Статьи / Закладки / Профиль dady_KK / Хабр

Как стать автором

Константин Абаев @dady_KK

ПМ

Профиль Публикации Комментарии 71Закладки 44

editor_ruvds 3 апр 2020 в 12:07

Ловушки для хакера. Обнаруживаем взлом на раннем этапе с помощью Canarytokens

7 мин

32K

Информационная безопасность*Блог компании RUVDS.comЛайфхаки для гиков

Honey Tokens (англ. — «медовые приметы/признаки/идентификаторы») одна из разновидностей идеи Honeypot, приманки для злоумышленников, позволяющей обнаружить факт взлома или опознать его источник. Когда атакующий уже проник в систему, он, скорее всего, выполнит действия, несвойственные обычному пользователю. Это можно использовать как способ обнаружения взлома. В статье мы рассмотрим, как легко сделать собственные триггеры для обнаружения взлома на раннем этапе. Такие ловушки полезно использовать системному администратору и даже обычному пользователю, переживающему о приватности своих данных.

До изобретения газоанализаторов шахтеры брали c собой в шахту канарейку. Из-за маленького организма и быстрого обмена веществ, птицы намного раньше реагировали на опасные газы в воздухе и предупреждали шахтеров.

Читать дальше →

+68

Porfel 17 янв 2020 в 13:06

[Nginx] Как победить response_status = 0

2 мин

7.2K

Системное администрирование*Nginx*

Туториал

Технотекст 2020

Статья из разряда «заметки на полях».

TL:DR:

http2_max_field_size 8k; # всех спасет!

На одном из проектов, после изменения некоторой внутренней логики бекенда, начал наблюдать странный response_code в логах, а именно — 0. В логах выглядит примерно так:

{
  "timestamp": "2020-01-17T08:41:51+00:00",
  "remote_addr": "zzz.zzz.zzz.zzz",
  "request_time": 0,
  "upstream_response_time": "",
  "upstream_header_time": "",
  "http_accept_language": "-language",
  "response_status": 0,
  "request": "",
  "host": "example.com",
  "upstream_addr": "",
  "http_referrer": "",
  "request_length": 5854,
  "bytes_sent": 0,
  "http_user_agent": ""
}

Читать дальше →

+25

Den-V 7 янв 2020 в 20:23

Модальные окна, которые мы заслужили

3 мин

33K

Веб-разработка*CSS*JavaScript*HTML*

Из песочницы

Начнем

В разных критериях и манифестах качества есть такой пункт, как блокировка скролла страницы, когда открыто модальное окно. Модальное окно подразумевает под собой взаимодействие только с ним.

Многие зададут вопрос: «Почему не использовать готовые решения?». Проблема в том, что этот функционал либо вообще не реализован, либо сделан очень плохо. Можно использовать самое простое и плохое решение:

Читать дальше →

+16

xl-tech 11 дек 2019 в 21:08

Как оценить уровень владения английским языком

4 мин

124K

Учебный процесс в ITИзучение языков

На Хабре много статей о том, как самостоятельно изучать английский язык. Но вот вопрос, а как оценить свой уровень при самостоятельном изучении? Понятно, что есть IELTS и TOEFL, но эти тесты почти никто не сдает без дополнительной подготовки и эти тесты, как говорят, оценивают не сколько уровень владения языком, а скорее умение проходить эти самые тесты. Да и использовать их для контроля самообучения будет накладно.

В этой статье я собрал различные тесты, которые проходил сам. При этом я сверяю свою субъективную оценку владения языком с результатами тестов. А также сравниваю результаты между разными тестами.

Читать дальше →

+91

transpond 9 дек 2019 в 16:54

Опенсорс-хелпдеск как альтернатива Zendesk и Help Scout. Архитектура, дизайн и юзабилити

6 мин

13K

Веб-дизайн*Интерфейсы*Usability*Help Desk Software*Laravel*

Перевод

Это перевод ряда статей из блога одного опенсорсного хелпдеска (и общего почтового ящика) на Laravel. История данного проекта — хороший пример того, как опенсорс-сообщество может не просто повторить, но и местами улучшить дизайн и функционал уже готового распиаренного коммерческого продукта, а также стимулировать его развитие и изменение к лучшему.

