Kurgan-Telecom Ru | Информационные технологии

Всем привет, сегодня я хочу рассказать вам о своем опыте постановки PostgreSQL на сервере и какие при этом возникли сложности, а также о том как все это решилось.

Читать далее

Всех приветствую, читатели Хабра!

Сегодня третья часть анализа защищенности веб-приложений Vulnhub.

Ссылки на первую и на вторую части.

Примечание

Правовая информация:

Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях.
Автор статьи не несет ответственности за ваши действия.
Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял:
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Все атаки я проводил на локальный сервер, внутри моего сетевого интерфейса, на моем компьютере, то есть все действия легитимны.

Читать далее

Кратко, нужно использовать IP префиксы которые доступны внутри страны и недоступные из других стран, хотя это противоречит основному принципу интернета, что все ip-адреса должны быть доступны для всех.

Давайте рассмотрим интернет адреса с самого начала, есть публичные адреса и есть приватные адреса.
Например, адрес 1.1.1.1 это публичный, а адрес 10.1.1.1 приватный, он не маршрутизируется в Интернет. Многие компании используют такой адрес внутри своей сети.
Но есть также ещё одна категория адресов которые относятся к публичным, но никогда не используются обычными пользователями в интернете, такие адреса принадлежат какой-то корпорации или организации.

Эти адреса можно без опаски повторно использовать внутри страны и никогда не произойдёт пересечение с пользовательскими сервисами, потому что пользовательских сервисов на этих адресах нет. Ни один пользователь, скажем так, не пострадает. Если из-за рубежа кто-то направит DDoS атаку на такие адреса, то все атаки уйдут за рубеж, к основному владельцу адресов, при условии, если не объявлять такие адреса за рубеж по протоколу BGP.

Читать далее

Привет читатель, на связи Владимир, техлид команды бэкенд-разработки в fashion бренде Befree. За время жизни и развития нашего интернет-магазина накопилось некоторое количество любопытных, на наш взгляд, решений, и появилось желание начать делиться этими решениями с сообществом. Начнем с рассказа о каталоге товаров и о том как этот каталог со временем преображался.

Предыдущий каталог товаров делался во времена, когда и трафика, и товаров было в десятки раз меньше по сравнению нынешним временем. Тот каталог толком не имел механизмов для фильтрации и кастомизации. У менеджеров интернет-магазина не было инструментов управления логикой вывода товаров, чтобы покупатель видел то, что надо бизнесу. Много товаров терялось на задворках каталога, поэтому верно сказать, что для покупателя доля товаров оставалась не представлена, т.к. мало кто листает десятки страниц, чтобы найти там модель из новой коллекции, которая почему то не на первой странице. Это осложнялось еще и тем, что в каталоге имелся скудный набор характеристик товаров, что не давало вывести покупателям нормальные фильтры. Имелись и другие проблемы: при значительных скачках трафика, например во время рассылки пушей, каталог банально переставал справляться с нагрузкой.

Требования, которые команда сформулировала к новому каталогу:

Читать далее

Привет, Хабр! Мы уже неоднократно поднимали вопросы оптимизации запросов к СУБД ClickHouse, которую все чаще используют как универсальное высокопроизводительное хранилище для аналитических задач. В случае с Visiology этот вопрос приобретает двойную ценность, так как мы используем оптимизацию для эффективного выполнения запросов в языке DAX.

Сегодня мы поговорим о применении группировок GROUP BY с учетом их производительности для относительно больших таблиц, например, с миллионами записей. Таким образом, речь пойдет об оценке кардинальности одного или нескольких столбцов. Эта задача, кстати, является достаточно нетривиальной. Но если Вы можете ее решить, появляется возможность для эффективных оптимизаций SQL. О них мы и поговорим сегодня.

Читать далее

Это новый вариант статьи, уже выложенной на Хабре. Та статья писалась на эмоциях, сразу после первых декабрьских версий. Нынешняя — это результат трехмесячных воскресных посиделок в Visual Studio. Тут и параллельные процессы и манипуляции в js и даже примитивный шахматный движок на C#.

Погнали

В этой статье очень наивный разработчик в лице меня рассказывает как пытался разобраться как строить стартапы.

Работа в найме имеет очевидный минус и это зарплатный потолок, а я считаю что нужно зарабатывать так много денег как только получается.

Ведь если я вдруг дико заболею, то хочу иметь возможность пересаживать себе все органы раз в 5 секунд, а если подумать еще и о близких, то получается, что каждый момент времени, когда я не стараюсь заработать больше, то я отнимаю у себя же возможность пожить с ними дольше.

