#  Внимание, обновите Firefox до версии 58.0.1 для закрытия критической уязвимости
habrabot (difrex,1) → All  –  16:00:14 2018-02-01


[![image][1]][2]

Mozilla выпустила важное обновление веб-браузера Firefox для исправления критической уязвимости, которая позволяет злоумышленникам удаленно выполнять вредоносный код на компьютерах, на которых установлена ​​уязвимая версия браузера.

Критическая уязвимость (CVE-2018-5124) может привести к выполнению кода в системе при открытии определённым образом подготовленных HTML-фрагментов, в которых используются дополнительные атрибуты управления интерфейсом. Суть уязвимости в возможности inline-подстановки JavaScript-кода через данные элементы, который будет выполнены на привилегированном уровне, отвечающем за формирование интерфейса браузера (chrome-privileged).
> «Успешное использование уязвимости может позволить злоумышленнику выполнить произвольный код с привилегиями пользователя. Если пользователь имеет повышенные привилегии, злоумышленник может полностью скомпрометировать систему», — говорится в [рекомендациях по безопасности от компании Cisco][3].Злоумышленник может получить возможность устанавливать программы, создавать новые учетные записи с полными правами пользователя, просматривать, изменять или удалять данные. [Читать дальше →][4]

[1]: https://habrastorage.org/getpro/habr/post_images/47c/4bf/692/47c4bf692312047a1ddd5881dc7d2f36.jpg
[2]: https://habrahabr.ru/company/cloud4y/blog/348080/
[3]: https://tools.cisco.com/security/center/viewAlert.x?alertId=56610
[4]: https://habrahabr.ru/post/348080/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348080#habracut
#  [Перевод] Вышел GitLab 10.4 c динамическим тестированием безопасности приложений и бета-версией Web IDE
habrabot (difrex,1) → All  –  15:15:08 2018-02-01


![Картинка для привлечения внимания][1]



В первом релизе 2018 года мы внесли улучшения в процессы планирования, тестирования, развертывания и работы с мерж-реквестами. Кроме того, в данный релиз включены новые возможности тестирования безопасности, а также первая версия Web IDE, который является частью нашего амбициозного проекта [Complete DevOps][2].


[Читать дальше →][3]

[1]: https://habrastorage.org/getpro/habr/post_images/59e/839/405/59e839405116eb8849df6bcca5fdeada.jpg
[2]: https://about.gitlab.com/2017/10/11/from-dev-to-devops/
[3]: https://habrahabr.ru/post/348086/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348086#habracut
#  Swift Package Manager
habrabot (difrex,1) → All  –  13:30:14 2018-02-01


![][1]
Вместе с релизом в open source языка Swift 3 декабря 2015 года Apple представила децентрализованный менеджер зависимостей [Swift Package Manager][2].

К публичной версии приложили руку небезызвестные [Max Howell][3], создатель Homebrew, и [Matt Thompson][4], написавший [AFNetworking][5]. SwiftPM призван автоматизировать процесс установки зависимостей, а также дальнейшее тестирование и сборку проекта на языке Swift на всех доступных операционных системах, однако пока его поддерживают только macOS и [Linux][6]. Если интересно, идите под кат.
[Читать дальше →][7]

[1]: https://habrastorage.org/webt/aa/zm/jr/aazmjr5f_19lcu43febz4buwhcu.jpeg
[2]: https://github.com/apple/swift-package-manager
[3]: https://github.com/mxcl
[4]: https://github.com/mattt
[5]: https://github.com/AFNetworking/AFNetworking
[6]: https://swift.org/download/#releases
[7]: https://habrahabr.ru/post/348004/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348004#habracut
#  [Из песочницы] Почему ранний возврат из функций так важен?
habrabot (difrex,1) → All  –  12:45:02 2018-02-01


Привет, Хабр! Представляю вашему вниманию перевод статьи [«Why should you return early?»][1] автора Szymon Krajewski

![image][2]

В начале моего приключения в роли программиста мой код зачастую напоминал вермишель. В любых условных выражениях я только и делал, что сразу переходил к описанию верного исхода, оставляя на конец остальное. «Это работает, вот и все», — говорил я себе, а код продолжал расти, как на дрожжах. Тысячи написанных методов в итоге заставили меня задуматься, а не стоит ли поменять их внутреннюю логику, возвращая отрицательные результаты как можно раннее. Таким образом, я пришел к тому, что теперь называю правилом «неотложного провала».

