Ликбез по распространённым Client-Side уязвимостям
Хороший и качественный код — не всегда безопасный код. Поэтому любому разработчику важно иногда изучать ИБ практики, чтобы не упускать хотя бы самые очевидные уязвимости в коде.
Начнем с Client Side-уязвимостей. Это слабые места или ошибки в ПО, работающем на стороне пользователя. Их можно использовать для хакерских атак или несанкционированного доступа к системе.
В статье — самые распространённые виды уязвимости на стороне клиента и некоторые методы Client-Side защиты: https://habr.com/ru/companies/bastion/articles/757590/
#безопасность #веб
Хороший и качественный код — не всегда безопасный код. Поэтому любому разработчику важно иногда изучать ИБ практики, чтобы не упускать хотя бы самые очевидные уязвимости в коде.
Начнем с Client Side-уязвимостей. Это слабые места или ошибки в ПО, работающем на стороне пользователя. Их можно использовать для хакерских атак или несанкционированного доступа к системе.
В статье — самые распространённые виды уязвимости на стороне клиента и некоторые методы Client-Side защиты: https://habr.com/ru/companies/bastion/articles/757590/
#безопасность #веб
👍20❤4💩1
Может ли саундбар вас подслушивать?
Не ещё одна фобия, но увлекательное исследование, в котором специалист по ревёрс-инжинирингу решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести.
Будет интересно не только специалистам в области ревёрс-инжиниринга, но и всем, кто интересуется конфиденциальностью и безопасностью умных устройств. Читается как остросюжетный детектив: https://habr.com/ru/companies/bizone/articles/762122/
#безопасность
Не ещё одна фобия, но увлекательное исследование, в котором специалист по ревёрс-инжинирингу решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести.
Будет интересно не только специалистам в области ревёрс-инжиниринга, но и всем, кто интересуется конфиденциальностью и безопасностью умных устройств. Читается как остросюжетный детектив: https://habr.com/ru/companies/bizone/articles/762122/
#безопасность
👍35😁14🔥4❤1
FlipperZero? А может лучше NokiaZero?
Flipper Zero — модный хакерский мультитул, выполненный в стиле тамагочи. Так вот один энтузиаст решил не только прокачать клавиатуру устройства, но и заключить его в корпус легендарного кнопочного телефона Nokia.
Что получилось в итоге, а также как создавался сакральный мультитул из 2000-х, читайте в статье: https://habr.com/ru/articles/764600/
#diy #безопасность
Flipper Zero — модный хакерский мультитул, выполненный в стиле тамагочи. Так вот один энтузиаст решил не только прокачать клавиатуру устройства, но и заключить его в корпус легендарного кнопочного телефона Nokia.
Что получилось в итоге, а также как создавался сакральный мультитул из 2000-х, читайте в статье: https://habr.com/ru/articles/764600/
#diy #безопасность
👍46❤4💩3🔥2
Разработчик Flipper Zero выпустил версию устройства с прозрачным дизайном
Только вчера писали про энтузиаста, который попытался повторить функциональность FilpperZero в корпусе легендарной Nokia. А сегодня разработчики оригинального FlipperZero решили порадовать пользователей обновлением. Теперь видны внутренние компоненты и сложный дизайн. Так в компании показали приверженность открытому исходному коду.
Всего планируют выпустить 7,5 тыс. устройств, но стоить они будут как обычно — $169 за штуку. К тому же, один пользователь сможет купить не больше 2 устройств.
#безопасность
Только вчера писали про энтузиаста, который попытался повторить функциональность FilpperZero в корпусе легендарной Nokia. А сегодня разработчики оригинального FlipperZero решили порадовать пользователей обновлением. Теперь видны внутренние компоненты и сложный дизайн. Так в компании показали приверженность открытому исходному коду.
Всего планируют выпустить 7,5 тыс. устройств, но стоить они будут как обычно — $169 за штуку. К тому же, один пользователь сможет купить не больше 2 устройств.
#безопасность
👍24🔥10💩4
Cloudflare включает ECH для миллионов сайтов, включая пиратские, — теперь их блокировка сайтов станет бесполезной
Cloudflare активировал функцию Encrypted Client Hello (ECH). Это новый стандарт конфиденциальности, который уже получил поддержку от таких браузеров как Chrome, Firefox и Edge.
Новая функция конфиденциальности делает невозможным отслеживание интернет-провайдерами посещенных абонентами сайтов и блокировку пиратских сайтов, если и сайт, и посетитель активировали ECH. Функция активна для всех пользователей бесплатных тарифных планов, которые используют многие пиратские сайты.
Что интересно, Cloudflare не упоминает о возможности обхода блокировок. Вместо этого компания «просто рада делать интернет более конфиденциальным и безопасным для всех».
#безопасность #интернет
Cloudflare активировал функцию Encrypted Client Hello (ECH). Это новый стандарт конфиденциальности, который уже получил поддержку от таких браузеров как Chrome, Firefox и Edge.
Новая функция конфиденциальности делает невозможным отслеживание интернет-провайдерами посещенных абонентами сайтов и блокировку пиратских сайтов, если и сайт, и посетитель активировали ECH. Функция активна для всех пользователей бесплатных тарифных планов, которые используют многие пиратские сайты.
