Продолжаем цикл статьей «Календарь тестировщика», в этом месяце поговорим о тестировании безопасности. Многие не знают с чего начать и пугаются сложностей. Иван Румак, тестировщик безопасности веб-приложений в Контуре, поделился основами в поиске уязвимостей. Новички найдут в статье базовые знания, а опытным тестировщикам будет полезен раздел про обход защиты от CSRF.

В прошлом году Иван занял 4 место в программе поиска уязвимостей Mail.ru и вошел в призовые топ-100 соревнования Hack The World 2017.

В феврале я решил научить коллег-тестировщиков искать уязвимости и проверять релизы на баги безопасности. Из плана обучения я вынес в статью самые основы: с чего начать, что такое HTTP, а также сделал полный разбор одной уязвимости — как искать, защищаться и обходить защиту.

Читать дальше ->

https://habrahabr.ru/post/351806/

Сфера государственного IT нередко становится предметом для шуток и критики. Однако нельзя отрицать, что за последние годы работа по развитию информационного общества и в частности работа по доступности государственных электронных услуг принесла результаты.

В РФ созданы следующие элементы системы электронного правительства:

2008 г. – сеть многофункциональных центров предоставления услуг (МФЦ);
2009 г. – единый портал предоставления государственных и муниципальных услуг (ЕПГУ), региональных порталов и порталов муниципалитетов (ЕПГУ), связанных с системой межведомственного электронного взаимодействия (СМЭВ);
2011 г. – система открытого правительства;
2013 г. – интегрированное правительство (МФЦ + ЕПГУ + СМЭВ).

Государственные органы заинтересованы в высококвалифицированных кадрах, снижении рисков и затрат, объединении усилий с частным сектором в предоставлении услуг. Возможно, вы IT-специалист, задумывающийся о работе в Департаменте информационных технологий своего города, или сотрудник IT-компании с частной формой собственности, которая хотела бы оказывать свои услуги государственным организациям. Что нужно знать и к чему быть готовым для такой работы?

Мы, со своей стороны, предлагаем облачную инфраструктуру для размещения в них государственных информационных систем и имеем опыт реализации таких проектов.

Наиболее актуальным для государственных заказчиков является вопрос соответствия требованиям законодательства.Целью этой статьи является повышение осведомленности IT-специалистов в вопросах работы в сфере государственного IT. Эта статья посвящена одному из основных нормативных правовых актов в сфере обеспечения безопасности информации в Государственных и Муниципальных Информационных Системах — 17-ому приказу ФСТЭК. Читать дальше ->

https://habrahabr.ru/post/351830/

Всем привет!

Недавно мы решали задачу авторизации пользователей мобильного приложения на нашем бекенде. Ну и что, спросите вы, задача-то уже тысячу раз решённая. В этой статье я не буду рассказывать историю успеха. Лучше расскажу про те грабли, которые мы собрали.

Поехали!

https://habrahabr.ru/post/351860/

Мы продолжаем тему алертинга в Splunk. Ранее мы говорили о том, как настроить отправку оповещений на электронную почту, а сегодня покажем Вам, как отправлять уведомления в мессенджеры, такие как Telegram и Slack.

В статье вы найдете пошаговую инструкцию по настройке.
Читать дальше ->

https://habrahabr.ru/post/351798/

Как я уже сказал в своей биографии, это выступление посвящается двум великим людям, которых мы недавно потеряли – Рэнди Сэвидж Мачо Мену и Рональду Рейгану. И ещё недавно умершему парню по имени Буба, который сыграл в «Полицейской академии». Итак, добро пожаловать в искусство троллинга!



Я думал, что Вы воспримите идею доклада о троллинге как шутку, но Вы встретили это заявление с энтузиазмом, поэтому я расскажу Вам всё, что знаю по этому поводу. Я Мэтт Джойс, известный под прозвищем «openfly», тот, кто умеет троллить людей, доводя их до крайней степени раздражения. Я известен во многих кругах как профессиональный тролль, забанен в системе чатов IRC и Fark, а на видеоконференции Unreal 2004 меня представили как человека, «который забанен практически на каждом сервере и форуме, известном в Интернете». Кроме этого, я работаю над открытым ресурсом федеральной программы облачных технологий, и участвую в создании образов Fonera 2.0n для проекта ChaosVPN. Читать дальше ->

https://habrahabr.ru/post/351796/

Доброго утра Хабру. Читал вчера статью о хэш-стеганографии через социальные сети, и пришла мне в голову мысль сделать что-то более оптимальное в плане объёма выходных данных. Получилось что-то более-менее работоспособное и даже оптимизированное (в отличие от proof-of-concept romabibi), поэтому, как и обещал, пишу статью.

