Привет! Меня зовут Аня, я аналитик в Naumen Erudite. За четыре года в компании у меня было несколько проектов внедрения с крупными заказчиками. Не всегда работать на таких проектах легко — нужно уметь находить правильный подход к разным типам заказчиков, чтобы продолжать эффективно взаимодействовать.

В статье расскажу о способах коммуникации с разными заказчиками, а также поделюсь советами, как расположить их к себе, научиться отрабатывать отказы, искать компромиссы и шаг за шагом строить хорошие и крепкие отношения на годы вперед.

Уязвимости IDOR (незащищённая прямая ссылка на объект) являются одними из наиболее часто встречающихся уязвимостей безопасности в современных веб-приложениях и API. Неудивительно, что они часто рекомендуются начинающим охотникам за уязвимостями, так как их легко обнаружить и эксплуатировать, и по своей природе они являются уязвимостями высокой степени опасности.

В этой статье рассматривается способ, как выявить уязвимости IDOR и как их можно эксплуатировать. Также будут рассмотрены более сложные случаи. Начнём с определения уязвимостей IDOR.

В этом посте разобраны некоторые фокусы, причуды и фичи языка C (некоторые из них – весьма фундаментальные!), которые, казалось бы, могут сбить с толку даже опытного разработчика. Поэтому я потрудился сделать за вас грязную работу и (в произвольном порядке) собрал некоторые из них в этом посте. Примеры сопровождаются ещё более вольными краткими пояснениями и/или листингами (некоторые из них цитируются).

Конечно же, здесь я не берусь перечислять абсолютно всё, так как факты из разряда «функция nan() не может устанавливать errno, поскольку в определённых ситуациях поведёт себя как strtod()» не слишком интересны.

ВНИМАНИЕ: сам факт попадания тех или иных вещей в эту подборку  не означает автоматически, что я рекомендую или, наоборот, не рекомендую ими пользоваться! Некоторые из приведённых примеров никогда не должны просачиваться за пределы списков наподобие этого, тогда как другие примеры невероятно полезны! Уверен, что могу положиться на ваш здравый смысл, дорогие читатели.

В мире, где всё чаще происходят кибератаки, важно иметь понимание процесса реагирования на инциденты информационной безопасности. Особенно важно это в контексте Linux-систем, которые являются основой многих критически важных элементов ИТ-инфраструктуры компаний. Под катом вы найдете базовые моменты этого процесса, команды, которые могут быть использованы для анализа, а также точки интереса, на которые стоит обращать внимание. Статья будет полезна в первую очередь начинающим администраторам Linux-систем и отделам ИБ для составления планов по реагированию. 

Привет, Habr!

В продолжении к статье про международный поиск работы в 2024 году, хочу поделиться опытом создания основных артефактов, которые необходимы для поиска работы за рубежом — резюме (CV), сопроводительного письма (Cover letter) и профиля в LinkedIn.

В статье делюсь методами и инструментами полного резервного копирования операционной системы Linux и рассказываю о своих практиках.

Чек-лист резервного копирования здорового человека

Полнота. Бэкапы должны включать все критически важные компоненты проекта: базы данных, файлы сайта, конфигурационные файлы и мультимедийный контент.

Регулярность — чтобы минимизировать потери данных. Частота создания бэкапов зависит от динамики изменений на сайте. Как правило — варьируется от ежедневного до еженедельного.

Надежное хранение. Резервные копии не хранят на основных серверах. Желательно использовать облачные хранилища или отдельные физические носители.

Шифрование. Данные должны быть зашифрованы — это защита конфиденциальных данных от несанкционированного доступа. Критически важно! Обязательно заучиваем пароль шифрования. Проверьте — все хорошо только, если вас разбудили ночью и вы сразу и правильно его вспомнили.

Автоматизация. Автоматизация процессов снижает риск человеческой ошибки.

Тестирование восстановления— чтобы убедиться в работоспособности бэкапов.

