Новый способ аутентификации позволяет отказаться от использования паролей вообще. WebAuthn предлагает использовать для аутентификации на сайтах и в приложениях аппаратные ключи, отпечатки пальцев, распознавание лиц, сканы радужной оболочки глаза и прочую биометрию.
Подробнее: Аутентификация без паролей
#security
Подробнее: Аутентификация без паролей
#security
Telegraph
Аутентификация без паролей
Консорциум W3C (World Wide Web Consortium) и альянс FIDO (Fast IDentity Online) начали работу над Web Authentication (WebAuthn) еще в 2015 году. Напомню, что в частности данный API позволяет пользователям входить в Google, Facebook, Dropbox, GitHub и так…
Что такое фингерпринтинг текста непечатаемыми символами? Посмотрите демо
Впечатлены? Тут описано, как это работает: Осторожнее с копипастом
#security #js
Впечатлены? Тут описано, как это работает: Осторожнее с копипастом
#security #js
Telegraph
Осторожнее с копипастом
Символы нулевой ширины — это непечатаемые управляющие символы, которые не отображаются большинством приложений. Эти символы можно использовать как уникальные «отпечатки» текста для идентификации пользователей.
Перевод статьи человека, который несколько лет воровал имена пользователей, пароли и номера кредитных карт с различных сайтов.
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
#security #js
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
#security #js
Telegraph
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
То, о чём я хочу рассказать, было на самом деле. Или, может быть, моя история лишь основана на реальных событиях. А возможно всё это — выдумка. Выдалась однажды такая неделя — безумное время, когда всех вокруг тревожила безопасность. Ощущение было такое,…
История о парне, который с помощью SQL Injection смог получить доступ к базе Федеральной службы по надзору в сфере образования и науки
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
#security
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
#security
Telegraph
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
Одиноким вечером, глядя на свою пустую зачётку и осознавая, что конец близок, я снова задумался о том, как бы мне сейчас собрать сумку, или даже просто рюкзак, положить туда рубашку, шорты и свалить в тёплую страну. Было бы хорошо, да вот с дипломом живётся…
Сегодня посмотрим, как лучше всего хранить пароли в базе данных и как известные платформы решают эту задачу.
Про хранение паролей в БД
#security #db
Про хранение паролей в БД
#security #db
Telegraph
Про хранение паролей в БД
Plaintext Когда встал вопрос хранения паролей, конечно, первой идеей было просто записывать их в открытом виде в соответствующей табличке в базе данных. И все бы ничего, если бы доступ к ней действительно напрямую клиенты получить не могли. Но, к сожалению…
Yahoo оштрафуют на £250k за нарушение правил по работе с ПД
На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году.
Подробнее
#news #security
На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году.
Подробнее
#news #security
Telegraph
Yahoo оштрафуют на £250k за нарушение старых правил по работе с ПД
В 2014-м году злоумышленники взломали серверы Yahoo и похитили учетные данные полумиллиона пользователей, включая номера телефонов, даты рождения, пароли, вопросы для восстановления аккаунта и ответы на них. О краже стало известно после того, как человек…
Вопрос ограничения доступа к данным встает при разработке многопользовательских систем почти всегда.
Ситуации, когда авторизованный пользователь может по прямому url получить доступ к данным «соседа» или совершить действие в его аккаунте случаются сплошь и рядом. О том, как предотвратить такие ситуации пойдет речь в статье.
Доступ к данным в многопользовательских приложениях
#security #asp #csharp
Ситуации, когда авторизованный пользователь может по прямому url получить доступ к данным «соседа» или совершить действие в его аккаунте случаются сплошь и рядом. О том, как предотвратить такие ситуации пойдет речь в статье.
Доступ к данным в многопользовательских приложениях
#security #asp #csharp
Telegraph
Доступ к данным в многопользовательских приложениях
Основные сценарии следующие: ограничение доступа к данным для пользователей не прошедших аутентификацию ограничение доступа к данным для аутентифицированных, но не обладающих необходимыми привелегиями пользователей предотвращение несанкционированного доступа…
Хотели как лучше — получилось как всегда. Помните, когда Европейский Союз принял нашумевший GDPR, который защищает права юзеров и на каждом сайте пришлось клацать «Да, я согласен с тем, что сайт будет использовать мои данные» и тп. Для позователей хорошо, однако уже есть случаи того, как на новом законе наживаются хакеры.
