Уже давно хотел поразбираться с анализаторами на основе Розлина. Тем более, что меня уже был опыт создания плагинов для Resharper-а (R# Contract Editor Extension), поэтому хотелось сравнить разные инфраструктуры и удобство использования. Есть идея переписать этот плагин с помощью анализаторов Roslyn-а, но я решил начать с чего-то попроще.

Цель недельного проекта была такая: сделать простой анализатор, который будет показывать типовые ошибки обработки исключений. Самые болезненные с моей точки зрения такие:

• Повторная генерация исключений с помощью throw ex;
  
• “Проглатывание” всех исключений с помощью пустых блоков catch {} или catch(Exception) {}.
  
• “Проглатывание” исключений в определенных ветках блока catch.
  
• Сохранение в логгах только сообщения ex.Message, теряя при этом потенциально важную информацию о месте возникновения исключения.
  
• Некорректное пробрасывание новых исключений из блока catch.

Читать дальше →

http://habrahabr.ru/post/253833/

Наконец, перевод очередной статьи от Давида Ревуа — прекрасного художника, использующего свободное программное обеспечение, а также постоянного члена сообществ Krita Foundation и Blender Institute. Мастер делится с начинающими художниками инструкцией по сборке самой свежей версии графического редактора Krita из исходных кодов. Он считает, что этот процесс на самом деле не так сложен и заковырист, как кажется на первый взгляд. Все этапы прекрасно проиллюстрированы. Приобщайтесь!
Читать дальше →

http://habrahabr.ru/post/252289/

В первой части эксперимента было описано, почему проблема мошеннических платежей (fraud) стоит остро перед всеми участниками рынка online-платежей, какие сложности на пути создания собственной системы мониторинга мошеннических платежей (antifraud-системы) предстоит преодолеть, и почему для большинства мерчантов такие системы – дорогое удовольствие, за которое они не всегда готовы платить.

Еще одно, усложняющее разработку подобных систем, обстоятельство — то, что antifraud-система является business-critical системой и ее простой будет вести либо к остановке бизнес-процесса (приема оплаты), либо при некорректной работе системы к увеличению рисков финансовых и репутационных потерь для компании (интернет-магазина, банка).

Поэтому практики и подходы, перечисленные в статье применимы не только на стороне мерчанта, но на стороне других участников интернет-эквайринга – агрегаторов, платежных систем, банков. Более того, перечисленные в статье подходы зачастую являются закрытыми от сообщества best practices в соответствующих организациях.

В этой части будут описаны требования к antifraud-системе, чье влияние на программную архитектуру является существенным.

Читать дальше →

http://habrahabr.ru/post/253731/

От переводчика: англоязычные it-блоггеры обычно начинают такие статьи со слов I'm so excited. Про Wix# я узнал совершенно случайно и спешу поделиться этим открытием с хабрасообществом, т.к. каждый, кто имел дело с «голым» WiX, знает, насколько неприятным может быть этот процесс. И вот теперь можно сделать msi-дистрибутив, написав всего лишь несколько строчек на C#! По-моему, это круто! А относительно недавно (4 дек 2014) автор Wix# Олег Шило дал интервью изданию InfoQ. Перевод этого интервью я и представляю вашему вниманию. И прошу не судить строго за кальку некоторых слов — тот же «деплоймент» мне как-то ближе, чем «развертывание».
Предоставим слово Олегу Шило, автору Wix#

http://habrahabr.ru/post/253819/

Разработка программных продуктов — очень интересный процесс, который нам всем очень-очень нравится, но есть некоторые вещи, которые слишком монотонны. Сегодня я бы хотел рассказать про то, как я упростил свой рабочий процесс в Xcode с помощью различных сторонних плагинов.



Заинтересованных прошу под кат
Читать дальше →

http://habrahabr.ru/post/253827/

Друзья, спешим поделиться большой и важной новостью для разработчиков: в рамках программы Windows Insider доступны превью инструментов и SDK для разработки приложений под Windows 10.

