В честь отмечаемого сегодня Safer Internet Day в Google предлагают пользователям проверить настройки безопасности своего аккаунта и получить за это подарок в виде дополнительных 2 Гб в Google Drive на постоянной основе.
От пользователя требуется перейти по ссылке Security CheckupЧитать полностью »
Использование паролей для аутентификации имеет свои нюансы. Сложные пароли трудно запомнить, легкий пароль — могут подобрать. Если паролей нужно несколько десятков, то запоминать их все становится мучительно. Пароли начинают записывать. Хорошо, если это что-то типа программы 1password, а то ведь может быть и “бумажка на монитор/под клавиатуру” или начинают использовать один и тот же пароль для разных сервисов (пускай даже и сложный). Кто-то может справедливо считать, что его пароли не стоят 3-х тысяч рублей за 1password (столько стоит программа в Mac App Store). В итоге возникает мысль: как бы сократить количество паролей, которые нужно помнить и, желательно, без особого ущерба безопасности.
В Plesk, начиная с версии 12.0, появился ряд опций, которые позволяют не пользоваться паролями, хранящимися непосредственно в продукте.Читать полностью »
Рассмотрим на примере WordPress способ усиления безопасности при помощи ограничения количества HTTP-запросов к форме ввода пароля. Это позволит оградить опубликованный блог от брутфорса (поиска и взлома пароля путем перебора всех теоретически возможных вариантов из определенного набора символов или подбора по словарю распространенных паролей). Данный способ, в принципе, можно использовать и для защиты других веб-приложений.
Задача может быть реализована в Nginx с помощью модуля ngx_http_limit_req_module [1], выступающем в роли фронт-энда к Apache или веб-сервера FastCGI, или же с помощью HAProxy [2, 3], выступающем в роли балансировщика нагрузки перед веб-серверами.
В обоих случаях алгоритм работы следующий. При аутентификации браузер обращается по адресу, содержащему в себе подстроку "/wp-login.php". Необходимо отследить ее и ограничить количество запросов с одного IP не затрагивая обращения по всем остальным адресам. Параметры блокировки необходимо подобрать таким образом, чтобы не создавать неудобств обычным пользователями. Особенно внимательно следует настраивать блокировки в том случае, когда формой авторизации пользуется большое количество пользователей с одного IP-адреса.
Компания Group-IB, специализирующаяся на расследовании киберпреступлений и мошенничеств в интернете, ищет инвестора. Об этом говорится в презентации, подготовленной банком «Открытие» для потенциальных инвесторов (есть в распоряжении Roem.ru).
Безопасники готовы продать до 20% компаний, Читать полностью »
Экспертами из компании Trend Micro была обнаружена т.н. уязвимость нулевого дня в технологии Adobe Flash.
С помощью этой ошибки в ПО сетевые злоумышленники легко могут получить доступ к любому компьютеру и выполнить на нём любой код.
По словам специалистов, обнаруженная Trend Micro уязвимость пользуется успехом у хакеров.
Компания Digital Products Division, являющаяся подразделением Toshiba America Information Systems, разработала и представила USB-носитель, оснащённый встроенной системой информационной защиты.
В качестве защитного протокола накопителя выступает AES с ключом 256-битной длины, а передача данных осуществляется за счёт интерфейса USB 2.0.
Парадоксально: HTTPS существует уже много лет, но за все эти годы не стал стандартом по умолчанию для всех интернет-ресурсов, работающих с критичными с точки зрения безопасности данными. В прошлом году мы первыми среди крупных российских порталов включили HTTPS на главной странице.
Читать полностью »
Если вы новый, перспективный, современный банк, который хочет идти в ногу с быстро меняющимся миром технологий, тогда вы должны уделять должное внимание безопасности своих сервисов. И внимание это заключается также в следовании требованиям международных платежных систем.
К сожалению, не все банки это понимают.
Однажды пришлось мне воспользоваться услугой мгновенного перевода с карты на карту, для этой цели я решил воспользоваться сервисом одного из украинских банков, а именно «Фидобанка».
После осуществления платежа меня переадресовало на страницу вида pay.fidobank.ua/TransCard/pay?SenderTransID=TS1421332314712
Я решил проверить, фильтруется ли значение параметра SenderTransID, которое выводилось на странице.
Читать полностью »
Всем снова здравствуйте! Дошли руки написать крутую статью на весьма важную тему для разработчиков игр. Итак, поговорим о защите ваших драгоценных игр и приложений, которые вы пилите на Unity в надежде заработать на буханку хлеба, от взлома злобными школьниками. Почему школьниками? Потому что надежной на 100% защиты априори быть не может. И кто захочет, все равно взломает. Вопрос лишь в том, сколько времени и сил он на это потратит. И как любят шутить безопасники — терморектальный криптоанализ никто не отменял.
Итак, в статье я постараюсь максимально доступно рассказать о 3 аспектах (и конечно, предложу реализацию):
Mail.ru и Yandex в один день (с интервалом в несколько часов) сообщили о запуске возможности двухфакторной аутентификации для доступа к своим интернет-сервисам, сообщает Roem. Mail.ru проводили тестирование своей системы уже месяц, «Яндекс» успел презентовать новый функционал в своем блоге на три часа раньше конкурентов, а затем оперативно опубликовал отдельный пост для аудитории «Хабра». Информация о запуске нового функционала от Mail.ru освещена в официальном пресс-релизе на странице компании. При этом принцип работы презентованных функционалов разительно отличается.
Читать полностью »
