• Руководство по написанию защищённых PHP-приложений в 2018-м

    • Перевод
    • Tutorial

    Приближается 2018 год, и технари — в частности веб-разработчики — должны отбросить многие старые методики и верования в сфере разработки защищённых PHP-приложений. Особенно это относится ко всем, кто не верит, что такие приложения вообще возможны.


    Это руководство — дополнение к электронной книге PHP: The Right Way с сильным уклоном в безопасность, а не общие вопросы программирования на PHP (вроде стиля кода).

    Читать дальше →
  • Защищённый мессенджер Signal, который нравится Эдварду Сноудену, появился на десктопе

      image

      Компания Open Wisper Systems, выпускающая мобильный мессенджер с оконечным шифрованием Signal, объявила о выпуске десктопной версии своей программы в виде расширения для браузера Chrome. Технически всё сделано так, что Signal Desktop привязывается к установленному мобильному приложению Signal (примерно также делает веб-версия WhatsApp) и отправлять и получать сообщения можно будет на обоих устройствах.

      Для привязки к смартфону пока что поддерживается только Android-версия Signal, а о выпуске iOS-версии с поддержкой десктопного приложения будет сообщено дополнительно. Сейчас, помимо мгновенных сообщений, можно отправлять и получать изображения, а также видеофайлы.
      Узнать подробности
      • +8
      • 11,9k
      • 9
    • Раз плюнуть: обзор и результаты генетического теста Атлас и дайджест основных ДНК-тестов в России и мире

        «Домашний» ДНК — бизнес относительно молодой. Большинство компаний предоставляют типовую услугу, состоящую из 3 базовых элементов: пробирка для сбора материала, курьер, доступ к личному кабинету с расшифровкой данных о наследственных рисках и предрасположенностях к заболеваниям.

        Сегодня я покажу скриншоты результатов генетического теста «Атлас», нашего партнера, и быстро перечислю основных крупных игроков этого рынка у «них» и у «нас».



        Компания «Атлас» с 2011 года предоставляет возможность узнать об особенностях своего организма по целому ряду направлений: фармакогенетика, предрасположенность к заболеваниям, наследственные риски, внешние особенности и т. п., и действует при этом по узнаваемой схеме: вы покупаете пробирку для сбора генетического материала (слюны), услуги курьера и доступ к личному кабинету.



        Что оказалось в нашем личном кабинете — под катом.
        Читать дальше →
      • Как создавать и зарабатывать на SaaS | Часть 17 | Персональные данные и врачебная тайна в облаке

        • Tutorial
        Сегодня сухой пост, написанный в ходе плотных консультаций с юристами компании Зарцин и партнеры и стартапа Dental Cloud. Добавить мне нечего, по-этому читаем и обращаемся к Людмиле Харитоновой за разъяснениями и консультациями. И внимание(!) в нем ссылки на 16 нормативно-правовых актов и предлагаю сначала сбегать за попкорном.

        Кейс
        Ключевой вопрос для обсуждения: «Может ли SaaS сервис передать третьему лицу на обработку и хранение данные, приравненные к врачебной тайне»? Потенциальный провайдер компания Облакотека, предоставляющая PaaS «Платформа AzuRus»
        В кейсе персональные данные (ПДн), содержащие сведения о здоровье рассматриваются в кейсе, как производная от ПДн и по-этой причине речь пойдет, в т.ч. и о последних в целом.

        image

        Читать дальше →
      • 400 Мбит/с по обычной витой паре для обычных квартир

          image
          Мы с котом немного «разогнали» витую пару, приходящую в квартиру

          Обычно считается, что «потолок» DSL – 20-30 Мбит/с, FTTB (оптика до здания плюс витая пара до квартиры) — 100 Мбит/с, а PON поддерживает скорости выше 100 мегабит. Мы с коллегами решили развеять мифы и «разогнать» FTTB для отдельно взятого провайдера.

          Первым делом мы полезли на чердак в доме. Уже сейчас к нам в каждый дом приходит не менее 1 Гбит/с, а на домовом узле есть подходящий гигабитный «медный» порт. То есть мы можем просто взять и переключить любую квартиру, где лежит наш кабель, в подходящий порт и обеспечить скорости более 400 Мбит/с.

          Собственно, мы это уже сделали в рамках бета-тестов, а на днях запустили в коммерческую эксплуатацию услуги в Москве с новыми скоростями. Да, вы, скорее всего, можете подключиться.
          Читать дальше →
        • Роутер от оператора? – Нет, спасибо!


            MT7621A, два ядра MIPS 1004Kc/880MHz. 256MB RAM. Радиоблок 2.4GHz и 5GHz на MT7602E и MT7612E.

