Основная проблема доступа к информационным ресурсам сети Интернет состоит в том, что точка подключения к ней становится частью этой сети и, как следствие, становится общедоступной, взаимодействует с ней по общепринятым сетевым протоколам и по этим же протоколам взаимодействует с защищаемой сетью. Никакими методами тестирования невозможно доказать отсутствие ошибок в программном обеспечении (постулат Дейкстры). Имея неограниченное время доступа к точке подключения к сети Интернет, злоумышленник может, используя стандартные сетевые протоколы, стандартное программное обеспечение и найденные в нем ошибки или ошибки в его настройках осуществить несанкционированный доступ через точку подключения внутрь корпоративной сети со всеми вытекающими последствиями.
Читать полностью »
Рубрика «http» - 9
Дайте мне точку опоры или безопасный Интернет — это реальность
2017-01-25 в 7:43, admin, рубрики: http, HTTPS, proxy, squid, TLS, vpn, web, браузеры, государство и интернет, госуслуги, информационная безопасность, Разработка систем передачи данныхASP.NET Core: Создание серверных служб для мобильных приложений
2017-01-16 в 8:56, admin, рубрики: .net, android, api, ASP, ASP.NET, asp.net core, ASP.NET Core Web Application, C#, c#.net, http, iOS, microsoft, msaspnetcore, SDK, Visual Studio, web-application, web-разработка, windows, xamarin, Блог компании Microsoft, веб-службы, мобильная разработка, разработка мобильных приложений, руководство, руководство для разработчикаПредставляем вторую часть из серии статей, посвящённых разработке на ASP.NET Core. В этом обучающем материале вы узнаете, как создавать серверные службы с помощью ASP.NET Core MVC для поддержки мобильных приложений.
Суверенный интернет. Почему его не будет в 2017 году
2017-01-02 в 13:33, admin, рубрики: BGP, CDN, DNS, http, http2, HTTPS, ripe, SSL, TLS, Сетевые технологии, Стандарты связи, хостинг, хранение данныхПоследнее время всё чаще пробегают новости про «суверенный интернет», «отключение интернета» и прочие ужасы. Однако, по состоянию на начало 2017 года, отключить российский сегмент от остальной сети и оставить его работоспособным представляется маловероятным.
Давайте попробуем рассмотреть детально.
Читать полностью »
Прототип RFC HTTP-кодов состояния для ошибок разработчиков (диапазон 7XX)
2016-12-20 в 12:56, admin, рубрики: http, IT-стандарты, информационная безопасность, Разработка веб-сайтовРебята с Railscamp пришли к выводу, что текущая спецификация HTTP неполна: ибо у разработчиков есть много способов «прострелить себе ногу» в коде, но нет никакого формализованного способа, чтобы сообщить природу ошибки конечному пользователю :)
Был предложен RFC со следующими кодами состояния (HTTP status codes), сообщающими о причинах ошибки. Предполагается, что эти коды будут включены в спецификации HTTP в диапазоне 7xx.
Коды занимают весь диапазон от 701 до 799 и поделены на 10 групп. Вот некоторые из них:
- 707 — Can't quit vi
- 724 — This line should be unreachable
- 725 — It works on my machine
- 726 — It's a feature, not a bug
- 735 — Fucking IE
- 767 — Drunk
- 780 — Project owner not respondingЧитать полностью »
Security Week 47: закладки в Android, безопасность Wi-Fi, уязвимость NTP
2016-11-25 в 20:34, admin, рубрики: android, http, klsw, ntp, tesla, wep, wifi, wpa2, Блог компании «Лаборатория Касперского», информационная безопасностьВ прошлом выпуске я писал о том, что Apple, похоже, по умолчанию шлет информацию об истории телефонных звонков в iCloud, и отключить это возможно только полностью заблокировав облачный бэкап. За неделю это была не единственная новость на тему: отличился и разработчик устройств на базе Android. Исследователи из компании Anubis Networks обнаружили (новость, исследование) в китайских смартфонах OEM-компании Ragentek механизм, который по ряду параметров может быть квалифицирован как бэкдор.
