Безпека в інтернеті, або TrustedTypes як новий спосіб захисту від XSS

У цій статті я спробую вас переконати, що небезпека XSS, незважаючи на всі сучасні фреймворки, як і раніше існує. Також ми розглянемо основні способи захисту. Основну увагу приділимо нового революційного підходу — DOM TrustedTypes, який, незважаючи на те що ще знаходиться в розробці, обіцяє підняти безпеку браузерів на новий рівень. Безпека в інтернеті У далекому 2008 році я закінчив університет магістром в області інформаційної безпеки. На жаль, нічого цікавого за фахом на той момент не знайшлося, і я пішов працювати в світ веб-розробки. Маючи серйозну теоретичну базу, я завжди уявляв захист інформації на рівні криптографічних алгоритмів, технічних пристроїв і процесів. Але коли я заглибився в веб-розробку, зрозумів, що світ інтернету розвивається дуже швидко, а от культура безпеки серйозно відстає. Це було у всьому. Ніхто не приділяв уваги аналізу вразливостей. Цим грішили навіть великі компанії. Діри безпеки можна було знайти в порталах з мільйонами активних користувачів.

Опубліковано: 06/12/19 @ 11:00
Розділ Безпека Читати далі...

Поради сеньйорів: як прокачати знання junior security specialist

Поради сеньйорів — постійна рубрика, в якій досвідчені фахівці діляться практичними порадами з джуниорами — загальні лайфхаки по навчанню, які книги та ресурси читати, які навички освоювати і багато іншого. У цьому випуску говоримо про Information Security і кібербезпеки. Вадим Чакрян , Lead of Information Security Team в DataArt 10+ років в області InfoSec В першу чергу необхідно визначитися, в який бік цікаво розвиватися як мінімум в найближчому майбутньому. Сфера інформаційної безпеки схожа на медицину в плані великої кількості напрямків, кожне з яких вимагає своїх знань, умінь і особистісних якостей. Я б радив спочатку визначитися з тим, в якій команді ви хочете бути — атакуючих (offense) чи захищають (defense). Ті, хто знаходяться в команді атакуючих, думають про те, як проникнути в систему, як атакувати елементи інфраструктури, фізичні ресурси і людей (я маю на увазі соціальну інженерію).

Опубліковано: 04/12/19 @ 08:10
Розділ Безпека Блоги Читати далі...

OS Daemonology: види, переваги, підводні камені

Демони, агенти, хелпери — та хто вони такі?! Мене звати Володимир. Я займаюся macOS-розробкою вже близько 6 років. За цей час працював «від і до» — від дизайну віконець і кастомних кнопок до системного програмування, секьюріті і написання Kernel-модулів. У цій статті я хочу детально розповісти про «системні» і допоміжних процесах в macOS, які, між іншим, може використовувати у своїй практиці кожен. Стаття буде корисна будь технічно спрямованих на фахівцям; всім, хто хоче розуміти, як працюють програми і сама ОС (причому не тільки macOS, але й інші *OS) «під капотом»; і звичайно, тим, хто хоче знати, як і коли використовувати тих чи інших демонів при розробці своїх програм. Що ми бачимо і в чому правда? Як звичайний користувач бачить операційну систему зі свого боку? Просто як набір віконних додатків з барвистим дизайном і приємною анімацією. При цьому очевидно, що для роботи цих програм, так і всієї системи повинно бути щось ще.

Опубліковано: 29/10/19 @ 11:00
Розділ Безпека Читати далі...

