Безопасность переписки уже стала широко обсуждаемой темой. Как вы знаете, в этой сфере широко известен написанный петербуржцами Telegram. Команда уверяет в 146% безопасности, но если вы уже пользовались этим мессенджером, знайте, как минимум названия ваших чатов уже скомпроментированы. На момент публикации уязвимость уже закрыта (что приятно, закрыли меньше чем за пятнадцать минут после репорта).
Читать полностью »
Рубрика «баги» - 13
Откровенность API Telegram
2014-02-11 в 12:13, admin, рубрики: api, mtproto, telegram, баги, большой брат следит за тобой, информационная безопасность, метки: api, mtproto, Telegram, баги, большой брат следит за тобойКонкурс от Microsoft. Опять дырка в безопасности?
2014-02-04 в 8:19, admin, рубрики: microsoft, авторизация, баги, информационная безопасность, метки: microsoft, авторизация, баги Приветствую, читатели!
Последние пару дней я замечаю, что некоторые страницы порталов Microsoft по всему миру недоступны. Я понимаю, это бывает.
Сегодня утром случилась совсем печальная ситуация, которая, как мне кажется, является очень и очень показательной.
Увидел я приглашение на участие в конкурсе, связанном с Microsoft Server R2. Отлично, подумал я, и решил зарегистрироваться.
Читать полностью »
Опыт работы с TDD и размышления о том, как надо тестировать код
2013-12-26 в 10:47, admin, рубрики: tdd, баги, менеджмент, тестирование, тестирование по, юнит-тесты, метки: tdd, баги, менеджмент, тестирование по, юнит-тесты Недавно в нашей фирме устроили лекцию «Engineering Practices» и это оказалось введением в TDD.
О нет, только не это! «Иногда они возвращаются» (с) Стивен Кинг
На прошлой работе мы потратили 3 года на попытку внедрить эту методику. Это было мучительно. Менеджмент искренне верил в то, что TDD решит проблемы фирмы. Реальность разительно несоответствовала этому. Все это будило затертые воспоминания о Советской эпохе. Вспоминались висящие на стенах плакаты «Вперед к победе коммунизма» и фразы вроде «Учение Маркса всесильно потому, что оно верно».
Так что же не так в консерватории c TDD?Читать полностью »
Подкаст 073A — первый выпус
2013-12-02 в 17:25, admin, рубрики: chef, java, ruby, баги, идиоты, Программирование, метки: chef, java, ruby, баги, идиоты, наса Полный уныния и отчаиния первый выпуск разлекательного подкаста о смешных багах в программном обеспечении от бывших ведущих «Ruby NoName Podcast». Гриша™ и labria соскучились по былой славе и решили записать что-то новое!
Слушать тут, ибо как теперь на хабре постят подкасты — я без понятия :)
В этом выпуске о NASA, Java, Ruby, Chef.
Сделай нам приятно — зафолови нас @073APodcast
Ну и мы конечно всегда рады любому фидбеку, ибо не писались давно и уже толком не помним какого это — разгребать нецензурщину в инбоксе :)
Ширина столбцов таблицы или когда врут браузеры
2013-11-15 в 15:50, admin, рубрики: Firefox, баги, Веб-разработка, верстка, метки: firefox, баги, версткаПредыстория
История начинается с одного древнего проекта с web-интерфейсом написанным ещё под IE5-6. Разумеется этот мамонт под новыми версиями IE работает только в quirks mode, под остальными браузерами даже отрисовывается с трудом а про работоспособность мечтать и не приходится.
Одним светлым днём с небес прилетел глас начать постепенно переписывать это всё на современные браузеры и работа закипела.
99% системы представляли из себя реестры в виде таблиц и форм отдельной карточки из этого реестра. Заголовок таблицы должен быть фиксирован. В старой версии это делалось какими-то специфичными костылями c position которые не работали уже в IE7. jQuery уже был подключён, плагин для фиксированного заголовка таблицы гуглится легко. Не поддерживает заголовки с несколькими строками и различной комбинацией col и rowspan'ов? Ну ладно, можно и самому поработать немного, всё равно лезть в код плагина и адаптировать его под специфичную обёртку таблиц.
Казалось бы всё хорошо, но время от времени стали возникать артефакты в виде уползания столбцов на 1 пиксел, местами сдвиг пропадал или накапливался до 3-4 пикселов. Причём в Chrome данный глюк не наблюдался.
Читать полностью »
Верстка писем и email рассылок. Немного магии Gmail
2013-11-06 в 6:44, admin, рубрики: css, email, gmail, баги, Веб-разработка, Мобильный веб, метки: email, gmail, баги 
Автор изображения Mike, Creative Mints
Добрый день. Я уже не раз писал о том, что media_queries в почтовых клиентах работают прекрасно. Даже outlook.com в браузере их адекватно воспринимает. Но вот gmail на яблоке и андроиде так не считает.
