RU

Через что вас взломают: векторы атак, zero-day, OWASP Top 10 и самые дорогие уязвимости в истории

Эксплойт - это инструмент, который превращает теоретическую уязвимость в реальную атаку. А уязвимости, есть в любом ПО: где-то их еще не нашли, где-то…

уязвимостиvmpatchitпроцессыбезопасностьсканеры уязвимостейфстэкимпортозамещениеиб
Habr
RU

Praetorian: как мы сделали security-продукт для корпоративных чатов в Telegram и Max

Привет, Хабр! Рабочие обсуждения давно ушли из почты и таск-трекеров в мессенджеры. Там собирают проектные группы и каналы, координируют инциденты, ки…

ибинформационная безопасностьбезопасностьбезопасность в сетибезопасность данныхбезопасность веб-приложенийбезопасная разработкабезопасность мобильных приложенийбезопасность приложенийбезопасность linux
Habr
RU

Мы открыли код шифрования своего хранилища API-ключей — и честно написали, чего он не гарантирует

Мы делаем proxykey — credential proxy: настоящие API-ключи лежат у нас зашифрованными, а приложения и ИИ-агенты ходят с отзываемыми виртуальными токен…

шифрованиеaes-256-gcmapi-ключиopen sourceмодель угрозбезопасность
Habr
RU

Давайте поговорим о доверии и границах

Я женщина, поэтому даже в технической области я спокойно могу говорить на эти темы. (надеюсь в комментариях не обозлятся за это высказывание). Ответьт…

безопасностьошибки программистовкосякитестированиеии-агентыбольучимся на ошибкахдовериеграницыпровал
Habr
RU

Управление уязвимостями по-русски: ФСТЭК, БДУ, приказ № 117 и почему обновление стало риском

С 2022 года российский VM живет по своим правилам. Приказ ФСТЭК № 117 впервые ввел обязательные сроки устранения (сутки на критическую уязвимость), шт…

уязвимостиvmpatchitпроцессыбезопасностьсканер уязвимостейфстэкимпортозамещениеиб
Habr
RU

Роковая ошибка Германа Грефа: он не боится ИИ

Глава Сбербанка Герман Греф считает, что сейчас настало время агентной экономики, и нельзя чрезмерно концентрироваться на рисках, связанных с ИИ, упус…

иибезопасностьпрогноз будущегопрогнозы в itтенденции в бизнесе и ит
Habr
RU

Безопасность контрагентов с точки зрения ИБ: с чего начать и как выстроить процесс

Привет, Хабр! Меня зовут Алиса, я методолог информационной безопасности в Ozon. Я занимаюсь построением и улучшением процессов ИБ начиная от регламент…

риск-менеджментдоговорыбезопасностьинформационная безопасностьриски бизнесариски ибучетные записидоступтехническое заданиеozon tech
Habr
RU

Почему мы отказались от «AI в каждой кнопке» и зато встроили AES-GCM в детское приложение

Почему мы отказались от «AI в каждой кнопке» и зато встроили AES-GCM в детское приложение Откуда вообще взялось MIO MIO — это история про собственные …

семейный бюджетдетидетские приложениятрекер привычекобразованиебезопасностьбезопасность данных
Habr
RU

HTCE: когнитивное ядро нового поколения, которое не верит без доказательств

HTCE: как мы строим ИИ, который не верит без доказательств Большинство AI-систем сегодня стараются отвечать быстро и уверенно. HTCE строится иначе: эт…

искусственный интеллектробототехникароботыдронуправлениебезопасность
Habr
RU

8 песочниц в браузере без Docker: как мы изолировали выполнение кода на клиенте

Как дать пользователю выполнять JavaScript, Python и SQL прямо в браузере и не пожалеть? Разбираем восемь песочниц: Web Worker для JS, Pyodide для Pyt…

песочницаизоляция кодаweb-workerwebassemblypyodidesql.jsбезопасность
Habr
RU

8 песочниц в браузере без Docker: как мы изолировали выполнение кода на клиенте

Как дать пользователю выполнять JavaScript, Python и SQL прямо в браузере и не пожалеть? Разбираем восемь песочниц: Web Worker для JS, Pyodide для Pyt…

разработкапесочницаизоляция кодаweb workerwebassemblypyodidesqlбезопасность
Habr
RU

Управление уязвимостями с нуля: что это, зачем и из каких этапов состоит

48 тысяч новых уязвимостей за год, по 130+ в день. Закрыть все невозможно - значит, нужен процесс. Сейчас разберемся, что такое уязвимости и эксплойты…