Что ж, поздороваюсь с вами ещё раз: , и добро пожаловать под кат.
Поехали!

https://habrahabr.ru/post/351858/

Оглавление

10 Приоритет атрибутов

Что происходит, когда вы пишете в одном теге более одного атрибута th:*? Например:
Читать дальше ->

https://habrahabr.ru/post/351854/

Оглавление

9 Локальные переменные

Thymeleaf называет локальными переменными те переменные, которые определены для определенного фрагмента шаблона и доступны только для выполнения внутри этого фрагмента.
Читать дальше ->

https://habrahabr.ru/post/351852/

Оглавление

8 Макет шаблона / Template Layout

8.1 Включение фрагментов шаблонов

Определение и ссылка на фрагменты

В шаблоны мы часто включаем фрагменты из других шаблонов, такие как подвал, заголовок, меню…
Читать дальше ->

https://habrahabr.ru/post/351844/

2.1. Играя с грязью

«Это не просто изучение вещей, которые важны. Это обучение тому, что делать с тем, что вы учите и познанием, почему вы изучаете все эти важные вещи» — Нортон Джастер, рассказ Фантомный Киоск (The Phantom Tollbooth)

Ребенок по имени Кэрол играет с грязью. Оборудованная вилкой, ложкой и чашкой её задача испечь воображаемый пирог, таким же способом, как готовить её мать. Давайте предположим, что она играет одна и вообразим три вещи, которые могут случиться с ней:

Она играет одна. Она хочет наполнить свою чашку грязью и сперва делает это при помощи своей вилки, однако она терпит неудачу потому что грязь просачивается через зубчики вилки. Она разочарованна и ощущает фрустрацию. Но, когда у неё получается задуманное благодаря использованию ложки, Кэрол довольна и ощущает удовлетворение.

Что может извлечь из этой ситуации Кэрол? Она получила знание методом проб и ошибок, о том, что вилки не очень-то приспособлены для переноса грязи. Но благодаря опыту с ложкой она приобрела знание, что ложки являются хорошим инструментом для переноса жидкости. Благодаря ошибкам мы понимаем какой метод не работает — в то время как успех учит нас какой метод принесёт успех. [Пояснения в §9-2.]

Заметьте, что Кэрол сделала это когда работала в одиночестве — и получила новые знания самостоятельно. В случае обучения методом проб и ошибок ей не потребовался учитель для оказания помощи.
Читать дальше ->

https://habrahabr.ru/post/351760/

В начале марта в американском городе Джексонвилле завершилась встреча международной рабочей группы WG21 по стандартизации C++. На встрече добавляли фишки в C++20, подготавливали к выпуску «превью» новых компонентов и полировали до блеска шероховатости языка.

Хотите посмотреть на новости и узнать:

• Почему это тут золотая медаль справа?
• Как там поживает кросплатформенный SIMD?
• Что будет если 4000 поделить на последнюю пятницу февраля?
• Какие подводные камни нашлись у сопрограм?
• Какие крутые фишки для многопоточного программирования будут в скором времени доступны?

Добро пожаловать под кат

https://habrahabr.ru/post/351492/

И для чего он используется в фреймворке для приватных блокчейнов Exonum

Tokio — это фреймворк для разработки сетевых масштабируемых приложений на Rust, использующий компоненты для работы с асинхронным вводом/выводом. Tokio часто служит основой для других библиотек и реализаций высокопроизводительных протоколов. Несмотря на то что он является довольно молодым фреймворком, ему уже удалось стать частью экосистемы межплатформенного программного обеспечения.

И хотя Tokio критикуют за излишнюю сложность в освоении, он уже используется в продакшн-средах, поскольку код, написанный на Tokio, легче поддерживать. Например, его уже интегрировали в hyper, tower-grpc и сonduit. Мы тоже обратились к этому решению при разработке нашей платформы Exonum.

Работа над Exonum началась в 2016 году, когда Tokio еще не существовал, поэтому сперва нами использовалась библиотека Mio v0.5. С появлением Tokio стало ясно, что используемая библиотека Mio устарела, более того, с её помощью было сложно организовывать событийную модель Exonum. Модель включала несколько типов событий (сетевые сообщения, таймауты, сообщения из REST API и др.), а также их сортировки по степени приоритетности.

Каждое событие влечет за собой изменение состояния узла, а значит их необходимо обрабатывать в одном потоке, в определенном порядке и по одному принципу. На Mio схему обработки каждого события приходилось описывать вручную, что при поддержании кода (добавлении/изменении параметров) могло оборачиваться большим количеством ошибок. Tokio позволил упростить этот процесс за счет встроенных функций.

Ниже мы расскажем о компонентах стека Tokio, которые позволяют эффективно организовывать обработку асинхронных задач.

