Всем привет! Я Максим Андреев, программист бэкенда Облака Mail.Ru. В свободное время я люблю искать баги. В сегодняшнем посте я хочу рассказать об одной довольно интересной уязвимости, которую я нашёл и зарепортил в bug bounty нескольких крупных компаний, за что получил солидное вознаграждение. Уязвимость заключается в следующем: если сформировать специальный видеофайл и загрузить его на сервер, то:

• можно получить на нём SSRF;
• можно получить local file read;
• если пользователь скачает этот файл, то автоматически будет подвержен уязвимостям, даже если его не откроет: можно будет получить доступ к данным на компьютере пользователя и узнать его имя.

Сегодня ко мне обратилась знакомая с просьбой помочь купить б/у Macbook Pro. Я сразу предупредил, что квалификация у меня близка к нулю, но чем могу — помогу. С PC плотно не работаю уже много лет, а Mac владею на верхне-чайниковом уровне. Беглый поиск по фразе «как проверить macbook pro» сразу же привел к исчерпывающей публикации rule на заданную тему: «Осторожно при покупке MacBook. Высокотехнологический способ мошенничества в оффлайне» geektimes.ru/post/157969 Но неопытноcть меня все же подвела.

Объявление:


То есть в объявлении предлагается топовая модель MacBook Pro «Core i7» 2.9 13" Mid-2012 (MD102). Реально это оказался MacBook Pro «Core 2 Duo» 2.66 13" Mid-2010 (MC375) — 4 GB RAM, 500 GB HDD. Блок питания был новый.

Тема простая, но мне пришлось потратить некоторое время, прежде чем из разрозненных источников я понял, как наиболее быстро и просто получить сообщения об ошибках валидации на русском. Этот пост поможет сэкономить немного времени новичкам.

Фреймворк Ruby on Rails меня просто очаровывает, но до недавнего времени некоторую сложность представляла из себя генерация CRUD контроллеров.

Почти всегда мне было необходимо реализовывать списки с сортировкой, фильтрацией и пагинацией, а стандартного способа этого достичь в рельсах я не обнаружил. Перепробовал несколько вариантов и ни один меня не удовлетворил:

• стандартный генератор scaffold_controller — ничего подобного нет, CRUD с простейшим дизайном
• nifty Scaffold — его разработка приостановлена, но все равно фильтрации и сортировки нет
• гем для DataTable — не прижился, он обеспечивает только представление данных, а код для фильтрации и сортировки пришлось бы писать самому

Долгое время не удавалось найти ничего похожего на полюбившийся мне виджет CGridView из Yii framework. Уже почти смирился с необходимостью писать свой велосипед, но наткнулся на DRY CRUD и хочу поделится опытом его использования. Может кому-то он окажется полезным, а может кто-то подскажет еще более подходящий инструмент.

В блоге про Django я периодически вижу посты с обзорами интересных расширений для этого фреймворка. Идея мне понравилась, и я решил, что было бы неплохо сделать похожий цикл заметок и о Ruby on Rails.

За последние 9 месяцев работы с RoR у меня накопился небольшой список гемов, которые существенно упрощают жизнь разработчику, и которые я бы мог посоветовать для решения тех или иных задач. В этой статье я хочу рассказать о пяти из них.

На проекте необходимо было сделать логин через модальные окна и «обычные» страницы для разных типов устройств. После поиска понял, что зачастую описывается не совсем то, что нужно. Так здесь просто помещают форму в модальное окно (фактически пользуясь страницей из wiki devise), а тут (вход и регистрация) переопределяют методы в контроллерах devise так, что они постоянно отдают только json и для «немодального» поведения нужно будет писать много условий с проверкой формата запроса. Поэтому я решил поэкспериментировать в новом приложении и написать поддержку 2 форматов с минимальным количеством переопределения и грязных хаков.

Микрософт с помощью пасьянса и косынки учила пользователей пользоваться мышью,
теперь с помощью windows 10 учит читать лицензионное соглашение.

После выхода windows 10 сразу появились сообщения о сборе информации о действиях пользователей и много обсуждений, что делать. Достаточно быстро пользователи составили список основных серверов, собирающих информацию и попытались их заблокировать через файл hosts. Но скептики сразу выдвинули здравое предположение, что MS мог предусмотреть этот метод и некоторые адреса прописать в коде. Тем более, что MS всегда может актуализировать адреса серверов через windows update.