Очевидно, что существует несколько подходов написания одной и той же функции. Например, как можно начать выполнение основной части сразу после положительного исхода условного оператора, так и можно сначала пробежаться по всем отрицательным исходам, возвращая ошибки из функции, а уже только потом перейти к основной логике. Иными словами, я открыл для себя разные стили написания условных конструкций.
[Читать дальше →][3]

[1]: https://szymonkrajewski.pl/why-should-you-return-early/
[2]: https://habrastorage.org/webt/it/fn/e4/itfne4ffljtuwuhtcf5eralkiie.png
[3]: https://habrahabr.ru/post/348074/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348074#habracut
#  Генеративное Моделирование и AI
habrabot (difrex,1) → All  –  11:30:14 2018-02-01


В [предыдущей главе][1] мы поговорили о классических дискриминативных моделях в машинном обучении и разобрали простейшие примеры таких моделей. Давайте теперь посмотрим на более общую картину.
![][2]

[Читать дальше →][3]

[1]: https://habrahabr.ru/post/343800/
[2]: https://habrastorage.org/webt/05/sx/9a/05sx9a4nprmgcf26aulbzfi9qh4.gif
[3]: https://habrahabr.ru/post/347184/?utm_source=habrahabr&utm_medium=rss&utm_campaign=347184#habracut
#  Создание NPM-модуля Яндекс.Кассы под Node.js — опыт Lodoss Team
habrabot (difrex,1) → All  –  11:30:14 2018-02-01


![][1]



Спустя несколько месяцев после релиза обновленного API Яндекс.Кассы начали появляться первые интеграционные решения на новых технологиях. Одним из пионеров интеграции стала компания [Lodoss Team][2], разработавшая SDK-библиотеку для работы с Кассой под Node.js.



Никто не расскажет о проекте лучше, чем его автор. Поэтому передаю слово **Антону**, техническому идеологу **Lodoss Team**, который и расскажет о том, почему выбор пал на Кассу и как теперь у них всё это работает.

[Читать дальше →][3]

[1]: https://habrastorage.org/webt/k7/ac/bz/k7acbznazbplzi_mkl6gpy_yi5e.png
[2]: http://www.lodossteam.com/

>> Читать далее
#  Структуры данных со свойствами программы
habrabot (difrex,1) → All  –  11:30:14 2018-02-01


Как известно, база данных – это хранилище структурированной информации, пассивное по своей сути. Бизнес-логика приложения реализуется где-то вне базы, в виде «набора действий для достижения требуемого результата». В случае внесения изменений в хранимый набор данных результатом должно стать новое состояние базы. В краткой форме это можно записать как-то так: событие → \{действия\} → результат. Изменим эту формулировку на: событие → правила → результат, и посмотрим, что из этого получится.
[Читать дальше →][1]

[1]: https://habrahabr.ru/post/347856/?utm_source=habrahabr&utm_medium=rss&utm_campaign=347856#habracut
#  [Из песочницы] Топ-5 прогнозов в сфере информационной безопасности
habrabot (difrex,1) → All  –  11:30:14 2018-02-01


Давайте посмотрим правде в глаза, прошедший год был ужасным для кибербезопасности, с огромным количеством фишинговых атак, вирусов-вымогателей и т.д. Интересно, будет ли 2018 год лучше?