Подробности и важные нюансы

http://habrahabr.ru/post/253821/

Многие программисты, по крайней мере моего поколения, знают игру «Жизнь», правила которой были предложены британским математиком Джоном Конвеем (John Conway) в 1970 году. Но что знают немногие, так это то, что она до сих пор активно развивается и радует новыми открытиями. Историей одного из таких открытий я хочу поделиться в этой статье. Читать дальше →

http://habrahabr.ru/post/253809/

Процедура наложения электронной подписи, призванная обеспечить подтверждение целостности подписанного документа и его авторства, сама по себе может быть небезопасной.
Основные атаки на ЭП — это кража ключа и подмена подписываемой информации, а также несанкционированный доступ к средству ЭП (например, USB-токену) посредством кражи его PIN-кода.

Реализуются данные атаки различными способами и на различных уровнях. На уровне ОС это внедрение вредоносного ПО (вирусы, программы-шпионы, руткиты и т.п.), которое способно похищать ключи, PIN-коды и делать подмену документов посредством чтения и/или подмены данных в памяти системного процесса, используя различные механизмы «хака», заложенные в ОС.
Если мы говорим о подписи в браузере, то к данным атакам добавляется возможность проведения атаки man-in-the-middle, направленной на модификацию подписываемых данных на web-странице или на кражу PIN-кода или на перехват secure token для возможности злоумышленнику прикинуться абонентом системы. Кроме того, на сайтах возможна атака типа CSS, обусловленная безалаберностью разработчиков сайта.

Очевидно, что максимально защитить клиента при проведении процедуры ЭП возможно лишь комплексом мер.
К данным мерам можно отнести:

• применение для электронной подписи криптографических смарт-карт/USB-токенов с неизвлекаемыми ключами
• использование правильной реализации протокола TLS на сайте
• правильное конфигурирование этой правильной реализации протокола TLS
• использование специальных аппаратных средств для визуализации подписываемых данных перед наложением подписи (trustscreen)
• корректная реализация браузерных плагинов и расширений, которые обеспечивают ЭП в браузере
• регламентирование процедуры подписи для пользователя с учетом встроенных в браузер механизмов безопасности
  
  • проверка сертификата TLS-сервера пользователем перед ЭП
  • запуск браузерных плагинов и расширений только на доверенном сайте (сейчас правильно настроенные браузеры предупреждают пользователя о запуске)
  • ввод PIN-кода токена по запросу только доверенного сайта
  
  
• защита ОС от вредоносного ПО (создание доверенной среды)

Некоторое время назад наша компания выпустила новый Рутокен ЭЦП Flash. Это устройство «два в одном» — криптографический токен и управляемая FLASH-память в едином корпусе. При этом контроллер позволяется настраивать FLASH-память таким образом, что атрибуты настройки нельзя изменить без знания PIN-кода к устройству.

В данной статье мы сделаем кастомную Ubuntu 14.04 LTS, в которую «упакуем» смарткарточные драйвера и Рутокен Плагин. Эту ОС запишем на FLASH-память Рутокен ЭЦП Flash (USB-live) и специальными средствами сделаем ее read-only, так, что без знания PIN-кода злоумышленник не сможет снять этот атрибут.

Таким образом, получим загрузочное устройство, при загрузке с которого пользователь сразу получит возможность подписи документов в браузере на неизвлекаемых ключах в доверенной среде, целостность которой гарантируется управляющим контроллером USB-токена.
Читать дальше →

http://habrahabr.ru/post/253619/

У нас в университете было три преподавателя матанализа и аналитической геометрии. Первая читала нам учебник на лекциях и люто всех ненавидела. Второй доказывал всё сам и объяснял, что делает. Было весело, потому что иногда мы заходили в тупик и возвращались. Третий до кучи рассказывал байки и практические задачи на то, что объяснял. Угадайте, у кого средние результаты группы были лучше.