            У каждого уже есть сложившееся мнения на счет оборудования, предоставляемого под брендом оператора. Кто-то хвалит, кто-то ругает, кто-то предпочитает оставаться в стороне принимая решения в зависимости от ситуации, не вступая в полемику. Однозначного ответа на вопрос «Что же лучше?» нет.

            Если вы думаете, что мы тут не сталкиваемся с тем же вопросом, то глубоко заблуждаетесь. Надо выбрать из разнообразия предложений, отсеять барахло под видом очередной инновации, думать о том, что понравится клиентам и при этом обеспечить доход, необходимый для дальнейшего развития.

            Каждое обновление дефолтного роутера начинается с мысли: «Ну вот теперь-то мы сделаем идеальный продукт!». А потом начинаются грабли. Про те, по которым мы ходили, я и расскажу.
            Читать дальше →
          • Что нужно знать про миграцию в Россию к 1 сентября 2015-го с иностранной инфраструктуры



              Любой оператор персональных данных, обрабатывающий данные не в России, может попасть под блокировку.

              Ниже я хочу рассказать про некоторые моменты миграции, с которыми мы уже сталкивались на практике при переносе клиентов в Россию на нашу инфраструктуру. Конечно же, первый вопрос будет про законы, второй — про то, как данные защищены от изъятия.
              Читать дальше →
            • Немного понагнетаем: стало понятнее, что будет с персональными данными после 1 сентября 2015


                Штрафы за разные нарушения суммируются.

                242-ФЗ подсказывает нам, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан Российской Федерации (это всё, что прямо или косвенно относится к субъекту ПДн. И номер телефона, и даже уровень защищенности его данных можно отнести сюда согласно 152-ФЗ) с использованием баз данных, находящихся на территории Российской Федерации. С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам светит относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.
                Читать дальше →
              • Устанавливаем любой Linux дистрибутив на Digital Ocean

                • Tutorial


                Digital Ocean — лоукостер на рынке облачных VPS провайдеров. Пользуется технологией виртуализации KVM. Хорош по соотношению цена/качество и бла-бла-бла, вы сами всё это знаете.

                Но есть в нём и несколько минусов, одним из которых является ограничение в поддерживаемых операционных системах. Официальная позиция хостера состоит в том, что место на дисках в дроплетах (образах виртуальных машин) может быть расширено из панели управления без необходимости переустановки системы, поэтому загрузчик туда лучше не ставить. В связи с этим, libvirt не читает загрузчик внутри образа, а использует предустановленное в панели управления ядро с хостовой машины.

                Поддержку загрузки пользовательских ядер они обещают сделать со дня на день… уже чуть больше года.

                Мы ждать и клянчить не будем.
                Читать дальше →
              • Эффективный антифрод: как защитить бизнес от мошенничества в интернете

                  Всем привет! Это наш первый пост на Хабре, которым мы начинаем серию публикаций о фроде и антифрод-сервисах. Мы — Payture, а если быть точными, международная процессинговая компания, специализирующаяся на услугах в области электронной и мобильной коммерции, а также предоставляющая услуги антифрод-сервиса.



                  Фрод и фишинг ходят рядом (о том, где берутся данные для фрода)

                  Далее про фишинг и 2 истории фрода из нашей практики
                  • +2
                  • 16,7k
                  • 3
                • Под прессом. Ломаем и защищаем Wordpress своими руками



                    WordPress — это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на Wordpress, а также покажем как устранить выявленные уязвимости.
                    Читать дальше →
                  • Как я взломал Starbucks для безлимитного кофе

                      Это история о том, как я нашел способ нагенерить неограниченное число денег на подарочные карты старбакса, тем самым обеспечить себе пожизненный бесплатный кофе, ну или украсть у них пару миллионов другими способами.

                      Итак, не так давно мне в голову пришла идея купить 3 карты Старбакса по $5 каждая.

                      image
                      Читать дальше →
                    • Как Youtube забанил наш канал и как мы его восстановили

                        Однажды утром мы увидели в почте письмо от Youtube: “Из-за неоднократных или серьезных нарушений наших принципов сообщества действие Вашего аккаунта YouTube приостановлено”.

                        Мы в Alconost делаем видеоролики для приложений, игр и сервисов, и наш канал на Youtube — единственное (до недавнего времени) место, где мы храним все свои видео. Бан аккаунта означал, что все ролики, которые мы когда-либо размещали в сети (на нашем сайте, в социальных сетях, в постах на Хабре и т.п.) оказались недоступны. Вместо роликов зрители видели лишь сообщение “Аккаунт заблокирован”, а при переходе на сам канал натыкались на обвинение нас в мошенничестве и спаме.



                        На нашем канале нет ничего, что можно было бы классифицировать как “обман, спам, мошенничество”. Забегая вперед, скажем, что мы доказали свою правоту и в итоге восстановили свой канал. А вот что для этого нам пришлось сделать — читайте под катом.
                        Читать дальше →
                      • Простое управление arduino через интернет



                          Всем добрый день.

