Метка «Веб»

в 16:45, , рубрики: Блог компании «Digital Security», Веб, информационная безопасность, трюки, метки: , ,

Всем привет! Этот топик посвящен разным трюкам при анализе защищенности (пентесте) веб приложений. Периодически сталкиваешься с ситуацией, когда надо обойти какую-нибудь защиту, выкрутиться в данных ограничениях или просто протестировать какое-то неочевидное место. И этот пост как раз об этом! Добро пожаловать под кат.
Читать полностью »

в 12:51, , рубрики: Diaspora, Facebook, p2p, p2p-сети, Peer-to-Peer, Веб, Веб-разработка, общение, социальные сети, Социальные сети и сообщества, метки: , , , , , , ,

P2P (Peer-to-Peer) – это технология для построения компьютерных сетей, где каждый компьютер является одновременно и сервером, и клиентом, и эта технология позволяет также использовать совместно распределенные ресурсы (например файлы).
Существуют централизированные (с одним центральным сервером для управления сети), гибридные (где есть много таких серверов) и чистые P2P сети (вообще без серверов). Для коммуникации между компьютерами используются различные протоколы и в последнее время идет попытка их стандартизации, и открытости: JXTA и Gnutella открытые стандартизированные протоколы. В централизированых и гибридных сетях, когда новый компьютер подключается в P2P- сеть, он регистрируется на сервере и получает информацию о сети. В чистых P2P сетях компьютер подключается к любому компьютеру, ранее подключенному в сеть и от него получает информацию о сети. В классических P2P, предназначенных для распространнения различных файлов каждый компьютер воспринимается сетью, как анонимная сущность. В последне время появились некоторые инновативные проекты с целью построения социальной сети на основе технологии P2P.
Читать полностью »

в 12:51, , рубрики: Diaspora, Facebook, p2p, p2p-сети, Peer-to-Peer, Веб, Веб-разработка, общение, социальные сети, Социальные сети и сообщества, метки: , , , , , , ,

P2P (Peer-to-Peer) – это технология для построения компьютерных сетей, где каждый компьютер является одновременно и сервером, и клиентом, и эта технология позволяет также использовать совместно распределенные ресурсы (например файлы).
Существуют централизированные (с одним центральным сервером для управления сети), гибридные (где есть много таких серверов) и чистые P2P сети (вообще без серверов). Для коммуникации между компьютерами используются различные протоколы и в последнее время идет попытка их стандартизации, и открытости: JXTA и Gnutella открытые стандартизированные протоколы. В централизированых и гибридных сетях, когда новый компьютер подключается в P2P- сеть, он регистрируется на сервере и получает информацию о сети. В чистых P2P сетях компьютер подключается к любому компьютеру, ранее подключенному в сеть и от него получает информацию о сети. В классических P2P, предназначенных для распространнения различных файлов каждый компьютер воспринимается сетью, как анонимная сущность. В последне время появились некоторые инновативные проекты с целью построения социальной сети на основе технологии P2P.
Читать полностью »

в 12:44, , рубрики: css, less, Веб, веб-дизайн, Веб-разработка, метки: , ,

Замечательный фреймворк LESS позволяет сильно упростить роботу со стилями. Одной из замечательных его возможностей есть примешания (mixins). Примешания позволяют включать все свойства класса в другой класс путем простого включения имени класса как значение одного из свойств. Это напоминает использование переменных, но в отношении целых классов. Примешивания могут вести себя как функции, и принимать аргументы. Именно возможность примешаний принимать аргументы и манипулировать ими лежит в основе библеотек примешаний, таких как LESS Elements, LESS Hat, LESS Mix и компонента mixins.less в Bootstrap.

LESS Mix — немного о LESS примешаниях

Читать полностью »

в 5:46, , рубрики: html5, Блог компании Microsoft, Веб, конференция, онлайн-трансляция, метки: , , ,

Добрый день!

В 10:00 по Москве начнется прямая трансляция HTML5 Camp — конференция Microsoft о будущем веба.

image

Смотрите прямо сейчас – и вы узнаете все о будущем веба!

В этом году мы решили добавить к традиционным техническим докладам на тему веб-технологий и практики их применения еще две составляющие: бизнес-обсуждения на актуальные и злободневные вопросы, связанные с клиентской разработкой, в рамках которых представители различных компаний расскажут, как же они сами смотрят на изменения в индустрии; и также отдельный трек по разработке для Windows 8 c помощью HTML/JS (как вы знаете, сегодня любая веб-студия также может довольно легко стать Windows-студией и начать разрабатывать не только сайты, но и приложения, используя знакомые технологии).
Читать полностью »

в 16:56, , рубрики: Веб, Веб-разработка, конференция, стандарты, метки: , ,

Не нашел на хабре упоминания, поэтому поделюсь информацией.

Сейчас в Сан-Франциско проходит W3 конференция, посвященная Веб-технологиям и стандартам.

