How to become an author

User

Profile Publications Comments 21Bookmarks 72

AlexeyNadezhin Jun 28 2018 at 20:14

Почему не стоит покупать светодиодные люстры

2 min

318K

LampTest corporate blogGadgets

Сейчас в магазинах появилось огромное количество люстр с несменными светодиодными источниками света. Отказ от использования стандартных патронов позволяет дизайнерам делать люстры необычных форм, а светодиоды теоретически делают их вечными, но у меня есть пять весомых доводов, почему такие люстры покупать не стоит.

1. Светодиодная люстра это «кот в мешке».

Неизвестно, какое у неё качество света и какие светодиоды там использованы. Вот одна из самых популярных люстр.

Читать дальше →

+112

Mear Oct 21 2010 at 11:13

DKIM — это просто

3 min

374K

Spamming and anti-spamming

Здравствуйте.

Хочу поделиться своим небольшим опытом прикручивания DKIM (DomainKeys Identified Mail) к своему домену и почтовому серверу.

Мы имеем:

Платформа: Windows WebServer 2008;
Сервер DNS: Bind 9.7;
Почтовый сервер: hMailServer 5.3.3.

Задача:

Разобраться в системе подписи сообщений DKIM, что бы gmail признал её валидной и выдал заветные: dkim=pass.

Читать дальше →

+25

Gendalph Apr 21 2015 at 17:30

HowTo: DMARC

6 min

114K

Spamming and anti-spammingDomain names administrating*

Tutorial

Недавно пришлось столкнуться со спамящим php-скриптом. Виновник был найден и уничтожен, дыра закрыта… Оставался вопрос с блэклистами. В частности перестала доходить почта на Gmail (reject).
Решил я настроить почту «как надо» — SPF, DKIM и попробовать настроить DMARC.
Оговорюсь сразу — я даже не пробовал разобраться с макросами и не настраивал aspf/adkim (хоть и написал о них).

Что такое DMARC?

Описан в RFC7489.
DMARC задает политику как проверять приходящую почту в этом домене и что делать если письма не проходят аутентификацию SPF или DKIM. На картинке показано на каком этапе вступает в работу DMARC.
image: DMARC and the Email Authentication Process

image: DMARC and the Email Authentication Process

Читать дальше →

+8

z3apa3a Apr 27 2016 at 14:40

(Почему) Почта Mail.Ru включает строгий DMARC

9 min

94K

Information Security*VK corporate blog

На днях мы анонсировали включение строгой DMARC-политики на всех доменах, принадлежащих Почте Mail.Ru. На некоторых доменах, включая bk.ru и mail.ua, политика p=reject включена уже сейчас. В этой статье мы хотим пояснить некоторые технические детали такого включения и дать рекомендации владельцам сервисов, почтовых серверов и списков рассылки.

Читать дальше →

+53

Li0liQ Sep 1 2011 at 08:27

Область видимости в JavaScript и «поднятие» переменных и объявлений функций

6 min

157K

Translation

Вы знаете, какое значение выведет этот код на JavaScript?

var foo = 1; 
function bar() { 
    if (!foo) { 
        var foo = 10; 
    } 
    alert(foo); 
} 
bar();

Читать дальше →

+109

FanatPHP Jan 8 2013 at 19:51

PHP класс для удобной и безопасной работы с MySQL

9 min

116K

Information Security*PHP*MySQL*

После написания статьи про защиту от инъекций я взялся за написание класса, реализующего изложенные в ней идеи.
А точнее, поскольку ключевой функционал уже использовался в рамках рабочего фремворка, я занялся выделением его в самостоятельный класс. Пользуясь случаем, хочу поблагодарить участников PHPClub-а за помощь в исправлении нескольких критических ошибок и полезные замечания. Ниже я постараюсь описать основные особенности, но сначала небольшой

дисклеймер

Есть несколько способов работы с SQL — можно использовать квери-билдер, можно ORM, можно работать с чистым SQL. Я избрал последний вариант, потому что мне он ближе. Я совсем не считаю первые два плохими. Просто лично мне всегда было тесно в их рамках. Но я ни в коем случае не утверждаю, что мой вариант лучше. Это просто ещё один вариант. Который можно использовать, в том числе, и при написании ORM-а. В любом случае, я считаю, что наличие безопасного способа работать с чистым SQL не может принести какой-либо вред. Но при этом, возможно, поможет последним оставшимся приверженцам использования mysql_* в коде приложения, отказаться, наконец, от этой порочной практики.

