Хабрахабр: Web-разработка / Блог / Захабренные Голосов: 1 Адрес блога: http://habrahabr.ru/blog/webdev/ Добавлен: 2008-06-12 19:52:21 блограйдером ZaiSL

CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код произвольных веб-страниц

2017-02-24 11:55:09 (читать в оригинале)

Специалисты по безопасности из Google обнаружили неприятный баг, чем-то похожий на приснопамятную уязвимость Heartbleed в OpenSSL. Она тоже выдаёт любому желающему криптографические ключи пользователей, а также куки, пароли, содержимое POST-запросов с личными данными, кредитные карты, ключи API и другое содержимое чужих сессий.

Здесь уязвимость ограничена всего одним сервис-провайдером, пусть и таким крупным как Cloudflare. Но в определённом смысле этот баг Cloudbleed хуже, чем Heartbleed, потому что утечка данных происходит спонтанно. Эти страницы рутинно скачиваются краулерами, индексируются поисковыми системами, до сих пор хранятся в архивах веб-страниц и в кэше Google.

Cloudflare является посредником между хостером сайта и посетителями сайта, выполняя роль обратного прокси для веб-сайтов. Из-за ошибки программиста системы Cloudflare на Nginx с сентября 2016 года внедряли случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которое выдавалось всем пользователям.
Читать дальше →

---

Полная автоматизация «development» среды с помощью docker-compose

2017-02-22 21:55:19 (читать в оригинале)

В этой статье мы поделимся опытом автоматизации запуска, тестирования и конфигурации больших проектов с использованием docker-compose. Несколько простых изменений могут помочь Вашей команде быть более эффективной и тратить время на важные, а не на рутинные задачи.

Docker в 2017

На конференции Dockercon 2016 CEO компании Docker рассказал, что количество приложений, которые запускаются в Docker выросло на 3100% за последние два года. Боле 460 тысяч приложений по всему миру запускаются в Docker. Это невероятно!

Если вы все еще не используете Docker, я бы посоветовал почитать отличную статью об использовании Docker во всем мире. Docker полностью изменил то, как мы пишем приложения и стал неотъемлемой частью для разработчиков и DevOps команд. В этой статье мы полагаем, что вы уже знакомы с Docker и хотим дать вам еще одну серьезную причину продолжать использовать его.

Читать дальше →

---

[Из песочницы] Асинхронная альтернатива для Kotlin в лице Vert.x

2017-02-22 15:35:44 (читать в оригинале)

Kotlin — популярный инструмент у разработчиков на Android, но, как известно, это не единственное ему применение. Поэтому когда я решился написать простой веб-сервис, показалось разумным сделать это как раз на Kotlin.

Оказывается, Spring Framework — это не единственный вариант. Существует еще одна мощная асинхронная альтернатива — Vert.x, которая почему-то редко упоминается в контексте Kotlin. Об этом тандеме и поговорим в этой статье.

Читать дальше →

---

[Багхантинг] Blind XSS уязвимость на сайтах службы поддержки omnidesk

2017-02-21 13:03:29 (читать в оригинале)

Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, увидел посев (реклама в социальных сетях) групп с бесплатными ключами vk.com/******* и vk.com/*****. Посевы эти дорогие, производились в группах от 250 000 до 5 000 000 подписчиков, например в группе Наука и Техника. Группы предлагали каждому бесплатный ключ за подписку. Примерно через полмесяца увидел, что первая группа выросла до 109 тысяч подписчиков. Тут любому понятно, что бесплатный ключ люди не получат, ведь бесплатных ключей на 100 к человек не «напасешься». Немного осмотрев группу, я понял что «реальные» отзывы о получении бесплатных ключей подделка, ведь скриншоты из отзывов все время кидают одинаковые и ссылки на людей поддельные.



Самое интересное то, что люди на всё это до сих пор ведутся, вступают в группу в надежде на бесплатный ключ, делают репост в надежде на то, что им повезет и они выиграют дорогой игровой PC(но мы то знаем, что никто PC не получит), когда они хотят получить что-то бесплатно, ими легко манипулировать для своих целей.



Вся суть постов в группе — это реклама реферальной ссылки на сайт ***random.ru и получение выгоды.



Посмотрим на него.
Читать дальше →

---

YaBB — форум из XX века

2017-02-20 17:40:36 (читать в оригинале)

YaBB — бесплатный движок форума на Perl, первая версия которого вышла в самом конце XX века, 4 июля 2000 года. Да-да, XXI век, вопреки распространенному заблуждению, начался лишь с 1 января 2001 года.

На машине времени мы перенесемся в 2000 год и посмотрим, как все начиналось.


→ Демо-версия самого первого YaBB (логин: admin, пароль: admin).
Читать дальше →