Читать дальше ->

https://habrahabr.ru/post/351824/

https://habrahabr.ru/post/351822/

Всем привет!

Одним из основных инструментов на нашем курсе «Разработчик BigData» является Jupyter. Глянем, что его разработчики приготовили в новой итерации и что уже доступно в бета-версии.

Поехали.

Вкратце: JupyterLab готов к ежедневному использованию (установка, документация, экскурс через Binder)

JupyterLab — это интерактивная среда разработки для работы с блокнотами, кодом и данными.


Читать дальше ->

https://habrahabr.ru/post/351820/

Недавно мы писали о том, как организуем работу с удаленными сотрудниками, и упомянули всем известный мессенджер Slack. Почти сразу после выхода статьи мы нашли его пока не очень идеальный аналог, который обещает стать лучшим среди рабочих мессенджеров в ближайшие пару лет. Сегодня расскажем, почему мы так думаем.


Читать дальше ->

https://habrahabr.ru/post/351768/

Японский национальный институт квантовых и радиологических наук (QST) заключил контракт с компанией Cray на поставку суперкомпьютера Cray XC50. Его мощности направят на проведение ядерных исследований и поддержку международного проекта ITER. Одна из задач проекта — демонстрация возможности коммерческого использования термоядерного реактора.

Подробнее о назначении суперкомпьютера и его конфигурации, расскажем далее.

Читать дальше ->

https://habrahabr.ru/post/351816/

Abstract: как заставить себя изучить любую из существующих систем конфигураций и перестать редактировать файлы на сервере руками.

Пост посвящён душевной боли, которую нужно преодолеть. Ещё в посте будет чуть-чуть технического, но большей частью пост посвящён борьбе с самим собой, отложенному вознаграждению и тому, насколько моторная память котролирует вас.

Введение для отшельников, которые не слышали что такое configuration management systems

Уже многие годы (по айтишным меркам — три поколения как) существуют программы, которые позволяют автоматизировать процесс конфигурации серверов. Все эти программы сложные, они вторгаются в святую святых администраторов и заставляют их делать "всё не так, как раньше". Их изучение и интернализация (признание, что "так надо и так правильно") — абсолютный must have в карьере любого системного администратора.

Главная боль любой системы управления конфигурациями

Главная боль состоит в том, что система управления конфигурациями ломает привычную автоматику пальцев. Раньше вы могли поднять веб-сервер за 2 минуты почти не глядя на экран. Теперь вам предлагают потратить на абсолютно те же самые действия минут 15-20 (если вы хорошо знаете систему управления конфигурациями) или даже несколько дней (!!!!!), если вы её изучаете.

Это преступление против личной эффективности. Уменьшить её в десять (0xA) раз — и это они называют прогрессом?

Читать дальше ->

https://habrahabr.ru/post/343644/

Сколько открытых багов у вас в бэклоге? 100? 1000?
А сколько времени они там лежат? Неделю? Месяц? Годы?
А почему так происходит? Нет времени? Надо делать более приоритетные задачи? «Вот сейчас все срочные фичи реализуем, а потом точно будет время на разгребание багов»?

… Некоторые используют Zero Bug Policy, у кого-то хорошо развита культура работы с багами (своевременно актуализируют бэклог, пересматривают ошибки при изменении функционала и т.д.), а кто-то выращивает волшебников, которые пишут вообще без багов (маловероятно, но, может, и такое бывает).

Сегодня я расскажу вам про наше решение по чистке бэклога багов — проект «Багодельня».

Читать дальше ->

https://habrahabr.ru/post/351736/

В середине января этого года Амазон анонсировал поддержку Go в своих лямбдах.
Отличная новость, но сейчас я пишу эти строки не имея никакого опыта написания кода на Golang, чтобы, проходя через пеньки и ухабы, параллельно с написанием статьи, прийти к первой своей работающей лямбде на Go.

Читать дальше ->

https://habrahabr.ru/post/351744/

Для тех, кто не смог до нас доехать, мы запускаем прямую трансляцию с первого москвоского митапа по Vue.js, которая начнется в 19:00

Запланирована программа выступлений:

• 19:00 – Практика и методы работы со сложными формами во Vue.js – Александр Башкирцев (Software developer, Acronis)
• 19:30 – Внедряем Vue.js в готовый проект, безболезненное избавление от jQuery. – Александр Майоров (CTO, NewHR)
• 20:00 – 20:10 – Перерыв на кофе и обсуждения
• 20:10 – Простое и понятное управление состоянием во vue.js – Александр Сафт (Senior Frontend Developer, Смотрешка)
• 20:40 – Опыт использования Nuxt.js – Григорий Петров (технический евангелист Voximplant)

https://habrahabr.ru/post/351810/