Криза перевиробництва джунов

[Про автора: Іван Клешнін , веб-програміст зі стажем 12 років. Приватний підприємець, робота пов'язана зі сферою рекрутингу та навчання. Професійно займається менторством, веде кілька блогів] Ілюстрація Анастасії Коптевої Один із учнів запитав мене про відсоток рекрутерів, які працюють з джунами. Не знайшовши відповіді в пошуковиках, я провів опитування серед знайомих рекрутерів. З 80+ відповіли: ~70% повідомили, що не працюють з джунами.
~30% сказали, що працюють, але... ...уточнили, що працевлаштування відбуваються рідко. Тут проявляється різниця між проходженням інтерв'ю і працевлаштуванням , про яку має сенс поговорити окремо. Занадто багато хто помилково ототожнюють перше і друге... З 70% «відмовників» багато відзначили, що змінили б свою думку, якщо б у джуна був досвід комерційної роботи. Це те саме «пляшкове горлечко», про який багато пишуть: не беруть на роботу без досвіду і незрозуміло, як отримати досвід без роботи.

Опубліковано: 28/10/19 @ 08:00
Розділ Безпека Блоги Читати далі...

6 помилок в просуванні продукту, які краще не допускати

У минулій статті я розповів, чому, на мій погляд, не треба наймати маркетолога в свій новий продукт як можна швидше. В цей раз я хотів би зупинитися на тому, які помилки найчастіше допускають стартапи і що з ними робити. Image Source 1. Не проводити інтерв'ю з клієнтами Тут є дві крайності. Можна будувати продукт так, як відчуваєш і бачиш його сам. А можна у всіх прислухатися до клієнтів. Як ви здогадуєтеся, істина десь між цими двома варіантами. Дійсно, згідно з даними CBInsights , перша причина смерті продуктів — відсутність ринку. Тобто не існує такої проблеми, яку компанія хоче вирішити своїм продуктом. На щастя, для того щоб уникнути такої ситуації, не обов'язково навіть говорити з клієнтами. Коли я проходив співбесіду в 500 startups з одним зі своїх старих продуктів. Це був продукт для пошуку аномального падіння метрики в розрізі сегментів. Звичайно ж, я ретельно готувався, прописував відповіді на всілякі питання і був готовий відразу почати піч на пару хвилин.

Опубліковано: 17/10/19 @ 10:00
Розділ Безпека Читати далі...

Шпаргалка з кібербезпеки для розробників

Мене звуть Микола Мозговий, я старший розробник і ментор в Sigma Software. Зараз займаюся розробкою хмарного бекенду для кліматичних систем. Питання кібербезпеки має бути предметом особливої уваги не лише експертів, але й для пересічних розробників. Однак не кожен проект може дозволити собі окремого фахівця з безпеки, тому дуже ймовірно, що нести цей тягар доведеться вам. Для таких випадків непогано мати нагадування чи шпаргалку, тому я склав список питань, яким потрібно приділити увагу. Цей список і не короткий, і не є вичерпним, але, принаймні, він є цілком зрозумілим і здійсненним. Повинен зізнатися: на поданий нижче матеріал мене надихнув один дуже хороший курс, який я проходив кілька років тому і який рекомендую всім, кого цікавить питання InfoSec/Cybersecurity. Це курс Software Security від Університету штату Меріленд, вільно доступний на Coursera.

Опубліковано: 11/10/19 @ 10:00
Розділ Безпека Читати далі...

Information Security дайджест #15: DC8044 Blackout, мега-витік в СБРФ, інтерв'ю Мухи

00h > Інтро Привіт! Здорово б почати цей дайджест з добірки тематичного музла, як ми починали минулий . Під музичку адже кльово заходить? Тому пропонуємо вам, друзі, отличнейшую добірку з гучного заходу Blackout, яке днями провів київський чаптер Defcon. Плейлист івенту доступний в Возі , на Ютубі , Санудклауд і навіть Дизер . Респекти Паші за підбір треків, а Легіону за реалізацію на популярних платформах. Ключ на старт, поїхали. 01h > Гаряче DC8044 провели великий контентний івент в Києві. Ком'юніті розрослося майже під тисячу осіб і формат митапов став трохи затісний. Коротше. Програма була такою , фотки з заходу можна подивитися тут , а видосов не буде, бо київський Дефкон принципово їх не записує і не стрім. Доповіді були вогненні: спеціально виділити якийсь один досить важко. Розповідали про атаки на віндовс системи з оркестрацией через CobaltStrike.