Речь идет о схеме обновления прошивки: программный модуль имеет в смартфонах этого производителя права рута, регулярно запрашивает серверы производителя, и может загружать и устанавливать с них обновления. Вроде бы все неплохо, но есть два «но». Во-первых, все коммуникации ведутся по HTTP, что делает смартфоны уязвимыми для атак типа man-in-the-middle с возможностью выполнения произвольного кода. Во-вторых, из трех зашитых в модуль доменов два разработчики софта просто забыли зарегистрировать — они так и были бы в свободном доступе, но исследователи из Anubis не зарегистрировали их на себя. Мониторинг подключений к доменам позволил оценить примерное количество уязвимых устройств: под три миллиона.
Чуть раньше, 15 ноября, в New York Times со ссылкой на исследовательскую группу Kryptowire рассказали о том, что в ряде Android-устройств производителя BLU Products установлен мониторинговый модуль рекламной сети Adups, высылающий «куда-то в Китай» подробную информацию о пользователе, включая «историю звонков, тексты сообщений» и прочее. Тогда производитель объяснил проблему досадной ошибкой, и выпустил патч. Проходит неделя, и выясняется, что смартфоны BLU подвержены еще и проблеме с загрузчиком обновлений.
Читать полностью »
ASP.NET Core: Ваше первое приложение на Mac c использованием Visual Studio Code
2016-11-23 в 14:12, admin, рубрики: .net, api, ASP, ASP.NET, asp.net core, azure, C#, c#.net, http, microsoft, msaspnetcore, open source, Visual Studio, web-application, web-разработка, Блог компании Microsoft, веб-службы, руководство, руководство для разработчикаПредставляем вам последнюю статью из цикла по разработке на ASP.NET Core. В данной статье вы узнаете как можно написать свое первое приложение ASP.NET Core на Mac.
«Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только
2016-11-21 в 12:43, admin, рубрики: 1сloud, http, HTTPS, SSL, TLS, Администрирование доменных имен, Блог компании 1cloud.ru, хостинг, хранение данных, хранилища данныхМы в 1cloud предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.
Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.
Однажды встретились JMeter и незнакомка…
2016-11-20 в 0:26, admin, рубрики: groovy, http, java, jmeter, jni, jupyter, pandas, wget, балансировка нагрузки, высокая производительность, плагин, Тестирование IT-систем, Тестирование веб-сервисов
Кадр из фильма «Дом у озера». Встреча (www.kinopoisk.ru)
Джим ещё не знал, как подойти к ней, с чего начать разговор и на каком языке его вести. Но он видел многое, владел языками и имел в рукаве не один козырь. И будучи уверенным в помощи верных друзей (это мы с вами) и забыв про сомнения, шёл на встречу судьбе.
Ниже рассказ о том, как Джим завоёвывал снова и снова сердце незнакомой системы. Не подумайте, что незнакомок было несколько. Она была одна, единственная, но такая разная, и от того истории будут следовать одна за другой.
Читать полностью »
ASP.NET Core: Развертывание веб-приложения в службе приложений Azure с помощью Visual Studio
2016-11-07 в 11:28, admin, рубрики: .net, api, ASP, ASP.NET, asp.net core, ASP.NET Core Web Application, azure, C#, c#.net, http, microsoft, open source, SDK, Visual Studio, web-application, web-разработка, Блог компании Microsoft, веб-службы, руководство, руководство для разработчикаПредставляем вам четвертую часть из цикла статей, посвященных работе с ASP.NET Core. Этот материал представляет из себя подробную инструкцию развертывание веб-приложения в службе приложений Azure с помощью Visual Studio.
ASP.NET Core: Создание первого веб-API с использованием ASP.NET Core MVC и Visual Studio
2016-10-17 в 12:34, admin, рубрики: .net, api, ASP, ASP.NET, asp.net core, azure, C#, c#.net, http, microsoft, open source, Visual Studio, web-application, web-разработка, Блог компании Microsoft, веб-службы, руководство, руководство для разработчикаПротокол HTTP может использоваться не только для веб-страниц. Это еще и мощная платформа для создания API, предоставляющих сервисы и данные. Протокол HTTP прост, гибок и широко распространен. Практически любая существующая платформа имеет библиотеку HTTP, поэтому службы HTTP доступны в большом числе клиентов, включая браузеры, мобильные устройства и традиционные офисные приложения.
В новой статье из серии ASP.NET Core будет описано создание простого веб-API для работы со списком дел.