Время от времени я провожу внешние аудиты безопасности IT компаний, поддерживающих Bug Bounty. Согласно странице Рокетбанк может принять решение о вознаграждении в случаях обнаружения серьезных и публично неразглашенных уязвимостей.



За текущий год я обнаружил значительное количество уязвимостей в системе Рокетбанка, в том числе позволяющих получить персональные данные всех клиентов, реализовать XSS-атаку. В данной статье я опишу результаты последнего проведенного мной аудита Рокетбанка.

Фото Steven Guzzardi CC BY-ND

Музыка занимает важное место в нашем сердце, и множество людей даже не мыслят жизни без нее. Она способна подбодрить нас в трудную минуту и напомнить о счастливых моментах. Некоторые люди усматривают в текстах песен свою личную историю, что сразу находит отклик в их душе.

Ощущения, которые мы испытываем при прослушивании музыки, отличаются друг от друга.

Если бы нам нужно было ответить на вопрос, чем отличается звук тубы от звука флейты, то мы могли сказать что-нибудь в этом роде: звук флейты – высокий и нежный, а звук тубы – низкий и грубый. С точки зрения музыкальной теории, мы определили бы эти звуки как разные по высоте, тембру и громкости.

Исследования, проводимые звукозаписывающими компаниями в 60х-70х годах, доказали, что музыка одинаково влияет на слушателя с физической точки зрения: именно по этой причине толпы людей на фестивалях реагируют на одну и ту же песню одинаково. Однако что насчет эмоционального восприятия?

Согласно экспертным мнениям, примерная оценка стоимости Facebook после выхода на IPO составит $100 миллиардов долларов США. Детище Цукерберга встанет рядышком с такими гигантами как Дисней ($70 млрд), Биллитон ($72 млрд), Амазон ($82 млрд) и Макдональдс ($101 млрд). Все восторженно хлопают в ладоши и считают примерные доходы с акций в первый год торгов.

Давайте на время отойдем от общей эйфории, и подумаем над происходящим. Внутри я расскажу вам небольшую историю и предложу, пользуясь открытыми источниками информации, немного посчитать. А чтобы было совсем не скучно, для сравнения с Фэйсбуком возьмем одну уже упомянутую выше компанию с примерно такой же рыночной капитализацией.

В последнее время в сообществе Scala-разработчиков стали уделять всё большее внимание шаблону проектирования Type classes. Он помогает бороться с лишними зависимостями и в то же время делать код чище. Ниже на примерах я покажу, как его применять и какие у такого подхода есть преимущества.

Статься расчитана не только на программистов, пишущих на Scala, но и на Java — возможно, они получат для себя ответ, как, хотя бы в теории, выглядит решение для многих прикладных задач, в котором компоненты не связаны между собой и расширяемы уже после написания. Также это может быть интересно разработчикам и проектировщикам на любых других языках.

Интро

В XAML (SilverLight /Wpf /Metro) конвертеры используются для самых различных целей: приведение типов, форматирование строк, калькуляция скалярного значения сложного объекта. В рамках проекта мы можем создать очень много классов-конвертеров, решающих смежные задачи (вычисление состояния заказа и конвертация его в Visibility, конвертация состояния заказа в Cursor, конвертация булевого значения в Visibility/Invisibility и т.д.). Нетривиальная ситуация: мы написали конвертер для необычно сложного форматирования TimeSpan, и теперь требуется форматировать Duration таким же образом – необходимо писать аналогичный конвертер, но уже с предварительной распаковкой TimeSpan из Duration. Вариантов преобразования строк может быть множество, и для всех преобразований потребуется такое же множество конвертеров.
Естественно, стараясь обобщить код, мы разбиваем конвертацию на более мелкие процедуры, и, как следствие, у нас встречаются классы-конвертеры, состоящие из двух строчек кода, используемые только один раз.
Многие не знают, что для упрощения ситуации и уменьшения количества строчек кода, возможно комбинирование преобразований не в классах конвертеров, но в XAML разметке, путем создания цепочек конвертеров. Для этого необходимо написать свой абстрактный конвертер, от которого мы будем наследовать все наши преобразования.

Привет всем! Тема создания финансовых приложений сейчас довольно актуальна, разные банки выпускают и обновляют свои веб-интерфейсы. Всем хочется дать клиентам простой и приятный способ работы со счетами.

Для нас создать новый Интернет-банк было одной из самых важных целей за прошедший год. У нас уже было несколько подобных решений в прошлом и нужно было сделать что-то сильно лучшее.

Мы изучали лучшие мировые продукты, смотрели что из этого подойдёт нашим клиентам, проектировали, разрабатывали, пытались пользоваться сами, если что-то не нравилось, делали заново. Было много дискуссий. И вот этим летом запустили свой новый Интернет-банк для клиентов.

Самое приятное, что с первой нашей попытки журнал Global Finance признал наш новый Интернет-банк лучшим в России за 2012 год, похоже, мы оказались на верном пути.

Ниже предлагается краткий обзор функционала и интерфейсов с большим количеством иллюстраций.

Введение

Данная статья может быть интересна тем, кто использует ETL средства SAS при построении хранилища данных. Недавно у нас завершилась активная фаза проекта по переводу хранилища на БД Greenplum. До этого в качестве базы данных использовались SAS datasets, т.е. фактически таблицы представляли собой файлы на файловой системе. В какой-то момент стало понятно, что скорость роста объемов данных больше той скорости, с которой мы можем увеличивать производительность файловой системы, и было принято решение о переходе на специализированную БД.

