Просто хотел поделиться этой историей. Знаю, я мог бы лучше подготовиться к этому инциденту, но так уж получилось. :)

Сегодня утром я открыл почтовый ящик и обнаружил около 150 предупреждений из программы мониторинга лога. Я подумал, что случайно запушил какой-то баг в продакшн — и быстро начал расследование. Но вскоре стало понятно, что некий парень очень быстро создаёт новые учетные записи на нашем сервисе API скриншотов ApiLeap и быстро расходует весь кредит бесплатного плана на каждом аккаунте.



Он делал скриншоты этой страницы и майнил криптовалюту на машинах, где работают инстансы Chrome, которые мы используем для скриншотов.

Я выяснил, что он зависает на главной странице нашего сайта, так что можно поговорить с ним через онлайновый чат Crisp — инструмент, который мы используем для общения с потенциальными клиентами на сайте. Вот это разговор:
Читать дальше ->

https://habr.com/post/354796/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354796

В статье изложены принципы построения инфраструктуры локальной системной шины, соединяющей агенты одного сегмента стыка простого исполнителя STI версии 1.0 в объёме кристалла СБИС или ПЛИС. Рассмотрена организация дешифратора адреса, коммутаторов шин чтения данных и выборки исполнителя. Приведен пример описания шинной инфраструктуры сегмента STI на языке Verilog. Предложены варианты подключения исполнителей к сегментам шины с меньшей разрядностью данных.
Читать дальше ->

https://habr.com/post/354852/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354852

Здравствуйте коллеги, сегодня мы расскажем и продемонстрируем подходы и механизмы автоматизации системы защиты от сетевых атак на основе Check Point и Splunk.

Постоянный рост количества сетевых атак и их сложность, повышают требования к системам безопасности. Организации должны быстро адаптироваться к текущим условиям и эффективно защищать себя от современных атак. Требования к эффективности и производительности систем защиты так же повышаются. С выходом новой версии Gaia R80 была анонсирована возможность использования REST API, что открывает широкие возможности по автоматизации настроек, администрированию, мониторингу и т.д. Читать дальше ->

https://habr.com/post/354844/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354844

Окей, Гугл, раз-раз, как меня слышно, прием? 12 апреля видеоблоггер Mitchollow устраивает в прямом эфире Ютьюба эксперимент, чтобы ответить на простой вопрос: если у вас на компьютере установлено какое-то ПО от Google (например, браузер Chrome), означает ли это, что Гугл, как родина, всегда слушает вас через микрофон? Автор видео сначала показывает табличку с названием товара (игрушки для собак), о котором позже он говорит вслух в течение пары минут. После этого, открыв пару популярных сайтов, моментально натыкается на рекламу зоомагазинов в больших количествах.

Из этого прекрасного эксперимента можно сделать массу далеко идущих выводов. Например, что мы сейчас, с точки зрения разнузданности слежки за пользователями в сети, живем в некотором мире дикого Запада, где нас профилируют по всем параметрам — от высказываний до селфи и паттернов встроенного в телефон датчика ускорения. Возможно, так и есть, но 24 апреля тот же видеоблоггер выкладывает не то чтобы опровержение, а скорее попытку показать, что не все так однозначно. Как обычно бывает в интернетах, первое видео с набросом на вентилятор смотрят больше двух миллионов раз, второе видео набирает всего 160 тысяч просмотров.
Читать дальше ->

https://habr.com/post/354842/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354842

Привет, Хабр. Будучи верстальщиком, в этом году решил поучаствовать в CTF от PHDays.
Просмотрев список заданий, решил попытать счастья с таском Engeeks. Забегая вперед, скажу, что флаг в этом таске я так и не достал. Зато решил другие. Поэтому распишу то, до чего смог докопаться. Не пропадать же находкам. Читать дальше ->

https://habr.com/post/354838/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354838

Несколько лет подряд сообщество безопасной разработки Positive Development User Group организует на площадке международного форума PHDays свои мероприятия. В прошлом году мы посвятили обсуждению разработки защищенных приложений один день, а в этом — устраиваем масштабный двухдневный марафон докладов с круглым столом.

Попасть на секцию можно бесплатно, но число мест ограничено, поэтому необходимо зарегистрироваться. Если не сможете присутствовать лично, не беда — после форума мы опубликуем презентации докладов и видео в открытом доступе (в том числе на Хабре).
Читать дальше ->

https://habr.com/post/354836/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354836

18 мая в Digital October(Москва) пройдет конференция веб-разработчиков DevConf. Григорий Кочанов поведает про блокчейн. Признаться, я скептик всего этого хайпа, поэтому немного расспросил его.

Начнем с такого вопроса. Где по твоему мнению блокчейн как технология будет лет через 5. К какой точке ближе: Завоюет мир или будет забыта?

