Рубрика «token»

в 8:10, , рубрики: api, authentication, Clickjacking, cookies, CORS, csrf, cwe, http, HTTPS, injection, IT-стандарты, OWASP, rest api, security api, security web, token, xss, Анализ и проектирование систем, информационная безопасность, Разработка веб-сайтов

Введение

Умение реализовать грамотное REST API — полезный навык в наше время, т.к. все больше сервисов предоставляют свои возможности с помощью API. Но разработка REST API не ограничивается реализацией HTTP запросов в определенном стиле и формированием ответов в соответствии со спецификацией. Задача обеспечения безопасности REST API не так очевидна, как, например, обеспечение безопасности баз данных, но ее необходимость не менее важна.
В настоящее время многие онлайн системы с помощью API передают приватные данные пользователей, такие как медицинские или финансовые. Текущая же ситуация с безопасностью в веб-приложениях весьма печальна: по данным Comnews порядка 70% содержат кри­тичес­кие уязвимости. Поэтому всем, кто участвует в проектировании, реализации и тестировании онлайн систем, важно иметь общую картину по существующим угрозам и способам обеспечения безопасности как всей системы, так и используемого REST API.

В статье я попытался обобщить информацию о существующих уязвимостях REST API, чтобы у читателей сложилась общая картина. На схемах представлена современная архитектура клиент-сервер и обобщенный REST API запрос с потенциальными угрозами безопасности. Далее я подробнее расскажу об этих угрозах, и как технически реализовать защиту от них.

image
Читать полностью »

в 12:45, , рубрики: ECMAScript, fetch, javascript, rest api, token, авторизация

imageВ данном туториале мы кратко разберем, как реализовываются REST-запросы к API, требующие, чтобы пользователь был авторизован, и создадим асинхронную «обертку» для запроса, которая будет проверять авторизацию и своевременно ее обновлять.Читать полностью »

в 14:59, , рубрики: IT-стандарты, libgcrypt, libressl, open source, openssl, PKCS#11, streebog, token, ГОСТ Р 34.11-2012, информационная безопасность, криптография, Программирование

Об open-source реализациях хэш-функции ГОСТ Р 34.11-2012 и их влиянии на электронную подпись ГОСТ Р 34.10-2012 - 1В свое время реализация отечественных криптографических алгоритмов в библиотеке libgcrypt очень меня вдохновила. Стало возможным задействовать эти алгоритмы и в Kleopatra и в Kmail и в GnuPg в целом, рассматривать библиотеку libgcrypt как алтернативу openssl с ГОСТ-ым engine. И все было замечательно до прошлой пятницы. Читать полностью »

в 15:08, , рубрики: certificate, Firefox, Linux для всех, PKCS#11, thunderbird, token, Графические оболочки, информационная безопасность, криптография, Разработка под Linux, УЦ, Учебный процесс в IT

Импортозамещение операционных систем. Какими я вижу отечественные ОС - 1 Когда мы говорим об дистрибутиве операционной системы, то речь впервую очередь идет не об ядре операционной системы, а о тех приложениях, которые входят в состав дистрибутива. А когда мы говорим об импортозамещение операционных систем, то речь идет о той или иной версии Linux. Ничего другого на российском рынке для импортозамещения не предлагается. Что касается ядра linux, то за его развитие отвечает Ли́нус Бенедикт То́рвальдс. И честно говоря мне ничего неизвестно, про российское ядро linux. А вот окружение любого дистрибутива linux разрабатывается различными организациями, все их и не перечислить: KDE, Mozilla, Google, IBM и т.д. и т.д. И следовало бы ожидать, что с появлением отечественных ОС аля linux этот список будет расширен отечественными разработками или модификациями. Но этого нет. Нет, это не обязательно отечественный браузер или почтовый клиента в этих дистрибутивах. Но что-то доработанное с учетом российских реалий в цифровой экономике хотелось бы видеть. Остановимся на этом.
Читать полностью »

в 15:31, , рубрики: gcrypt, GnuPG, gnupg_pkcs11_scd, IT-стандарты, ksba, open source, PKCS#11, smartcard, smime, token, ГОСТ 34.10-2012, ГОСТ 34.11-2012, информационная безопасность, криптография, Разработка под Linux

