnslytics.com/reverse-analytics 

https://intelx.io/tools?tab=analytics

https://intelx.io/tools?tab=adsense

Проиллюстрируем это на примере изучения сайта https://www.bleepingcomputer.com/, который имеет в коде страницы уникальный рекламный идентификатор Google Analytics UA-91740.

Читать далее
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 4.1K
Комментарии 0

Банкрот или не банкрот? Вот в чем вопрос

Python *Программирование *

Сталкиваетесь ли Вы с необходимостью использовать внешние источники данных? Если да, то Вам пригодится алгоритм автоматизированного сбора информации с сайта – парсер. Разберём процесс создания такого алгоритма на примере сайта ЕФРСБ.

Перед Data Science специалистами регулярно встают задачи, для решения которых необходима информация из внешних источников, и часто её объёмы такие, что ручной поиск занимает непозволительно много времени. Автоматизированный сбор данных с сайта (парсинг) позволяет получить необходимые для задачи сведения, экономя время.

Одна из таких задач встала перед нашей командой: понадобились данные о процедуре признания физических лиц банкротами. Для этого был разработан алгоритм парсинга сайта Единого федерального реестра сведений о банкротстве (ЕФРСБ) с использованием библиотек requests и bs4. В настоящей статье предлагаю рассмотреть процесс создания этого парсера и познакомить Вас с решениями некоторых проблем, с которыми мы столкнулись.

Разработку алгоритма мы решили разбить на 2 части:

Читать далее
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 3.9K
Комментарии 4