Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Исследователь рассказал об уязвимостях в WhatsApp, которые позволяли читать файлы с ПК

Информационная безопасностьМессенджерыFacebook API
image

Гал Вaйцман, исследователь информационной безопасности, описал технические детали уязвимостей высокой степени (CVE-2019-18426) в WhatsApp. Они позволяли злоумышленникам читать файлы с ПК под управлением Windows и macOS и выполнять произвольный код. Сейчас уязвимости устранены разработчиком.

Бреши обнаружились именно в настольных версиях WhatsApp, а также в веб-версии приложения. Они позволяли хакерам удаленно получать доступ к пользовательским файлам и отправлять специально созданное сообщение, похожее на код, просмотр которого позволял осуществить выполнение произвольного кода в контексте веб-домена WhatsApp.
Читать дальше →
Всего голосов 17: ↑13 и ↓4 +9
Просмотры5.5K
Комментарии 3

Микросервисная архитектура в управлении корпоративным контентом: приглашаем на вебинар

Блог компании ГК ЛАНИТECM/СЭДКонференцииМикросервисы
На рынке систем электронного документооборота, который традиционно считается зрелым, не наблюдается стагнации. Этот рынок постоянно меняется: новые игроки подталкивают «старожилов» двигаться быстрее.

60 млн документов в месяц — как управлять таким объемом и соответствовать потребностям бизнеса к изменениям? 23 апреля в 12:00 приглашаем на бесплатную онлайн-конференцию «Микросервисная архитектура в управлении корпоративным контентом». Участники встречи обсудят новые требования, решения и возможности ECM-рынка. Основная задача мероприятия — познакомить с трендами трансформации бизнеса в области корпоративного контента, возможностями и ограничениями гигантов рынка и новыми игроками.

Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры834
Комментарии 0

Первая солнечная станция на расплавленной соли, работающая круглосуточно

Энергия и элементы питания
Как известно, солнечная энергия уже дешевле в производстве, чем ядерная. Но у неё всё равно есть ряд проблем, и одна из них — «прерывистый» характер выработки. Другими словами, ночью солнечная станция не даёт никакой пользы. Но этот дефект тоже можно исправить.

Месяц назад возле Сиракуз (Италия) введена в строй первая в мире станции по концентрации солнечной энергии (concentrated solar power, CSP), которая круглосуточно работает на расплавленной соли.



Здесь вместо фотоэлементов используются параболические зеркала, сфокусированные на трубах с солью, которая способна нагреваться до 550°С. Расплавленная соль поступает в теплохранилище, кипятит воду, а пар крутит турбины.
Читать дальше →
Всего голосов 108: ↑88 и ↓20 +68
Просмотры5.1K
Комментарии 152

Криптографическая головоломка: импорт ключа WebMoney в Crypto Service Provider

Криптография
Приватные ключи в системе Windows, как правило, сохраняются в специальном хранилище ключей. Работа с этими ключами происходит путем вызова функций криптографического провайдера (далее CSP). При использовании стандартного CSP (Microsoft Base Cryptographic Provider) ключи пользователя хранятся в папке C:\Users\[Vasia]\AppData\Roaming\Microsoft\Crypto. При использовании специальных устройств, ключи хранятся в памяти самого устройства.

Для повышения безопасности, было принято решение импортировать ключ WebMoney (тот самый .kwm, которым подписывают запросы к интерфейсам) в CSP. Обычно те, кто использует ключ для подписи запросов к WM-интерфейсам, хранят его либо в виде файла .kwm в файловой системе, либо в виде xml-представления – оба варианта не очень-то безопасны.

Это оказалось не так уж просто.

Детально о проблемах, с которыми вы столкнетесь, при повышении безопасности своего платежного сервиса, читайте под катом.

Читать дальше →
Всего голосов 47: ↑43 и ↓4 +39
Просмотры4.7K
Комментарии 19

Пишем ГОСТ криптопровайдер

Криптография
рис.1
Секреты создания CSP для Windows раскрыты в статье Ю.С.Зырянова.

Российские криптоалгоритмы ГОСТ реализованы в OpenSSL Gost.

Удивлен, что на просторах Интернета не удалось найти подтверждения, что кем-то был создан интерфейс криптопровайдера ГОСТ под Windows с использованием вышеприведенных инструментов.

