Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уязвимость, которая и станет главной героиней этой статьи. Данный тип уязвимости возникает, когда значение параметра cookie рефлектится на страницу. По умолчанию они считаются self-XSS, если мы, в свою очередь, не докажем их опасность. Собственно, сегодня я расскажу, как эксплуатировать cookie-based XSS уязвимости, а также приведу пример из тестирования одной компании, от которой я получил $7300 в целом за исследование.

Заходя в свой квартирный санузел, в очередной раз с досадой замечаю гул включившейся вентиляции, в самом факте вентиляции не вижу ничего плохого, но вот вопрос удобности и функциональности работы вентиляции в санузле мне не нравится. Дело в том что вентилятор принудительной вентиляции у меня в квартире (наверное у многих так) подключен параллельно с выключателем света и работает только тогда когда включен свет. В связи со сложившимися обстоятельствами и наличием возможности — решил изменить сиё положение вещей, и создать автоматизированную систему вентиляции санузла. Так как вентиляция должна работать, но мешать не должна, решил делать так.

Предварительная идея

Когда из санузла вышли и выключили свет вентилятор включается, работает какое-то время, потом сам выключается. Для реализации этой идеи нужен датчик света, реле — для коммутации 220 В и контроллер который будет все это связывать.

В качестве контроллера взял Ардуино Нано, самый простой датчик света и реле — все это добро можно с легкостью купить на сумму до 500 рублей у китайцев на Али или прочих сайтах по электронике. Так же нужен блока питания.

Привет, меня зовут Андрей Батутин, я Senior iOS Developer в DataArt, и сегодня мы будем сниффить HTTPS-трафик твоего «Айфона».

В своей работе интернет-траблшутера часто оцениваю сайты и пользуюсь различными методиками для этой оценки. Но еще не встречал совокупного цифрового показателя самого главного — насколько хорошо сайт выполняет свою функцию и как вообще называется такой показатель. И решил его сделать сам.

Применительно к сайтам я взял термин «продуктивность» и наполнил его следующим содержанием: эффективность сайта с точки зрения достижения его целей. В частности, для интернет-магазина такой целью можно считать продажи. Таким образом, продуктивность показывает насколько сайт хорош как продающий инструмент.

Суть методики

Методика включает в себя 22 показателя, напрямую влияющий на продажи. Каждый имеет свой вес (балл), в итоге они дают количество баллов, где максимум 100. Факторы включены только те, что можно оценить снаружи сайта без изучения внутренних данных. Оценка происходит визуально человеком, в данном случае мной. Методика создана как универсальная, подходит для интернет-магазина товаров (не услуг), вне зависимости от его тематики, ассортимента и объема продаж.

На текущий момент большинство крупных сообществ ВКонтакте уже имеют ботов, актуальность этой темы обуславливается огромным спросом на круглосуточную работу приложения, оповещение при вступлении в сообщество и выходе из него, рассылку информационных сообщений, именно бот сообщества ВКонтакте может решить эти задачи. В статье мы рассмотрим решение основных задач, которые часто возникают в любом крупном сообществе.

"Какая форма заявления должна быть? Куда подавать?"

Я задал (кеш гугла) такой вопрос на Тостере. Его удалили через некоторое время, так как он "вне тематики ресурса". Далее я попросил у модератора разъяснить поподробней и он ответил: "Это вопрос дискуссионный и на него не существует однозначного ответа".

За время пока вопрос существовал я получил несколько ответов:

1 Обратиться в Конституционный суд.
2 Оформить визу и выехать из юрисдикции полномочий РосКомНадзора.

Задав такой же вопрос интернету, оказалось, что не я один задался этим вопросом. Пользователь zakabum сайта RuTracker.org выложил на форуме образец заявления (зеркало) которое необходимо подать провайдеру. А также выкладывает новые свои заявления в ходе переписки со своим провайдером.

Nobelic и когда-то хорошая погода

Раньше мы сами никогда не делали обзоры на камеры наблюдения. Для Ivideon все делилось на обычные IP-камеры (без встроенного сервиса), камеры с интегрированным сервисом и аналоговые (боль и ужас). Из всех моделей одну или две для обзора не возьмешь: для домашнего наблюдения модели слишком похожи, а для бизнеса все зависит от конкретных задач, решаемых на объекте.

Но сегодня мы решились на пост-обзор, потому что появилось устройство, с которым не захочется расстаться через год или два — это камера Nobelic (читается как «но́белик»). Сейчас мы уверены, что для определенных задач Nobelic прослужит так долго, как вы сами того захотите.

Кроме самого обзора ради обзора (это слишком скучно), мы расскажем и несколько фишек сервиса Ivideon, о которых раньше не говорили.

(осторожно, трафик)

Candy Crush — одна из тех игр, которые лучше всего понимают своих игроков

Перед разработчиками социальных игр стоит трудная задача: попытаться, чтобы игроки возвращались к игре как можно дольше. Но ни одна стратегия не сможет охватить всех, и в этом вам хочет помочь Optimove.