Если в случае остальных клиентов мы можем сделать, например так:
@media only screen and (max-width:480px) {
.big_img { display:none !important; } .small_img { display:block !important; }
}
@media only screen and (max-width:600px) {
.big_img { display:block !important; } .small_img { display:none !important; }
}
Yahoo платит по $12.50 за XSS-уязвимость
2013-10-01 в 18:15, admin, рубрики: bounty, баги, вознаграждение, информационная безопасность, метки: bounty, Yahoo, баги, вознаграждение 
Существует общеизвестная практика, когда крупные компании платят специалистам по информационной безопасности специальное вознаграждение за найденные баги — так, к примеру, поступают Google, Facebook, Mozilla и прочие.
Некая компания High Tech Bridge (CEO зовут Ilia Kolochenko) решила проверить на прочность сайты Yahoo, которая в списке выше не успела обозначиться, по крайней мере, публично. Примерно за 45 минут только с помощью Firefox была обнаружена первая XSS-уязвимость, о которой тут же было сообщено в Yahoo. Там, однако, решили, что информация не может быть оценена по достоинству, потому как в компании о ней уже известно.
Читать полностью »
Взлом роутеров или что-то другое?
2013-09-24 в 8:38, admin, рубрики: tp-link, баги, Беспроводные технологии, взлом, Сетевое оборудование, Сетевые технологии, метки: tp-link, баги, взлом Добрый день всем! Ситуация такая, работаю на техподдержке и в последние пару недель появилось множество обращений от абонентов о том, что через роутер инет не работает. Некоторые приносят роутеры в офис к нам, к остальным ходят техники и везде одинаковая проблема — роутер не выдает по dhcp шлюз на любые подключенные устройства и соответственно если ручками его не прописать, то инет не работает + невозможно зайти на интерфейс роутера, пароли не подходят. У всех абсолютно пользователей роутеры модели TP-Link (741, 841, 940 итд). Приходится делать полный сброс настроек и по новой настраивать, этот геморрой порядком поднадоел.
Читать полностью »
Riak-js. Основы использования и трудности поиска
2013-07-01 в 19:17, admin, рубрики: json, map reduce, node.js, nosql, riak, search, баги, Веб-разработка, метки: json, map reduce, node.js, riak, search, багиMeta
Доброго времени суток!
В данный момент я работаю над достаточно большим проектом, состоящим из нескольких модулей, и использующий разные технологии. Но сам сайт, а точнее его back-end написан целиком на Node.js, а Riak является основным хранилищем. Ничего не буду писать про сам Riak, на хабре и так есть отличная обзорная статья.
Как и для любой другой NoSQL базы данных, чтобы интегрировать функциональность БД в Node.js вам необходимо использовать драйвер или клиент этой базы данных, кому как нравится называть. Вам это надо для удобства пользования и составления запросов к БД, конечно вы можете это делать и напрямую, используя незатейливую команду curl.
Сразу хочу оговориться, что клиенты или драйвера для различных NoSQL БД называют по-разному, я же буду говорить или как об ORM или как о клиенте конкретной ДБ. Кстати, имено так о себе и пишут в Riak-js репозитории:
Node.js client for Riak.
Вот некоторые, а возможно что и все Node.js клиенты для riak
- riak-js — используемый в нашем проекте
- Simpleriak
- Riak-PB — использует protobuff, может быть немого быстрее
Из-за незначительного опыта работы с последними двумя, сказать мне вообщем-то про них нечего, поэтому дальше речь пойдет только riak-js.
Взлом аккаунта и юникодные символы
2013-06-19 в 11:00, admin, рубрики: python, Spotify, twisted, баги, информационная безопасность, уязвимость, Юникод, метки: python, Spotify, twisted, баги, уязвимость, Юникод В техническом блоге «Спотифая» было опубликовано интересное исследование на тему взлома аккаунтов сервиса путём использования особенностей канонизации вводимых пользователем данных. Это стало возможным благодаря тому, чем спотифаевцы гордятся, — полностью юникодному логину. К примеру, пользователь легко может иметь снеговика 
в качестве имени аккаунта, если он того пожелает. Реализация подобного, впрочем, с самого начала доставляла некоторые неудобства.
Несколько лет назад в Великую пятницу на форуме техподдержки было опубликовано сообщение о возможности взлома любого аккаунта на сервисе. Представитель компании попросил продемонстрировать это на примере его собственного аккаунта, и через несколько минут ему был задан новый пароль и создан новый плейлист. Это немедленно привлекло внимание нескольких сотрудников, вынужденных провести Пасху в попытках закрыть «дыру». В связи с особенностями уязвимости регистрация новых аккаунтов была временно закрыта.
Хакер действовал следующим образом: при желании взломать аккаунт с именем, скажем, bigbird, он регистрировал аккаунт с именем ᴮᴵᴳᴮᴵᴿᴰ (в Пайтоне эта строчка выглядит как u’u1d2eu1d35u1d33u1d2eu1d35u1d3fu1d30′). После запроса ссылки на сброс пароля задавался новый пароль, который подходил к аккаунту bigbird.
Читать полностью »