Я к тому, что в нашем мире любое чтение инструкции — это вынужденная мера. И если уж пользователю нужно что-то прочесть и осознать, лучше подать информацию быстро, понятно и в привязке к реальному миру.

Расскажу, как мы упрощаем понимание правил и инструкций к настольным играм. В целом, тот же набор механик подходит для улучшения ряда интерфейсов, практически любых технических текстов и вообще вещей, где разум инженера-архитектора встречается с разумом экзогенного пользователя. Читать дальше →

http://habrahabr.ru/post/253795/

Как выбрать лучших студентов для работы в ИТ-компании?

Берем 300 претендентов из лучших ВУЗов столицы, добавляем несколько этапов отбора, 1 предварительное техническое задание, и украшаем «вишенкой» в виде финала-«Хакатона»!

В своем блоге на Хабре мы уже писали о старте новой программы стажировки для студентов ИТ-специальностей на Бирже. В феврале проект успешно стартовал, и мы получили более 300 заявок от студентов «ВШЭ», «Бауманки», «МГУ», «МФТИ» и других столичных ВУЗов. Из них только 31 претендент оказался в финале и участвовал в борьбе за право на год стать «биржевым айтишником».
Как это было...

http://habrahabr.ru/post/253793/

В прошлом году писали о тестировании IBM RamSan FlashSystem 820. Н а этот раз, благодаря одному крупному заказчику, в наши руки попала IBM FlashSystem 840. Системе около года от роду, «детские болезни» уже позади т.е. самое время оценить её профессиональные возможности.

Методика тестирования

В ходе тестирования решались следующие задачи:

• исследования процесса деградации производительности СХД при длительной нагрузке на запись (Write Cliff) и влияния заполненности СХД;
• исследование производительности СХД IBM FlashSystem840 при различных профилях нагрузки;

Читать дальше →

http://habrahabr.ru/post/253785/

Привет, Хабр! Сегодня мы хотим поговорить о принятии решений — но в психологическом смысле, а в самом практическом, бюрократическом смысле. Думаем, все, кто работал в компнии, в которой больше 20 сотрудников, знакомы с подводными камнями принятие решения в них. Психология тут бессильна: чем крупнее организация, тем сильнее в ней сроки совместного принятия решений зависят от внутренних регламентов, количества принимающих решение, быстроты их реакции и степени автоматизации процесса. В этом посте мы хотим рассказать о том, как устроена функция согласования и подписания электронных документов в нашей системе электронного документооборота (СЭД) EOS for SharePoint: на кого она ориентирована, что из себя представляет, и как настраивается.


Цепочка согласований не должна напоминать лабиринт без выхода
Читать дальше →

http://habrahabr.ru/post/253435/

Back-end не всегда функционирует так идеально, как указано в API-спецификации. Например, кто-нибудь забывает внести обязательный параметр в JSON-строку выдачи или вместо «0» решает вписать null. Если такие данные проникают в мобильное приложение, последствия могут быть самые неприятные.
Сегодня я расскажу об инструменте, который используется для выявления таких случаев. Это Runscope.
Читать дальше →

http://habrahabr.ru/post/253777/

Буквально недавно мне довелось тестировать дисковую полку от компании Intel^®. «Казалось бы, чего может быть удивительного в обычной дисковой полке,»-подумал я, но после детального рассмотрения полка оказалась не совсем типичной. Собственно, об этом я и расскажу.