Опубліковано: 05/10/19 @ 12:00
Розділ Безпека Інтерв'ю Читати далі...

Консервація проблем замість реформ. Що не так з ініціативою Кабміну

[Про автора: Максим Іщенко — засновник української спільноти розробників DOU.ua ] Минулого тижня відбулася зустріч нової команди Кабміну та представників великих ІТ-компаній, де нам представили модель для розвитку ІТ-галузі. Тема зачепила багатьох — майже 1000 коментарів буквально за вихідні. Моя проблема із запропонованою моделлю в тому, що це не «стратегія» і не «розвиток», а, швидше, консервація статус-кво. Так, вона вирішує короткострокові задачі Кабміну щодо підвищення податкових зборів в обмін на «легалізацію» використання ФОП для великих ІТ-компаній. І так, ІТ-галузь такий варіант безумовно переживе. Як пережила маски-шоу, початок війни на Донбасі і «міцних господарників» до цього. Але чи варто? У цій колонці я хочу запропонувати альтернативний погляд на проблему. Джуниоры не вирішать проблему дефіциту кадрів На ДОУ публікується близько 500 вакансій в місяць для джуніорів, які збирають десь 8000 відгуків.

Опубліковано: 09/09/19 @ 07:08
Розділ Безпека Читати далі...

Переїзд в Люблін: про роботу в ІТ, спорт і розваги

Привіт! Мене звати Ярослав Трохименко, я — Senior Java Developer. У цій статті хочу розповісти про життя і роботу в Польщі, а точніше — Любліні. Люблін насичений натхненням Історія переїзду У Люблін я переїжджав з Києва. Приблизно 7 років тому, будучи ще студентом, я влаштувався в DataArt Java-практикантом. Коли я закінчив університет, компанія якраз відкрила центр розробки в Любліні і запропонувала бажаючим спробувати щастя в Польщі. Я вже був Middle Java Developer, в Україні мене нічого особливо не тримало, і я подумав: чому б і ні? Запитав думку менеджера, він сказав, що жодних проблем для проекту в цьому не бачить. Мені допомогли записатися на співбесіду для оформлення візи, через два тижні підійшла моя черга. Інтерв'ю тривало день, ще півтора тижні я чекав підтвердження. Загалом, через місяць після того, як я вперше задумався про можливість переїзду, я взяв квиток, зібрав рюкзак і поїхав. Все сталося досить спонтанно, але спочатку я не планував затримуватися в Любліні надовго.

Опубліковано: 26/08/19 @ 07:00
Розділ Безпека Читати далі...

Як провести тестування на безпеку: керівництво для Manual QA

Ця стаття націлена на підростаюче покоління QA і розробників, яким цікаво дізнатися щось про уразливості: з чого почати, якими інструментами можна користуватися початківцю в цій справі (практичні поради). У матеріалі буде викладено те, що я хотів би прочитати на початку своєї кар'єри Security QA. Вступ Коли я був Manual QA, мені завжди здавалося, що шукати уразливості дуже важко, що цим можуть займатися тільки ті люди, які вміють програмувати. Тому я вибрав спочатку шлях автоматизатора, так як часто QA розвиваються саме в цьому напрямку. Але після більш ніж півтора роки на посаді автомейшена мені стало нудно... так-Так, стало нудно, так як мені нецікаво було весь час писати код і не спілкуватися з командою девелоперів, продактами та іншими членами команди, як я робив це, коли був мануальщиком. Недовго думаючи, в якому напрямку мені розвиватися... Точніше, на це вплинуло кілька атак ловців вразливостей на наш проект.

Опубліковано: 06/08/19 @ 10:00
Розділ Безпека Блоги Читати далі...

