• Подпись файлов через браузер

      В ряде проектов требуется подписывать файлы произвольного формата (например, конкурсную документацию в формате PDF) при загрузке их на сервер.
      Обычно требуется подпись по ГОСТ Р 34.10-2001, с применением цифровых сертификатов X.509. При этом саму подпись потом удобно хранить на сервере в формате CMS detached.
      Сразу хочется отметить, что задача это решена достаточно давно (КриптоПро CSP, CAPICOM, etc). Но есть нюансы, которые делают такое решение не всегда удобным. Для одного из проектов мы предложили решение по подписи файлов, которое реально облегчило жизнь конечным пользователям и техподдержке. О нем ниже.



      Читать дальше →
    • Как настроить Google Analytics для отслеживания поведения пользователей c разбивкой по User ID

        В работе компании EastBanc Technologies часто встает задача не просто анализа статистики посещаемости и поведения по географическим, платформенным и демографическим признакам, а по принципу, что делает конкретный пользователь на портале, в мельчайших подробностях. Для нас, как для разработчиков корпоративных систем, эта информация бывает критически важной с точки зрения развития системы.

        Например, сейчас у нас в работе есть SharePoint-портал, который используется для дистанционного расчетно-финансового обслуживания контрагентов компании-заказчика. У каждого контрагента имеется несколько пользователей — от 1 до 10. Мы хотели понять, как они обращаются с тем или иным функционалом. Чтобы обрисовать для себя их поведение, мы задействовали средства Google Analytics.

        Читать дальше →
        • +11
        • 25,1k
        • 8
      • Hot Dot Parallax Engine под лицензией MIT

          image
          Более 300 сайтов использовали движок до публикации.

          Девять месяцев назад мы запустили сайт студии. Он быстро набрал популярность, мы получили несколько наград, о нас написали профильные СМИ.

          Сайт так же быстро оброс клонами. Некоторые скопировали нас полностью. Попадались и подобные забавные вещи. Сайт на нашем движке попал на One Page Love, а после выявления воровства был удален из рейтинга. Когда количество клонов превысило три сотни, мы решили сделать исходный код движка открытым.
          Читать дальше →
        • 250 строк кода, распознающих дату на русском языке

            Около года назад мне понадобилось распознавать даты в тексте, который вводят пользователи. Пришлось немного разобраться в регулярных выражениях и написать функцию, на вход которой поступает текстовая строка, а в результате получается распознанная дата.



            Пример и код в jsFiddle.
            Читать дальше →
          • Безопасная среда выполнения криптографических операций

              «Я определённо думаю, что криптография становится менее важной. В реальности, даже самые защищенные компьютерные системы в самых изолированных местах оказались взломаны в течение последних лет с помощью ряда атак APT или других продвинутых техник», — сказал Ади Шамир, участвуя в работе криптографической сессии на конференции RSA.

              О чем же говорит «отец основатель» криптографии с открытым ключом. Сегодня невозможно представить защиту информации без криптографии. Стойкость современных криптографических алгоритмов до сих пор не поставлена под сомнение. Однако компрометация систем, использующих криптографические механизмы защиты, не такая уж редкость. Причин этому много. Хочется отметить, что здесь и далее не рассматривается человеческий фактор, государственное влияние, коррупция и т.п., а обсуждаются исключительно технические аспекты. Характерным примером атак на системы использующие криптографию, является атака на систему клиент-банк. Отсутствие доверенной среды выполнения криптографических операций на компьютере клиента приводит к возможности проведения атак направленных на кражу ключевой информации, на подмену платежной информации, на несанкционированное использование ключей. Огромное количество инцидентов в системах ДБО показывает, что защита среды выполнения важна не менее чем стойкость используемых криптографических алгоритмов.
              Что же должна обеспечивать среда выполнения криптографических операций:
              • Обеспечивать защиту криптографических ключей от копирования;
              • Гарантировать разграничение прав доступа к выполнению криптографических операций;
              • Обеспечивать контроль аутентичности данных поступаемых на обработку;
              • Обеспечивать целостность собственного кода;
              • Иметь интерфейс взаимодействия с небезопасной средой.

              Отдельно стоящим пунктом является юзабилити решения. Требование это не техническое, а скорее коммерческое. И конечно, строгой формализации в этом вопросе нет.
              Для создания доверенной среды в настоящее время используется множество различных механизмов. Ниже небольшой обзор.
              Читать дальше →
            • CSS3-генераторы. Лучшее









                Доброго времени суток! Сразу объяснюсь по поводу оформления поста: однажды, наткнувшись на статью о CSS-генераторах, меня не сильно порадовало безмерное количество информации и навигационных элементов в представленных генераторах, и еще больше — их пользовательский интерфейс! Возмутило то, что инструменты для работы со стилями — сами не выдержаны в рамках возможностей, которые они представляют… как так?!

                Когда занимаешься творчеством, хочется иметь подручные средства и инструменты на освоение и работу с которыми тратишь минимум усилий и времени. В результате всего этого, пришла мысль: отобрать лучшие инструменты и организовать их для частого использования (а-ля навигационное меню, такой себе: Quick Launch).

                Надеюсь, для многих ноу-хау станет хорошим помощником в процессе веб-разработки.
                Читать дальше →
              • Карманный перехват и восстановление файлов из трафика

                  Про MiTM на айфонах и андроидах уже были соответствующие посты.
                  К упомянутым инструментам добавился еще один, так сказать специализированный.

                  Была создана консольная версия снифера Intercepter-NG и она же портирована под unix-like
                  операционные системы, включая IOS и Android.

                  image

                  Читать дальше →
                • Перехват WEB трафика через протокол WPAD при помощи Intercepter-NG

                    WPAD — WebProxy Auto-Discovery. Протокол автоматического получения настроек прокси в локальной сети, поддерживается практически всеми веб-браузерами и рядом других приложений.

                    В кратце суть его работы такова: если клиент использует DHCP для получения IP адреса, то и за урлом с настройкой прокси он обращается к своему DHCP серверу. Если DHCP не настроен на выдачу WPAD конфигурации или в сети не используется DHCP как таковой, то клиент пробует разрешить сетевое имя вида wpad.localdomain используя DNS. Если такое имя не найдено, то делается последняя попытка поиска имени 'WPAD' через NetBios. Если имя не найдено, клиент пробует соединиться напрямую, но если кто-то в сети сказал что он имеет имя 'WPAD', то клиент соединяется по 80 порту на IP ответившего хоста и затем пытается загрузить файл wpad.dat, в котором должны находиться настройки прокси.
                    Читать дальше →
                    • +17
                    • 26,6k
                    • 2