Читать дальше →

+8

M0Peterson 7 дек 2019 в 14:22

Сравнение производительности инструментов обхода блокировок\VPN

8 мин

53K

Информационная безопасность*Сетевые технологии*

Из песочницы

По мере того, как нам все активнее закрывают доступ к различным ресурсам в сети, все актуальнее становится вопрос обхода блокировок, а значит все актуальнее становится вопрос «А как же быстрее обходить блокировки?».

Оставим тему эффективности, с точки зрения обхода DPI\вайтлистов\блеклистов для другого случая, и просто сравним производительность популярных инструментов обхода блокировок.

Внимание: В статье под спойлерами будет много картинок.

Читать дальше →

+34

DanilNN 6 дек 2019 в 21:25

Накрутка показов на поиске Я. Директ: почему вы платите за клик в 1,5 раза больше

4 мин

21K

Веб-аналитика*Интернет-маркетинг*Контекстная реклама*

В последний квартал я столкнулся с тем, что у всех моих клиентов по контекстной рекламе, работающих в высококонкурентных нишах, резко упал CTR (кликабельность объявлений) на поиске.

При дроблении на ключевые слова, устройства и группы объявлений причину выявить не удалось. Однако при разбитии кампаний на поиске на пол и возраст, выявилась заметная аномалия: группы людей с неопределенными демографическими характеристиками имеют до 87% показов с почти нулевым CTR.

Рисунок 1. Отчет в Яндекс Директ по поисковой компании с характеристикой дробления пол и возраст

Как узнать, есть ли у вас накрутка показов?

Необходимо построить отчет по интересующим нас рекламным кампаниям в Я. Директ:

Как построить отчет показывающий накрутку показов

Рисунок 2. Выбираем интересующие нас кампании на поиске

Далее в поле “Показать статистику” нажимаем “Выполнить”:

Рисунок 3. Выполняем отчет в Я. Директ

Переходим в “Мастер отчетов”:

Рисунок 4. Переход в “мастер отчетов” Директ

Настраиваем интересующий нас отчет в “Мастере отчетов”:

Рисунок 5. Отчет по показам рекламы по половозрастным характеристикам

Первый признак накрутки показов в поисковых рекламных — это падение CTR (кликабельности).

«CTR (кликабельность, от англ. Click-Through Rate) — это отношение числа кликов на объявление к числу его показов, измеряется в процентах. Можно сказать, что этот показатель определяет эффективность работы объявления»

– глоссарий Я. Директа.

Читать дальше →

+18

hisbvdis 14 ноя 2019 в 13:10

Медиавыражения в CSS — это не только max-width

6 мин

34K

Веб-разработка*CSS*Accessibility*

Перевод

Недавно мы опубликовали новый веб-сайт нашей компании Mabiloft с полностью переработанным чистым дизайном и множеством новых великолепных иллюстраций и анимаций.

После того, как наш дизайнер проделал потрясающую работу, продумав и нарисовав сайт, нам, разработчикам, было необходимо реализовать макет, сохранив его чистым и цельным для каждого устройства, от большого 2K экрана, на которых мы пишем код, до старого iPhone 4 с его 3.5-дюймовым дисплеем.

Несколько недель спустя веб-сайт был почти готов и я просматривал его, чтобы убедиться, что всё работает как нужно. Заметив, что макет главной страницы неправильно отображался на нашем iPad, я быстро изменил некоторые CSS-правила и исправил ошибку, но… это привело к проблемам отображения макета на всех всех ноутбуках с небольшим экраном

Читать дальше →

+15

kingjin 12 ноя 2019 в 14:28

CSS-переход свойства height от 0px до auto

2 мин

31K

CSS*JavaScript*

Из песочницы

Здравствуй, Хабр!

Хочу поделиться ещё одним способом создания css-перехода (transition) свойства height от 0px до auto.

