Все потоки
Поиск
Редактировать
Обновить
0
Карма
@Shhhread⁠-⁠only

Пользователь

Отправить сообщение
ПрофильЗакладки6

Безопасность мобильного OAuth 2.0

Время на прочтение13 мин
Охват и читатели29K
Блог компании VKИнформационная безопасность * Разработка мобильных приложений *


Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты.

В этой статье я хочу поделиться с вами знаниями об атаках на мобильный OAuth 2.0, о методах защиты и безопасной реализации этого протокола. Все необходимые компоненты защиты, о которых я расскажу ниже, реализованы в последней версии SDK для мобильных клиентов Почты Mail.Ru.
Читать дальше →
Всего голосов 29: ↑29 и ↓0+27
Комментарии25

Проксирование из коробки: сравнительный анализ HAProxy, Envoy, Nginx, Caddy и Traefik

Уровень сложностиСредний
Время на прочтение23 мин
Охват и читатели46K
Тестирование IT-систем * Тестирование веб-сервисов * IT-инфраструктура *
Обзор
Из песочницы

Всем привет, меня зовут Стас, я техлид в Mish Product Lab.

Тема возникла не просто так: внутри команды у нас было немало споров и дискуссий о том, какой инструмент для проксирования и терминации SSL лучше использовать в различных ситуациях. Изначально все наши гипотезы были основаны больше на личных предпочтениях, чем на реальных данных. Мы долго спорили, надеясь, что истина будет где-то рядом с нашими любимыми решениями. Но в итоге пришли к выводу, что единственный способ получить действительно объективный ответ — это протестировать и сравнить различные варианты на практике.

Именно так родилась идея провести сравнительный анализ производительности HAProxy, Envoy, Nginx, Caddy и Traefik с поддержкой SSL/TLS. Мы хотели понять, какой из инструментов «из коробки» предоставляет наилучшую производительность и минимальные накладные расходы, особенно при обработке SSL-трафика, который, как известно, требует дополнительных ресурсов из-за шифрования и дешифрования.

Читать далее
Всего голосов 60: ↑57 и ↓3+62
Комментарии43

Проектирование сервиса персональной ленты. Как решать System Design?

Уровень сложностиСредний
Время на прочтение10 мин
Охват и читатели25K
Проектирование API * Анализ и проектирование систем * Программирование * Go *
Кейс

Привет! Эта статья - текстовая версия моего стрима с разбором задачи на бесконечную ленту по System Design.

Рассмотрим классическую задачу из System Design интервью - персональная лента подписок. По сути, мы проектируем упрощённый клон Instagram. Сама задача звучит следующим образом:

Читать далее
Всего голосов 43: ↑41 и ↓2+43
Комментарии17

Шпаргалка по Gradle

Время на прочтение7 мин
Охват и читатели126K
Gradle * Java * Android *

Как мне кажется, большинство людей начинают разбираться с gradle только тогда, когда в проекте что-то надо добавить или что-то внезапно ломается — и после решения проблемы "нажитый непосильным трудом" опыт благополучно забывается. Причём многие примеры в интернете похожи на ускоспециализированные заклинания, не добавляющие понимания происходящего:


android {
    compileSdkVersion 28
    defaultConfig {
        applicationId "com.habr.hello"
        minSdkVersion 20
        targetSdkVersion 28
    }
    buildTypes {
        release {
            minifyEnabled false
        }
    }
}

Я не собираюсь подробно описывать, для чего нужна каждая строчка выше — это частные детали реализации андроид-плагина. Есть кое-что более ценное — понимание того, как всё организовано. Информация раскидана по различным сайтам/официальной документации/исходникам градла и плагинов к нему — в общем, это чуть более универсальное знание, которое не хочется забывать.


Дальнейший текст можно рассматривать как шпаргалку для тех, кто только осваивает gradle или уже забыл.

Читать дальше →
Всего голосов 24: ↑20 и ↓4+14
Комментарии4

Проверка данных — Java & Spring Validation

Время на прочтение14 мин
Охват и читатели144K
Java * HTML *
Проверка данных класса (bean) в java тема не новая, но актуальная и здесь я объединю различные аспекты: валидацию данных в рамках JSR-303, покажу как это сделать чисто в Java и с использованием Spring, как делать в стандартном приложении и в Web.

Содержание: Валидация данных (JSR-303) в

  • стандартном Java приложении
  • c использованием Spring
  • объединение Java + Spring
  • Spring MVC
Читать дальше →
Всего голосов 11: ↑10 и ↓1+7
Комментарии2

Spring MVC/Security, REST, Hibernate, Liquibase запускаем в две строки

Время на прочтение71 мин
Охват и читатели43K
Java * Программирование * Веб-разработка *

Современные системы сборки позволяют полностью автоматизировать процесс компиляции и запуска приложения из исходников. На целевой машине необходим лишь JDK, все остальное включая и сам сборщик загрузится налету. Надо лишь правильно построить процесс сборки и по запуску двух команд получить, например, следующее: запуск базы данных, выполнение SQL скриптов, компиляцию Java, Javascript и CSS файлов, запуск контейнера сервлетов. Реализуется это с помощью Gradle, HSQLDB, Liquibase, Google closure compile и Gretty. Подробнее в статье.
Читать дальше →
Всего голосов 8: ↑7 и ↓1+6
Комментарии8

Информация

В рейтинге
Не участвует
Откуда
Щелково, Москва и Московская обл., Россия
Зарегистрирована
Активность

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2026, Habr