Иногда я спрашивал себя и Гугл: «Почему мне бывает стыдно быть верстальщиком». Ну, знаете, когда не мог на глазок определить, какой передо мной шрифт: open sans с font-weight: bold, или open sans bold с font-weight: normal — либо случайно узнавал, что «ой, забыли тебе сказать, масштаб был не 1920x1080, а 2560x1440».

Обычно ж как — скидывают .psd и крутись как хочешь.



Весной 2015-го, придя в uKit, я узнал о Sketch — и увидел, как шаблоны стали появляться с красивыми и одинаковыми метками размеров относительно друг друга и очень подробным описанием.

Тогда мне захотелось большего. И буквально через несколько месяцев вышел Zeplin 1.0. Это приложение изменило мое представление о верстке в целом — потому что оно по-настоящему делает жизнь верстальщика счастливой.

В этой статье будет рассмотрен процесс увеличения места на диске Linux–сервера в облаке Azure Pack Infrastructure от InfoboxCloud. Это стандартная процедура, выполняемая с помощью LVM, которая есть в любом Linux–образе в нашем облаке.

Данная инструкция полезна не только для увеличения размера на едином диске, но и для создания общего пространства из подключенных виртуальных дисков, что позволяет преодолеть максимальный размер виртуального диска (для VHD – 2048 гб) и создать единое большое пространство для данных.


Если вы не хотите разбираться в этом, просто напишите нам тикет в техническую поддержку и мы сделаем все за вас.

Что такое LVM?

LVM — система управления логическими дисками в Linux, высокоуровневое представление подсистемы хранения данных на сервере (более высокоуровневое чем диски и разделы). Эта технология дает системным администраторам гибкие возможности в выделении дискового пространства для приложений и пользователей, включая возможность изменения размера логического тома.

Голый землекоп

Старение самый большой убийца на земле- каждый день умирают сотни тысяч человек. Большинство людей не хотят умирать, и были бы счастливы прожить еще пару лет, или еще 10-15 лет. На самом краю смерти, люди понимают как они любят жизнь. Люди меняют свои привычное питание, бросают курить, худеют, бросают пить как только становится очевидным вред здоровью. Медицина лечит в основном пожилых людей. А если бы продлить здоровое долголетие миллионов людей экономический эффект был бы впечатляющий.

Полгода назад мы дополнили наш почти традиционный офисный каток 7,6 тыс. светодиодами, чтобы транслировать изображения и видео прямо на поверхность льда. На гиктаймсе был опубликован пост, в котором рассказывалось о том, что подо льдом скрывается самый настоящий гигантский дисплей разрешением 120х63 «пикселей», на который можно выводить достаточно сложные и яркие изображения.

Часто нам задавали вопрос: можно ли своими руками сделать нечто подобное дома? Можно, почему нет? Про лед был подробный рассказ (вот история о первом катке — захватывающее чтиво в июльскую жару), а вот о способах превращения светодиодов в большой дисплей практически не упоминали. Так как наши мейкеры люди занятые и предпочитают говорить о чем-то новом, а не пережевывать прошлое, публикация этой статьи откладывалась снова и снова. В конечном счете мы решили перевести для вас понятный и наглядный туториал, после которого можно будет взять и повесить дисплей себе на стену.

Доброго времени суток!

Мы решили дать публичный доступ к архиву 1 млн насыщенных мета-данными сообщений соцмедиа (несколько сотен источников, включая посты и комментарии соцсетей, блогов, форумов, СМИ и т.п.).
Предлагаем попробовать свои силы в создании различных эвристик, закладываемых в классические SMA-системы (Social Media Analytics). Чем больше эвристик вы придумаете и сможете реализовать, тем выше ваш класс в Data Scientist. Возможно в вас живет настоящий профи: Data Scientist — одна из крутых профессий ближайшего будущего!

Для состоявшихся фанатов-профи — это возможность проверить и показать свои способности, а также, при обоюдном желании и радости, получить годовой контракт на $30.000 — $50.000.



Подробнее под катом

СИСТЕМА РАСПОЗНАВАНИЯ ОТОБРАЖАЕМЫХ ДАННЫХ ОБЪЕКТА

ВВЕДЕНИЕ
Разработанная система предназначена для бесконтактного распознавания данных объекта выводимых на его дисплей. Система является частью средств для тестирования объекта по данным диалога между объектом и пользователем.
Тестирование систем, имеющих доступ к программным или аппаратным каналам вывода информации пользователя не требует распознавания данных. Однако, когда такое подключение к данным объекта отсутствует, его можно выполнить при помощи бесконтактной системы распознавания, которая может обеспечить длительное наблюдение за состоянием объекта в автоматическом режиме.
В этой работе обсуждаются средства распознавания МатЛАБ без использования нейронных сетей, эффективность которых, в значительной мере, зависит от результатов обучения.
Особенности разработанной системы показаны на примере распознавания данных дайв-компьютера компании Open Safety Equipment Ltd.
Статья содержит следующие разделы.
• Библиотечные функции обработки изображений МатЛАБ
• Характеристики используемой веб камеры, подключение камеры к среде МатЛАБ, настройка режимов камеры.
• Распознавание символов с использованием корреляционных функций.
• Интерфейс пользователя системы распознавания и результаты распознавания

БИБЛИОТЕЧНЫЕ ФУНКЦИИ ОБРАБОТКИ ИЗОБРАЖЕНИЙ МАТЛАБ
MatLAB имеет библиотеки функций для работы с графическими файлами и видеосигналами. Ниже даны используемые варианты библиотечных функций.
Считывание изображения графического файла

>> pct = imread('DC_OS.jpg');

Рис. 1. RGB изображение [1] JPG файла в формате <196x259x3 uint8>

Заметка ни на что не претендует, просто еще один опыт.