Столкнулся с данной проблемой при разработке веб-компонентов TreeView и DataGrid. В TreeView решил сделать плавное развёртывание/свёртывание узлов, а в DataGrid — строки с дополнительным контентом. Почитав интернет, нашёл несколько способов реализации, основные — через свойство max-height и на javascript. Реализация на javascript была исключена — есть же css с поддержкой переходов и анимаций. Остался max-height, тем более в примерах с выпадающими меню всё работает.

Читать дальше →

+8

fomvasss 10 ноя 2019 в 00:51

Замена EAV на JSONB в PostgreSQL

6 мин

21K

PostgreSQL*SQL*Хранение данных*

Перевод

TL; DR: JSONB может значительно упростить разработку схемы БД без ущерба производительности в запросах.

Введение

Приведем классический пример, наверное, одного из старейших вариантов использования в мире реляционных БД (база данных): у нас есть сущность, и необходимо сохранить определенные свойства (атрибуты) этой сущности. Но не все экземпляры могут имеют одинаковый набор свойств, к тому же в будущем, возможное добавление ещё свойств.

Самый простой путь решения этой проблемы – это создание столбца в таблице БД для каждого значение свойства, и просто заполнять те, которые нужны для определенного экземпляра сущности. Отлично! Проблема решена… до того момента, пока ваша таблица не содержит миллионы записей и у вас не возникнет необходимость добавить новую запись.

Рассмотрим паттерн EAV (Entity-Attribute-Value), он встречается достаточно часто. Одна таблица содержит сущности (записи), другая таблица содержит имена свойств (атрибутов), а третья таблица связывает сущности с их атрибутами и содержит значение этих атрибутов для текущей сущности. Это дает вам возможность иметь разные наборы свойств для разных объектов, а также добавлять свойства “на лету”, не изменяя структуры БД.

Читать дальше →

+31

Audioman 15 окт 2019 в 13:00

Где брать аудио для разработки игр и других коммерческих проектов? Библиотеки со звуками природы

4 мин

11K

Разработка мобильных приложений*Разработка игр*Блог компании АудиоманияДизайн игр*Звук

Существует множество сервисов и приложений для релаксации, в которых можно послушать звуки природы. Но что если вы хотите использовать такие аудиозаписи в рамках собственного проекта?

В подборке расскажем о пяти библиотеках, откуда можно скачать реальные звуки природы и использовать их в коммерческих целях.

Читать дальше →

+15

zhovner 4 окт 2019 в 14:14

Двойной VPN в один клик. Как легко разделить IP-адрес точки входа и выхода

13 мин

110K

Сетевые технологии*Серверное администрирование*Блог компании VDSina.ru

TL;DR В статье описывается самый простой способ настроить VPN-сервер, у которого IP-адрес для подключения VPN-клиентов отличается от IP-адреса, с которого клиенты выходят в интернет.

Используете VPN для защиты приватности в интернете и арендуете для этого свой личный сервер? При этом вы единственный клиент, который подключается к этому серверу во всем мире? Так ли сложно найти ваш реальный IP-адрес, как вам кажется? С вступлением в силу пакета Яровой, это становится намного проще.

Double VPN — популярная тема, вокруг которой много спекуляций. Часто этим термином называют совершенно разные технологии, но почти всегда это означает разнесенные на уровне IP-адресов точки подключения и выхода в интернет. Мы рассмотрим самый простой способ настройки VPN-сервера в таком режиме, который не требует дополнительной настройки на серверной стороне и позволяет получить максимальную скорость и самые низкие задержки.

Читать дальше →

+33

tolkopro 30 сен 2019 в 16:06

Домофон — ухо шпиона?

4 мин

41K

Информационная безопасность*Схемотехника*Умный дом

Из песочницы

Еще во времена аналоговых телефонных дисковых аппаратов ходили слухи о прослушивания линии, даже о возможности слушать обстановку без поднятия трубки и разговора по ней. С появлением кнопочных телефонов проблема вроде бы ушла, к тому же в связи с принципами коммутации сигналов на витой паре это было проблематично.

В статье описана версия, — что если, сегодня эта возможность перекочевала в домофонные сети, более того, используется для негласного вмешательства в частную жизнь?

