Привет!
Буквально несколько дней назад, читая новости в транспорте, натолкнулся на сообщение ИТАР-ТАСС о том, что открыто публичное обсуждение документа «Концепция Стратегии Кибербезопасности Российской Федерации» на электронной площадке Совета Федерации.
Для самых нетерпеливых — вот прямая ссылка на обсуждаемый документ: ссылка, сразу предупреждаю — документ довольно большой.
Читать полностью »
C наступающим!
В преддверии Нового года для многих стало доброй традицией подводить итоги и составлять рейтинги на основе IT-событий года уходящего. Мы решили не идти на поводу этих тенденций, однако не смогли удержаться от составления списков.
Итак, встречайте: 12 причин, почему новая Lumia 1520 и другие смартфоны Nokia на Windows Phone 8 — это по-настоящему защищенные смартфоны.
Читать полностью »
В одном из своих постов я пытался привлечь внимание к проблеме безответственного отношения к уязвимостям различных веб-сайтов. Представьте себе ситуацию: вы энтузиаст в области информационной безопасности, нашли уязвимости на каком-нибудь известном сайте и пытаетесь о ней сообщить, но:
В подобных ситуациях чаще всего энтузиасты ждут, а потом раскрывают детали уязвимостей. Но проблема в том, что даже при огласке ничего не меняется. Этот пост — компиляция подобных огласок (т.е. вся представленная информация уже была доступна публично длительное время) об уязвимостях на крупных ресурсах, возможно, что-нибудь да и изменится.
Читать полностью »
Нет так давно я наткнулся на неприятную особенность оператора Теле2, с помощью которой можно украсть историю сообщений Telegram, получить доступ к Qiwi-кошельку и т.д. Оговорюсь, что у метода есть несколько условий и он может не сработать для конкретного человека, но тем не менее, есть реальная опасность.
Читать полностью »
Одним из приоритетов для команды Яндекс.Почты всегда была и есть безопасность данных пользователя. Причем это касается не только хранения писем, но и безопасного доступа к ним. Еще в 2011 году мы стали пропускать все изображения в письмах через наши прокси-сервера, перекрыв один из каналов распространения вредоносного кода, а также кешировать их для экономии трафика и обеспечения большей приватности. В ноябре этого года мы внедрили шифрование при приеме и отправке почты, а также и перевели почту в режим HTTPS-only — теперь веб-интерфейс доступен только по безопасному протоколу.
А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.
Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.
Недавно Элиза Купер, руководитель по маркетингу компании MarkMonitor поделилась своим взглядом на самые значимые события в области доменной индустрии уходящего года. По ее словам, в целом ее ожидания оправдались, однако самое важное событие в области не только доменов, но и всего Интернета, стало сюрпризом. Читать полностью »
Сегодня мы запускаем эксперимент, в рамках которого у 2% пользователей, переходящих по ссылкам из результатов поиска, заголовок Referer не будет содержать текста поискового запроса (точнее, будет, но в зашифрованном виде). В дальнейшем эта практика распространится на всех пользователей Яндекса.
В этом посте мы хотим рассказать, почему приняли такое решение, и обсудить с вами, какие инструменты могут прийти на замену открытым данным о поисковых запросах.
Когда-то никому и в голову не приходило скрывать данные о том, с какой страницы был совершен переход, и по какому запросу была сформирована поисковая выдача, с которой тот или иной пользователь пришел к вам на сайт. Но мир меняется. С каждым днем пользователи становятся все менее безликими для владельцев сайтов, которые при желании могут отслеживать их действия на своей территории, сохранять, обрабатывать и использовать эти данные.
Читать полностью »
Популярность SAP NetWeaver Portal и его доступность из сети Интернет делают его привлекательным объектом для атаки на компании разного масштаба и профиля. В данной статье рассматривается, как потенциальный злоумышленник может взломать этот популярнейший модуль ERP-системы SAP и каким образом можно избежать подобной угрозы.
Бизнес-приложения представляют привлекательную мишень для атак компьютерных злоумышленников. Цели могут быть самые разные: промышленный шпионаж, нанесение финансовых и репутационных потерь, получение критичной информации с целью продажи. Как правило, атаки на бизнес-приложения и системы являются целенаправленными и выполняются людьми весьма квалифицированными.
SAP NetWeaver Portal (EP) является основной точкой входа в ERP-систему SAP для всех пользователей корпоративной сети. Портал, как правило, используется внутри компании как площадка, где хранится и обрабатывается как открытая информация (включая новости компании, данные о работниках и т. д.), так и закрытые сведения (внутренние документы, инструкции и распоряжения). Кроме того, портал предоставляет пользователям необходимые инструменты, с помощью которых они могут выполнять свои повседневные рабочие задачи: проводить встречи и совещания, управлять пользователями, редактировать документы, работать с необходимыми таблицами и т. д.
Добрый день, уважаемые хабрапользователи!
Гуляя по просторам интернета я случайно наткнулся на объявление о продаже движка по раздаче подарков, нажав на ссылку группы я попал на официальную страницу Вконтакте.
Вот так она выглядела при открытии:
Читать полностью »
Сегодня ICANN приняла решение лишить аккредитации регистратора доменов Dynamic Dolphin. Среди пользователей сети эта компания уже долгие годы ассоциировалась с рассылками спама и интернет-мошенничеством. Как сообщает Krebsonsecurity, ICANN решилась на этот шаг спустя пять лет после того, как автор этого ресурса написал ей письмо с просьбой выяснить, действительно ли реальным владельцем Dynamic Dolphin является Скотт Рихтер — один из самых известных в мире спамеров.
Читать полностью »