Многие эксперты мирового уровня прогнозируют увеличение количества атак. Они считают, что будут разработаны новые, сложные методы с более разрушительными последствиями.
В сети есть сотни прогнозов в сфере ИТ безопасности, мы сузили круг и собрали для вас топ-5. [Читать дальше →][1]

[1]: https://habrahabr.ru/post/348052/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348052#habracut
#  Nemesida Scanner — сканер уязвимостей веб-приложений
habrabot (difrex,1) → All  –  10:45:14 2018-02-01


![][1]


Nemesida Scanner предназначен для выявления уязвимостей в веб-приложениях, таких как SQL injection, XSS, LFI/RFI, XXE, Оpen-redirect, поиска компонентов с известными уязвимостями и критичных данных в открытом доступе, выявления недостатков конфигурации веб-приложения, сканирования портов, и т.д. Nemesida Scanner предоставляется в виде консольной версии для популярных Linux-дистрибутивов.

[Читать дальше →][2]

[1]: https://habrastorage.org/webt/hk/wf/dh/hkwfdh1pqxfin0m0zk1pwjnokri.png
[2]: https://habrahabr.ru/post/348064/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348064#habracut
#  [Из песочницы] Экономия газа в смарт-контрактах Ethereum
habrabot (difrex,1) → All  –  09:45:13 2018-02-01


В Ethereum для выполнения каждой транзакции требуется определённое количество газа — специальной сущности. Существуют разные пути для снижения затрат. Часть из них уже реализована. Хочу начать с обсуждения вопроса оптимизации стоимости создания смарт-контракта.



![Накладные расходы для уникальных контрактов][1]



Как видите, можно заметно снизить расход газа, сокращая издержки. Прежде чем займёмся деталями давайте обсудим вопрос оптимизации программ.

[Читать дальше →][2]

[1]: https://habrastorage.org/webt/vw/5m/fh/vw5mfhvvpxby1_-bu2z4_fnrpke.png
[2]: https://habrahabr.ru/post/348062/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348062#habracut
#  Прокачиваем WebDriverAgent, или как тестировать iOS-приложения после ядерного взрыва. Расшифровка доклада
habrabot (difrex,1) → All  –  08:45:14 2018-02-01


Когда Apple с выходом Xcode 8 отказались от UI Automator, мы, как и многие, оказались у разбитого корыта. Appium, который у нас использовался, потерял актуальность, мы начали искать альтернативы и нашли инструмент WebDriverAgent от Facebook. Под катом — текстовая расшифровка доклада о том, с какими проблемами мы столкнулись, как мы их решали и как это повлияло на нашу инфраструктуру тестирования iOS-приложений.



![][1]

[Читать дальше →][2]

[1]: https://habrastorage.org/webt/yy/rz/ws/yyrzwsx5l9ptjyuzbb8otqg_cnw.png
[2]: https://habrahabr.ru/post/347974/?utm_source=habrahabr&utm_medium=rss&utm_campaign=347974#habracut
#  Разработка драйвера PCI устройства под Linux
habrabot (difrex,1) → All  –  08:45:14 2018-02-01


![][1]
В данной статье я рассматриваю процесс написания простого драйвера PCI устройства под OC Linux. Будет кратко изучено устройство программной модели PCI, написание собственно драйвера, тестовой пользовательской программы и запуск всей этой системы.

В качестве подопытного выступит интерфейс датчиков перемещения ЛИР940/941. Это устройство, отечественного производства, обеспечивает подключение до 4 энкодеров с помощью последовательного протокола SSI поверх физического интерфейса RS-422.
[Читать дальше →][2]

[1]: https://habrastorage.org/webt/sf/xk/il/sfxkiltkrv6i--clz-dlrmgjrsw.jpeg
[2]: https://habrahabr.ru/post/348042/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348042#habracut
#  Что, собственно, такое персональные данные?
habrabot (difrex,1) → All  –  08:30:15 2018-02-01


![image][1]


_Новгородский мальчик Онфим из XIII века превратил кору в носитель персональных данных, собрав набор из изображения человека и его имени._

Представьте, что вы нашли трёх друзей, которые родились с вами в один и тот же день. У вас одинаковая дата рождения, одинаковый пол, и вы можете определёнными усилиями сменить имена в рамках закона. В итоге получится четверо одинаковых людей. Будет ли набор «Ф. И. О. + дата рождения + пол» персональными данными?

Ответ, как это ни странно, — да.