В эпоху цифровых технологий ничто не должно казаться заоблачным.
Возможно, в своем доме тоже следует тщательно выбирать слова и темы для житейских разговоров, какими безобидными они бы не были, если не сегодня, то в ближайшем будущем.

Сегодня почти в каждой квартире установлен домофон, в частности, УКП — абонентское устройство (устройство квартирное переговорное), выполненное в виде телефонной трубки, именуемой в простонародье — аудиотрубка.

Сперва немного теории о видах домофона

По принципу функционирования домофоны бывают аналоговые и цифровые.
По назначению делятся на индивидуальные и многоабонентские (многоквартирные), которые, как правило, устанавливают в подъездах многоквартирных домов, обеспечивая связь между посетителями и владельцами квартир.

Многоквартирный домофон работает по схеме мини АТС (аналоговой или цифровой).

Аналоговые (координатная система адресации) работают по принципу обычной телефонной связи с помощью аналогового коммутатора (мини АТС) и специального многожильного шлейфа, соединяющего коммутатор с квартирами, они более распространены и менее затратны.

Читать дальше →

+45

simpleadmin 2 сен 2019 в 20:07

Когда 'a' не равно 'а'. По следам одного взлома

6 мин

112K

Настройка Linux*Информационная безопасность*Системное администрирование*Nginx**nix*

Пренеприятнейшая история случилась с одним моим знакомым. Но насколько она оказалась неприятной для Михаила, настолько же занимательной для меня.

Надо сказать, что приятель мой вполне себе UNIX-пользователь: может сам поставить систему, установить mysql, php и сделать простейшие настройки nginx.
И есть у него десяток-полтора сайтов посвященных строительным инструментам.

Один из таких сайтов, посвященный бензопилам, плотненько сидит в ТОПe поисковиков. Сайт этот — некоммерческий обзорник, но кому-то поперек горла и повадились его атаковать. То DDoS, то брутфорс, то комменты напишут непотребные и шлют абузы на хостинг и в РКН.
Неожиданно всё стихло и это затишье оказалось не к добру, а сайт начал постепенно покидать верхние строчки выдачи.

То была присказка, дальше сама админская байка.

Время близилось ко сну когда раздался звонок телефона: «Сань, ты не глянешь мой сервер? Мне кажется меня хакнули, доказать не могу, но ощущение не покидает уже третью неделю. Может мне просто пора лечиться от паранойи?»

Читать дальше →

+387

jcsb 16 авг 2019 в 13:32

.container больше не нужен

7 мин

131K

Веб-разработка*CSS*HTML*

Из песочницы

Все верстальщики в своих проектах используют div.container для центрирования контента и этот способ имеет некоторые особенности, от которых можно избавиться. Прочитав эту статью, Вы узнаете про способ, который позволит полностью отказаться от контейнера. Я попытаюсь рассказать о плюсах и минусах использования контейнера и альтернативного способа центрирования контента средствами только лишь css.

Читать дальше →

+22

lol_wat 19 авг 2019 в 13:25

Как решить проблемы сайтов-агрегаторов с помощью резидентных прокси

3 мин

3.1K

Информационная безопасность*Сетевые технологии*Блог компании INFATICA.io

Изображение: Pexels

Для сайтов-агрегаторов в сфере электронной коммерции крайне важно поддерживать актуальную информацию. В противном случае исчезает главное их преимущество – возможность видеть самые релевантные данные в одном месте.

Для того, чтобы решить эту задачу необходимо использовать технику веб-скрейпинга. Ее смысл в том, что создается специальный софт – краулер, который обходит нужные сайты из списка, парсит информацию с них и загружает ее на сайт-агрегатор.

Проблема в том, что зачастую владельцы сайтов, с которых берут данные агрегаторы, вовсе не хотят так легко предоставлять им доступ. Это можно понять – если информация о цене в интернет-магазине попадет на сайт агрегатор и окажется выше, чем у конкурентов, представленных там же – бизнес потеряет покупателей.

Читать дальше →

+5

pentestit-team 16 июл 2019 в 13:37

Новый билд Nemesida WAF Free для NGINX

3 мин

5.6K

Информационная безопасность*Nginx**nix*Блог компании PentestitТестирование веб-сервисов*

В прошлом году мы выпустили Nemesida WAF Free — динамический модуль для NGINX, блокирующий атаки на веб-приложения. В отличие от коммерческой версии, основанной на работе машинного обучения, бесплатная версия анализирует запросы только сигнатурным методом.