В нашей компании начали появляться первые пользователи windows 10, и мы решили опробовать блокировку передачи телеметрии через встроенный windows firewall.

В далекие детские годы я не понимал важность резервного копирования данных. Но, как говорится, понимание приходит с опытом. Зачастую опыт бывает очень горький. В моем случае хостинг два раза убивал базу сайта MathInfinity, созданного еще в студенческие годы.

Большие проекты могут позволить себе выделить целые сервера для резервного копирования. Однако, существует огромное количество небольших проектов, работающих лишь на вашем энтузиазме. Эти проекты также нуждаются в резервном копировании.

Идея создания архивов на сервисах вроде Dropbox, Ubuntu One, Яндекс Диск, Диск Google и др. уже давно притягивала мое внимание. Десятки гигабайт бесплатного места, которое теоретически можно использовать для резервирования данных.

Теперь эта идея получила мое первое воплощение. В качестве сервиса для создания архивов был выбран Яндекс Диск.

В последнее время всё чаще появляются новости о том, что Центробанк отозвал лицензию у какого-нибудь банка. Иногда это происходит внезапно и неожиданно, а бывает, что до этого в интернете уже проскальзывал слух. Когда нужно верить плохим новостям и бежать менять банк и, самое главное, что делать, если вы остались без банка — не будем тянуть с лиричными вступлениями и расскажем прямо сейчас.

Весь привет! Недавно мы говорили о возможностях RAW’а, тема оказалась интересной, в личку поступило много вопросов, так что держите продолжение, будем разбираться, что такое RAW и как его правильно прожарить.



Дня начала рассмотрим один из важнейших аспектов, который отличает RAW-файлы от камерных JPEG’ов: а именно динамический диапазон.

Мобильных компьютеров уже давно больше, чем стационарных. И наших личных данных на них так же значительно больше, чем на стационарных. При этом текущий дизайн OS мобильных устройств создаёт впечатление, что одна из их основных задач — как можно сильнее упростить доступ третьим лицам (в основном — корпорациям и государству, но и мелким разработчикам мобильных приложений тоже обламывается от этого пирога) к вашим личным данным.

Частичная открытость Android немного улучшает ситуацию, но полноценного решения проблемы утечки приватных данных пока не существует. Основная проблема в том, что пока на устройстве используются блобы нет никаких гарантий, что в них нет закладок (вроде обнаруженных в прошивках Samsung Galaxy). Аналогичная проблема с проприетарными приложениями без открытых исходников (вроде всего пакета GApps, начиная с самого Google Play Маркет). По сути всё как раз наоборот — крайне высока вероятность, что закладки там есть. Нередко их даже не пытаются скрывать, выдавая за удобные «фичи» для синхронизации и/или бэкапа ваших данных, обеспечивания вас полезной рекламой, и «защиту» от вредоносного софта или на случай утери устройства. Один из самых надёжных способов защиты своих данных описан в статье Mission Impossible: Hardening Android for Security and Privacy, но там речь не о телефоне, а о планшете, причём с поддержкой только WiFi (мобильных чипов без блобов по-моему вообще пока ещё нет, для мобильного инета вместе с этим планшетом предлагается использовать отдельный 3G-модем, блобы в котором никому не навредят т.к. на этом модеме личных данных просто нет), и, на всякий случай, физически отрезанным микрофоном. Но, несмотря на невозможность полноценно защитить личные данные на телефоне, я считаю что стоит сделать максимум возможного: прикрыть столько каналов утечек, сколько получится — ведь мало кто может позволить себе не использовать мобильный телефон или не держать на нём личные данные (хотя бы контакты и историю звонков).

Потребление электричества возрастает с каждым днём, и ежедневно появляются и совершенствуются новые способы получения зелёной, чистой энергии. Солнечные панели, ветряки, энергия волн, геотермальные источники, электростанции на биомассе… А многие предлагают устройства, накапливающие энергию от вашего движения. То есть, носить одни гаджеты для того, чтобы заряжать другие.

Уж простите за пафосный заголовок, но раз пошла такая пьянка, то продолжим. Мне лично такие посты нравились всегда.

