Рубрика «токены»

В любой крупной компании, и X5 Retail Group не исключение, по мере развития возрастает количество проектов, где требуется авторизация пользователей. С течением времени требуется бесшовный переход пользователей из одного приложения в другой и тогда возникает необходимость использования единого сервера Single-Sing-On (SSO). Но как быть, когда такие идентификационные провайдеры как AD или иные, не обладающие дополнительными атрибутами, уже используются в различных проектах. На помощь придет класс систем под названием «идентификационные брокеры». Наиболее функциональными являются его представители, такие как Keycloak, Gravitee Access management и пр. Чаще всего сценарии использования могут быть различны: машинное взаимодействие, участие пользователей и пр. Решение должно поддерживать гибкий и масштабируемый функционал, способный объединить все требования в одном, и такие решением в нашей компании сейчас является индикационный брокер – Keycloak.

SSO на микросервисной архитектуре. Используем Keycloak. Часть №1 - 1
Читать полностью »

Как сделать из нейросети журналиста, или «Секреты сокращения текста на Хабре без лишних слов» - 1Только не удивляйтесь, но второй заголовок к этому посту сгенерировала нейросеть, а точнее алгоритм саммаризации. А что такое саммаризация?

Это одна из ключевых и классических задач Natural Language Processing (NLP). Она заключается в создании алгоритма, который принимает на вход текст и на выходе выдаёт его сокращённую версию. Причем в ней сохраняется корректная структура (соответствующая нормам языка) и правильно передается основная мысль текста.

Такие алгоритмы широко используются в индустрии. Например, они полезны для поисковых движков: с помощью сокращения текста можно легко понять, коррелирует ли основная мысль сайта или документа с поисковым запросом. Их применяют для поиска релевантной информации в большом потоке медиаданных и для отсеивания информационного мусора. Сокращение текста помогает в финансовых исследованиях, при анализе юридических договоров, аннотировании научных работ и многом другом. Кстати, алгоритм саммаризации сгенерировал и все подзаголовки для этого поста.

К моему удивлению, на Хабре оказалось совсем немного статей о саммаризации, поэтому я решил поделиться своими исследованиями и результатами в этом направлении. В этом году я участвовал в соревновательной дорожке на конференции «Диалог» и ставил эксперименты над генераторами заголовков для новостных заметок и для стихов с помощью нейронных сетей. В этом посте я вначале вкратце пробегусь по теоретической части саммаризации, а затем приведу примеры с генерацией заголовков, расскажу, какие трудности возникают у моделей при сокращении текста и как можно эти модели улучшить, чтобы добиться выдачи более качественных заголовков.
Читать полностью »

Криптовалюта. ICO, IEO, STO. Майнинг. Блокчейн: регулирование в России. Полная история: 2014-2019 годов - 1

Пролог

Юрист — человек, который может написать ответ на 10 листов и назвать его кратким.

Основной мой бизнес связан с юриспруденцией. Почти еженедельно приходит 1-2, а то и 3-5-10 клиентов, которые задают одни и те же вопросы: «Каков статус криптовалют/токенов в РФ/СНГ?»; «Какими налогами облагается майнинг/криптотрейдинг?»; «Как поставить ASIC/криптовалюту на баланс?» и т.д. Решил в нескольких статьях изложить свою позицию, основываясь исключительно на практике, но для этого важно разобраться, а на чём она основана, что в свою очередь диктует следующее: ознакомиться с действующими нормами и теми тенденциями, которые закладывает (условный) законодатель, исполнитель и судья. Поэтому попробуем прийти от того «а что же было?», к тому, «так что же есть?»: будет полезно не только для коллег, но и it-специалистов, потому как вопросы возникают чаще именно у них. И да, вторая важная решаемая проблема — повысить уровень грамотности: как станет ясно в конце цикла материалов, за 10 лет люди не научились ничему, кроме штампованию одних и тех же мифов и комментариев, которые делают им и окружающим только хуже. Наконец, третья задача: создать бесплатный мини-справочник по правовым вопросам крипто-отрасли (пользоваться им просто: все периоды выделены специальной полосой-заголовком). Подобные решения уже есть, но они: во-первых, лишены комментирования; во-вторых, не полны; в-третьих, в большинстве случаев не содержат ссылки на разные позиции и официальные документы).

Описание по всем годам будет в следующем формате:Читать полностью »

В OpenSSH добавлена экспериментальная функция двухфакторной аутентификации с помощью дешевых решений вида USB, Bluetooth или NFC-носителей. Соответствующая информация и детальное руководство опубликованы на marc.info.

В OpenSSH добавлена двухфакторная аутентификация - 1

Теперь OpenSSH имеет экспериментальную поддержку поддержку U2F / FIDO, а U2F добавлен как новый тип ключа "sk-ecdsa-sha2-nistp256@openssh.com" или сокращенно «ecdsa-sk» («sk» означает «ключ безопасности»).

Если ранее вы не сталкивались с U2F, то это — открытый стандарт для создания недорогих аппаратных решений в области security-токенов. Фактически, это самый дешевый способ для пользователей для получения аппаратных ключей, а на рынке достаточно продавцов. Например, токены можно купить у Yubico, Feitian, Thetis и Kensington. Аппаратные ключи дают преимущество в плане взлома: их надо физически украсть, что невозможно для большинства взломщиков.

