Около недели назад журналист Кристофер Мимс (Christopher Mims), опубликовал в статье, посвященной двухфакторной аутентификации, пароль от своей учетной записи в Twitter-е. Это было достаточно смело, если не сказать глупо.
Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста, после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
Рассмотрим все риски более подробно.
Читать полностью »
Архив за 22 июля 2014 - 6
Двухфакторная аутентификация: еще раз о рисках при использовании SMS и голосовых вызовов
2014-07-22 в 10:10, admin, рубрики: spoofing, two-step verification, voicemail, Блог компании Token2.com, информационная безопасностьTSMC может противопоставить союзу Samsung и Qualcomm сотрудничество с MediaTek
2014-07-22 в 9:38, admin, рубрики: Новости, метки: новостиКомпания Taiwan Semiconductor Manufacturing Company (TSMC) может пойти на сотрудничество с MediaTek, что бы скомпенсировать получение компанией Samsung заказов на выпуск 14-нанометровой продукции Qualcomm.
Как известно, В TSMC допускают временную утрату позиций в сегменте 14/16 нм, но рассчитывают наверстать упущенное уже в 2016-2017 годах.
Открыт прием заявок на LVEE 2014
2014-07-22 в 9:17, admin, рубрики: foss, linux, lvee, Байнет, беларусь, конференции 
Юбилейная 10-я международная конференция разработчиков и пользователей свободного ПО “Linux Vacation / Eastern Europe” пройдет 22—24 августа под Гродно (Беларусь).
Мероприятие объединяет общение и отдых специалистов и энтузиастов в области свободного ПО, включая платформу GNU/Linux, но не ограничиваясь ею.
Организаторы LVEE – члены Минской группы пользователей Linux и другие активные участники сообщества open source. Конференция проходит на турбазе посреди лесного заказника, поэтому для участников предусмотрена централизованная доставка из Минска к месту проведения конференции и обратно. Кроме того, участники, добирающиеся личным транспортом, традиционно используют вики-раздел сайта конференции для приглашения попутчиков.
Читать полностью »
Как улучшить свой стиль программирования?
2014-07-22 в 9:13, admin, рубрики: как не надо делать, Программирование, программисты, разработка, Совершенный кодИсповедь 1
Я — разработчик. От своих работодателей я постоянно слышу, что работаю медленно и часто всё усложняю без веской причины. И что мне пора бы что-то с этим сделать. Во избежание.
Весь мой опыт программирования складывается из университетских работ и пары лет пребывания в различных компаниях. Критикующие меня люди неоднократно говорили мне, что в целом я разбираюсь в теме, так что я далеко не клинический случай, как можно было подумать. Однако, очевидно, я выработал совсем не те программистские привычки (как минимум, на взгляд работодателя) и мне нужно срочно изменить их. Везде, где бы я ни работал, мои решения, использующие иерархии мелких классов с делегированием поведения, признавались плохими. Говорят, будто так и надо писать, но это не так. Потому что всё это «как надо» может стоить мне работы.
Читать полностью »
vPath или как создать сервисную цепочку в среде виртуализации
2014-07-22 в 9:04, admin, рубрики: Cisco, Nexus 1000V, безопасность, Блог компании Cisco, виртуализация, информационная безопасность, сервисные цепочки, сервисы 
Как обеспечить контроль за трафиком между компонентами виртуализированного приложения с минимальными затратами по времени? Существует ли технология, которая позволяет передать трафик по цепочке через несколько сервисных компонент, например, межсетевой экран, пакетный фильтр и систему балансировки трафика, не внося изменений ни в настройку сети, ни в конфигурацию самих приложений? Под катом мы поговорим о технологии Cisco vPath, которая позволяет изящно создавать сервисные цепочки в средах виртуализации и не зависеть при этом от производителя гипервизора.
Как в WMS-системах обычно реализуется комплектация доставок по заказам?
2014-07-22 в 8:53, admin, рубрики: ERP-системы, wms, автоматизация, Промышленное программированиеИз ответов на вопросы пользователей родился данный пост. Прошу строго не судить. Данная информация служит скорее для обобщения известной информации, нежели для приобретения мировой известности ее автором.
