Мы в Grubhub почти во всём бэкенде используем Java. Это проверенный язык, который за последние 20 лет доказал свою скорость и надёжность. Но с годами возраст «старичка» всё-таки начал сказываться.

Java — один из самых популярных языков JVM, но не единственный. В последние годы конкуренцию ему составляют Scala, Clojure и Kotlin, которые обеспечивают новую функциональность и оптимизированные функции языка. Короче говоря, они позволяют делать больше с более лаконичным кодом.

INTRO

Недавно столкнулся с обычной для интернета ситуацией — классической просьбой от родственника отдать свой голос за него в каком-то голосовании. Оказалось, человека "взломали" мошенники, а ссылки на голосование вели на фишинговые ресурсы.

Я увлекаюсь безопасностью, поэтому решил из интереса проверить безопасность фишингового ресурса.

"Админку" мошенников удалось успешно взломать, внутри нашлось n-количество украденных учеток. Их логины были переданы в службу безопасности VK, плюс соответствующие "abuse" жалобы были направлены регистраторам, хостерам.

А теперь расскажу как и какие оказываются бывают Phishing-as-Service панели...

Я расскажу о применении различных способов аутентификации для веб-приложений, включая аутентификацию по паролю, по сертификатам, по одноразовым паролям, по ключам доступа и по токенам. Коснусь технологии единого входа (Single Sign-On), рассмотрю различные стандарты и протоколы аутентификации.

Перед тем, как перейти к техническим деталям, давайте немного освежим терминологию.

• Идентификация — это заявление о том, кем вы являетесь. В зависимости от ситуации, это может быть имя, адрес электронной почты, номер учетной записи, итд.
• Аутентификация — предоставление доказательств, что вы на самом деле есть тот, кем идентифицировались (от слова “authentic” — истинный, подлинный).
• Авторизация — проверка, что вам разрешен доступ к запрашиваемому ресурсу.

Например, при попытке попасть в закрытый клуб вас идентифицируют (спросят ваше имя и фамилию), аутентифицируют (попросят показать паспорт и сверят фотографию) и авторизуют (проверят, что фамилия находится в списке гостей), прежде чем пустят внутрь.

Аналогично эти термины применяются в компьютерных системах, где традиционно под идентификацией понимают получение вашей учетной записи (identity) по username или email; под аутентификацией — проверку, что вы знаете пароль от этой учетной записи, а под авторизацией — проверку вашей роли в системе и решение о предоставлении доступа к запрошенной странице или ресурсу.

Однако в современных системах существуют и более сложные схемы аутентификации и авторизации, о которых я расскажу далее. Но начнем с простого и понятного.

Хорошо, когда у компании есть ресурсы для того, чтобы продвигать инновационные решения на рынке, широко рассказывать о своих успехах в реализации инновационных ИТ-проектов. Но на практике далеко не всегда бывает так. Часто признание получить очень нелегко. Так случилось, что наша команда оказалась вовлечена в работу по организации премии IT Stars — премии за смелость при внедрении инноваций (в статье мы расскажем о ней чуть подробнее). Естественно, нам захотелось понять, какие конкурсы в области информационных технологий существуют на международном уровне, и мы опросили нескольких крупных мировых вендоров, с которыми сотрудничаем, что проводят они, чтобы поддержать инновационные начинания. Предлагаем вашему вниманию этот небольшой обзор. На полноту он, конечно же, не претендует, но, надеемся, что будет интересен читателям Хабра. 

В искусстве управления много противоречивых рецептов, и лучшие в мире менеджеры придерживаются своих собственных правил. Правы ли они и почему процесс найма в лидирующих на рынке компаниях устроен так, а не иначе? Нужно ли всеми силами пытаться преодолеть свои недостатки? Почему самоуправляемые команды часто не работают? На кого нужно тратить больше времени менеджеру — на лучших или худших сотрудников? Что за странные вопросы на собеседованиях Google? Прав ли начальник, когда указывает, как мне делать мою работу? Как вообще оценить, насколько я хорош как менеджер?

