• Не все виджеты одинаково «полезны»

      Иногда веб-мастера и владельцы сайтов добровольно (естественно, по незнанию) устанавливают себе на сайте компоненты, которые несут угрозу как посетителям, так и самому сайту. В основном это касается любителей халявы: бесплатные премиум шаблоны, “нулленые” коммерческие CMS, плагины, загруженные не с сайта разработчика и прочие “бесплатности”. К этому списку можно смело добавлять javascript и flash-виджеты для сайта: календарь, mp3-плейер, калькулятор, конвертер валют — все эти элементы, кроме полезных функциональных элементов сайта, могут принести целую “вязанку” нежелательного контента или даже распространять вредоносный код, заражая компьютеры и мобильные устройства посетителей сайта.

      На первый взгляд подобные виджеты размещают только “Васи Пупкины” на страницах своих личных блогов, но за последнюю неделю мне довелось анализировать три коммерческих и достаточно посещаемых проекта, которые также использовали зараженные виджеты (один размещал калькулятор для подсчета суммы заказа, второй – календарь на новостном сайте, третий – онлайн-радио).


      Читать дальше →
      • +12
      • 23,2k
      • 9
    • Три шага, которые помогут в борьбе с недостатком мотивации

      • Перевод


      Послушайте.
      Я все прекрасно понимаю.
      Вылезти из-под одеяла с утра нелегко.

      Чтобы этого не делать, найдется множество оправданий, но «У меня сегодня просто нет мотивации» – это уже чересчур.

      Так вот что я дальше сделаю:
      Я расскажу о том, почему сказать такое – это глупость.
      И я помогу вам справиться с недостатком мотивации.
      Идет?
      Читать дальше →
    • Включаем HTTP/2 в NGINX для сайта

        В этой статье мы расскажем, как включить HTTP/2 для сайта в NGINX, размещенного на VPS от Infobox и какие преимущества это даст вашему сайту. Поддержка HTTP/2 была добавлена в релиз NGINX 1.9.5.



        Зачем нужен HTTP/2


        HTTP/2 – новая версия протокола HTTP, стандартизированная в начале 2015 года. Использование HTTP/1.1 из-за некоторых особенностей вносит негативный эффект на производительность веб-приложений.

        В частности HTTP/1.0 позволяет выполнять только один запрос одновременно в TCP–соединении. В HTTP/1.1 были добавлены конвейерные запросы, но они только частично помогают параллельному исполнению запросов и по-прежнему приводят к блокировкам. Клиенты HTTP/1.0 и HTTP/1.1, которым необходимо делать много запросов сейчас используют множество соединений к серверу.

        Кроме этого, поля заголовка HTTP многословны и часто повторяются, производя ненужный сетевой трафик. Также время тратится на заторы TCP. Это может привести к повышенным задержкам при множестве запросов сделанных с помощью новых TCP–соединений.

        HTTP/2 решает эти проблемы, определяя оптимизированную семантику протокола HTTP. В частности это позволяет выполнять чередование запросов и ответов через то же подключение и предоставляет эффективное кодирование полей HTTP-заголовка. Также HTTP/2 позволяет приоритизировать запросы, позволяя более важным запросам выполняться быстрее.

        В результате протокол становится более дружественным к сети, требуя установки меньшего количества TCP–соединений в сравнении с HTTP/1.x, что приводит к более эффективному использованию сети. Также HTTP/2 дает возможность эффективнее обрабатывать сообщения с помощью бинарного формата.

        HTTP/2 тесно связан с SSL. Несмотря на то, что спецификация не требует обязательного использования SSL, все веб-браузеры выпущенные на текущий момент будут работать с HTTP/2 только если веб-сайт использует SSL.
        Читать дальше →
      • Rutracker был недоступен из-за DDoS-атаки