Итак, речь пойдёт про уязвимость известного в Мск (да и не только) провайдере Beeline. Многие помнят его под именем Corbina. Без сомнения, это один из передовых интернет провайдеров, с большой и хорошей историей. В своё время он был спасением, благодаря качественному и быстрому инету, интранет сетям и т.п. В настоящий момент сотрудники провайдера в курсе уязвимостей и самые критичные уже закрыты. Однако, уверен, многие откроют для себя много нового и интересного. Тем более, что техника применима практически к любому провайдеру.

У хорошего интерфейса пользователя высокая конверсия и его просто использовать. То есть, он хорош и для бизнеса, и для использующих его людей. Вот список опробованных нами идей.

1 Один столбец вместо нескольких

Один столбец точнее отражает то, что вы хотите донести. Пользователи проходят сверху вниз по более предсказуемому пути. В дизайне с несколькими колонками есть риск отвлечения пользователя от основной задачи страницы.

Несколько лет назад я увидел на Хабре первое упоминание вибро-динамика. Топик, ссылку на который за давностью лет я никак не могу найти, меня очень взволновал, ведь новая технология воспроизведения звука была очень интересна. В двух словах, вибро-динамик передает колебания на любую поверхность, превращая всю ее в большой динамик. Это позволяет достаточно качественно воспроизводить низкие и средние частоты, в отличии от обычных миниатюрных динамиков. Хоть я и не отношу себя к аудиофилам, мне всегда была интересны аудио-системы и всё, что с этим связано (пруф). И вот, наконец, наступил тот самый день, когда одно из устройств данного класса оказалось в моих руках. Компания «Даджет» предоставила на тестирование вибро-динамик
Party Fon MAX для обзора в своем корпоративном блоге.

Вторая часть материала о том, как правильно участвовать в тендере на разработку сайта. Я публикую их одновременно, поскольку я написал единый большой материал, который в один пост не влез.

Первая часть материала.

Во второй части мы поговорим о презентации предложения, подведении итогов и всяких полезных советах.

Привет, хабр! Довольно давно я опубликовал первый материал «Организация активных продаж в веб-студии» из запланированного цикла про маркетинг и продажи в веб-студиях. До написания второго материала руки доходили очень долго, но я таки собрался и завершил его. Надеюсь, следующие материалы цикла будут выходить более оперативно.

В основу данного обзора легли различные исследования рынка веб-разработок, общение с руководством крупных игроков рынка, мой личный опыт работы «в поле» в высоком ценовом сегменте рынка, а также опыт консультирования ряда студий.

Итак, сегодня я хотел бы поговорить непосредственно о самом процессе продажи в веб-студии, а именно – об участии в тендере на разработку сайта. Даже когда заказчик не объявляет о проведении тендера в открытую, в подавляющим большинстве случаев вы все равно будете соревноваться с другими компаниями, в которые был отправлен запрос – вариант «скрытого тендера».

Тендеры бывают очень разные, но здесь я попытался обобщить наиболее важные моменты, применимые к любому проекту и любому клиенту. Ну и как обычно, постарался включить полезные нюансы, чтобы читать было интересно и крутым профессионалам в области продаж.

Давайте разобьем процесс организации продажи на основные этапы, а потом подробно обсудим каждый их них:

1. Брифинг, уточнение задания;
2. Подготовка и состав предложения;
3. Конкурентная разведка;
4. Презентация предложения;
5. Подведение итогов и «after party».

Месяц пытался понять зачем, почему и для кого существует Windows Phone.

Внимание! Под катом длинные, скучные и ненужные картинки — но такова суть системы, поэтому терпите.
Внимание 2! В комментариях автор был уличен в криворукости, необразованности и многих других грехах, в связи с чем предупреждает особо чувствительных фанатов windows phone «Все ниженаписанное является моим личным мнением и не претендует на истину в первой инстанции» :)
А теперь поехали:

Салют, Земляне!
Обнаружил, что на хабре нет поста, который объединит в себе всё, что необходимо знать про эту чудо-ЭВМ. Поэтому я решил основательно подойти к анализу user-experience, железа, производительности и прочих впечатлений. Спустя месяц полноценного и самостоятельного использования готов представить вам…