Хакерские атаки из-за GDPR
#news #security
Хакерские атаки из-за GDPR
#news #security
Telegraph
Внедрение GDPR породило новую форму хакерских атак
Хотели как лучше — получилось как всегда. Когда Европейский Союз принял нашумевший GDPR (General Data Protection Regulation law), который защищает права юзеров и всем пришлось едва ли не на каждом сайте клацать «Да, я согласен с тем, что сайт будет использовать…
Разработка безопасных и надежных облачных веб-приложений — очень, очень сложное дело. Если вы думаете иначе, вы либо не от мира сего, либо жизнь вас еще не проучила.
После того, как вы просмотрите приведённый ниже контрольный список задач, которые нужно решить для обеспечения безопасности веб-проекта, вы, наверняка, сами увидите, что многое из того, что в нём есть, в вашей разработке не учтено.
Безопасность для веб-разработчиков
#article #security
После того, как вы просмотрите приведённый ниже контрольный список задач, которые нужно решить для обеспечения безопасности веб-проекта, вы, наверняка, сами увидите, что многое из того, что в нём есть, в вашей разработке не учтено.
Безопасность для веб-разработчиков
#article #security
Telegraph
Безопасность для веб-разработчиков
Если вы вдохновились идеями создания минимального жизнеспособного продукта и уверены в том, что можете разработать нечто полезное и безопасное за месяц, дважды подумайте, прежде чем выпускать в жизнь подобный «продукт», а скорее — лишь прототип. После того…
Европейский общий регламент по защите данных вступил в силу два месяца назад. Пока IT-сектор размышляет о будущем крупных информационных гигантов, перемены уже происходят и на более низком уровне: многие компании закрылись, другие — пытаются адаптироваться.
Жертвы GDPR. Кто прекратил работу из-за новых правил
#article #security
Жертвы GDPR. Кто прекратил работу из-за новых правил
#article #security
Telegraph
Жертвы GDPR. Кто прекратил работу из-за новых правил
Цена слишком высока Цель GDPR — ужесточить контроль за обработкой персональных данных пользователей. Потому новое законодательство накладывает на компании большое количество требований. И хотя это должно принести выгоду IT-сектору в долгосрочной перспективе…
В наши дни веб-сервисы постоянно подвергаются самым разным атакам. Поэтому безопасность - это то, о чём стоит помнить на всех этапах жизненного цикла проектов.
В этом материале, посвящённом безопасности, собрано более двух десятков рекомендаций, касающихся Node.js, и некоторые советы общего характера.
23 рекомендации по защите Node.js приложений
#nodejs #security
В этом материале, посвящённом безопасности, собрано более двух десятков рекомендаций, касающихся Node.js, и некоторые советы общего характера.
23 рекомендации по защите Node.js приложений
#nodejs #security
Medium
23 рекомендации по защите Node.js приложений
В наши дни веб-сервисы постоянно подвергаются самым разным атакам. Поэтому безопасность — это то, о чём стоит помнить на всех этапах…
Forwarded from WebDEV
Перевод статьи человека, который несколько лет воровал имена пользователей, пароли и номера кредитных карт с различных сайтов.
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
#security #js
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
#security #js
Telegraph
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
То, о чём я хочу рассказать, было на самом деле. Или, может быть, моя история лишь основана на реальных событиях. А возможно всё это — выдумка. Выдалась однажды такая неделя — безумное время, когда всех вокруг тревожила безопасность. Ощущение было такое,…
Баннеры на сайтах с информацией о Cookies часто закрывают чуть ли не половину контента, чем раздражают пользователей. Разберемся, что на самом деле требуют европейские законы, из-за которых эти всплывающие окна появились, и можно ли обойтись без баннеров совсем.
Нужны ли cookie-баннеры в эпоху GDPR
#cookies #gdpr #security
Нужны ли cookie-баннеры в эпоху GDPR
#cookies #gdpr #security
Medium
Нужны ли cookie-баннеры в эпоху GDPR
Баннеры на сайтах с информацией о cookies часто закрывают чуть ли не половину контента, чем раздражают пользователей. Разберемся, что на…
Скажем, вы хотите сделать посещенные ссылки серыми и уменьшить их размер, для того чтобы показать пользователю что эта ссылка уже была посещена. Окрашивание ссылки в серый цвет, как и предполагалось, уведомляет нас о том что она уже была посещена, но размер шрифта остался прежним!
