Рубрика: habrahabr

Конференция DEFCON 18. Вы потратили все эти деньги, но вас продолжают «иметь». Часть 1

Я использую интересную вещь авторства Гэри О’Лири-Стил под названием Unicod-fun, которая довольно неплоха для утилиты, написанной на Ruby. Вы знаете, что мои инструменты должны писаться исключительно на Python, поэтому мы перевели это на Python. Теперь мы можем применять различную кодировку для инструментов, которые предназначены для атак на веб-приложения и являются частью фреймворка WAF.

Фреймворк WAF включает в себя WAF Fun и WAFWOOF и функционирует на основе мультикодирования и информации, полученной от прокси, и он может функционировать через Tor или GLib прокси в процессе выполнения всех этих разных вещей. Так что это реально полезная штука для получения нужной информации. Читать дальше →
[Перевод] Конференция DEFCON 18. Вы потратили все эти деньги, но вас продолжают «иметь». Часть 2
Source: habrahabr

SwiftOnSecurity пишет на тему недавнего перехода на Chromium в качестве встроенного в Windows движка рендеринга:

Это не только про Chrome, это также про ElectronJS. Microsoft думает, что EdgeHTML не может достичь полного паритета по функциональности с Chromium, чтобы заменить его в приложениях Electron. Дублирование движка Electron в каждой программе становится значительной проблемой производительности. Вместо этого они хотят иметь один на всех экземпляр Electron вместе со своими дополнениями.

Electron это рак, убивающий и macOS, и Windows по мере распространения. Microsoft должна предложить ему замену с нативными оптимизациями, чтобы улучшить производительность и использование ресурсов.

Я не совсем разделяю их пессимизм по поводу нативных приложений, но Electron – это, без сомнений, бич платформы. Я думаю, что Mac окажет большее сопротивление, чем Windows, потому что платформа Mac привлекает большее число неравнодушных людей. Но тем не менее, я беспокоюсь.

Читать дальше →
[Перевод] Electron и отказ от нативных приложений
Source: habrahabr

SwiftOnSecurity пишет на тему недавнего перехода на Chromium в качестве встроенного в Windows движка рендеринга:

Это не только про Chrome, это также про ElectronJS. Microsoft думает, что EdgeHTML не может достичь полного паритета по функциональности с Chromium, чтобы заменить его в приложениях Electron. Дублирование движка Electron в каждой программе становится значительной проблемой производительности. Вместо этого они хотят иметь один на всех экземпляр Electron вместе со своими дополнениями.

Electron это рак, убивающий и macOS, и Windows по мере распространения. Microsoft должна предложить ему замену с нативными оптимизациями, чтобы улучшить производительность и использование ресурсов.

Я не совсем разделяю их пессимизм по поводу нативных приложений, но Electron – это, без сомнений, бич платформы. Я думаю, что Mac окажет большее сопротивление, чем Windows, потому что платформа Mac привлекает большее число неравнодушных людей. Но тем не менее, я беспокоюсь.

Читать дальше →
[Перевод] Electron и упадок нативных приложений
Source: habrahabr

Привет, Хабр! Представляю вашему вниманию перевод статьи "Internet aurait de sérieux problèmes à cause de langages comme C et C++ favorisant la survenue de failles" (фр. язык).

Но мало кого из разработчиков это волнует

Один баг затрагивает iPhone, другой – Windows, а третий – сервера, работающие на Linux. На первый взгляд эти баги не имеют ничего общего, так как касаются разных платформ: Android, iOS, macOS, Windows, Linux. Однако, на самом деле, всё иначе, по мнению Алекса Гейнора, инженера по безопасности программного обеспечения в Mozilla, ранее работавшего в USDS (United States Digital Service).

Во время третьего «Weakest Link», ежегодного мероприятия, организованного Motherboard Vice,

на тему компьютерного взлома и кибербезопасности в будущем, Алекс Гейнор поднял серьезную проблему, которая, по его мнению, может угрожать Интернету, но, как ни парадоксально, оставляет разработчиков совершенно равнодушными.