Lead Software Developer з Монреаля — про роботу на YouPorn, головних уроках переїзду за кордон і те, як любов привела в IT

Костянтин Артемов працює в компанії MindGeek в канадському Монреалі на позиції Lead Software Developer. У нього 10 розробників в безпосередньому підпорядкуванні і 21 — спільна команда. Хлопці розробляють і підтримують два високонавантажених сайту з загальною кількістю відвідувань приблизно 20 мільйонів чоловік в день. Артемов безпосередньо відповідальний за один з найпопулярніших у світі порносайтів YouPorn і подібний йому Tube8. Як говорить сам Костянтин, бажання поступати в Харківський університет радіоелектроніки було не до кінця усвідомленим. Комп'ютери подобалися, як і багатьом дітям, робити що-то на BASIC йому було цікаво зі школи, але бажання працювати в цій сфері не було. Цей шлях для Костянтина почався з університету і любові. У 2013 році він з дружиною іммігрував до Канади, але не по робочому релокейту, а тому, що просто хотів кращого життя для сім'ї.

Опубліковано: 15/07/19 @ 07:51
Розділ Безпека Читати далі...

Поради сеньйорів: як прокачати знання junior HR/Recruiter

Поради сеньйорів — постійна рубрика, в якій досвідчені фахівці діляться практичними порадами з джуниорами — загальні лайфхаки по навчанню, які книги та ресурси читати, які навички освоювати і багато іншого. У цьому випуску говоримо про HR/рекрутингу. Віка Придатко , Founder VP Team 18 років в рекрутингу, 12 років у ІТ-рекрутингу Отже, хороший рекрутер — перш за все (!) небайдужий. Тому що саме з байдужості народжуються маячні листування і неадекватні пропозиції вакансій. Пише грамотно. Жахливо, звичайно, таке включати в критерії, але реалії такі. Володіє світоглядом. З ним цікаво поговорити не тільки на теми рекрутингу. Читає якісну літературу, робить висновки. Читати його фейсбук/примітки/блог — одне задоволення. Корисно і цікаво. На його сторінці немає тупеньких відео, неперевірених перепостів та тестів «яке ти тварина». Знає ринок і людей на ньому, не пропонує вакансію Python-девелопера Максу Іщенко. Ввічливий з кандидатом будь-якого рівня синьерити, а не тільки з синьером.

Опубліковано: 10/07/19 @ 07:00
Розділ Безпека Блоги Читати далі...

Туторіал по розгортанню Rails-додатків на Amazon за допомогою Docker. Частина 2

Всім привіт! У цій частині ми продовжуємо наш туторіал по розгортанню Rails-додатки на AWS з допомогою Docker. Нагадаю, що в попередній частині туториала ми: розглянули переваги Docker для розгортання додатків; запустили наш Spree-додаток і всі залежні сервіси на локальній машині. Яку проблему вирішуємо Після перевірки коректності роботи програми в локальному оточенні, необхідно розгорнути ідентичну інфраструктуру в хмарі. Цьому завданню й присвячена друга частина нашого туториала. Отже, приступимо до роботи! Рішення: AWS ECS ECS запускає ваші контейнери в кластері примірників Amazon EC2 з попередньо встановленим Docker-му. ECS керує установкою контейнерів, масштабуванням, моніторингом та управлінням ними через API і Консоль управління AWS. Ви можете розмістити і запустити Docker контейнер програми на EC2 вручну. Але ви позбавите себе наступних речей: Безпека.

Опубліковано: 13/06/19 @ 11:44
Розділ Безпека Читати далі...

Крос-культурна комунікація за Хофстеде: дані замість здогадок

Мене звуть Юрій, і з 2017 року я працюю в компанії HYS Enterprise Scrum-майстром. Мої типові завдання мають на увазі в тому числі фасилітацію різноманітних процесів зустрічей між представниками різних культур і ментальностей. Одного разу я втомився бруднити блокнот чорнилом і вирішив систематизувати свої спостереження і нотатки, але «винахід велосипеда» відклалося завдяки пошуку Google і працям Герта Хофстеде, які з тих пір стали гарною підмогою в моїй роботі. Матеріал може бути корисний тимлидам, проектним менеджерам, проповідникам і практикам Agile-підходів, сейлзам і всім, хто хоче прокачати свої комунікаційні навички, грунтуючись на даних. Сьогодні дивний день: пробок було менше звичайного, чергу до кавомашині теж відмінили — і ось ти в переговорні наодинці з З з тієї сторони. Між вами 30 мс пінгу і незручне мовчання: ти прийшов на стендап на 3 хвилини раніше, і треба про щось поговорити, поки команда не зібралася. Ем-м-м...

