• Телефонные мошенники. Действие третье, в котором я получаю документацию о том, что моя банковская ячейка создана
    0
    Соглашусь, что на все 100 не защититься, особенно при возможности подмены номера со стороны мошенников, но все равно помогает здорово, особенно против рекламщиков.
  • Телефонные мошенники. Действие третье, в котором я получаю документацию о том, что моя банковская ячейка создана
    0
    А со времени первого поста не попробовали приложения для определения номеров? Тот же Яндекс, например, знает что с исходного номера мошенники звонят: yandex.ru/search/?lr=213&text=%2B7%20495%20201-57-37
  • Центр авторизации TM ID
    +2
    boomburum, а почему не прикрутили ко всему этому многофакторную аутентификацию на основе тех же Рутокен Web? Если уж делать сервис аутентификации, то надо вообще уйти от чисто парольной защиты.
  • Разблокировка экрана Android с помощью NFC
    0
    Ну можно пойти путем наименьшего сопротивления и попробовать сделать это на основе CyanogenMod
  • Разблокировка экрана Android с помощью NFC
    0
    А такой вопрос: если уж мы меняем систему, то что мешает нам изменить логику блокировщика и переустановить его? (он же тоже реализован как приложение?)
  • Бета-тестирование Brainstorage
    +25
    А планируется ли интеграция с LinkedIn? А то неохота руками заполнять профиль.
  • Как не нужно реализовывать двухфакторную авторизацию на примере одного банка, или почему продакт-менеджер должен консультироваться с безопасниками
    +7
    Кстати говоря, в iOS тело SMS по умолчанию частично видно на экране блокировки, в случае с Альфа-банком код туда тоже влазит. Так что уязвимость немного надуманная.
  • Берем под контроль криптографию в облачном хранилище MEGA
    0
    Спасибо за отзыв =)
    Доткому пока не писал, потому что пока ведем общение с заинтересованными разработчиками здесь, это важнее.
  • Большой опрос о мобильных операционных системах
    +1
    А какая тема научной работы у вашего друга?
  • Пользуетесь ли вы кнопкой «стоп» в музыкальном проигрывателе?
    0
    Впервые эта тенденция кажется появилась еще в железных плеерах (на моем древнем Cowon X5 уже не было возможности остановить трек), что меня первое время дико удивляло, если не сказать раздражало. Потом как-то уже привык, потому что действительно в нормальных плеерах stop заменяет rewind, который перематывает на начало трека.
    Сейчас кнопка действительно нужна при воспроизведении потоков (тот же TuneIn на iOS кажется не останавливает кеширование записи на паузе, причем я не понимаю критериев того, как он это делает).
  • Загадочные канцелярские приспособления. Тест на сообразительность
    +2
    Да, конечно. Могу даже сфоткать на нормальную камеру, если хотите.
  • Загадочные канцелярские приспособления. Тест на сообразительность
    +9
    У меня дома вот такая реликвия валяется


    Год не скажу, но стоит 2 руб. 85 коп =)
  • Берем под контроль криптографию в облачном хранилище MEGA
    0
    У меня везде стоит английская локаль, поэтому точно не могу сказать. У коллег видел русский интерфейс, но они возможно сами поменяли.
  • Берем под контроль криптографию в облачном хранилище MEGA
    0
    Это ограничение, накладываемое условием неизвлекаемости ключей шифрования. Они не могут покинуть токен и, следовательно, нельзя сделать копию токена. Если поступиться этим принципом, то можно импортировать ключевые пары на токен, но при этом они будут извлекаемыми в дальнейшем.