Итак,
Процесс комплектации доставок по заказам очень зависим от бизнес-процессов компании. Для крупных заказов (либо несколько грузовых мест) существует практика:
Заказ подбирается и размещается в ячейках зоны отгрузки.
Планируется маршрут. Создается документ «Маршрутный лист» (МЛ) на транспортное средство (ТС). Определяется, какие заказы в него попадают и в какой последовательности.
По заказам, вошедшим в МЛ создается задание на погрузку (контроль погрузки в ТС), кладовщик подбирает грузовые места заказа и размещает в ТС. Читать полностью »
Juniper SRX: Site-to-Site IPSec VPN с использованием SSL сертификатов
2014-07-22 в 8:45, admin, рубрики: juniper, juniper srx, Сетевые технологии, системное администрированиеВ прошлый раз мы настраивали Site-to-Site IPSec VPN с использованием pre-shared-key. Сегодня мы поговорим про тот же IPSec VPN, только с использованием SSL сертификатов.
Обращаю внимание на то, что оба SRX'а должны обладать статическим внешним IP адресом.
Схема сети будет та же, что и в прошлый раз:
Сертификаты мы будем создавать с помощью OpenSSL, т.к. это интересней — CA под Windows Server 2012 R2 при инсталляции «Next, Next, Next» без проблем подписывает CSR запросы, с OpenSSL пришлось чуть чуть повозиться.
Всех заинтересовавшихся прошу под кат.
Читать полностью »
Исследователи из Принстона обнаружили «теневой» инструмент идентификации пользователей в плагине AddThis
2014-07-22 в 8:43, admin, рубрики: браузеры, информационная безопасность 
На днях в Сети появилось сразу несколько публикаций, тема которых — скрытый способ идентификации пользователей посещаемыми сайтами. Этот способ весьма сложно, если вообще возможно, заблокировать стандартными методами, типа блокированием куков либо установкой AddBlock или сходных плагинов.
При этом такой способ идентификации уже обнаружен на 5% самых популярных сайтов мира, включая WhiteHouse.gov и YouPorn.com. Сам метод достаточно понятный: при заходе на какой-либо сайт, с установленным кодом отслеживания пользователя, такой ресурс запрашивает у браузера пользователя отрисовку скрытого изображения. Поскольку любой ПК уникален (свой набор «железа», свойства аппаратного обеспечения, набор ПО и прочее), то и отрисованное изображение — уникально.
Отрисованное изображение можно использовать в качестве «отпечатка пальца», с присвоенным устройству уникальным идентификатором. Ну, а дальше, как говорится, уже дело техники — отслеживать ПК с присвоенным идентификатором и действия владельца этого ПК в Сети несложно. При этом, как уже говорилось выше, стандартными методами заблокировать подобный способ идентификации практически невозможно.
StackOverflow: 560 млн показов в месяц, 25 серверов
2014-07-22 в 8:34, admin, рубрики: haproxy, MS SQL, stackexchange, stackoverflow, высокая производительность, Серверная оптимизация, Серверное администрирование 
StackOverflow опубликовал статистику посещаемости по всем сайтам StackExchange. На данный момент StackExchange занимает 54-е место в интернете по аудитории. На сайте зарегистрировано 4 млн пользователей, опубликовано 8 млн вопросов и 40 млн ответов. Посещаемость составляет 560 млн просмотров в месяц.
Что удивительно, для работы StackOverflow хватает всего 25 серверов. Но поскольку нагрузка на ЦП составляет около 10-15%, то всю работу могли бы выполнять и 5 серверов.
Читать полностью »
Причина использования Gmail в правительстве РФ кроется в невозможности удаленного доступа к служебной эл.почте
2014-07-22 в 8:33, admin, рубрики: НовостиВ интернете опубликована служебная переписка вице-премьера правительства РФ Аркадия Дворковича, которая велась через почтовый ящик на Gmail.
Как пишут «Ведомости», архив, выложенный хакерами в публичный доступ, содержит входящие письма за июнь — июль. Два человека, чьи письма есть в этом архиве, подтвердили «Ведомостям» подлинность переписки с вице-премьером.