Помимо этого еще куча причин, но сейчас не об этом - когда мне на счет начало стабильно приходить более 500к рублей я начал задумываться над тем, чтобы сделать свой пет-проект и начать на нем зарабатывать.

Но я не учел того, что в IT продуктах сама разработка - далеко не самая важная для большинства проектов. Есть конечно высоконаучные области, например то, что делает OpenAI, но по большей части, разработка не так важна...

Читать далее

В статье Пример HTTP-сервера на PHP с использованием файберов / Хабр краеугольным камнем организации обработки HTTP-соединений является функция socket_select(), которая имеет значительное ограничение - максимальное значение дескриптора, которое можно добавить в любой из трёх аргументов данной функции составляет 1024. Данный лимит определяется константой FD_SETSIZE, для увеличения которой придётся сконфигурировать системные лимиты и как минимум пересобрать интерпретатор PHP, что нецелесообразно и может создать эксплуатационные проблемы. К тому же, производительность функции select(), обёрткой над которой является функция socket_select(), значительно проседает при ощутимом увеличении значения константы FD_SETSIZE. В данной статье я постараюсь продемонстрировать альтернативу, позволяющую избавить пример из предыдущей статьи от данного ограничения.

Читать далее

В последние 1-1,5 месяца я просматриваю вакансии, оставляю отклики, посещаю собеседования (да, я решил найти новое дело) и заметил неприятную закономерность — примерно 7 из 10 вакансий с названием “Менеджер проекта в … сфере” по факту ищут SM или универсального солдата с функциями SM + PO + PdM. В одном случае нужен человек, который будет настраивать автоматизацию в Jira и писать JQL-запросы — по сути, Scrum Master с технической прожаркой. В другом — Product Owner уже есть, бэклог он ведёт сам, внешние коммуникации на нём, а от кандидата хотят фасилитации и контроля спринтов. Вакансия — PM, реальность — совсем другое. В итоге обе стороны теряют по паре часов на собеседование, не получая ничего, кроме вежливого «мы подумаем».

Почему же важно чётко разграничивать роли менеджеров проектов, скрам-мастеров, владельцев продукта и менеджеров продукта? Как смешение этих ролей бьёт по команде и проекту? И что делать, чтобы навести порядок? Давайте разбираться на инженерном уровне — без воды, но с иронией. Куда ж без неё, когда и в резюме у кандидатов честно написано «Scrum Master / Product Manager, 5 лет опыта».

Читать полностью

В феврале 2025 года компания Apple удалила функцию сквозного шифрования в Великобритании в ответ на секретный запрос Министерства внутренних дел (Home Office) об установке бэкдора. Функцию шифрования Advanced Data Protection (ADP) в iCloud можно активировать для защиты своих данных. У британских пользователей больше нет такой опции.

Таким образом, Apple предпочла удалить функцию вообще, но не предоставлять её своим со скрытой уязвимостью, что подрывает фундамент безопасности платформы.

Не только в Великобритании государственные органы пытаются получить доступ к приватной информации граждан со смартфонов и облачных сервисов. То же самое наблюдается в других странах.
Читать дальше →

31 марта — это день, призванный объединить тех, кто делает бэкапы, и тех, кто их пока не делает. И как можно быстрее сократить количество последних. Мы в beeline cloud решили затронуть эту тему и поговорить о том, когда и кто первым начал праздновать «День резервного копирования», и как развивалась эта традиция.

Читать далее

Фотоплетизмография — это диагностический метод, который позволяет проанализировать изменения объема крови в микрососудах из‑за сердечных сокращений. Она находит широкое применение в медицине — используется для измерения уровня кислорода в крови, мониторинга жизненно‑важных показателей и диагностики заболеваний.

В последние годы активно развивается дистанционная фотоплетизмография, позволяющая оценить пульс на основе видеозаписи. Настоящая работа продолжает цикл статей о дистанционной фотоплетизмографии в Лаборатории искусственного интеллекта в Сбере и посвящена описанию физиологических основ и методов дистанционной фотоплетизмографии, а также предлагает сочетанное применение фильтра для устранения тренда и фильтра Чебышева 2-го типа для повышения точности измерений.

Читать далее

Привет, Хабр!

Сначала об определениях. LLM Red teaming — практика тестирования больших языковых моделей (например, GPT), направленная на выявление уязвимостей, нежелательного поведения и способов их взлома (jailbreak). Суть в том, чтобы через специальные подсказки или методы обойти защитные механизмы и ограничения LLM.