Можно подумать, что эта задача под силу только крупным коммерческим компаниям, имеющим большой опыт в сфере информационной безопасности, к примеру, таким как:Опровергнуть, хотя бы частично, это утверждение и будет задачей данной статьи.
Читать дальше →
Всего голосов 71: ↑66 и ↓5 +61
Просмотры36.1K
Комментарии 41

Интересные решения для электронной подписи в браузере

Информационная безопасность
В одном из комментов к этому топику, отечественный потребитель ЭЦП написал:
У меня есть мечта… В самом деле — у меня есть мечта, что когда-нибудь в будущем я смогу обойтись без связки «windows + IE» для клиент-банков и прочего софта, который использует крипто-про. СБИС++, например. Блин, я надеюсь, что это когда-нибудь будет.



Конкретная такая мечта. И сейчас имеются все предпосылки для ее исполнения.

В топике я немного остановлюсь на решениях Крипто-Про, которые позволяют сделать квалифицированную ЭЦП в браузере действительно удобной.

А так же опишу одно оригинальное решение от фирмы Криптоком (www.cryptocom.ru), которое позволяет подписывать документы через интернет квалифицированной ЭЦП с помощью практически любого компьютера/браузера без предварительной настройки и без прав сисадмина (для варианта «срочно нужно провести сделку из интернет-кафе турецкого отеля»).

Читать дальше →
Всего голосов 32: ↑26 и ↓6 +20
Просмотры29.4K
Комментарии 98

Введение в теорию взаимодействующих последовательных процессов (Communicating Sequential Processes — CSP)

Облачные вычисления
Из песочницы

Предисловие


Данный текст является переводом и сокращённым пересказом начальных глав книги Чарльза Э. Хоара. Целью является ознакомление русскоязычной аудитории с данной алгеброй исчисления процессов, коя нашла достаточно широкое применение в современной вычислительной науке в связи с большим распространением параллельных систем. Наиболее близкими и понятными практическими применениями CSP, думаю, будут являться следующие языки программирования:

CSP является формальным математическим языком, позволяющим описывать взаимодействие параллельных систем, основным его применением является формальная спецификация параллельной работы систем, например таких как Транспьютер, кроме того он применяется при разработке высоконадёжных площадок электронной торговли.
В данной статье будут рассказаны основы данной алгебры, без которой невозможно её дальнейшее изучение, в основном это базовое описание процесса, что покрывает первую половину первой главы книги.
Читать дальше →
Всего голосов 31: ↑31 и ↓0 +31
Просмотры11.8K
Комментарии 9

Введение в теорию взаимодействующих последовательных процессов (CSP), часть 2

Облачные вычисления
Продолжаем цикл статей посвящённый алгебре исчисления процессов. Данный текст является переводом и сокращённым пересказом начальных глав книги Чарльза Э. Хоара. Теория применяется для формального описания работы параллельных систем. Примерам её практических применений являются такие языки программирования как Erlang, Go и Limbo.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры3.7K
Комментарии 3

Локализация в СУБД Caché

Блог компании InterSystemsРазработка веб-сайтов
Предположим, вы написали программу, выводящую «Hello, World!», например:
  write "Hello, World!"

Приложение работает, всё хорошо.
Но проходит время, ваше приложение развивается, становится популярным и вот, вам нужно эту строку вывести уже на другом языке, причём количество и состав требуемых языков заранее неизвестен.
Под катом вы узнаете, как задача локализации решается в Caché.

Поехали!
Всего голосов 9: ↑5 и ↓4 +1
Просмотры5K
Комментарии 5

Переводим Chrome extension на manifest_version 2

Google Chrome
Владельцам расширений (а также приложений) для Хрома уже пора бы задуматься над поддержкой второй версии манифеста.
Если кто не в курсе, то не так давно были объявлены новые изменения и нововведения в разработку расширений для браузера.
Далее будет выборочный перевод двух страниц и мой способ использования шаблонизатора изнутри песочницы.
Читать дальше →
Всего голосов 17: ↑14 и ↓3 +11
Просмотры20.4K
Комментарии 5

Реализация фоновой загрузки файлов на сервер Caché

Блог компании InterSystemsРазработка веб-сайтовJavaScript
Tutorial
У разработчиков веб-приложений на Caché и Ensemble часто возникает задача «file upload» — загрузки файлов с браузера. Недавно на форуме по Caché на SQL.ru снова возникло несколько вопросов о том, как сделать фоновую загрузку файлов. Решил описать как это можно сделать с использованием технологий CSP и ZEN.
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры4.9K
Комментарии 1

