• Аутентификация по-новому, или суперкуки

      На сегодняшний день идея ухода от паролей и традиционных методов аутентификации на веб-ресурсах поднимается все чаще, причем этим озаботились такие гиганты IT-индустрии, как Google, Paypal и другие члены альянса FIDO. В рамках научных исследований, проводимых сотрудниками Google, были предложены способы усовершенствования методов аутентификации, а также черновик стандарта расширения TLS, позволяющего избавиться от использования cookies.

      В данной статье я расскажу о проблемах традиционных схем аутентификации, о подводных камнях при введении двухэтапной аутентификации и рассмотрю предложенный стандарт расширения TLS. Текст статьи будет полезен веб-разработчикам, планирующим встроить двухэтапную аутентификацию.

      Читать дальше →
    • Берем под контроль криптографию в облачном хранилище MEGA

        После запуска в какой-то мере скандального сервиса MEGA разговоры о его защищенности немного побурлили и затихли. На сегодняшний день сервис живет своей жизнью и его никто даже не поломал. Из всех разговоров почему-то был упущен термин «User Controlled Encryption» (UCE, или Контролируемая пользователем криптография), которой кичится MEGA. Под словом «упущен» я подразумеваю тот факт, что мы не рассмотрели все возможности, которые дает нам криптографический движок, выполняющийся в JavaScript на стороне клиента.

        Конечно, сам сервис MEGA под этим подразумевает всего лишь то, что ключи шифрования не хранятся на сервере, а вся их криптография выполняется в контексте браузера. При этом после запуска сервиса было много разговоров о том, что в нем используются нестойкие криптографические алгоритмы и что вообще все плохо и мы все умрем, а наши файлы прочитает ФСБ. Это подтолкнуло меня на мысль расширить понятие «UCE» и действительно взять криптографию под свой контроль, а именно — заменить или дополнить некоторые механизмы обеспечения безопасности сервиса.

        В этой статье я частично разложу по полочкам магию, которая происходит в двух мегабайтах JavaScript-кода MEGA и покажу, как можно переопределить некоторые методы, чтобы перестать волноваться и полюбить криптографию. В результате мы получим сервис облачного хранения файлов с двухфакторной аутентификацией и аппаратным шифрованием критически важной информации.
        Читать дальше →
      • Настройка Kerberos-аутентификации с использованием смарт-карт

        • Tutorial
        В продолжение давней темы про использование двухфакторной аутентификации в ОС GNU/Linux позвольте рассказать про схему работы и настройку аутентификации с помощью Kerberos. В этой статье мы рассмотрим процесс настройки MIT Kerberos для аутентификации пользователей по сертификатам и ключевым парам, находящимся на USB-токене. Также материалы, изложенные в статье, можно использовать для настройки аутентификации в домене Windows.
        Читать дальше →
        • +13
        • 45,9k
        • 2
      • Разработка и применение модуля PAM для аутентификации в Astra Linux с использованием Рутокен ЭЦП и Рутокен S



          В этой статье мне бы хотелось рассказать о том, как приложения в Linux могут использовать систему Подключаемых Модулей Безопасности (Pluggable Authentication Modules) для прозрачной аутентификации пользователей. Мы немного покопаемся в истории развития механизмов аутентификации в Linux, разберемся с системой настроек PAM и разберем исходный код модуля аутентификации pam_p11, который позволяет проводить аутентификацию пользователей по смарт-картам.
          В конце статьи мы рассмотрим на практике настройку и работу модуля аутентификации в сертифицированном по 3 классу защищенности СВТ и 2 уровню контроля отсутствия недекларированных возможностей дистрибутиве Astra Linux для аутентификации по USB-токенам Рутокен ЭЦП и Рутокен S. Учитывая то, что Рутокен S имеет сертификаты ФСТЭК по НДВ 3, а Рутокен ЭЦП по НДВ 4, это решение может применяться в информационных системах, обрабатывающих конфиденциальную информацию, вплоть до информации с грифом «С».
          Читать дальше →
          • +19
          • 31,9k
          • 6
        • Вышел untethered jailbreak для iOS 4.3.1

            Сегодня, можно считать, случился двойной праздник — на днях исполнилось 3 года с выхода PwnageTool для прошивки 1.1.4 плюс сегодня в 9 утра по Москве ребята из dev-team выпустили утилиты для непривязанного джейла последней прошивки на i-девайсах. Поддерживаются все устройства на 4.3.1, окромя iPad 2, для которого еще ищут уязвимость в загрузчике.
            Также! Пользователи анлока ultrasn0w должны пока подождать с джейлом (разъяснения под катом)

            Для нетерепливых: redsn0w 0.9.6rc9:
            Официальный торрент для PwnageTool
            Под катом немного слов и разъяснений
          • «Чужой» Dalvik для запуска Android-приложений на ОС Maemo/MeeGo

              Компания Myriad Group сегодня анонсировала выпуск Alien Dalvik — ява-машины, позволяющей запускать приложения ОC Android на Maemo. Как заявляется в пресс-релизе, «Чужой» Dalvik умеет запускать без каких-либо изменений большинство приложений, собранных под Андроид, просто пересобрав программный apk-пакет.