Когда мы начинали проект, в интернете было совершено невозможно найти что-нибудь, касающееся связки SAS DIS и Greenplum. Основные моменты перехода и возникшие в процессе трудности и хотелось бы осветить в этой статье.

В сети и на Хабре уже довольно много статей вводного уровня про то, как начать писать на Scala, и раскрывающих особенности функционального подхода.

Какое-то время назад мы полностью перевели на Scala один из основных для веба проектов. За это время я наблюдал эволюцию разработчиков, включая свою собственную, и у меня скопился объёмный список конструкций, которые тянет написать, если вы раньше писали на Java, и для которых правильное решение на Scala может не быть сходу очевидным. Данные рекомендации могут быть не очень понятны тем, кто до сих пор пишет на Java и не видел до этого код на Scala. Я не буду разъяснять работу стандартных функций и функциональных концепций, всё ищется по ключевым словам в сети.

30 января компания Research In Motion представила смартфоны на новой ОС BlackBerry 10. Приложений в BlackBerry App World пока существенно меньше, чем в Google Play или App Store, например. Можно успеть занять нишу, выпустив версию своего замечательного приложения и под эту ОС. Тем более, что это не требует больших трудозатрат.

Итак, как становится ясно из информации для разработчиков, существует несколько способов создания приложений под BlackBerry 10:

• нативные приложения на C/C++;
• веб-приложения на HTML5;
• Adobe AIR и ActionScript;
• Android API 2.3.3 runtime;
• Java BlackBerry runtime.

Для превращения Android-приложения в BlackBerry-версию также существует несколько способов: использование re-packaging tools, для переупаковки уже имеющегося apk, или использование непосредственно исходников Android-приложения для более вдумчивого и тщательного портирования с последующей сборкой под BlackBerry с помощью BlackBerry Native SDK. Рассмотрим первый вариант, как наиболее быстрый и простой.

Историческая справка:

• Как мы сделали нелегальное приложение для Одноклассников в 2008 году и что из этого получилось
• Как мы запустили легальное приложение в Одноклассниках в 2011-м

Прошел год с момента запуска. В этом топике я хочу поделиться с вами цифрами и соображениями на тему “Имеет ли смысл делать приложение в Одноклассниках”.

Очень интересная статья появилась сегодня на wired.com. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

Вступление

Я отношусь к тем людям, которые в основном читают социальные сети, блоги и твиттер, но не пишут в них. У меня есть аккаунты почти во всех сервисах, но только для того, чтобы зайти и прочитать новую информацию.

Полагаю, что я не один такой. В добавок к вышесказанному, все новостные ресурсы я предпочитаю читать через РСС-ленты, считая их самым удобным средством распространения информации. К сожалению, оба информационных гиганта — Фeйсбук и Твиттер — лишили пользователей возможности выкачивать ленты. За пару дней я собрал на коленке сервис, который устраняет этот недостаток.

Итак, милости прошу на Queryfeed.

В приложениях для Android и iPhone мы (первые в России) реализовали такую вещь как перевод с карты любого банка на счет в «Тинькофф Кредитные Системы» (ТКС). Зайдя в приложение, человек вводит реквизиты карты другого банка, сумму и деньги мгновенно поступают на его счет в ТКС, что особенно удобно, когда остается мало времени на внесение ежемесячного платежа по кредитной карте. Это похоже на операцию оплаты в интернете за товары или услуги. Пополнение кредитной карты происходит без комиссии. Видео на 33 секунды подтверждает, насколько это просто.

Сегодня можно достать из кармана электронный, но при этом абсолютно осязаемый кошелек. И заплатить с его помощью за чашку кофе, джинсы или даже шкаф. Яндекс.Деньги теперь доступны любому пользователю в виде банковской карты MasterCard Gold. Ею можно расплачиваться в любом магазине — хоть в интернете, хоть в путешествии, — а деньги будут списываться прямо со счета в системе.

Есть ли в интернете что-то доступнее Яндекс.Денег? Судите сами: бесплатный выпуск карты, бесплатное обслуживание в течение трех лет, никакой комиссии за платежи с карты. А еще есть доставка почтой по всему миру (внутри России — 99 рублей, за ее пределами — 199 рублей).

Для получения банковской карты Яндекс.Денег не надо ни-че-го. Ни многостраничных договоров, ни походов в банк, ни затяжных проверок. Нравится? Пробуйте сами!

Вот и появился свой блог у команды веб-разработчиков банка «Тинькофф Кредитные Системы».

С лета у нас собралась отличная команда:



Мы умеем делать приложения на Java и PHP, используем HTML5 и CSS3; процесс разработки у нас налажен,
но всегда остаётся место гибкости для решения неотложных задач нашего стремительного бизнеса.

За такое короткое время мы успели побывать на тостерах, озадачить всех желающих задачами, пустить в бой Scala и уже запустили для банка ряд бизнес-проектов.

Здесь мы будем публиковать посты о технических решениях и трюках, анонсировать наши новые проекты.
Среди планируемых тем: организация процесса разработки, единая авторизация, Scala,
автоматизация развёртывания приложений и, конечно, веб-технологии.

До новых встреч,

Веб-разработчики банка «Тинькофф Кредитные Системы»