Так замечательно оторваться от городских будней и насладиться единением с природой. Но даже в такие счастливые минуты, когда гаджеты и интернет вещей уходят на второй и третий план, приходится иметь план «Б», если позвонят и попросят куда-нибудь подключиться и что-нибудь посмотреть. Естественно, через интернет. Хорошо, если мобильный оператор развернул в твоем населенном пункте современную сеть передачи данных, которая удовлетворяет по качеству и по скорости.

В последнее время, всё чаще и чаще меня начинает душить жаба.
Большая, зелёная, она угнездилась где-то внутри и формирует категорическое нежелание платить за что либо, даже если это не мои личные деньги! Не платить вообще, или же по максимуму минимизировать затраты там, где это возможно.
И если ко всему прочему, необходимо организовать работу с 1С в малой или средней компании, при ограниченном бюджете, то напрашивается желание собрать сервер из того что есть и накатить на него что-нибудь бесплатное.
Это всё к тому, что совсем необязательно покупать для 1С-сервера, лицензии от MS Windows Server+Terminal Cals и MS SQL сервер. Также необязательно рассматривать различные утилиты бэкапа и прочего софта реализующего все фишки работы терминального сервера 1С.

Сравнение платного и бесплатного софта (без учета железа) взято по большей части отсюда, по примеру данной статьи и на данный момент выглядит так:

Наименование	Стандартное лицензирование (руб.)	Вариант Linux + Postgres SQL (руб.)
Лицензии Windows
Windows Server 2012 Std.	45012	0
MS Windows Terminal Services Client Access License 2012 Single Language 1-device NoLevel OLP	102960 (20x78)	0
Лицензии 1С
1С: Предприятие 8.3.Лицензия на сервер (x86-64)	86400	86400
1С: Предприятие 8.3 Клиентская лицензия на 20 рабочих мест	78000	78000
Лицензии SQL
Лицензия на сервер MS SQL Server Standard 2012 Runtime для пользователей 1С: Предприятие 8	13381	0
Клиентский доступ на 20 рабочих мест к MS SQL Server 2012 Runtime для 1С: Предприятие 8	117748	0
Итого	443501	164400
Экономия	0	279101

Многие пользователи популярного детектора углекислого газа (CO2) MT8057 задают нам вопросы о том, как реализовать с помощью данного детектора управление приточной или вытяжной вентиляцией. Просмотрев наш ассортимент, мы нашли устройство, с помощью которого и хотим предложить решение данной задачи.

Английская компания-производитель бытовых электроприборов Dyson, наиболее известная своими пылесосами и сушилками для рук, обратила внимание на обычный фен.

«Мы поняли, что использование обычного фена может приводить к повреждению волос», сказал миллиардер-предприниматель и основатель компании Джеймс Дайсон. «Так что я бросил вызов инженерам Dyson, чтобы действительно понять науку о волосах и создать нашу версию фена, который, как мы думаем, решит эти проблемы».

В Dyson утверждают, что инвестировали 71 миллион долларов и потратили четыре года на исследования и разработку новых технологий, чтобы сделать фен более тихим и менее вредным для волос. В результате устройство имеет двигатель, который в восемь раз быстрее и намного меньше, чем те, которые используются в самых популярных моделях, сообщает arstechnica.

Количество HTTPS-сертификатов, выданных сервисом бесплатного автоматического получения Let's Encrypt, будто бы растёт экспоненциально: ещё в начале марта он выдал миллион регистраций, а 21 апреля их число уже достигло двух миллионов. Кроме того, сервис вышел из фазы бета-тестирования и доступен в рабочем режиме.

Руководство проекта также сообщило, что главные его спонсоры, Cisco и Akamai, продлили свою поддержку ещё на 3 года, а среди новых спонсоров — компании Gemalto, HP Enterprise, Fastly, Duda и ReliableSite.net.

В этой статье мы хотим поделиться своим опытом с другими командами начинающих разработчиков. Наша команда прошла большой путь и столкнулась с множеством неправильных решений, от которых мы вас любезно избавим. Итак, давайте приступим:

Ошибка № 1 — Заблуждение

У вас есть идея мобильного приложения? И, конечно же, она просто “гениальна” и принесет вам сотни миллионов долларов. У меня в голове появилась именно такая идея и я решил действовать. До этого у нас в компании никто не занимался мобильными приложениями. Мы разрабатывали сайты и ничего не знали о мобильной разработке и рынке мобильных приложений. Все наши знания ограничивались одной информацией — Facebook купил WhatsApp за 18 миллиардов долларов. И на основании этого мы сделали вывод, что мобильная разработка — это круто.