          События нескольких последних часов заставили многих проверить реестры Роскомнадзора, но недоступные ресурсы в них не значились. Вчера, поздним вечером субботы 5 сентября, основанный «Пиратской партией России» сайт «РосКомСвобода» слёг под мощной DDoS-атакой с пиковой скоростью 150 ГБит/с. К утру работоспобность сайта была восстановлена. Приблизительно в те же временные промежутки под атакой находились крупнейшие из популярных на пространстве бывшего СССР битторрент-сайтов Rutracker и Rutor. Сайты слегли, но раздачи продолжали функционировать. Совпадение времени этих атак и общей тематики ресурсов позволяет сделать некоторые выводы.
          Читать дальше →
        • Дальше, легче, дешевле: обзор перспективных электровелосипедов



            Судя по количеству проектов, с успехом собирающих деньги на Kickstarter.com и Indigogo.com, в области средств локальных перемещений назревает качественный прорыв. Гибридные или полностью электрические, со встроенным или навесным мотором, с батареями различной емкости — электровелосипеды, похоже, становятся основным транспортным средством для жителей мегаполисов. Итак, что ждет нас и рынок уже в ближайшие месяцы, давайте посмотрим.
            Читать дальше →
          • Prerender



              Open Source решение для полноценной поисковой индексации ваших JavaScript приложений (Backbone, Angular, Ember, ChaplinJS, Marionette). Работает это следующим образом:

              1. Мидлвар на Ruby on Rails или Node.js проверяет user agent при каждом запросе к приложению
              2. Если обнаружен краулер поисковой машины то отправляется GET запрос к Prerender
              3. Prerender вызывает ваше приложение для той страницы, которую запрашивает краулер
              4. Страница рендерится с помощью PhantomJS
              5. Полученный HTML посылается обратно
              6. Мидлвар возвращает HTML краулеру

              Читать дальше →
            • Теперь любой сайт может узнать адрес вашей страницы в VK?

                Наткнулся на сервис позволяющий разместить на своём сайте js-код, который определяет ID посетителя без авторизации. Пользователь об этом совершенно не догадывается, т.к. определение ID происходит при загрузке любой страницы сайта без всяких вопросов об авторизации.

                Для маркетинга это открывает широкие возможности, но никак не вписывается в мои представления о безопасной передаче персональных данных.

                Т.е. например, допустим, занесло вас на какой-то порно-сайт, а через полминуты в контакте бот пишет вам в ЛС или на стене предложение приобрести рекомендуемый именно вам товар или услугу в соответствии с разделами, которые вы посещали на сайте, или в соответствии с поисковыми запросами, через которые вы попали на этот сайт.

                Любой сайт после установки этого шпионского скрипта, будет знать о своих посетителях почти всё, в плоть до номера телефона, если он указан. Понятно что пользователи сами несут ответственность за то, какие данные они выкладывают в публичный доступ, но заходя на сторонний сайт я не даю согласия на обработку моих персональных данных.

                Создатели сервиса утверждают: «Никакого взлома или иных противоправных действий сервис не осуществляет. Мы идентифицируем заходящего человека и накапливаем открытую информацию.». Но я считаю незаконным сам факт идентифицикации. Поправьте меня если я не прав.

                Ретаргетинг вконтакте работает похожим образом, но он не даёт доступ к профилям попавшим в группу ретаргетинга.

                Может найдётся кто-то среди хабра-специалистов по вэб-безопасности кто сможет осветить эту тему в деталях?

                Читать дальше →
              • Рейтинг постов хаба


                Привет, Хабр!

                Решил посмотреть лучшие посты своего любимого хаба и с ужасом обнаружил, что такой фичи нет.

                В связи с тем, что данная возможность появилась, а топик сносить в черновики не хочется — ниже рейтинг самых комментируемых и добавляемых в избранное статей самых популярных хабов. Кроме того пару слов о реализации скрипта.

                Читать дальше →
              • Android. Обзор боевых приложений

                  Доброго времени суток!

                  Наряду со статьей "iPhone: MiTM атака из кармана", родилась почти аналогичная статья про Android.

                  Мы уже знаем, на что способен iPhone. Уступает ли ему Android?

                  Было рассмотрено около 25 боевых приложений. Хочу предоставить вам результат маленького исследования. Многие приложения даже не запустились, некоторые подвесили телефон намертво, но некоторые даже работали!

                  Весь софт тестировался на телефоне LG Optimus, с версией Android 2.3.

                  Итак, краткий обзор боевого софта на Android:

                  Читать дальше →