Версионность. Хранение нескольких версий бэкапов полезно, если пригодится восстановление данных на определенный момент времени.

Прежде чем углубляться в детали инструментов и методов резервного копирования, расскажу о базовой, но чрезвычайно эффективной стратегии — основе любого плана защиты данных. Это концепция 3–2–1.

Привет, Habr! Обстоятельства сложились так, что в июне 2024 мужу понадобилась моя помощь в поиске работы и я снова вернулась в эту тему спустя 2 года.

В статье расскажу как выглядел новый поиск работы и к какой стратегии мы пришли, поделюсь мнением про рынок ОАЭ, затрону немного и Европу, а также пошарю статистику поиска работы на позиции Engineering Manager / Senior Engineering Manager (продуктовая разработка, кроссплатформенная команда/команды).

Еще одна цель этой статьи - послушать ваши истории про поиск работы, сейчас все равно есть ощущение собственного пузыря, давайте обменяемся опытом.

Уязвимости при работе с ЭЦП на нескольких десятках платформ в Казахстане позволяют совершать действия от имени любого человека/организации зная ИИН/БИН

Насколько ваш английский хорош, чтобы комфортно общаться в профессиональной среде? Или просто воспринимать информацию по нужной вам теме из первоисточника?

Чтобы иметь обоснованное представление об этом, предлагаю воспользоваться гайдом из 100 слов наиболее часто встречающихся в теме IT. Этот список наработан мною за 2 года работы с видео и статьями из таких изданий, как MIT, TechLife News, Bloomberg, Science Today, Harvard Business Review. 

Слова разделены по рубрикам и к каждому слову добавлены описание на английском, перевод и пример употребления. В отдельных случаях указана транскрипция, чтобы вы обратили внимание на правильное произношение.

Можно ли выучить английский по списку слов? Нет, конечно. Но по нему можно оценить в процентном соотношении, сколько из 100 вам уже известно. 

Важно: не воспринимайте перевод слишком буквально и попробуйте предложить свой, исходя из описания на английском.

В марте мы рассказывали, как хакеры ломают банки (за 48 часов!) и какие ИБ-продукты их защищают. Standoff 13 принес нам новые кейсы. Начнем с разбора взлома облачной инфраструктуры хостинг-провайдера Nodenest, который работал в вымышленном Государстве F. Вас ждет история о том, как продукт для защиты контейнерных сред PT Container Security (PT CS) поймал крайне интересный kill chain на уровне рантайма.

В этой статье я расскажу об уроках, которые вынес при работе с многотерабайтными датасетами. Объясню, с какими сложностями столкнулся при увеличении масштабов датасета и как их удалось решить.

Я разделил статью на две части: первая посвящена масштабированию на отдельной машине, вторая — масштабированию на множестве машин. Наша цель — максимизировать доступные ресурсы и как можно быстрее выполнить поставленные задачи.

Примета времени – бизнес быстро обрастает огромным количеством данных. Если есть big data, то нужна команда, которая с ними разберется. Я Ольга, рекрутер в Clevertec. Наши специалисты развивают корпоративные хранилища данных. На своем опыте расскажу, как мы их находим.

Cyclarity Therapeutics разрабатывает малую молекулу, разрушающую холестериновые бляшки, которая может стать лекарством от убийцы номер один в мире: сердечно-сосудистых заболеваний. Поскольку испытания на человеке запланированы на этот год, мы решили, что пришло время встретиться с Cyclarity и её исполнительным директором по научным вопросам доктором Мэтью О'Коннором, чтобы посмотреть, как идут у них дела.

Мэтью О’Коннор, «Оки», как его знают многие в нашей области, — биолог. У него докторская степень по биохимии, и он занялся наукой, чтобы изучать старение. Он был вице-президентом по исследованиям в SENS Research Foundation в течение девяти лет, а затем несколько лет назад ушёл, чтобы основать дочернюю компанию Underdog Pharmaceuticals, которая теперь называется Cyclarity Therapeutics.