Опубліковано: 12/06/19 @ 10:01
Розділ Безпека Читати далі...

Виведення сайту по продажі торгового обладнання в топ 3

Клієнт Компанія спеціалізується на проектуванні, виготовленні і монтажі стелажів і торгового устаткування. Наше завдання Вивести максимум пріоритетних запитів в топ-3. Вихідні дані, проблеми проекту Регіон: Україна
Пріоритетна пошукова система Google
Початок робіт: 2 червня 2017
На сайті були «заспамленние» однаковими фразами мета-теги. Тексти — не оптимізовані і частково неуникальны. Код сайту містив суттєві помилки, були налаштовані не всі необхідні редиректи, технічні сторінки не закриті від індексації, контент дублювався.
Мобільна версія сайту неправильно відображалася при скануванні пошуковими ботами.
Посилальний профіль був дуже слабким: великий відсоток неякісних донорів, поганий анкор-лист.
У топ-3 було до 5% цільових запитів, зростання органічного трафіку не було. Внутрішня оптимізація На першому етапі робіт був проведений повний технічний аудит сайту.

Опубліковано: 10/06/19 @ 06:30
Розділ Безпека Пошуковики Читати далі...

Із зони комфорту на європейську конференцію: як я підготувався за 28 днів і виступив вперше

Привіт, мене звуть Гліб, я працюю в Django Stars на позиції Senior Software Developer. Сім років тому один хороший хлопець (привіт, Niko Skrypnik!) привів мене в світ Python, і з тих пір я працюю в сфері web, пройшовши шлях від створення сайтів для баптистів з Огайо і езотериків з Таїланду до розробки fintech/CRM/real estate продуктів. Публічні виступи ніколи не були моїм коником, але так вийшло, що в квітні 2019 року я розповів про те, як і навіщо використовувати SQLAlchemy Core у проектах на Django. І одразу зі сцени головною конференції для Django community у Європі — DjangoCon Europe 2019. Виступ на конференції Як я зважився виступити на конференції Відразу Хочу зазначити, що я — не та людина, яка може з легкістю говорити ротом, концентрувати на собі увагу оточуючих і вже тим більше штовхати публічні промови. В інтернетах пишуть, що це називається глоссофобией або страхом сцени, в моєму випадку в гармонійному поєднанні з інтровертністю як такої.

Опубліковано: 14/05/19 @ 10:21
Розділ Безпека Читати далі...

Ruby/Rails дайджест #29: перший реліз-кандидат Rails 6, оновлення Ruby до 2.6.3, анонс складу спікерів RubyC

Всім привіт! Відкриємо наш дайджест новиною про те, що Rails 6 буде підтримувати версії Ruby тільки новіше 2.5. Також був опублікований звіт про прогрес роботи над Ruby 3.0. А ще був анонсований повний склад спікерів конференції RubyC, яка відбудеться 14-15 вересня в Києві. Тренди в співтоваристві Ruby Команда розробки Ruby переїхала з SVN на Git. У квітні Ruby Toolbox виповнилося 10 років. Опублікований перший реліз-кандидат Rails 6.0.0. Релізи react-rails 2.5.0 — новий реліз гема для інтеграції React в Rails додаток; searchkick 4.0.0 — вийшла четверта версія гема для роботи з повнотекстовим пошуком через Elasticsearch; faktory 1.0.0 — оновлення движка для обробки фонових завдань; Ruby 2.6.3 — квітневий реліз Ruby 2.6.3; Rom 5.0 і rom-sql 3.0 — нові версії альтернативних ORM. Почитати Ruby 2.7 — Pattern Matching — First Impressions — перші враження від pattern matching в Ruby 2.