Если ответы на эти вопросы вас интересуют, то вам стоит почитать книгу Маркуса Бакингема и Курта Коффмана «Сначала нарушьте все правила: Что лучшие в мире менеджеры делают по-другому». Эта книга могла бы стать для меня настольной, но перечитывать нет времени, поэтому я сделал выжимку, которой и хочу с вами поделиться.

Мы в ЛАНИТ любим фотографию. Не какое-то конкретное фото, а сам вид искусства. Так, Inventive Retail Group (часть нашей группы) проводит фотовыставки в рамках проекта re:Store digital art (здесь статья об одной из экспозиций, а здесь информация о действующей выставке), а также мы организуем успевшие стать традиционными фотоконкурсы среди сотрудников.

В этом посте мы расскажем о том, как развитие информационных технологий стало стимулом к дальнейшему развитию фотографии. Конечно, говорить будем только о цифровой фотографии, иначе велик риск докопаться в бездне времен до дагерротипов и камеры-обскуры.

Поэтому за точку отсчета предлагаем взять 1970 г., когда на основе прибора с зарядовой связью (ПЗС) был создан прототип первого видеофотоаппарата.

ПЗС-матрица

В начале 2019 года маркетинговые, HR и digital-команды ЛАНИТ поняли, что компании нужен вирусный ролик, чтобы повысить узнаваемость бренда и показать, какие классные, веселые люди работают у нас. Эффект от такого видео предугадать невозможно, учитывая количество и скорость появления информации в сети. Поэтому во время обсуждения идеи мы решили сделать не один ролик, а целую серию видео. Так шансы завоевать внимание зрителя стали бы намного выше. В итоге, мы остановились на том, что сделаем комедийный мини-сериал про жизнь в айтишном офисе и назовём его «сИТком».

Мы с коллегами изучили опыт мировых IT-гигантов в вопросе экологичности центров обработки данных, выжали самый сок из материалов о том, как Apple, Google, Facebook, Microsoft и многие другие организуют синергетическую модель эффективности работы дата-центров. Также мы узнали, насколько «грязные» данные в Европе, Америке, России и продемонстрировали, почему высокотехнологичная Азия – это «территория экологических контрастов».

На страже природы сегодня — магнитная левитация, искусственный интеллект, биогаз, ЦОДы, вживленные в экосистему, и другие эко-технологии. Эта статья максимально прокачивает КПД дата-центров, минимально влияя на окружающую среду.

Ранее в статье «JIRA как средство от бессонницы и нервных срывов» был предложен вариант применения JIRA для управления проектом по разработке программного обеспечения в интересах крупного государственного заказчика. Однако неосторожное обращение со средствами автоматизации управления на «цифровой кухне» может не только испортить продукт приготовления, но и привести к многочисленным травмам. В серии статей «Правила своевременного приготовления вкусного программного обеспечения» предполагается подробно исследовать правила организации работ на программном проекте с использованием катализатора под названием JIRA. Приветствуется любая критика.

Источник

Всем привет, меня зовут Александр, я работаю в ЦИАН инженером и занимаюсь системным администрированием и автоматизацией инфраструктурных процессов. В комментариях к одной из прошлых статей нас попросили рассказать, откуда мы берем 4 ТБ логов в день и что с ними делаем. Да, логов у нас много, и для их обработки создан отдельный инфраструктурный кластер, который позволяет нам оперативно решать проблемы. В этой статье я расскажу о том, как мы за год адаптировали его под работу с постоянно растущим потоком данных.

Многие сервисы в современном мире, по большей части, «ничего не делают». Их задачи сводятся к запросам к другим базам/сервисам/кешам и агрегации всех этих данных по различным правилам и разнообразной бизнес-логике. Поэтому неудивительно, что появляются такие языки, как Golang, с удобной встроенной конкурентной системой, позволяющей легко организовывать неблокирующий код.