              Самое приятное в том, что все приложения запускаются в Alien Dalvik абсолютно нативно и выглядят как родные приложения под Maemo. Согласно пресс-релизу, эта ява-машина станет доступна для покупки под ОС MeeGo в этом году. Несмотря на то, что заявлена поддержка только MeeGo, в демонстрации участвует N900 с ее родной Maemo 5, поэтому пользователи данной железки могут скрестить пальцы в надежде, что и им перепадет будущее счастье.
              Видео и еще немного слов под катом
            • Заработал Community SSU

                Как недавно сообщали, сообщество maemo начало работать над собственным репозиторием для распространения системных обновлений по воздуху. Community SSU (CSSU) создавалось пользователями для пользователей, в далеко идущих планах планируется донести обновления до всех пользователей N900, а пока что данная статья будет интересна нам, гикам, а также разработчикам, тестировщикам и составителям документации и всем, кто не боится перепрошивать свой девайс в случае чего.
                Как же установить CSSU
              • Таблетки с CES. Итоговая таблица

                • Перевод

                Выставка CES в Лас-Вегасе просто разразилась невиданным множеством планшетных компьютеров на всевозможных платформах. Среди них преобладают железки на Android или Windows 7. Журналисты engadget постарались и собрали список всех анонсированных планшетов. Под хабракатом вы увидите весь сводный список грядущих таблеток с кратким описанием каждой из них, а также планируемой датой выпуска и ценой.
                Читать дальше →
              • На чем Опера зарабатывает деньги (aka самый часто задаваемый вопрос)

                • Перевод
                Чаще всего пользователи браузера Opera (и не только) задаются вопросом: «Так как же вы, ребята, зарабатываете деньги?» Ответ прост:

                Под катом раскроем модель садовых гномов
              • Арестованы создатели сервиса Mulve для загрузки музыки из ВКонтакте

                  В прошлом месяце был запущен новый сервис Mulve (сокр. от Music Love), позволяющий качать музыку из Вконтакте. На территории России о нем слышно не было, сервис хостился в Великобритании и был ориентирован на зарубежных пользователей. Сайт просто индексировал базу музыки «контакта» и давал пользователям качать оттуда файлы. Несмотря на то, что как таковой информации на нем не хостилось, он был закрыт по требованию RIAA, а его создатели арестованы.
                  Дальше немного истории сервиса
                • Вышла новая бета-версия мобильной Firefox 4 для Maemo и Android

                    Вчера вышла новая бета-версия Firefox Mobile для платформ Android и Maemo. Обновленный браузер может похвастать синхронизацией, улучшенной производительностью, умной адресной строкой и обновленной стартовой страницей. Построен браузер на той же платформе, что и десктопная версия.
                    Читать дальше →
                  • Группирование вкладок в Opera

                    • Перевод
                    В последнее время было много разговоров о группировке вкладок в браузерах как об очень удобном способе управления вкладками, но знали ли вы о том, что в Опере эта возможность существовала уже много лет?

                    Данный способ может быть не совсем очевиден, но панель «Окна» в браузере, которая показывает открытые окна с их вкладками, может быть использована для создания групп вкладок. Панелька не включена по умолчанию, поэтому вам придется добавить ее либо в настройках, либо нажав на плюсик в панели и выбрать «окна».

                    Поэтому, теперь запомните: «Окно = группе».

                    Теперь новые окна будут создавать своеобразные группы вкладок, каждая из которых будет называться соответственно активной вкладке в окне. Вкладки можно перетаскивать между группами/окнами, для создания нового окна достаточно вытащить вкладку за пределы окна. При этом «Быстрый поиск» поможет вам сориентироваться среди всех вкладок.