Что интересно, Cloudflare не упоминает о возможности обхода блокировок. Вместо этого компания «просто рада делать интернет более конфиденциальным и безопасным для всех».
#безопасность #интернет
🤣52🥰19🔥13👍12👎1🎉1
Мошенничество FTX: почему для мошеннических действий не стоит писать код на Python
FTX — онлайн-сервис обмена цифровых валют. В 2021 году компания имела более миллиона пользователей и объем торгов был третьим среди криптобирж. Уже в ноябре 2022 года компания подала заявление о банкротстве. Но в работе криптобиржи нашли много странных историй, похожих на мошеннические действия. До сих пор ведется расследование.
На днях стало известно, что свидетельства мошенничества FTX обнаружились в самом коде. Впервые взглянуть на кодовую базу FTX мы смогли в прошлую среду.
По идее, ознакомление жюри присяжных должно было сбить их с толку. Но инженеры FTX написали достаточно чистый код с описательными именами переменных и короткими функциями, а также выбрали человекочитаемый язык Python.
Например, этот фрагмент кода якобы демонстрирует данные с баланса страхового фонда, который колеблется, когда биржа добавляет фонды или изымает их для покрытия убытков.
Даже программисту-новичку будет понятно, что на самом деле разработчики просто обновляли сумму, прибавляя к ней объём торгов за день, умножая на случайное число и деля его на миллиард.
Если интересно посмотреть на другие фрагменты кода, указывающие на мошеннические действия, и почувствовать себя в роли следователя, эта статья для вас: https://habr.com/ru/articles/766960/
#безопасность #python #криптовалюта
FTX — онлайн-сервис обмена цифровых валют. В 2021 году компания имела более миллиона пользователей и объем торгов был третьим среди криптобирж. Уже в ноябре 2022 года компания подала заявление о банкротстве. Но в работе криптобиржи нашли много странных историй, похожих на мошеннические действия. До сих пор ведется расследование.
На днях стало известно, что свидетельства мошенничества FTX обнаружились в самом коде. Впервые взглянуть на кодовую базу FTX мы смогли в прошлую среду.
По идее, ознакомление жюри присяжных должно было сбить их с толку. Но инженеры FTX написали достаточно чистый код с описательными именами переменных и короткими функциями, а также выбрали человекочитаемый язык Python.
Например, этот фрагмент кода якобы демонстрирует данные с баланса страхового фонда, который колеблется, когда биржа добавляет фонды или изымает их для покрытия убытков.
Даже программисту-новичку будет понятно, что на самом деле разработчики просто обновляли сумму, прибавляя к ней объём торгов за день, умножая на случайное число и деля его на миллиард.
Если интересно посмотреть на другие фрагменты кода, указывающие на мошеннические действия, и почувствовать себя в роли следователя, эта статья для вас: https://habr.com/ru/articles/766960/
#безопасность #python #криптовалюта
😁30🤣14👍9❤8
Может ли саундбар вас подслушивать: исследование саундбара Yamaha YAS-109, часть 2
В прошлый раз автор решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести. Но исследование оборвалось на самом интересном месте.
В этот раз автору действительно удалось раскрыть уязвимости и недекларированные возможности, которые зачем-то встроил производитель. Все в стиле предыдущей статьи — читается на одном дыхании, будет интересно всем, кто интересуется конфиденциальностью и безопасностью умных устройств: https://habr.com/ru/companies/bizone/articles/768904/
#безопасность
В прошлый раз автор решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести. Но исследование оборвалось на самом интересном месте.
В этот раз автору действительно удалось раскрыть уязвимости и недекларированные возможности, которые зачем-то встроил производитель. Все в стиле предыдущей статьи — читается на одном дыхании, будет интересно всем, кто интересуется конфиденциальностью и безопасностью умных устройств: https://habr.com/ru/companies/bizone/articles/768904/
#безопасность
😁21👍9👎2☃1🤩1😭1
Взлом YouTube: как технически работает скачивание видео с популярного видеохостинга
Вы наверняка слышали о специальном софте, который позволяет скачивать видео с YouTube. Это — youtube-dl (yt-dl) и его клоны, такие как yt-dlp и yt-dlc.
Исходный код yt-dl и самого популярного клона yt-dlp написан на Python и опубликован на Github. Все инструменты используют стандартный интерфейс YouTube API, который постоянно меняется.
В статье рассматривают примеры обращения к YouTube API из командной строки и показывают, как работают «хакерские» способы, используемые в yt-dl и yt-dlp: https://habr.com/ru/companies/ruvds/articles/765798/
#google #безопасность #opensource
Вы наверняка слышали о специальном софте, который позволяет скачивать видео с YouTube. Это — youtube-dl (yt-dl) и его клоны, такие как yt-dlp и yt-dlc.
Исходный код yt-dl и самого популярного клона yt-dlp написан на Python и опубликован на Github. Все инструменты используют стандартный интерфейс YouTube API, который постоянно меняется.
В статье рассматривают примеры обращения к YouTube API из командной строки и показывают, как работают «хакерские» способы, используемые в yt-dl и yt-dlp: https://habr.com/ru/companies/ruvds/articles/765798/
#google #безопасность #opensource
❤29👍10😁6🍌1