Это хайп, но это не пиар одной компании, как с ROR или Mongo. Блокчейн — это топология архитектуры для распределенных приложений. Ничего нового — по CAP-теореме это архитектура класса CP (consistency-partition tolerance). Для сравнения, СУБД — это класс CA ( consistency- availability ). Этот инструмент удобен для решения ряда задач, и он будет использоваться. Читать дальше ->

https://habr.com/post/354834/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354834

Благодаря серьезным мерам противодействия анализу, шпионское ПО FinFisher оставалось малоизученным. Это известный инструмент слежки, тем не менее, по предыдущим образцам был опубликован только частичный анализ.

Ситуация стала меняться летом 2017 года после выполненного ESET анализа кампаний кибершпионажа FinFisher. В ходе исследования мы определили атаки с участием в компрометации жертв интернет-провайдера.



Когда мы начали анализ малвари, основные усилия были затрачены на преодоление мер по противодействию анализу FinFisher в ее версиях под Windows. Комбинация продвинутого обфусцирования и проприетарной виртуализации делает процесс снятия маскировки с FinFisher крайне трудным.

В данном руководстве мы делимся тем, чему научились в процессе анализа FinFisher. Кроме советов по анализу виртуальной машины FinFisher, руководство поможет понять защиту при помощи виртуальной машины в целом, то есть проприетарные виртуальные машины, обнаруживаемые в бинарном коде и используемые для защиты ПО.
Читать дальше ->

https://habr.com/post/354830/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354830

Самый исчерпывающий кейс, объясняющий, почему в современной «экономике знаний» почти каждый должен стать энциклопедистом.

«Мастер на все руки, а толком ничего не умеет».

Предостережение против универсализма сохранилось в многовековой истории десятков языков. «У него каких только ножей нет — и ни одного острого», — предупреждают китайцы. А в Эстонии есть поговорка «девять ремесел, и голод — десятое».

Однако, многие из наиболее неординарных личностей — как живших в прошлом, так и наших современников — были универсалами: таковы Илон Маск, Стив Джобс, Ричард Фейнман, Бенджамин Франклин, Томас Эдисон, Леонардо да Винчи и Мария Кюри — список далеко не полон.

В чем же здесь дело?

Если попытка универсализма — путь к посредственности, то почему наиболее исчерпывающее исследование о самых видных ученых в истории показало, что 15 из 20 были энциклопедистами? Ньютон. Галилей. Аристотель. Кеплер. Декарт. Гюйгенс. Лаплас. Фарадей. Пастер. Птолемей. Гук. Лейбниц. Эйлер. Дарвин. Максвелл — все энциклопедисты.

Если пытаться делать все сразу так неэффективно, то почему основатели пяти крупнейших компаний в мире – Билл Гейтс, Стив Джобс, Уоррен Баффетт, Ларри Пейдж и Джефф Безос – все энциклопедисты (а также придерживаются «правила пяти часов»)? Эти легендарные люди – просто гениальные исключения? Либо это люди, которым мы могли бы (и должны) подражать, чтобы достичь успеха в современной «экономике знаний»?

Если стремление к универсализму – неэффективная карьерная стратегия, то почему более 10 академических исследований выявили корреляцию между количеством интересов/компетенций, которые удалось развить человеку, и его творческим потенциалом?

Переведено в Alconost
Читать дальше ->

https://habr.com/post/354822/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354822

Привет, Хабр!

Меня зовут Николай Абалов. Я работаю в лондонском офисе Badoo в команде Mobile QA Automation. Мой коллега Раждип Варма рассказал о том, как сделать Appium-тесты быстрее и надёжнее. Ниже перевод его статьи.

В последние годы Appium стал одним из самых популярных инструментов автоматизации в мобильной разработке. Однако наряду с преимуществами у него есть некоторые ограничения, в частности связанные с тем, что тестовый код полностью отделяется от кода приложения. В этой статье Раждип рассказывает, как вы можете наделить свой код суперсилой и решить самые неприятные проблемы автоматизации end-to-end-тестов для Android.
Читать дальше ->

https://habr.com/post/354296/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354296

В статье предложена организация взаимодействия функциональных блоков в объёме кристалла СБИС, а именно: процессорных ядер, контроллеров DMA и мостов системных шин с периферийными блоками, такими как: контроллеры GPIO, SPI, I2C, UART, таймеры и широтно-импульсные модуляторы – ШИМ. Рассмотрен набор сигналов и протокол обмена стыка простого исполнителя – локального системного интерфейса, реализующего взаимодействие перечисленных блоков кристалла. Приведены примеры синтезируемых моделей контроллера GPIO и регистрового файла, поддерживающие описанный интерфейс.
Читать дальше ->

https://habr.com/post/354818/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354818

У вас часто бывает, что вы забегаете на встречу (стендап, ретро, еженедельную встречу с коллегами, f2f с начальником — нужное подчеркнуть), а ваши мысли остаются где-то за пределами комнаты?

От банального «а выключила ли жена утюг, когда мы выходили из квартиры» до «что же хотел сказать босс последним письмом». Рой мыслей в голове может быть инспирирован как давно произошедшими событиями, так и предыдущей встречей.
Читать дальше ->

https://habr.com/post/354794/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354794

Прошедшая неделя была относительно спокойной для финтех-сектора. Тем не менее, новости есть, и они достаточно интересные. Как водится, есть хорошее, есть и не очень. Давайте разберемся и с тем, и с другим.

