Привет, %username%! Бывает необходимо генерировать ID не подряд, причем чтобы они гарантированно не повторялись. На youtube это используется для того, чтобы вы не могли брутфорсом получить все новые и старые видосики, так же это не редкость на разных файлообменниках и вообще везде где нужно предотвратить или хотя бы затруднить возможность прямого перебора значений.


К примеру, в системе moodle, которая использовалась у нас в универе для тестирования студентов, ID ответов были инкрементными и сквозными на всю базу. Логично предположить, что правильным ответом был тот, что с наименьшим ID в пределах вопроса. В общем, проблем с тестами у нас не было. Потом они перешли на GUID, но я к тому моменту уже выпустился, хехе.

Давайте рассмотрим несколько способов генерации таких ограниченных по длине последовательностей от самых простых до криптографически стойких.

Большинство создают внешние ссылки через target="_blank" и не знают одного интересного нюанса — страница, на которую мы попадем таким образом, получит частичный контроль над ссылающейся на нее страницей через js свойство window.opener.

Через window.opener.location мы сможем сделать редирект на, к примеру, фишинговую страницу. Это своего рода tabnabbing, только более продвинутый. Так как жертва меньше всего ожидает подмены страницы, в открытой ранее, доверенной вкладке браузера.

Времена, когда сайты взламывались ради забавы почти прошли. В современных реалиях сайты атакуют для извлечения прибыли. Атаковать могут абсолютно любой сайт, даже с минимальными показателями и трафиком.

Я расскажу о применении различных способов аутентификации для веб-приложений, включая аутентификацию по паролю, по сертификатам, по одноразовым паролям, по ключам доступа и по токенам. Коснусь технологии единого входа (Single Sign-On), рассмотрю различные стандарты и протоколы аутентификации.

Перед тем, как перейти к техническим деталям, давайте немного освежим терминологию.

• Идентификация — это заявление о том, кем вы являетесь. В зависимости от ситуации, это может быть имя, адрес электронной почты, номер учетной записи, итд.
• Аутентификация — предоставление доказательств, что вы на самом деле есть тот, кем идентифицировались (от слова “authentic” — истинный, подлинный).
• Авторизация — проверка, что вам разрешен доступ к запрашиваемому ресурсу.

Например, при попытке попасть в закрытый клуб вас идентифицируют (спросят ваше имя и фамилию), аутентифицируют (попросят показать паспорт и сверят фотографию) и авторизуют (проверят, что фамилия находится в списке гостей), прежде чем пустят внутрь.

Аналогично эти термины применяются в компьютерных системах, где традиционно под идентификацией понимают получение вашей учетной записи (identity) по username или email; под аутентификацией — проверку, что вы знаете пароль от этой учетной записи, а под авторизацией — проверку вашей роли в системе и решение о предоставлении доступа к запрошенной странице или ресурсу.

Однако в современных системах существуют и более сложные схемы аутентификации и авторизации, о которых я расскажу далее. Но начнем с простого и понятного.

Passwords, passwords never change...
Почти каждый пользователь сети Интернет имеет хотя бы один аккаунт или хотя бы однажды оставлял свои данные в различных службах. Почтовые сервисы, социальные сети, облачные хранилища, онлайн-игры и многое другое, – в одном Facebook уже более 1 млрд учетных данных. Естественно, что, имея большую аудиторию, компании стараются обеспечивать хорошую защищенность своих серверов и сервисов. Однако, если пользователи не прилагают усилий к защите своих аккаунтов и вообще не соблюдают минимальных мер информационной безопасности, все усилия извне могут оказаться напрасны.

Недавно мне пришла в голову банальная мысль, что большинство людей кладут на настройку своих роутеров, и на них можно зайти по дефолтным паролям. А много ли таких роутеров вдобавок открыты для входа из интернета, что делает их проходным двором? И как это по-быстрому проверить?

Итак, задача: просканировать какую-нибудь подсеть и найти уязвимые роутеры.

Условия выполнения: не более нескольких часов (на дворе всё-таки лето), используя только стандартные средства системы Linux. Да, я в курсе про проекты типа Kali и вагоны «хакерского» софта в них, но найти нужную программу, которая сделала бы это прямо «из коробки» мне сходу не удалось, а время-то идёт… Да и интереснее самому.

Первая мысль, которая приходит в голову: сканировать nmap'ом по открытому 80 порту. Но что делать с огромным зоопарком веб-морд? Ведь цель — не написать универсальный комбайн-уничтожитель роутеров, а небольшой proof-of-concept. А нет ли какой-нибудь унифицированной системы авторизации на роутерах? Конечно же есть — Telnet! Начинаем!