В двух словах, класс строится вокруг набора функций-хелперов, позволяющих выполнять большинство операций с БД в одну строку, обеспечивая при этом (в отличие от стандартных API) полную защиту от SQL инъекций, реализованную с помощью расширенного набора плейсхолдеров, защищающих любые типы данных, которые могут попадать запрос.
В основу класса положены три базовых принципа:

100% защита от SQL инъекций
При этом защита очень удобная в применении, делающая код короче, а не длиннее
Универсальность, портабельность и простота освоения

Остановлюсь чуть подробнее на каждом из пунктов.

Читать дальше →

+10

FanatPHP Aug 6 2012 at 09:22

Защита от SQL-инъекций в PHP и MySQL

26 min

252K

Information Security*PHP*MySQL*

Recovery Mode

К своему удивлению, я не нашёл на Хабре исчерпывающей статьи на тему защиты от инъекций. Поэтому решил написать свою.

Несколько пространный дисклеймер, не имеющий прямого отношения к вопросу

Давайте признаем факт: количество статей (и комментариев) на тему защиты от SQL-инъекций, появившихся на Хабре в последнее время, говорит нам о том, что поляна далеко не так хорошо истоптана, как полагают некоторые. Причём повторение одних и тех же ошибок наводит на мысль, что некоторые заблуждения слишком устойчивы, и требуется не просто перечисление стандартных техник, а подробное объяснение — как они работают и в каких случаях должны применяться (а в каких — нет).

Статья получилась довольно длинной — в ней собраны результаты исследований за несколько лет — но самую важную информацию я постараюсь компактно изложить в самом начале, а более подробные рассуждения и иллюстрации, а так же различные курьёзы и любопытные факты привести в конце. Также я постараюсь окончательно развеять множественные заблуждения и суеверия, связанные с темой защиты от инъекций.

Я не буду пытаться изображать полиглота и писать рекомендации для всех БД и языков разом. Достаточное количество опыта у меня есть только в веб-разработке, на связке PHP/MySQL. Поэтому все практические примеры и рекомендации будут даваться для этих технологий. Тем не менее, изложенные ниже теоретические принципы применимы, разумеется, для любых других языков и СУБД.

Сразу отвечу на стандартное замечание про ORM, Active record и прочие query builders: во-первых, все эти прекрасные инструменты рождаются не по мановению волшебной палочки из пены морской, а пишутся программистами, используя всё тот же грешный SQL. Во-вторых, будем реалистами: перечисленные технологии — хорошо, но на практике сырой SQL постоянно встречается нам в работе — будь то legacy code или развесистый JOIN, который транслировать в ORM — себе дороже. Так что не будем прятать голову в песок и делать вид, что проблемы нет.

Хоть я и постарался подробно осветить все нюансы, но, вполне возможно, некоторые из моих выводов могут показаться неочевидными. Я вполне допускаю, что мой контекст и контексты читателей могут различаться. И вещи, которые кажутся мне сами собой разумеющимися, не являются таковыми для некоторых читателей. В этом случае буду рад вопросам и уточнениям, которые помогут мне исправить статью, сделав её более понятной и информативной.

Ещё только начав интересоваться темой защиты от инъекций, я всегда хотел сформулировать набор правил, который был бы одновременно исчерпывающим и компактным. Со временем мне это удалось:

Правила, соблюдение которых гарантирует нас от инъекций

данные подставляем в запрос только через плейсхолдеры
идентификаторы и ключевые слова подставляем только из белого списка, прописанного в нашем коде.

Всего два пункта.
Разумеется, практическая реализация этих правил нуждается в более подробном освещении.
Но у этого списка есть большое достоинство — он точный и исчерпывающий. В отличие от укоренившихся в массовом сознании правил «прогонять пользовательский ввод через mysql_real_escape_string» или «всегда использовать подготовленные выражения», мой набор правил не является катастрофическим заблуждением (как первое) или неполным (как второе).

Но вперёд, читатель — перейдём уже к подробному разбору.

Читать дальше →

+68

XaocCPS Jan 21 2009 at 11:48

MVC Framework: большое введение для начинающих

16 min

80K

Необходимое отступление: не так давно я разместил статью предназначавшуюся для печатного издания. Приведенная ниже статья имеет ту же самую судьбу: она не попала в печать в связи с тяжелым положением журнала. Как и в прошлый раз, я решил опубликовать статью на Хабре, благо тематика попадает под формат. Необходимо заметить, что статья оформлена и содержит текст для журнала, если бы она готовилась для Хабра, то некоторые часть могли бы быть изменены. Надеюсь, статья вам понравится.