При этом под персональными данными понимается такой набор информации, который так или иначе позволяет идентифицировать физическое лицо — субъекта персональных данных. То есть однозначно указывает на конкретного человека.

Ранее в законодательном определении содержалось указание на конкретные примеры, которые каждый в отдельности или в совокупности с другой информацией составляли персональные данные. В текущей же редакции ст. 3 Федерального закона № 152-ФЗ примеров персональных данных не приводится, т. к. законодатель сделал упор на «духе закона», прямо оговорив, что к таким данным относится «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу», отдав решение этого вопроса на откуп судебной практике.

Поэтому давайте разбирать на примерах, что есть ПДн, а что — нет.

>> Читать далее
#  Программный синтез звука на ранних персональных компьютерах. Часть 1
habrabot (difrex,1) → All  –  06:30:14 2018-02-01


Это статья о первых программных синтезаторах, которые были когда-то созданы на самых обычных персональных компьютерах. Кроме того, это еще и набор уроков по реализации простых методов звукового синтеза в историческом контексте.


[Читать дальше →][1]

[1]: https://habrahabr.ru/post/348036/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348036#habracut
#  SecurityWeek 2: армия клонов, Google охотится на привидений, Blizzard патчится
habrabot (difrex,1) → All  –  05:45:13 2018-02-01


[Новость][1]
Судьба зловреда Exobot, с помощью которого злоумышленники добывали данные банковских карт пользователей еще с 2013 года, сложилась интереснее, чем у большинства подобных троянов — но весьма проблематично для экспертов безопасности. Авторы бота охотно сдавали его в аренду на любой срок, причем сервис оказался столь успешен коммерчески, что появилась даже вторая версия, переработанная практически с нуля. Что характерно, заказчики могли по своему желанию модифицировать троян с помощью контрольной панели, выбирая нужные им функции. Практически фабрика клонов со спецификациями на любой вкус.

А в прошедшем декабре организаторы этого центра клонирования во всеуслышание заявили, что собираются продать исходный код ограниченному кругу покупателей. Якобы они уже срубили с Exobot достаточно и выходят из бизнеса. Заявление звучит не очень логично, но может быть отчасти правдой: если им удалось сорвать большой куш, теперь добыча и собственная свобода перевешивают возможные выгоды. Но скорее всего, операторы Exobot постарались таким образом замаскировать желание уйти в тень и скрыться от пристального внимания. Как бы то ни было, после первых же продаж неприятности не заставили себя ждать: зловред пошел в серию.
[Читать дальше →][2]

[1]: https://threatpost.ru/exobots-source-code-got-sold/24183/
[2]: https://habrahabr.ru/post/348024/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348024#habracut
#  [Перевод] Как создать действительно случайный и доказуемо безопасный пароль
habrabot (difrex,1) → All  –  05:00:13 2018-02-01


[![][1]][2]

Менеджеры паролей, такие как KeePass, 1Password и множество других, в значительной степени решают эту проблему. С их помощью вы можете генерировать уникальный и безопасный пароль для каждого сайта, который вы посещаете. Но такой менеджер защищен ровно настолько, насколько безопасен главный пароль, который вы используете для доступа к нему. Вы должны быть уверены, что его достаточная случайность и неугадываемость подтверждена количественными измерениями, а не только тем, что вы воспринимаете его случайным по причине наличия нескольких цифр или восклицательных знаков. Если нам требуется истинная случайность, нам понадобится кое-что специальное.

К счастью, есть возможность купить что-то недорогое, с достаточной энтропией набора вероятностей и способное генерировать 3 бита информации за раз. Без электричества и достаточно надежно, позволяя сотням миллионов долларов ежедневно менять владельцев, основываясь на непогрешимости этой случайности. [Читать дальше →][3]

[1]: https://habrastorage.org/webt/ns/lf/wg/nslfwgj6j8ahv0cdi0g1p0w2xr4.png
[2]: https://habrahabr.ru/company/cloud4y/blog/347952/
[3]: https://habrahabr.ru/post/347952/?utm_source=habrahabr&utm_medium=rss&utm_campaign=347952#habracut
#  И так сойдёт… или Дыра как средство защиты
habrabot (difrex,1) → All  –  19:30:14 2018-01-31


![][1]



По мотивам "[И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках][2]"...