Читать дальше →

http://habrahabr.ru/post/253763/

Отслеживание движений тела человека — это задача, которая с переменным успехом решается уже не одну тысячу лет. Когда-то я читал историю об одном древнегреческом ораторе Демосфене, у которого была нехорошая привычка поднимать плечо до уха, если он нервничал. Чтобы избавиться от этого, во время ежедневных тренировок он вешал над плечом свой меч, который очень неприятно колол, если плечо поднималось. В итоге оратор стал настолько знаменитым, что про него даже есть статья в Википедии.
Читать дальше →

http://habrahabr.ru/post/253781/

С моего предыдущего поста прошёл месяц, по-моему самое время продолжить. В этот раз поговорим об Inheritance Mapping’е, ну а особо интересующихся в конце статьи ждёт сюрприз.

Итак, начнём.

Проблемы с дискриминатором

Разумеется, мы храним в нашей базе данных полиморфные сущности. Например, есть сущность CustomerOperation, которая отражает некоторую операцию, которую можно совершать над потребителем. Операции совершаются в основном через сервисы, поэтому есть наследник CustomerServiceOperation, а так же у нас есть механизм WebTracking’а, для которого есть WebTrackingOperation. Но довольно слов, лучше покажу код:
Читать дальше →

http://habrahabr.ru/post/253779/

Kerio Technologies cообщает о получении сертификата соответствия ФСТЭК для версии Kerio Control 8.2 сроком на три года.

Полученный сертификат удостоверят, что межсетовой экран Kerio Control 8.2. является программным средством защиты информации от несанкционированного доступа из внешних вычислительных сетей и систем, и соответствует требованиям руководящих документов.

Kerio Control 8.2 получил сертификацию по 3-му классу защищённости как межсетевой экран. Контроль недекларируемых возможностей был проведен по 4-му классу.

Сертификат соответствия предоставляет возможность использования продукта Kerio Control 8.2 в государственных, образовательных, медицинских и любых других учреждениях, в которых требуется использование сертифицированных продуктов.

Решение Kerio Control 8.2 доступно в виде программного комплекса и не требует для своего функционирования отдельной операционной системы. Сертифицированный продукт Kerio Control 8.2 уже доступен для заказа, а сертифицированный дистрибутив можно скачать на нашем веб-сайте.

Подробнее с сертификатом вы можете ознакомиться здесь.

Зарегистрируйтесь на вебинар, на котором мы рассмотрим:

• Особенности сертифицированной версии
• Особенности сертификации
• Лицензирование перехода со старой версии Kerio Control 7.2.3 на Kerio Control 8.2.3
• Возможные шаги миграции

Читать дальше →

http://habrahabr.ru/post/253771/

Часть первая была посвящена выбору определения для понятия «вредоносная программа» и, вполне логично, что статья привлекла мало внимания — ну в самом деле, кому какая разница, какого цвета крыса — главное, чтобы кошка исправно их душила.

Во второй части мы постараемся определить, чем же должен заниматься антивирус в локальной сети. Если кто-то еще думает, что антивирус должен ловить вирусы — просим под кат.
Читать дальше →

http://habrahabr.ru/post/253769/

Приглашаем экспертов в области интернет-безопасности, а также всех интересующихся этой темой на наш очередной Security Meetup, который состоится в четверг, 9 апреля, в 19:30. Вечер обещает быть насыщенным интересной и актуальной информацией, в программе пять докладов об уязвимостях и различных аспектах их эксплуатации. Читать дальше →

http://habrahabr.ru/post/253767/

PowerShell – это очень мощный инструмент, нужно только знать, как его правильно применять. Важно также отметить, что несколько сейчас PowerShell предоставляет функционал больший, чем использование графических элементов управления: всё, что можно выполнить из графического интерфейса, можно реализовать при помощи командлетов PowerShell. Наоборот это правило не работает. В случае с Microsoft Azure с помощью PowerShell вы можете сделать все теже действия, что и через портал управления, кроме создания самой подписки. Применение Azure PowerShell позволяет контролировать и автоматизировать развертывание рабочих нагрузок и управлениями ими. В этой статье мы поговорим о том, как можно использовать Azure PowerShell для управления виртуальными машинами.

Читать дальше →

http://habrahabr.ru/post/253765/