Kurgan-Telecom Ru | Информационные технологии

В dev-среде аутентификация может годами выглядеть безобидно: логин прошёл, cookie выпущена, [Authorize] работает. А потом приложение переезжает в продакшен — и часть пользователей начинает вылетать из системы без понятной ошибки. Иногда всплывает 431 Request Header Fields Too Large, иногда сервер просто перестаёт принимать сессию, которая ещё минуту назад выглядела корректной.

В статье разбираем, почему cookie аутентификации в ASP.NET Core разрастаются до опасных размеров, как это проявляется в реальных системах и какие решения помогают не лечить симптомы, а привести схему аутентификации в нормальное production-ready состояние.

Каждый, кто погружается в тему личной продуктивности, рано или поздно приходит к идее единого инструмента. Одно приложение для задач, заметок, планов, целей, конспектов и базы знаний. Звучит как мечта. Выглядит как идеальная система.

В этой статье я расскажу, чем опасна ставка на один «божественный» инструмент вроде Obsidian, и как децентрализованный подход неожиданно вернул мне гибкость и снизил прокрастинацию.

Использование компонентов под GNU GPL может стоить вам Реестра Минцифры с НДС 0, госконтракта и грантов – даже если всё было заранее согласовано с заказчиком. Разбираем, какие лицензии «заражают» ваш код, и что с этим делать на уровне управления процессом разработки.

Поиск — штука настолько привычная, что её редко рассматривают как отдельную инженерную задачу. На деле это связка из четырёх частей: парсинг и нормализация исходных данных, индексация, обработка пользовательского запроса и ранжирование результатов. Каждая из них живёт по своим правилам и ломается по своим причинам.

Сложно представить более прикладную область, поэтому на хакатоне IT Academy Hack 2026 от IT Академии Samsung Innovation Campus в этом году, мы решили попросить студентов предложить варианты улучшения поиска по сообщениям в контуре корпоративного мессенджера. Кстати, VK Tech стал индустриальным партнером конкурса уже во второй раз — предоставил инфраструктуру для студентов, и стал одним из постановщиков задач.

Меня зовут Сергей Харламов, я руковожу Исследовательской лабораторией VK Tech. В этой статье расскажу об актуальных проблемах оптимизации поиска, а также о задаче и подходах, которые можно было применить для ее решения.

В свете последних новостей вокруг Telegram провела некоторые эксперименты с протоколом MTProxy.

Основная идея: сделать ПО, выглядящее для Telegram-клиента как MTProxy-сервер, и осуществляющее дальнейший обмен данными со сторонними MTProxy-серверами.

В идеале, эти сторониие серверы должны обнаруживаться автоматически, и переключение между ними тоже должно происходить автоматически.

"Эксперты" говорят, что ближайшие несколько лет у каждого появится персональный ИИ-агент. Он будет писать код, помогать выбрать кофемашину, считать калории на ужин. Звучит как что-то из будущего... но оно уже наступило. Просто мы этого не заметили.

Привет, Хабр!

Итак, как и было анонсировано на прошлой неделе, мы отстояли наш очередной книжный салон на Дворцовой площади. Я (Олег Сивченко @OlegSivchenko работал на стенде 23-24 мая в паре с Евгенией Тихоновой, главной искательницей и издательницей сказок в нашей команде). Я отвечал за левую (если смотреть со стороны покупателя) часть экспозиции, где размещалась наша компьютерная литература. В воскресенье компанию нам ненадолго составил ослепительный и импозантный Евгений Походун, наш новый системный администратор, прибывший на стенд с целым ведром хорошего настроения и в трапперско-сталкерской енотовой шапке, которая в нынешнем экстремально приморском питерском мае пришлась почти по погоде.

 Под катом поделюсь некоторыми впечатлениями и фотографиями, сделанными в первые дня салона (когда на стенде вместе с Евгенией Тихоновой работал наш коллега Валентин Холмогоров @Holmogorov.

MAX позиционируется как серьёзная платформа с госинтеграциями, но при этом разработчикам не дают базовых инструментов отладки. Работать в таких условиях можно, но это постоянные костыли и лишние часы. Я обращаюсь к команде MAX: если вы хотите, чтобы под вашу платформу делали качественные решения, нужно давать разработчикам нормальные инструменты. Иначе мы вместо экосистемы получим ещё один обязательный, но неудобный продукт.