    По поводу «копии в сейфе»: все серьезные системы обычно проектируются с поддержкой нескольких ключей таким образом, чтобы при утрате одного можно было бы восстановить доступ. Таковы уж сложности обеспечения должного уровня защищенности.
  • Берем под контроль криптографию в облачном хранилище MEGA
    +1
    Я возможно недостаточно полно рассказал про привязку токена.
    Если снять галочку «Привязать токен к учетной записи» на странице аккаунта, то будет восстановлен старый мастер-ключ и отобразятся файлы, зашифрованные на нем. MEGA после логина всегда присылает полный список хранящихся файлов, но отображает только те, атрибуты которых удалось расшифровать.
  • Берем под контроль криптографию в облачном хранилище MEGA
    0
    Ядро и алгоритмы одинаковые, но ключевая пара, которая создается при первом вызове функции зашифрования, всегда будет уникальна. Так что токен надо всегда беречь как зеницу ока.
  • Берем под контроль криптографию в облачном хранилище MEGA
    0
    Да, на счет второго и третьего я догадывался. Просто уже не было сил смотреть в сторону работы с общими файлами =)
    По поводу первого — файлы не теряются, они просто перестают отображаться в файл-менеджере, ну и собственно нельзя будет их скачать. Если отвязать токен, то файлы отобразятся снова.
  • Берем под контроль криптографию в облачном хранилище MEGA
    0
    В обоих видах токенов (Web и ЭЦП) ключ действительно неизвлекаемый. Все операции по шифрованию, подписи и т.п. реализованы аппаратно, а драйвер отвечает только за передачу команд на токен. Причем в современных операционных системах для работы с токенами не приходится устанавливать дополнительных драйверов, поскольку устройства работают по стандартизированным протоколам.
  • Берем под контроль криптографию в облачном хранилище MEGA
    +1
    Как вам уже попытались подсказать выше, для современных браузеров используется HTML5 FileReader, если браузер его не поддерживает, то используется Flash-аплоадер.

    По коду сайта процесс загрузки можно проглядеть по такой цепочке функций:
    FileSelectHandler(event) -> startupload() -> initupload2() -> initupload3() -> ul_dispatch_chain() -> ul_dispatch_read()
    Имя файла приходит из события, файлы затем забиваются в очередь, а непосредственно чтение происходит в ul_dispatch_read и читается с помощью метода readAsArrayBuffer. Чтение происходит блоками по 20 кб, по завершению вызывается метод onloadend, в котором содержимое файла записывается в очередь файлов на загрузку в виде Uint8Array.

    Загрузка и запись файла происходит аналогично с помощью FileWriter. Имя файла живет внутри объекта FileWriter (dl_fw). Непосредственно запись на диск происходит в функции dl_dispatch_write при вызове dl_fw.write(dlblob);
  • Берем под контроль криптографию в облачном хранилище MEGA
    +1
    В меге можно легко подменить нижний уровень криптографии (ядро AES, реализуемое библиотекой SJCL). Для этого надо всего лишь, чтобы эта подмена реализовала простой интерфейс с конструктором, принимающим пароль в виде массива из 4х или 8 элементов, и функции за(рас)шифрования таких же массивов. Таким образом мы заменим AES.
    Хешей там используется несколько видов, помимо SHA есть еще HMAC-подобная функция хеширования stringhash, с помощью которой в сервисе хешируется e-mail пользователя в различных ситуациях. Его можно подменить также, как описано в статье.
  • Берем под контроль криптографию в облачном хранилище MEGA
    0
    На Питоновский SDK я натыкался в процессе написания статьи, там весьма хорошо расписана архитектура сервиса и возможности API MEGA.
  • Берем под контроль криптографию в облачном хранилище MEGA
    +3
    Я планирую написать Доткому, когда мы здесь получим минимальный набор отзывов. Судя по тому, какой самопиар он разводит в Твиттере, его должно это заинтересовать.
  • Основы безопасности операционной системы Android. Native user space, ч.1
    +1
    Хорошая статья, как раз в тему того, что я сейчас пытаюсь провернуть с китайским планшетом. Не могли бы вы подсказать, что лучше посмотреть на тему начальной загрузки Android-устройств и модификации загрузчика? Суть в чем: есть девайс Gadmei E6 (построен на весьма распространенном чипе Allwinner), я хочу сделать, чтобы он мог грузиться только с microSD карты. Чип в нем устроен как вы описали — начинает загрузку с определенного адреса, потом тащит u-boot, который потом уже загружает систему. На данный момент мне не хватает какой-то структурированной информации о загрузчиках — в интернете все весьма разрозненно и максимум чего я добился — это то, что устройство подвисает на загрузке =)
    К Embedded Android я обязательно обращусь, а что еще можете посоветовать?
  • Тачка Бонда, или Виртурилка рулит!
    +3
    Ага, потом руль симуляторный обратно в машину, к нему снова дистанционку с планшета… and we need to go deeper =)
  • Настройка Kerberos-аутентификации с использованием смарт-карт
    0
    Теоретически (да и скорее всего практически) можно. Ludovic Rousseau у себя в блоге делился недавно ссылкой о том, как можно настроить аутентификацию в маковском OpenDirectory. Лично я пока не пробовал это настраивать, но если есть желание, то можете сами попробовать.
  • iTunes Store и iTunes Match заработал в России и СНГ
    0
    Я пока стремаюсь оформлять подписку, файлы точно удалять не буду, потому что из облака они придут уже в AAC-256.
  • iTunes Store и iTunes Match заработал в России и СНГ
    +1
    Для тех, кто как и я, хранит дома музыку в ALAC: долго искал ответ на свой вопрос, поэтому решил тут отписать. Вопрос в том, изменит ли iTunes Match локальные файлы. Ответ — нет, то, что в локальном каталоге останется в ALAC.
    Proof: support.apple.com/kb/HT4914?viewlocale=en_US&locale=en_US
    Songs encoded in ALAC, WAV, or AIFF will be transcoded to a separate temporary AAC 256 kbps file locally, prior to uploading to iCloud. The original files will remain untouched