Ларри Пейдж и Сергей Брин познакомились в Стэнфордском университете в 1995 году. В 1996 Ларри и Сергей начинают совместную разработку поискового механизма под названием BackRub.
Более года система BackRub работала на серверах Стэнфорда, и в конечном итоге ее трафик превысил пропускную способность сетей университета. Вскоре друзья приходят к мнению, что поисковой системе нужно новое название и в конечном итоге останавливаются на «Google». После получения чека на 100 тысяч долларов, 4 сентября 1998 года было подано заявление на регистрацию компании Google в штате Калифорния.

whois info:
Domain Name: GOOGLE.COM
Registrar: MARKMONITOR INC.
Updated Date: 20-jul-2011
Creation Date: 15-sep-1997
Expiration Date: 14-sep-2020

Ну, а как видно из информации выше, домен был зарегистрирован 15 сентября 1997 года. Пожалуй эту дату можно назвать одним из дней рождений компании :)

Желаю Google дальнейшего процветания!

В свое время, в 1995-ом году, на меня произвел впечатление фильм «Хакеры». Можно
сказать, он стал мотиватором моей дальнейшей ИТ-карьеры. Далеко не эталон киноискусства, однако
стремление стать похожим на героев фильма, продолжилось в самообразовании. Далее первый выклянченный компьютер, первые строчки кода, начало проб и ошибок. Когда уже были написаны эти самые «хэлоу-ворды», «калькуляторы», затем испробованы несколько *nix'ов — на руки попалась болванка с «Antitrust». В одноголосном переводе и гиблом качестве. К слову, это не помешало, пересмотреть фильм пару десятков раз. Что послужило более зрелому стремлению, чем быть всемогущим кул-хакером. Под катом, перечислю увиденные мной фильмы IT-тематики, с кратким описанием. В основном из двухтысячных. Неувиденное или забытое, будем добавлять.

В ноябре 2010 года появилась Яндекс.Мастерская. Этот возможность для студентов принять участие в проектах и задачах, которые в перспективе могут быть внедрены для внутренних или внешних пользователей Яндекса. В Яндексе давно практикуется набор стажёров, но обычно только на роль разработчиков или тестировщиков. В Мастерской же способные ребята могут проявить себя ещё и в области аналитики и управления проектами.

Возможно вы помните музыкальную интерпретацию числа Пи, которую Майкл Блэйк представил в этом году незадолго до Дня Пи.
И вот опять он нас удивляет своим видео, в котором наигрывает первые 126 нот константы Тау(равной произведению Пи на 2) на разных инструментах.

В первой части этой статьи мы рассмотрели теоретические основы торговли акциями на американских фондовых рынках (NASDAQ, NYSE, AMEX). Ознакомились с основными понятиями, определениями и принципами. Если во второй части что-то будет непонятно, то, возможно, вы не слишком внимательно ознакомились с первой частью. Всегда можете вернуться туда и что-то уточнить.

Во второй части я хотел сформулировать и изложить пошаговое практическое руководство, т.е. некий HowTo о том, как купить какие-то конкретные акции на бирже NASDAQ или NYSE. Допустим, вы захотели купить акции какой-то конкретной компании, например, Google, Apple, Microsoft, Yandex, Intel или Tesla Motors с целью инвестиций (в расчёте на рост стоимости этих акций в будущем).

Что для этого нужно, и с чего вообще начать?

На днях был топик о том, что на YouTube появился новый дизайн, но по традиции компании Google что-то новое могут видеть только «избранные»



Включить новый дизайн можно уже сейчас, для этого нужно выполнить пару простых действий

1. Переходим на сам YouTube
2. Нажимаем Ctrl + Shift и J в Google Chrome (для открытия Developer Tools) или Ctrl+Shift+K в Firefox
3. Выбираем вкладку «Console» и вводим код
document.cookie="VISITOR_INFO1_LIVE=ST1Ti53r4fU";
4. Перезагружаем страницу.
5. Profit

Недавно веб-интерфейс бесплатного облачного хранилища файлов Microsoft SkyDrive получил обновление. Этот ресурс по-прежнему предлагает 25 гигабайт бесплатного хранилища, однако в ходе обновления размер отдельного загружаемого файла теперь был увеличен с 50 мегабайт до 100 мегабайт.

Веб-интерфейс теперь использует новое представление для отображения папок и просмотра галереи изображений.

