Local Storage - небезопасно!
Все больше разработчиков используют localStorage для хранения данных, в том числе и конфиденциальных, даже не подозревая, что тем самым подвергают свои сайты взлому..
Почему не стоит использовать LocalStorage
#js #security
Все больше разработчиков используют localStorage для хранения данных, в том числе и конфиденциальных, даже не подозревая, что тем самым подвергают свои сайты взлому..
Почему не стоит использовать LocalStorage
#js #security
Telegraph
Почему не стоит использовать LocalStorage
Итак, localStorage — новая особенность HTML5, позволяющая хранить любую информацию в пользовательском браузере благодаря JavaScript. Это старый добрый JS-объект, в который можно добавлять и удалять пары ключ/значение. Давайте посмотрим на пример небольшого…
Вы, наверное, начали получать сообщения от сервисов об изменении правил пользования в части защиты персональных данных, и пока вы не примете новые правила использования, они перестанут работать.
Все, что вам нужно знать про GDPR
#security
Все, что вам нужно знать про GDPR
#security
Telegraph
Регламент по защите данных GDPR
Что такое GDPR Цифровой маркетинг основан на анализе больших объемов данных о потребителях. Эта информация помогает создавать релевантные предложения и достигать больших результатов. Сайты сохраняют файлы cookie, чтобы отследить предпочтения пользователя…
Новый способ аутентификации позволяет отказаться от использования паролей вообще. WebAuthn предлагает использовать для аутентификации на сайтах и в приложениях аппаратные ключи, отпечатки пальцев, распознавание лиц, сканы радужной оболочки глаза и прочую биометрию.
Подробнее: Аутентификация без паролей
#security
Подробнее: Аутентификация без паролей
#security
Telegraph
Аутентификация без паролей
Консорциум W3C (World Wide Web Consortium) и альянс FIDO (Fast IDentity Online) начали работу над Web Authentication (WebAuthn) еще в 2015 году. Напомню, что в частности данный API позволяет пользователям входить в Google, Facebook, Dropbox, GitHub и так…
Что такое фингерпринтинг текста непечатаемыми символами? Посмотрите демо
Впечатлены? Тут описано, как это работает: Осторожнее с копипастом
#security #js
Впечатлены? Тут описано, как это работает: Осторожнее с копипастом
#security #js
Telegraph
Осторожнее с копипастом
Символы нулевой ширины — это непечатаемые управляющие символы, которые не отображаются большинством приложений. Эти символы можно использовать как уникальные «отпечатки» текста для идентификации пользователей.
Перевод статьи человека, который несколько лет воровал имена пользователей, пароли и номера кредитных карт с различных сайтов.
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
#security #js
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
#security #js
Telegraph
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
То, о чём я хочу рассказать, было на самом деле. Или, может быть, моя история лишь основана на реальных событиях. А возможно всё это — выдумка. Выдалась однажды такая неделя — безумное время, когда всех вокруг тревожила безопасность. Ощущение было такое,…
История о парне, который с помощью SQL Injection смог получить доступ к базе Федеральной службы по надзору в сфере образования и науки
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
#security
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
#security
Telegraph
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
Одиноким вечером, глядя на свою пустую зачётку и осознавая, что конец близок, я снова задумался о том, как бы мне сейчас собрать сумку, или даже просто рюкзак, положить туда рубашку, шорты и свалить в тёплую страну. Было бы хорошо, да вот с дипломом живётся…
Сегодня посмотрим, как лучше всего хранить пароли в базе данных и как известные платформы решают эту задачу.
Про хранение паролей в БД
#security #db
Про хранение паролей в БД
#security #db
Telegraph
Про хранение паролей в БД
Plaintext Когда встал вопрос хранения паролей, конечно, первой идеей было просто записывать их в открытом виде в соответствующей табличке в базе данных. И все бы ничего, если бы доступ к ней действительно напрямую клиенты получить не могли. Но, к сожалению…
Yahoo оштрафуют на £250k за нарушение правил по работе с ПД
На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году.
Подробнее
#news #security
На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году.
Подробнее
#news #security
Telegraph
Yahoo оштрафуют на £250k за нарушение старых правил по работе с ПД
В 2014-м году злоумышленники взломали серверы Yahoo и похитили учетные данные полумиллиона пользователей, включая номера телефонов, даты рождения, пароли, вопросы для восстановления аккаунта и ответы на них. О краже стало известно после того, как человек…
Вопрос ограничения доступа к данным встает при разработке многопользовательских систем почти всегда.
Ситуации, когда авторизованный пользователь может по прямому url получить доступ к данным «соседа» или совершить действие в его аккаунте случаются сплошь и рядом. О том, как предотвратить такие ситуации пойдет речь в статье.
Доступ к данным в многопользовательских приложениях
#security #asp #csharp
Ситуации, когда авторизованный пользователь может по прямому url получить доступ к данным «соседа» или совершить действие в его аккаунте случаются сплошь и рядом. О том, как предотвратить такие ситуации пойдет речь в статье.
Доступ к данным в многопользовательских приложениях
#security #asp #csharp
Telegraph
Доступ к данным в многопользовательских приложениях
Основные сценарии следующие: ограничение доступа к данным для пользователей не прошедших аутентификацию ограничение доступа к данным для аутентифицированных, но не обладающих необходимыми привелегиями пользователей предотвращение несанкционированного доступа…
Хотели как лучше — получилось как всегда. Помните, когда Европейский Союз принял нашумевший GDPR, который защищает права юзеров и на каждом сайте пришлось клацать «Да, я согласен с тем, что сайт будет использовать мои данные» и тп. Для позователей хорошо, однако уже есть случаи того, как на новом законе наживаются хакеры.