    Остается еще важный вопрос: будут ли загружаться картинки и прочие красивости в локальной библиотеке? Если кто-то уже пользуется Match-ем, скажите пожалуйста. Для меня это очень важно.
  • Apple запустит завтра iTunes Store в России
    +4
    А iTunes Match-то заработает у нас? Я из-за него чуть было не перевел свой аккаунт на США.
  • С праздником, безопасники!
    +2
    Ребяты, всех нас с Днем Рождения и профессиональным праздником!
  • Подробный обзор MacBook Pro нового поколения (с Retina дисплеем)
    0
    Изначально этим страдали кривые OLED-дисплеи — у меня на старом Benq-Siemens S88 это очень отчетливо проявлялось. Проблема получается аппаратная, но у себя на макбуке я такого не замечаю, может просто не вглядывался.
  • Обзор iPhone 5 — Habrahabr Edition
    0
    По-моему все как раз правильно сделано: поднял ноут со стола — оно и отщелкнулось. А если у кого-то крышечки от объективов залазят сами под коннектор — тут уж не его вина =)
  • Какой редактор или IDE вы используете для Python?
    0
    я вообще сейчас в нем пишу плюсовый код (до emacs/vim еще не дорос, а от IDE решил отползти в сторону)
  • Мы начинаем тестирование нашего iOS приложения
    +1
    Небольшой отчет о том, что не понравилось:
    • Не нашел настройки синхронизации с last.fm — надеюсь, это проблемы недоступности API
    • Скролл подлагивает (iPhone 4S), странно это немного
    • Дизайн on-off слайдеров не в айос-стиле, вы нативно пишете приложение или на фреймворке каком?
    • Кривовато работает сдвиг страницы настроек вбок: думаю, нужна автодоводка, потому что нафига юзеру наполовину скрывать страничку? Ну и сделайте, чтобы хватать ее надо было не за заголовок, а за любое место.
    • Доступ к экрану проигрывания должен быть из главного меню, стрелочка в заголовке не информативна
    • Как лайкнуть проигрываемый трек?
    • При создании плейлиста из экрана проигрывания в текстовом поле моргает «dummy text»
    • Смысл экрана trending не понятен: понять, какой трек сейчас начнет играть невозможно. Хотелось бы иметь возможность добавить его в текущий плейлист, а не забивать на него.
    • Добавьте «динамический плейлист», который не сохраняется в списке, но в него можно кидать треки из поиска/трендов.
    • Долго скроллил тренды вверх — все поломалось, при тапе на песню начинает играть что-то рандомное
    • Спиннер загрузки на экране проигрывания не отцентрирован с символом микрофона
    • Почему нет обложек на экране проигрывания?
    • Нажатие на микрофон открывает страницу исполнителя? Офигеть, как логично =) я чисто случайо решил в него ткнуться. Ну и страница пустая.
    • Кнопки под обложкой в принципе неудобны
    • Кто есть fidel_testservers, который хочет моего доступа вк?
    • В настройках можно ткнуть на логин/почту, они подсвечиваются, но ничего не происходит.
    • Хотелось бы видеть индикацию буферизации при загрузке трека
    • На главной странице логин не отцентрован горизонтально относительно аватара

