Kurgan-Telecom Ru | Информационные технологии

Всем привет!

Сегодня любое развитие онлайн-бизнеса, его процессы и выручка напрямую зависят от бесперебойной работы сайтов и веб-приложений. Тут же возникает риск кражи персональных данных и чувствительной информации из хранилищ веб-сайтов и приложений. Еще хуже, если злоумышленники взломают онлайн-ресурс, а затем продолжат развитие атаки уже внутри инфраструктуры компании. Чтобы избежать кибератак, приводящим к потере прибыли и штрафам за утечки данных, нужно заняться защитой своих веб-приложений.

Чаще всего для защиты от атак на сайты и веб-приложения используют сервис WAF. Один нюанс – при подключении такого сервиса требуется грамотно рассчитать основной параметр емкости – Requests Per Second (RPS). Это нужно, чтобы WAF обладал емкостью, которой будет хватать для стабильной работы онлайн-ресурса, и при этом его владелец не переплачивал за лишние мощности. В этой статье мы расскажем, как рассчитать RPS четырьмя разными способами, чтобы успешно защитить свой онлайн-бизнес от хакеров.

Понедельник, утро, открываешь проект, а авторизация на dev-стенде снова сломана. Или же надо поторопиться с релизом фичи, а бэк еще не готов, и разрабатывать нужно параллельно, и тут без моков не обойтись. Ну или классика: в командировке лежит интернет, и вся работа встала колом. Знакомо?

Что тут можно поделать? Можно подождать, пока починят стенд. Можно залезть в код и что-нибудь там нахардкодить, переполнив его ненужной логикой моков. Можно поставить Postman, Insomnia или другие популярные решения. Но у каждого подхода есть подводные камни: простои и сорванные дедлайны, забытые хардкоды в продакшене, необходимость согласований с инфобезом (особенно если вы работаете в банке) и зависимость от внешних серверов.

Мы попробовали существующие решения и поняли: ни одно из них не закрывает наши потребности полностью. Нужно было что-то свое: простое в установке, работающее офлайн, не требующее дополнительных приложений и аккаунтов. Что-то, что можно быстро настроить под себя и не зависеть от внешних решений вендора. Так появился наш велосипед — браузерное расширение Req-Saver. 

Да, представимся. Мы — Александр Битько и Дмитрий Панфилов, фронтенд-разработчики в ПСБ. Сегодня расскажем, как превратили мокирование запросов из головной боли в простую и понятную работу.

1 августа 2012 года, торговая фирма Knight Capital развернула новую версию торгового ПО SMARS. Из‑за ошибки при развертывании на одном из восьми серверов осталась старая тестовая версия кода, из‑за чего торговый робот начал неконтролируемо рассылать миллионы ошибочных заявок на покупку и продажу акций. Этот процесс длился около 45 минут и привел к убыткам в размере примерно 440 миллионов долларов — почти весь капитал компании.

​Ключевая проблема мониторинга состояла в том, что система PMON (Position Monitor) полностью полагалась на ручной мониторинг: она не генерировала автоматических оповещений и не выделяла превышение лимитов. Трейдеры Knight видели аномальную активность в логах, но не понимали контекст:

Главная задача Deception-решений — выявить присутствие потенциальных злоумышленников в защищаемой сети и замедлить их продвижение путем направления на ненастоящие активы. Эти решения позволяют выявить атаку до того, как она достигнет реальных систем и нанесет ущерб.

В данной статье мы расскажем, что из себя представляет Deception, рассмотрим эффективность приманок и ловушек, а также протестируем их на специально подготовленных стендах.

Привет, Хабр! Меня зовут Лиля Ермакова, Service Delivery Manager в Cloudmaster. В своей работе нам часто приходится помогать компаниям настраивать отображение затрат по инфраструктуре в соответствии с бизнес-потребностями

Сначала я хотела рассказать, как просто и быстро проставить метаданные (теги) на виртуалках в VMware Cloud Director и получить первый отчет о расходах. Но, начав писать, пришла к мысли, что FinOps и тегирование — это целая модель учета. Если внедрять ее абы как, без правил, можно сделать еще хуже. А нам этого не надо. Поэтому будем делать по уму и разберем все в подробностях.

Чтобы полностью раскрыть тему и не перегружать информацией, я разбила статью на три части:

Привет, Habr!

Будем знакомы, меня зовут Сергей. 45 лет, работаю админом. Решил поделиться своим опытом, как я проектировал коммуникации в доме. 

Живем с женой, т. к сын уже вырос и отправился в самостоятельное плавание. Мы завели лабрадора и стали всерьез подумывать о даче — видимо возраст, потянуло на природу. А еще три года назад мы стали владельцами одной прелести — одноэтажного домика с верандой. То ли 60-х, то ли 80-х годов постройки. Такие дома выглядят однотипно.

