Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для злоумышленников. Detectify Crowdsource подготовил список наиболее часто встречающихся ошибок, делающих сайт уязвимым для атак.
Недавно я вернулся к мысли о возможности совершения битсквоттинга. В статье по ссылке эта тема рассматривается очень глубоко, поэтому здесь я объясню в очень общих чертах:
Когда вы пытаетесь получить доступ к сайту по его домену, этот домен хранится в памяти вашего компьютера, устройства и т.д. в структуре, выглядящей примерно так:
| 01110111 | 01101001 | 01101110 | 01100100 | 01101111 | 01110111 | 01110011 |
|---|---|---|---|---|---|---|
| w | i | n | d | o | w | s |
Теперь представим, что компьютер перегрелся, произошла вспышка на Солнце или космический луч (вполне реальная штука) инвертировал в компьютере значение одного бита.
| 01110111 | 01101000 | 01101110 | 01100100 | 01101111 | 01110111 | 01110011 |
|---|---|---|---|---|---|---|
| w | h | n | d | o | w | s |
О нет! Теперь в памяти хранится значение whndows.com, а не windows.com! Что же произойдёт, когда придёт время создания подключения к этому домену?
nslookup whndows.com
*** can’t find whndows.com: Non-existent domain
Домен не резолвится в IP-адрес!
Оказалось, что из 32 возможных доменных имён, находящихся в одной замене бита от windows.com, 14 имён были доступны для покупки! Это довольно редкий случай — обычно такие имена покупаются компаниями, например, Microsoft, чтобы предотвратить их использование в целях фишинга. Итак, я их купил. Все. Примерно за 126 долларов.
Читать полностью »
За неделю с 8 по 15 февраля приложение Clubhouse для iOS поднялось с 12 на 1 место по скачиваниям среди бесплатных по России. «За эту неделю трафик в приложении вырос на 550%", — добавляет директор по маркетингу Yota Дмитрий Рудских.
Эксперт «Известий» считает, что в России у ClubHouse от 20 тыс. до 50 тыс. пользователей. Другой эксперт из «Фридом Финанс» предположил 15 тысяч,Читать полностью »
В новой версии Telegram 7.4 для macOS устранены две уязвимости, которые нашел индийский кибербезопасник Дхирадж Мишра. В конце декабря он рассказал о проблемах в Telegram и получил баунти в размере €3000. Он обнаружил, что самоудаляющиеся фото и видео в секретных чатах удалялись из чатов, но оставались храниться локально на устройстве получателя.
Кроме того, Читать полностью »
«Служба безопасности Яндекса раскрыла факт внутренней утечки», сообщает пресс-релиз компании.
Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, Читать полностью »
Это руководство посвящено настройке защиты приложений с помощью TLS-аутентификации. При таком подходе возможность работы пользователей с приложением зависит от имеющихся у них сертификатов. То есть — разработчик может самостоятельно принимать решения о том, каким пользователям разрешено обращаться к приложению.
В учебном проекте, который будет здесь разобран, показаны основные настройки сервера и клиента. Их взаимодействие изначально осуществляется посредством HTTP. А это значит, что данные между ними передаются в незашифрованном виде. Наша задача заключается в том, чтобы обеспечить шифрование всего того, чем обмениваются клиент и сервер.
Мы рассмотрим следующие вопросы:
Любой человек может оказаться в неприятной ситуации когда он едет ночью, в лес, в багажнике... Предусмотрительные граждане пытаются избежать подобных инцидентов выбирая сервисы такси известных брендов, которые декларируют безопасность поездки, контроль за водителями и даже вешают в приложении огромную кнопку "БЕЗОПАСНОСТЬ" которую надо жать в случае если что-то пошло не так.
Но помогает ли эта кнопка? Давайте проверим на практике.
На фоне борьбы мессанджеров, особенно когда WhatsApp так сильно скомпрометировал себя, очередной раз встал вопрос о безопасности общения и приватных данных. И конечно что же всех интересуют доказательство того, что нашу переписку невозможно прочесть.
Эксперты из АНО «Информационная культура», включая Ивана Бегтина, подготовили аналитическую записку «Приватность государственных мобильных приложений в России». Они проанализировали 44 мобильных приложения, созданных для государственных и муниципальных органов, госучреждений и госкорпораций. В 88% из них встроен хотя бы один трекер, Читать полностью »
На волне хайпа про РЖД я заметил, что много людей, даже из тех, кто "в теме", имеют странное представление о ситуации.
А большая часть тех, кто с безопасностью не связан вообще, высказывает какие-то уж совсем фантастические мнения, граничащие с теорией заговора.
В данной статье я сделаю попытку разобраться, без упора на информационную безопасность и поделиться своими мыслями, так что надеюсь, воспринято это будет правильно.
Под катом — мой личный анализ и попытка расставить точки над "ё".
А также несколько эксклюзивных железнодорожных фоточек...