В последнее время заметно, что компания Microsoft уделяет повышенное внимание развитию своих средств разработки, новым инструментам и механизмам разработки программ на своей платформе .net. Быстро развивается язык C#, четвертая версия которого не за горами. Представлен и активно продвигается новый язык F#. Для разработчиков баз данных разработан Entity Framework, который уже доступен в виде финальной версии в первом сервиспаке к .Net Framework 3.5 и Visual Studio 2008. Microsoft активно занялась и клиентской частью разработки web-проектов. Для нашего внимания предложен путь развития Ajax.Net 4.0. Internet Explorer 8 все больше соответствует стандартам и становится привлекательным инструментом для web-программистов, так например, его вкладка Developer Tools включает в себя профайлер JavaScript. Очень хорошей новостью стало недавно объявление о полной поддержке и включении JavaScript-библиотеки jQuery в следующее обновление Visual Studio. В этом свете возникает вопрос, что же предложено разработчикам ASP.NET? Ответ — MVC Framework. Целью данной статьи рассмотреть некоторые общие проблемы, с которыми могут столкнуться программисты, решившие использовать MVC Framework для своих web-проектов, и их решения.

Читать дальше →

+53

AlexLeonov Jun 5 2015 at 14:50

Готовимся к собеседованию по PHP: ключевое слово «static»

5 min

184K

PHP*Programming*ООP*

Tutorial

Не секрет, что на собеседованиях любят задавать каверзные вопросы. Не всегда адекватные, не всегда имеющие отношение к реальности, но факт остается фактом — задают. Конечно, вопрос вопросу рознь, и иногда вопрос, на первый взгляд кажущийся вам дурацким, на самом деле направлен на проверку того, насколько хорошо вы знаете язык, на котором пишете.

Попробуем разобрать «по косточкам» один из таких вопросов — что значит слово «static» в PHP и зачем оно применяется?

Подробности, цитаты из мануала, стандартов и личного опыта - под катом

+28

SerDIDG Sep 28 2014 at 21:43

Выравниваем блок по центру страницы

5 min

968K

Tutorial

Очень часто стоит задача выровнять блок по центру страницы / экрана, да ещё и так, чтобы без ява-скрипта, без задания жёстких размеров или отрицательных отступов, ещё чтобы и скроллбары работали у родителя, если блок превышает его размеры. В сети ходят достаточно много однообразных примеров как выровнять блок по центру экрана. Как правило большинство из них основаны на одних принципах.

Читать далее

+33

MalcolmReynolds Nov 6 2015 at 15:18

Let's Encrypt: получение сертификата по шагам

4 min

453K

Cryptography*ASP*

В данной статье будет описан реальный способ получения сертификата от Let's Encrypt в ручном режиме для его дальнейшей установки на веб-сервер Windows (IIS/Microsoft Azure) или Linux (полностью ручной режим). Из-за отсутствия официального клиента под Windows для генерации сертификата будет использоваться дистрибутив Linux.

Данная статья обновляется с создана для тех, кто хочет управлять процессом создания сертификата в полностью ручном режиме. В статье пошаговая инструкция процесса, чтобы вы уже смогли оперативно создать и начать пользоваться своим сертификатом.

Читать дальше →

+30

esetnod32 Dec 2 2015 at 12:47

Adobe прощается с Flash

2 min

42K

Information Security*ESET NOD32 corporate blog

Adobe призвала веб-разработчиков отказываться от использования Flash и переходить на такие современные веб-стандарты как HTML5. В своем посте на официальном блоге компания указала на важность развития HTML5 и отходе от платформы Flash, который успешно может быть заменен новым стандартом. Название Flash также будет заменено в флагманском продукте Flash Professional CC на Animate CC. Он в свою очередь станет основным продуктом для создания содержимого HTML5.

Нужно отметить, что речь не идет о прекращении поддержки проигрывателя Flash Player для популярных веб-браузеров, его компания продолжит поддерживать. Речь идет о Flash как технологии и о том, чтобы стимулировать разработчиков к переходу на современную платформу HTML5, которую теперь будет поддерживать и Adobe. Сам проигрыватель Flash Player известен большим количеством своих уязвимостей, эксплойты для которых постоянно используются атакующими для установки вредоносных программ.

Читать дальше →

+24

d1g1 Dec 2 2015 at 15:59

Cisco IOS shellcode: All-in-one

7 min

17K

Information Security*Digital Security corporate blog

Здравствуйте!

