Архив за 23 марта 2015 - 4

27 февраля состоялся очередной Python Meetup. В этот раз мы обсуждали:

  • Hy — диалект, который позволяет Lisp-разработчикам использовать библиотеки Python, а Python’истам найти решение для некоторых проблем языка, например, отсутствия скобочек.
  • Toga — библиотека построения интерфейсов на Python, которая с первого взгляда выглядит как простой и универсальный инструмент, но на деле имеет ряд недоработок.

Во время Lightning Talk участники делились опытом экспорта .doc-файлов и идеями использования AST для трансляции Python в Ruby, JavaScript, C++ и др.
Python Meetup 27.02.15: Hy и Toga - 1
Читать полностью »

Минкомсвязи и Институт развития интернета одновременно работают над мерами поддержки российских разработчиков программного обеспечения. Глава Минкомсвязи на встрече с представителями отрасли предложил еще одну меру: IT-компаниям, которые не работают в Крыму, могут запретит участвовать в госзакупках, сообщает РБК. До 27 марта проект ведомства находится в стадии публичного обсуждения.
Читать полностью »

В этой статье я приведу возможное решение проблемы для многих системных администраторов, которые используют систему мониторинга Zabbix. Особенно пригодится для тех, кто осуществляет мониторинг разных программ в Zabbix: системы телефонии, разные регламентные операции с БД, 1С (да, да, такие вот мы извращенцы люди с нестандартным мышлением, что мониторим 1С в Zabbix). Сам мучался делая Powershell-скрипты, использую для отсылки zabbix_sender.exe. Страшные были времена.
Читать полностью »

В качестве продолжения темы.
О «поведенческих аспектах невыполнения задач» или «способах саботажа», с которыми приходилось сталкивался в телекоме, в прошлой статье поговорили. Добавлю, что иногда встречаются, конечно и совсем экзотические способы, когда откровенно глупые, а когда — очень «замудрённые». Их не рассматриваем, ибо почти все они подходят под категорию, которую упоминали лиса Алиса и кот Базилио в знаменитой экранизации словами: «Буратино! Ты сам себе враг!».
Читать полностью »

Процедура наложения электронной подписи, призванная обеспечить подтверждение целостности подписанного документа и его авторства, сама по себе может быть небезопасной.
Основные атаки на ЭП — это кража ключа и подмена подписываемой информации, а также несанкционированный доступ к средству ЭП (например, USB-токену) посредством кражи его PIN-кода.

Реализуются данные атаки различными способами и на различных уровнях. На уровне ОС это внедрение вредоносного ПО (вирусы, программы-шпионы, руткиты и т.п.), которое способно похищать ключи, PIN-коды и делать подмену документов посредством чтения и/или подмены данных в памяти системного процесса, используя различные механизмы «хака», заложенные в ОС.
Если мы говорим о подписи в браузере, то к данным атакам добавляется возможность проведения атаки man-in-the-middle, направленной на модификацию подписываемых данных на web-странице или на кражу PIN-кода или на перехват secure token для возможности злоумышленнику прикинуться абонентом системы. Кроме того, на сайтах возможна атака типа CSS, обусловленная безалаберностью разработчиков сайта.

Очевидно, что максимально защитить клиента при проведении процедуры ЭП возможно лишь комплексом мер.
К данным мерам можно отнести:

  • применение для электронной подписи криптографических смарт-карт/USB-токенов с неизвлекаемыми ключами
  • использование правильной реализации протокола TLS на сайте
  • правильное конфигурирование этой правильной реализации протокола TLS
  • использование специальных аппаратных средств для визуализации подписываемых данных перед наложением подписи (trustscreen)
  • корректная реализация браузерных плагинов и расширений, которые обеспечивают ЭП в браузере
  • регламентирование процедуры подписи для пользователя с учетом встроенных в браузер механизмов безопасности
    • проверка сертификата TLS-сервера пользователем перед ЭП
    • запуск браузерных плагинов и расширений только на доверенном сайте (сейчас правильно настроенные браузеры предупреждают пользователя о запуске)
    • ввод PIN-кода токена по запросу только доверенного сайта

  • защита ОС от вредоносного ПО (создание доверенной среды)

Некоторое время назад наша компания выпустила новый Рутокен ЭЦП Flash. Это устройство «два в одном» — криптографический токен и управляемая FLASH-память в едином корпусе. При этом контроллер позволяется настраивать FLASH-память таким образом, что атрибуты настройки нельзя изменить без знания PIN-кода к устройству.

