В первую очередь поясню что эта технология находится на ранней стадии разработки, и я бы хотел подискутировать в этом топике о её рентабельности и полезности. Поэтому прототипа еще нет.

Большинство уязвимостей в веб сайтах являются результатом изменения HTTP запроса, подмены URL или заголовков, и прочие неожиданные для сервера действия. Обычный пользователь не должен иметь возможности так делать, но так как современное приложение состоит из клиента и сервера, то в реальности сервер не имеет контроля над тем как пользователь использует клиентскую часть.

Из-за этого «двойная валидация» встречается повсеместно — на экране нужно показывать только объекты доступные пользователю, плюс нужно на сервере проверять имеет ли пользователь доступ к данному объекту.

Так возникла идея SecureCanvas — превратить сайт в подобие АТМ/терминала, где пользователь может только печатать и двигать мышку. Вместо попытки перехватить вредоносные запросы мы просто переводим игру в другую плоскость и снижаем поверхность атаки до нуля, разрешая пользователю делать лишь то что он и должен делать — взаимодействовать с сайтом.
Читать дальше →

Не стоит относиться к Автокаду как просто к проектированию. Конечно, используя мощные инструменты данного продукта, вы сможете спроектировать окружающий мир. При этом так хорошо, когда участники проекта могут эффективно взаимодействовать между собой. Назначение данного продукта – создание впечатляющих 3D-проектов, совместная работа в облаке и выпуск рабочей документации. Кстати, проекты доступны как с ПК, так и Далее...

Запись Что дает подписка на Автокад? впервые появилась Крым сквозь время.

Недавно меня попросили высказать свое мнение по поводу нового сервиса, который обещает решить все проблемы пользователей-склеротиков, увеличить шелковистость волос и значительно снизить риски связанные с кражей пароля. Основная концепция системы заключается в избавлении пользователя от необходимости помнить свой пароль для аутентификации и параллельно увеличить безопасность за счет двухфакторной аутентификации. Также сервис предлагает «полуторафакторную аутентификацию», которая представляет из себя вариант LastPass. Заинтересовавшись, я решил рассмотреть все плюсы и минусы такого подхода с точки зрения пользователя-гика. Сразу оговорюсь, что я не являюсь экспертом в области информационной безопасности, поэтому прошу простить заранее возможные неточности.
Осторожно тыкаем медвежонка палочкой

Сегодня, когда мобильная связь в Украине проникла более, чем на 100%, вопрос своевременного пополнения баланса остается весьма актуальным. Мобильные операторы Украины www.clickpincode.com.ua часто берут огромные комиссии за пополнение баланса телефона. Да и чаще всего приходится бегать на улицу к ближайшему магазину или терминалу. Что же делать, когда срочно нужно пополнить баланс телефона, а времени куда-то бегать нет или Далее...

Запись Как пополнить счет через Интернет впервые появилась Крым сквозь время.

Декабрь для меня получился наиболее удачным за четыре года участия в разнообразных программах bug bounty, и я хотел бы поделиться информацией об одной из обнаруженных уязвимостей. Речь пойдет о небезопасной обработке Request-URI (Request Target). На этот раз красивой комбинацией уязвимостей порадовал Facebook.
Читать дальше →