Данный пост является ответом на недавнюю публикацию на ресурсе Хабрахабр от российского представительства компании Cisco.

Автор – тот самый «незрелый» и «начинающий» исследователь из компании Digital Security, упомянутый в статье представителя Cisco.

Странно, представительство столь известной компании позволяет себе использовать в официальном блоге столь низкий слог, а также дает комментарии, основываясь на поверхностных выводах, а не на технических деталях. Давайте посмотрим, что же такого сделал наш исследовательский центр, и с чем не смогли или не захотели разбираться специалисты Cisco.

Читать дальше →

+28

DVLev Nov 29 2015 at 19:14

Можно ли заниматься разработкой на iPad?

7 min

98K

Website development*PHP*Programming*GitHub*

Программирование — процесс творческий и часто желание написать кусок кода или сиюминутно исправить ошибку становится просто невыносимым. Иногда написания кода требуют внешние обстоятельства, как то критичная ошибка в коде, которая валит проект. Для сотрудников, занимающих руководящие позиции в команде, нужна возможность провести code review и поправить проблемные участки кода.

Хорошо когда в пределах досягаемости есть стационарный компьютер или ноутбук на котором развернута привычная среда разработки. Но что делать если вы находитесь за пределами рабочего места? Таскать с собой постоянно ноутбук? Но во первых большой 13-15 дюймовый ноутбук не везде развернешь (например общественный транспорт), а во вторых таскать его постоянно с собой — еще то занятие. Можно конечно купить 11 дюймовый MacBook Air (или его аналог), но все равно он будет не настолько компактен и не так часто используем, чтобы оправдать покупку.

Чтож, обратим свой взор на устройства, которые сейчас практически всегда с нами — это телефон и планшет. Телефон — это конечно вариант экстремальный, хотя сейчас, с появлением 6 — 6,5 дюймовых моделей, грань между телефоном и планшетом стирается. У меня есть опыт успешного восстановления удаленного сервера по ssh с телефона iPhone 4s с 3.5 дюймовым экраном. Но мы все таки говорим о процессе полноценной работы с кодом, поэтому, на мой взгляд, минимальным является планшет с диагональю от 7 дюймов, экран которого вмещает сопоставимое с экраном большого компьютера, информации. Я покажу на примере iPad Mini возможные варианты его использования для решения повседневных задач разработчика.

Если вас заинтересовала тема — читаем дальше (осторожно, большое количество картинок).

Читать дальше →

+30

Smart_Soft Dec 1 2015 at 13:14

Настройка публичного интернет-доступа за пять минут

3 min

69K

Information Security*Smart-Soft corporate blog

Привет, Хабр! Сегодня мы расскажем, как владельцам ресторанов и кафе избежать штрафов за нарушение законодательства, регулирующего организацию публичного интернет-доступа. Напомним, что летом прошлого года появилось постановление правительства России № 758, согласно которому организатор публичного Wi-Fi-доступа должен осуществлять идентификацию пользователей. Привычный анонимный вход в сеть теперь вне закона.

Читать дальше →

+5

Osaul Nov 25 2015 at 16:30

Бесплатные панели управления хостингом. Красивое совершенство

4 min

44K

HostingIT Infrastructure*Server Administration*ua-hosting.company corporate blogSoftware

Tutorial

Не так давно нами была запущена услуга облачных VPS. За счет полного root-доступа к виртуальному серверу и своей небольшой стоимости она стала довольно популярной среди наших клиентов. Кто-то переезжал на облачные VPS с виртуального хостинга, так как клиентам было важно иметь именно доступ суперпользователя, а кто-то хотел использовать своим выделенный IP-адрес и не делить его с недобросовестными соседями.

Даже были такие пользователи, которые съезжали на виртуальные облачные серверы с недорогих «дедиков», так как в условиях жесткой экономии приходилось как-то пытаться сохранить проекты от закрытия и продолжать быть постоянно онлайн.