Опубліковано: 04/05/19 @ 07:00
Розділ Безпека Читати далі...

Ruby/Rails дайджест #29: перший реліз-кандидат Rails 6, оновлення Ruby до 2.6.3, анонс складу спікерів RubyC

Всім привіт! Відкриємо наш дайджест новиною про те, що Rails 6 буде підтримувати версії Ruby тільки новіше 2.5. Також був опублікований звіт про прогрес роботи над Ruby 3.0. А ще був анонсований повний склад спікерів конференції RubyC, яка відбудеться 14-15 вересня в Києві. Тренди в співтоваристві Ruby Команда розробки Ruby переїхала з SVN на Git. У квітні Ruby Toolbox виповнилося 10 років. Опублікований перший реліз-кандидат Rails 6.0.0. Релізи react-rails 2.5.0 — новий реліз гема для інтеграції React в Rails додаток; searchkick 4.0.0 — вийшла четверта версія гема для роботи з повнотекстовим пошуком через Elasticsearch; faktory 1.0.0 — оновлення движка для обробки фонових завдань; Ruby 2.6.3 — квітневий реліз Ruby 2.6.3; Rom 5.0 і rom-sql 3.0 — нові версії альтернативних ORM. Почитати Ruby 2.7 — Pattern Matching — First Impressions — перші враження від pattern matching в Ruby 2.

Опубліковано: 04/05/19 @ 07:00
Розділ Безпека Читати далі...

Подорожі, розвиток та рівні права усім: web-аналітик Галина Харківська про роботу в Booking та життя в Амстердамі

Галині Харківській двадцять чотири роки, вже рік вона працює web-аналітиком у Booking.com. Ще зі школи дівчина знала, що пов'язаність яже життя зі статистикою, адже захоплювалася математикою й обчисленнями, скільки себе пам'ятає. Тому після закінчення фізико-математичного ліцею вступила на теоретичну й прикладну статистику до ЛНУ імені Франка. Для DOU Галина розповіла, як потрапила до Booking.com і як це зробити іншим, а також про умови роботи й плюси, які одержує кожен працівник найбільшої технічної компанії у сфері подорожей. Я народилася й зростала у Львові. Спочатку навчалася у фізико-математичному ліцеї. Серед учнів фізмату було дуже популярно обирати фах програміста, і багато моїх однокласників пішло на факультет математики й інформатики. А я обрала інший шлях — вивчати статистику на механіко-математичному факультеті. Коли обрала цей фах, то знала про нього хіба ті, що є така професія, як аналітик даних, альо як у ній розвиватися, не мала жодного уявлення.

Опубліковано: 22/04/19 @ 07:00
Розділ Безпека Читати далі...

Увагу Google Recaptcha v3 + Contact Form 7

Сьогодні трапилася ситуація, яка змусила згадати що є блог і в нього потрібно писати. 90% а може і більше сайтів, користуються контактною формою і так повелося, що як правило за роботу цієї контактної форми відповідає плагін Contact Form 7 плагіну цього вже не перший рік і він відмінно зарекомендував себе як плагін для простої контактної форми або для складних форм замовлень з умовами та безліччю полів. У грудні 2018 в плагін додали сумісність Google Recaptcha v3 і повністю відмовилися від v2 (там де потрібно натискати «Я не Робот» і відгадувати картинки). Це дуже здорово і зручно для користувача, тому що нічого ніде не потрібно вводити, вирішувати приклади, шукати зображення і витрачати час на розгадування капчі, але є одне але. Якщо відвідувач заповнює форму з підозрілого адреси (припустимо громадський Wi-Fi) який гугл вважатиме «Поганим джерелом», то при заповненні форми користувач не отримає повідомлення про те, що щось не так з капчі, та й що з нею може бути якщо її немає.

Опубліковано: 19/04/19 @ 01:11
Розділ Безпека Блоги Пошуковики Читати далі...

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17