Можно ли смоделировать хаос пуассоновских потоков бронирований и конечный автомат состояний рейса (от «по расписанию» до «приземлился») целиком внутри PostgreSQL? Мы решили, что для создания идеальной учебной базы данных — можно. Вместо старых статичных таблиц мы построили генератор, имитирующий жизнь глобальной авиакомпании. Рассказываем, зачем это было нужно и почему старая база на 2,5 ГБ перестала справляться с задачами.

В России многие используют крылатые фразы из советского кино, даже не зная первоисточника. «Красота какая, лепота!», «Надо, Федя, надо», «О, какие люди! И без охраны» — эти выражения особенно популярны у старшего поколения, включая миллениалов. Но и молодёжь их знает: слышит от родителей, бабушек и дедушек, встречает в мемах и разговорах. Все эти фразы — часть нашего культурного кода, общая территория понимания.

А вот в англоязычном мире свои ориентиры. Там людей объединяют другие фильмы и другие цитаты — из голливудских блокбастеров, культовых комедий и классических драм. Эти фразы точно так же живут своей жизнью: появляются в песнях, мемах и сериалах, становятся узнаваемыми символами, которые передаются из поколения в поколение.

Всем привет! Меня зовут Маша Фадеева, я преподаватель и методист курсов английского в Практикуме. Я и мои коллеги поговорили с носителями языка — нашими иностранными друзьями из США, Великобритании и других англоязычных стран, чтобы разобраться в их общем киношном культурном коде.

Представьте, вы добровольно передаёте партнёру свою долю в доверительное управление — на основе соглашения и дружеского рукопожатия. Вы верите людям, с которыми давно знакомы. А через пару лет вынуждены возвращать эти доли через суд. В офисе полиция, отсутствуют все важные документы и со счетов пропали деньги, в том числе на зарплату 150 человек… Нет, это не сюжет корпоративного триллера — это моя реальная история. Моему первому бизнесу уже 17 лет, и я прошел через арбитражные процессы, прокуратуру и доследственные проверки; сейчас, оглядываясь на трехлетнюю «корпоративную войну», хочу поделиться опытом, чтобы другие не попали в ту же ловушку.

Данная статья основана на опыте разрешения конфликтных ситуаций между разработчиками и работодателем, причина конфликта – попытка незаконно уволить разработчиков, которые стали «лишними» в компании.

Ситуация, когда работодатель хочет вас уволить, всегда стрессовая. При этом как бы не было вам сложно морально выдерживать давление, в офисе, на удаленке… вы должны выстроить свою защиту также логично, структурировано, как и свою работу. Ваши действия должны быть не эмоциональными, а системными и рациональными.

Представьте, что сегодня у вас по плану тренировка с базовым упражнением — становой тягой. Вы поднимаете штангу весом в 100 кг — это ваша физическая способность на текущий цикл. Реализовать её помогают мышцы, кости связки. Вы не видите эти органы под кожей, но именно их слаженная работа позволяет вам поднять этот вес. И если бы в момент выполнения упражнения можно было просветить «рентгеном» ваш организм, их системную работу стало бы видно. А ещё стало бы понятно, на что обратить внимание для восстановления и развития, если в процессе у вас что-то «заболело».

Айти — как легендарный вечно ликвидирующийся магазин SUNLIGHT. Уже пару десятилетий наша любимая и родная сфера «умирает», «схлопывается» и «обрушивается» — при этом умудряясь постоянно расти. В 2010-м «поздно вкатываться, все уже написано». В 2015-м «поздно вкатываться, джуны никому не нужны». В 2020-х «поздно вкатываться, всех заменит нейросеть». Найти работу в IT «невозможно», «дефицит кадров» тотален — при этом в 2025 году индустрия в России (да-да) поставила рекорд по численности сотрудников, а вакансий открыты десятки тысяч. В этой статье мы делаем смелую попытку разобраться в том, что происходит с отечественным IT на самом деле.

Этот стартап превращал мух в еду — пока не погас свет

Еда из мух

Компания Inseco должна была стать успешным примером в производстве белка для насекомых в Африке. Вместо этого, спустя семь лет и после seed раунда в $5,3 млн. , компания закрылась и распродала свои активы.

10 новых российских продуктов планирования встреч для фрилансеров, для генерации описаний товаров по фото, мониторинга SSL-сертификатов и доступности сайта, генерации календарей для беременных и молодых мам и многого другого. Битва за «Продукт недели» началась!

Product Radar — здесь каждую неделю публикуются лучшие онлайн-сервисы и железки от русскоязычных команд.

Недавно я летел из Гонконга в Хитроу рейсом British Airways. Тот же самый маршрут я проделал в 2023 году, и помню, как в 14-часовом путешествии понадеялся на развлечения в самолёте. Однако на этот раз по дороге в Лондон у компании появилось интересное предложение: бесплатный WiFi для «мессенджеров» участникам «The British Airways Club».