Их основной препарат – циклодекстрин, UDP-003, нацелен на 7-кетохолестерол, окисленную форму холестерина, которая накапливается в клетках и тканях с возрастом. Атеросклероз — это накопление бляшек внутри артерий, образующихся в результате накопления окисленного холестерина.

Новый препарат проникает в клетки и ткани и даже проникает в бляшки, захватывая окисленный холестерин, вытягивая его и выводя из организма безопасно.

В главе 2 я создал простой шаблон для домашней страницы приложения и использовал поддельные объекты в качестве заполнителей для того, чего у меня еще нет, например, пользователей и записей в блоге. В этой главе я собираюсь устранить одно из многих недостатков, которые у меня все еще есть в этом приложении, в частности, как принимать входные данные от пользователей через веб-формы.

А всё потому, что страх публичных выступлений — это вторая по популярности фобия после страха смерти. Его испытывает более 90% всего человечества, и это не просто громкие слова. Дрожь по телу, ватные ноги, повышение температуры и учащение сердцебиения — всё это и ощущается как маленькая смерть.

За страх выступлений в мозге отвечает миндалина амигдала. Когда спикер выходит к аудитории, мозг улавливает «чужаков» и их оценивающие взгляды. А вдруг вся эта толпа опасна? Но времени на анализ ситуации нет, амигдала уже погрузила нас в стрессовое состояние и запустила реакцию «бей или беги».

Привет, Хабр!

Выбор подходящего места работы — головная боль для многих айтишников. Одни стремятся в крупные компании с отлаженными процессами, другие — в динамичные стартапы, где можно быстро вырасти, а кто-то предпочитает уютные маленькие компании, где все свои.

Я — DevOps-инженер, который успел перепробовать все перечисленные выше варианты. Разумеется, свои плюсы и минусы были везде, но в конце концов я снова оказался в проектной компании. Почему? Все просто: только здесь я смог найти оптимальный баланс между стабильностью, возможностями развития и интересными задачами. Да, в стартапах кипит жизнь, а в маленьких компаниях царит почти семейная атмосфера, но за это приходится платить нестабильностью, рисками и ограниченными перспективами.

В этой статье я поделюсь своим опытом работы в разных компаниях и расскажу, с какими плюсами и минусами столкнулся на каждом этапе. Надеюсь, мой рассказ поможет тем, кто сейчас выбирает между стартапом, малым бизнесом и корпорацией. А если у вас есть чем дополнить или возразить — присоединяйтесь к обсуждению в комментариях.

После завершения главы 1 у вас должно получиться простое, но функциональное веб-приложение. Во второй части серии мега-учебника по Flask я собираюсь обсудить, как работать с шаблонами.

За последние три года размер данных Notion увеличился в 10 раз из‑за роста количества пользователей и объёмов контента, с которым они работают. Удвоение этого показателя происходило каждые 6–12 месяцев. Нам нужно было справиться со стремительным ростом размеров данных, соответствуя при этом постоянно растущим требованиям, которые выдвигали критически важные сценарии использования наших продуктов и аналитических систем. Особенно это справедливо в применении к новым функциям Notion AI. Для того чтобы решить эти задачи нам нужно было создать озеро данных Notion и обеспечить его масштабирование. Вот как мы это сделали.

Меня зовут Василий Огнев, я руковожу направлением многофакторной аутентификации (MFA) в компании МТС RED, создающей продукты и сервисы кибербезопасности. В прошлой статье мы обсудили недостатки традиционных паролей: от любви пользователей к слишком простым комбинациям до подбора паролей брутфорсом.

Эффективное решение проблемы — использование технологии MFA, предусматривающей после ввода пароля (его называют фактором знания) дополнительный ввод кода, получаемого на личное устройство (второго фактора или фактора владения). В этой статье мы рассмотрим, как хакеры обходят защиту MFA и что надо сделать, чтобы отразить такие атаки.