Ссылка на видео-трансляцию: www.w3.org/conf/#live

Темы докладов второго дня: www.w3.org/conf/#schedule

Скорее всего будет ре-трансляция с 07:00 am до 10:30 pm UTC. (11:00 до 02:30 Москва).

Доклады первого дня были интересные, по окончанию конференции, если никто не напишет — возможно сделаю обзор.

Читать полностью »

в 12:00, , рубрики: google app engine, google contacts, QR-коды, vcf, Веб, Веб-разработка, интерфейсы, контакты, упрощение, Юзабилити в IT, метки: , , , , , , ,

Добрый день, коллеги!

Когда-то давно, еще не не имея полноценного аккаунта на Хабре, я написал статью в песочницу, надеясь получить инвайт. Инвайта я не получил, и думал, что статья ушла в никуда. Сегодня, просматривая логи Google App Engine, я обнаружил ссылку с сайта, на котором, как оказалось, размещена моя статья из песочницы. Оставляя за скобками вопрос о корректности такой публикации, хочу поблагодарить неизвестных мне добрых людей с сайта ajc.su/ за то, что сохранили для меня мою статью. :) Но, собственно, по теме.

Первый раз идея посетила меня, когда у меня возникла необходимость снять квартиру. Я просматривал объявления на Циане и отзванивался по наиболее интересным. После пары-тройки звонков я понял, что надо как-то упорядочивать обзвон — сохранять не только номера, но и адреса, а заодно и описания квартир. В этот момент я осознал, что при всем развитии Интернета контактную информацию по-прежнему приходится обрабатывать руками — в лучшем случае копировать поблочно и где-то сохранять. При том, что контакт — это объект, аналогичный, к примеру, календарю. Но если кнопки «Добавить событие в календарь» на многих сайтах уже есть, то вот кнопку «Добавить контакт в записную книжку» я пока еще не видел. Я решил восполнить этот пробел, и результатами своих размышлений и наработок хочу поделиться.
Читать полностью »

в 9:18, , рубрики: actionscript 3.0, безопасность сайтов, Веб, вредоносный код, информационная безопасность, уязвимости, метки: , , , ,

Сегодня мы хотим рассказать вам о новом виде drive-by download атаки с помощью Flash-баннеров, и о том, как с ним бороться. Такая атака позволяет злоумышленникам распространять вирусы через сайт, не взламывая его. Вредоносное ПО распространяется через рекламные Flash-баннеры, с помощью которых веб-мастера хотят монетизировать свой сайт. При этом они сами могут не подозревать, что установленный на веб-странице баннер сделал их портал частью сети распространения вирусов.

Вредоносный код
Выполнение вредоносного JavaScript-кода, например, в контексте веб-браузера, возможно благодаря принадлежащего классу ExternalInterface методу call(), который появился в версии ActionScript 3.0. Процесс выполнения JavaScript-кода в контексте веб-браузеров, поддерживающих возможность работы с ActiveX, реализуется через компонент ActiveX для Shockwave Flash. А для веб-браузеров без такой возможности используется плагин для Shockwave Flash. Компонент ActiveX или плагин разбирает байткод переданного ему на обработку Flash-файла и формирует JavaScript-код, который будет выполнен в контексте веб-браузера, если во Flash-файле присутствует такой функционал. После того как JavaScript-код сформирован, происходит его дальнейшая передача на обработку через функции JavaScript, заранее заложенные в компоненте ActiveX или плагине для Shockwave Flash. На рисунке 1 показан список таких функций.

image

Рис.1 – JavaScript-функции, с использованием которых происходит формирование и дальнейшее выполнение кода, переданного в ExcternalInterface.call()

Ниже показан безвредный JavaScript-код тестового Flash-баннера, сформированный для выполнения в контексте веб-браузера компонентом ActiveX или плагином для Shockwave Flash.

Читать полностью »

в 17:50, , рубрики: http, security, Веб, Веб-разработка, информационная безопасность, метки: , ,

Правило №1. Делайте все авторизационные куки HttpOnly

Куки с флагом HttpOnly не видны браузеру, а отправляются только на сервер. На практике у вас почти никогда нет необходимости получать их содержимое со стороны клиента (если такая необходимость почему-то у вас возникла — пересмотрите архитектуру авторизации, скорее всего, там что-то не так). А вот злоумышленнику, нашедшему XSS — а XSS так или иначе когда-нибудь где-нибудь найдется — отсутствие HttpOnly на авторизационных куках доставит много радости.

Читать полностью »

в 17:50, , рубрики: http, security, Веб, Веб-разработка, информационная безопасность, метки: , ,

Правило №1. Делайте все авторизационные куки HttpOnly

Куки с флагом HttpOnly не видны браузеру, а отправляются только на сервер. На практике у вас почти никогда нет необходимости получать их содержимое со стороны клиента (если такая необходимость почему-то у вас возникла — пересмотрите архитектуру авторизации, скорее всего, там что-то не так). А вот злоумышленнику, нашедшему XSS — а XSS так или иначе когда-нибудь где-нибудь найдется — отсутствие HttpOnly на авторизационных куках доставит много радости.

Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js