Так происходит, потому что изменение размера шрифта может быть причиной уязвимости! Если CSS сможет изменить размер шрифта, я могу сказать посещали ли Вы pornhub.com. Но как?
Почему нельзя установить размер шрифта у посещенной ссылки
#css #security
Так происходит, потому что изменение размера шрифта может быть причиной уязвимости! Если CSS сможет изменить размер шрифта, я могу сказать посещали ли Вы pornhub.com. Но как?
Почему нельзя установить размер шрифта у посещенной ссылки
#css #security
Medium
Почему нельзя установить размер шрифта у посещенной ссылки
Посещенные ссылки отображаются фиолетовым; не посещенные — голубым. Это различие пришло к нам с времен появления веба. Но CSS позволяет…
Hat.sh — это JavaScript библиотека, которая предоставляет возможность безопасного шифрования файлов используя WebCrypto API. Библиотека обладает рядом преимуществ: она быстрая, безопасная и serverless. Вы можете быстро зашифровать и расшифровать файлы без проблем.
Демо | GitHub
#js #security #crypto
Демо | GitHub
#js #security #crypto
Вирусы на сайтах
Одной из наиболее опасных угроз для современных сайтов являются вирусы. Обнаружив вредоносный код на страницах сайта, поисковые системы добавляют к сниппету в выдаче специальную отметку, рекомендующую пользователю не переходить по ссылке.
Администратору ресурса приходится серьезно поработать, чтобы удалить вирусы и вернуть сайт в исходное состояние. Но даже после этого на восстановление посещаемости и репутации проекта требуется некоторое время. Поэтому лучше сразу приложить определенные усилия, чтобы обезопасить свой сайт от заражения.
Читать статью
#article #security
Одной из наиболее опасных угроз для современных сайтов являются вирусы. Обнаружив вредоносный код на страницах сайта, поисковые системы добавляют к сниппету в выдаче специальную отметку, рекомендующую пользователю не переходить по ссылке.
Администратору ресурса приходится серьезно поработать, чтобы удалить вирусы и вернуть сайт в исходное состояние. Но даже после этого на восстановление посещаемости и репутации проекта требуется некоторое время. Поэтому лучше сразу приложить определенные усилия, чтобы обезопасить свой сайт от заражения.
Читать статью
#article #security
📖 Web Application Security
🖋 Andrew Hoffman, 2020
Несмотря на то, что доступно много ресурсов с информацией по обеспечению безопасности сети и ИТ, подробные знания о безопасности современных веб-приложений не были структурированы - до выхода данной книги. Это практическое руководство содержит описывает разнообразные концепции информационной безопасности, которые разработчики программного обеспечения могут легко освоить и применить.
💾 Скачать книгу
WebDEV #book #Security
🖋 Andrew Hoffman, 2020
Несмотря на то, что доступно много ресурсов с информацией по обеспечению безопасности сети и ИТ, подробные знания о безопасности современных веб-приложений не были структурированы - до выхода данной книги. Это практическое руководство содержит описывает разнообразные концепции информационной безопасности, которые разработчики программного обеспечения могут легко освоить и применить.
💾 Скачать книгу
WebDEV #book #Security
📖 Web Security for Developers
🖋 Malcolm McDonald, 2020
Начинающего разработчика легко обескуражить трудностями, связанными с должной защитой веб-сайта. К счастью, инструменты, необходимые для защиты сайта, находятся в свободном доступе и, как правило, просты в использовании. Данная книга покажет вам, как ваши веб-сайты уязвимы для атак и как их защитить. В каждой главе описывается основная уязвимость системы безопасности и исследуется реальная атака, а также большое количество кода, показывающего и уязвимость, и исправление.
💾 Скачать книгу
WebDEV #book #web #security
🖋 Malcolm McDonald, 2020
Начинающего разработчика легко обескуражить трудностями, связанными с должной защитой веб-сайта. К счастью, инструменты, необходимые для защиты сайта, находятся в свободном доступе и, как правило, просты в использовании. Данная книга покажет вам, как ваши веб-сайты уязвимы для атак и как их защитить. В каждой главе описывается основная уязвимость системы безопасности и исследуется реальная атака, а также большое количество кода, показывающего и уязвимость, и исправление.
💾 Скачать книгу
WebDEV #book #web #security