Особенности релиза Nemesida WAF 4.0.129

До текущего релиза динамический модуль Nemesida WAF поддерживал только Nginx Stable 1.12, 1.14 и 1.16. В новом релизе добавлена поддержка Nginx Mainline, начиная с 1.17, и Nginx Plus, начиная с 1.15.10 (R18).

Зачем делать еще один WAF?

Читать дальше →

+11

ksg222 23 мар 2016 в 11:02

Что поставить на периметр сети: Cisco маршрутизатор или Cisco ASA?

12 мин

71K

Cisco*Блог компании CBS

Всем привет! Периодически при проектировании компьютерных сетей на базе оборудования Cisco возникает вопрос, что поставить на периметр сети: маршрутизатор или межсетевой экран Adaptive Security Appliance (ASA)? Далеко не всегда можно однозначно ответить на данный вопрос. Хотел бы в очередной раз сделать попытку и провести небольшое сравнение этих двух устройств. Вы заметите, что уже много раз это обсуждалось. Согласен. Но устройства постоянно развиваются: появляются новые модели, добавляется функционал. Поэтому иногда стоит отойти подальше и ещё раз посмотреть со стороны на данный вопрос. Вдруг что-то поменялось?

Читать дальше →

+7

m1rko 6 июл 2017 в 23:32

Защищаем сайт с помощью ZIP-бомб

3 мин

88K

Информационная безопасность*Веб-разработка*

Перевод

Старые методы по-прежнему работают

[Обновление] Теперь я в каком-то списке спецслужб, потому что написал статью про некий вид «бомбы», так?

Если вы когда-нибудь хостили веб-сайт или администрировали сервер, то наверняка хорошо знаете о плохих людях, которые пытаются сделать разные плохие вещи с вашей собственностью.

Когда я в возрасте 13 лет впервые захостил свою маленькую Linux-коробочку с доступом по SSH, я смотрел логи и каждый день видел IP-адреса (в основном, из Китая и России), которые пытались подключиться к моей сладенькой маленькой коробочке (которая на самом деле была старым ноутом ThinkPad T21 со сломанным дисплеем, жужжавшим под кроватью). Я сообщал эти IP их провайдерам.

На самом деле если у вас Linux-сервер с открытым SSH, то можете сами посмотреть, сколько попыток подключений происходит ежедневно:

grep 'authentication failures' /var/log/auth.log

Читать дальше →

+153

sdubovik 4 июл 2019 в 18:12

Индекс борща. Системный подход в оценке, сравнении, определении отношения цена/качество

4 мин

7.3K

Научно-популярное

Из песочницы

Основной целью индекса борща BI (borsch index) является формирование непредвзятой, комплексной системы оценки и сравнения борща в разных местах и заведениях.
Кроме этого, представленная ниже методика – универсальный способ провести комплексную оценку не только борща, но и любого другого товара, оборудования, продукта, работы и услуги, а представленная в конце методология «справедливой цены» даст ещё один инструмент проверки назначаемых вами цен на свой товар или услугу.

Индекс BI включает интегральную оценку борща, которая выражается в баллах, а также стоимость борща.

Этап первый. Интегральная оценка

Для определения индекса борща BI на первом этапе необходимо провести интегральную оценку борща.

Интегральная оценка IA (integral assessment) служит для комплексной оценки вкусовых и визуальных качеств борща.

Результатом интегральной оценки будет присвоение борщу определенного количества баллов (возможный максимум 500 баллов). Чем большее число баллов набирает борщ, тем он по совокупности параметров лучше.

1. Выбираем параметры оценки борща

Мной определены 5 параметров, с помощью которых будет проводиться оценка борща:

Вкус и запах борща без сметаны;
Внешний вид, консистенция;
Вкус и запах борща со сметаной;
Подача;
Субъективное дополнение.

Данные параметры включают в себя следующие характеристики:

Читать дальше →

+7

1