Я был практически уверен, что не состою ни в каком подобном клубе (да и летел я эконом-классом), но оказалось, то это всего лишь название программы для часто пользующихся услугами компании. Довольно удобно было то, что можно зарегистрироваться в программе через портал авторизации, находясь прямо в воздухе; и хотя он требует адрес электронной почты, его не нужно верифицировать (то есть можно завершить регистрацию без доступа к Интернету).

После входа портал предложил мне «Начать сессию», и это действительно позволило мне общаться текстом. Я попробовал Whatsapp, Signal, Wechat и Discord. Первые три работали (но без поддержки изображений); Discord, как и ожидалось, не заработал. Совсем неплохо для бесплатного WiFi!

Откуда он знает?

Это первый вопрос, который возник у меня после проверки работы мессенджеров. На дворе 2025 год, всё должно шифроваться при передаче. Почему же система знает, что я использую Whatsapp или Discord? Поначалу я решил, что соединение как-то ограничивает ширину канала/передачу данных отдельных TCP-соединений, поэтому при отправке одного-двух сообщений они проходят, но что-то большее отклоняется.

Чтобы проверить эту гипотезу, я попробовал открыть на телефоне классический example.com. К сожалению, он не загрузился; значит, всё это устроено немного сложнее…

Меня всегда тянуло к подобным темам — тем, где технологии и человек пересекаются не на уровне кода, а на уровне тела. Я часто ловлю себя на мысли: а как вообще инженеры прошлого справлялись со всем этим без трекеров, мониторингов и советов из интернета? Что они делали, когда уставали за пультом, как боролись с болью в спине, если даже понятия «эргономика» тогда толком не существовало? И вот я решил копнуть поглубже — разобраться, как выглядела борьба с сидячим образом жизни полвека назад, когда программист был не модной профессией, а скорее ремеслом для выносливых.

В английском алфавите 26 букв. С учётом заглавных букв (+26) и цифр (+10) получается 62 символа. Это значит, что для взлома пароля длиной n символов, состоящего только из букв и цифр, злоумышленник должен перебрать комбинаций. Мы привыкли думать в терминах степеней десятки, поэтому, чтобы выразить это число как , воспользуемся формулой

Для пароля длиной символов , то есть вариантов перебора. В году примерно секунд. Для перебора с частотой один вариант в секунду потребуется 30 миллиардов лет. Ну или давайте более наукообразно: если ваш пароль будут ломать с частотой раз в секунду в течение вашей жизни, а вы с момента создания пароля и до гробовой доски хотите прожить 100 лет, то вероятность, что вас таки взломают равна . Кажется, этого более чем достаточно. Но не для сайта Expedia.com. Они считают, что пароль nr75eJ2GBp недостаточно надежный.

Что же они хотят? Минимум 12 символов с использованием специальных символов (+23 символа, итого 85). Получаем

Ещё раз напомню, что - это показатель десятки. Тогда -- это примерно 5 * 10^ 15 лет. 5 квадриллионов лет, если делать попытки раз в секунду. Я даже слова такого не знал. Давайте шутки ради поставим пароль VladimirPutin1952#. У таких серьёзных парней он точно не пройдёт.

Ах нет... сайт expedia доволен. Считает, что очень хороший, надёжный пароль. Этот пароль кстати проходит на всех сервисах, где я его опробовал, а не только на экспедии.

В трейдинге часто говорят: «Цена — это следствие, объём — это причина».
Именно так я наткнулся на одну простую, но крайне интересную закономерность: если в момент падения появляется свеча с объёмом, который в два раза превышает средний за последние 60 дней, — то на следующей свече часто начинается рост.

Предлагаю протестировать эту идею, узнать какой выход мы получим и написать рабочего real-time бота с помощью python.

Реклама работает, звонки есть, но продаж — кот наплакал. Одни хотят сделать «как на картинке, только в три раза дешевле», другие спрашивают цену и пропадают, третьи вообще не понимают, чем вы занимаетесь. Знакомо? Давайте разберёмся, почему к вам приходят не те клиенты и как это исправить.

Спойлер: проблема не в клиентах. Проблема в том, что вы неправильно их привлекаете и не фильтруете на входе.

Много кто на Хабре знает мое имя из-за моего проекта dnevniklib - Python библиотека для работы с API МЭШ (Московская Электронная Школа). На пике популярности ее скачали с PyPI 3000 раз! Данный проект являлся моей моей визитной карточкой, многие мои знакомые, которые как и я програмисты, нашли меня именно через мой Github. Да, это было круто, но потом произошло затишье... Я кинул проект в архив и он до сих пор там валяется. Но почему?

Эта статья расскажет о чем сразу стоит позаботится, прежде чем выпускать какой-либо продукт (даже open source) в main ветку