Статья, которую вы сейчас читаете, вовсе не ответ на вышеозвученный пост. Это будет скорее попытка показать что уже сейчас иногда делается, и что вообще можно сделать в области информационной безопасности, если немного отойти от общепринятых канонов при защите систем.



И чтобы расставить все точки над E, — я вовсе не пытаюсь оценить или как-то обелить "ответственные" лица, что с одной, что с другой стороны.
Я скорее просто попробую объяснить другой (возможно новый для некоторых читателей) концептуальный подход на примерах, в том числе и касающихся той статьи.

>> Читать далее
#  [Из песочницы] Установка Linux без .ISO и виртуализации
habrabot (difrex,1) → All  –  19:15:14 2018-01-31


# Установка Linux без .ISO и виртуализации



Создание файловой системы, установка и клонирование Debian и Ubuntu с помощью скриптов radish.



# 1\. Назначение и возможности скриптов radish



Обычно установка системы Linux производится путём запуска какой-либо программы-установщика, поставляемой разработчиками дистрибутива. Это производится либо непосредственно на компьютере, на котором производится установка, либо в какой-либо изолированной среде, например, используя виртуализацию. Описываемые ниже процедуры следуют этим принципам только в самом минимально необходимом виде. При создании образа системы какие-либо установщики сводятся к генератору минимальной системы debootstrap и интерфейсу менеджера пакетов apt (оба поверх менеджера пакетов dpkg), а вместо виртуализации используется chroot.


>> Читать далее
#  Олимпиада «ИТМО ВКонтакте»: выходные в Санкт-Петербурге и +10 баллов к ЕГЭ
habrabot (difrex,1) → All  –  17:15:10 2018-01-31


Учебный год перевалил за экватор, а это значит, что для выпускников школ все более остро встает вопрос об экзаменах и поступлении в вузы. Конечно, самый надежный вариант стать студентом любого российского университета — получить максимум баллов ЕГЭ. Однако баллы — не всегда лучший показатель успеваемости и способностей. Пример тому — [история][1] Ильи Глебова, который сейчас изучает технологии защиты информации в Университете ИТМО.

Конечно, произошедшее с Ильей — уникальный кейс, однако в Университете ИТМО есть [более 20 проектов][2], которые позволяют выпускнику гарантированно получить дополнительные баллы к ЕГЭ. Один из них — олимпиада «ИТМО ВКонтакте», которая стартует совсем скоро — в феврале. Подробнее о ней расскажем под катом.

[][3]
[Читать дальше →][4]

[1]: https://habrahabr.ru/company/spbifmo/blog/334232/
[2]: https://abit.ifmo.ru/page/69/
[3]: https://habrahabr.ru/company/spbifmo/blog/347936/
[4]: https://habrahabr.ru/post/347936/?utm_source=habrahabr&utm_medium=rss&utm_campaign=347936#habracut
#  Блокчейн: организация сети, проверка подписи и задание для студента, часть 2
habrabot (difrex,1) → All  –  17:15:10 2018-01-31


## Предисловие


[В первой части][1] было рассказано про возможности блокчейна, структуру и ЭЦП, в этой части будет рассказано про: проверку подписи, майнинг и примерную организацию сети. Отмечу, что не являюсь специалистом по распределенным системам (организация сети может быть не верной).


## Одноранговая сеть (P2P)


Одноранговая (равноправная) сеть – это сеть, основанная на равноправии участников. Часто в такой сети отсутствуют выделенные серверы, а каждый узел (peer) является как клиентом, так и выполняет функции сервера. В отличие от архитектуры клиент-сервера, такая организация позволяет сохранять работоспособность сети при любом количестве и любом сочетании доступных узлов. Участники сети называются пиры.
[Читать дальше →][2]

[1]: https://habrahabr.ru/post/348014/
[2]: https://habrahabr.ru/post/348020/?utm_source=habrahabr&utm_medium=rss&utm_campaign=348020#habracut