При это токены — недорогие устройства, стоимость многих редко достигает стони евро, то есть это сравнительно дешевый и надежный способ для того, чтобы обезопасить систему.

Читать полностью »

В России началось промышленное использование токенов и блокчейна. Правда, по вынужденным причинам. После большого скандала с пропажей зерна на миллиарды рублей Национальный расчётный депозитарий (НРД) и Россельхозбанк объявили о проекте цифровизации учёта.

На зерно, которое поступило на склад и зафиксировано в складских расписках, будут выпускаться токены с подробной спецификацией, которые добавляются в общий блокчейн. Об это рассказал Эдди Астанин, председатель правления НРД, на форуме инновационных финансовых технологий «Финополис», где он принял участие в круглом столе «Блокчейн работает на бизнес».

«Россия является крупнейшим экспортёром зерна в мире и стоит задача акселерации этого процесса, — сказал председатель правления Национального расчётного депозитария Эдди Астанин. — В прорабатываемой пилотной модели НРД выступит оператором блокчейн-платформы, обеспечит хранение цифровых прав на зерно и проведение расчётов по сделкам. Мы полагаем, что новая модель позволит минимизировать существующие риски и издержки на товарном рынке, а также повысить эффективность заключения и расчётов по сделкам за счёт использования современных технологий».
Читать полностью »

Добавляем Refresh Token - 1

В прошлой статье я рассказывал про основы JWT. Если на пальцах, то это просто ключ, с помощью которого мы открываем дверь к приватным ресурсам. А что, если этот ключ украдут (точнее, сделают дубликат). Тогда кто-то еще сможет входить на сервер под вашим именем, причём мы об этом можем даже не узнать. Такого сценария мы не хотим допустить. Но что делать?

Читать полностью »

Шпаргалки по безопасности: JWT - 1

Многие приложения используют JSON Web Tokens (JWT), чтобы позволить клиенту идентифицировать себя для дальнейшего обмена информацией после аутентификации.

JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON.
Читать полностью »

Первую часть статьи об основах NLP можно прочитать здесь. А сегодня мы поговорим об одной из самых популярных задач NLP – извлечении именованных сущностей (Named-entity recognition, NER) – и разберем подробно архитектуры решений этой задачи.

image
Читать полностью »

После нахождения уязвимостей в мобайл-банкинге украинского банка (пост) я захотел немного сменить направление и перейти от финансовых сервисов к другим.

На глаза попалась рекламная статья про обновлённое мобильное приложение такси, его я и выбрал своим подопытным.

Здесь инструменты те же: ПК, Fiddler, Android-смартфон – устанавливаем приложение и отслеживаем его запросы.

Я специально не рассматривал запросы и ответы при регистрации или логине (например, не стал проверять возможность перебора пароля), а перешёл к функциям, доступным после регистрации.

Так как у меня не было истории поездок с помощью данного сервиса, а проводить реальную поездку для тестирования мне не хотелось, мне нужны были данные кого-либо ещё из клиентов. Я решил спросить знакомых на наличие аккаунта в сервисе. Среди знакомых нашлись клиенты этого такси, но вызывали они его по-старинке – с помощью звонка.

Тогда я начал искать номера телефонов среди общедоступной в интернете информации – например, на официальном сайте и среди отзывов в соцсетях (зачастую недовольные клиенты, описывая жалобы, вместо отправки компании в личку своих контактов оставляют их в комментариях на всеобщее обозрение). В итоге я нашёл пару телефонов на одном из сайтов по поиску работы. Один из них я подставил в последующие запросы и получил информацию, которая не должна была быть доступна кому-либо извне.

Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса - 1
Читать полностью »

Привет!

Сегодня расскажу о том, как мы разрабатывали миксер транзакций для нашего мессенджера. Пока расскажу про концепт в целом; надеюсь, будет интересно и разработчикам, и тем, кто увлечен анонимностью, защитой данных и остальным шифропанком.

Краткая предыстория. Как вы уже знаете, наш мессенджер функционирует на собственном блокчейне, и в нем реализованы переводы нескольких криптовалют в чатах. Добавлю: связи между кошельками публичны. Поэтому факт переписки и перевода токенов доступен и подтвержден в блокчейне. А ведь иногда именно факт общения (или перевода средств) может быть компрометирующим! Все ведь помнят «Трех мушкетеров» и подвески королевы, да?

Как замести следы в блокчейне? Наш концепт миксера для транзакций - 1

Наши пользователи указали нам на то, что пора устранить эту «лазейку в приватности». Так что мы, во-первых, убрали транзакции сообщений и сервисные транзакции из нашего обозревателя блоков. Поэтому обычный пользователь уже сейчас не может установить факт переписки между двумя номерами.

Но транзакции по-прежнему сохраняются в блокчейне, и их метаданные можно извлечь с помощью API. Поэтому мы приняли решение создать миксер транзакций, который можно было бы подключать, если важно скрыть факт перевода или переписки.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js