В JVM-мире всё немного сложнее. Есть огромное количество фреймворков и библиотек, блокирующих потоки при использовании. Так и сама stdlib может делать то же самое порой. Да и в Java нет аналогичного механизма, похожего на горутины в Golang.

Тем не менее, JVM активно развивается и появляются новые интересные возможности. Есть Kotlin с корутинами, которые по своему использованию очень похожи на горутины из Golang (хоть и реализованы совершенно по-другому). Есть JEP Loom, который в будущем привнесёт fibers в JVM. Один из самых популярных веб-фреймворков — Spring — не так давно добавил возможность создавать полностью неблокирующие сервисы на Webflux. А с недавним релизом Spring boot 2.2 интеграция с Kotlin стала ещё лучше.

Предлагаю на примере небольшого сервиса по переводу денег с одной карты на другую самим написать приложение на Spring boot 2.2 и Kotlin для интеграции с несколькими внешними сервисами.

Тема анализа данных и Data Science в наши дни развивается с поразительной скоростью. Для того, чтобы понимать актуальность своих методов и подходов, необходимо быть в курсе работ коллег, и именно на конференциях удается получить информацию о трендах современности. К сожалению, не все мероприятия можно посетить, поэтому статьи о прошедших конференциях представляют интерес для специалистов, не нашедших времени и возможности для личного присутствия. Мы рады представить вам перевод статьи Чип Хен (Chip Huyen) о конференции ICLR 2019, посвященной передовым веяниям и подходам в области Data Science.

Наша команда разработала и поддерживает корпоративное мобильное приложение по приёму платежей в рамках платёжной системы для крупного заказчика. Теперь оно используется сотрудниками клиента на устройствах под управлением операционной системы Аврора (ранее Sailfish Mobile OS RUS) в тридцати семи российских регионах. В этом посте я коротко расскажу об этом проекте и более подробно – о самой операционке.

По сравнению со странами Европы, где на объекты распределенной генерации приходится сегодня почти 30% всей выработки, в России по различным оценкам доля распределенной энергетики составляет сегодня не более 5-10%. Поговорим о том, есть ли шансы у российской распределенной энергетики догнать мировые тренды, а у потребителей — мотивация двигаться в сторону независимого энергоснабжения.  

Источник

Этой статьей мы открываем серию публикаций о том, как автоматизировали в одном из крупных проектов компании ЛАНИТ процесс ручного тестирования большой информационной системы и что у нас из этого вышло.

Первая часть – организационно-управленческая – должна быть полезна в первую очередь тем, кто отвечает за автоматизацию тестирования и создает такие системы в целом. Руководители проектов, лидеры групп и владельцы сервисов функционального и автоматического тестирования, все, кого волнует вопрос «как построить экономически эффективное end-2-end тестирование своей ИТ системы», найдут здесь конкретный план и методику.

Источник

Большой компании нужен целый ворох разного рода скриптов для инвентаризации компьютерного хозяйства. Это и понятно: если в организации больше 1000 сотрудников, доменная структура имеет достаточно затейливую структуру. А если рабочих мест в несколько раз больше?

На балансе нашего заказчика из банковской сферы – десяток–другой серверов, несметное количество разного рода принтеров и рабочих станций. Помимо этого необходимо управлять разграничением доступа сотрудников и предоставлять сетевые ресурсы по мере служебной необходимости. Отдельный и немаловажный пункт в этой информационно-человеческой архитектуре – обеспечение информационной безопасности.

Когда человеческие ресурсы отдела ИБ были уже на пределе, стало понятно, что банку нужна единая, централизованная система для управления ИБ и средствами защиты. Нашей задачей и стало создать такую систему, которая бы учла все особенности банка и позволила бы расширять функционал вместе с ростом потребностей. О том, как мы решили этот кейс, начав с отдельных модулей, я и расскажу в этой статье.

Источник