В данной статье мы сделаем кастомную Ubuntu 14.04 LTS, в которую «упакуем» смарткарточные драйвера и Рутокен Плагин. Эту ОС запишем на FLASH-память Рутокен ЭЦП Flash (USB-live) и специальными средствами сделаем ее read-only, так, что без знания PIN-кода злоумышленник не сможет снять этот атрибут.

Таким образом, получим загрузочное устройство, при загрузке с которого пользователь сразу получит возможность подписи документов в браузере на неизвлекаемых ключах в доверенной среде, целостность которой гарантируется управляющим контроллером USB-токена.
Читать полностью »

Несколько дней назад компания Nvidia представила самый производительный однопроцессорный графический ускоритель на рынке — GeForce GTX Titan X. Ответ AMD в лице адаптера Radeon R9 390X (название неокончательное) должен появиться в ближайшее время. О его характеристиках достоверной информации пока нет. Даже слухи достаточно ощутимо отличаются друг от друга. По присутствующим в Сети тестам, данная карта будет производительнее ускорителя Nvidia, но такую информацию пока стоит воспринимать с изрядной долей скепсиса.

Читать полностью »

На пирата настучи и награду получи - 1
Пригвозди босса

Альянс софтовых гигантов BSA, за которым стоят Adobe, Apple и Microsoft, в свою очередь входит в Международный альянс интеллектуальной собственности. BSA пытается всеми силами защищать копирайт программ, предназначенных для ведения бизнеса – в первую очередь, это известные офисные пакеты и приложения. Для этого они проводят рекламные кампании различного характера – порою, весьма нетрадиционного.
Читать полностью »

Как сообщает CNews, российский рынок интернет-торговли за прошедший год вырос на 31%. Это произошло в связи с распространением интернета в регионах и развитием мобильного интернета.Читать полностью »

Когнитивное сопротивление правил и инструкций - 1

У нас в университете было три преподавателя матанализа и аналитической геометрии. Первая читала нам учебник на лекциях и люто всех ненавидела. Второй доказывал всё сам и объяснял, что делает. Было весело, потому что иногда мы заходили в тупик и возвращались. Третий до кучи рассказывал байки и практические задачи на то, что объяснял. Угадайте, у кого средние результаты группы были лучше.

Я к тому, что в нашем мире любое чтение инструкции — это вынужденная мера. И если уж пользователю нужно что-то прочесть и осознать, лучше подать информацию быстро, понятно и в привязке к реальному миру.

Расскажу, как мы упрощаем понимание правил и инструкций к настольным играм. В целом, тот же набор механик подходит для улучшения ряда интерфейсов, практически любых технических текстов и вообще вещей, где разум инженера-архитектора встречается с разумом экзогенного пользователя. Читать полностью »

Как выбрать лучших студентов для работы в ИТ-компании?

Берем 300 претендентов из лучших ВУЗов столицы, добавляем несколько этапов отбора, 1 предварительное техническое задание, и украшаем «вишенкой» в виде финала-«Хакатона»!

В своем блоге на Хабре мы уже писали о старте новой программы стажировки для студентов ИТ-специальностей на Бирже. В феврале проект успешно стартовал, и мы получили более 300 заявок от студентов «ВШЭ», «Бауманки», «МГУ», «МФТИ» и других столичных ВУЗов. Из них только 31 претендент оказался в финале и участвовал в борьбе за право на год стать «биржевым айтишником».
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js