Инфраструктура открытых ключей: GnuPG-SMIME и токены PKCS#11 с поддержкой российской криптографии - 1Неумолимо приближается час «Ч»: «использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается!». И вот, наконец, 16 июля 2018 г. на сайте Федерального ситуационного центра электронного правительства появилось Уведомление о начале выпуска сертификатов ключей проверки электронных подписей подчиненных удостоверяющих центров на головном удостоверяющем центре в соответствии с ГОСТ Р 34.10-2012. Правда, все равно не ясно когда же прекратится выпуск старых сертификатов. Но «процесс пошел» и это радует.
Читать полностью »

в 6:03, , рубрики: blockchain, cryptocurrencies, erc20, Ethereum, solidity, token, биллинговые системы, монетизация игр, ненормальное программирование, Программирование, разработка игр

Это статья — вторая (и заключительная) часть из серии о создании своих криптокотиков. В первой части мы узнали, что из себя представляет каждый Криптокотик, кто контролирует ход игры и как сделать котика в виде токена. Но для по-настоящему прорывного приложения нам необходимо определелить для них механизм размножения, а главное — рыночной торговли, чтобы участники могли выкупать друг у друга самых породистых котят.
image
Читать полностью »

в 15:12, , рубрики: blockchain, cryptocurrencies, Ethereum, token, биллинговые системы, монетизация игр, разработка игр

В первых числах декабря 2017 года, пользователи блокчейн-проекта Ethereum столкнулись с неприятным открытием — любые их транзакции просто перестали подтверждаться. Фактически, вся сеть перестала функционировать из-за неожиданно разросшегося в размерах мемпула.

Совсем скоро стало понятно в чем же дело — во всем виноват оказался проект CryptoKitties. Это забавная игрушка, работающая на блокчейне Ethereum и позволяющая пользователям разводить «котят», скрещивать их и продавать как обычные критовалютные токены. В какой-то момент 15% всех транзакций в Ethereum приходились на криптокотят! А к моменту написания этой статьи, игроки потратили на котят уже 23 миллиона долларов!

Так что я просто не мог пройти мимо такой интересной темы и решил рассказать, как же сделать игру такого рода. В этой статье (и ее продолжении) будет подробно описано, как можно создать похожий проект на Ethereum, в первую очередь с помощью разбора кода оригинального контракта CryptoKitties.

cryptocat
Читать полностью »

в 15:56, , рубрики: ico, token, Исследования и прогнозы в IT, Учебный процесс в IT, финансы в IT

Экономика токенов: дисконты — основные проблемы - 1

Начнём с главного: зачем это знать тем, кто живёт на it-ресурсе? Причин, минимум, две: первая — львиная доля современных проектов так или иначе строит собственную программу лояльности или подключает одну из действующих, но в любом случае речь идёт в первую очередь о скидках (иногда — бонусах); вторая — ICO — пузырь, а значит — после того, как он схлопнется, сам процесс привлечения средств нормализуется и всё только увеличится, то есть нужно быть готовым к востребованности услуги.
Читать полностью »

в 17:30, , рубрики: libreoffice, linux, nss, open source, pkcs10, pkcs11, token, x509 v3, информационная безопасность, Программирование, электронное правительство

image LibreOffice — мощный офисный пакет. LibreOffice бесплатен и имеет открытый исходный код.
Офисный пакет содержит в себе текстовый и табличный процессор, программу для подготовки и просмотра презентаций, векторный графический редактор, систему управления базами данных и редактор формул:

imageЧитать полностью »

в 13:00, , рубрики: appveyor, bindings, c++, ci, gcc, github, github releases, github token, JS, leveldown, node-gyp, node-process-list, node.js, nodejs, nodejs addon, np, prebuild, prebuild-ci, prebuild-install, token, travis-ci, Visual Studio

Если вы не новичок в nodejs, вы скорее всего знаете, что одним из достоинств nodejs является возможность написания нативных модулей. Обычно их используют когда необходим некоторый низкоуровневый доступ к системе. Перед разработчиком нативных модулей встаёт ряд проблем связанных с портированием, тестированием, а также распространением кода. Именно на последней я бы хотел заострить внимание.

Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js