    На первый взгляд вроде все =) Успехов вам! Молюсь, чтоб запилился ласт.фм, без него приложение для меня бессмысленно.
  • Мы начинаем тестирование нашего iOS приложения
    0
    О, оттупилось =) вместо клика спасло нажатие enter
  • Мы начинаем тестирование нашего iOS приложения
    0
    Не могу понять, как мне залогиниться в приложении… Инвайт на почту получил, а в самом сервисе форма регистрации никакого фидбека не дает, хоть обнажимайся на кнопку «Создать аккаунт».
  • HowTo: Интернет-банкинг для юридических лиц с использованием Aladdin eToken в Linux (Ubuntu)
    0
    Не совсем понимаю, что значит фраза «репозиторий у клиента врядле есть в открытом доступе».
    Если вы ставите до этого пакеты из репозиториев, то что мешает остальное оттуда же поставить? Фактически, повторяются шаги, которые за вас выполняет apt-get.
    Опять-таки странно, что ставятся более новые версии, чем есть в репозитории 12.04: у меня apt-cache говорит о том, что libpcsclite сейчас версии 1.7.4-2ubuntu2
  • Баннеры WWDC за последние 5 лет
    0
    Тем, что новая Mac OS будет заимствовать еще больше вещей из iOS, например.
  • Разработка и применение модуля PAM для аутентификации в Astra Linux с использованием Рутокен ЭЦП и Рутокен S
    +2
    В старых версиях OpenSC (до 0.12.х) криптоалгоритмы, не поддерживаемые токеном аппаратно, реализованы программно. В новых OpenSС по понятным причинам это убрали.
    Рутокен S в данной статье стоит рассматривать только с точки зрения обратной совместимости. Для дистрибутивов Linux мы сейчас предлагаем в основном только Рутокен ЭЦП.
  • Разработка и применение модуля PAM для аутентификации в Astra Linux с использованием Рутокен ЭЦП и Рутокен S
    +1
    Да, код завязан только на хендл. В коде есть отдельный условный блок, который компилируется, если объявлен макрос PAM_STATIC. Как я понимаю, это нужно для статической линковки модуля в libpam. По умолчанию этого, естественно, не происходит.
    Полный исходный код модуля можно глянуть здесь: www.opensc-project.org/pam_p11/browser/trunk/src
    Там его довольно мало, большая часть отведена функции аутентификации и разобрана в статье.

    Также я только что проверил множественные логины — все работает корректно, запросы на токен приходят именно в том порядке, в котором и были посланы.

    Запрос к токену идет по следующему пути: модуль -> opensc-pkcs11.so -> pcscd -> токен. Теоретически, можно просмотреть APDU-команды, посылаемые токену со стороны pcscd, откуда получить PIN-код. Данное действие будет аналогично установке в систему любого кейлоггера. Плюс использования токена в том, что во-первых, закрытый ключ неизвлекаем, а, во-вторых, токен можно отключать на время, когда не требуется производить аутентификацию.
  • Немного поиска в холодной воде
    0
    А то, что у нас в ЮЗАО еще в начале мая отключали воду, Яндекс был не в курсе. На следующий год запомните, что воду с начала мая отключают.

    Хотя в этом году даже руководство дома вывесило объявление только после того, как отключили воду.