Гейнор объяснил, что три ранее упомянутые ошибки существуют, потому что программное обеспечение, которое они затрагивают на разных платформах, было написано с помощью языков программирования, имеющих неприятную тенденцию способствовать возникновению ошибок типа «memory unsafety», разрешая доступ к невыделенным областям памяти.

Эта категория ошибок может привести к багам и уязвимостям безопасности во время получения доступа к памяти.
Читать дальше →
[Из песочницы] У Интернета могут быть серьёзные проблемы из-за языков, подобных C и C++, которые способствуют появлению уязвимостей
Source: habrahabr

Если вы администратор нескольких десятков Windows и Linux серверов, пачки коммутаторов и маршрутизаторов, то без менеджера удаленных подключений можно быстро и надёжно сойти с ума.

TL;DR. mRemote, разработка которой была давным-давно заброшена, обрела новую жизнь. Если вы пользуетесь RDCMan или Remote Desktop free от Devolutions — попробуйте mRemoteNG!
Читать дальше →
mRemoteNG снова торт
Source: habrahabr

Недавно я успешно прошел сертификацию PMI PMP. Моя заявка на право сдавать экзамен была выбрана для аудита, аудит удалось пройти со второй попытки. Под катом мой опыт:

Читать дальше →
[Из песочницы] Сертификация PMP: аудит заявки
Source: habrahabr

Источник: Naked Security — Sophos

Компаний, работающих в сфере информационной безопасности сейчас много. Технологии совершенствуются, а значит, злоумышленники получают все больше инструментов для работы. Им противостоят специалисты по информационной безопасности. Правда, не все из них действуют одинакового профессионально.

К примеру, недавно в сети появилась информация о компании, которая позиционирует себя, как последний шанс для жертв программ-криптовымогателей. Эта компания заявляет, что она в состоянии расшифровать пострадавшие файлы, спасая, таким образом, бизнес и репутацию жертвы.
Читать дальше →
Российская компания вместо лечения зашифрованных вирусом файлов платит злоумышленникам
Source: habrahabr

В 2019 году Google планирует провести соревнование вычислительных машин и сравнить производительность своего 72-кубитного чипа Bristlecone с возможностями суперкомпьютера НАСА Pleiades. ИТ-гигант планирует показать, что квантовое превосходство достижимо. Под катом — подробнее о тестах и возможных сложностях, с которыми столкнутся в компании.

Читать дальше →
ИТ-гигант хочет доказать квантовое превосходство уже в следующем году — что может пойти не так
Source: habrahabr

Когда мы поняли, что проводить очередной митап нам будет скучно, то решили превратить его в нечто более остросюжетное. А именно в дуэль, в поединок между двумя интеграционными подходами — ESB и Distributed — честь которых защищали тяжеловесные эксперты. В этом посте расскажем, как шел бой, и узнаем победителя.

Читать дальше →
Централизованная шина vs Service Mesh: как митап превратить в баттл
Source: habrahabr

Как обычно, как и в прошлом году, я не могу поверить, что люди действительно приходят на мои презентации послушать, что я рассказываю. В прошлом году это было в воскресенье, в 10 утра, я был в состоянии похмелья и думал, что никто не придёт на меня посмотреть.

Сегодня снова воскресенье, 4 часа дня, сегодня я хотел лететь домой, но, не смотря на это, я благодарю вас и действительно ценю ваше внимание, как и в прошлом году, и я чертовски люблю таких людей и DefCon.

Тема презентации – Вы потратили все эти деньги, но вас продолжают «иметь». Я провёл множество испытаний на проникновение, был во множестве стран, где занимался пентестингом, и везде боролся с разными средствами защиты типа файрволов, AWS и систем обнаружения вторжений IDS и MAC. Мы все еще даем им взбучку, и это очень плохо. Часто, когда я провожу тестирование, мой отчет превращается в сообщение об инцидентах, и хочется сказать: «эй, чувак, но ты же владелец всего этого, как можно пользоваться таким отстоем»? Этому была посвящена целая тема, но давайте я сначала расскажу, кто я такой. Читать дальше →
[Перевод] Конференция DEFCON 18. Вы потратили все эти деньги, но вас продолжают «иметь». Часть 1
Source: habrahabr