                    Также Opera может запоминать все открытые окна при выходе. Для этого надо закрывать браузер через пункт меню «Выход», а не крестиком или Alt+F4. Также браузер запоминает закрытые окна также, как и вкладки.
                  • Видео-обзор девелоперского устройства под OS MeeGo от Intel — Aava Mobile

                      В видео ниже представлен довольно обширный обзор железки Aava Mobile вместе с софтовой начинкой в виде MeeGo OS 1.1. Девайс считает себя Первым в Мире Свободным Устройством (так заявлено у них на сайте). Компания была основана в 2009 году с целью разработать опенсурсное устройство для OEM/ODM рынка. Сразу оговорюсь, что простым смертным устройство не особо доступно (как я понял из видео, купить его можно, сославшись на то, что ты разработчик, но обойдется оно недешево). Для тех, кто уже имеет представление об устройстве я предлагаю сразу посмотреть видео, просто же интересующихся прошу сначала заглянуть под кат.

                      Читать дальше →
                    • Windows 8: сверхсекретные планы и слайды

                        imageРебята с итальянского сайтика умудрились добраться до презентации, покрывающей весь внутренний мир Windows 8 – все, начиная от целевой аудитории до взглядов на разработку приложений и жизненного цикла продукта. Все картинки кликабельны, так что наслаждайтесь – под катом много слов и трафика.
                        Читать дальше →
                      • Новый виджет-убивалка времени и небольшой конкурс от Оперы

                          image
                          Сегодня в твиттере Оперы проскочила ссылка на новость о новом виджете-игре Canabalt — игре, в которой легко разобраться, но трудно достичь высоких результатов.
                          Кому охота сразу поиграть, могут идти на страничку автора или установить виджет для Оперы. Под катом — небольшое описание конкурса.
                          Читать дальше →
                        • Хитрим с акцией «Wi-Fi за рекламу» от Билайна

                            imageПо мотивам топика об акции я решил потестить данную услугу, а заодно и посмотреть как она устроена. Сразу скажу, что в жаваскрипте я не силен, но наименования переменных в скриптах на страничке wi-free.ru/play вселили в меня надежду. Сходу нашлось довольно топорное решение, позволяющее обмануть таймер.
                            Читать дальше →
                          • Небольшой лайфхак для uTorrent, помогающий разгрести мусор в папке закачек

                              Наверняка у многих из нас на компе есть папочка «Downloads» (или «Unsorted», или какая-нибудь еще), куда мы сохраняем скачанные торрентом файлы. Обычно в этой папке у меня творится сущий ад и бардак, ибо что-то я еще не послушал, что-то не посмотрел, а что-то попросту забыл удалить или оставил раздаваться, ибо перехешировать лень. В этом небольшом топике я предлагаю простой способ (для Windows) использования меток в uTorrent, чтобы автоматизировать процесс раскидывания файлов по категориям.
                              Читать дальше →
                            • Windows Phone 7: прощай, поддержка copy-paste

                              • Перевод
                              imageГотовы к новому копипаст-холивару, который будет волновать массы еще год или два? Отлично. Microsoft только что рассказала в рамках вопросов и ответов на MIX10, что ни при каких условиях WP7 Series не будет поддерживать буфер обмена… так-то. Довольно иронично, что в старой доброй WM данный функционал был с начала времен, не так ли? Конечно, возможно всякое, и сотрудники компании уже говорили, что они думают о некоторых улучшениях, которые не вошли в первый релиз платформы, но не ожидайте, что на первых вышедших (и купленных вами =) ) телефонах вы будете копировать что-либо между приложениями.

                              Microsoft уже стопроцентно и бесповоротно подтвердила, что WP7 Series не будет поддерживать копирование и вставку. В API работы с текстом системы встроен сервис обнаружения данных (data-detection), который будет распознавать телефонные номера и адреса, но, по словам Microsoft, большинству пользователей, включая пользователей Office, на самом деле не нужен функционал буфера обмена. Ну что ж… мы почтительно не согласны? Конечно, на этом и успокоимся.
                            • Заставляем flash-видео играть в фоне на полный экран на многомониторных системах (windows only)

                                Если у вас два (а может и больше) мониторов, то наверняка вы сталкивались с проблемой, что полноэкранное флеш-видео сворачивается обратно, когда теряет фокус. Лично меня это сильно бесило, потому что на втором мониторе у меня висит аська, а браузер — на основном. Поэтому нельзя было запустить ролик в полный экран и продолжать общаться в аське.
                                К счастью для любителей многомониторных конфигураций есть небольшой хак, запрещающий флешу сворачиваться. Без лишних слов даю ссылку на софтину, которая сделает все сама.
                                Под катом видеоинструкция, как проделать то же самое своими руками