  

Кроме того заявлены следующие изменения:

• закрепление сайта на панели задач через Internet Explorer 9
• один и тот же интерфейс для всех типов файлов
• новая панель информации о файле
• новый просмотрщик фотографий
• увеличена скорость работы ресурса
• 100 мб лимит файлов
• больше нет рекламы, убран баннер.

Но самое интересно, что теперь есть способ подключения вашего хранилища SkyDrive в качестве сетевого диска с полной поддержкой копирования, вставки, удаления, предпросмотра файлов. Пока для записи в хранилище поддерживаются офисные файлы. Остальные файлы можно загрузить через веб-интерфейс. Доступ к загруженным через веб-интерфейс файлам доступен для всех типов. Для того, чтобы подключить SkyDrive в качестве сетевого диска проделайте следующие шаги:

В ночь с 6 на 7 июня «Рамблер Интернет Холдинг» запустил сервис «Рамблер–Касса», благодаря которому можно купить билет в любимый кинотеатр расплатившись кредитной картой, WebMoney или «Яндекс.Деньгами».

Многие из вас, читая на Хабре статьи об успешных IT-фирмах и быстро развивающихся высокотехнологичных компаниях, наверняка, задумывались о том, чтобы инвестировать свои деньги в их акции с целью получения прибыли, когда через несколько месяцев или даже лет рыночная стоимость этих акций заметно вырастет.

Я и сам об этом частенько задумывался, но меня всякий раз останавливало полное отсутствие опыта в вопросах торговли акциями (я никогда до этого не торговал ценными бумагами даже на российских биржах) и практически нулевое знание теории биржевой торговли.
Именно из-за такого страха перед неизвестностью, а также из-за собственной лени (нежелания разбираться с нуля в новой для себя области), многие так и не отваживаются на покупку акций, хотя и имеют достаточный стартовый капитал, чтобы выйти на этот рынок.

Но в итоге я всё же сделал усилие над собой: сначала немного вник в азы торговли акциями, а потом наконец решился и начал торговать акциями на фондовых рынках США (NYSE, NASDAQ, AMEX). И, самое главное, я понял, что купить акции — это не так уж и сложно, как казалось раньше, и даже не так затратно (в плане накладных расходов), как я предполагал. И в этой статье я хочу поделиться исключительно своим опытом в данной области в виде общих теоретических сведений и практического руководства (HOWTO) для новичков.

Вы не найдёте здесь описания методик и стратегий торговли на фондовых рынках, и вы уж точно не станете профессиональным биржевым трейдером сразу после прочтения этой статьи. Статья просто о том, как новичку без опыта биржевой торговли купить акции на зарубежных биржах.

Здесь описаны в первую очередь российские реалии, но для граждан некоторых соседних стран статья тоже может оказаться во многом полезной. Если вы имеете некие финансовые накопления и хотите их инвестировать в акции иностранных компаний, но пока не знаете, как это сделать, что для этого нужно и с чего вообще начать, то эта статья для вас.

Разделил статью на две части:

1. В первой части рассмотрим теоретические основы торговли акциями.
2. Во второй части будет практическое руководство для новичков по покупке и продаже акций.

Отрывок из фильма «Секреты супербрендов (Secrets of the Superbrands)» телекомпании BBC, посвященный компании Apple.
Перевод AppleInsider.ru

UPDATE — Вот фильм цеиком — (Онлайн-просмотр для нашей страны недоступен, есть возможность скачать с файлообменников: www.ireleases.org/tv/tv-x264/secrets-of-the-superbrands-s01e01-720p-hdtv-x264-ftp-21921)

Введение

Думаю, все пользователи Хабра знакомы с успехами человечества в области микроэлектроники, подавляющее большинство — покорения космоса, немалая часть — физики. Но почти никто не знает о том, что прямо сейчас в биологии происходит революция, которая изменит нашу жизнь в ближайшие несколько десятилетий не меньше, чем распространение компьютеров. Более того, эта революция напрямую связана с успехами в построении мощных вычислительных систем.Конечно же, какие-то «круги по воде» расходятся. Но далеко не каждый способен сопоставить истерию в СМИ относительно ГМО, слово «рекомбинантный» на пузырьке с интерфероном или инсулином и невнятные (в России) слухи о неком 23andme. На самом деле, все эти явления связаны одной нитью. И распутывать эту нить лучше с самого начала.

Десять лет назад, 15 января 2001 года, была официально открыта Википедия как одиночный англоязычный раздел на wikipedia.com.

Сегодня Википедия содержит более 17 миллионов статей, написанных десятками миллионов её участников. Это пятый по популярности сайт в Интернете, и единственный в топ-25, который представляет собой полностью некоммерческий сервис, поддерживаемый некоммерческой организацией.