В России сейчас активно продвигают мессенджер MAX как официальную альтернативу Telegram. Для пользователей это значит еще один клиент на рабочем столе, а для разработчиков — ещё одна платформа для ботов и мини‑приложений.

На бумаге это звучит норм: единая платформа, интеграция с госсервисами, мини‑аппы для бизнеса (привет, WeChat). На практике возникает базовый вопрос: как это вообще разрабатывать и отлаживать, если в десктопном клиенте нет нормальных DevTools?

В этой статье я попробую рассказать, как выглядит попоболь отладка мини‑приложений в MAX сегодня, чем она отличается от привычного процесса в Telegram (да да, опять сравнение с вездесущей телегой), и почему отсутствие инструментов разработки — не мелкая придирка, а системная проблема.

Помните, как в фильмах про агентов 007 прикладывали палец к сенсору или сканировали сетчатку глаза, чтобы попасть в секретную лабораторию? Когда-то это казалось чем-то фантастически дорогим, сложным и абсолютно надежным. Сейчас технологии, связанные с биометрией, как-то резко и незаметно вошли в нашу жизнь. Но очень многие отказываются пользоваться ими.

Я написала эту статью, потому что заметила: многие боятся биометрии, но при этом не понимают, как она на самом деле устроена и защищена. Сама я долго оттягивала момент сдачи, пока не обнаружила, что один из банков уже каким-то образом получил мои данные. Плюс был "забавный" случай в магазине, когда терминал "узнал меня в лицо" и списал деньги не с той карты. В общем, я решила разобраться профессионально.

Страх сдавать биометрию подогревается не только новостями об утечках, но и распространенными в обществе фобиями: слухами о тотальной слежке, «Большом брате», полной утрате конфиденциальности и свободы, а также технологией дипфейков («подмены лиц»). Эти опасения в какой-то степени оправданы: любая система, способная уникально идентифицировать человека, потенциально может быть использована для его негласного контроля, ограничения анонимности или манипуляции (как раз создание поддельного видео с вашим лицом). Именно поэтому законодатели и организации обязаны применять строгие технические и организационные меры, обеспечивать прозрачность каждого запроса и право безусловного удаления - чтобы минимизировать риски. При этом сохранив баланс между удобством и приватностью.

ИТ-менеджер открывает новую ITAM-систему, а вокруг — выгрузка из 1С, Excel от закупок, таблица склада и файл «ноутбуки_финал_точно_последний.xlsx». Рассказываем, как за 90 дней пройти путь от цифровой свалки до учёта, которому можно доверять. Внутри — два чеклиста, RACI-таблица и пошаговый маршрут.

Привет, Хабр!

Хотелось бы поделиться с вами моим open-source проектом для поиска директорий, поддоменов, ака crawler. Я не говорю, что он перевернёт мир краулеров или превзойдёт Katana, но, думаю, утилита будет крайне полезна для red team-команды.

https://github.com/a11mut3d/CGE

Проблемы, которые решает CGE

Современное веб-приложение — это не монолит, где всё в одном HTML, а куча микросервисов, API и в целом эндпоинтов. Составить карту всех запросов достаточно сложно, поэтому вы не видите картину целиком.

CGE помогает в этой задаче. Он:

— собирает все поддомены из SSL-сертификата (как в crt.sh); — краулит каждый эндпоинт, парсит HTML, JS, формы, аплоады, файлы; — отслеживает, куда идут запросы в реальном времени через взаимодействие с формами; — строит граф взаимодействия эндпоинта в реальном времени.

Как это выглядит

На данный момент у CGE есть 2 варианта использования: web UI и CLI.

Если про CLI особо и нечего расписывать (он просто выдаёт все найденные эндпоинты в консоль или по желанию сохраняет в файл), то на web UI давайте остановимся подробнее.

Веб-интерфейс я постарался сделать в стиле Obsidian (спойлер: получилось не очень).

— Каждая нода — хост (поддомен). — Ребро между нодами — факт HTTP-обмена информацией. — При клике на ноду мы получаем список всех эндпоинтов (даже тех, которые были замечены в запросах от других хостов). — При клике на ребро мы получаем все реальные запросы между хостами.

Технические детали

Реализовать я решил на Python с использованием BS, requests, DNS. В качестве базы данных я решил использовать Neo4j.

Американский банк собрал в свой фонд 650 миллионов долларов, чтобы скупить доли в биотех-стартапах. Финансисты получили прямой доступ к лабораториям, которые занимаются генной инженерией.