Большие языковые модели (LLM) сейчас активно применяются для создания AI‑ассистентов и специализированных агентов, отвечающих на запросы и совершающих операции в различных средах (финансовые транзакции, консультирование, управление ресурсами и др.). Вместе с развитием применения растут и риски, связанные с их уязвимостями. Злоумышленники могут использовать специальные атакующие промпты (adversarial prompts), чтобы добиться от модели нежелательных или запрещённых ответов. Методическое выявление таких уязвимостей через Red Teaming позволяет понять, как можно обойти системные инструкции моделей и разработать меры защиты.

В рамках учебного курса «Безопасность ИИ» (так сложилось, что я магистрант AI Talent Hub ИТМО) я провел исследование уязвимостей LLM‑агентов в формате соревнования Red Teaming (на одной из популярных арен, по правилам арены не буду уточнять название). Цель заключалась в том, чтобы различными способами «взломать» защитные механизмы агента и заставить его выполнять нежелательные действия или раскрывать служебную информацию.

Всего в первой волне конкурса было предложено 9 сценариев атак; мне удалось успешно решить все, осуществив в общей сложности 53 успешных джейлбрейка (по разным языковым моделям) — то есть случаев обхода встроенных ограничений. Решил поделиться с Хабром опытом и подробно рассмотреть применённые техники атаки на агентов. Сами модели в рамках арены не раскрываются, но по косвенным признакам можно было понять, что там был и ChatGPT и Claude.

Я классифицировал их по трём группам: приёмы социальной инженерии, обходы фильтров и цензуры и эксплуатация уязвимостей в поведении агентов. Для каждой группы приведены конкретные примеры запросов и ответов модели. В конце статьи хочу обсудить полученные результаты и предложить рекомендации по защите LLM от подобных атак.

Читать далее

Привет, Хабр! Меня зовут Александр Щербаков. Расскажу, как системы Privileged Access Management помогают контролировать действия привилегированных пользователей (таких как системные администраторы, управленцы, девопсы и проч.) с помощью сигнатурного анализа. Привилегированные пользователи обладают расширенным доступом к инфраструктуре. Их ошибки, небрежность или недобросовестные действия могут нанести организации большой вред.

Читать далее

Сегодня расскажу про то, как мне удалось предотвратить возможную атаку на одно Австралийское онлайн-казино, которое потенциально могло бы потерять $2.5 млн за ночь.

Читать далее

Привет, Хабр! Я yukk1ro, и сегодня хочу рассказать о своем проекте, который призван сделать обучение программированию более доступным и эффективным.

Читать далее

Вселенная Fallout рисует нам необычный мир, в котором почти все работает на атомной энергии. Если идея миниатюрных ядерных реакторов еще далека от реализации, то возможность построить большое количества АЭС для полного обеспечения потребностей в электроэнергии. Однако этому есть ряд важных препятствий, о некоторых из них поговорим в этой статье.

Приятного чтения!

Читать далее

Текст выходного дня, что намекает на несерьезность. И да: это – только один из множества сценариев, как не стоит использовать ChatGPT. Среди других и любимая тестировщиками задача по подсчету букв R в слове strawberry. И просить написать стихотворение – тоже так себе идея.

Несколько дней тому назад OpenAI обновила (обновил) работающую под капотом ChatGPT версии 4о модель-генератор изображений, заменив старушку DALL-E 3. Не расстраивайтесь, DALL-E 3 все еще доступна, если вам почему-то захочется к ней вернуться. Новая модель, если верить заявлениям ее создателей, замечательно понимает, что именно от нее хотят, принимая во внимание содержание целого диалога, а не только последнего промпта, аккуратно и точно обращается с текстом. И вообще легка и приятна в общении, то есть в использовании.

Устоять я не смог и вчера вечером вместе с внуком Николаем, парнем 14 лет, с моделью экспериментировали, создавали простую поздравительную открытку на годовщину школы, где учится он и его младший брат.

Читать далее

Привет, Хабр!

У меня появилась необходимость отделить проект от фреймворка. Благо кода фреймворка в проекте было не так много, но избавиться от него тоже нужно.
Поэтому было принято решение переписать функционал который он покрывал.
Одной из используемых функций фреймворка было - построение пространства имен.

Пространство имен, проще говоря, создано что-бы задавать область видимости кода для другого кода. Используя пространство имен можно гарантировать что клиентский код не будет зависеть от названия: переменных, функций, класса, и всего чего угодно в коде, в том числе при подключении нескольких библиотек тоже можно не переживать. Клиентский код будет зависеть только от результата работы кода.

Удачно получилось что тема пересекается с моей статьей. Может если это будет серия статьей с пометкой Клиентский код, то мне получится лучше донести что же всё-таки это за код такой.

Читать далее