Использование MS CRYPTO API в Caché

Блог компании InterSystemsКриптография
Говоря о базах данных, как об источниках знаний, мы всегда подразумеваем, что это не только большой склад разнообразной упорядоченной (или не очень) информации, но и место ее безопасного хранения. Под безопасностью, как правило, понимается защита цифровых данных от несанкционированного доступа при передаче через каналы связи, но не стоит забывать и о физической защите носителей данных. Тем не менее, я не буду рассуждать, какие бронированные двери лучше ставить в вашу серверную и сколько охранников должно дежурить на проходной, а расскажу о криптографии.
Читать дальше →
Всего голосов 14: ↑10 и ↓4 +6
Просмотры3.5K
Комментарии 0

Как мы сделали чтение писем безопаснее: Content Security Policy в Яндекс.Почте

Блог компании ЯндексИнформационная безопасностьРазработка веб-сайтов
Одним из приоритетов для команды Яндекс.Почты всегда была и есть безопасность данных пользователя. Причем это касается не только хранения писем, но и безопасного доступа к ним. Еще в 2011 году мы стали пропускать все изображения в письмах через наши прокси-сервера, перекрыв один из каналов распространения вредоносного кода, а также кешировать их для экономии трафика и обеспечения большей приватности. В ноябре этого года мы внедрили шифрование при приеме и отправке почты, а также и перевели почту в режим HTTPS-only — теперь веб-интерфейс доступен только по безопасному протоколу.

А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.

Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.

image
Читать дальше →
Всего голосов 79: ↑69 и ↓10 +59
Просмотры47.2K
Комментарии 26

Content Security Policy, для зла

Информационная безопасностьРазработка веб-сайтов
Есть такой специальный хедер для безопасности вебсайтов CSP.

CSP ограничивает загрузку каких либо ресурсов если они не были пре-одобрены в хедере, то есть отличная защита от XSS. Атакующий не сможет загрузить сторонний скрипт, inline-скрипты тоже отключены…

На уровне браузера вы можете разрешить только конкретные урлы для загрузки а другие будут запрещены. Помимо пользы этот механизм может принести и вред — ведь факт блокировки и есть детекция! Осталось только придумать как ее применить.
Читать дальше →
Всего голосов 42: ↑35 и ↓7 +28
Просмотры13K
Комментарии 20

Релиз Firefox 33

FirefoxБраузеры
Для загрузки стал доступен Firefox для десктопов. Основные нововведения: (и снова) оптимизация потребления памяти, Off Main Thread для Windows, интеграция OpenH264, различные улучшения в работе поиска в адресной строке, повышение стабильности восстановления сессий и т.д. Список всех изменений в Firefox 33 под катом.
Читать дальше →
Всего голосов 52: ↑48 и ↓4 +44
Просмотры43.1K
Комментарии 79

Эмуляция CORS на стороне клиента: кроссбраузерное решение некоторых пользовательских задач без расширений

FirefoxJavaScriptInternet ExplorerGoogle ChromeБраузеры
Tutorial

I. В чём проблема



Расширения для браузеров — мощный инструмент продвинутого веб-сёрфинга, самая доступная, развитая и распространённая часть целого ряда инструментов. Однако расширения имеют и слабые стороны: каждый браузер требует знания и применения своих правил и форматов, а это дополнительная сложность для создателя. Расширения не кроссбраузерны, что сразу ограничивает их адресат. Есть попытки обобщить создание расширений, но они могут добавлять уже свою дополнительную прослойку форматов и правил.

Когда расширение улучшает специфические стороны браузерного интерфейса, без него не обойтись. Но некоторые задачи универсальны, не связаны с частными средствами браузера и, тем не менее, без расширения их тоже не выполнить. Одна из таких задач — кроссдоменные XMLHttpRequest запросы, нарушающие политику одного источника.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры20.3K
Комментарии 5

Безопасность веб-ресурсов банков России

Блог компании Digital SecurityИнформационная безопасность
image

В нашей компании мы постоянно проводим различные исследования (список), выбирая интересную для нас тему и как итог — представляя общественности pdf с результатами.

Данная статья статья как раз из разряда таких исследований. Проводя работы по анализу защищенности мы приводим обычно очень схожие (общие для всех) советы, которым мало следует, некоторые best practices, которые или просто повышают общий уровень защищенности системы (например — применение CSP), или действительно позволяют предотвратить атаку.