Хакерские атаки из-за GDPR
#news #security
Хакерские атаки из-за GDPR
#news #security
Telegraph
Внедрение GDPR породило новую форму хакерских атак
Хотели как лучше — получилось как всегда. Когда Европейский Союз принял нашумевший GDPR (General Data Protection Regulation law), который защищает права юзеров и всем пришлось едва ли не на каждом сайте клацать «Да, я согласен с тем, что сайт будет использовать…
Разработка безопасных и надежных облачных веб-приложений — очень, очень сложное дело. Если вы думаете иначе, вы либо не от мира сего, либо жизнь вас еще не проучила.
После того, как вы просмотрите приведённый ниже контрольный список задач, которые нужно решить для обеспечения безопасности веб-проекта, вы, наверняка, сами увидите, что многое из того, что в нём есть, в вашей разработке не учтено.
Безопасность для веб-разработчиков
#article #security
После того, как вы просмотрите приведённый ниже контрольный список задач, которые нужно решить для обеспечения безопасности веб-проекта, вы, наверняка, сами увидите, что многое из того, что в нём есть, в вашей разработке не учтено.
Безопасность для веб-разработчиков
#article #security
Telegraph
Безопасность для веб-разработчиков
Если вы вдохновились идеями создания минимального жизнеспособного продукта и уверены в том, что можете разработать нечто полезное и безопасное за месяц, дважды подумайте, прежде чем выпускать в жизнь подобный «продукт», а скорее — лишь прототип. После того…
Европейский общий регламент по защите данных вступил в силу два месяца назад. Пока IT-сектор размышляет о будущем крупных информационных гигантов, перемены уже происходят и на более низком уровне: многие компании закрылись, другие — пытаются адаптироваться.
Жертвы GDPR. Кто прекратил работу из-за новых правил
#article #security
Жертвы GDPR. Кто прекратил работу из-за новых правил
#article #security
Telegraph
Жертвы GDPR. Кто прекратил работу из-за новых правил
Цена слишком высока Цель GDPR — ужесточить контроль за обработкой персональных данных пользователей. Потому новое законодательство накладывает на компании большое количество требований. И хотя это должно принести выгоду IT-сектору в долгосрочной перспективе…
В наши дни веб-сервисы постоянно подвергаются самым разным атакам. Поэтому безопасность - это то, о чём стоит помнить на всех этапах жизненного цикла проектов.
В этом материале, посвящённом безопасности, собрано более двух десятков рекомендаций, касающихся Node.js, и некоторые советы общего характера.
23 рекомендации по защите Node.js приложений
#nodejs #security
В этом материале, посвящённом безопасности, собрано более двух десятков рекомендаций, касающихся Node.js, и некоторые советы общего характера.
23 рекомендации по защите Node.js приложений
#nodejs #security
Medium
23 рекомендации по защите Node.js приложений
В наши дни веб-сервисы постоянно подвергаются самым разным атакам. Поэтому безопасность — это то, о чём стоит помнить на всех этапах…
Forwarded from WebDEV
Перевод статьи человека, который несколько лет воровал имена пользователей, пароли и номера кредитных карт с различных сайтов.
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
#security #js
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
#security #js
Telegraph
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
То, о чём я хочу рассказать, было на самом деле. Или, может быть, моя история лишь основана на реальных событиях. А возможно всё это — выдумка. Выдалась однажды такая неделя — безумное время, когда всех вокруг тревожила безопасность. Ощущение было такое,…
Баннеры на сайтах с информацией о Cookies часто закрывают чуть ли не половину контента, чем раздражают пользователей. Разберемся, что на самом деле требуют европейские законы, из-за которых эти всплывающие окна появились, и можно ли обойтись без баннеров совсем.
Нужны ли cookie-баннеры в эпоху GDPR
#cookies #gdpr #security
Нужны ли cookie-баннеры в эпоху GDPR
#cookies #gdpr #security
Medium
Нужны ли cookie-баннеры в эпоху GDPR
Баннеры на сайтах с информацией о cookies часто закрывают чуть ли не половину контента, чем раздражают пользователей. Разберемся, что на…
Скажем, вы хотите сделать посещенные ссылки серыми и уменьшить их размер, для того чтобы показать пользователю что эта ссылка уже была посещена. Окрашивание ссылки в серый цвет, как и предполагалось, уведомляет нас о том что она уже была посещена, но размер шрифта остался прежним!
Так происходит, потому что изменение размера шрифта может быть причиной уязвимости! Если CSS сможет изменить размер шрифта, я могу сказать посещали ли Вы pornhub.com. Но как?
Почему нельзя установить размер шрифта у посещенной ссылки
#css #security
Так происходит, потому что изменение размера шрифта может быть причиной уязвимости! Если CSS сможет изменить размер шрифта, я могу сказать посещали ли Вы pornhub.com. Но как?
Почему нельзя установить размер шрифта у посещенной ссылки
#css #security
Medium
Почему нельзя установить размер шрифта у посещенной ссылки
Посещенные ссылки отображаются фиолетовым; не посещенные — голубым. Это различие пришло к нам с времен появления веба. Но CSS позволяет…