Их цель — первыми узнать, когда люди смогут жить до 120 лет. Это нужно для спасения пенсионной системы. Американская пенсионная математика завязана на актуарных таблицах. Сейчас модели рассчитаны на дожитие до 80—87 лет. Если возраст вырастет, то фондам придётся платить дольше и появится риск долгожительства.

По той же логике инвестируют в климатические исследования. В 2020 году ураган «Лора» остановил 84% добычи нефти в Мексиканском заливе. Цены на нефть тогда взлетели сразу. Тот, кто знал путь урагана заранее, купил нужные контракты первым.

Схема одна: кто быстрее превращает научные данные в модели риска и продукты — тот зарабатывает. Разбираемся, какие лаборатории открывают финансовые гиганты и зачем им квантовые исследователи в штате.

Привет, Хаброжители! Добро пожаловать в будущее Java! Изучите главное новшество Java 21 — виртуальные потоки. Помните, как приходилось бороться с высокой стоимостью создания потоков, сталкиваться с ограничениями масштабируемости и трудностями при попытке достичь высокой пропускной способности? Те дни прошли! Это практическое руководство проведет вас от Java 1.0 до прорывных достижений Project Loom.

Покупая подписку ChatGPT за 20$, вы получаете возможность использовать токены на сумму ~1000$. Покупая подписку к Claude за 100$, вы получаете токенов на сумму ~2000$. Но подключить эти подписки напрямую в Cursor нельзя. Формат запросов в API и подписке отличаются. Вам нужен обходной путь — проксирование запросов.

Привет, Хабр! Меня зовут Никита, я работаю в Directum Projects: консультирую заказчиков, помогаю с выбором систем при цифровизации проектной работы. Часто я сталкиваюсь с такой ситуацией: компании не могут определиться, какой класс ИСУП им выбрать — специализированную платформу или экосистему. В статье расскажу о том, чем отличаются такие решения и как найти систему, которая по максимуму закроет ваши задачи и не сломается при масштабировании.

Хочу поделиться своим проектом по туннелированию траффика в обход белых списков через звонки. Если кратко — пару месяцев назад начал писать пет по обходу блокировок через SFU (ранее в сообществе выходила статья на тему того, как такой подход работает), и за это время он успел обрасти мясом.

Второй день INFOSTART CIO CAMP 2026 пройдет не в зале с докладами, а на воде. Участники выйдут на гоночных яхтах в акваторию Финского залива — без требований к яхтенному опыту, но с полной командной вовлеченностью: ролями, коммуникацией, быстрыми решениями и общим результатом.

Регата пройдет в Санкт-Петербурге, в яхт-клубе ZIGZAG. В программе — инструктаж, распределение по командам, выход на воду, гонки, церемония награждения и вечерняя программа.

Опыт яхтинга не нужен. На каждой лодке будет профессиональный шкипер, а перед стартом участники пройдут брифинг по безопасности и основным действиям на яхте...

Привет, Хабр. На связи Маша Лещинская, Head of QA в Surf. Мы все любим пет-проекты, и еще больше — пет-проекты на AI. Но есть нюанс: большинство таких штук забываются через неделю, потому что их сложно и дорого поддерживать. Я сделала проект, который живёт уже третий месяц, и причина не в каких-то крутых технологиях, а в том, что цена поддержки стала минимальной.

Главная мысль этой статьи простая: не надо встраивать ИИ в каждую корпоративную систему как отдельный самостоятельный AI-контур. Пользователь должен видеть ИИ там, где работает: в CRM, СЭД, ITSM, мониторинге, портале или корпоративном чате. Но модели, GPU, gateway, лимиты, аудит, политики доступа, RAG, журналы и ответственность должны жить в отдельном корпоративном слое.

ИИ должен быть доступен из каждой корпоративной системы, но не должен принадлежать ни одной из них. Как бухгалтер работает и в 1С, и в почте, и на корпоративном портале, так и корпоративный ИИ должен уметь работать с разными системами, не превращаясь в модуль одной из них.

Это статья про архитектурную ошибку, которую мы почти совершили в Monq, про зоопарк корпоративных копилотов, теневой ИИ, GPU-инфраструктуру, AI Gateway, безопасность, аудит и новый слой между людьми и информационными системами.

Обзор лучших ИИ для генерации дизайна интерьера по фото, чертежу и описанию. Узнайте, как сделать визуализацию ремонта квартиры нейросетью без дизайнера.