                          Около года назад я написал небольшую обзорную статью для управления Arduino через интернет, с помощью сервера NinjaBlocks. Это было довольно хорошее и удобное решение и оно отлично работало, пока в один прекрасный момент не начались проблемы с соединением. Попытки уговорить разработчиков через форум решить проблемы были напрасны — они просто игнорировали мои просьбы и не удосужились даже ответить, что было очень печально.

                          С того момента был просканирован весь интернет в поисках замены — и было найдено много очень интересных проектов, но они либо были слишком сложными в реализации и требовали значительных знаний в области программирования, либо были попросту неудобны. И вот тут и пришла мысль почему бы не сделать все самому.
                          Читать дальше →
                        • Ceph: Cloud Storage без компромиссов

                            Здравствуйте, уважаемые читатели!

                            Современные облака, используемые для целей хостинга, высоко поднимают планку требований к инфраструктуре хранения данных. Чтобы клиент получил качественную услугу, системе хранения данных должен быть присущ целый ряд свойств:
                            • высокая надежность хранения
                            • высокая доступность данных, то есть минимальное время простоя при авариях
                            • высокая скорость доступа и минимальные задержки
                            • низкая удельная стоимость хранения
                            • различные прикладные возможности: клонирование, снимки состояния и т.д.

                            Ни RAID-массивы, ни «железные» СХД не способны решить все перечисленные задачи одновременно. Именно поэтому все большее распространение в индустрии хостинга приобретает Software-defined storage. Одним из ярких представителей SDS является распределенное хранилище под названием Ceph.

                            Мы решили рассказать об этом замечательном продукте, который используется в CERN, 2GIS, Mail.ru и в нашем облачном хостинге.
                            image
                            Далее...
                          • Червивые яблочки [БЕЗ JailBreak]



                              Историями про вредоносное ПО для ОС Android никого уже сегодня не удивить, разве только про rootkit-технологии или про новые концепты, заточенные под новое runtime-окружение ART. C вредоносным ПО для iOS противоположная ситуация: о нем если кто и слышал, то, как правило, только в контексте jailbreak. В 2014 году был вообще бум таких программ (AdThief, Unflod, Mekie, AppBuyer, Xsser). Но в этой статье мы поговорим про вредоносное ПО и его возможности для iOS без jailbreak…
                              Читать дальше →
                            • Был получен несанкционированный доступ к более чем 20 000 камерам видео-наблюдения Москвы (теперь вы тоже)

                              Привет, Хабрахабр! Наверняка многие из вас помнят легендарный пост «Были получены исходники 3300 глобальных интернет-проектов», который долгое время был первым в рейтинге всех публикаций на сайте. Несмотря на схожий заголовок у моего поста, не претендую на первое место, но считаю, что вам стоит обратить внимание.


                              Читать дальше →
                            • Домашнее видеонаблюдение на базе Synology

                              Доброго дня, Geektimes! В связи с недавним постом про видеонаблюдение, решил описать свою систему. Поскольку я сам связан по работе с системами видеонаблюдения, грех не иметь таковую у себя. Осторожно, картинки!

                              image
                              Читать дальше →
                            • Канадца осудили за непредоставление в аэропорте пароля к своему смартфону



                                Житель Квебека, Канада, собирается оспорить в суде штраф, который ему присудили за непредоставление пароля к своему смартфону в аэропорте Канады. Работники аэропорта затребовали смартфон канадца для проверки, само устройство оказалось запароленным, и владельца попросили сообщить пароль. На это канадец дал отказ, мотивируя его тем, что все данные на телефоне — это частная информация, доступ к которой он не даст.

                                По закону Канады, за воспрепятствование офицерам пограничного контроля исполнять их функции, присуждается штраф, в размере от 1000 до 25000 долларов, с возможностью лишения нарушителя свободы на срок в один год. Власти усмотрели в отказе предоставить пароль как раз воспрепятствование исполнению служебных обязанностей. Соответственно, канадец был наказан.

                                Читать дальше →
                              • Дата-центр в домашних условиях

                                  Бывает, что любители и ИТ-специалисты создают центры обработки данных в своих домах, размещая оборудование в импровизированных серверных комнатах, гаражах, подвалах или домашних офисах. Таких людей называют серверофилы («server huggers»). Это люди, стремящиеся быть ближе к оборудованию, которое они используют.

                                  Домашние центры обработки данных, или, как их называют, «пещерные ДЦ», играют немаловажную роль в современной жизни и развитии ИТ-технологий. Данные ДЦ, в противовес крупномасштабным дата-центрам, являются первопроходцами в испытании серверного оборудования. Такого рода энтузиасты питают страсть к ИТ и, как правило, одни из первых начинают использовать новые серверные системы, тестируя их в экстремальных условиях.


                                  Читать дальше →