уязвимостиvmpatchitпроцессыбезопасностьсканер уязвимостейфстэкимпортозамещениеиб
Habr
RU

[Перевод] HTML Sanitizer API: конец эпохи DOMPurify и XSS-страданий

Инженеры узнают о межсайтовом скриптинге (Cross-Site Scripting, XSS) тремя способами. Счастливчики узнают о нем благодаря полезному анализу кода или п…

javascriptjshtmldompurifysanitizerочисткаобезвреживаниеsecurityбезопасностьtimeweb_статьи_перевод
Habr
RU

Гайд по безопасности вайб-кодинга: что сделать, чтобы не слить данные в прод

Статья призвана не испортить праздник вайбкодинга, а сделать так, чтобы этот праздник не закончился публичным позором и потерями. Написана по мотивам …

vibecodingai-codingclaudeantigravitycursorcodexбезопасностьgitleaksgithubсекреты
Хабр — Управление
RU

Как один комментарий на Хабре перевернул архитектуру моего мессенджера

После моей первой статьи про Pulse я не ожидал, честно говоря, примерно ничего. Но к моему удивлению увидел реакцию: немного поддержки, немного критик…

безопасностьроадмэпаудитутечка данныхмессенджерыпет-проект
Habr
RU

Как научить ИИ-ассистента писать тесты и моделировать угрозы безопасности в процессе кодинга

Автоматизируем проверку по стандартам OWASP и TDD-циклы в Cursor и Claude Code. Разберем как наконец таки заставить вашего ИИ агента писать эффективны…

искусственный интеллектбезопасностьтестированиеopen sourcecursorclaude codeowasptddкачество кодаразработка
Habr
RU

«Да кому я нужен, меня не взломают»: почему это самая дорогая фраза в бизнесе

“Мы маленькие, нас не взломают” - самая дорогая ошибка в малом бизнесе. Боту-сканеру плевать, банк вы или шиномонтаж: он дергает все двери подряд, и э…

уязвимостиpatchitvmпроцессыбезопасностьсканер уязвимостейфстэкимпортозамещениеиб
Habr
RU

Книга: «Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений. 2-е изд.»

Привет, Хаброжители! Контейнеризированные и облачные приложения постепенно становятся базой современной программной инфраструктуры. Глубокое концептуа…

Контейнерывиртуализациябезопасностькибербезопасностьмикросервисыкниги по программированиюкнига
Habr
RU

Глоссарий серии «Управление уязвимостями для самых маленьких»

Справочник терминов, которые встречаются по всей серии. Термины расположены по алфавиту (сначала русские, затем латинские сокращения). Список будет по…

уязвимостиvmpatchitпроцессыбезопасностьсканер уязвимостейфстэкимпортозамещениеиб
Habr
RU

Управление уязвимостями для самых маленьких: оглавление серии

Серия будет выходить примерно по главе в неделю. Подписывайтесь, чтобы не пропустить. А пока расскажите в комментариях: вы пришли в тему с нуля или уж…

уязвимостиvmpatchitпроцессыбезопасностьсканер уязвимостейфстэкимпортозамещениеиб
Habr
RU

Запускаю серию «Управление уязвимостями для самых маленьких»: зачем она и для кого

Это вступление к серии «Управление уязвимостями для самых маленьких. Если вы открыли этот текст на Хабре, то про управление уязвимостями уже наверняка…

уязвимостиvmpatchitпроцессыбезопасностьсканер уязвимостейфстэкимпортозамещениеиб
Habr
RU

git ни разу не спросил у вас пароль — и в этом виноват скандал 2005 года

Признайтесь: вы не знаете, кто у вас сейчас просит пароль. Вы делаете git push. Иногда выскакивает окошко. Иногда терминал молча ждёт ввода, и буквы н…

gitgithubsshаутентификацияистория itlinus torvaldscredential providergit pushбезопасностьтокены
Habr
RU

WebScan v2.0: от идеи до pip install за одну неделю — путь, ошибки и бенчмарк

Предыстория 1 день назад я опубликовал первую статью про WebScan из Песочницы Хабра. Честно — не ожидал ничего особенного. Думал придут 50 человек, мо…

pythonbug bountyпентестбезопасностьcliopen sourceсканерniktonucleiwebscan technologies
Habr
RU

ИТ-аутсорсинг на результат или почему ИТ-подрядчику невыгодно, чтобы у вас все работало

Чем больше у вас сбоев, тем больше зарабатывает подрядчик. И это не злой умысел. Так устроена типовая модель оплаты, где исполнителю платят за закрыты…

шифровальщикшифровальщикибезопасностьфишингантифрод
Habr