К хорошему можно отнести постоянный рост безопасности онлайн-банкинга и мобильных банков. По данным «Коммерсанта», за три года доля банковских сервисов, содержащих критические уязвимости снизилась с 90% до 56%. Основная проблема для онлайн-банкинга – незащищенность процесса авторизации. До сих пор это практически проблема №1, поскольку злоумышленники могут получить доступ к персональным данным клиента.

Но ситуация улучшается. В 2015 году примерно 90% онлайн- и мобильных банков содержали разного рода опасные уязвимости. В 2016 году это был уже 71%, а в конце 2017-го — 56%. Возможно, к 2020 году большинство банков смогут исправить ситуацию.
Читать дальше ->

https://habr.com/post/354812/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354812

В среде ИТ есть свои легенды, чьи имена знает сегодня чуть ли не каждый и чьи (что важнее) достижения в профессии показали другим новый путь к развитию. Одной из таких фигур для мира тестирования ПО был и остается Майкл Болтон, которого мы ждем на ближайшем Heisenbug 2018 Piter. В этой статье мы поговорим о Rapid Software Testing, о Майкле и его докладах.

Читать дальше ->

https://habr.com/post/354810/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354810

D3 одна из наиболее популярных javascript-библиотек для создания динамических и интерактивных визуализаций данных. Сегодня ее используют сотни тысяч сайтов и web-приложений.

В интернете огромное количество примеров – от банальных линейных графиков до динамически обновляющихся диаграмм Вороного – созданных с помощью этой библиотеки. Кажется, что можно найти готовый код для любой самой причудливой визуализации и лишь немного модифицировать его «под себя».

Однако, интеграция D3 в web-приложение, построенное на React, на практике оказывается не самой простой задачей.

Читать дальше ->

https://habr.com/post/354806/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354806

Автор материала, перевод которого мы сегодня публикуем, рассказывает о девяти полезных приёмах работы, которые могут пригодиться JavaScript-программисту. Он говорит о том, что эти приёмы позволяют экономить время, и о том, что ими пользуются профессионалы.


Читать дальше ->

https://habr.com/post/354676/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354676

Обычная аналогия для объяснения градиентного спуска такая: человек застрял в горах во время сильного тумана и должен спуститься вниз. Самый логичный способ — осмотреть поверхность вокруг и медленно проложить путь, следуя вниз по склону.

Такова суть градиентного спуска, но аналогия всегда разваливается, когда мы переходим в многомерное пространство, фактическая геометрия которого нам мало известна. Хотя обычно это не становится проблемой, потому что градиентный спуск, кажется, работает вполне нормально.

Но вот важный вопрос: насколько хорошо градиентный спуск выполняется на реальной Земле?
Читать дальше ->

https://habr.com/post/354772/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354772

Всем привет.

Меня зовут Александр Черников, я руководитель разработки в дивизионе «Цифровой Корпоративный Банк» Сбербанка и Сбертеха.

Расскажу вам сегодня про DevOps в Сбербанк Бизнес Онлайн (СББОЛ), который мы выстроили в немаленькой команде (125 разработчиков) с большим Review (75 ПРов в день). Теперь отлаженный процесс CD(CI) на pull-requests (далее PR) — это неотъемлемая часть работы и наша гордость.


Читать дальше ->

https://habr.com/post/354334/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354334

Представляю вам третью часть моего, немного затянувшегося, рассказа.

Получив положительную оценку первой и второй частей, я не хотел заставлять читателей ждать слишком долго, но жизнь и реальность вносит свои коррективы.



За 2 дня до начала хакатона Radio Canada прислали письмо в котором сообщили, что нашей команде выделен ментор — Patrick L'evesque. Для меня это было несколько неожиданно, хотя, наверное, об этом что-то было написано на сайте и было сказано во время предварительной презентации. Видимо, я пропустил это мимо ушей. Так или иначе, это добавляло уверенности, что нам будет у кого попросить помощи в случае возникновения каких-либо вопросов.

Вторник, среда, четверг рабочей недели пролетели стремительно как всегда. Предвкушение приключения нарастало. И к пятнице достигло своего пика. Жена была предупреждена, что на выходные, начиная с пятницы, я выпадаю из жизни и исчезну с радаров.

Итак после работы в пятницу я в боевом настроении направился снова в Дом Радио.
Читать дальше ->

https://habr.com/post/353058/?utm_source=habrahabr&utm_medium=rss&utm_campaign=353058

Я специально объединил 2 темы в одну, так как для нас работа по API, создание того или иного сервиса или внедрение нового функционала в свой имеющийся – это по своей сути точно такие же партнёрские отношения. Мы открыты к сотрудничеству в любых сферах деятельности и в любом направлении, предлагая по-настоящему надёжные услуги на самом современном серверном оборудовании. Такие, какими мы пользуемся сами изо дня в день для других направлений бизнеса.
Читать дальше ->

https://habr.com/post/354792/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354792