Если говорить о большинстве наших услуг хостинга, то в стоимость практически всех из них включена лицензия панели управления ISPmanager, чего не скажешь про облачные VPS. Учитывая цену данных виртуальных серверов — это и не удивительно. Но многие наши клиенты хотели и вместе с такой бюджетной услугой иметь возможность использовать удобную панель управления хостингом, но при этом мало кто готов был оплатить лицензию разработки той же компании ISPsystem — ISPmanager, которая довольно популярна в рунете. Здесь их позицию понять можно, и после того как обращения в нашу поддержку по данному вопросу участились — мы решили составить свой обзор бесплатных панелей управления хостингом. Те, кому это интересно — милости просим под хабракат…

Читать дальше →

+23

Dmitry21 Nov 18 2015 at 13:24

Мастер-класс Дмитрия Склярова. DRM: вчера, сегодня и завтра

34 min

16K

Information Security*VK corporate blogPDF

Сегодня мы продолжаем серию публикаций мастер-классов наших образовательных проектов и представляем вашему вниманию пост по мотивам выступлений Дмитрия Склярова, которые он провел в Техносфере и Технотреке. Тема выступления — Digital Rights Management. Видео выступления смотрите на IT.MAIL.RU, а текст — далее.

Идея этого выступления выросла из доклада, который я читал на конференции DEFCON в 2001 г., после чего у меня и у компании, в которой я работал (ElcomSoft), возникли некоторые юридические сложности. Через 1,5 года после данного выступления в США состоялся суд, в результате которого компанию признали невиновной по всем пяти пунктам обвинения, но история была достаточно громкой. Спустя годы я решил сделать новую версию того доклада, добавив информацию о новых тенденциях в сфере Digital Rights Management (DRM).

DRM в сфере аудио и видео

Расскажу, как возникла идея DRM. Все началось с бытового видеомагнитофона системы Betamax, который компания Sony выпустила на рынок в 1975 г. Он стал первым устройством, позволяющим самостоятельно записывать телевизионный эфир для последующего просмотра. А в 1976 г. Sony получила судебный иск от Universal Studios и The Walt Disney Company, в котором говорилось, что использование технологий бытовой видеозаписи нарушает авторские права. То есть я могу записать фильм с телевизора, и после этого, например, продать его или дать посмотреть кому-нибудь, кто никакого отношения к телевидению не имеет, или что-то в этом роде. Значит, компания Sony заранее виновна в том, что создала такое устройство, и подобные устройства надо следует запретить.

Читать дальше →

+12

printercu Nov 6 2015 at 11:03

Рецепты тестирования Ruby и Rails приложений

7 min

22K

Website development*Ruby*VK corporate blogRuby on Rails*Web services testing*

Tutorial

В этом посте я хотел бы рассказать о подходах, приемах и средствах подготовки тестов. Расскажу про то, как не писать лишнего, меньше дублировать код, писать тесты так, чтобы их было легко поддерживать, и как выигрывать в производительности в некоторых ситуациях.

Кому это будет интересно?

Если вы начали писать тесты недавно.
Если вы пишете тесты и считаете, что в них много копипасты, или можно значительно улучшить их.
Если вы пишете тесты изредка или не пишете совсем, так как вам не нравится или считаете, что это долго.
Если вы мастер в написании тестов. Возможно, вы узнаете некоторые тонкости или найдете несколько полезных мелочей.

Читать дальше →

+20

splarv Nov 2 2015 at 12:49

Разноцветные терминалы

4 min

84K

В этой публикации я расскажу о некоторых трюках, которые украсят будни любого системного администратора Linux (и не только). Все они связаны с переменной PS1 оболочки bash. Переменная PS1 определяет, как будет выглядеть приглашение для ввода новых команд. И каждый пользователь может переопределять её как пожелает, например, в файле ~/.bashrc (который выполняется при запуске bash и используется для в том числе для конфигурации).

Для начала рассмотрим простой вариант, мой любимый формат командной строки.

Читать дальше →

+32

kyprizel Oct 29 2015 at 16:54

Как мы искали баг в поисковом Балансере Яндекса, а нашли в Chromium

5 min

33K

Information Security*Яндекс corporate blogBrowsers

Некоторое время назад коллеги стали получать от пользователей жалобы на то, что иногда при использовании Поиска и Яндекс.Браузера они видят ошибку SSL connection error. Расследование того, почему это происходило, на мой взгляд, получилось интересным, поэтому я хочу поделиться им с вами. В процессе разбора ситуации мы несколько раз меняли «подозреваемый» софт, изучили множество дампов, вспомнили устройство машины состояний TLS и в итоге даже разбирались в коде Хромиума. Надеюсь, вам будет интересно это читать не меньше, чем нам было исследовать. Итак.

Через некоторое время у нас были записи логов ошибок и pcap-файлы со схожим содержимым:

Всё выглядит так, будто сервер ответил некорректно и клиент прекратил хендшейк. Проанализировав «корректные» (принятые клиентом) и «некорректные» ответы сервера, мы поняли, что они идентичны.

Читать дальше →

+88

1