Примерно год назад мы в DataLine запустили сервис для поиска и анализа уязвимостей в ИТ-приложениях. В основе сервиса – облачное решение Qualys, про работу которого мы уже рассказывали. За год работы с решением мы провели 291 сканирование для разных сайтов и накопили статистику по распространенным уязвимостям в веб-приложениях. 

В статье ниже я покажу, какие именно дыры в безопасности сайтов скрываются за разными уровнями критичности. Посмотрим, какие уязвимости сканер находил особенно часто, почему они могут возникать и как защититься. 

Мартин Фаулер в книге «Patterns of Enterprise Application Architecture» описывает «Модель предметной области (Domain Model)» как сложный подход к организации бизнес-логики. Метод заключается в создании классов, соответствующих объектам предметной области из реального мира как с точки зрения структуры данных, так и поведения. При этом технические аспекты, такие как хранение данных, аутентификация и авторизация, управление транзакциями, выносится за пределы слоя бизнес-логики. Паттерн реализуется одним из двух способов:

1. Богатая (насыщенная) модель — данные и поведение инкапсулируются внутри объектов предметной области.
2. Анемичная модель — в объектах предметной области инкапсулируются только данные, поведение (методы) выносится в отдельный слой сервисов.

Фаулер и Эванс считают анемичную модель анти-паттерном. Однако многие кодовые базы, с которыми мне доводилось работать, реализованы именно в стиле «анемичной» модели. Под катом расшифровка и видео моего доклада с DotNext 2019 Moscow, посвященного сравнению сильных и слабых сторон обоих подходов и не очевидным деталям реализации модели предметной области в парадигме ООП и в функциональном стиле.

Совсем недавно статья в Вашингтон Пост пестрила заголовком «Интеллектуальный переворот века». Несколько десятилетий продолжалась спецоперация ЦРУ, касающаяся прослушки/прочтения зашифрованных сообщений союзников и противников. Пришло время упомянуть еще один секретный (уже европейский) альянс Sigint Maximator, история работы которого насчитывает полвека. Разведывательные службы пяти стран — Дания, Швеция, Германия, Нидерланды и Франция — в партнерстве взламывали коды, перехватывали и анализировали данные. Оказалось, что не только американская и немецкая разведка извлекли выгоду из уязвимых криптографических устройств Crypto AG. Внутренний отчет BND за ноябрь 2012 года под названием «Einführung: Die Operation THESAURUS / RUBICON» упоминает эти страны, называя их осведомленными «знатоками» (cognoscenti).

Хочешь знать, как и откуда добывают нефть, и зачем для этого нужны математики, инженеры и программисты? Это первая часть из серии статей, представляющих собой очень быстрое обзорное введение в предметную область для будущих математиков-программистов, которым предстоит решать задачи, связанные с моделированием нефтедобычи и разработкой инженерного ПО в области сопровождения нефтедобычи. Для того, чтобы понять всё, что здесь написано, не требуется каких-то специальных знаний: достаточно только здравого смысла и школьного “арсенала” математики и физики. Зато работа в этой области, в отличие от какого-нибудь документооборота, происходит на стыке математических, естественно-научных и технических дисциплин и полна интересных кросс-дисциплинарных задач.

Только что я впервые в жизни попался на развод с платной мобильной контент подпиской.
Я много раз читал гневные истории о мошеннических сайтах-прокладках, хитро подписывающих пользователей на гороскопы и анекдоты, помнил статью с разоблачением Как Мегафон спалился на мобильных подписках. Меня поразило, насколько быстро и незаметно проходит эта операция даже для такого задрота как я.

Я стоял в магазине и решил проверить, все ли я купил для окрошки. Загуглил «рецепт окрошки» и кликнул по первой попавшейся ссылке. Вместо рецепта открылась страница с единственной кнопкой «продолжить», которую я на автомате нажал. И за доли секунды, пока страница еще не догрузилась, я заметил мелкий серый текст вверху и понял — я лоханулся.

На видео ниже скринкаст с демонстрацией процесса. Видно, что от запроса в гугл до успешной подписки проходят считанные секунды.

И тут у меня возник вопрос:

Существует ли хоть один человек, который использует эти подписки добровольно по назначению?

Моя гипотеза состоит в том, что нет ни одного человека, который по-настоящему пользуется этими подписками. А значит, эта услуга существует с единственной целью — ради мошенничества.
Из этого следует другой вопрос: может ли в правовом государстве существовать услуга, единственным назначением которой является мошенничество?

Под катом я предлагаю разобраться.