Введение


Как известно, уровень безопасности системы определяется надежностью её самого слабого узла. На практике, после проведения анализа защищенности, основываясь на перечне найденных уязвимостей, выбирается одна брешь или целая цепочка и определяется наиболее проблемное звено. Сразу можно сказать, что зачастую правильно настроенная система может нивелировать риски существующей уязвимости. В ходе исследования мы выяснили, какие потенциальные векторы атак могут быть доступны злоумышленникам. Например, легко ли похитить сессионные данные пользователя при наличии уязвимости межсайтового скриптинга. Также нам было интересно посмотреть, насколько просто реализовать фишинговую атаку на пользователей банка. Пройдясь по этим пунктам и условно проставив “галочки”, злоумышленник может выстроить векторы дальнейших атак на банк и его пользователей.
Читать дальше →
Всего голосов 24: ↑19 и ↓5 +14
Просмотры21.1K
Комментарии 7

Многопоточность в C++ и SObjectizer с CSP-шными каналами, но совсем без акторов…

Open sourceПрограммированиеC++

Раньше мы рассказывали про SObjectizer как про акторный фреймворк для C++, хотя в действительности это не совсем так. Например, уже давно в SObjectizer есть такая классная штука, как mchain-ы (они же каналы из модели CSP). Mchain-ы позволяют легко и непринужденно организовать обмен данными между рабочими потоками. Не создавая агентов, которые нужны далеко не всегда. Как раз на днях довелось в очередной раз этой фичей воспользоваться и упростить себе жизнь за счет передачи данных между потоками посредством каналов (т.е. SObjectizer-овских mchain-ов). Так что не только в Go можно получать удовольствие от использования CSP. В C++ это так же возможно. Кому интересно, что и как, прошу под кат.

Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Просмотры4.1K
Комментарии 4

Задачи планирования и программирование в ограничениях

Блог компании NexignПрограммированиеАлгоритмыМатематика
Tutorial
Когда у тебя в запасе много популярных инструментов вроде JAVA, Python, Ruby, PHP, C#, C++ и других, чувствуешь себя почти всемогущим. Стандартный подход в разработке рулит. Но только до тех пор, пока не столкнешься с определенным типом задач.

 
Подумайте, как правильно написать программу, которая оптимально…

• решит головоломку типа судоку или задачу о восьми ферзях;
• распределит задачи между определенным набором ресурсов;
• рассчитает расписание занятий;
• определит эффективный маршрут движения транспорта;
• составит график дежурств и т.п.
 
Если программирование в ограничениях и решение сложных комбинаторных задач планирования не самая сильная ваша сторона, то эта статья как раз для вас.

image
Читать дальше →
Всего голосов 19: ↑19 и ↓0 +19
Просмотры17.9K
Комментарии 5

Обмен информацией между рабочими нитям без боли? CSP-шные каналы нам в помощь

Open sourceПрограммированиеC++
Разработка многопоточного кода — это сложное занятие. Действительно сложное. К счастью для упрощения жизни разработчиков давным-давно придуманы высокоуровневые абстракции, например, task-based parallelism, map-reduce/fork-join, CSP, actors и т.д.

Но когда попадаешь на профильные форумы, где общаются C++ники, то складывается ощущение, что многие просто не в курсе наличия чего-то более простого и удобного, чем std::thread в купе с std::mutex+std::condition_variable. Регулярно встречаются вопросы из категории: «Мне нужно запустить несколько рабочих потоков, в одном делается то-то, во втором то-то, а в третьем то-то. Я их запускаю вот так, а информацией между потоками обмениваюсь вот так. Правильно ли я делаю?»

Очевидно, что такие вопросы задают новички. Но, во-первых, количество неопытной молодежи в разработке софта всегда было велико, и с ростом привлекательности отрасли ИТ это количество только увеличивается. При этом печально, что новички знают про std::thread и std::mutex, но не знают про готовые инструменты, которые могли бы упростить им жизнь (вроде Intel TBB, HPX, QP/C++, Boost.Fiber, FastFlow, CAF, SObjectizer и т.д.).

И, во-вторых, среди ответов на такие вопросы довольно редко встречаются советы «возьмите вот этот готовый инструмент, ваша задача с его помощью решается всего в несколько строчек». Гораздо чаще люди обсуждают низкоуровневые детали самодельных реализаций thread-safe очередей сообщений.

Все это наводит на мысль о том, что имеет смысл на простых примерах показывать, как конкретный фреймворк может помочь в решении даже небольших и, казалось бы, несложных задач, связанных с многопоточностью. Поскольку мы развиваем SObjectizer как раз как инструмент для упрощения разработки многопоточных приложений на C++, то сегодня попробуем показать, как реализованные в SObjectizer-е CSP-шные каналы способны избавить разработчика от части головной боли при написании многопоточного кода.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры4.6K
Комментарии 26
1